18 de septiembre de 2019

APPLE. Sanción de 14.000 millones de doláres de la UE "va contra sentido común"

La orden de la Unión Europea a Apple de pagar 13.000 millones de euros en impuestos atrasados “va en contra de la realidad y el sentido común”, dijo la empresa como parte de la pelea entre las dos partes, en un caso emblemático de la lucha del bloque contra los tratos fiscales en favor de grandes multinacionales.
l fabricante de iPhone ha apelado al segundo tribunal más alto de Europa para que anule la decisión de la Comisión Europea de 2016 de pagar el importe equivalente a 14.000 millones de dólares a Irlanda.
Irlanda, cuya economía se ha beneficiado de las inversiones de empresas multinacionales atraídas por las bajas tasas impositivas, también ha impugnado la decisión de la Comisión.
Apple también acusó a la Comisión de utilizar sus competencias para luchar contra las ayudas estatales “con el fin de modificar las legislaciones nacionales”, de intentar cambiar en la práctica el sistema fiscal internacional y, al mismo tiempo, crear inseguridad jurídica para las empresas.
El ejecutivo de la UE rechazó los argumentos, diciendo que no estaba tratando de controlar las leyes fiscales internacionales y acusó a Irlanda de no haber hecho sus deberes al evaluar los impuestos de Apple.
Los argumentos de Apple ante el Tribunal General, el segundo más alto de Europa, se presentan después de que el ejecutivo de la UE en 2016 dijera que el gigante tecnológico se benefició de una ayuda estatal ilegal debido a dos sentencias fiscales irlandesas que redujeron artificialmente su carga tributaria durante más de dos décadas.
Fuente: Reuters

ESPAÑA. Cuarto país de la UE con mayor riesgo de infección por malware

España presente un bajo índice de protección frente al 'malware', como recoge el Índice Global de Amenazas de agosto de 2019 de la compañía tecnológica Check Point, que lo sitúa como el cuarto país de la Unión Europea con mayor riesgo de infección.
En el marco de la Unión Europea, España ocupa la cuarta posición entre los países con mayor riesgos de infección por 'malware', con un coeficiente de 52,3, por detrás de Grecia (77,9), Lituania (69,9) y Letonia (52,8), y por encima de países como Reino Unido (31,1), Alemania (32,8) o Francia (43,4).
Los 'cryptojacker' XMRig y Jsecoin, y el troyano Darkgate lideran la lista de los 'malware' más buscados en España, en el mes de agosto de 2019, como recoge el informe de la compañía de ciberseguridad. El primero de ellos, utilizado para minar la criptomoneda monero, fue descubierto en mayo de 2017, y ha atacado a un 12,42 por ciento de las empresas en España.
Jsecoin, por su parte, permite ejecutar al minero directamente en el navegador a cambio de una experiencia de navegación sin anuncios, monedas para juegos y otros incentivos. Ha afectado a un 9,11 por ciento de las organizaciones españolas.
Check Point califica al tercer 'malware' de la lista, Darkgate, como una "amenaza completa" que se instala de manera sigilosa y provoca problemas operativos e incapacidad para ejecutar ciertos servicios o aplicaciones. Ha afectado al 8,07 por ciento de las empresas españolas.
LA AMENAZA DE ECHOBOT
Asimismo, el equipo de investigación de la compañía advierte a las empresas de una nueva variante del 'botnet' Mirai IoT, Echobot, que ha lanzado ataques generalizados contra una serie de dispositivos del Internet de las Cosas.
Visto por primera vez en mayo de 2019, Echobot ha explotado más de 50 vulnerabilidades diferentes, causando un fuerte aumento en la vulnerabilidad de la 'Inyección de Comando sobre HTTP', que ha impactado al 34 por ciento de las organizaciones a nivel mundial, "lo que demuestra lo importante que es para las organizaciones protegerse y asegurarse de que aplican todos los parches y actualizaciones de sus redes, 'software' y dispositivos de IoT", destaca la directora del Grupo de Inteligencia de Amenazas de Check Point, Maya Horowitz.
Por otra parte, durante el mes de agosto el equipo de investigadores de Check Point ha visto cómo la infraestructura ofensiva de Emotet volvía a estar en activo dos meses después de que cesase su actividad.
Esta variante fue la 'botnet' operativa más importante de la primera mitad de 2019. A pesar de que hasta la fecha no se han descubierto campañas importantes, desde la compañía consideran que es probable que pronto comience a utilizarse para propagar campañas de 'spam'.
Fuente: Europa Press

LASTPASS. Soluciona fallo seguridad que permitía robar contraseñas última web visitada

El popular gestor de contraseñas LastPass ha solucionado una vulnerabilidad que se encontraba en su mecanismo de registro y que exponía y permitía robar las claves de la última página web que había visitado el usuario.
El fallo de seguridad fue descubierto originalmente en el mes de agosto por el investigador de seguridad Tavis Ormandy, del equipo de expertos especializado en vulnerabilidades Google Project Zero, que fue capaz de esbozar un 'exploit' para aprovecharse de esta vulnerabilidad utilizando solamente 'scripts' de Java.
Debido al sistema de registro que utilizaban las pestañas autenticadas con el gestor de LastPass, los últimos datos caché siempre quedaban guardados, de manera que podían filtrarse las credenciales del último sitio web que hubiera visitado el usuario.
Para extraer esta información, simplemente era necesario pulsar en el botón de ajustes de LastPass, y la consola de código mostraba las credenciales, aunque para ello era necesario utilizar mecanismos adicionales como copiarlo en el Traductor de Google para evitar las protecciones de LastPass contra páginas que no son de confianza.
A pesar de que los mecanismos para explotar este problema de seguridad podían no funcionar siempre para todas las URLs, según ha advertido su descubridor se trata de una vulnerabilidad de "severidad alta".
LastPass ha parcheado el fallo la semana pasada en su versión v4.33 para los navegadores Chrome, Firefox, Safari, Edge, Internet Explorer y Opera, como ha confirmado también el propio Tavis Ormandy en su entrada en Chromium.
Fuente: Europa Press

CIBERSEGURIDAD. Los peligros de las plataformas de videojuegos online

Los cambios en la industria del videojuego, que apuntan a un progresivo traslado de los usuarios del formato físico a las plataformas de distribución digital de videojuegos -ya sea en PC o para consolas- y a las plataformas de 'streaming' (con actores tan importantes como Google o Apple entrando en el negocio) despiertan dudas sobre si las empresas están lo suficientemente preparadas como para hacer frente a las amenazas en el área de la ciberseguridad.
El pasado mes de agosto se descubría una vulnerabilidad en la mayor plataforma de distribución de juegos para PC, Steam, que ha puesto en peligro directo al 72 por ciento de sus más de 100 millones de usuarios y en riesgo indirecto a otros 24 millones. Esta vulnerabilidad permitiría a un atacante conseguir instalar 'software' de forma arbitraria y, eventualmente, hacerse con el control del equipo o robar información del propietario.
Valve, la compañía propietaria de Steam, aseguró hace unas semanas que esta vulnerabilidad está solucionada, pero los expertos en seguridad aún tienen dudas al respecto. Esta brecha fue descubierta por el investigador de seguridad Vasily Kravets, quien detalla que aprovechando este fallo de la plataforma un atacante podría utilizar una cuenta de usuario sin privilegios para conseguir acceso de administrador en el equipo y realizar un ataque.
"Es fundamental que los usuarios de Steam en Windows actualicen a la última versión beta del cliente para protegerse de esta vulnerabilidad. Este tipo de brechas de seguridad nos recuerdan que es fundamental tomar un papel activo a la hora de proteger la seguridad y privacidad en nuestros dispositivos, incluyendo mantener actualizados el software y el sistema operativo", explica Harold Li, vicepresidente de ExpressVPN.
RECOMENDACIONES DE SEGURIDAD
Express VPN, compañía que ofrece a los usuarios herramientas para encriptar el tráfico web de y enmascarar sus direcciones IP, ha lanzado una serie de recomendaciones para que los 'gamers' tomen precauciones y eviten que un atacante pueda estar en disposición de sacar beneficio de esta vulnerabilidad.
De esta forma, recomienda instalar un antivirus para detectar si se ejecuta un código malicioso en el equipo, así como mantener todos los programas actualizados -incluido el sistema operativo- y asegurarse de que el cortafuegos está activado.
También insta a comprobar que el 'router' doméstico está actualizado y utilizar una conexión VPN para añadir un nivel de seguridad adicional, dificultando así que un atacante pueda utilizar esas conexiones para conseguir acceso al equipo y explotar la vulnerabilidad.
ANTE UN NUEVO PANORAMA
   El sector de los videojuegos está poco a poco adoptando el modelo de negocio que tanto éxito ha dado a plataformas como Netflix o HBO. De momento, el sistema de descarga online para jugar en el ordenador o la consola es el más efectivo (aquí Steam es el líder del mercado para PC), pero con la inminente llegada del 5G a los hogares españoles las plataformas de 'streaming' desde la nube por suscripción cobrarán mayor protagonismo.
En este campo aparece con fuerza Google con su plataforma Stadia, un servicio de suscripción para videojuegos que hace uso de los centros de datos de la compañía estadounidense para retransmitir videojuegos a gran calidad. Las últimas noticias apuntan a que Amazon también prepara un servicio para jugar 'online' desde un Fire TV, mientras que Apple anunciaba en su última presentación un servicio para disfrutar de un catálogo de juegos en sus dispositivos.
Este cambio de paradigma, con el gran salto que supone pasar del CD -o el viejo cartucho- a los servicios 'online', dispara las alarmas. La ciberseguridad va a ser un elemento clave en estos nuevos modelos para seguir garantizando la privacidad y la protección de los 'gamers', por lo que tanto las empresas como los propios usuarios tienen que poner de su parte para poner barreras a los cibercriminales ante amenazas como las vividas recientemente.
Fuente: Europa Press

INSTAGRAM. Soluciona una vulnerabilidad que exponía datos personales de contactos.

Instagram asegura haber solucionado una vulnerabilidad descubierta recientemente en su sistema para importar contactos que permitía extraer datos personales de los usuarios y sus cuentas como sus nombres, números de cuenta y de teléfono.
Según ha informado Forbes, el fallo de seguridad en cuestión fue descubierto originalmente por el hacker israelí @ZHacker13, que aseguró que explotar esta vulnerabilidad por parte de actores maliciosos podría permitir utilizar un ejército de bots para constituir bases de datos con información personal.
La vulnerabilidad en cuestión residía en el importador de contactos de Instagram, una herramienta presente en la página de identificación de la red social, y en los mecanismos que utiliza para sincronizar la cuenta con otros sistemas de identificación, como el teléfono o el correo.
A través de un algoritmo que efectuase un ataque de fuerza bruta, el 'hacker' israelí probó que era posible obtener mil números de teléfonos de usuarios al día, y utilizar esta información para crear nuevos perfiles y, a través de la herramienta de sincronización, obtener los datos personales del mismo.
Aunque Instagram solo permite un máximo de tres intentos fallidos de inicio de sesión al día, resultaba posible utilizar una red de bots que explotaran esta vulnerabilidad de forma masiva y se hacerse con datos como nombres, números de cuenta y de teléfono de los usuarios.
LA BRECHA, SOLUCIONADA POR INSTAGRAM
Un portavoz de Instagram ha asegurado en declaraciones a Europa Press que la brecha de seguridad ya ha sido solucionada. "Hemos hecho un cambio en el importador de contactos de Instagram para prevenir el tipo de abuso descubierto por el investigador", ha explicado el portavoz.
Además, la empresa ha recordado que "es común que las compañías tecnológicas trabajen con investigadores a ayudar problemas de sus productos a través de sus programas de recompensas", y ha asegurado que el descubridor del problema será recompensado por su ayuda.
El director de Tecnología de la compañía de ciberseguridad Bitglass, Anurag Kahol, ha emitido un comentario destacando que "cuando las personas crean perfiles de usuario para un servicio determinado, confían en que sus datos personales se mantendrán seguros".
"Aunque no hay indicios de que las credenciales se hayan filtrado o de que los hackers hayan robado datos, los usuarios podrían haber visto sus cuentas y su información expuestas si un especialista externo a la compañía no hubiera encontrado el problema e intervenido", ha denunciado Kahol, reclamando un enfoque de seguridad proactivo de las empresas.
Fuente: Europa Press

CIBERSEGURIDAD. El 99% de los ciberataques depende de la interacción humana

Casi la totalidad de los ciberataques, con más del 99 por ciento de los que se han producido en los últimos 18 meses, depende de la interacción humana y el 'malware' está a solamente un clic de distancia por parte del usuario, en especial en el ambiente empresarial.
La compañía de ciberseguridad Proofpoint ha publicado recientemente su informe 'Human Factor 2019', en el que revela las tácticas de ataques de los cibercriminales contra las personas que forman una empresa, analizando los últimos 18 meses.
Entre las principales tendencias entre los cibercriminales, destacan los ataques agresivos dirigidos a los usuarios de las empresas, ya que resultan más sencillas las técnicas como los correos fraudulentos que la creación lenta y cara de 'exploits'.
"Más del 99% de los ciberataques depende de la interacción humana, lo que convierte a los usuarios individuales en la última línea de defensa de una organización", ha apuntado el vicepresidente de Threat Operations para Proofpoint, Kevin Epstein.
Estos ataques requieren la acción de una persona, bien sea para ejecutar macros, abrir archivos o seguir enlaces, lo que pone de manifiesto la importancia que tiene hoy la ingeniería social para que un ataque sea exitoso.
Los señuelos relacionados con Microsoft están entre los más usados, y alrededor de uno de cada cuatro correos electrónicos de 'phishing' enviados en 2018 estaba asociado a productos de Microsoft.
Durante los últimos 18 meses, las principales familias de 'malware' han sido troyanos bancarios, ladrones de información, herramientas de administración en remoto (RAT) y otras cepas no destructivas, diseñadas para permanecer en los dispositivos infectados y así robar continuamente datos de utilidad para los actores de amenazas.
Proofpoint ha destacado la importancia de las amenazas centradas en los empleados VAP ('Very Attacked People'), los más atacados, cuyos datos de perfil pueden obtenerse en línea a través de webs corporativas en el 36 por ciento de los casos.
Los impostores imitan la rutina de los trabajadores de una empresa para evitar ser detectados, y la mayoría de los 'emails' fraudulentos se despacha los lunes (más del 30 por ciento) y en fin de semana el porcentaje se sitúa en menos del 5 por ciento.
En cuanto a la hora del día en la que caen en el 'phishing', los trabajadores en Norteamérica y Asia-Pacífico caen en este tipo de cebos a primera hora del día, mientras que en Europa y Oriente Próximo suelen hacer clic al mediodía y después del almuerzo.
Fuente: Europa Press

WHATSAPP. La opción «eliminar para todos» no elimina los archivos enviados a iPhone.

La opción, que fue introducida hace dos años, contiene un fallo de seguridad sin parchear que no elimina los archivos enviados a dispositivos iPhone, por lo que, en cuanto a funcionalidad se refiere, sencillamente se limita a generar una sensación de privacidad que no se corresponde con la realidad.
Tanto WhatsApp, como su competidor de software – parcialmente – libre, Telegram, ofrecen la opción «Eliminar para todos» cuando se selecciona un determinado archivo enviado. Esto permite rectificar el envío y enmendar un posible – y a menudo incómodo – error cuando, típicamente, se envía por descuido material a un destinatario no deseado.
En el caso de WhatsApp, la opción sólo está disponible en un lapso de tiempo de una hora, ocho minutos y dieciséis segundos, una vez el mensaje o archivo se ha enviado. Un tiempo, seguramente, más que razonable para percatarse del error.
Sin embargo, tanto da el lapso de tiempo configurado por el fabricante, si los mensajes o archivos enviados, tal y como ha descubierto el investigador Shitesh Sachan, no se eliminan correctamente para los usuarios de iPhone. Incluso aunque recibamos de la aplicación el mensaje de «el mensaje ha sido borrado».
Si bien es cierto que la versión para Android de la popular aplicación de mensajería llega incluso a borrar los archivos de la galería del receptor cuando se selecciona la opción «borrar para todos», no ocurre así para los usuarios de iPhone, un contexto donde la aplicación parece seguir un diseño diferente.
El problema radica fundamentalmente en que la aplicación trae activada por defecto la opción de «guardar automáticamente» en las respectivas galerías de Android o iPhone y, pese a que desactivar esta opción mitigaría parte del problema, poca gente configura correctamente su aplicación para que adopte este comportamiento. Ni siquiera cuando las mejoras en cuanto almacenamiento y control de los activos son evidentes al activar esta opción.
A comienzos de esta semana se publicaba, igualmente, un fallo de seguridad similar que afectaba a Telegram, que también adolece de una implementación deficiente en su opción «Eliminar para todos». Sin embargo, mientras que Telegram parcheó inmediatamente el fallo, WhatsApp ha declarado que no tiene intención alguna de abordar el tema, porque la funcionalidad de dicha opción es, argumentan, eliminar de la aplicación -y no del dispositivo móvil – los archivos seleccionados.
El equipo de seguridad de WhatsApp también arguye que la pretensión de que su opción «Eliminar para todos» sirva, precisamente, para eliminar por completo el archivo, colisiona con el hecho de que el receptor del mensaje puede verlo antes de que sea borrado o hacer un «pantallazo», lo que haría inútil implementar correctamente la opción. Por otro lado, también afirman que podrían estudiar cambios en la implementación en un futuro.
Recomendación
Evitar siempre el uso de software privativo que no respete la privacidad y la seguridad del usuario, y adoptar progresivamente el uso de software cuyo código haya sido liberado – software libre – por los beneficios de seguridad y privacidad que supone el tener a disposición de una comunidad activa un código fuente auditado y saneado de manera pública.
Más información:
Fuente: Hispasec

17 de septiembre de 2019

TRIPADVISOR. La dimensión del fraude de la web publica por primera vez sus cifras

La web acepta que el 2,1% de las opiniones enviadas a su web en 2018 fueron identificadas como fraudulentas.
Stephen Kaufer, presidente y director ejecutivo de TripAdvisor, lleva tiempo tragando sapos relacionados con las dudas generadas por la base de su negocio: la autenticidad y honestidad de las opioniones de los usuarios. Por ejemplo, hace unos meses, el propietario de un restaurante español (Marina Beach Club, en Valencia) llevó a juicio a esta multinacional, a la que reclama 660.000 euros por no controlar las opiniones negativas y por no permitirle darse de baja.
¿Los comentarios de TripAdvisor son fiables? ¿Hace lo suficiente para verificarlos? Ante la acumulación de noticias y reportajes que no terminan de ofrecer conclusiones satisfactorias a esas preguntas, el equipo de Kaufer decidió reunir y examinar sus propios datos. Este martes ha hecho público por primera vez un informe sobre los comentarios alojados en la web y sobre el trabajo que realiza su equipo para desactivar las opiniones «problemáticas» (ese es el término exacto que utilizan).
En la introducción de este estudio, Kaufer reconoce que «sabemos que no somos perfectos» y acusa a «terceros» de publicar «cifras inexactas sobre la autenticidad del contenido de las opiniones o sobre las dimensiones del fraude en nuestra plataforma». Dice que lo hacen a pesar de no tener acceso a los «datos técnicos clave necesarios para saber si una opinión es fraudulenta o no».
 ¿Cuáles son entonces sus cifras? Los datos oficiales de la empresa proceden del análisis de las opiniones enviadas a la plataforma entre enero y diciembre de 2018. Durante esos doce meses, TripAdvisor recibió 155 millones de publicaciones de contenido por parte de los usuarios; 66 millones de ellas eran opiniones. El portal de internet asegura que el 100% de esas opiniones pasaron por un proceso previo y automático de moderación, mientras que 2,7 millones se sometieron a un examen posterior y más exhaustivo realizado por un equipo humano.
De los 66 millones de opiniones enviadas a TripAdvisor en 2018, el 2,1% fueron identificadas como fraudulentas, según la compañía. El 73% (más de un millón) fueron bloqueadas en el proceso de moderación automático previo a la publicación, mientras que el 0,6% (374.220) llegaron a estar online antes de ser eliminadas en posteriores verificaciones. El 98,5 de las opiniones falsas detectadas fueron identificadas por TripAdvisor, según el citado informe, y el 1,5% se eliminaron como resultado de alguna denuncia.
Más allá de las opiniones falsas (enviadas con el objetivo de «manipular injustamente la puntuación media de un negocio»), TripAdvisor admite que el 4,7% de las valoraciones enviadas por los internautas fueron rechazadas al recibirlas o retiradas tras su publicación debido a «violaciones de nuestra normativa».
Estos datos, como es lógico, hacen referencia a los comentarios detectados y eliminados en alguno de los procesos de control, antes o después de subirlos a la web. No hay estimaciones, en cambio, de los comentarios «problemáticos» que puedan superar esos filtros. La asociación británica Which, por ejemplo, aludía a varios ejemplos de críticas muy buenas en determinados establecimientos cuyos autores no tenían ninguna contribución más en la web, lo que les hacía dudar de su fiabilidad.
¿Qué hace TripAdvisor si descubre que un negocio publica opiniones fraudulentas? Dicen que primero eliminan el contenido falso y luego aplican una penalización que consiste en bajar la posición del establecimiento en la clasificación de popularidad. En 2018, 34.643 negocios recibieron al menos una penalización, cifra que incluye a aquellos que enviaron opiniones falsas y a los que pagaron a terceros por hacerlo. Si la actividad continuara, TripAdvisor puede llegar a poner una alerta roja visible en el perfil del negocio (en 2018 la aplicó en 351 ocasiones).
En internet no faltan los ejemplos de negocios que se quejan por los comentarios que aparecen en su web, de periodistas que han logrado que un establecimiento inexistente tuviera una calificación máxima, de internautas que dicen cobrar por colgar en internet opiniones favorables.
 ¿Cuál es el volumen de ese mercado negro de las opiniones? En realidad, nadie lo sabe con certeza. En el informe reflejado en estas líneas aparecen las cifras oficiales que maneja la compañía, pero no parece que ese esfuerzo pueda satisfacer a los escépticos.
Fuente: ABC.es

iOS 13. Llega con regalo incluido, bug para ‘bypassear’ la pantalla de bloqueo del iPhone.

El día 19 de septiembre saldrá la versión 13 del sistema operativo de Apple para móviles iOS. En principio parecen buenas noticias pero cuidado, iOS 13 contiene una vulnerabilidad que podría permitir eludir la protección de la pantalla de bloqueo de tu iPhone y acceder a información confidencial.
Jose Rodríguez, un investigador de seguridad español, se puso en contacto con The Hacker News y reveló que descubrió un error que permite saltar las restricciones de la pantalla de bloqueo de iOS 13 dejando acceder a la lista completa de contactos de iPhone, así como a la información guardada de los mismos.
Mediante VoiceOver puedes navegar por mucho contenido del iPhone a partir de ese agujero, incluso puedes llegar a conocer a qué Apple ID está vinculado el iPhone..
Lo reporté a Apple y Apple lo arregló sin decir nada, sin mencionarlo en el contenido de seguridad de iOS 12.1.1 https://t.co/H4mOyrnzx5
— Jose Rodriguez (@VBarraquito) December 5, 2018
Jose comunicó a The Hacker News que descubrió el nuevo error en la pantalla de bloqueo de su iPhone que ejecuta la versión beta de iOS 13 y lo reportó a Apple el 17 de julio.
Sin embargo, Apple no reparó el error incluso después de haber sido informado hace meses, y el bypass sigue siendo posible de ejecutar en la versión Gold Master (GM) de iOS 13, la versión final del software que se lanzará el próximo 19 de septiembre.
¿Cómo funciona el bloqueo de pantalla de iOS 13 en el iPhone?
El error permite a cualquier persona con acceso físico al iPhone de un objetivo engañar al smartphone para que le conceda acceso a la lista completa de contactos almacenados, así como información detallada para cada contacto individual, incluidos sus nombres, números de teléfono y correos electrónicos, todo ello utilizando únicamente una llamada de FaceTime.
Este último hack de bloqueo de pantalla de iPhone es similar al que Rodríguez descubrió el año pasado en iOS 12.1, que permite saltarse la pantalla de bloqueo de un iPhone específico utilizando la función integrada VoiceOver.
Para demostrar el nuevo bug, Rodríguez compartió un video con ‘The Hacker News’, demostrando cómo funciona el hack y lo simple que es incluso para cualquier usuario que no entienda mucho de nuevas tecnologías.
El error consiste en realizar una llamada de FaceTime en el iPhone del objetivo y luego acceder a la función VoiceOver de Siri para obtener acceso a la lista de contactos, así como a toda la información guardada de estos contactos.
Sin embargo, es probable que Apple repare este problema en la próxima versión iOS 13.1, que se espera que llegue al público el 30 de septiembre. Todos los usuarios deberían parchear sus dispositivos iPhone a finales de mes.
Hasta entonces, se recomienda a los usuarios de iPhone que no dejen su teléfono desatendido, al menos en lugares públicos y de trabajo.
Más información
Bypass similar del año pasado:
Fuente: Hispasec

ALESA. Bypass mediante SQL Injection

Si hay algo que los usuarios de las nuevas tecnologías se están viendo obligados a comprender actualmente, es que casi todo lo que nos rodea puede ser vulnerado de manera que quien lleva a cabo el ataque tenga acceso a nuestros datos personales e información privada, Esta vez ha sido el turno de Alexa, uno de los productos estrella de Amazon.
Ya en 2018 aparecieron noticias acerca de un fallo de seguridad de Alexa que permitía al dispositivo grabar las conversaciones de los usuarios por error debido a una incorrecta implementación de la funcionalidad de activación por voz. En esta ocasión la vulnerabilidad no se encuentra en Alexa en sí, sino en las aplicaciones que instalamos en el dispositivo.
El investigador Tal Melamed, director de seguridad y hacking ético de Protego, ha descubierto que es posible vulnerar aplicaciones instaladas en Alexa mediante la técnica de inyección SQL (SQLi en inglés) si éstas no realizan una correcta validación de datos . Lo único que tendría que hacer el usuario malicioso sería ejecutar comandos por voz (en lugar de por teclado, como es lo usual) utilizando traducciones de texto para obtener acceso a las aplicaciones con fallas de seguridad y que contienen información sensible.
En un vídeo donde se muestra cómo es posible explotar la vulnerabilidad, Tel Melamed lleva a cabo una pequeña PoC mediante la traducción de palabras y números. En el vídeo el investigador utiliza una aplicación y una base de datos SQL desarrolladas por él mismo, pero se debe tener en cuenta que estamos ante un caso que podría tratarse de cualquier aplicación que exija un número de cuenta bancaria o un texto particular como método único de identificación.
Los pasos seguidos en el vídeo son los siguientes:
1)Tel Melamed intenta acceder a la cuenta del usuario administrador, para lo cual no está autorizado.
2)Alexa deniega la solicitud.
3)El investigador evade la denegación de Alexa proporcionando un número aleatorio junto a sintaxis que ejecutará la inyección SQL.
4)Cuando al investigador se le solicita un identificador de cuenta (ID) simplemente responde con un número aleatorio y «or/true», lo cual le concede el acceso a cualquier línea de la base de datos.
5)Alexa da al investigador la información del balance de la cuenta de administrador para la cual Tel Melamed no tenía acceso autorizado.
En cuanto a las medidas de protección ante esta vulnerabilidad, lo que el usuario puede hacer es poco ya que la brecha se encuentra en la aplicación, y para solventarla los desarrolladores deberían llevar a cabo la adopción de medidas como una correcta validación de los datos de entrada, un método que solucionaría muchos (si no todos) los problemas causados por las inyecciones de comando maliciosas, vulnerabilidad que se encuentra en el puesto número uno del Top 10 de OWASP en su último informe de 2017.
Recomendación
Desde Hispasec Sistemas recomendamos a los usuarios que, además de elegir contraseñas robustas, sean cuidadosos a la hora de usar aplicaciones que nos solicitan información confidencial como el número de cuenta bancaria. Siempre hay que descargar este tipo de aplicaciones desde markets oficiales y asegurarnos de que están verificadas y autorizadas por la entidad de la que formamos parte.
Más información:
Fuente: Hispsaec

16 de septiembre de 2019

La conversión de Rivera a hombre de estado.

Erase una vez Rivera soñando, cabalgando junto con Casado, Abascal y Esparza, en busca de anticonstitucionalistas, rojos, independentistas, nacionalistas,  y demás gente, de supuestamente mal vivir, cuando una luz cegadora procedente de encuestas le deslumbró y le descabalgó.
Esa misma noche, se le encendió la bombilla y pensando que se le había ocurrido a él mismo, exclamó, ¡Eureka!, y de la noche a la mañana se convirtió en un hombre de estado, para que digan que los milagros no existen.
Y luego, por arte de magia, como si el desbordante torrente de conocimientos los hubiese tenido retenidos, cual embalse de agua dulce, hasta el minuto previo a la bajada del telón de la legislatura actual, antes que se convocasen nuevas Elecciones Generales, y temeroso de quedarse como único integrante del partido naranja, empezó a ofrecer soluciones a diestro y siniestro de todos los problemas que tiene el país, a su manera claro, “vosotros no sabéis, quitaros y dejadnos a nosotros, los sapientísimos salvapatrias de derechas ”.
Y parece ser que el asunto era como un virus contagioso, porque en reunión nocturna, (debió ser un problema que surgía por falta de luz solar, los científicos seguían investigando el asunto), se lo trasmitió a Casado, que ya tenía algo de experiencia al respecto y quedaron ambos dos convertidos en hombres de estado por la gracia de Dios, con el mismo lema anterior, “vosotros no sabéis, quitaros y dejadnos a nosotros, los 4 magníficos salvapatrias de  derechas ”.  Y después se despertó. ¡Hay que ver! 
 Esperemos y deseemos que todos los dirigentes de derechas queden de verdad abducidos, no como en el cuento anterior, por los principios democráticos del respeto a todos los españoles, independientemente de sus ideas, políticas, sociales o religiosas, tal y como dice la Constitución.
Post Data
Felicidades a los campeones del mundo de basket.
Y a los argentinos deciros que lamentablemente solo puede ganar un equipo, pero que junto a los españoles somos las dos mejores selecciones de baloncesto del mundo.

13 de septiembre de 2019

INTEL. Nuevo ataque contra CPUs de la firma

Investigadores de la universidad de Vrije de Amsterdan descubren una nueva vulnerabilidad en las CPUs de Intel, que puede ser explotada remotamente sin necesidad de acceso físico o malware instalado en la máquina objetivo.
Bautizada como NetCAT (Network Cache ATtack), esta vulnerabilidad permite a un atacante remoto averiguar información sensible a través de la cache de las CPUs de Intel.
La vulnerabilidad con identificador CVE-2019-11184 se encuentra en una capacidad de estas CPUs llamada DDIO (Data Direct I/O), que por diseño permite a dispositivos y periféricos de una red acceder a la cache de dichas CPUs.
Esta capacidad está activada por defecto en todas las CPUs de Intel usadas en servidores, como son los procesadores de la familia Xeon E5, E7 y SP.
Según los investigadores, el ataque NetCAT funciona de forma similar a Throwhammer, en el sentido de que se envían paquetes de red especialmente diseñados a una máquina destino que tiene activado RDMA (Remote Direct Memory Access).
RDMA permite a un usuario malicioso espiar las acciones de aquellos dispositivos que hagan uso de esta tecnología, como puede ser una tarjeta de red. Esta técnica se consigue mediante la observación de las diferencias de tiempo entre un paquete de red que es ofrecido desde la cache de procesador y otro que es ofrecido desde la memoria.
La idea es llevar a cabo un análisis del tiempo de las pulsaciones realizadas por la víctima usando un algoritmo de inteligencia artificial. El equipo de Vrije logró una tasa de acierto del 85% en sus pruebas, en las que se recuperó una credencial SSH a través de la red.
Intel por su parte ha reconocido el problema y recomienda a los usuarios afectados desactivar DDIO o al menos RDMA para hacer este tipo de ataques más complicados. También se sugiere limitar el contacto de los servidores vulnerables con redes de poca confianza.
Más Información:
Fuente: Hispasec

GOOGLE. Halla un ciberataque masivo que ha infectado miles de iPhones

El gigante ha descubierto una serie de páginas web infectadas que descargaban malware iOS cada vez que un dispositivo accedía a ellas. Aunque Apple lanzó un parche el pasado 7 de febrero, los datos de los aparatos comprometidos ya han sido robados. Todavía no se sabe quién es el responsable
  • El malware era capaz de robar contraseñas, mensajes cifrados y contactos
  • No está claro quién ideó la campaña de hackeo ni quién era el objetivo
  • Quienes han actualizado su iPhone, están protegidos
El mayor ciberataque conocido contra los usuarios de iPhone duró al menos dos años y afectó a miles de personas, según una investigación publicada por Google.
El malware podía acceder a cualquier iPhone para robar contraseñas, mensajes cifrados, ubicación, contactos y otra información confidencial. Luego, los datos se enviaban a un servidor de comando y control que los hackers utilizaban para ejecutar la operación. El alcance, la ejecución y la duración de este ciberataque sin precedentes apuntan a una posible operación respaldada por algún gobierno, pero la identidad de los hackers y sus objetivos todavía se desconoce.
"Los datos que han robado son los 'jugosos'. Si se toman todas las contraseñas, datos de ubicación, chats, contactos, etcétera, se puede construir una red en la sombra con las conexiones de todas las víctimas. Seguramente en ella se podrán encontrar objetivos interesantes con seis grados de separación", explica el autor de tres libros sobre el funcionamiento interno de los sistemas operativos de Apple Jonathan Levin.
Apple parcheó rápidamente el error en febrero de 2019, así que todos los que hayan actualizado su iPhone desde entonces están protegidos. Pero, aunque al reiniciar el iPhone se borra el malware, los previos datos ya fueron robados. Y todavía no se sabe exactamente quienes han sido los usuarios afectados. Las víctimas probablemente no serán conscientes porque el malware se ejecuta en un segundo plano sin indicador visual y no hay forma de que un usuario de iOS vea qué procesos se están ejecutando en su dispositivo.
En enero de 2019, el Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google, compuesto por especialistas en contraespionaje, descubrió una serie de páginas web hackeadas que introducían el malware a miles de visitantes por semana. La táctica se conoce como ataque tipo pozo: los hackers infectan con malware páginas web cuidadosamente seleccionadas y esperan a que lleguen los visitantes para acabar infectados. Basta con visitar la página para descargar el malware.
Entre los hallazgos de Google figuran cinco "cadenas de explotación" ejecutadas en un período de años y 14 vulnerabilidades, de las cuales, al menos una era de día cero. Este término describe un error explotable no descubierto por una empresa como Apple. Cuando una cadena de explotación se quedaba inutilizada por un parche de Apple, el hacker pasaba rápidamente a la siguiente.
TAG transmitió la información a Apple, quen lanzó el parche 12.1.4 de iOS el 7 de febrero con la solución, así como a otros dentro de Google. El Proyecto Cero de Google, el equipo de análisis de seguridad de la compañía, lleva los últimos siete meses diseccionando estos errores.
El experto de Google Ian Beer detalla "No hubo discriminación de objetivos; bastaba con visitar la página hackeada para que el servidor atacara el dispositivo, y si tenía éxito, instalaba un implante de control. Calculamos que estas páginas web reciben miles de visitantes por semana".
No está claro quién acabó afectado. El Proyecto Cero de Google no ha revelado esta información ni las páginas web infectadas. Parece poco probable que Apple y Google tengan un recuento completo de las víctimas, pero podría haber otras pistas, como las poblaciones que suelen visitar páginas web infectadas.
Entonces, ¿quién está detrás de esto? Existe toda una industria de hackeo ofensivo que crea y vende herramientas de hackeo a gobiernos y empresas de todo el mundo. El más famoso es NSO Group, pero sus herramientas también han sido atacadas. Levin cree que las señales apuntan a que hay un estado detrás de este ataque, ya que el modelo utilizado no está dentro del alcance típico de un pequeño hacker o empresa.
La revelación se ha propagado instantáneamente por toda la industria de la ciberseguridad. "Esta es la primera vez que se demuestra que tales vulnerabilidades se utilizan de forma masiva, indiscriminadamente como 'red de pesca' contra cualquier persona desprevenida que visa páginas web infectadas", afirma Levin. Una de las víctimas más notables del malware para iPhone es el activista de derechos humanos conocido mundialmente y encarcelado por criticar al Gobierno de Emiratos Árabes Unidos, Ahmed Mansoor, apodado como "el disidente de un millón de dólares" debido al alto coste del malware que se utilizó para hackear su iPhone y espiarlo.
Hasta ahora, el uso de estas armas era poco común y siempre estaba muy dirigido, dado su alto coste. Atacar el sistema operativo iOS de Apple, el software del iPhone y también del iPad, es un proceso complejo y costoso. "Atacar el iOS requiere evadir y atravesar las enormes y múltiples capas de defensa de Apple", explica Levin. El descubrimiento de Google tira por tierra algunas de esas suposiciones.
También alterará las percepciones sobre la seguridad de los iPhones. Las personas de alto riesgo, como periodistas, abogados y activistas, usan iPhone con la esperanza de que estos dispositivos proporcionen una defensa real contra los hackers que, en algunos casos, pueden suponer una amenaza de vida o muerte.
Beer concluye: "Los usuarios reales toman decisiones de riesgo basadas en la percepción pública de la seguridad de estos dispositivos. Pero la realidad es que las protecciones de seguridad nunca eliminarán el riesgo de ataque si somos un objetivo".
Fuente: MIT Technology Review

MOZILLA. Lanza servicio VPN ‘Firefox Private Network’ como extensión del navegador

Mozilla ha lanzado oficialmente un nuevo servicio VPN centrado en la privacidad, llamado Firefox Private Network , como una extensión del navegador que tiene como objetivo cifrar su actividad en línea y limitar lo que los sitios web y los anunciantes saben sobre usted.
El servicio Firefox Private Network se encuentra actualmente en versión beta y solo está disponible para usuarios de escritorio en los Estados Unidos como parte del programa «Firefox Test Pilot» recientemente eliminado de Mozilla, que permite a los usuarios probar nuevas funciones experimentales antes de su lanzamiento oficial.
El programa Firefox Test Pilot fue lanzado por primera vez por la compañía hace tres años, pero se cerró en enero de este año. La compañía ahora decicidió recuperar el programa pero con algunos cambios.
«La diferencia con el programa Test Pilot recientemente relanzado es que estos productos y servicios pueden estar fuera del navegador Firefox y estarán mucho más pulidos, y solo un paso por debajo del lanzamiento público general».
Marissa Wood, vicepresidenta de producto en Mozilla
Desde la empresa aseguran que su red privada de Firefox «proporciona una ruta segura y encriptada a la web para proteger su conexión y su información personal en cualquier lugar y en cualquier lugar donde use su navegador Firefox».
El servicio VPN de red privada de Firefox también encripta y canaliza cada una de las actividades de navegación de Internet suyas a través de una colección de servidores proxy remotos, enmascarando así su ubicación y bloqueando a terceros, incluidos el gobierno y su ISP, para que no espíen su conexión.
Cloudflare, la compañía que ofrece uno de los servicios de protección CDN, DNS y DDoS más grandes y rápidos, proporciona los servidores proxy reales para la extensión Firefox Private Network.
«Cloudflare solo observa una cantidad limitada de datos sobre las solicitudes HTTP / HTTPS que se envían al proxy de Cloudflare a través de navegadores con una extensión activa de Mozilla».
Cloudflare
Como registrarse en el servicio VPN de Firefox:
Firefox Private Network actualmente solo funciona en computadoras de escritorio, pero se cree que también estará disponible para usuarios móviles, una vez que la VPN salga de la versión beta.
Aunque el servicio Firefox Private Network es actualmente gratuito, Mozilla insinuó que la compañía está explorando posibles opciones de precios para el servicio en el futuro para mantenerlo en forma sostenible.
Por ahora, si tiene una cuenta de Firefox y reside en los Estados Unidos, puede probar el servicio VPN de Firefox de forma gratuita registrándose en el sitio web de la red privada de Firefox.
Más información:
·         Mozilla launches a VPN, brin gs back the Firefox Test Pilot program https://techcrunch.com/2019/09/10/mozilla-launches-a-vpn-brings-back-the-firefox-test-pilot-program/
Fuente: Hispasec

MALWARE. Que utiliza el servicio BITS de Windows para robar datos

Investigadores de ciberseguridad han descubierto un nuevo malware asociado al grupo Stealth Falcon, éste malware utiliza el servicio background intelligent transfer service (BITS) para el envío de datos en segundo plano al servidor controlado por el atacante.
El grupo Stealth Falcon, patrocinado por el estado, es conocido por atacar a periodistas, activistas y personas detractoras del sistema con spyware. Este grupo centra su actividad principalmente en el Medio Oriente, más concretamente en los Emiratos Árabes Unidos (EAU).
Win32/StealthFalcon se comunica y envía los datos recopilados a los servidores de comando y control (C&C) a través del servicio de transferencia inteligente en segundo plano de Windows (BITS).
BITS es un componente de Windows que aprovecha el ancho de banda no utilizado para la transferencia, en primer o segundo plano, de archivos. Esta utilidad es muy utilizada por actualizadores de software en Windows 10 y permite reanudar la transferencia de los archivos en caso de interrupciones. Además, al ser un sistema integrado en Windows es más sencillo que un Firewall no lo bloquee, lo que ha hecho que, durante 4 años, nadie se percatase de este malware.
Según investigadores de ESET, dado que la velocidad de envío de los archivos se ajusta automáticamente y que escapa de las medidas de seguridad habitualmente configuradas, este malware puede operar en segundo plano sin ser detectado y sin modificar la experiencia de uso del usuario.
Pero la puerta trasera Win32/StealthFalcon no solo realiza la transferencia de archivos en segundo plano, primero crea una copia cifrada de los archivos y la carga en el servidor C&C a través de BITS.
Una vez cargados los archivos, el malware elimina todos los archivos de registro y los sobrescribe con datos aleatorios para dificultar el análisis forense y evitar la recuperación de los archivos.
Como explican en el informe, no ha sido diseñado solo para robar datos de los sistemas infectados, también puede ser utilizado por los atacantes para descargar herramientas maliciosas y actualizar la configuración mediante el servidor C&C.
Más información:
Fuente: Hispasec

PRIVACIDAD. Aplicaciones de control del ciclo menstrual comparten información sexual muy sensible con Facebook

Información extremadamente sensible, como el uso de métodos anticonceptivos, periodicidad de la actividad sexual, posibles síntomas recurrentes durante distintas etapas del ciclo menstrual como calambres o inflamaciones, están siendo compartidas con Facebook, contraviniendo la normativa vigente sobre los derechos a la privacidad de los usuarios.
Una investigación de la organización sin ánimo de lucro Privacy International, afincada en Londres, revela cómo las aplicaciones de control del ciclo menstrual más descargadas en las distintas app stores están compartiendo con Facebook, contraviniendo la normativa europea vigente sobre privacidad, datos extremadamente sensibles acerca de la salud de los usuarios. Según la investigación, estas aplicaciones comparten directamente información sensible con la popular compañía, independientemente de si el usuario tiene o no cuenta de Facebook o si está conectado a un perfil.
Estas aplicaciones se utilizan comúnmente para controlar el ciclo menstrual, pero también para definir – tal y como las propias aplicaciones anuncian – cuál es el periodo más fértil del ciclo, por lo que sería posible incluso conocer si una persona está monitorizando esta información y, por tanto, inferir si está intentando un embarazo.
En aras de definir dicho periodo de máxima fertilidad, este tipo de aplicaciones demandan a la usuaria que facilite información muy sensible, como los días concretos en los que ha mantenido relaciones sexuales, fechas de los períodos menstruales, síntomas emocionales o físicos, etcétera.
La organización Privacy International descubrió, a través de un análisis de las peticiones que estas aplicaciones realizaban, que se estaba compartiendo información no sólo con Facebook sino con más servicios de terceros.
Fuente: thehackernews.com
La información es compartida a través del propio software de kit de desarrollo (SDK) de las aplicaciones y es utilizada, entre otras cosas, para generar ingresos a través del posterior desarrollo de anuncios personalizados en función de la información recogida.
El informe, que puede leerse en este enlace, muestra cómo el consentimiento para el uso de estos datos es extremadamente ambiguo, desinformado o no explícito. Desde un punto de vista jurídico, esto podría implicar la concurrencia de la figura legal del consentimiento viciado. La condición de consentimiento viciado puede resolverse con la nulidad del consentimiento, que invalidaría a su vez los términos del contrato y supondría la reparación civil a los usuarios damnificados y el inicio de un proceso penal si se determina la existencia de un delito contra el derecho a la privacidad.
«La confidencialidad se encuentra tan en el corazón de la deontología y la ética médicas que, tradicionalmente, los países que han legislado la protección de datos han legislado como un régimen aparte todo aquello que tenía que ver con datos relativos a la salud, por considerarlos datos especialmente sensibles que requerían un tratamiento especializado y más restrictivo.
Nuestra investigación pone de manifiesto que las aplicaciones auditadas están en graves apuros respecto de sus obligaciones legales para con la legislación europea (GDPR), especialmente en lo tocante a consentimiento y tansparencia»
Informe Técnico de International Privacy, al que aludíamos anteriomente en el enlace proporcionado.
Las aplicaciones que han estado compartiendo información sensible – algunas no han contestado a las preguntas de Privacy International- son las siguientes:
·        Maya – propiedad de la empresa india Plackal Tech, 5 millones de descargas.
·        MIA Fem: Ovulation Calculator – por la empresa chipriota Mobapp Development Limited, 1 millón de descargas.
·        My Period Tracker – propiedad de Linchpin Health, 1 millón de descargas
·        Ovulation Calculator: propiedad de PinkBird, más de 500.000 descargas
·        Mi Calendario: por Grupo Familia, con más de 1 millón de visitas.
Al respecto, Maya ha confirmado a Privacy International que su aplicación ya ha eliminado completamente las funcionalidades relativas al núcleo del SDK de Facebook y las analíticas. Además, han actualizado su versión de la aplicación a la 3.6.7.7, que ya está disponible en la app store. Por su parte Pink Bird ha declarado que investigarán si se están recopilando datos privados de usuarios y que, de ser así, los eliminarán inmediatamente.
Facebook se escuda en que sus términos exigen a cada desarrollador que interactúe con su plataforma, que sea extremadamente claro con el propósito y metodología en la recogida y tratamiento de datos de usuario. Recuerdan además que sus términos prohíben – pese a que han estado aprovechando la recolección de estos datos durante años – compartir información relativa a la salud o el estado financiero de los clientes.
Más información:
Fuente: Hispasec