26 de octubre de 2016

CIBERATAQUES. El ocurrido contra EEUU. pone en duda su inviolabilidad digital

Estados Unidos todavía se está recuperando del ciberataque perpretado este viernes y que dejó a millones de personas sin poder entrar en los sitios webs más populares del mundo, Twitter, Spotify, Amazon, Reddit, Tumblr, PayPal, e incluso, las webs de medios tan importantes como 'The New York Times', 'Financial Times' o CNN, entre otros sufrieron una serie de ataques informáticos sucesivos que los dejaron K.O. durante horas.
El objetivo del ciberataque fue el proveedor de Internet Dyn, que maneja y redirige tráfico en la Red. Sufrió un ataque de denegación de servicio (DDoS) en su sistema de dominio de Internet (DNS) que afectó "principalmente a la costa este de Estados Unidos", aunque más tarde dañó a otras localizaciones.
El servicio de dominio de Internet es el sistema que permite a los usuarios escribir los nombres de las páginas en el navegador, por ejemplo www.google.es, en lugar de su identificador IP  172.217.4.163
¿Cómo fue el ataque?
  • A las siete de la mañana del pasado viernes en Nueva York (las cuatro en la costa oeste estadounidense), un ejército de «decenas de millones de IPs (direcciones de ordenador) infectados» lograban colapsar los servidores centrales de Dynamic Network Services Inc., conocida como Dyn, esencial proveedor de webs de compañías tecnológicas. No fue la única oleada. Después de que la compañía hubiera defendido sus posiciones con todas las armas a su alcance en las primeras dos horas y media, otras dos ofensivas, aparentemente calculadas en tiempo y forma, se cebaron con la compañía que opera los sistemas DNS, esenciales en su labor de redirigir el tráfico en internet.
  • El resultado de la operación de asalto informático empezó a contarse por webs de grandes compañías afectadas, PayPal, Airbnb, Spotify, Twitter, Kayak, GitHub, eBay.., entre otras muchas, junto a los grandes periódicos, The New York Times, The Wall Street, The Financial Times, inaccesibles para millones de usuarios, primero en Estados Unidos, después en Europa y en Asia.
  • Para entender la efectividad del ciberataque, es necesario radiografiar la interconexión digital y situarla en el mapa. La compañía Dyn tiene su base en New Hampshire, en el este de Estados Unidos. Los sistemas DNS (Sistemas de Nombre de Dominio, en sus siglas en inglés), se centralizan en California, en el oeste. Dyn gestiona los DNS, que a su vez funcionan como una centralita para el tráfico de internet. La relevancia de los DNS es tal que, por ejemplo, convierte de manera amistosa direcciones de web como la del FBI, fbi.gov, en direcciones numéricas que permiten a los ordenadores hablarse entre ellos. Sin esa operación de colaboración mutua, internet no podría funcionar. Así ocurrió el viernes, cuando los piratas informáticos infectaron los servidores de IP con virus,  y provocaron lo que se conoce como ataque DDoS (Denegaciones de Servicio Distribuidas), en sus siglas en inglés
  • Aunque la capacidad tecnológica de las grandes compañías determina también su dependencia y su capacidad de autonomía. A pesar del salto de calidad de los hackers, que llevó ayer a los responsables de Dyn a calificar el ataque de «inteligente», la gigante Amazon fue capaz de resolver el problema en pocos minutos.
Aparatos conectados a internet
  • Según los especialistas, el salto de calidad de los hackers estriba en haber utilizado cientos de miles de aparatos conectados a internet, como cámaras, monitores para bebés, grabadores y enrutadores caseros, infectados sin el conocimiento de sus propietarios, con software que les permitían el control suficiente para después llevar a cabo el lanzamiento masivo de los virus. Kyle York, jefe de estrategia de Dyn, además de alertar sobre la dimensión de lo sucedido, advirtió de que el futuro puede ser aún peor: «El número y los tipos de ataques, su duración y su complejidad van en aumento». Por ello, llamó la atención sobre el peligro de que las grandes compañías tecnológicas «puedan sufrir una caída total del servicio. Esto es totalmente salvaje. Es el salvaje Oeste el que está ahí fuera».
  • Otros expertos incidieron en resaltar la dimensión sin precedentes del ciberataque: «Nunca habíamos visto algo como esto, diseñado para impactar en tantos y tan importantes sitios web», aseguraba ayer a la cadena de televisión CNN el director de ingeniería de ventas de la compañía Dynatrace, David Jones. Y para justificar su afirmación, explicaba: «Habitualmente, estos ataques de denegación de servicio se centran en sitios individuales. A diferencia de eso, ahora hablamos de un ataque a las direcciones DNS, que son como un listín telefónico: cuando quemas una, quemas todas a la vez».
Dudas sobre la fiabilidad de DNS
  • La dimensión del colapso informático y los perjuicios que supone para las compañías dependientes de internet, que son ya la gran mayoría en Estados Unidos, provocó ayer también las críticas hacia las DNS y su fiabilidad: «Han sido a menudo negligentes en términos de seguridad. Si en el futuro siguen ocurriendo cosas como ésta, el agua va a terminar rebosando el vaso», afirmaba en términos no muy amistosos el vicepresidente para tecnología de Nsfocus, Richard Meeus.
Se desconocen los autores materiales del ataque
  • En los primeros momentos del ataque las autoridades estadounidenses no descartaron ninguna de las posibilidades incluyendo que éste procediera de algún Gobierno, sobre todo dada la tensión entre EEUU y Rusia después de que Obama acusara a Moscú de robar información para influenciar en las elecciones del próximo 8 de noviembre, o incluso que proviniera de Corea del Norte.
  • Sin embargo, fuentes del servicio de inteligencia estadounidense informaron tras evaluar la situación que todo apuntaba "a un caso clásico de vandalismo en Internet", aunque por el momento no hay confirmación oficial de la autoría y se sigue sin saber cuál ha sido el origen, ni cuánto tiempo tardarán en averiguarlo.
  • De momento, grupo New World Hackers, distribuidos en Rusia y China, se han atribuido la responsabilidad del ciberataque. A través de un mensaje en su cuenta de Twitter han explicado cómo supuestamente lo llevaron a cabo.
  • Según este grupo de hackers estructuraron computadoras 'zombies' -ordenadores personales, que tras haber sido infectados por malware, son usados por terceras personas para ejecutar ataques- para que lanzaran a la vez 1,2 terabits de datos por segundo a los servidores gestionados por Dyn.
  • También el grupo Anonymous se atribuyó el ataque asegurando que lo realizaron en respuesta a la decisión de Ecuador de quitarle el acceso a Internet al fundador de Wikileaks, Julian Assange. El Gobierno estadounidense no ha confirmado ninguna de las dos 'confesiones' y asegura que sigue investigando lo sucedido.
«Preparados para responder»
  • Hace apenas unos días, fue el vicepresidente Biden el encargado de salir al paso de los ataques informáticos y lanzar una advertencia: «Estamos preparados para responder al intento ruso de condicionar nuestras elecciones. Estamos enviando un mensaje. Tenemos la capacidad de hacerlo». Aunque advirtió de que el momento nunca se anuncia.
  • En recientes entrevistas con medios de información internacionales, el presidente Putin ha negado cualquier vinculación de su Gobierno con los ataques informáticos a Estados Unidos.
Fuente: El Mundo.es y Abc.es

NSA. El ex-contratista Harold les robó 50 TB de datos confidenciales

En junio de 2013, Edward Snowden, contratista, hasta entonces, de la NSA, publicó en varios medios un gran número de documentos secretos y clasificados de la compañía que sacaban a la luz un inmenso programa de espionaje de las telecomunicaciones a nivel mundial (PRISM), así como un gran número de grandes empresas que participaban en dicho programa facilitando el acceso a los datos de sus usuarios. Sin duda una pesadilla que, por desgracia para la organización, no termina.
Hace dos meses, la pesadilla se volvió a repetir, aunque, en esta ocasión, no se le dio tanta importancia como pasó con Snowden. De nuevo, un contratista de la NSA, llamado Harold Thomas Martin, de 51 años (20 de los cuales había trabajado para la compañía), fue detenido presuntamente acusado de robar un gran número de documentos y archivos secretos de la NSA, entre ellos, varias herramientas de hacking utilizadas por los equipos de inteligencia de la organización.
Tras una larga investigación, finalmente la NSA ha confirmado que este contratista robó un total de 50 Terabytes de datos confidenciales tanto de la propia organización de seguridad como de Estados Unidos. La mayoría de estos documentos eran “clasificados” y estaban relacionados con la seguridad nacional. De haberse filtrado a la red hubieran supuesto la mayor filtración en la historia de la NSA, muy superior incluso a la de Snowden. Por suerte (o por desgracia) esta vez no ha ocurrido.
Los documentos robados no se encuentran solo en formato digital, sino que este contratista tenía un total de 6 cajas llenas de documentos en papel clasificados como “Secret” y “Top Secret” recopilados desde 1996 hasta 2016, fecha de su detención. Entre estos documentos había todo tipo de información tanto interna de la NSA como datos personales de los trabajadores gubernamentales.
Filtraciones de The Shadow Brokers también pudieron originarse dentro de la NSA
·        Recientemente, también se han publicado en la red un gran número de herramientas hacking secretas utilizadas por la NSA para llevar a cabo sus espionajes a usuarios y empresas. Estas herramientas fueron filtradas por un grupo de hackers autodenominado como “The Shadow Brokers” y, aunque en un principio todo apuntaba a que el responsable de dicho grupo era Harold, ahora mismo no está tan claro, sino que todo apunta a que exista un nuevo infiltrado dentro de la organización.
·   Igual que, probablemente, utilizara Harold para robar los documentos digitales sin ser descubierto, en el caso de existir otro infiltrado en la organización, probablemente esté utilizando una distribución Linux como TAILS junto a un VPN y la red Tor para evitar tanto ser detectado como identificado en sus labores.
·        La inquebrantable NSA ya ha sido vulnerada en varias ocasiones y, como suele ocurrir en las grandes empresas y organizaciones, la mayor brecha de seguridad siempre se genera dentro de la propia compañía.
Fuente: Redeszone.net

DIGITALIZACION. CaixaBank, Amazon y Seur se alían para impulsarlo el pequeño comercio

El comercio electrónico sigue creciendo en España. En 2015 movió 16.000 millones de euros y en el primer trimestre de este año 5.514,1 millones, un 21,5% más frente al mismo periodo del año pasado según datos , según los datos de la CNMC. Pero, el pequeño comercio sigue rezagado en su digitalización. Para evitar esta situación, varias compañías, entre ellas CaixaBank, Amazon, Seur y PrestaShop (la solución de ecommerce de código abierto) se han aliado y han lanzado la plataforma Mi comercio online que permite a estos pequeños comercios digitalizar su negocio y crear su tienda virtual.
Se trata de una solución que ofrece a la pyme en un mismo espacio y de forma fácil y personalizada todas las herramientas que necesitan para poner en marcha su negocio online, desde la formación hasta la creación de la tienda virtual.
El resto de empresas integrantes del proyecto son Roca Salvatella (consultora especializada en transformación digital de los negocios), la firma de asesoría legal y fiscal DMS Consulting, BrainSINS (plataforma de personalización para ecommerce) y Confianza Online, la asociación creada en 2003 con el fin de elevar la confianza de los usuarios en internet a través de su sello. El proyecto cuenta con el apoyo del Ministrio de Industria, a través de Red.es.
Cada empresa de la alianza ha aportado a la plataforma sus conocimientos y experiencia en la digitalización de su negocio. “Esta iniciativa nace de la creciente necesidad del pequeño comercio de crear un nuevo canal de venta en el entorno online, un ámbito con una demanda creciente”, defendieron ayer los integrantes de la nueva plataforma.
Estos explicaron que con Mi Comercio Online, el pequeño comercio español puede formarse a través de un curso de formación online impartido por los “principales jugadores de comercio electrónico, adquiriendo todos los conocimientos necesarios sobre estrategia digital, tienda online, participación en un marketplace, cobros a clientes, logística, aspectos legales, marketing y conversión en ventas”.
Además, las empresas involucradas proporcionan a través de la plataforma las herramientas digitales y los servicios asociados que el comercio necesita para digitalizar su negocio y empezar a vender por internet en pocos días. La iniciativa se suma a otra similar lanzada en marzo por BBVA, eBay, PrestaShop y Mailify. En este caso, la plataforma se lanzó bajo el nombre de Primeraventa.com.
Los impulsores de Mi comercio online advierten de la importancia de los pequeños comercios de subirse a internet, pues las compras online realizadas en Europa pasará de 425 billones de euros en 2011 a 661 billones este año. Por su parte, las compras a través del móvil podrían pasar de los 30 billones de euros en 2011 a los 568 billones de euros este año, apuntan. Aunque la necesidad de digitalización del pequeño comercio es un hecho, también lo es que los responsables de ambas iniciativas (Mi comercio online y Primeraventa.com) ven en estas plataformas un vía para impulsar sus propios negocios.
Fuente: cincodias.com

BANCOS. Plataforma bancaria de cadena de bloques tendrá código abierto

La plataforma de cadena de bloques (Blockchain en inglés) que está diseñando un grupo que incluye a 70 de las más grandes instituciones financieras del mundo hará público su código informático, lo que podría convertirlo en el estándar de la nueva tecnología para el sector.
La plataforma Corda,que tiene su sede en Nueva York, está siendo desarrollada por un consorcio promovido por la empresa de tecnología financiera R3 y representa el mayor esfuerzo compartido de bancos, aseguradoras, administradores de fondos y otros agentes para trabajar con la tecnología de cadena de bloques en los mercados financieros.
La cadena de bloques, el origen de la criptomoneda bitcóin, funciona como un sistema que procesa en red transacciones y liquidaciones de operaciones, y crea un registro de datos que es automáticamente replicado por todas las partes en una plataforma segura, lo que elimina la necesidad de que un tercero verifique el negocio.
Bancos sostienen que la tecnología podría ahorrarles dinero y acelerar sus operaciones, además de hacerlas más eficientes y transparentes, por lo que están en una carrera para crear productos que usen la tecnología.
R3 espera que su plataforma se convierta en el estándar para el sector, pero la intención es que las empresas creen sus productos usando la tecnología.
"Queremos que otros bancos y agentes innoven con productos sobre la plataforma, pero no queremos que todos creen su propia plataforma (...) sino tendremos muchas islas y no podrán comunicarse entre ellas", dijo el jefe de ingenieros de R3, James Carlyle
El código informático de Corda será aportado el 30 de noviembre al proyecto Hyperledger, una iniciativa multisectorial que encabeza la Fundación Linux y que busca que la tecnología de cadena de bloques avance usando un estándar común.
ThomsonReuters es un miembro del consorcio de R3
Fuente : Reuters

SEGURIDAD. 15% de 'routers' domésticos inseguros por contraseñas débiles

    La compañía de 'software' ESET está en la antesala del lanzamiento de sus nuevas soluciones para usuarios particulares. Dos de ellas, ESET Internet Security y ESET Smart Security Premium, contarán con una nueva función, 'Home Network Protection' o Protección de la Red Doméstica, que ya han podido utilizar los usuarios de la comunidad beta de la compañía, lo que ha permitido conocer que al menos un 15% de los 'routers' domésticos son inseguros.
Gracias a 'Home Network Protection' de ESET, los usuarios pueden analizar cualquier vulnerabilidad en el 'router' doméstico, tales como contraseñas débiles, configuraciones maliciosas o 'firmware' desactualizado. Además, ofrece soluciones para remediar estas vulnerabilidades y proporciona una lista de fácil acceso de los dispositivos conectados, organizados por tipos, para mostrar quién está conectado en cada momento.
   Desde la presentación de la herramienta el pasado mes de abril, ESET ha analizado más de 12.000 'routers' de usuarios que aceptaron compartir sus datos de forma anónima con fines meramente estadísticos. El estudio muestra que al menos el 7% de los 'routers' sufre vulnerabilidades de media y alta intensidad en el 'software'. El análisis de los puertos, por su parte, reveló que en muchos casos se podía acceder a los servicios de red desde redes internas o externas.
Según el análisis llevado a cabo por ESET, además, el 15% de los 'routers' tenía contraseñas muy débiles, en la mayor parte de los casos 'admin', que suele ser la que aparece por defecto. "Servicios poco seguros como Telnet deberían cerrarse incluso en las redes locales; sin embargo, los encontramos abiertos en más del 20% de los usuarios", afirma el especialista en seguridad de ESET, Peter Stancík. "Fue, además, descorazonador comprobar cómo uno de cada diez ataques simples que simulamos consiguió sus objetivos debido a la debilidad de las contraseñas", añade
   La mayor parte de las vulnerabilidades del 'software' encontradas por la herramienta ESET 'Home Network Protection' consisten en vulnerabilidades de derechos de acceso, seguidas por vulnerabilidades en la inyección de órdenes que ejecutan comandos arbitrarios en el sistema operativo a través de aplicaciones vulnerables (40%). Por otro lado, alrededor del 10% de las vulnerabilidades consistió en problemas en los 'scripts' de sitios (XSS) que permitirían a los atacantes modificar la configuración del 'router' para instalar 'scripts' falsos.
La nueva herramienta de protección de la red doméstica de ESET, además de analizar routers y comprobar si están preparados ante algún ataque, ofrece una visión completa y sencilla de todos los dispositivos conectados a la red local, filtrándolos por tipo y tiempo de conexión, de forma que los usuarios pueden comprobar fácilmente cómo de segura es su red. Además, ESET recomienda a los usuarios utilizar contraseñas robustas y utilizar el 'firmware' más actualizado para sus 'routers'.
Fuente: ESET

SEGURIDAD. Usar Skype y escribir con teclado simultáneamente podría permitir espiarnos.

   Investigadores de la Universidad de California han concluido que escribir con el teclado del ordenador durante una llamada de Skype podría convertir al usuario en vulnerable a escuchas y a la filtración de datos privados.
El sonido de las teclas puede grabarse durante una llamada de voz o de vídeo de Skype y puede, más tarde, montarse como texto. Esto haría que los usuarios que escriban mientras están conectados puedan ser espiados. “Hemos demostrado que durante un vídeo de Skype o de conferencia de audio, las pulsaciones del teclado están sujetas a registro”, explica el co-autor del estudio, Gene Tsudik. “Pueden saber exactamente qué escribe, incluyendo información confidencial como contraseñas”, añade Tsudik.
   El ataque no es posible a través de una pantalla táctil o con teclados holográficos pero sí con teclados convencionales. Además este robo de datos sólo podría hacerse formando parte de la conversación, ya que el acceso a terceros es muy complicado en Skype debido a que la comunicación está encriptada.
“Lo interesante es que la gente que habla en Skype no siempre son amigos y no siempre hay confianza mutua”, explica Tsudik. “Imaginese una llamada entre abogados de lados opuestos de un caso legal o competidores de negocios o diplomáticos que representan a diferentes países”, concluye el co-autor del estudio.
Fuente: Europa Press

CIBERCRIMEN COMO SERVICIO. Industria invisible más grande de 2016

Los propietarios de negocios Crimeware como un Servicio o CaaS (por sus siglas en inglés, crimeware-as-a-service) son los cibercriminales subterráneos (invisibles).
Hoy en día,  los cibercriminales pueden desarrollar, promocionar y vender desde una red de bots, un navegador Exploit Pack o DDoS kits de herramientas de ataque, u obtener datos confidenciales con sólo un par de clics y un pago.
CaaS ofrece una nueva dimensión de la delincuencia informática, ya que está más organizado, automatizado y accesible para los criminales con conocimientos técnicos limitados. Hoy en día, los cibercriminales pueden desarrollar, promocionar y vender cualquier cosa, desde una red de bots a un navegador Exploit Pack o DDoS kits de herramientas de ataque. En resumen, los ciberdelincuentes pueden obtener datos confidenciales, como números de tarjetas de crédito, nombres y direcciones, con sólo un par de clics y un pago.
El mercado CaaS no se define por un par de pequeños actores maliciosos, sino que es una red compleja y con una variada gama de organizaciones, todas enterradas dentro de Internet. Estas organizaciones se encuentran fuera del alcance de los índices de búsqueda y puntos de acceso frecuentes, haciéndolos invisibles para un usuario Web común. Según el Grupo Antiphishing APWG, el robo de datos personales  ha crecido un 250% en 2016, aunque el phishing es sólo un ejemplo de cómo el Crimeware ha alcanzado un tamaño sin precedentes durante este año.
Un mercado maduro
Aditya K Sood, director de seguridad y del laboratorio de amenazas a la nube en Blue Coat Systems (parte de Symantec) presenta  algunos de los productos más vendidos por el CaaS en 2016:
  1. Las redes de bots o botnets de control.- Un botnet es una red de computadoras que están infectados con un software malicioso que permite a los ciber delincuentes controlar los ordenadores sin el conocimiento de los usuarios. Empresarios subterráneos venden el acceso a estos ordenadores ya infectados que controlan, a menudo en grandes cantidades, por precios que van desde U$D 100 por mes (para alquilar la infraestructura) a U$D 7.000 para comprar un sistema completo.
  2. Paquetes explotadores de navegador (BPE, por sus siglas en inglés).- Junto con un Botnet, los BPEs permiten a los compradores compartir ransomwares o softwares espías a gran escala. Al igual que cualquier sofisticada pieza de malware, BEP tienen módulos integrados para la ofuscación, listas negras, administración y optimización del tráfico. Para un paquete completo BEP, los vendedores pueden pedir de U$SD 3.000-7.000.
  3. Phishing Toolkits personalizados con Exploits armados.- Para los hackers que desean dirigirse a un grupo específico, o sólo a usuarios inesperados, pueden pagar por un agente malicioso para establecer un protocolo de transferencia de correo simple (SMTP), página Web estafa o proporcionar listas de correo de alta calidad. Cada una de estas opciones puede costar entre U$D 15-40. Otra oferta popular que combina bien con un conjunto de herramientas de ataque de phishing son los “documentos armados”. Estos archivos maliciosos se ven como un regular documentos de Microsoft Office (Word, XLS, PPT, etc.), aprovechando las vulnerabilidades inherentes en el paquete MS Office para descargar malware en el sistema del usuario final. El malware descargado puede ser ransomware, kit de herramientas de acceso remoto (RAT), etc., dependiendo de la elección y la exigencia del vendedor de crimeware. Hoy en día, Office exploits (PPT, WORD, XLS), CVE conocidos o Nth Day pueden costar entre U$D 2.000-5.000.
  4. Ransomware.- Es una forma popular para que los piratas informáticos ganen dinero, ya que el software de ransomware llevará a cabo los objetivos del ordenador rehén hasta que paguen. Este software puede ser desarrollado en diversos grados de complejidad y como resultado se pueden ejecutar los costos de distribución. Por ejemplo, el precio de un archivo ejecutable Crypto Locker personalizable es de alrededor de U$D 50, según una investigación realizada por TrendMicro, aunque los operadores ransomware tienden a aceptar una reducción del 10% de los beneficios obtenidos de los objetivos.
Otras informaciones al respecto
  • Los precios y las ofertas pueden variar, sobre todo cuando se ofrecen servicios personalizados y/o específicos. Por ejemplo, si un empleado descontento quiere apuntar contra una organización específica o un grupo de usuarios, él/ella podría comprar un ataque DDoS o un Paquete Explotador de Navegador que un vendedor le ayudará a ejecutar. Esto traería un costo adicional, con un estimado entre U$D 4000-7.000 para un BEP. Es fácil imaginar cómo estas empresas pueden obtener un gran beneficio con sólo unas pocas transacciones.
  • Nuestro conocimiento de estos bancos proviene de las pocas organizaciones que han sido descubiertas y clausuradas. Por ejemplo, recordarán el cierre de Liberty Reserve en 2013 que fue capturado por el gobierno de los Estados Unidos y etiquetado como “un centro financiero del delito cibernético.” A partir de 2006 y hasta que fue cerrada en 2013, este banco virtual hizo transacciones por seis mil millones de dólares.
  • Otra fuente de información sobre los beneficios del crimeware es el FBI. La Oficina Federal de Investigación ha sido parte integral en el cierre de organizaciones de ciberdelincuentes y han dejado detallados informes sobre las operaciones, como la “Operación borrón y cuenta nueva”. Por ejemplo, Zeus, malware que capturó contraseñas, números y demás información necesaria para acceder a cuentas bancarias en línea. Se cree que a través de Zeus sus propietarios han robado millones de dólares a los titulares de las cuentas profanadas.
¿Por qué el CaaS está creciendo?
  • CaaS ha florecido junto con el crecimiento de malware y otros softwares de Crimeware. Aparte de los factores tecnológicos que ayudan a crecer a la actividad cibernética maliciosa, las economías de mercado simple están apoyando a la industria.
  • La oferta y la demanda juegan un papel importante al bosquejar los precios del crimeware. De esta manera, el costo de los diferentes servicios de crimeware se ha incrementado recientemente debido a que varios de estos criminales fueron atrapados durante las operaciones de lucha contra la ciberdelincuencia, afectando el suministro de estos servicios.
¿Podemos frenarlo?
  • La detención de delincuentes informáticos es una prioridad para las organizaciones como el FBI y de los cuerpos de seguridad de todo el mundo. Ya ha habido varios esfuerzos para combatir el delito cibernético, pero ninguno hasta la fecha ha tenido un impacto monumental en la industria de servicios de Crimeware.
  • Para empezar, las soluciones de seguridad o mecanismos que se están diseñando hoy deben permanecer a la altura de los nuevos métodos de ataque utilizados por los delincuentes cibernéticos en el Caas. Se requieren soluciones de detección y prevención robustas para localizar la producción de los servicios de software de actividades ilegales tales como infecciones, abuso de los servicios, filtración de datos y otros para que las operaciones no autorizadas pueden detenidas por adelantado sin alcanzar pérdidas económicas significativas. Entonces, en conjunto con el buen trabajo que el FBI está haciendo para fortalecer la aplicación de la ley contra los autores del delito, todo el mundo necesita ser instruido sobre las nuevas tendencias del cibercrimen, para poner de relieve la eficacia de los hábitos de navegación segura que puede reducir la exposición  de los usuarios a los ataques cibernéticos.
Fuente:diarioti.com

RANSOMWARE. Entre las tres amenazas más comunes del ranking de ciberamenzas

La variante Locky fue responsable del 6% del total de ciberataques identificados en el mundo durante el mes de septiembre.
Check Point® Software Technologies Ltd., proveedor mundial de seguridad informática, presentó el 21 de octubre un informe que refleja el importante crecimiento que han experimentado los ataques de ransomware durante el mes de septiembre. Además, la compañía ha dado a conocer las principales familias activas que atacaron a redes corporativas durante este periodo.
El ransomware llega al podio del Índice de Amenazas de Check Point por primera vez desde la creación de este informe y muestra un crecimiento del 13%. La variante Locky, por ejemplo, es la responsable del 6% de todos los ataques identificados en el mundo durante septiembre.
El número total de familias activas de malware sigue creciendo, y se incorporan al Top 10 mundial Chanitor (un programa que descarga pasarelas de pago maliciosas), el exploit kit Blackhole y Nivdort, un bot multiusos. Por sexto mes consecutivo, HummingBad continúa siendo la primera opción de los hackers a la hora de atacar dispositivos móviles.
A nivel global, Conficker es el software malicioso que más se emplea para infectar redes corporativas, y ha causado un 14% de todos los ataques conocidos. En su conjunto, el Top 10 de las variables más populares ha sido responsable del 50% de las ofensivas.
Top 5 de amenazas:
Las cinco familias de malware que más equipos han infectado durante septiembre son:
  1. Conficker – Gusano que permite operaciones remotas y descargas de malware. Los equipos infectados se controlan por una botnet, que contacta con el servidor de Comando y Control para recibir instrucciones.
  2. Upatre – Descarga y ejecuta malware adicional -como Zeus, Crilock, Dyreza y Rovnix- en un sistema infectado. Se difunde a través de mensajes con archivos adjuntos y links que dirigen a webs maliciosas.
  3. Nivdort – Es un troyano que ataca a Windows. Para ello, almacena contraseñas, información del sistema, versión de Windows, dirección IP, configuración del software o la localización aproximada del equipo. Algunas versiones de este malware detectan las teclas pulsadas en el teclado y modifican configuraciones DNS.
  4. Tinba – Troyano que ataca a clientes de bancos europeos. Roba credenciales de la víctima cuando está intentando identificarse en la web de uno de los bancos infectados, utilizando para ello una página falsa que le pide su información personal.
  5. Ramnit – Gusano que infecta sobre todo unidades extraíbles y archivos subidos en servidores FTP públicos. También funciona como una puerta trasera que permite al atacante conectarse con la máquina infectada y comunicarse con ella mediante servidores C&C. Puede robar información como contraseñas o credenciales de cuentas bancarias.
Nathan Shuchami, jefe de prevención de amenazas de Check Point, explica que “el crecimiento del ransomware es una consecuencia directa del alto número de empresas que pagan a los hackers para recuperar sus archivos. El cibersecuestro de datos se ha convertido en un método lucrativo y atractivo para los cibercriminales. Para poner freno y remedio, las organizaciones necesitan tomar medidas de prevención de amenazas avanzadas en sus redes, endpoints y dispositivos móviles. Una buena alternativa para evitar este problema son las soluciones de Check Point SandBlastTM Zero-Day Protection y Mobile Threat Prevention, capaces de detener al malware en la fase de pre-infección, y de garantizar la seguridad ante las amenazas más modernas”.
El índice de amenazas de Check Point utiliza los datos de inteligencia extraídos del Mapa Mundial de Ciberamenazas ThreatCloud, que rastrea en tiempo real todos los ciberataques que se producen en el mundo. El Mapa de Ciberamenazas utiliza la tecnología Check Point ThreatCloudTM, la mayor red colaborativa de lucha contra el cibercrimen que ofrece información y tendencias sobre ciberataques a través de una red global de sensores de amenazas. La base de datos de ThreatCloud incluye 150 millones de direcciones que se analizan para descubrir bots, alrededor de 11 millones de firmas de malware y 5 millones de webs infectadas.
Fuente: Diarioti.com

PHP. Nuevas versiones corrigen múltiples vulnerabilidades

El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.0 y 5.6 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.
Detalles de las vulnerabilidades
  • Son múltiples las vulnerabilidades corregidas, aunque ninguna de ellas tiene asignado CVE. En el propio núcleo de PHP los problemas incluyen, entre otros, un desbordamiento de búfer en virtual_popen de zend_virtual_cwd.c, lectura fuera de límites por password_verify, escritura fuera de límites en number_format o uso de memoria después de liberarla en unserialize().
  • Además del núcleo se ven afectados un gran número de componentes: BCmath, COM, Date, DOM, Filter, GD, Intl, Mbstring, Mysqlnd, Opcache, OpenSSL, PCRE, PDO_DBlib, phpdbg, Session, SimpleXML, SOAP, SPL y Zip. Además en PHP 7 se ha actualizado SQLite3 a la versión 3.14.2.
Recomendación
Más información:
Fuente: Hispasec.com

BIND 9. Denegación de servicio en versiones antiguas

ISC ha publicado un aviso en el que informa de una vulnerabilidad de denegación de servicio en versiones del servidor DNS BIND 9 anteriores a mayo de 2013.
El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
El problema, con CVE-2016-2848, reside en que un paquete con la sección de opciones específicamente construida puede provocar un fallo de aserción, con la consiguiente caída del servicio. El problema fue corregido en las versiones de BIND distribuidas por ISC en mayo de 2013. Sin embargo algunas versiones de BIND, distribuidas por otras partes, siguen siendo vulnerables al no contener el cambio #3548.
Afecta a versiones de BIND 9.1.0 a 9.8.4-P2 y 9.9.0 a 9.9.2-P2, que no incluyan el cambio #3548 (anteriores a mayo de 2013).
Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P3, 9.10.4-P3 y 9.11.0, disponibles  desde http://www.isc.org/downloads
Más información:
  • CVE-2016-2848: A packet with malformed options can trigger an assertion failure in ISC BIND versions released prior to May 2013 and in packages derived from releases prior to that date.  https://kb.isc.org/article/AA-01433
Fuente: Hispasec.com

ORACLE. Solventa 253 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 253 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Recursos afectados
Detalle de la actualización
Relación de productos y número de vulnerabilidades corregidas en cada uno de ellos:
  • Nueve nuevas vulnerabilidades corregidas en Oracle Database Server (una de ellas explotable remotamente sin autenticación), 2 vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph. Afectan a los componentes: OJVM, Kernel PDB, Application Express, RDBMS Programmable Interface, RDBMS Security y RDBMS Security and SQL*Plus.
  • Otras 29 vulnerabilidades afectan a Oracle Fusion Middleware. 19 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), NetBeans, Oracle Big Data Discovery, Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle Discoverer, Oracle GlassFish Server, Oracle Identity Manager, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle Outside In Technology, Oracle Platform Security for Java, Oracle Web Services y Oracle WebCenter Sites.    
  • Esta actualización contiene cinco nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, cuatro de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager, Oracle Application Testing Suite y Enterprise Manager Base Platform.   
  • Dentro de Oracle Applications, 21 parches son para Oracle E-Business Suite, 19 parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, dos para productos Oracle JD Edwards, tres para Oracle Siebel CRM y siete para Oracle Commerce.
  • Se incluyen también 36 nuevos parches para Oracle Communications Applications, 31 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar tan solo una nueva corrección para Oracle Health Sciences Applications (aunque podría ser explotable remotamente sin autenticación). También incluye un nuevo parche para Oracle Insurance Applications y tres para Oracle Hospitality Applications.
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Retail Applications, 10 de ellas explotables remotamente sin autenticación.
  • También se incluyen dos nuevos parches de seguridad para software Oracle Primavera Products Suite, una de ellas podría explotarse de forma remota sin autenticación.
  • En lo referente a Oracle Java SE se incluyen 7 nuevos parches de seguridad, todos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
  • Para la suite de productos Oracle Sun Systems se incluyen 16 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
  • 31 nuevas vulnerabilidades afectan a MySQL Server (dos de ellas podrían ser explotada por un atacante remoto sin autenticar).
  • Esta actualización también contiene 13 parches para Oracle Virtualización.
  • Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
  • Oracle Critical Patch Update Advisory – October 2016 http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
Más información:
Fuente: Hispasec.com

OPENOFFICE. Anunciadas varias vulnerabilidades.

Se han anunciado dos vulnerabilidades en OpenOffice que podría llegar a permitir la ejecución remota de código arbitrario.
Apache OpenOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).
La primera vulnerabilidad, identificada como CVE-2016-6803, reside en el instalador de Apache OpenOffice para Windows por una ruta de búsqueda Windows sin comillas, lo que podría permitir la ejecución de software no deseado por una aplicación troyanizada.
Por otra parte, con CVE-2016-6804, otra vulnerabilidad en el instalador para Windows que podría permitir la carga de una dll falsa y de esa forma lograr ejecutar código arbitrario con privilegios elevados.
Recursos afectados
  • Se ven afectadas todas las versiones de OpenOffice 4.1.2 y anteriores, también afectan a OpenOffice.org. Estas vulnerabilidades están corregidas en OpenOffice 4.1.3.
Recomendación
Más información:
Fuente: Hispasec

ISC BIND. Fallo de aserción

Se ha identificado un fallo de aserción y salida de ejecución en ISC BIND al procesar paquetes malformados, catalogado de Importancia: 4   - Alta
Recursos afectados:
  • Versiones de BIND que no incluyen el cambio #3548 (anteriores a mayo 2013):
  • ISC BIND versiones 9.1.0 a 9.8.4-P2
  • ISC BIND versiones 9.9.0 a 9.9.2-P2
Recomendación
Actualizar a una versión posterior a mayo de 2013. Las versiones actuales son:

  • BIND 9 version 9.9.9-P3
  • BIND 9 version 9.10.4-P3
  • BIND 9 version 9.11.0
Detalle e Impacto de la vulenrabilidad

  • Un paquete con sección de options mal formada puede ser utilizado para causar un fallo de aserción, provocando la salida de ejecución en las versiones de BIND que no tienen aplicado el cambio #3548. Este cambio fue incluido en las versiones ISC BIND de 9 de mayo 2013. Se ha asignado el CVE-2016-2848 a esta vulnerabilidad.
Más información
  • CVE-2016-2848: A packet with malformed options can trigger an assertion failure in ISC BIND versions released prior to May 2013 and in packages derived from releases prior to that date. https://kb.isc.org/article/AA-01433
Fuente: INCIBE

CISCO. Detectada múltiples vulnerabilidades en algunos productos

Cisco ha informado de varias vulnerabilidades que afectan a sus productos: una es de importancia crítica, dos de importancia alta y cuatro de importancia media, que podrían permitir entre otros: desbordamiento de memoria, realizar denegación de servicios, fuga de información, ataques CSRF, etc. Estas vulnerabilidades se han catalogado de 5  - Crítica
Recursos afectados:
OpenSSL: en el momento de publicación de este aviso Cisco está investigando qué productos están afectados por la vulnerabildad en OpenSSL.
Las vulnerabilidades afectan a los siguientes productos:
  • Cisco ASA Software ejecutado en los siguientes productos:
  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco Catalyst 6500 Series/7600 Series ASA Services Module
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco ASA for Firepower 9300 Series
  • Cisco ASA for Firepower 4100 Series
  • Cisco ISA 3000 Industrial Security Appliance
Los siguientes productos están afectados siempre que se trate de las versiones 5.4.1.5, 6.0, o 6.0.0.1:
  • Adaptive Security Appliance (ASA) 5500-X Series with FirePOWER Services
  • Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
  • Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
  • Firepower 4100 Series Security Appliances
  • FirePOWER 7000 Series Appliances
  • FirePOWER 8000 Series Appliances
  • Firepower 9300 Series Security Appliances
  • FirePOWER Threat Defense for Integrated Services Routers (ISRs)
  • Sourcefire 3D System Appliances
  • Virtual Next-Generation Intrusion Prevention System (NGIPSv) for VMware
  • Cisco Meeting Server
  • Cisco IOS y Cisco IOS XE Software
Recomendación
Detalle e Impacto de las vulnerabilidades
Las vulnerabilidades publicadas más importantes son:
  1. Desbordamiento de memoria y ejecución de código (crítica): una vulnerabilidad en la característica Identity Firewall del Cisco ASA Software permitiría a un atacante remoto provocar un reinicio del sistema o ejecución de código.
  2. Denegación de servicio (alta): una vulnerabilidad en el re-ensamblaje del motor de detección de paquetes HTTP del Cisco Firepower System Software permitiría a un atacante remoto no autenticado, provocar una denegación de servicio debida al reinicio inexperado del proceso de Snort.
  3. Denegación de servicio (alta): una vulnerabilidad en la característica del CA (Certificate Authority) local del software Cisco ASA permitiría a un atacante remotod no autenticado, provocar un reinicio de los sistemas afectados.
  4. El resto de vulnerabilidades, de importancia media, pueden consultarse desde el apartado de referencias del aviso  https://tools.cisco.com/security/center/publicationListing.x
Más información
Fuente: INCIBE

LINUX. Dirty cow, el zero-day que cumple 9 años oculto en el S.O.

Esta vulnerabilidad ha sido registrada bajo el código CVE-2016-5195, aunque los expertos de seguridad y los administradores de sistemas de refieren a ella como Dirty Cow (copy-on-write). Según el informe oficial de Linux, este fallo lleva presente en el sistema operativo desde el año 2007, es decir, lleva entre nosotros 9 años, aunque no había sido detectado hasta ahora, al menos por los expertos de seguridad de Red Hat.
Dirty Cow se genera debido a que determinadas tareas se ejecutan en un orden incorrecto dentro del sistema. Por ello, la memoria del Kernel almacena una copia de las páginas de memoria con datos privados en vez de borrarlas una vez procesadas. Aprovechando este fallo, los piratas informáticos pueden llegar a ser capaces de elevar sus permisos dentro del sistema hasta llegar al máximo nivel, root. Además, este fallo puede llegar a permitir al atacante modificar los binarios o configurarlos con sus propios permisos.
Aunque no hay evidencias de que este esta vulnerabilidad haya sido explotada desde su introducción en 2007, los expertos de seguridad sí que han visto un exploit circulando por la red que buscaba aprovecharse precisamente de él, siendo esto lo que, en realidad, ha activado las alarmas y ha dado lugar al descubrimiento del fallo.
Dirty Cow no es una vulnerabilidad crítica, aunque debemos tomarla en serio
  • A pesar de que este fallo no ha sido considerado como “crítico” por los investigadores ni por el propio Linus Torvalds, los expertos de seguridad que la han descubierto aseguran que debemos tomarla en serio ya que se trata de un fallo real, y serio, que, además, al existir un exploit, puede estar siendo explotado por piratas informáticos a través de Internet.
  • Todas las vulnerabilidades de los distintos sistemas operativos deben ser tomadas muy en serio, no solo aquellas a las que se las asigne la etiqueta de “crítica”. Por ello, es recomendable que todos los usuarios de Linux, especialmente aquellos responsables de un servidor conectado a Internet, lo actualicen lo antes posible para implementar el nuevo parche y asegurarse así de que ningún pirata informático se aprovecha de Dirty Cow para ganar permisos en su sistema.
Más información
Fuente: Redeszone.net

WEEBLY. Confirman que fallo de seguridad afectó a 43 millones de usuarios

Desde Weebly han confirmado el problema y aseguran que a día de hoy no existe ningún riesgo para las cuentas de usuario y los datos albergados en ellas.
En febrero de este año se produjo el acceso no autorizado que provocó la filtración de los datos de 43 millones de usuarios del servicio, algo que no se ha sabido hasta hace poco, ya que desde el propio servicio no lo han reconocido como tal e informado sobre ello desde hace poco. Sí que es verdad que semanas después de producirse el acceso no autorizado se restablecieron una gran cantidad de contraseñas pero no se dieron más detalles al respecto, resultando un tanto sospechoso.
Desde el servicio indican que los datos están a salvo y que en la actualidad no existe ningún peligro, aunque esto es un tanto subjetivo, ya que es sabido que en cualquier momento los ciberdelincuentes pueden explotar cualquier vulnerabilidad o encontrar fallos de seguridad en los servicios.
Pero es ahora cuando se ha producido un reseteo masivo de los contraseñas, un tiempo que puede considerarse excesivo, sobre todo si pasadas unas semanas ya sabían que la brecha de seguridad había existido.
¿Qué información de mi cuenta de Weebly se ha visto comprometida?
  • De entrada hay que decir que la información nunca ha sido del todo clara, respondiendo al proceso de reseteo de contraseñas que se ha llevado a cabo. Los responsables de Weebly han indicado que las contraseñas de las cuentas se encuentran cifradas y que el servidor en el que se están almacenadas no se ha visto afectado por el fallo de seguridad. Informan que se está notificando en la actualidad a los usuarios vía correo electrónico sobre el proceso de reseteo de las contraseñas.
  • Con respecto al resto de información, tal vez el aspecto más importante es que millones de cuentas de correo electrónico han caído en manos de los ciberdelincuentes, una buena oportunidad para lanzar campañas spam.
Fuente: Softpedia