28 de diciembre de 2017

EEUU. Obama insta a "líderes" a no dividir a la sociedad con los sesgos de internet

El ex presidente estadounidense Barack Obama dijo que la forma en que la gente se comunica a través de las redes sociales genera el riesgo de dividir a la sociedad y que los líderes deben asegurar que internet no encierre a los usuarios dentro de sus propios sesgos.
Imagen de archivo del príncipe Enrique de Inglaterra (dcha) y el expresidente de Estados Unidos Barack Obama viendo un partido de baloncesto en silla de ruedas durante los Invictus Games en Toronto, Canadá. 29 septiembre 2017. REUTERS/Mark Blinch
“Los líderes debemos encontrar formas para poder recrear un espacio común en internet”, dijo Obama en una entrevista con el príncipe Enrique de Inglaterra emitida por la radio de la BBC el miércoles. “Uno de los peligros de internet es que la gente puede tener realidades enteramente diferentes, pueden cobijarse en la información que refuerza su sesgo actual”, agregó.
Obama ya había advertido antes que las plataformas de redes sociales pueden llevar a las personas a hacer juicios rápidos sobre decisiones complejas, aunque se ha abstenido de criticar a su sucesor Donald Trump, quien usa Twitter regularmente.
El exmandatario afirmó que las redes sociales deben promover visiones de manera que “no lleven a una balcanización de nuestra sociedad” y que trasladar a comunidades online fuera de la red ayudó a las personas a ver que muchos temas no son tan simples como puede parecer en un chat.
“También es más difícil ser tan ofensivo y cruel en persona como la gente puede ser anónimamente en internet”, señaló. “Reúnanse en un pub (...) Encuéntrense en un lugar de oración, en un vecindario y conózcanse”.
Obama habló con Enrique en una entrevista realizada por el príncipe como editor invitado para el programa matinal de noticias en la radio de la BBC y estuvo enfocado en su interés común en promocionar causas.
Harry fue consultado por la BBC si invitaría a los Obama a su casamiento del año próximo con la actriz estadounidense Meghan Markle. “No lo sé”, respondió Harry. “No hemos hecho las invitaciones o hecho la lista de invitados juntos. Quién sabe si van a ser invitados o no. No me gustaría arruinar esa sorpresa”.
El diario The Sun informó el martes que funcionarios del Gobierno británico habían instado a Harry a no invitar a la familia Obama a su matrimonio por temor a que esto molestara a Trump.
Fuente: Reuters

EUROPA. Llega tarde a la carrera de la computación cuántica

La Hoja de Ruta, recientemente publicada, y la inversión de 1.000 millones de euros llevan mucho retraso frente a otras potencias como China y EE. UU. Pero hay dos áreas bastante inexploradas que podrían dar ventaja y compensar la inversión del viejo continente
La carrera para conquistar el mundo cuántico es una de las más feroces de la tecnología. Tanto China como Estados Unidos han invertido miles de millones en el desarrollo de nuevos sistemas de computación capaces de explotar las extrañas leyes de la física asociadas a los efectos cuánticos. ¿La promesa? Una nueva informática y de comunicación y, por supuesto, riquezas inimaginables (ver La carrera por la supremacía cuántica choca con la ausencia de aplicaciones prácticas reales).
Pero en medio de esta emoción, hay una parte del mundo se está quedando atrás. Aunque Europa tiene una rica historia de innovación en física cuántica, en los últimos años ha empezado a quedarse rezagada respecto a sus competidores mundiales.
Por eso, la Comisión Europea anunció en 2016 que estaba invirtiendo 1.000 millones de euros en una iniciativa de investigación, la Quantum Technology Flagship. Su objetivo consiste en desarrollar cuatro tecnologías: comunicación cuántica, simulación cuántica, computación cuántica y detección cuántica. Después de casi dos años, ¿cómo está yendo?
Controlar los sistemas cuánticos es un desafío significativo.
La reciente publicación de la Hoja de Ruta Europea de las Tecnologías Cuánticas, una versión actualizada del documento que establece los objetivos del proyecto para los próximos 10 años, puede ayudar a responder a la pregunta. En particular, el texto describe dos áreas emergentes que han generado menos interés en otras partes del mundo: el software cuántico y control cuántico. Esto podría tener implicaciones importantes para el futuro de las tecnologías cuánticas europeas.
El documento comienza por establecer el enfoque de ambas áreas . La primera, la comunicación cuántica, permitiría enviar datos de una ubicación a otra con total privacidad, gracias las leyes de la física (ver La física cuántica ya permite enviar mensajes de forma 100% segura). Esto es cada vez más importante, dado que el avance de la propia computación cuántica amenaza con romper cualquier tipo de encriptación actual (ver Empezar a protegerse contra la computación cuántica o esperar a la catástrofe). La comunicación segura es uno de los pilares de la sociedad moderna, pues el comercio electrónico y garantiza la privacidad de las comunicaciones empresariales, gubernamentales y militares.
El problema es que los sistemas de comunicación cuántica que existen actualmente son caros y complejos de administrar y ejecutar. El siguiente paso en su evolución es hacerlos mucho más manejables (ver Este diminuto 'router' cuántico podría ser la base del internet cuántico del futuro).
La comisión sostiene que este objetivo se logrará de formas inminente: "Es previsible que, en los próximos tres años, se desarrollen sistemas autónomos (de comunicación cuántica) para distancias metropolitanas que consigan bajos costes de implementación, altas tasas de seguridad (> 10 Mbps) y multiplexación".
Otro problema es que la comunicación cuántica solo funciona en conexiones situadas a una distancia máxima de unos 100 kilómetros. Así que los investigadores también están trabajando en enrutadores cuánticos que puedan enviar las señales mucho más lejos. Sobre esto, el informe estima: "En seis años, es probable que los veamos [los sistemas de comunicación cuántica] en redes de bancos de pruebas (que funcionen a largas distancias a través de nodos de confianza), en sistemas de plataformas de gran altitud o satélites, así como en redes intraurbanas conmutables o de nodos múltiples; y todo esto requerirá proyectos de infraestructura a gran escala ".
La siguiente área es la computación cuántica, que utiliza procesos cuánticos para generar un impresionante rendimiento de procesamiento de datos. Hasta ahora, esto ha sido posible a pequeña escala, con solo unos pocos bits cuánticos o cúbits. El desafío actual consiste en escalar los ordenadores cuánticos más allá de los 100 cúbits.
Esta hoja de ruta describe cinco posibles formas de hacerlo, mediante sistemas que almacenan y procesan la información cuántica de forma distinta (ver Los ordenadores cuánticos con cúbits atómicos podrían superar a los superconductores). Estos sistemas incluyen almacenar la información en iones atrapados en un campo magnético o en núcleos atómicos incrustados en silicio o carbono, en el flujo de corriente a través de pequeños circuitos superconductores o en fotones que viajan a través de circuitos fotónicos. Claramente, lo que la comisión espera es un procesamiento cuántico a gran escala que utilice una o más de estas tecnologías para dentro de entre cinco a 10 años. Lo que no está claro es si Europa será la primera en conseguir un sistema de este tipo o se conseguirá en otra parte del mundo.
La simulación cuántica es la tercera área de inversión (ver ¿Podría arrojar luz sobre el origen de la vida la simulación cuántica?). Simular propiedades cuánticas complejas en un ordenador tradicional es casi imposible. Pero sí es posible sistemas cuánticos para simular aspectos de otros sistemas cuánticos de manera más o menos perfecta. Para conseguirlo, los físicos están jugando con varios enfoques. La idea básica es encontrar un sistema cuántico que se entienda bien, y que sea fácil de manipular y medir, para luego usarlo para simular un sistema con el que es difícil tratar.
Los sistemas que se conocen bien incluyen átomos y moléculas ultrafríos, iones atrapados en campos magnéticos y circuitos superconductores. Los sistemas más complejos, y que los físicos aún intentan dominar, están presentes en la física de alta energía, en la cosmología, en la física estadística e, incluso, en la biología, donde los procesos cuánticos parecen desempeñar un papel en la transferencia de energía. Se espera que la simulación cuántica pueda proporcionar información sobre todas estas áreas.
Pero hay desafíos notables. Como la búsqueda de sistemas interesantes que puedan simularse con algunas de las técnicas existentes y el diseño de un experimento adecuado para comprobarlo. Además, los físicos deben encontrar formas de asegurarse de que el sistema ha realizado correctamente la simulación. Todavía no está claro cuántas de estas ideas podrán realizarse en los próximos 10 años.
La cuarta área de interés es la detección cuántica y la metrología. Si queremos explotar el mundo cuántico, debemos ser capaces de analizarlo y sentirlo. Eso implica medir el universo en una escala de átomos y fotones, y en escalas de tiempo apropiadamente cortas. Los físicos tienen una amplia variedad de herramientas para hacerlo, pero todas necesitan mejorar: los relojes cuánticos deben hacerse más precisos, los sensores atómicos más sensibles, y los sensores optomecánicos más capaces.
La hoja de ruta termina con una discusión sobre dos nuevas áreas de interés. La primera es el control cuántico: la capacidad de manipular sistemas cuánticos mediante campos o fuerzas electromagnéticas externas. El informe detalla: "El objetivo del control cuántico es diseñar e implementar formas de pulsos de campos externos o secuencias pulsos, que alcancen una tarea determinada en un sistema cuántico de la mejor manera posible".
En otras palabras, se trata de impulsar los sistemas cuánticos con ondas de radio y rayos láser para que adopten un comportamiento concreto. El objetivo es que este tipo de control de los sistemas cuánticos permita una computación y una simulación cuánticas a gran escala, entre otras cosas.
La segunda de estas nuevas áreas es el desarrollo de software cuántico, que es mucho más difícil de desarrollar que el software ordinario porque los cúbits pueden existir como ceros y como unos al mismo tiempo. Eso significa que varios cúbits pueden realizar muchos cálculos en paralelo, y por eso las computadoras cuánticas son tan poderosas. Sin embargo, extraer la respuesta de estos cálculos es difícil. Y eso hace que los algoritmos cuánticos sean enormemente frágiles.
La esperanza final es que los algoritmos cuánticos superen drásticamente a los cálculos clásicos. Pero, en realidad, encontrar algoritmos capaces de hacerlo es complicado. Este software deberá funcionar tanto en la escala de ambas computadoras como en redes enteras. Avanzar esta rama puede hacer que Europa supere a los competidores que le sacan ventaja en el desarrollo de hardware.
Uno de los problemas más emocionantes consiste en desarrollar una teoría de la información cuántica. La teoría clásica de la información fue desarrollada en las décadas de 1940 y 1950 por el matemático e ingeniero Claude Shannon, y se ha convertido en la base de la informática y la comunicación modernas. Una teoría igualmente poderosa para la información cuántica elude a los teóricos, pero desarrollarla es un objetivo importante en Europa. Del resultado dependerán muchas cosas.
Si esta hoja de ruta es un resumen del enfoque que plantea Europa para el desarrollo de las tecnologías cuánticas, es poco probable que haya impresionado a sus rivales mundiales. El plan carece de ambición si se compara con el trabajo en otros lugares del mundo. Por ejemplo, China ya tiene un satélite en órbita capaz de comunicarse cuánticamente con la tierra, y es la envidia de la comunidad cuántica mundial (ver Un fotón se teletransporta desde la Tierra al espacio por primera vez).
Lo único emocionante de la hoja de ruta europea se centra en el control cuántico y software cuántico. Se trata de tecnologías con amplias aplicaciones en el mundo cuántico y que podrían constituir un importante trampolín para Europa.
Un gran desconocido es el papel de la industria en el futuro de las tecnologías cuánticas. Europa está desesperada por asociarse con compañías como Google, IBM y Microsoft, que están desarrollando tecnologías cuánticas propias. Pero gran parte de este trabajo se ha realizado en los Estados Unidos. Al menos, hasta ahora. Cambiar ese enfoque debe ser una prioridad para que Europa obtenga las recompensas adecuadas de su inversión de 1.000 millones de euros.
Fuente: MIT Technology Review

ANDROID. Vulnerabilidad permite capturas de pantalla o grabar audio sin permiso en 77,5% dispositivos

Investigadores de la compañía de ciberseguridad Check Point han descubierto una vulnerabilidad en Android a través de la que es posible realizar capturas de pantalla o grabar audio de forma remota sin el consentimiento del usuario del dispositivo móvil. Esta vulnerabilidad afecta a las versiones 5.0, 6.0 y 7.0 del sistema operativo, presentes en el 77,5% de los terminales Android de todo el mundo.
Según ha explicado Check Point en un comunicado, este fallo de seguridad está basado en el servicio MediaProjection, implantado en Android 5.0 Lollipop para el uso de aplicaciones de terceros. Esta vulnerabilidad permite usar una pantalla superpuesta sobre los permisos de usuario para el uso de este servicio por parte de las 'apps', de modo que la víctima otorga los derechos sin ser consciente de ello.
La compañía israelí ha concretado que Google ha solucionado este fallo en la reciente versión 8.0 Oreo de Android, pero se mantiene sin corrección en las ediciones 5.0 Lollipop, 6.0 Marshmallow y 7.0 Nougat. Según Check Point, los dispositivos móviles que emplean estas versiones del sistema operativo y que, por tanto, están expuestos a esta vulnerabilidad representan aproximadamente el 77,5% del total en todo el mundo.
MENSAJES FALSOS PARA OBTENER PERMISOS
Check Point ha precisado que el uso de MediaProjection por parte de una 'app' no cuenta con una ventana específica de autorización por parte del usuario, como sí lo tienen otras funciones como el acceso a los contactos o a la ubicación. En su lugar, aparece una ventana distinta, conocida como SystemUI, cuando una aplicación trata de acceder a este servicio.
Según los investigadores de la empresa de ciberseguridad, un 'software' es capaz de detectar el momento en que SystemUI está a punto de aparecer y mostrar un mensaje falso que oculta el original y que persuade al usuario del dispositivo para que autorice el acceso a MediaProjection.
Una vez concedidos estos permisos, la aplicación maliciosa puede realizar capturas de pantalla y grabar audio, aunque aparecerá un indicador en la barra de notificaciones. No obstante, Check Point ha comentado que la mayoría de usuarios "probablemente no entienda su verdadero significado".
La táctica de pantalla superpuesta, conocida como 'clickjacking', es un método muy frecuente en el 'malware' bancario y el 'ransomware'. A pesar de que Google ha hecho esfuerzos "significativos" para mitigar esta estrategia, todavía es una "vía exitosa" de engaño para la obtención de credenciales, ha explicado la empresa israelí.
Fuente: Europa Press

JJOO 2020. Japón utilizará reconocimiento facial para identificar deportistas y profesionales acreditados

Los Juegos Olímpicos de Tokio 2020 (Japón), así como sus equivalentes Juegos Paralímpicos, utilizarán un sistema de reconocimiento facial para controlar la entrada a los recintos olímpicos del personal, los deportistas y los medios de comunicación acreditados.
La decisión, procedente del comité de organización de los Juegos en la ciudad nipona, se debe a motivos de seguridad, y aspira a evitar la intrusión de personas mediante el robo de tarjetas identificativas, como ha publicado el medio local The Japan Times citando fuentes de la organización del evento.
Los sistemas de reconocimiento facial se colocarán en las entradas a los recintos olímpicos y en las salas de prensa. Estos detectarán los rostros de las personas y los compararán con una base de datos de imágenes de los acreditados en busca de posibles discrepancias.
La organización de los Juegos emitirá de todas formas un total de entre 300.000 y 400.000 identificaciones físicas, con fotografía incluida, para el total de personas acreditadas, según estimaciones recogidas por el citado medio. La compañía japonesa NEC Corp será la responsable de aplicar su tecnología en el evento en la capital asiática.
NEC Corp ya utiliza su sistema de reconocimiento facial, denominado NeoFace, con pasajeros en el aeropuerto de Haneda (Japón) desde el pasado mes de octubre, y la compañía asegura en su página web que este funciona incluso cuando la persona lleva gorro, gafas de sol o ha envejecido respecto a la fotografía.
Al aplicar el reconocimiento facial, la organización tiene como objetivo también reducir los tiempos de espera en los ingresos y evitar colas. Este sistema ya se probó durante los Juegos Olímpicos de Río 2016 (Brasil), en el centro de información de la delegación olímpica de Japón.
A pesar de su uso entre personal de organización, deportistas y periodistas, la organización de Tokio 2020 no aplicará esta tecnología para los espectadores, que mantendrán el sistema de billetes y de registros de mochilas y bolsas que se utiliza habitualmente, según The Japan Times.
Fuente: Europa Press

El ransomware BadRabbit es capaz de esquivar algunas herramientas de seguridad

Conocido desde octubre la presencia de esta amenaza, su actividad se ha visto incrementada, sobre todo por la llegada del periodo navideño. Expertos en seguridad han descubierto un aspecto cuanto menos curioso de esta amenaza: BadRabbit es capaz de eludir la protección ofrecida por las herramientas de seguridad de la compañía rusa Dr. Web.
En este caso, cuando hablamos de eludir o evitar, el resultado no es satisfactorio para la amenaza.
Expertos en seguridad han aplicado ingeniería inversa a uno de los ejecutables de esta amenaza. Durante el análisis, descubrieron que si el equipo ejecuta alguno de los 4 procesos relacionados con las herramientas de seguridad de la firma rusa, su flujo se detiene. O lo que es lo mismo, no intenta hacer nada, ni cifrar la información ubicada en el equipo ni extenderse a otros equipos de red. Además de la empresa de seguridad FireEye, ha quedado también confirmado por Cylance.
El motivo para que esto sea así es una incógnita. No se sabe a ciencia cierta el motivo que les ha llevado a los propietarios de esta amenaza a llevar a cabo esta programación.
Desde Dr. Web también han querido salir al paso de este comportamiento. Indican que es cierto que en el momento de detectar uno de los productos en el sistema el funcionamiento “normal” de la amenaza se detiene. Indican que los propietarios de BadRabbit “tienen miedo” de los productos de la firma. La realidad es que, desde Dr. Web, han conseguido poner fin a varios ataques malware.
BadRabbit es muy peligroso
Para todos aquellos que no sepan de qué estamos hablando, la amenaza, una vez alcanza el equipo, lo primero que busca es el cifrado del MBR del disco. Es decir, el arranque del equipo sería imposible.
Desde Dr. Web indican que, cuando el equipo Windows está aún arrancando los procesos del sistema, se ha detectado que en algunas ocasiones el cifrado ha comenzado en esa etapa temprana. O lo que es lo mismo, cuando los procesos de la herramienta de seguridad de la firma rusa aún no han comenzado.
No es la única familia de productos de seguridad que evita
Expertos en seguridad indican que también se produce un comportamiento anómalo en equipos con sistema operativo Windows y la presencia de soluciones de seguridad de McAfee.
Al igual que en el caso anterior, tras el reinicio del equipo busca llevar a cabo el cifrado de la información del disco, o al menos de parte. Lo que sí aplaza es su expansión a otros equipos de la red.
La mayor parte de los equipos que están afectados por BadRabbit se localizan en Europa del Este, Estados Unidos y algunas zonas del norte de Europa. Por el momento, nuestro país queda excluida de la zona de difusión de esta amenaza. Sin embargo, aún es pronto para saber qué sucederá a corto plaza.
Hay que recordar que la amenaza apareció por primera vez en el mes de octubre. De acuerdo con el análisis realizado por los expertos en seguridad, indican que el recorrido de este ransomware es mucho mayor.
Fuente: PCMag

“CONNECT WITH FACEBOOK”. Nuevo phishing que utiliza la imagen de la red social

Al menos los usuarios están mejor concienciados sobre los ataques que rodean a la madre de las redes sociales. Expertos en seguridad han detectado un nuevo ataque phishing que utiliza la imagen de Facebook. Presentando la frase “Connect with Facebook”, los ciberdelincuentes pretenden hacer creer a los usuarios que es necesario iniciar sesión con la cuenta del servicio para acceder a cierta información o funciones.
Una vez más los ciberdelincuentes se están valiendo se valen de páginas web falsas. Estas han sido decoradas con elementos que poseen un estilo similar al de Facebook. Estas estafas se están distribuyendo a través de páginas web con una legitimidad dudosa. El usuario se siente atraído por un contenido que no es accesible. De este modo, para ver que se esconde detrás del pop-up acceden la redirección de la navegación para visitar el formulario.
Se trata de que el usuario acceda de cualquier forma al formulario. En esta práctica, la imaginación de los ciberdelincuentes es la que manda. Imágenes, textos, accesos no autorizados, y así hasta completar una larga lista de trucos utilizados.
Para convencer a los usuarios de que deben acceder, los ciberdelincuentes utilizan algunos mensajes informando sobre bloqueos de la cuenta. Estos son algunos ejemplos:
Dear Facebook users
Your account is reported to have violated the policies that are considered annoying or insulting Facebook users. Please confirm your account with accurate data to avoid blocking. Note: if you do not verify your account permanently disabled automatically. Thanks, the Facebook team
Y el otro tipo de mensaje:
We will temporarily lock your account. Please answer a few security questions to ensure that the actual owner of your account. We will provide 1X24 hours, to verify the identity of your account. If you do not confirm, the system will automatically shut down your Facebook account permanently.
This information will help us to restore your Facebook account
Teniendo en cuenta que los ciberdelincuentes utilizan un servicio de Google, cuando el usuario accede verá HTTPS en lugar de HTTP. Este no será un detalle que haga dudar. Lo que sí será clave será la dirección URL, no correspondiendo con la red social Facebook.
De nuevo sites de Google ofreciendo servicio a los ciberdelincuentes
De la misma forma que Drive sirve para alojar malware y que los usuarios realicen su descargar a través de enlaces. Expertos en seguridad han detectado que la totalidad de sitios web a los que el usuario es redirigido se encuentran bajo el servicio sites del Gigante de Internet. Para ser mucho más precisos, este es el listado de páginas que estaba activas en el momento de la redacción de este artículo:
sites.google.com/site/wwwpagesinfoterms12/
sites.google.com/site/info30021033700i/
sites.google.com/site/policyclaming767005/
sites.google.com/site/recoveryfbunblockingcenter/
sites.google.com/site/wwwpagesconfirms1202/
sites.google.com/site/noticereportslogsinfoo050/
sites.google.com/site/wwwpagesinfonet/
sites.google.com/site/help151054141104105140/
sites.google.com/site/info20012001320i1/
Se trata de un problema que no solo afecta a la compañía con sede en Mountain View. Son muchos los servicios de hosting y de almacenamiento de archivos en la nube los que deben ver cómo los ciberdelincuentes utilizan sus recursos para estafar a los usuarios. Por desgracia, es algo que resulta bastante complicado de controlar.
Fuente: Blog Malwarebytes

INTERNET DE LAS COSAS. Vulnerabilidad afecta a cientos de miles de dispositivos

Ahora nos llega una nueva vulnerabilidad que pone en riesgo cientos de miles de dispositivos del conocido como Internet de las Cosas. Afecta a un servidor donde se integran estos dispositivos. Dicha vulnerabilidad afecta a GoAhead, un pequeño paquete de servidor web creado por Embedthis Software LLC. Se trata de una compañía con sede en Seattle, en Estados Unidos.
Dispositivos del Internet de las Cosas afectados
En la página principal de GoAhead, Embedthis afirma que su producto se implementa actualmente en dispositivos lanzados por grandes nombres de la industria como Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon y muchos otros.
Este pequeño servidor web es bastante popular entre los proveedores de hardware. Se puede ejecutar en dispositivos con recursos limitados, como dispositivos del Internet de las Cosas (IoT), routers, impresoras y otros equipos de red.
Esta semana, investigadores de seguridad de la empresa australiana Elttam descubrieron una forma de ejecutar código malicioso de manera remota en dispositivos que utilizan el paquete del servidor web GoAhead.
Los atacantes pueden explotar este defecto si CGI está habilitado y un programa CGI está vinculado dinámicamente, que es una opción de configuración bastante común.
Parche
Elttam informó el error a Embedthis, y el servidor lanzó un parche. Se presume que todas las versiones de GoAhead anteriores a GoAhead 3.6.5 son vulnerables. Eso sí, los investigadores solo verificaron el error en las versiones de GoAhead que datan de la versión 2.5.0.
Embedthis ha hecho su parte. Ahora, lo que queda es que todos los proveedores de hardware incorporen el parche GoAhead en una actualización de firmware para todos los dispositivos afectados.
Se espera que dicho proceso tarde meses o incluso años, mientras que algunos dispositivos no recibirán ninguna actualización porque ya pasaron su fecha de finalización de la vida útil.
Según una búsqueda básica de Shodan arroja resultados que varían de 500.000 a 700.000, dependiendo de los dispositivos disponibles en línea en un momento u otro.
Elttam ha lanzado un código de prueba de concepto que otros investigadores pueden usar para probar y ver si los dispositivos son vulnerables a la vulnerabilidad CVE-2017-17562.
Se espera que esta vulnerabilidad en un pequeño componente de software cause grandes problemas en el futuro.
Vulnerabilidades anteriores
No obstante, esta no es la primera vulnerabilidad encontrada en GoAhead. En marzo, los investigadores de seguridad Pierre Kim e Istvan Toth encontraron de forma independiente diferentes defectos de GoAhead, mientras que Cybereason también encontró otros defectos en 2014.
Los malware para el Internet de las Cosas como Mirai, Hajime, BrickerBot, Persirai y otros, fueron vistos explotando fallos de seguridad de GoAhead en el último año. Desafortunadamente, los eventos pasados nos dicen que los autores de malware de IoT saltarán sobre este error y comenzarán a explotarlo en ataques, si es que aún no lo han hecho. Con un conjunto tan grande de dispositivos disponibles en línea, esto es casi una certeza.

Fuente: Bleeping Computer

ORANGE. Usuarios del router de Huawei HG532, en jaque por ataque

Uno de los routers que utiliza Orange para sus clientes con ADSL, el Huawei HG532, está sufriendo ataques de la botnet Mirai. Como sabemos, se trata de un malware cuyo fin es infectar los dispositivos del conocido como Internet de las Cosas. Infecta, entre otros, routers y cámaras IP. En el caso del router de Orange lo infecta mediante el protocolo UPnP. Cuando lo logra, el aparato puede utilizarse para ataques de denegación de servicios (DDoS).
Ataque hacia el router Huawei HG532
Entre los ataques de la botnet Mirai se encuentran algunos de los más grandes de la historia del tipo DDoS. Por ello este ataque que afecta a los routers Huawei HG532, que utiliza Orange para el ADSL, pone en jaque a muchos usuarios.
El objetivo de Huawei era que su router Home Gateway fuera simple y sin fisuras para poder integrarse en redes tanto domésticas como corporativas. Es por ello que utiliza el protocolo UPnP, que, como hemos mencionado, infecta la botnet Mirai. Este protocolo, Universal Plug and Play, funciona a través del estándar de informe técnico TR-064.
Este informe está diseñado para la configuración de red local. En la práctica permite a un ingeniero implementar la configuración básica del dispositivo, actualizaciones de firmware y otras características dentro de la red interna.
El problema que se ha descubierto es que la implementación TR-064 en dispositivos Huawei desafortunadamente permite a los atacantes remotos ejecutar comandos en el dispositivo. Esto pone en riesgo a los usuarios de ADSL de Orange que utilicen este dispositivo para conectarse a Internet.
Actualización del firmware
Tan pronto como se confirmaron los hallazgos, la vulnerabilidad fue revelada a Huawei para intentar evitar que el problema fuera a más. Gracias a la comunicación rápida y efectiva del equipo de seguridad de Huawei, la empresa pudo corregir rápidamente la vulnerabilidad y actualizar a sus clientes.
Desde Huawei recomiendan a todos los usuarios que tengan este router activar el firewall del equipo. Ha liberado una nueva versión del firmeware a los diferentes proveedores de Internet.
Según informan los analistas de Check Point, los ataques que utilizaban la vulnerabilidad desconocida en los routers Huawei HG532 afecta a países de todo el mundo. Sin embargo señalan que Estados Unidos, Alemania, Italia o Egipto han sido algunos de los más afectados.
Identidad del atacante
En un principio se desconocía la identidad del autor de estos ataques. Era difícil de descubrirlo ya que se ocultó detrás de una gran cantidad de volumen de tráfico y múltiples direcciones de ataque. Sin embargo Check Point descubrió que el atacante estaba detrás del apodo Nexus Zeta. Se trata de un hacker amateur, ya que participaba en diferentes foros de hacking. Buscaba abiertamente asesoramiento para construir botnets.
Por tanto, lo recomendable es que los usuarios que tengan este router lo actualicen inmediatamente. Como hemos mencionado, Orange lo utiliza para sus clientes de ADSL. No es una buena publicidad para la compañía, como podemos imaginar. Ahora mismo los usuarios de este dispositivo son vulnerables.
Actualización con información de Orange:
No hay afectados entre los clientes de Orange (pues el firmware utilizado no tiene esta vulnerabilidad) y solo se ha detectado una treintena en equipos HG532x de Jazztel, por lo que el impacto es mínimo. Para ser afectado por esta vulnerabilidad el cliente ha de haber desactivado voluntaria y manualmente el firewall, por lo que se les va a informar de que lo activen de nuevo para solucionarlo.
Fuente: Check Point

AVAST. Libera RetDec, su herramienta para descompilar malware

Cuando los piratas informáticos crean un malware, además de ofuscar el código para complicar todo lo posible deducir su funcionamiento, los virus, troyanos, exploits y demás amenazas se suelen distribuir compiladas de manera que las víctimas, o los investigadores, no puedan acceder al código fuente directamente, obligándoles a recurrir a herramientas de seguridad forenses especialmente diseñadas para descompilar este código fuente, como es el caso de RetDec.
Cada empresa de seguridad trabaja con una serie de herramientas propias y totalmente privadas a la hora de analizar código e investigar las distintas amenazas informáticas. Normalmente ninguna firma de seguridad deja ver sus herramientas de análisis de malware, especialmente los descompiladores que permiten generar el código fuente de un software a partir de un binario, pero Avast ha querido ir más allá no solo publicando su descompilador RetDec, sino incluso publicando su código fuente completo.
RetDec es un descompilador de código que permite a los investigadores y expertos de seguridad (y ahora a todo el mundo) convertir código compilado, lo que conocemos como un binario o una librería, en código fuente, pudiendo comprender mucho mejor cómo funciona un determinado programa o una amenaza concreta.
Básicamente, esta herramienta lo que hace es pedir un archivo cualquiera de entrada e intentar devolver otro archivo diferente, el código fuente, de la forma más precisa posible (aunque casi nunca tiene un 100% de precisión debido a múltiples factores, como la ofuscación de código) de manera que se pueda entender muy fácilmente cómo funciona un archivo, un programa o una amenaza.
Características de RetDec
Una de las principales características de este descompilador es que no está limitado a una arquitectura en concreto, sino que se puede utilizar con varias. Además, funciona con un gran número de lenguajes de máquina (ELF, PE, Mach-O, COFF, AR, HEX y RAW) y soporte múltiples arquitecturas, aunque eso sí, de 32 bits.
Otras características principales de RetDec son:
·        Realiza análisis estático de aplicaciones con información muy detallada.
·        Detecta compilador y empaquetador utilizados.
·        Descodifica las instrucciones y los cargadores, o loaders.
·        Elimina las librerías de código enlazadas por una firma digital.
·        Extrae la información de debug.
·        Reconstruye las instrucciones en su lenguaje original.
·        Detecta y reconstruye las clases C++.
·        Reconstruye funciones, tipos y constructores de alto nivel.
·        Desensamblador integrado.
·        Muestra la salida en lenguajes de alto nivel, como C o Python.
·        Genera gráficos con todo tipo de estadísticas útiles.
Si queremos probar esta herramienta de Avast, podemos descargarla de forma totalmente gratuita desde GitHub. Este programa ocupa 250 MB y está disponible tanto para los usuarios de Windows de 32 y 64 bits. Los usuarios de Linux y macOS también pueden utilizar esta herramienta, aunque la puesta en marcha es más manual.
Fuente: borncity.com

MOZILLA. Corrige vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado la nueva versión de Thunderbird 52.5.2, su popular cliente de correo, en la que corrigen una vulnerabilidad crítica que podría provocar un desbordamiento de la memoria intermedia. El parche publicado para solucionar esta vulnerabilidad soluciona además otras cuatro vulnerabilidades (dos de gravedad alta, una moderada y otra baja).
Como decíamos antes, la vulnerabilidad más grave, etiquetada con CVE-2017-7845, podría provocar un desbordamiento de buffer debido a un error de validación en la librería gráfica ANGLE a la hora de utilizar Direct 3D 9 para renderizar contenido WebGL. Esta vulnerabilidad también ha sido corregida en Firefox en su versión 57.0.2 publicada el pasado 7 de diciembre.
Las vulnerabilidades consideradas de gravedad alta permitirían ejecutar código JavaScript en un 'feed RSS' cuando se utiliza el visor integrado (CVE-2017-7846) y revelar información sensible sobre 'paths' locales que podrían contener el nombre del usuario (CVE-2017-7847).
Las vulnerabilidades de gravedad moderada y baja podrían manipular ligeramente la estructura de un correo inyectando nuevas lineas al cuerpo del mensaje a través del 'feed RSS' (CVE-2017-7848) y suplantar la dirección del remitente si se inserta un carácter nulo al principio (CVE-2017-7829).
La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird:
https://www.mozilla.org/thunderbird/ o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.
Más información:
Fuente: Hispasec

WORDPRESS. Plugins vulnerables aún presentes en instalaciones

Más de un año después que se descubriera la presencia intencionada de código malicioso dentro de 14 plugins de WordPress, todo indica que cientos de sitios siguen haciendo uso de dichos componentes.
El desarrollador Thomas Hambach descubridor del malware, mencionó que los atacantes estaban utilizando código malicioso para insertar enlaces de SEO en los sitios comprometidos. Este descubrimiento fue advertido por el equipo de WordPress que inmediatamente eliminó los 14 plugins maliciosos detectados del repositorio oficial.
A pesar de las acciones tomadas por parte del equipo de WordPress, se continuan detectando peticiones a lo largo de distintas IPs que intentan acceder al código malicioso, específico a los plugins con backdoor.
Este asunto volvió a llamar la atención recientemente cuando WordPress modificó el repositorio de plugins de manera que los plugins antiguos que se cerraron pueden verse aún. Anteriormente no eran visibles al público.
La nueva versión del repositorio cuenta con la posibilidad de observar las instalaciones activas del plugin y a pesar de que los plugins fueron eliminaros para ser descargados por el público, cientos de sitios aún cuentan con ellos.
Podemos encontrar una lista de los plugins vulnerables de los que estamos hablando en este enlace. Entre ellos, encontramos 5 plugins de 2014 que siguen instalados en cientos de sitios.
Todos los sitios que estén haciendo uso de estos plugins pueden ser hackeados por un atacante que sepa lo que debe buscar y probablemente pertenezcan a proyectos abandonados desde hace un largo tiempo.
Expertos sugirieron avisar a los administradores de los sitios cuando existen actualizaciones de seguridad o tienen instalados plugins que son vulnerables o bien han sido eliminados del repositorio por incumplir la política.
Según palabras de Mika Epstein, miembro del equipo de WordPress: "Si hacemos publica la vulnerabilidad sin un parche existente, ponemos a los usuarios en mayor riesgo. Si los atacantes conocen que existe un exploit, estos intentarán aprovecharlo lo más rápidamente posible." Por supuesto, los expertos no estaban alegres con esta contestación.
Un año después de estas declaraciones, el equipo de WordPress decidió tomar un camino diferente. Para combatir graves amenazas de seguridad, WordPress hará un rollback del plugin a la última versión segura que será instalada a la fuerza; afectando (presumiblemente) mínimamente a la funcionalidad del sitio pero manteniéndolo seguro.
Sin embargo, estas acciones son particulares del equipo de WordPress y solo se llevan a cabo con graves amenazas.
Mientras tanto, los usuarios pueden instalar alguno de los muchos plugins de seguridad para detectar plugins antiguos con fallos de seguridad disponibles en el repositorio.
Más información:
Fuente: Hispasec

22 de diciembre de 2017

EEUU. La Casa Blanca responsabiliza oficialmente a Corea del Norte por WannaCry

Mediante un artículo de opinión en The Wall Street Journal, Thomas Bossert, consejero de seguridad nacional de Donald Trump, ha responsabilizado oficialmente a Corea del Norte por el ataque de ransomware WannaCry, que causó estragos a nivel mundial en mayo pasado.
El funcionario comentó: “Por más de una década, Corea del Norte ha actuado de mala forma, en general sin ser responsabilizada. Este comportamiento maligno adquiere ribetes cada vez más peligrosos y WannaCry es un ejemplo en tal sentido. Sus consecuencias y repercusiones excedieron el ámbito económico. El software maligno perjudicó de manera especial las computadoras del servicio de salud pública del Reino Unido, dañando así sistemas dedicados a tareas de importancia crítica. Estas disrupciones pusieron en riesgo las vidas de las personas”.
Con ello, Estados Unidos secunda al Reino Unido, que en octubre acusó formalmente al régimen de Pyongyang de haber creado y distribuido WannaCry. Corea del Norte desmintió las acusaciones británicas, que calificó de especulaciones infundadas.
Las semanas posteriores al devastador incidente de WannaCry, tres empresas de seguridad informática, Kaspersky Lab, Symantec, y BAE Systems coincidieron en vincular a WannaCry con Lazarus Group, unidad de ciberespionaje norcoreana responsable de ataques contra Sony, el gobierno surcoreano y numerosas entidades bancarias de todo el mundo.
Bossert no aportó nuevas pruebas o información forense sobre la participación o responsabilidad de Corea del Norte en la orquestación del ataque.
Cabe señalar que WannaCry fue posible mediante la utilización de una ciberarma sustraída a la NSA, denominada EternalBlue.
La Casa Blanca complementó los comentarios de Bossert con declaraciones donde atribuye WannaCry a Corea del Norte. Las declaraciones sobre el tema comienzan en el minuto 40 de la siguiente grabación.
Fuente: Diarioti.com

EEUU. Alto funcionario dice que Facebook y Microsoft detuvieron ciberataques norcoreanos

Facebook Inc y Microsoft Corp actuaron la semana pasada para detener una serie de posibles ciberataques de Corea del Norte, dijo un alto funcionario de la Casa Blanca, mientras Estados Unidos culpaba públicamente a Pyongyang por un ataque informático en mayo que paralizó hospitales, bancos y otras empresas.
“Facebook eliminó cuentas y detuvo la ejecución operativa de ataques informáticos en curso y Microsoft actuó para corregir ataques existentes, no sólo el ataque WannaCry”, dijo el asesor de seguridad nacional de la Casa Blanca Tom Bossert el martes.
Bossert no proporcionó detalles sobre los hechos, pero dijo que el Gobierno de Estados Unidos instaba a otras compañías a cooperar en la defensa de la seguridad informática.
Bossert afirmó en una rueda de prensa en la Casa Blanca que Pyongyang era responsable del ataque informático WannaCry que infectó a cientos de miles de computadores en más de 150 países y sostuvo que Estados Unidos tiene evidencia clara de que Corea del Norte fue responsable, aunque no divulgó esa evidencia.
La acusación ocurrió en momentos de alta tensión con Corea del Norte por sus programas de armas nucleares y misiles.
Un portavoz de Facebook confirmó que la empresa borró la semana pasada cuentas asociadas con una entidad de pirateo informático vinculada a Corea del Norte conocida como Lazarus Group “para hacer más difícil que realicen sus actividades”.
Las cuentas eran mayormente perfiles personales operados como cuentas falsas usadas para construir relaciones con posibles blancos, comentó el portavoz.
Reino Unido y varios investigadores de seguridad del sector privado concluyeron previamente que Corea del Norte había sido responsable por el ataque. Bossert dijo que otros países, como Japón, Australia, Nueva Zelanda y Canadá también están de acuerdo con la conclusión de Estados Unidos.
Un alto funcionario del Gobierno dijo a Reuters el lunes que los organismos de Inteligencia de Estados Unidos tenían un “alto nivel de confianza” en que Lazarus Group llevó a cabo el ataque WannaCry.
Investigadores de seguridad y funcionarios estadounidenses creen que Lazarus fue el responsable del ataque informático contra Sony Pictures Entertainment en 2014 que destruyó archivos, filtró comunicaciones corporativas en la red y provocó el despido de varios altos ejecutivos.
No fue posible contactar de inmediato a representantes del Gobierno norcoreano para comentar, pero Pyongyang ha negado ser responsable del ataque WannaCry y calificó de campaña de difamación esa y otra acusaciones de que realizó ataques informáticos.
Fuente: Reuters

PREVISIÓN 2018. Los ciberdelincuentes preferirán Android y el sector sanitario

Sophos prevé que los ataques de malware dirigidos a dispositivos móviles y al sistema operativo Android sigan aumentando durante el año 2018. Asimismo, los sectores más vulnerables, como el sanitario, continuarán siendo objetivos clave de los ataques por ransomware.
Desde los juegos online, pasando por los dispositivos portátiles, hasta las apps de los móviles, la tecnología se está utilizando prácticamente en todos y cada uno de los momentos de la vida cotidiana de la gente. Sin embargo, la desventaja de vivir en la actual sociedad hiperconectada reside en que las personas también se encuentran en una situación de extrema vulnerabilidad frente a los ciberataques.
El Informe SophosLabs 2018 Malware Forecast revela cómo se está extendiendo el malware en las tecnologías de uso cotidiano y cómo cada año los ciberdelincuentes se vuelven más inteligentes en sus ataques, lo que hace que cada vez sea de mayor importancia que los usuarios sean más precavidos y estén más atentos a los posibles peligros que implican este tipo de amenazas.
Mientras que muchos usuarios pueden pensar que este tipo de ataques nunca les afectarán, la investigación realizada por Sophos, líder global en seguridad para protección de redes y endpoints, revela todo lo contrario. Ricardo Maté, director general de Sophos Iberia, desgrana los riesgos más destacados de 2017 señalados en el informe y matiza qué podemos esperar para 2018:
El ransomware puede estar en cualquier plataforma: móviles y tablets no se escapan
Este año, WannaCry sacudió al mundo entero ya que el cybersecuestro representó más del 45% de todo el ransomware rastreado, seguido muy de cerca por Cerber con un 44.2%, según el último Informe de Malware de Sophos. Tan solo en septiembre, el 30,4% del malware malicioso de Android procesado por SophosLabs fue ransomware. Estando la mayoría de estos ataques dirigidos a usuarios de Windows, pero viéndose aumentada la cantidad de ataques en otras plataformas, incluidas Android, Mac y Linux.
Los ataques de ransomware han reorientado su atención en los últimos dos años hacia los sectores con mayor probabilidad de pagar, como la sanidad, el gobierno, la infraestructura crítica y las pequeñas empresas. Debido a que el sector sanitario es una de las industrias más lucrativas por pagos de ransomware o venta de los registros médicos, la sanidad ha sido un gran objetivo en 2017 y sin duda continuará siéndolo en 2018.
El malware se esconde en las aplicaciones de Android
Al revisar Google Play, Sophos ha descubierto que la cantidad de las diferentes amenazas se había duplicado desde el año pasado. Un tipo de malware, apodado ‘GhostClicker’, estuvo en Google Play durante casi un año, disfrazándose como parte de la biblioteca de servicios. Este malware solicitaba permiso de administración del dispositivo y simulaba activamente los anuncios de clic para obtener ingresos.
Otro de los hallazgos fue Lipizzan, un spyware que infectó hasta 100 dispositivos. Aunque no parezca un gran número, resulta que se trataba de un malware específico diseñado concretamente para controlar la actividad del teléfono y extraer datos de aplicaciones populares, como el correo electrónico, el SMS, la ubicación o las llamadas de voz.
Los ataques de malware como éste no muestran signos de reducirse en un futuro, ya que los cibercriminales saben que funcionan. Por lo tanto, para evitar ser una víctima de malware para Android, Sophos sugiere a los consumidores que tengan en cuenta estos aspectos:
      Recurrir solamente a Google Play: aunque no sea perfecto, realiza un gran esfuerzo para evitar que el malware llegue en un primer momento.
      Evitar las aplicaciones con poca reputación y ser especialmente cauteloso al usar un dispositivo de la empresa.
      Parchear los dispositivos a menudo. Es necesario verificar la actitud de los proveedores ante las actualizaciones.
El número de aplicaciones maliciosas ha aumentado de manera constante en los últimos cuatro años, alcanzando casi los 3,5 millones en 2017, por lo tanto, es probable que veamos un nuevo aumento en 2018, incluidas trampas en juegos online aún más traicioneras.
Las filtraciones de datos no desaparecerán
La sociedad hiperconectada tiene su contra en que las personas son extremadamente vulnerables a los ciberataques, como quedó claro recientemente con el hackeo de Uber, que afectó a 57 millones de clientes y conductores. Lamentablemente, no hay motivos para creer que estas filtraciones de datos vayan a disminuir en 2018, y con la entrada en vigor del GDPR en mayo, continuará siendo un tema candente y que continuaremos viendo.
Es imposible predecir con total exactitud todo lo que sucederá en 2018, sin embargo, es bastante probable que Android y Windows continúen siendo fuertemente atacados con ransomware y otros tipos de malware. El correo electrónico también seguirá siendo el principal vector de ataque que amenace la seguridad cibernética corporativa, especialmente en el caso de ataques dirigidos.
Cuatro son las tendencias que han destacado en 2017 y que probablemente dominarán 2018:
1.    Una oleada de ataques ransomware alimentados por el RaaS, y amplificados por el resurgimiento de gusanos.
2.    Una explosión de malware de Android en Google Play y en otras plataformas.
3.    Continuos esfuerzos para infectar ordenadores Mac.
4.    Las amenazas en Windows, alimentadas por exploit-kits DIY (Do It Yourself), harán muy sencillo atacar las vulnerabilidades de Microsoft Office.
Fuente: Diarioti.com