25 de noviembre de 2013

ASSANGE. “Internet ha sido ocupada militarmente por EE UU y sus aliados”

Washington "opera como una organización pirata global en busca del tesoro, que es la información, para sobornar o explotar", dice el fundador de Wikileaks

Julian Assange, fundador de Wikileaks, denunció que "Internet ha sido ocupada militarmente por Estados Unidos y sus aliados anglosajones del Reino Unido, Australia y Nueva Zelanda", con el fin de dominar las sociedades "perdiendo la soberanía nacional y la libertad".

Assange considera que los gobiernos deben colocar sus propias redes de fibra óptica para que Internet "no sea utilizada por Estados Unidos como modo de ocupación del mundo de manera virtual y estratégica y que hoy opera como una organización pirata global en busca del tesoro, que es la información, para sobornar o explotar", dijo.

Assange hizo estas afirmaciones en videoconferencia desde la embajada de Ecuador en Londres, donde se encuentra asilado, durante el 3º Encuentro de Comunicación Audiovisual celebrado en la ciu argentina de Mar del Plata, cuyos asistentes aplaudieron la aparición en pantalla del periodista australiano.

Fuente: El País.com

TWITTER. Cifrado anti-espionaje para sus millones de twits

Twitter dice que ha puesto en marcha un cifrado más seguro para proteger las conexiones de sus usuarios de los fisgones. 

El micro-blogging informó que ha cambiado en "forward secrecy" para el tráfico hacia y desde su escritorio y sus sitios web para móviles y su interfaz de aplicación, lo que va más allá de la protección otorgada por HTTPS tradicional.

Específicamente, Twitter dice que ahora está utilizando como suites de cifrado la curva elíptica Diffie-Hellman (ECDHE)

En pocas palabras, se trata de frustrar a un tercero el descifrado de paquetes interceptados de la red, incluso si Twitter más adelante está presionado por secuestros de sus claves privadas. Esto se hace mediante la generación de una clave al azar por sesión que es compartida entre el navegador (o aplicación) y los servidores de Twitter sin ellos el intercambio de la clave en su totalidad, incluso cifrado.

Según Twitter, hasta en un 75% de su tráfico de Internet ya se ha establecido el uso ECDHE y el restante 25% proviene de clientes de terceros más antiguos que no soportan el protocolo de acuerdo de claves.

Jacob Hoffman-Andrews, ingeniero de seguridad de Twitter, sugiere que el uso de los protocolos de seguridad, como las introducidas por Twitter pronto debería convertirse en la norma para la protección de la seguridad en línea. Instó a otros desarrolladores de aplicaciones web para considerar la colocación de protecciones similares en sus propios sitios.

Fuente: The Register

GOOGLE. Corrige grave vulnerabilidad del reinicio de contraseñas de Gmail

Google ha corregido una vulnerabilidad en el sistema de reinicio de la contraseña de Gmail que podría permitir a un atacante engañar a cualquier usuario de tal forma que su contraseña fuera sustraída.
El problema, descubierto por Oren Hafif, ya ha sido corregido por Google y consiste en una inteligente y elaborada combinación de técnicas (XSS, CSRF, phishing dirigido.
Detalles de la vulnerabilidad
  • El fallo, descubierto por el investigador de seguridad, fue explotado mediante el envío de un correo electrónico falso que recuerda al usuario de Gmail que es el momento de restablecer su contraseña. Al hacer clic en el enlace envía al usuario a una página web que se presenta como una página de Google y solicita al usuario una contraseña nueva. Ese sitio pirata informático controlado también inicia una solicitud de ataque de falsificación de cross-site a través de XSS que los trucos de Google para que entreguen cookie de sesión de la víctima. 
  • El sitio falso puede cambiar al usuario a una página web segura Google, pero en este punto, el atacante habrá cosechado el nombre de usuario, contraseña nueva y la cookie de sesión de la cuenta. Una vez dentro, también conseguirían rienda suelta a cambiar las contraseñas de otros servicios asociados con esa dirección de correo electrónico Gmail. 
  • Hafif señala y destaca la rapidez de respuesta del equipo de seguridad de Google, que en tan solo 10 días tras su reporte ya había corregido el problema.
Más información:
Fuente: Hispasec

LINUX. Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa 16 nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, elevar sus privilegios en el sistema, acceder a información sensible o conseguir ejecutar código arbitrario.
Lista de CVEs relacionadas con las vulnerabilidades
  • La lista de CVEs implicadas son: CVE-2012-6542, CVE-2012-6545, CVE-2013-0343, CVE-2013-1928, CVE-2013-1929, CVE-2013-2164, CVE-2013-2234, CVE-2013-2851, CVE-2013-2888, CVE-2013-2889, CVE-2013-2892, CVE-2013-3231, CVE-2013-4345, CVE-2013-4387, CVE-2013-4591 y CVE-2013-4592.
  • Además se han solucionado múltiples fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network.
Más información:
Fuente: Hispasec

OFFICE 365. Incluirá función de correo electrónico cifrado

Durante el primer trimestre de 2014, Microsoft comenzará a ofrecer a los usuarios de Office 365 la posibilidad de enviar correo electrónico en que la comunicación esté totalmente cifrada. En otras palabras, sólo el destinatario podrá leer el correo electrónico.
Funcionamiento del nuevo servicio
  • Office 365 Message Encryption no dependerá de que el destinatario tenga la posibilidad de utilizar Office 365. Sin embargo, requerirá que este tenga una cuenta en Microsoft, o una identificación de Office 365, con el fin de poder realizar la autentificación.
  • El mensaje cifrado de correo electrónico podrá ser enviado a cualquier cuenta de correo electrónico pero, en realidad, no podrá ser recepcionado por todos los clientes de correo electrónico existentes. Esto se debe a que en lugar de enviar el mensaje cifrado directamente al usuario, el sistema enviará a éste un correo electrónico con un archivo HTML anexo.
  • Al hacer clic en el enlace, el archivo se abre en una ventana del navegador. El sistema presenta al usuario instrucciones para acceder a los contenidos cifrados. Por ahora, Microsoft no ha proporcionado detalles, aparte de informar que el mensaje cifrado será visualizado en el navegador, en un interfaz basado en la App Outlook Web. En este interfaz, el usuario podrá responder el mensaje o retransmitirlo. Las respuestas y los mensajes retransmitidos también tendrán carácter cifrado.
  • Para el caso de las empresas, Microsoft informa además que será posible personalizar el correo electrónico enviado mediante el portal de cifrado con logotipos y textos propios.
Disponibilidad del nuevo servicio
  • El servicio será ofrecido como una función gratuita para Office 365 Enterprise E3 y clientes de E4, y también para usuarios de Windows Azure Rights Management.
  • Office 365 Message Encryption también estará disponible para otros usuarios de Office 365, como un módulo de pago y tendrá compatibilidad interplataforma.
Fuente: Diario Tecológico

CORREO SEGURO. Alternativas web para cifrar o proteger nuestros e-mails.

Después del cierre de Lavabit,  aún quedan servicios web que nos permiten enviar correos electrónicos de forma privada legalmente. No son conocidos, pero sí existen varias alternativas para cifrar nuestros e-mails que vemos seguidamente.
HUSHMAIL
  • Hushmail es uno de los correos web cifrados más conocidos. Utiliza el protocolo HTTPS por defecto y cifra nuestros correos mediante algoritmos especificados en el estandar Open PGP. Para que los mensajes se cifren el usuario sólo tiene que recordar su contraseña/clave de cifrado.
  • Podemos tener una cuenta gratuita de Hushmail con 25 MB de espacio, o bien podemos optar por 1 o 10 GB de espacio por 34,99 o 49,98 dólares anuales. También tenemos la opción de utilizar nuestro propio dominio por 5,24 dólares por mes y usuario.
Sitio oficial | Hushmail  https://www.hushmail.com/

TOR MAIL
  • El servicio Tor no podía faltar: Tor Mail es una web que no sólo cifra nuestros mensajes, si no que además también nos concede un anonimato total. Es completamente gratuito, pero nos tenemos que instalar Tor para poder acceder a la página. Y habría que tener en cuenta que el gobierno estadounidense está bastante detrás del servicio.
Sitio oficial | Tor Mail   http://tormail.org/

S-MAIL
  • S-Mail velve al modelo de HushMail: un correo web que se encripta con claves de 128 bits generadas aleatoriamente, y además firmadas con una clave de verificación de 1024 bits. La clave de cifrado, adicionalmente, se cifra con otra clave de 2048 bits. Una persona que no tenga la clave de cifrado verá el correo como en la imagen superior.
  • Este servicio es gratuito, pero tiene bastantes limitaciones: 20 MB de espacio, 10 contactos en la agenda, 10 carpetas… podemos aumentar esos límites contratando un plan premium por 5 dólares mensuales o 13,5 dólares trimestrales.
Sitio oficial | S-Mail  http://www.s-mail.com/

TEMPINBOX,GUERRILLAMAIL,MAILINATOR. Opciones buzones desechables
  • Para casos de solo necesitar anonimato u no correos cifrados están la bandeja de entrada desechable. Tempinbox (http://tempinbox.com/), GuerrillaMail (http://tempinbox.com/) o Mailinator(http://tempinbox.com/) son ejemplos de servicios web que nos ofrecen este tipo de buzones de correo electrónico, que nos permiten enviar y recibir mensajes en direcciones anónimas que desaparecen al cabo de un tiempo o dadas ciertas circunstancias.
  • Se usan sobretodo para redirigir correos de SPAM y normalmente son gratuitos. Y claro, una vez el buzón desaparece, ya no queda rastro de sus correos.
MEGA, YAHOO, DARK MAIL. Las promesas del futuro:
  • Las noticias más recientes han hecho que las grandes compañías empiecen a reaccionar, y algunos han prometido más seguridad en sus servicios. Es el caso de Yahoo, que cifrará su Yahoo Mail después de la filtración que hizo la NSA en sus servidores.
  • También estamos al tanto de Dark Mail, el servicio de correo cifrado que ha anunciado el creador del ya caído Lavabit; y del servicio de correo protegido de Mega que tiene que formar parte de esa plataforma creada por Kim Dotcom. Son iniciativas que todavía están por salir, pero que ya nos dejan ver que la privacidad puede ser una ficha de juego importante en el futuro.
Fuente: Genbeta

FISGONES. China pone la antena para fisgar las lenguas extranjeras

Dialectos árabes, japoneses y regionales desde ahora serán accesibles para los departamentos de inteligencia de chinos
 Aparato de censura y la temieble vigilancia China es ahora aún más intimidante después de la introducción de nueva tecnología para rastrear las comunicaciones en los idiomas regionales distintos del mandarín (mandarín hablado en la mayor parte del país).

El sistema sin nombre fue desarrollado por el Centro de la Universidad Tsinghua de Imagen Inteligente y procesamiento de información del documento y es probable que sea dirigida a los alborotadores en regiones como el Tíbet y Xinjiang.

La tecnología permitirá a los fisgones cibernéticos locales, monitorear las conversaciones en todos los principales idiomas de las minorías étnicas en China, así como el árabe y el japonés, líder del proyecto Ding Xiaoqing dijo al diario South China Morning Post.

Instrumentos de vigilancia actuales empleados por grandes fuerzas de seguridad de Beijing al parecer sólo son capaces de hacer frente a una lengua en un momento y exigir al operador que hable ese idioma.

El nuevo sistema también es capaz de detectar mensajes basados en Internet que puedan evitar las tecnologías actuales snooping mediante la codificación en imágenes.

Fuente: The Register

TWITTER O FACEBOOK. Convocar manifestaciones por redes sociales puede salir caro

El gobierno tiene listo un Anteproyecto de Ley Orgánica de Seguridad Ciudadana que pone en peligro la libertad de expresión de los ciudadanos españoles. 
La nueva ley considera como una infracción muy grave la convocatoria de una protesta frente a cualquier institución del Estado si ésta no ha sido comunicada al gobierno previamente o si éste la ha prohibido. De esta forma un mensaje en Twitter o Facebook animando a otros a protestar frente al Congreso de los Diputados podría acarrear una sanción de hasta 600.000 euros.
Participar en este tipo de protestas seguirá siendo un delito —estén en dicho momento reunidos o no los diputados— pero el hecho de que se criminalice su difusión en redes sociales puede suponer un grave precedente para España.
Fuente: Genbeta

GOOGLE TRANSLATE. Renovación del diseño y traducción para conversaciones

La aplicación de Google Translate para Android se ha actualizado, incluyendo una traducción más rápida y con expresiones más sencillas, además de renovar el aspecto de la aplicación.
Detalles de la actualización
  • Basta pulsar el icono del micrófono para traducir conversaciones completas, e incorpora un soporte de gestos
  • A partir de ahora, Google Translate permite traducir conversaciones completas de un idioma a otro de una manera más rápida. Todo lo que se necesita es abrir la aplicación del traductor de Google y pulsar el icono del micrófono. Además, Google ha incorporado un soporte de gestos, así que con un simple giro de la pantalla se puede alternar entre los dos idiomas.
  • Por otro lado, otra de las novedades de la nueva versión de Google Translate es la inclusión de más soportes para traducir idiomas a través de la función de escritura a mano, lo que permite escribir las palabras que no se entiendan en el dispositivo en cualquier idioma y esperar que se traduzcan.
  • También se ha incorporado la opción de traducir a través de la cámara, lo que permite que el usuario haga una foto con el dispositivo de un texto escrito y destacar las palabras que se desean traducir.
La aplicación, como no podía ser de otra manera, nos está esperando la su instalación gratuita a través de Google Play.

Fuente: El Androide libre.com

MERCADO PIRATA. Los ciberdelicuentes prefieren datos personales por ser más lucrativos

Los precios en los mercados de cibercrimen están cayendo, pues los datos personales y credenciales de cuentas bancarias se pueden comprar cada vez más baratos en los mercados subterráneos de hackers, de acuerdo con un estudio realizado por Joe Stewart, director de investigación de malware Dell SecureWorks y el investigador independiente David Shear 
Detalles del estudio del mercado del cibercrimen:
  • Datos robados de tarjeta de crédito completa, junto con la correspondiente VBV (Verified by Visa) tienen un precio de 17 y 25 dólares (para la tarjeta emitida en el Reino Unido, Australia, Canadá, la UE y Asia).
  • Datos robados del expediente personal en su integridad en un individuo EE.UU. (con nombre completo, dirección, números de teléfono, direcciones de correo electrónico (con contraseñas), fecha de nacimiento, número de Seguro Social y uno o más de: información de la cuenta bancaria) costaría 25 dólares.
  • Tales expedientes - llamados fullz en foros subterráneos - se vendería por 30 ó 40 dólares para víctimas del Reino Unido, Australia, Canadá, la Unión Europea o Asia. Sólo la fecha de nacimiento de la misma persona puede venderse por 15 a 25. dólares
  • "Los hackers se han dado cuenta de que sólo tiene un número de tarjeta de crédito y el correspondiente código CVV (Card Verification Value-el número 3 o 4 dígitos en la propia tarjeta de crédito o débito) no siempre es suficiente para cumplir con los protocolos de seguridad de algunos minoristas . " 
  •  Los ciberdelicincuentes, también son capaces de comprar el nombre de usuario y contraseña de una cuenta bancaria con $ 70.000 a $ 150.000 por $ 300 o menos. 
  •  En foros de hacking también venden malware y servicios de hacking, así como la tarjeta de crédito y datos personales. Los lotes de 1.000 ordenadores infectados se pueden comprar por $ 20, con descuento a granel con lo que el precio de 10.000 PCs infectadas a $ 160. 
  •  "Una vez que los estafadores compran los ordenadores infectados por malware, que pueden hacer lo que quieran con las máquinas", Stewart y Shear explican. "Ellos pueden cosechar las credenciales financieras, infectarlos con ransomware fin de extorsionar a sus propietarios, o usarlos para formar una red de bots de spam para enviar spam malicioso en nombre de otros estafadores." 
  •  Stewart y Shear encontraron gran variedad de troyanos de acceso remoto (RAT) para la venta que van desde $ 50 a $ 250. La mayoría de las RAT fueron vendidos con un programa para que sea completamente indetectable (FUD) para el software de seguridad. A veces, esta característica cuesta unos 20 dólares extra. Compradores de Troyanos también podría pagar para que alguien cree un servidor de comando y control y posiblemente infectar a un objetivo para un coste adicional de $ 20 a $ 50. 
  •  Un pirateo informático avanzado Sweet Orange Exploit Kit - una herramienta para la distribución de software malicioso a través de ataques drive-by de descarga desde sitios web comprometidos - se puede alquilar a través de foros subterráneos de alrededor de $ 450 por semana o $ 1800 por mes. 
  •  El hackeo de un sitio web puede ser encargado a un precio de entre $ 100 a $ 300, dependiendo de la reputación de la piratería informática. Un anuncio para un pirata informático a sueldo notado por los investigadores dijo que no tomaría comisiones para introducirse en el gobierno o los sitios web militares. 
  •  Un ataque distribuido de denegación de servicio (DDoS) contra un sitio web dirigido costaría $ 100 por día, según los investigadores. Todos los piratas informáticos que proporcionan los ataques DDOS garantizado que el sitio web de destino se llaman fuera de línea. 
  •  El método de pago preferido por los muchos y variados servicios para la venta a través de los bazares de cibercrimen ha cambiado a BitCoin o transferencias de dinero de Western Union.
Conclusiones del estudio
 "Los tipos de servicios de piratas informáticos y los datos robados para vender en el underground de hackers han cambiado dramáticamente en los últimos años", Stewart y Shear concluyen. "La única diferencia notable es la caída en el precio de las credenciales de la cuenta bancaria en línea y la caída del precio de fullz o credenciales personales."
Fuente: The Register

Misterioso ataque de redireccionamiento del tráfico, que lo desvia por Bielorrusia e Islandia

Ingentes cantidades de tráfico de Internet está siendo desviado deliberadamente a través de ciertos lugares, entre ellos Bielorrusia e Islandia, y los expertos en seguridad temen que están siendo interceptados por ladrones o peor todavía, por los espías.

BGP (Border Gateway Protocol) es un protocolo de enrutamiento básico que traza las conexiones para el tráfico de Internet a fluir a través, del origen al destino. Tal como están las cosas, BGP no tiene seguridad incorporada. Los routers pueden aceptar rutas de conexión dudosas anunciados por los compañeros, los intercambios de Internet o proveedores de tránsito.

Rutas BGP de varios proveedores fueran secuestrados, y como consecuencia, una parte de su tráfico de Internet fue redirigidas a través de los ISP de Bielorrusia e Islandia. Tenemos datos de encaminamiento BGP que muestran el segundo a segundo la evolución de los 21 eventos de Belarús en febrero y mayo de 2013, y 17 eventos de Islandia en julio-agosto de 2013.

Tenemos medidas activas que verifican que durante el período en que las rutas BGP fueron secuestrados en cada caso, la redirección del tráfico se llevaba a cabo a través de los routers de Bielorrusia e Islandia. Estos hechos no están en duda, sino que están bien apoyados por los datos.

La firma de inteligencia de red Renesys advierte que las víctimas, incluidas las instituciones financieras, proveedores de VoIP, y los gobiernos han sido blanco de los ataques man-in-the-middle. Los procesos se reconocen como maliciosos , y, probablemente, se lograron al manipular las tablas de enrutamiento BGP.

Renesys concluye que estas rutas fueron secuestrados en múltiples ocasiones aún no está claro sobre el motivo de los ataques mucho menos quién podría estar detrás de ellos.

Fuente: The Register

Los smart TV de LG recolectan información de carpetas de la red local

Nuevo análisis revela grave intrusión de los televisores inteligentes de LG en la red local del usuario. LG, que al comienzo intentó eludir responsabilidades, anuncia que desistirá de la práctica.

Esta semana, un propietario de LG Smart TV denunciaba que los aparatos “llamaban se conectaban con LG” reportando información no sólo sobre sus programas favoritos, sino también sobre archivos de vídeo privados almacenados en memorias USB conectadas a su red local.

Estudiando el tema más en detalle, un bloguero ha detectado que su propio televisor LG reporta a la empresa los nombres de archivos intercambiados por otros PC y dispositivos conectados a la misma red local que el televisor.

La denuncia inicial fue hecha en Gran Bretaña, por lo que la autoridad británica de protección de datos, Information Commissioner’s Office (ICO), anunció la víspera que investigaría el tema.

La situación es problemática para LG en dos frentes. En primer lugar, la empresa no ha informado a los usuarios sobre el alcance de esta recolección de datos.

La segunda irregularidad es que la función ofrecida por LG, que permitiría desactivar la recolección de datos no tiene, en la práctica, efecto alguno.

La empresa en un principio intentó echar la culpa al distribuidor, pero después informó estar preparando una actualización del firmware para los modelos afectados. La actualización eliminará la funcionalidad del caso, procurando además que el sistema deje de recolectar datos cuando el usuario así lo decida.

Fuente: Diario Tecológico