9 de noviembre de 2014

PIRATERIA. Hackers presuntamente rusos logran acceder a la red de la Casa Blanca

La red interna de comunicaciones de la Casa Blanca ha sido víctima de un ataque informático por parte de intrusos que, según se barruntan los investigadores sobre el asunto, estarían respaldados por el gobierno ruso. La información ha sido filtrada por un oficial de la propia Casa Blanca que no ha querido facilitar su identidad.
Los investigadores sobre esta preocupante brecha de seguridad informática apuntan no al gobierno ruso pero sí a hackers que estarían trabajando para este. Habrían accedido hace varias semanas a la red interna de comunicaciones entre ordenadores de la residencia del presidente Barack Obama en un acto casi más propio de una película de Hollywood..
A diario dicha red es objeto de diversas tentativas de acceso no autorizado así como se alerta de posibles cyberamenazas, una de las cuales sí habría logrado su propósito, provocando incluso que varios de los ordenadores del complejo presidencial quedasen desconectados de la propia red interna.
No obstante los daños producidos por este ataque no habrían sido extremadamente graves, no se habría dañado la integridad de ninguno de los ordenadores ni sistemas aunque alguna información de la que no está clasificada como secreto si habría podido quedar accesible.
El FBI, el Servicio Secreto (que protege al presidente de los Estados Unidos de América) y la Agencia de Seguridad Nacional están llevando a cabo una investigación que se mantiene en secreto y de manera oficial no se va a facilitar información sobre la identidad del atacante ni sobre el alcance del mismo ni, por supuesto, sobre la información a la que se tuvo acceso.
Diversas empresas de seguridad informática han alertado en los últimos tiempos de campañas de cyberespionaje orquestadas por hackers rusos que se sospecha que trabajan a sueldo del gobierno de dicho país con objetivos entre los que se incluye la OTAN, el gobierno de Ukrania y determinados contratistas de defensa.
Más información
Fuente: The Inquirer

FBI. Cierra Silk Road 2 y detiene a su administrador

Hace algo más de un año el FBI clausuró la web “Silk Road”,  un portal diseñado exclusivamente para comprar y vender droga a través de la red Tor mediante pago previo con Bitcoin. Al poco del cierre apareció Silk Road 2, el sucesor del portal anterior cerrado por cibertráfico, cuyo fin era seguir ofreciendo el mismo servicio, sin embargo, un año más tarde el FBI ha actuado contra el nuevo portal.
Hace algunas horas se ha dado la orden de arresto contra Blake Benthall “Defcon” por ser el dueño de la plataforma Silk Road 2, el portal de ventas de drogas y sustancias ilegales de la Deep Web. Con más de 13.000 productos ilegales diferentes a la venta, este portal estaba dedicado a la venta de drogas, herramientas de piratería informática y documentos de identidad falsificados. El portal también estaba siendo usado para contratar sicarios, asesinos a sueldo y para el blanqueo de dinero.
El FBI se ha hecho también con todo lo relacionado con Silk Road 2, entre lo que destaca la base de datos de los usuarios, el dinero de las comisiones, el código completo de la web, la identificación de clientes, proveedores, moderadores y colaboradores y con toda la infraestructura utilizada de la que se espera sacar más información sobre toda la red de narcotráfico de la Deep Web.
El fallo del administrador por el cual ha podido ser identificado ha sido registrar el dominio de su web a de dirección de correo personal. Una vez identificado un agente se infiltró dentro de la plataforma hasta ganarse la confianza de Defcon y llegar a las zonas más privadas del portal. Una vez allí ya pudo obtener toda la información necesaria para la identificación y la posterior detención.
Una vez más se demuestra que aunque trabajemos en la red Tor no somos anónimos al 100%. Al igual que ocurrió con Silk Road 1, el segundo portal ha sido cerrado de nuevo asestando un duro golpe contra la venta ilegal de estupefacientes. ¿Aparecerá ahora un Silk Road 3? Probablemente, pero dicho mercado parece estar ya acabado.
Fuente: Help Net Security

¿ BANCARROTA?. Exabogado de la NSA asegura que el cifrado arruinará a Apple y Google

Siguen las tensiones entre el gobierno estadounidense y las empresas Apple y Google, tras su decisión por un cifrado que garantice la privacidad de los usuarios. Ahora es un exabogado de la NSA el que plantea una posible situación de ruina para ellas.
El gobierno de EEUU continúa con una postura agresiva frente a las empresas de tecnología, a pesar de las buenas palabras del director de la NSA, Michael Rogers, hace unos días. Bajo promesas de colaboración y “amabilidad” por parte del jefe de la NSA, vemos en contraposición continuas declaraciones por parte de otras agencias y altos cargos en EEUU.
Uno de los más críticos ha sido el director del FBI, James Comey, junto con el Fiscal General de EEUU, Eric Holder. Ambos avisan de las graves consecuencias que podría tener para la seguridad nacional y la lucha contra la delincuencia, el que los datos de los dispositivos móviles no puedan ser accesibles por el gobierno al estar cifrados con claves que sólo poseen los usuarios.
Pero un exabogado de la NSA Stewart Baker, ha llegado más lejos todavía. En unas declaraciones en The Guardian ,que parecen estar a medias entre una amenaza y un absurdo sin sentido, ha indicado que el cifrado en “un mal modelo de negocio”, y que de seguir adelante, tanto Apple como Google podrían terminar en una situación tan comprometida como la de BlackBerry.
En dichas declaraciones hace paralelismos absurdos sobre seguridad y la segunda guerra mundial, así como enfatizar el uso de los datos de los usuarios como parte de una ciberguerra, en la que parece que EEUU tiene que ostentar el poder absoluto para salvaguardar la paz.
Resulta curioso que se presente el modelo de seguridad y cifrado de BlackBerry como algo que no se ha de seguir, cuando de hecho el propio gobierno de EEUU ha confiado en dicha compañía durante años para sus terminales móviles de seguridad. Hasta el presidente Obama sigue usando BlackBerry, lo que muestra que quizás contar con un cifrado como el que usa el propio gobierno, que parece ahora enfadado porque no se le deja espiar a gusto, quizás es la mejor opción.
Fuente: ITespresso.es

FACEBOOK. Habilita botón para hacer donaciones a instituciones que combaten ébola

Facebook Inc anunció que sus usuarios tendrán ahora la opción de donar dinero de forma directa a varias organizaciones benéficas de lucha contra el ébola, gracias a un botón situado en la parte superior de su servicio de noticias.
Los usuarios de Facebook pueden donar desde hoy a tres instituciones -International Medical Corps, la Federación Internacional de Sociedades de la Cruz Roja y la Media Luna Roja, y Save the Children-, indicó el jueves la compañía en su página web. (bit.ly/1pqeRUq)
La red social también decidió donar 100 terminales para proveer internet y acceso a llamadas de voz para los trabajadores sanitarios desplegados en países afectados por el virus, como Guinea, Liberia y Sierra Leona.
El presidente ejecutivo, Mark Zuckerberg, dijo en octubre que donará junto a su esposa 25 millones de dólares a la Fundación de los Centros para el Control y la Prevención de Enfermedades de Estados Unidos para combatir el ébola.
El brote de ébola ha provocado ya la muerte de unas 5.000 personas en África Occidental, y en Estados Unidos han sido tratados nueve casos desde agosto.
Fuente: Reuters

AMENAZAS. La mayor contra la seguridad móvil y BYOD es el descuido de los empleados

Según una encuesta de Check Point sobre seguridad móvil, el 82% de los profesionales de seguridad espera que el número de incidentes de seguridad móvil se incremente en 2015.
Basándose en una encuesta a más de 700 profesionales de TI, el informe destaca la constante preocupación por la facilidad de transporte de información corporativa confidencial fuera de los entornos administrados y detalla las amenazas potenciales para la seguridad móvil, debidas a la falta de concienciación y formación sobre seguridad de los empleados.
Principales conclusiones del informe
  • La gran amenaza reside dentro de las organizaciones- El 87% de los profesionales encuestados consideraba que la mayor amenaza para la seguridad de los dispositivos móviles era el descuido de los empleados. Cerca de dos tercios de los consultados consideraban que las recientes brechas o violaciones de datos de clientes eran probablemente debidas a la falta de cuidado de los empleados.
  • Proliferación de uso de dispositivos móviles personales en las redes corporativas- Pese a situar a los empleados como el eslabón más débil en las empresas, el 91% de los profesionales TI afirmaba haber registrado un aumento de dispositivos móviles personales en sus redes en los dos últimos años. En 2014, el 56% de los encuestados gestionaba información corporativa en los dispositivos personales de los empleados, frente al 37% que se registró en 2013.
  • Se espera un aumento de los incidentes de seguridad móvil- 2015 se está conformando como un año de alto riesgo, según los propios encuestados. De los profesionales consultados en este año, el 82% espera que el número de incidentes de seguridad crezca en 2015. Además, casi la totalidad de los encuestados (98%) expresaron su preocupación acerca del impacto de los incidentes de seguridad móvil, donde la principal inquietud se halla en las posibles pérdidas robos de información.
  • El coste de los incidentes de seguridad siguen aumentando- En 2014 se registró un aumento en los costes asociados a la resolución de incidentes de seguridad móvil. De los ejecutivos de TI encuestados, un 42% señaló que los incidentes de seguridad móvil cuestan a sus organizaciones más de 250.000 dólares.
  • Android sigue siendo percibida como la plataforma de mayores riesgos- Los riesgos para Android aumentaron del 49% en 2013 al 64% en este año, en la percepción como plataforma que sufre mayores riesgos –comparada con Apple, Windows Mobile y Blackberry.
  • “La encuesta de Seguridad Móvil 2014 deja patente que los profesionales de TI no sólo no le ven el fin a las amenazas para la seguridad móvil, sino que, de hecho, se están preparando para un aumento de estos incidentes en 2015”, ha destacado Mario García, director general de Check Point Iberia. “Hoy presentamos Capsule, la solución que precisamente ayudará a la organizaciones a resolver todos estos desafíos, ya que ofrece una seguridad completa y transparente, independientemente de donde se encuentren los datos o donde vaya el dispositivo”.
  • El Informe de Seguridad Móvil 2014 coincide con el lanzamiento de Check Point Capsule, la única solución móvil que ofrece una protección sin precedentes para los datos empresariales y los dispositivos móviles en cualquier lugar. Check Point Capsule proporciona una seguridad multicapa que protege los datos corporativos en los dispositivos móviles a través de un acceso seguro, evita las fugas de datos internas y externas mediante una seguridad anexa que viaja con el propio documento Además, extiende la política de seguridad corporativa para proteger los dispositivos frente a las amenazas cuando se hallan fuera de la red corporativa.
Más información
Fuente: Diarioti.com 

MICROSOFT. Publicará 16 boletines de seguridad el próximo martes

Como cada mes, Microsoft ha revelado un adelanto de los boletines de seguridad que serán publicados dentro de su ciclo de actualizaciones, el próximo martes 11 de noviembre. En esta ocasión, Microsoft publicará 16 boletines (del MS14-063 al MS14-078) que corregirán múltiples vulnerabilidades en diversos sistemas.
 Hay que remontarse a abril de 2011, cuando se publicaron 17 boletines, para encontrar un mes con más boletines de seguridad. Entre los 16 boletines que se publicarán, cinco están calificados como críticos y corrigen vulnerabilidades que pueden dar lugar a la ejecución remota de código en Internet Explorer y sistemas Windows. Nueve boletines serán de carácter importante y los dos boletines restantes de nivel moderado.
 Las actualizaciones corregirán vulnerabilidades en sistemas Microsoft Windows, Internet Explorer, Office, Exchange, .NET Framework, Internet Information Services (IIS), Remote Desktop Protocol (RDP), Active Directory Federation Services (ADFS), Input Method Editor (IME) (japonés) y el controlador modo kernel (Kernel Mode Driver, KMD).
 Cuatro de las actualizaciones críticas también afectan a Windows 10 Technical Preview. Por la información facilitada por Microsoft sabemos que hay dos actualizaciones para Office, aunque no se confirma si publicará la solución final para el 0-day en Microsoft OLE descubierto recientemente.
 Como es habitual, Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.
Más información:
Fuente:Hispasec

PHISHING. Por qué es rentable y cómo funciona

Según Kaspersky Lab, los ataques phishing son la forma de cibercrimen más importante del siglo XXI. Ante esta grave amenaza, Kaspersky se plantea: ¿por qué no sabemos protegernos de ella?
Por qué funciona el phishing
  • Hay muchas formas de aprovecharse de la confianza de los usuarios. Probablemente, la principal sea la gran capacidad que tienen algunos criminales para engañar a los usuarios. Generalmente, se utilizan ofertas seductoras de distintas cosas. Algo que, por desgracia, es muy eficaz, ya que las personas se sienten atraídas por las grandes oportunidades. Los estafadores también se aprovechan del revuelo que generan ciertas noticias o acontecimientos.
  • Para llegar a los usuarios que aprendieron de pequeños la lección de no fiarse de los desconocidos, los ciberdelincuentes utilizan otra herramienta muy efectiva: las redes sociales. Según una investigación realizada por Kaspersky Lab, en 2013 más del 35% de los ataques phishing iban dirigidos a usuarios de redes sociales. La herramienta antiphishing de los productos de Kaspersky detectó más de 600 millones de accesos a páginas phishing que se suplantaban redes sociales conocidas. Un 22% de los casos eran páginas falsas de Facebook.
  • Otro método que los delincuentes utilizan mucho para engañar a los usuarios y que hagan clic en algún enlace es generar urgencia y pánico. Muchas veces, para asegurarse de que el ataque va a tener éxito, los criminales utilizan tácticas de “vishing” (phishing por voz). No todo el mundo es capaz de pensar fríamente en este tipo de situaciones críticas, en las que un supuesto representante de un banco te solicita tu número de tarjeta de crédito para evitar que tu cuenta sea bloqueada.
El phishing evoluciona constantemente
  • Una de las principales razones por las que estos ataques son tan eficientes, se debe a la constante evolución y sofisticación de las técnicas y herramientas del phishing.
  • Es muy difícil distinguir visualmente las páginas web falsas de las originales. Muchas de ellas tienen, incluso, URLs muy similares y utilizan conexiones seguras con certificados HTTPS auténticos. Asimismo, según Kaspersky Lab el phishing en teléfonos móviles es cada vez más común, ya que las características técnicas de los smartphones y tablets (las dimensiones de las pantallas, por ejemplo), hacen que sea aún más difícil distinguir las páginas reales de las falsas.
  • La popularidad del phishing no va a desaparecer, ya que es uno de los ataques más lucrativos que existen. Las herramientas utilizadas para los ataques phishing son muy accesibles y su capacidad de alcance es enorme, sobre todo en redes sociales. Asimismo, no requiere mucho esfuerzo por parte de los criminales, ya que la mayoría de las acciones se hacen de forma automatizada.
¿Cómo evitar el phishing, según Kaspersky Lab?
  • Use el sentido común al navegar por la red.
  • Mantenga la calma y no se deje provocar por nadie, algo muy común en los casos tanto de estafas como de vishing.
  • Preste atención a los enlaces que recibe por mail o las redes sociales y fíjese en las páginas web a las que estos dirigen.
  • Si recibe un enlace sospechoso, de un amigo o conocido, pregúntele si fue él quien lo envió.
  • Si se encuentra frente a un ataque vishing (por teléfono), recuerde que ningún representante de un banco le insistirá para que le diga cuál es el número de su tarjeta de crédito.
  • Lo ideal es evitar acceder a páginas web a través de enlaces. Lo mejor es que escriba el nombre del sitio que quiere visitar a través de la barra de direcciones del navegador.
  • Mantenga su antivirus siempre actualizado, especialmente si éste cuenta con herramientas antiphishing. Para poder combatir esta amenaza, la herramienta antiphishing de Kaspersky Lab evalúa cada página a la que accede y la compara con más de 200 criterios típicos de páginas phishing.
Fuente: Diarioti.com 

NAVEGADORES MÓVILES . ¿Pero son seguros y privados?

Al no estar implantado las tarifas planas de datos para móviles, debemos cuidarnos de no sobrepasar nuestro consumo. Una alternativa es usar navegadores que comprimen los datos antes de que lleguen al dispositivo de destino.
El funcionamiento es sencillo. Digamos que quiere leer la prensa (elpaís.com) en su móvil. Si tienes la compresión de datos activada en su móvil, tu navegador (pongamos que es Opera) hará la petición no a "elpais.com", sino a los servidores de Opera Turbo. Estos serán los que pedirán a elpais.com los datos de la web, y los comprimirán antes de enviárselos a tu móvil.
¿En qué consiste esa compresión?
  • Depende, pero suele ser comprimir las imágenes para que ocupen menos espacio, eliminar código innecesario, modificarlo para que ocupe menos caracteres... En el caso de Google, también usan el protocolo SPDY para conectarse con el proxy, disminuyendo todavía más el uso de datos en conexiones poco útiles. No es raro ver promesas de un ahorro del 50% de tus datos gracias a estas características.
  • Independientemente de si merecen la pena o no, hay una duda que se nos puede plantear sobre estos servicios. ¿Cómo de seguros son? ¿Respetan nuestra privacidad? ¿Somos más o menos vulnerables si los usamos?
Más seguridad, ¿y menos privacidad?
  • Se da una paradoja curiosa con estos servidores y es que podríamos considerarlos más seguros que navegar sin ellos. La razón es sencilla: las conexiones al proxy que comprime sus datos se hacen a través de conexiones seguras, mientras que si no lo usases se harían en texto plano.
  • ¿Qué quiere decir eso? Que, por ejemplo, si está en una red WiFi abierta nadie podría ver a qué sitios se está conectando, porque todas las conexiones pasan a través de ese servidor proxy seguro en lugar de ir directas sin cifrar a la web de destino.
  • Y aunque es cierto que la conexión del proxy a la web que quieres visitar se hace sin cifrar, es más difícil que alguien sea capaz de interceptarla y modificarla sin que nadie se dé cuenta.
  • Opera fue de los primeros en ofrecer compresión de datos, aunque fue en el ordenador con Opera Turbo.
  • Por otra parte, estos servidores también suelen incorporar medidas extra de seguridad (por ejemplo, navegación segura en Chrome) que evitan ataques de phishing o similares.
La pregunta importante es si respetan la privacidad.
  • Parece claro que estos servicios mejoran tu seguridad. Si hacen lo mismo con tu privacidad es algo mucho más dudoso
  • Quedan fuera de toda duda las conexiones seguras, que siempre van directas a su destino. Esto es, si te conectas a tu banco a través de HTTPS, la conexión no pasa por el servidor de compresión y tus datos son totalmente privados.
  • El caso de las conexiones sin cifrar es más dudoso. Si de quien no se fía es de su proveedor de Internet, el hecho de que se cifren las conexiones te protege frente a posibles intrusiones. Resulta muy difícil bloquear las páginas a las que se conecta y registrarlas si se están descargando a través de un servidor intermedio y con conexión segura.
  • Pero por otra parte, el usar estos servicios de compresión centralizan su navegación. Opera Turbo, por ejemplo, menciona en su web que guardan tu IP, páginas que visitas y hora a la que lo haces durante un tiempo máximo de seis meses. Y eso si nos fiamos de que efectivamente no guardan más datos: ese servidor ve todo lo que envías y recibes, incluyendo cookies, correos, contraseñas - si no las envía por HTTPS, esto es -, historial de visitas...
  • Esos datos podrían identificarle, y no sólo servirían a la empresa que te esté dando el servicio de compresión sino también a las autoridades que puedan pedir esa información. No es una posibilidad remota si tenemos en cuenta las filtraciones de la NSA.
Fuente: Genbeta.com

Genaralización de ataques de colisión MD5, demostrando ineficacia del algoritmo

Existen varias formas de comprobar la integridad de un archivo. Una de ellas, y muy utilizada en la red es el cálculo de códigos MD5. Si un archivo ha sido modificado o está mal descargado el MD5 no debería ser idéntico al del archivo original, sin embargo, parece que este algoritmo no ofrece tanta integridad como debería.
En el año 2007 un investigador llamado Nat McHugh encontró una vulnerabilidad muy grave en el hash MD5. A partir de dos imágenes totalmente diferentes sacadas de Internet consiguió que gracias a un ordenador en pocas horas se computara un código idéntico MD5 en ambas imágenes. Esto fue posible atacando los principales punto de inflexión de este tipo de hash y añadiendo una cadena binaria al final del archivo para conseguir engañar al código.
Una vez se calculó este tipo de hash McHugh fue capaz de enviar a través de Internet una imagen suplantada sin que el sistema de destino se diera cuenta de ello. En el siguiente enlace el investigador explica cómo calcular la parte de código binaria que debemos añadir. Resumiendo el proceso, para que el código MD5 sea el mismo ambos archivos deben tener la misma cantidad de bits y se debe saber con certeza qué bits exactos se deben añadir manualmente para ello. Una vez que ambos archivos tienen los mismos bits simplemente se debe realizar un ataque de fuerza bruta para buscar dos partes idénticas en los archivos para generar dicho código.
Realizar estas configuraciones era un proceso bastante costoso que requería de una supercomputadora para no tardar demasiado tiempo en calcular los algoritmos necesarios, sin embargo, la tecnología ha avanzado enormemente en estos 7 años, y ahora este tipo de ataques está al alcance de cualquiera. Se ha podido demostrar cómo en un sistema Linux se ha podido automatizar todo el proceso mediante un script de forma que en menos de 10 horas y con un coste de 50 céntimos de euro un usuario convencional podría generar un código MD5 idéntico a otro, pudiendo engañar a cualquier sistema con que un fichero está íntegro cuando en realidad no es así.
Este tipo de ataques se denominan colisiones MD5 y demuestra que dicho código es débil, inseguro y no recomendado como capa de seguridad para usos prácticos.
Fuente: Seguridad Unam

SPAM. Correo basura Banco de Santander anuncia "suspensión permanente de cuenta”

En esta ocasión, se notifica al usuario por medio de un correo falso de una suspensión indefinida en el servicio de banca en línea del Banco de Santander si no se comprueban unos datos en menos de 24 horas.
Detalle del SPAM 
  • A pesar de que la ingeniería social en este tipo de correos suele estar bastante bien cuidada, la verdad es que en esta ocasión desde un primer momento parece raro todo lo relacionado con este correo. En primer lugar hay que decir que el asunto es un número que se encuentra generado de forma aleatoria. Pero donde se puede ver de verdad que no es un correo auténtico es en el cuerpo. Además de las numerosas faltas de ortografía existentes, se puede ver como se ha utilizado algún tipo de traductor, existiendo bastantes incoherencias y frases que carecen de sentido.
  • Intentando entender lo que pone en el correo, al usuario se le avisa de un problema que ha sido detectado en su cuenta y que ha obligado a suspenderla de forma momentánea, advirtiendo al usuario que si no ha revisado los datos de acceso a la cuenta en menos de 24 horas esta será suspendida de forma permanente.
Objetivo, el robo de credenciales de acceso a portal web del Banco de Santander
  • Si la tónica en el correo han sido la falta de coherencia en el texto y la gran cantidad de faltas de ortografía la página web que es adjuntada no es una excepción. Al usuario se le remite a una web para tratar de resolver el problema que ha aparecido. La página imita ser una perteneciente al dominio de la entidad pero dista mucho de la auténtica, sobre todo de la versión que poseen los clientes españoles, apareciendo únicamente dos cuadros de texto en los que el usuario deberá introducir las credenciales si quiere resolver el problema.
  • Sin embargo, una vez mas los ciberdelincuentes buscan que el usuario acepte el envío para robar los datos de acceso y así proceder al misno al robo de la cuenta y utilizarla, otra cosa muy distinta es que logren realizar alguna transacción, lo cual parece bastante complicado.
Fuente: Redeszone.net

CISCO SMALL BUSINESS RV. Múltiples vulnerabilidades en los routers de la serie

 Cisco ha liberado actualizaciones de firmware que corrigen diferentes vulnerabilidades en sus routers serie RV.  Las actualizaciones se han catalogado de Importancia:4 - Alta
Recursos afectados
1)   Cisco RV120W Wireless-N VPN Firewall
2)   Cisco RV180 VPN Router
3)   Cisco RV180W Wireless-N Multifunction VPN Router
4)   Cisco RV220W Wireless Network Security Firewall
Detalle e Impacto de las vulnerabilidades subsanadas
  • Inyección de comandos.- Enviando peticiones HTTP manipuladas, un atacante sería capaz de ejecutar comandos con privilegios root, debido a una validación incorrecta de la entrada de datos.
  • HTTP Referer header.- Debido a una insuficiente protección contra CSRF, un atacante podría persuadir a un usuario para utilizar un enlace malintencionado y así realizar acciones administrativas.
  • Carga de archivos insegura.- Un atacante remoto sin autenticación sería capaz de cargar archivos a rutas de su elección enviando peticiones HTTP manipuladas.
Recomendación
 Actualizar al firmware 1.0.4.14
Más información
Fuente: INCIBE

WIRELURKER. Nueva amenaza para iOS y OS X

Palo Alto Networks ha descubierto una nueva familia de malware para Apple OS X y dispositivos iOS, bautizada como WireLurker.
 WireLurker se ha extendido originalmente a través de Maiyadi (http://app.maiyadi.com), una tienda de aplicaciones China no oficial. El sitio Maiyadi es un portal chino de noticias y recursos relacionados con Apple. La tienda de aplicaciones Maiyadi es un sitio conocido por albergar aplicaciones para Mac, iPhone e iPad pirateadas. En los pasados seis meses, se han detectado 467 aplicaciones infectas que se han descargado un total de 356.104 veces, lo que implica miles de usuarios infectados.
 WireLurker infecta sistemas OS X y se queda a la espera de que se conecte un dispositivo iOS. Momento en el que instalará aplicaciones de terceros o generará de forma automática aplicaciones maliciosas en el dispositivo conectado, independientemente de si tiene jailbreak o no. Cualquier dispositivo iOS que se conecte a un sistema OS X infectado, también quedará infectado. Esta es la razón del nombre "Wire Lurker" ("fisgón de cable").
 Según Palo Alto Networks WireLurker, para evitar la ingeniería inversa este malware exhibe una estructura de código compleja, múltiples versiones de componentes, ocultación de archivos, ofuscación de código y cifrado personalizado.
 Este es el primer malware que automatiza la generación de aplicaciones iOS maliciosas, a través de reemplazar el archivo binario. También es el primer malware conocido que puede infectar aplicaciones iOS instaladas en un dispositivo de forma similar a la de un virus tradicional.
 Como no podía ser de otra forma, WireLurker es capaz de robar una variedad de información de los dispositivos móviles infectados y pide regularmente actualizaciones desde un centro de comando y control de los atacantes. Este malware está en desarrollo activo y el objetivo último de su creador no es todavía claro. En cualquier momento puede recibir una actualización que cambie su forma de actuación en los dispositivos infectados.
 No existe una única versión de WireLurker, desde el 30 de abril al 17 de octubre de 2014 se han detectado tres versiones distintas de WireLurker (A, B y C). Cada una de las versiones ha significado una evolución y nuevas funcionalidades. Mientras que la primera versión no descargaba ninguna aplicación, la versión B descargaba dos aplicaciones: "lszr2" (un juego para iOS) y "pphelper" (un cliente de una tienda de aplicaciones iOS no oficial). Por su parte, WireLurker.C descarga una aplicación "7b9e685e89b8c7e11f554b05cdd6819a" (un lector de comics). Los nombres mostrados en el teléfono son todos en caracteres chinos.
 WireLurker troyaniza aplicaciones OS X e iOS mediante el reemplazo de archivos ejecutables reempaquetados. Esta técnica es simple de implementar y efectiva, por lo que seguramente nuevo malware para OS X e iOS empleará esta técnica en el futuro. De forma similar a la del aumento de APKs maliciosas reempaquetadas por los creadores de malware.
 El ataque de dispositivos iOS sin jailbreak a través de conexiones USB, no es nuevo, ya existían pruebas de concepto disponibles desde hace algo más de un año. Ni siquiera se trata del primer malware en emplear esta técnica, en junio de 2014 los laboratorios Kaspersky descubrieron una versión iOS del spyware Mekie que usaba conexiones USB en Windows y OS X para infectar dispositivos iOS (con  jailbreak). WireLurker se trata de la segunda familia que usa esta estrategia para infectar los dispositivos, sin embargo la diferencia entre Mekie y WireLurker es que el nuevo malware también infecta dispositivos sin jailbreak.
 Palo Alto Networks destaca el incremento de malware destinado a atacar dispositivos iOS con jailbreak, durante 2014 se han detectado seis nuevas familias contra dispositivos con esta modificación.
 Pero la gran novedad de WireLurker está en la infección a dispositivos sin jailbreak. Para ello emplea un perfil de aprovisionamiento empresarial, característica destinada a la distribución de aplicaciones creadas por empresas para su uso interno. El uso de aprovisionamiento empresarial explica cómo se pueden instalar aplicaciones en dispositivos iOS sin jailbreak. Sin embargo, al ejecutar por primera vez la aplicación infectada en iOS, se presenta un diálogo que solicita confirmación para abrir una aplicación de terceros. Si el usuario opta por continuar, se instalará un perfil de aprovisionamiento empresarial de terceras partes y WireLurker habrá comprometido con éxito ese dispositivo sin jailbreak. Por lo demás, la aplicación infectada funcionará de igual forma que la aplicación legítima.
 Palo Alto Networks confirma que ha enviado cinco archivos diferentes de WireLurker (de las tres versiones detectadas) a VirusTotal, sin embargo ninguno de los 55 antivirus ha detectado este nuevo malware.
Para la detección, los usuarios de Mac e iOS deben revisar los procesos y archivos en sus ordenadores Mac y dispositivos iOS. Palo Alto Networks ofrece un programa en Python para sistemas OS X para detectar archivos conocidos como maliciosos y sospechosos, así como las aplicaciones que muestran características de infección.
 Esta herramienta está disponible desde https://github.com/PaloAltoNetworks-BD/WireLurkerDetector
Más información:
Fuente: Hispasec

DRIDEX. ¿Vuelven los virus de macro?

Parecía que se habían acabado, un resquicio del pasado, pero los atacantes buscan nuevas (o antiguas) formas de engañar a los usuarios para lograr su objetivo. En esta ocasión, un virus en forma de documento Word con macros es el encargado de infectar el sistema con un troyano bancario.
 Seguramente muchos de los usuarios actuales nunca hayan visto ni oído hablar de los virus de macro, y posiblemente de ese desconocimiento se quiere aprovechar este virus. Los virus de macro tuvieron su época dorada hace ya más de 10 años (finales de los 90 y principios de los 2000). Quizás el más recordado de todos sea el famoso "Love Letter". Este tipo de virus se aprovechan de las capacidades del lenguaje de macros de diferentes productos (principalmente Word y Excel) para realizar sus acciones maliciosas, anteriormente tan solo se reproducían e infectaban otros sistemas, pero su carga maliciosa puede ser de cualquier tipo.
 El nuevo malware, descubierto por Trend Micro ha sido bautizado como Dridex, al considerarlo como el sucesor del troyano bancario Cridex, ya conocido desde hace unos años. Tanto Cridex y Dridex están destinados al robo de información personal, especialmente datos bancarios, nada nuevo.
 Sin embargo, mientras el malware Cridex es directamente uno de los "payloads" asociados al kit de ataque. Dridex, por el contrario, usa spam para distribuir documentos Word que contienen código macro malicioso. Es esa macro la encargada de descargar Dridex en el sistema afectado.
 Esa es la novedad de este malware, se emplea un documento Word con macros para realizar la descarga del malware en el sistema del usuario.
La infección
  •  El primer eslabón en la cadena de infección es la recepción de un mensaje de spam. Los correos están supuestamente enviados por empresas legítimas, e incluyen un adjunto que dice ser facturas o documentos contables.
  •  El documento Word adjunto contiene la macro maliciosa. El usuario debe abrir el archivo y verá un documento en blanco. También existen adjuntos en los que se le indica al usuario que el contenido no será visible hasta que active las macros. Generalmente, por defecto, Word tiene desactivada la ejecución de macros. Por lo que mostrará una indicación para activar dicha función. Una vez más la ingeniería social entra en acción, el usuario desapercibido puede entender que el contenido del archivo no será visible a menos que se active la función de macros. Pero si el usuario activa las macros, se producirá la descarga del malware Dridex (concretamente TSPY_DRIDEX.WQJ).
  •  Una vez se ejecuta, el malware actúa de una forma tradicional, como cualquier otro troyano bancario. Monitoriza la actividad relacionada con una serie de bancos online, principalmente europeos. Algunos de sus bancos objetivos son: Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank o Santander. Una vez el usuario accede a alguno de estos bancos online, procede al robo de información de a través de diferentes métodos, como la grabación de formularios, capturas de pantalla o inyecciones en el sitio.
Más información:
Fuente: Hispasec

CISCO UNIFIED COMMUNICATIONS MANAGER. Vulnerabilidad tipo Cross-Site scripting

Cisco ha confirmado una vulnerabilidad en Cisco Unified Communications Manager (versiones 8.6 y 9.1) que podría permitir a un atacante realizar ataques de cross-site scripting.
 La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Communications Manager es el componente de procesamiento de llamadas de la solución de telefonía IP de Cisco (Cisco IP Telephony).
Recursos afectados
  • Se ven afectadas las versiones 8.6 Base, .1, .2 y 9.1(2.10000.28) Base.
Detalle e Impacto de la vulnerabilidad
  • El problema, con CVE-2014-3372, reside en la interfaz de informes CCM del servidor Cisco Unified Communications Manager Server debido a una validación inadecuada de determinados parámetros pasados a través de métodos HTTP GET o POST. Esto podría permitir a un atacante remoto realizar ataques de cross-site scripting. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Recomendación
  • Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte.
Más información:
Cisco Unified Communications Manager Reports Interface Reflected Cross-Site Scripting Vulnerability
Fuente: Hispasec

HP LASERJET CM3530. Vulnerabilidad remota en esas impresoras

HP ha alertado de una nueva vulnerabilidad presente en las impresoras HP LaserJet CM3530 que permitiría a un atacante remoto acceder a datos en el dispositivo o provocar denegaciones de servicio.
 HP no ha facilitado detalles del problema, que afecta a los modelos con número CC519A o CC520A y firmware anterior a la versión v.53.236.2 de las impresoras multifunción HP LaserJet CM3530. La vulnerabilidad tiene asignado el CVE-2014-7875 y un CVSS de 9, y podría permitir a atacantes remotos el acceso y modificación de datos e información en los dispositivos afectados o provocar denegaciones de servicio.
Recomendación
  • HP ha facilitado un firmare actualizado, disponible desde ,  http://www.hp.com/ ,  en la sección "Drivers & Software"
Más información
Fuente: Hispasec

OS X YOSEMITE. Descuibierta grave vulnerabilidad

Anunciada nueva vulnerabilidad que afecta a la última versión del sistema operativo de Apple OS X Yosemite (y versiones anteriores), que podría permitir a usuarios sin privilegios conseguir permisos de administración en los sistemas afectados.
 El problema ha sido descubierto y anunciado por el investigador sueco Emil Kvarnhammar que siguiendo la actual moda de bautizar las nuevas vulnerabilidades (Poodle, Heartbleed, Shellshock…) le ha dado el nombre de "RootPipe".
 Tras el contacto inicial de Emil con Apple para informar de la vulnerabilidad solo obtuvo silencio por parte de la compañía. Pero después Apple solicitó más información y pudo comprobar que el problema era real, por lo que pidió a Emil y TrueSec (su empresa) que no revelaran ningún detalle hasta mediados de enero de 2015. Lo que podría indicar que no habrá una corrección a este problema hasta esa fecha.
 "El acuerdo actual con Apple es publicar todos los detalles a mediados de enero de 2015. Esto puede parecer una larga espera, pero el tiempo vuela. Es importante que tengan tiempo para parchear y que el parche este disponible dentro de un tiempo". (inglés) "The current agreement with Apple is to disclose all details in mid-January 2015. This might sound like a long wait, but hey, time flies. It's important that they have time to patch, and that the patch is available for some time."
 Mientras tanto Emil ha informado del problema a US-CERT y ha publicado un vídeo de demostración de la vulnerabilidad. https://www.youtube.com/watch?v=fCQg2I_pFDk
 Emil no ha facilitado más detalles sobre el problema, aunque todo indica que el nombre que le ha dado puede tener alguna relación.
 Como contramedidas se recomienda no usar la cuenta de administrador a diario y activar FileVault. RootPipe actúa a través de la cuenta de administrador, que es la que la mayoría de usuarios utilizan diariamente en su sistema. Se recomienda crear una cuenta de administrador secundaria que solo se utilizará para acciones concretas y no debe usarse para el trabajo habitual diario. Luego, a través de esa nueva cuenta se rebajarán los permisos de la cuenta de administrador principal para el uso diario.
 El peligro real no son los usuarios del sistema, debido a que el uso típico de OS X no es el de un servidor. El verdadero problema, y principal vector de ataque, se encuentra en la capacidad que tendrían procesos no privilegiados de elevar permisos a través de esta vulnerabilidad. Esto tendría consecuencias directas en exploits que podrían tomar el control pleno del sistema o de todo el abanico de malware que podría ampliar su infección hasta llegar al núcleo del sistema en forma de rootkit. Recordemos que bajo el aspecto estilizado y elegante de su interfaz se encuentra un sistema UNIX con usuario root, con todas las consecuencias que conlleva obtener sus privilegios.
 Según Emil la raíz del problema afecta a versiones anteriores de OS X, y aunque ya existían algunas pruebas de concepto poco conocidas, la última publicada afectaba a versiones de OS X anteriores a la 10.8.5. Y aunque existen algunas diferencias, con unas pocas modificaciones el investigador consiguió que la vulnerabilidad también pueda explotarse en la versión 10.10 (Yosemite).
Si se cumplen las expectativas y Apple deja a sus usuarios sin parche hasta enero va a exponerles a un invierno bastante crudo. Recordemos que Emil puede ser un investigador responsable, pero la noticia ya ha calado y su honradez no va a impedir que otro, sin su rectitud, recorra el mismo sendero.
Más información:
Fuente: Hispasec

DRUPAL. Vulnerabilidad del CMS deja millones de páginas web expuestas

Todas las páginas web gestionadas por Drupal que no tengan instaladas las últimas actualizaciones publicadas en 15 de octubre de 2014 están expuestas a una serie de ataques de inyección SQL. 
Se ha demostrado que los piratas informáticos están lanzando ataques automáticos contra todo tipo de páginas web basadas en Drupal 7 que no tengan instalados los últimos parches de seguridad y sean vulnerables a este ataque SQL.
Prácticamente a la vez que la vulnerabilidad se hizo pública con el lanzamiento del parche, los piratas informáticos comenzaron a buscar y atacar páginas web vulnerables por este fallo. Los piratas informáticos que atacan estas páginas lo hacen sin la necesidad de autenticarse en el servidor y sin dejar rastro, lo que ha catalogado a la vulnerabilidad y al parche correspondiente como “muy críticos” con una puntuación máxima de 25 sobre 25 puntos.
Un pirata informático podría robar cualquier tipo de información de una web vulnerable (datos de usuarios, bases de datos e incluso cualquier tipo de archivos) y sería capaz de instalar malware, una puerta trasera o un sistema de control remoto en el servidor para tener acceso a él al 100%.
El parche publicado por Drupal soluciona la vulnerabilidad e impide futuros ataques pero, si una web ya ha sido comprometida, el parche no evitará que dicha web siga en manos de los piratas informáticos, por lo que habría que llevar a cabo una serie de acciones manuales para solucionarlo:
1)   Desconectar la web de la red.
2)   También se deben revisar el resto de aplicaciones web por si se ha instalado una backdoor en una de ellas que pueda seguir comprometiendo nuestro servidor.
3)   Si podemos permitirlo, es recomendable formatear por completo el sistema e incluso cambiar de servidor manteniendo la copia de seguridad de la web y de las bases de datos para un futuro análisis.
4)   Restaurar una copia de seguridad en el nuevo servidor de nuestra página web y del resto de servicios realizada antes del 15 de octubre.
5)   Actualizar Drupal con todos los parches de seguridad disponibles.
6)   Volver a poner en línea nuestra página web.
7)   Volver a añadir manualmente todos los cambios introducidos desde la fecha en que se ha visto comprometida la web, auditando el código para asegurarnos de que nada de lo que añadamos está comprometido.
8)   Comprobar que la nueva web está segura y no hay indicios de un posible ataque oculto que haya podido quedar en el servidor mediante una puerta trasera (por eso lo de cambiar el servidor completo).
En algunos casos los piratas informáticos han modificado la web para que parezca que está actualizada y no es vulnerable. Si no se ha actualizado la versión de Drupal manualmente es posible que nuestra web esté siendo víctima de un pirata informático y todo nuestro servidor esté comprometido.
Fuente: The Hacker News

PLAYSTATION NETWORK . Sus usuarios en peligro por un fallo de seguridad

Un joven austriaco de 20 años ha sido el encargado de comprobar cómo se pueden obtener datos de los usuarios del servicio haciendo uso de un ataque de inyección de código SQL en la base de datos. 
Según comenta Aria Akhavan, las consultas erróneas que se realizan a la base de datos no devuelven ningún tipo de mensaje de error, lo que quiere decir que de forma aleatoria se pueden realizar peticiones y todas aquellas que sean correcta devolverán un mensaje, siendo este el mismo para todas aquellas que sean correctas. Este tipo de ataque se conoce como ataque a ciegas por inyección SQL y gracias a él se pueden obtener los nombres de usuarios, las contraseñas y cualquier otro tipo de datos que se encuentre en la base de datos afectada. A pesar de que parece un ataque complicado (relativamente lo es) los ciberdelincuentes podrían recurrir a la utilización de diccionarios y aplicando un ataque de fuerza bruta lograr obtener finalmente los datos de los usuarios.
Lo más curioso de todo es que Playstation Network no es el único servicio o sitio web que está afectado por este problema de seguridad, asegurando que son muchos los servicios. Expertos en seguridad añaden que la dificultad y la cantidad de tiempo que se debe invertir en realizar este ataque hace que no posea mucho interés para los ciberdelincuentes, no descartando que en un momento puntual se pueda hacer uso de él.
Desde Playstation Network no han confirmado ni desmentido nada
El joven austriaco se puso en contacto con los responsables del servicio el pasado mes de octubre, sin embargo, aún no ha obtenido ningún tipo de respuesta ni el fallo de seguridad ha sido corregido. 
Fuente: Softpedia

MALWARE DYRE. Distribuido por medio de Power Point utilizando un fallo de Microsoft Office

La semana pasada conocimos una vulnerabilidad que afectaba a todos los sistemas operativos de Microsoft, exceptuando la versión 2003 de Windows Server. Ante la falta de un parche de seguridad que solucione el problema, los ciberdelincuentes han comenzado a distribuir un fichero Power Point para instalar en virus Dyre en la mayor cantidad de equipos.
Tal y como ya explicamos, la vulnerabilidad afecta a los sistemas operativos pero es gracias a un módulo contenido en todas las aplicaciones de Microsoft Office el que permite que este fallo de seguridad pueda llegar a ser explotado. CVE-2014-4114, que así es como se ha catalogado esta vulnerabilidad, podría ser explotada utilizando el módulo OLE de la suite ofimática de la compañía de Redmond.
De momento no existe una fecha exacta en la que la actualización esté disponible, abriéndose una gran oportunidad para los hackers, sobre todo para conseguir instalar malware en los equipos.
La estrategia a seguir es clara: recurrir a los correos spam y a un fichero PPT para explotar la vulnerabilidad.
Dyre se descarga mediante la ejecución de una macro contenida en un PPT
  • Hablando sobre el virus en cuestión, parece que este ha tomado mucha relevancia entre los ciberdelincuentes. Y es que han sido bastantes los que han optado a lo largo de este por utilizar este para infectar equipos. A diferencia de otras ocasiones, cuyo servidor se localizaba en países de Europa del Este en esta ocasión el servidor de almacenamiento y control del malware está ubicado en Francia.
  • Con respecto a la finalidad sigue siendo la misma que en versiones anteriores, robar los datos bancarios de los equipos infectados y espiar la navegación del usuario. La diferencia con ocasiones anteriores es que esta vez se acerca y mucho a los usuarios españoles, ya que se encuentra afectando a todos los usuarios de países europeos, por lo que no sería descartable que durante los próximos días apareciesen casos de usuarios españoles afectados.
  • Hay que destacar que el robo de credenciales era realizado haciendo uso de páginas web falsas de entidades bancarias, evitando comunicaciones SSL y desviando la navegación del usuario a páginas muy similares con la finalidad de que este introduzca las credenciales y así proceder al robo de estas.
Fuente:  Softpedia

MALWARE UPATRE. Distribuido utilizando Bitstamp

En esta ocasión, los ciberdelincuentes se han ayudado de la imagen del servicio Bitstamp para distribuir un mensaje en el que se informa de cambios en los datos bancarios de su cuenta del servicio, adjuntando un archivo con más detalles que en realidad contiene el malware Upatre.
A diferencia de otros correos en los que el usuario puede encontrar una escasa elaboración a la hora de redactar el cuerpo y el nombre del archivo adjunto, en esta ocasión podemos observar que detrás de este correo existe un gran trabajo relacionado con ingeniería social, algo que cada vez está más de moda si se quiere distribuir una estafa o un virus.
En el correo se indica al usuario que desde el servicio de intercambio se han detectado modificaciones en los datos bancarios y que sería necesario corroborar la información que actualmente se está utilizando, pudiendo visualizar de esta manera si existe algún error.
Para verificar esta información al usuario se le remite a un archivo adjunto que está presente en el correo y donde podrá ver los datos que se han modificado. Sin embargo, el archivo adjunto en realidad es el instalador del malware Upatre.
Upatre o también conocido como Dyreza
  • Seguro que en función del nombre se puede pensar que se trata de un malware totalmente nuevo. Sin embargo, la realidad es muy distinta y se trata de una variante del troyano bancario Dyreza. Sin ir más lejos, la semana pasada volvimos a hablar de este virus porque era distribuido junto con un fichero PPT, aprovechando las macros de las que hace uso Microsoft Office.
  • La finalidad de este era la de robar las credenciales de acceso a los monederos de Bitcoins, y esta nueva versión no iba a ser una excepción. Cuando este se instala en el equipo se ejecuta en segundo plano y actúa como si de un keylogger se tratase, almacenando todas los usuarios y contraseñas introducidos y buscando aquellos que puedan pertenecer a un monedero de criptomonedas.
  • En el caso de que el usuario disponga de una herramienta antivirus actualizada, la instalación del malware no será posible y será detectado antes de que este logre instalarse en el equipo.
Fuente: Softpedia

DROPBOX. Sus usuarios objetivos de estafas phishing, mediante página hospedada en Dropbox

Una página falsa de inicio de sesión de este servicio, hospedada en el propio Dropbox, intenta robar credenciales del servicio y de algunos de correo electrónico. La estafa funciona a través de SSL (Secure Sockets Layer), lo que hace al ataque más peligroso y convincente.
Symantec ha identificado una estafa dirigida a los usuarios de Dropbox. Este engaño utiliza un correo electrónico (con el asunto “importante”) afirmando que el remitente ha enviado un documento que es demasiado grande para ser enviado por correo electrónico, o que no se puede enviar por e-mail por razones de seguridad. Como alternativa, el mismo correo ofrece acceder al documento siguiendo un enlace incluido dentro del mensaje. Sin embargo, en lugar de llevar al sitio legítimo, el vínculo dirige al usuario a una página falsa que simula la de inicio de sesión en Dropbox. Cabe mencionar que la página está hospedada en el propio Dropbox.
La página de inicio falsa está alojada en el dominio del contenido de los usuarios de Dropbox (como lo están las fotos y otros archivos compartidos) y funciona a través de SSL (Secure Sockets Layer), lo que hace al ataque más peligroso y convincente.
El sitio se asemeja considerablemente a la página real de inicio de sesión de Dropbox, pero con una diferencia crucial. Dado que los ciberestafadores están interesados ​​en robar algo más que las credenciales de Dropbox, en la página falsa incluyen los logotipos de algunos servicios populares de correo electrónico basados en la web, sugiriendo a los usuarios que pueden iniciar sesión usando sus credenciales de esos servicios.
Tras hacer clic en “Entrar”, el nombre de usuario y la contraseña de la víctima se envían a un script PHP en un servidor web comprometido. Una vez que los datos del usuario son guardados o enviados por correo electrónico al estafador, el script PHP simplemente redirige al usuario a la página de inicio de sesión real de Dropbox.
Symantec reportó la página falsa a Dropbox, quienes inmediatamente la dieron de baja.
Fuente: Diarioti.com

MALWARE. Capta datos de terminales punto de venta vía DNS

G DATA SecurityLabs ha descubierto una nueva variante del malware FrameworkPoS, especializado en el robo de datos de tarjetas bancarias.
Según G DATA,  ya han sido más de 1.000 empresas en Estados Unidos las infectadas por un malware capaz de leer los datos de los terminales punto de venta o TPVs. Solo entre abril y septiembre de este año, la cadena norteamericana The Home Depot sufrió el robo de datos de más de 56 millones de tarjetas de crédito y débito de sus clientes.
G DATA SecurityLabs ha descubierto y analizado una nueva variante de este malware, alias FrameworkPOS, cuya característica más singular es que es capaz de capturar los datos de las tarjetas bancarias a través de peticiones DNS (domain name system). La amenaza se puede propagar a través de PC o servidores conectados en red o de forma externa mediante dispositivos de almacenaje USB.
Los expertos en seguridad de G DATA recomiendan a aquellas empresas que usen sistemas TPVs y que sospechen haber sido afectadas que utilicen DNS pasivas para observar el tráfico de datos. Correctamente configuradas estas DNS pasivas emiten una advertencia en caso de comportamientos sospechosos o inhabituales. Igualmente importante es que el tráfico de datos desde el terminal de pagos debe estar claramente identificado, simplemente para evitar que los datos e reenvíen a servidores ajenos.
«El análisis que ofrecemos es perfecto para permite comprobar cómo trabajan hoy en día los cibercriminales», afirma Ralf Benzmüller, responsable del laboratorio de la multinacional alemana. «La variante descubierta ha sido significativamente rediseñada para enviar los datos robados mediante peticiones DNS. Aconsejamos a las compañías, especialmente si usan sus TPVs de forma casi exclusiva para transacciones con tarjetas, que utilicen DNS pasivas. Sus informes podrán ser muy útiles para análisis ulteriores en caso de ataque», concluye Benzmüller.
Un sistema punto de venta en una superficie comercial está formado habitualmente por una caja registradora y un lector de tarjetas de débito o crédito. El dispositivo TPV registra las ventas, pero esa puede ser solo una de sus funciones. Generalmente conectados a un PC, se pueden usar para llevar un control de stocks e inventarios, generar reportes o realizar compras internas.
DNS, en tanto, corresponde a las iniciales de Domain Name System (Sistema de nombres de dominio) que podría definirse como el libro de direcciones de Internet y traduce los nombres inteligibles en la dirección IP del servidor donde está alojado el dominio al que queremos acceder. La DNS pasiva es un sistema que permite almacenar peticiones DNS en una base de datos y permite asociar dominios a direcciones IP o viceversa.
Fuente: Diarioti.com