8 de julio de 2018

Numerosas organizaciones afectadas por brecha de datos en Typeform

El pasado viernes, Typeform, con sede en Barcelona, España, informó que intrusos descargaron en mayo lo que denomina “copia parcial de seguridad” de sus servidores. Desde entonces, un número cada vez mayor de empresas y organizaciones, entre las que figura un partido político y autoridades gubernamentales, dicen haberse visto afectadas por el incidente.
El 27 de junio, la empresa detectó que los intrusos habían tenido acceso no autorizado a sus servidores, de los que habían descargado una copia parcial de seguridad. Considerando que Typeform ofrece funcionarios formularios online y encuestas para clientes de todo el mundo, la empresa almacena grandes volúmenes de datos de un gran número de usuarios, que no son sus clientes directos. Los usuarios finales han cumplimentado tales formularios a petición de terceros.
Entre las organizaciones de mayor nivel afectadas por la brecha de Typeform figura el partido Liberal Demócrata de Gran Bretaña y la Comisión Electoral del Estado Australiano de Tasmania. Entre las empresas afectadas se cuentan la cadena alimentaria Fortnum & Mason, el banco para startups Monzo, la cadena hotelera Travelodge, la cadena de panaderías australiana Baker Delight, el banco digital Revolut, etc, según información recabada por The Register.
En su sitio web, Typeform escribe que el 27 de junio, su equipo de ingeniería detectó que intrusos habían accedido a su servidor, descargando “cierta información”, que habría afectado “algunos datos”. La filtración habría sido solucionada en solo 30 minutos, recalca la empresa.
La filtración afecta los datos subidos a Typeform antes del 3 de mayo de 2018. Esto implica que los datos obtenidos con posterioridad a esa fecha no están afectados por el problema. Typeform asegura que los siguientes datos no están afectados:
– Información de pagos como tarjeta de crédito, dirección, etc.
– Contraseña de Typeform.
– Datos recolectados con posterioridad al 3 de mayo.
La empresa ha contactado directamente a las empresas afectadas, aportando información sobre los datos sustraídos en cada caso particular. Typeform también ha elaborado textos estándar que pueden ser utilizados por las empresas al contactar a sus respectivos clientes, es decir, a los usuarios finales que rellenaron los formularios o encuestas del caso.
Fuente: Diarioti.com

WIKIPEDIA. Protesta cerrando 36 horas por nueva normativa europea de derechos autor

Wikipedia se ha ido a negro este miércoles como protesta a una nueva normativa europea sobre derechos de autor que se ha votado el 5 de julio en la Eurocámara.
Los usuarios que han intentado acceder durante las últimas 36 horas a la enciclopedia se encontrarán con un comunicado en el que informan del cierre de sus servicios en varios idiomas por la probable aprobación de la reforma.
"En lugar de actualizar las leyes de derechos de autor en Europa y promover la participación de toda la ciudadanía en la sociedad de la información, la directiva amenazaría la libertad en línea e impondría nuevos filtros, barreras y restricciones para acceder a la Web", señalan desde Wikipedia.
"Si la propuesta se aprobase en su versión actual, acciones como el compartir una noticia en las redes sociales o el acceder a ella a través de un motor de búsqueda se harían más complicadas en Internet; la misma Wikipedia estaría en riesgo", critican desde la enciclopedia al tiempo que piden a todos los miembros del Parlamento Europeo "que voten en contra del texto actual, que se consideren algunas enmiendas de sentido común y se asegure la democracia del proceso legislativo".
Desde Wikipedia hacen hincapié en la eliminación de los artículos 11 y 13. Según el 11, cuando se quiera vincular o referenciar un artículo de prensa como fuente en una plataforma sin ánimo de lucro (como Wikipedia), habría que pedir permiso a todos los editores en cada caso. Algo que haría muy complicado el trabajo.
Mientras que la aprobación del artículo 13 obligaría a todas las web cuya comunidad participa de forma activa en la construcción de Internet a instalar herramientas de filtrado automático para comparar las aportaciones de sus contribuidores con bases de datos de copyright.
La propuesta de la UE también establece obligaciones de transparencia para las empresas de Internet, incluyendo incluso pagos a los creadores para "reforzar su posición negociadora", así como una reforma del artículo 11 de la normativa, de tratamiento de datos sin identificación.
De este modo, Wikipedia en español permanecerá oscurecida antes y durante la votación del texto, a lo largo de este miércoles y hasta las 12 del mediodía (hora española) del jueves 5 de julio, cuando el Parlamento Europeo vota en pleno la propuesta de ley, que ya fue aprobada por el Comité de Asuntos Legales (JURI) el pasado 20 de junio.
 Oposición a la nueva normativa europea
Ya se han opuesto firmemente a esta propuesta europea decenas de personas relevantes en el ámbito de las tecnologías de la información como el creador de la World Wide Web, Tim Berners-Lee o el pionero de Internet, Vinton Cerf. También académicos, organizaciones de derechos humanos y más grupos de ciencia y tecnología.
En otros países del mundo hispanohablante, como Colombia y México, la comunidad de Wikipedia se ha opuesto recientemente a propuestas similares. Además, durante este día, Wikipedia también permanecerá cerrada en Chile, México, Colombia o Argentina.
Desde este momento, y durante 36 horas, #Wikipediaseapaga en protesta por las reformas propuestas a la ley de derecho de autor de la Unión Europea. Más información en: https://t.co/7kvyzchwGlpic.twitter.com/YRca7lR5BI
? Wikimedia Chile (@wikimedia_cl) 4 de julio de 2018
En protesta por una probable aprobación de una reforma de ley sobre derecho de autor en el Parlamento Europeo, decidimos como comunidad apagar @Wikipedia en español por 36 horas. https://t.co/e08bmNurng#Wikipediaseapaga#SalvemosInternet#SaveYourInternetpic.twitter.com/GpnDHG7vkV
? Wikimedia Argentina (@wikimedia_ar) 4 de julio de 2018
Fuente: El Mundo.es

Exempleado de ciberseguridad israelí, acusado de robar un 'software' de espionaje.

Un exempleado de la compañía de ciberseguridad israelí NSO ha sido acusado del robo del 'software' Pegasus, utilizado para rastrear, espiar y acceder al contenido del dispositivo de cualquier persona sin que esta sea consciente, y de intentar venderlo a través de la Dark Web.
El acusado, un hombre israelí de 38 años que trabajaba para la compañía NSO Group, fue detenido en una operación conjunta llevada a cabo entre la empresa, la policía y un supuesto comprador interesado, según ha informado el medio israelí Globes.
La autoridades israelíes han efectuado esta detención por el robo un conjunto de herramientas y datos, entre los cuales se encontraba el 'software' de información Pegasus, procedente de los servidores de la empresa.
Este caso se ha hecho público este jueves, cuando se ha levantado el secreto de sumario. El trabajador comenzó a trabajar en la empresa en noviembre del año pasado como programador sénior, un puesto con el que pudo llegar a tener acceso a los servidores de la compañía. A finales de abril fue citado por un superior para despedirle debido a que no estaban satisfechos con su trabajo.
Después de esa conversación, el empleado conectó un dispositivo de almacenamiento portátil a los servidores y copió, además de otros productos e información sensible, el código fuente de Pegasus.
Tras esto, el ladrón guardó el dispositivo y el programa durante 21 días, sin que haya pruebas de que lo usara en ese tiempo, como explica el medio citado. Sin embargo, intentó venderlo en la web oscura a cambio de 50 millones en modenas no rastreables.
Para esta venta, el exempleado se hizo pasar por miembro de un grupo de hackers que, aseguró, había sobrepasado la seguridad de la empresa y se había hecho con el software. El potencial comprador, sin embargo, acabó contactando con la NSO, lo que motivó la investigación que llevó a su detención.
Fuente: Europa Press

NUEVA ZELANDA. Tribunal dice que fundador de Megaupload puede ser extraditado a EEUU

La Corte de Apelaciones de Nueva Zelanda determinó el jueves que el empresario de internet y fundador de Megaupload Kim Dotcom puede ser extraditado a Estados Unidos para enfrentar cargos penales por asociación delictiva y violaciones a los derechos de autor.
Imagen de archivo del empresario tecnológico alemán Kim Dotcom a su llegada a un tribunal en Auckland, Nueva Zelanda. 24 septiembre 2015. REUTERS/Nigel Marple
La decisión ratificó el fallo que un tribunal menor emitió en 2017, que establece que se puede realizar la extradición. Esto hace que Dotcom solo tenga una instancia más a la que apelar: la Corte Suprema, el máximo órgano judicial del país.
La batalla legal, que dura ya seis años, es considerada como una prueba de hasta dónde puede llegar Estados Unidos a nivel global para hacer que se cumplan sus leyes de propiedad intelectual.
“Mi equipo legal confía en que la Corte Suprema escuche la apelación, ya que hay muchos asuntos legales significativos en juego”, comentó Dotcom en un comunicado.
Las autoridades estadounidenses dicen que Dotcom y otros tres ejecutivos de Megaupload -también acusados- costaron a los estudios de cine y sellos discográficos más de 500 millones de dólares y generaron más de 175 millones de dólares en ingresos al fomentar que sus usuarios pagaran para almacenar y compartir material protegido por derechos de autor.
La Corte de Apelaciones dijo que Estados Unidos presentó “un claro caso de que los apelantes conspiraron y violaron a propósito los derechos de autor a gran escala para su ganancia comercial”.
“Una audiencia de extradición no es un juicio. Se celebra para decidir si hay pruebas suficientes para juzgar a una persona por un delito”, señaló el tribunal en su dictamen.
Dotcom se mostró en desacuerdo con la interpretación del tribunal sobre las provisiones de los derechos de autor. “El precedente establecido es preocupante y tiene ramificaciones en Nueva Zelanda más allá de mi caso”, señaló.
Fuente: Reuters

TWITTER. Suspende más de 70 millones de cuentas en dos meses: medio

Twitter Inc suspendió más de un millón de cuentas al día en los últimos meses para reducir el flujo de desinformación en la plataforma, informó el diario The Washington Post.
Imagen ilustrativa que muestra el ícono de la aplicación Twitter en un teléfono inteligente en Hanau, cerca de Fráncfort, Alemania. 21 de octubre, 2013. REUTERS/Kai Pfaffenbach
Al igual que otras redes sociales como Facebook Inc, Twitter está sometido al escrutinio de los legisladores estadounidenses y los reguladores internacionales por hacer demasiado poco para evitar la difusión de contenidos falsos.
Las compañías han estado dando pasos como la eliminación de cuentas de usuarios, la introducción de actualizaciones y la supervisión activa de contenidos para ayudar a que los usuarios no sean víctimas de las informaciones falsas.
Twitter suspendió más de 70 millones de cuentas en mayo y junio, y el ritmo ha continuado en julio, reportó el Post el viernes, citando datos que obtuvo.
“Es difícil de creer que se vieran afectadas 70 millones de cuentas, ya que Twitter solo tiene 336 millones de usuarios activos mensuales (MAU, por sus siglas en inglés)”, indicó Michael Pachter, analista de Wedbush.
“Sospecho que un gran número de estas cuentas suspendidas eran durmientes (...) no debería tener mucho impacto en la compañía”, dijo Pachter a Reuters. Si la mayoría de los 70 millones fueran cuentas activas, las cuentas afectadas “habrían estado gritando que fue un asesinato sangriento”, agregó.
No obstante, según una fuente del Post, la agresiva retirada de cuentas no deseadas podría resultar en un inusual declive en el número de usuarios mensuales en el segundo trimestre.
“Debido a las mejoras en la tecnología y en el proceso durante el último año, ahora estamos sacando un 214 por ciento más de cuentas por violar nuestras políticas de spam en una base interanual”, señaló la firma en una publicación en un blog el mes pasado.
Fuente: Reuters

NETGATE XG-7100. El firewall para medianas empresas con pfSense

El conocido fabricante de firewalls Netgate, ha presentado un nuevo equipo que está orientado a medianas empresas. El nuevo modelo es el Netgate XG-7100, un equipo que no tiene formato rack, sino que es de sobremesa, pero con unas especificaciones realmente interesantes, y por supuesto, con el sistema pfSense y todas sus opciones avanzadas.
Principales especificaciones técnicas del Netgate XG-7100
El procesador principal de este equipo es un Intel Atom C2558, una CPU de cuatro núcleos a una velocidad de 2.2GHz, y que además, soporta AES-NI para que el cifrado y descifrado del tráfico funcione a la máxima velocidad posible, ideal para hacer túneles VPN con IPsec y OpenVPN sin que el rendimiento se vea penalizado en exceso. Gracias a esta CPU y al sistema pfSense, vamos a poder gestionar hasta 8 millones de conexiones activas.
Respecto a la memoria RAM de este nuevo Netgate XG-7100, incorpora 8GB de RAM DDR4 Non-ECC por defecto, aunque a la hora de comprarlo tenemos la opción de ponerle 16GB de RAM DDR4. La máxima capacidad de memoria RAM que permite es de 24GB.
En cuanto al almacenamiento interno, tenemos 32GB de memoria donde se almacenará el sistema operativo pfSense y todo lo relacionado con él. No obstante, tenemos la opción de instalar un disco SSD M.2 SATA de 256GB a la hora de comprar el equipo en la tienda oficial, aunque siempre podrás instalarlo tú por ti mismo más adelante, y de la capacidad que desees.
En cuanto a la conectividad de la red, tenemos 2 puertos SFP+ a 10Gbps Intel x553. También tenemos un switch de 8 puertos Gigabit Ethernet Marvell 88E6190, el cual uno de ellos (ETH1) podremos usarlo como WAN de Internet, y el resto como LAN. Un detalle importante, es que de manera interna la interconexión entre el switch Gigabit y los puertos SFP funcionan a 5Gbps (2 x 2.5Gbps). En este caso no tenemos ninguna posibilidad de expansión.
Otras características de este equipo son por ejemplo la incorporación de un puerto USB 2.0 y otro puerto USB 3.0, ideal para guardar logs de manera externa, e incluso para conectar periféricos al sistema. El puerto de consola es mini USB, ideal para gestionarlo fácilmente sin necesidad de adaptadores.
Las dimensiones de este equipo son 178mm x 203mm x 51mm, tiene un ventilador activo de bajo ruido, y tiene un consumo de 20W en Idle.
El sistema operativo que monta este Netgate XG-7100 es pfSense, uno de los sistemas operativos orientado a firewall más completos, potentes y estables del mercado. Este firewall incorpora una gran cantidad de opciones y software adicional, como el IDS/IPS Snort y Suricata, VPN IPsec y OpenVPN, servidor DNS, Portal Cautivo, servidor RADIUS y un largo etcétera de funciones avanzadas.
Os recomendamos acceder al comunicado oficial del nuevo Netgate XG-7100, también podéis acceder a la tienda oficial donde podréis ver los precios, y es que la versión básica de este equipo es de 899 dólares. Tenemos posibilidades de aumentar tanto la memoria RAM como el almacenamiento interno, concretamente podremos aumentar hasta 16GB de RAM por 245 dólares más, e instalar el M.2 SATA por 149 dólares más. El Netgate XG-7100 con 16GB de RAM y un disco de 256GB saldría por un precio de casi 1.300 dólares, un precio que en nuestra opinión es bastante competitivo teniendo en cuenta sus características hardware.
Fuente: Redes Zone.net

PHISHING. Nueva campaña a través de correo, pone en jaque a los usuarios

El phishing es una de las amenazas más importantes hoy en día para los usuarios de Internet. Es la manera en la que los ciberdelincuentes se hacen con las credenciales y contraseñas a través del engaño. Hoy nos hacemos eco de una nueva campaña de phishing que envía facturas falsas a través de correo electrónico. El objetivo el mismo de siempre: conseguir las claves de los usuarios a costa de hacer creer que están ante una página legítima.
Nueva campaña de phishing envía facturas falsas
Según indican los investigadores de seguridad de LMNTRIX se han enviado miles de correos cargados de malware. Han sido distribuidos por diversos países con la intención de robar las credenciales de las víctimas. Utilizan el cebo de ser facturas supuestamente legítimas para recibir la atención de los usuarios.
Esta campaña ha sido denominada como Special Ear. Los investigadores han informado de que hay una gran cantidad de frases y caracteres en chino dentro el código. El objetivo es dificultar que los analistas puedan examinar ese código. Con esto pueden disfrazar el origen real de la campaña, ya que el objetivo no es China. Junto al mensaje se adjunta un ejecutable que en realidad es un troyano.
Esta nueva campaña de phishing no es muy diferente a otras que hemos visto anteriormente. Sin embargo, como hemos mencionado, son muchos los usuarios que son víctimas de estos ataques. Es por ello que conviene tenerlo en cuenta y tomar precauciones para proteger nuestra privacidad y la seguridad de nuestros sistemas.
Cómo protegernos de esta campaña de phishing
El primer consejo es observar bien los correos que recibimos. Pero también hay que tener mucho ojo con los mensajes a través de redes sociales, ya que es posible que recibamos amenazas por este medio. Siempre que tengamos dudas, lo mejor es ignorar el correo y evitar abrirlo.
En ocasiones este tipo de correos fraudulentos traen algún archivo adjunto que en realidad contiene malware. Por ello es importante no abrir nunca un archivo de este tipo y contar con programas y herramientas de seguridad. De esta manera podremos hacer frente a estas amenazas y analizar el posible malware que pueda perjudicar a nuestros dispositivos.
En el caso de la campaña de phishing que hemos mencionado envían facturas falsas. En otras muchas ocasiones lo que buscan es generar incertidumbre y miedo en los usuarios. Podemos encontrar por ejemplo un correo en el que nos indican que tenemos que actualizar nuestros datos bancarios. Dicen que tenemos que hacerlo en menos de 24 horas sino podemos perder nuestra cuenta o tener algún problema.
Hay que tener en cuenta que un banco o cualquier institución nunca nos van a mandar algo así por correo. Jamás nos van a pedir nuestras credenciales de acceso por este método. Por tanto tenemos que utilizar el sentido común y evitar este tipo de correos que no buscan otra cosa que hacerse con nuestros datos. Además, siempre que tengamos dudas, lo mejor es contactar con la entidad emisora y comprobar si es real o no.
Fuente: ZDNET

Este nuevo malware elige de qué manera te afecta según ordenador y tipo de usuario

Existen muchas amenazas que pueden poner en riesgo el buen funcionamiento de nuestro equipo. Muchas variedades de malware que llegan de diversas formas. Pueden afectar a todo tipo de dispositivos y plataformas. Hoy vamos a hablar de una variedad peculiar, que se diferencia de lo que podemos ver normalmente. Se trata de un malware que elige si infecta a un equipo con un minero de criptomonedas o con un ransomware. Todo ello según el tipo de usuario y equipo. Calcula qué es más rentable.
Nuevo malware que elige cómo atacar
Un grupo de investigadores de Kaspersky ha descubierto esta variedad de malware que elige cómo atacar. Como sabemos, un ransomware bloquea un equipo. Hace que los archivos estén cifrados y el usuario no pueda acceder a ellos. A cambio pide un rescate económico. Es de esta forma como genera ingresos. Libera los archivos una vez que el usuario ha pagado.
Por su parte, un minero de criptomonedas utiliza la potencia de un equipo para generar beneficios. Su función es minar divisas digitales y obtener beneficios económicos de esta manera.
Sin embargo, como podemos imaginar, no todos los usuarios van a pagar por un rescate en caso de ser afectados por un ransomware. Puede ocurrir que llegue a un equipo al que su usuario no tiene mucho aprecio y no le interesa realmente los datos que hay. Puede ocurrir que siga uno de los consejos principales contra el ransomware: crear copias de seguridad. De esta manera no pagaría un rescate para recuperar sus datos.
Pero también puede pasar que una víctima tenga un equipo muy básico y no tenga potencia suficiente para minar criptomonedas. Pasa con los terminales más antiguos, evidentemente.
Por ello este malware analiza el equipo de la víctima y al propio usuario para determinar si infecta mediante un ransomware o un minero oculto de criptomonedas. Todo basado en lo que crea que puede generar más beneficio económico.
Como sabemos, tanto los ataques de ransomware como los mineros ocultos de criptomonedas representan dos de las principales amenazas de seguridad hoy en día. Son muchos los usuarios que se ven afectados en las diferentes plataformas y sistemas operativos.
Este alware es una nueva variante de la familia de ransomware Kakhni. Se ha actualizado, como hemos mencionado, para afectar también como minero de criptomonedas.
Cómo funciona este malware
Según los investigadores, este nuevo malware se distribuye a través de correos electrónicos que suplantan la identidad. Una técnica de phishing, uno de los grandes problemas que pueden encontrar los usuarios de correos electrónicos. Envían un archivo adjunto en Word que pide a la víctima que lo guarde.
Este documento incluye un icono PDF que, al hacer clic, ejecuta un archivo malicioso en el equipo y muestra un cuadro de diálogo falso que hace que la víctima piense que falta algo en su equipo.
Lo primero que hace el malware es realizar comprobaciones para saber si puede ser detectado o no. En caso de que no pueda ser atrapado por el sistema, continúa adelante. Realiza otras comprobaciones para ver si se cumplen las condiciones y poder elegir si se carga como ransomware o como minero de criptomonedas.
Si en el equipo no hay una carpeta llamada Bitcoin y cuenta con al menos dos procesadores, elige instalar un minero de criptomonedas. Mina Monero, Monero Original y Dashcoin en segundo plano.
Si por el contrario existe una carpeta denominada Bitcoin, instala un ransomware. Antes de ello finaliza todos los procesos que coinciden con una lista de aplicaciones populares y posteriormente muestra una nota de rescate.
Cómo protegernos de esta amenaza
Como hemos mencionado, llega a través de correos electrónicos fraudulentos. Lo mejor es no abrir ningún archivo adjunto de un e-mail que recibamos sin garantías. Es aquí donde los ciberdelincuentes pueden entrar malware en el equipo.
Hay que tener cuidado con el phishing y prestar atención a posibles correos falsos. El sentido común en estos casos es esencial.
También es importante contar con programas y herramientas de seguridad y que el equipo esté actualizado. Es la manera en la que podemos defendernos del posible malware que llegue a nuestro equipo.
Fuente:The Hacke News

SMOKE LOADER . Cuidado con este malware que ha encontrado una nueva vía para robar contraseñas

En los últimos meses hemos visto mucho sobre Meltdown y Spectre. Dos vulnerabilidades que han afectado a muchos usuarios. Rápidamente comenzaron a sacar parches para solucionar el problema. Sin embargo en ocasiones el error podía ser todavía más peligroso. Fue el caso de Smoke Loader, que en realidad era un malware que afectaba a los usuarios. Hoy volvemos a hablar de esta amenaza, pero esta vez se ha actualizado y llega mediante una campaña de phishing a través de spam.
Smoke Loader perfeccionado
Smoke Loader se ha estado distribuyendo a través de correos electrónicos. Este malware es bastante completo, ya que tiene como objetivo robar las credenciales de los usuarios, pero además es capaz de distribuir ransomware o software de minería de criptomonedas. Dos problemas que están muy presentes entre los usuarios.
No se trata de un malware nuevo, como hemos mencionado. De hecho los investigadores lo conocen desde hace varios años. Sin embargo se ha ido actualizando con el paso del tiempo y haciendo que sea más difícil de detectar por las soluciones antivirus.
El ataque inicial se realiza mediante un archivo adjunto de documento Word. Con esto engañan a los usuarios para permitir macros y con esto introducir malware en el equipo.
Los investigadores de Cisco Talos indican que en los últimos tiempos han estado introduciendo TrickBot. Se trata de un troyano bancario que ha sido diseñado para robar todo tipo de credenciales. Su objetivo es robar contraseñas e información personal. Utilizan para ello correos electrónicos perfectamente diseñados para parecer reales y provocar que la víctima pique.
En la actualidad este malware utiliza una nueva técnica de inyección conocida como PROPagate. Esta técnica puede inyectar código y distribuir archivos al mismo tiempo que lo oculta, para no ser detectado.
Este malware está diseñado para robar credenciales de todo tipo. Especialmente de aquella información sensible que se distribuye a través de navegadores como Google Chrome, Mozilla Firefox y similares.
Los investigadores aseguran que el caso de Smoke Loader no es aislado. Han experimentado cambios importantes en los troyanos y botnets. Cada vez los ciberdelincuentes perfeccionan más las técnicas que utilizan para pasar desapercibidos y lograr su objetivo. Es por ello que los usuarios debemos estar alertas y tener presentes ciertas recomendaciones.
Cómo protegernos de esta amenaza
Lo principal es tener cuidado con los e-mails que recibimos. Como hemos visto, utilizan el spam para llegar a sus víctimas. Cualquier correo sospechoso, que contenga algún archivo adjunto o similar, hay que evitarlos. Nunca debemos contestar ni hacer caso al posible miedo que quieran meter. Normalmente mediante el phishing utilizan técnicas como la obligatoriedad de actualizar nuestros datos bancarios en menos de 24 horas. Con esto la víctima tiene menos tiempo para pensar y pueden reaccionar por impulso.
También es importante contar con programas y herramientas de seguridad y tener nuestros equipos actualizados. De esta manera podremos hacer frente a amenazas en forma de malware que puedan llegar a nuestro equipo.
A la hora de navegar también hay que evitar los posibles enlaces fraudulentos. A veces no llegan solo por correo electrónico, sino incluso como mensaje de un amigo por redes sociales.
Fuente: ZDNET

IoT. Consiguen portar DoublePulsar, el exploit de la NSA, al Internet de las Cosas

El año pasado, un grupo de hackers, conocidos como “Shadow Brokers” robó y publicó una serie de herramientas y exploits utilizados por la NSA en su trama de espionaje mundial para controlar cualquier tipo de ordenador o dispositivo de forma remota. La filtración se hizo con el fin de que los responsables de los principales sistemas operativos pudieran actualizarse cuanto antes para protegerse de estas amenazas, como ETERNALBLUE o DoublePulsar. Sin embargo, este acto fue un arma de doble filo, y es que los piratas informáticos no tardaron en aprovecharse de estos exploits y estas herramientas para llevar a cabo sus amenazas.
DoublePulsar es un malware creado por la NSA para aprovecharse de una serie de vulnerabilidades conocidas en Windows con el fin de poder tomar el control de prácticamente cualquier ordenador de forma remota. Este malware consiguió infectar el año pasado medio millón de ordenadores en todo el mundo y, aunque con los parches de marzo de 2017 Microsoft ya solucionó estas vulnerabilidades, pasó lo mismo que con WannaCry, y es que muchos usuarios deciden no actualizar Windows pensando que no iba a pasar nada, hasta que pasa.
Más de un año después de que esta amenaza pusiera en peligro a los usuarios de todo el mundo, un investigador de seguridad ha demostrado que esta amenaza podría volver muy pronto, aunque esta vez centrada en el Internet de las Cosas, un concepto cada vez más extendido y en el que un fallo de seguridad puede ser catastrófico.
La NSA, y cualquier pirata informático, podría tomar fácilmente el control de cualquier dispositivo IoT con el exploit DoublePulsar
Mientras que el exploit original estaba diseñado para explotar vulnerabilidades en todas las versiones de Windows, desde XP hasta Windows 10, en realidad el exploit no podía infectar otros sistemas ni otras arquitecturas. Sin embargo, acaban de dar a conocer que, con unos sencillos cambios en el código del exploit, código que circula libremente por Internet, es posible hacer que este exploit pueda afectar al Internet de las Cosas, concretamente a todos los dispositivos que utilicen el sistema operativo Windows IoT Core OS.
Aunque la mayor parte de los dispositivos IoT utilizan sistemas embebidos basados en Linux, Windows IoT Core OS es un sistema bastante utilizado en dispositivos inteligentes, como puntos de venta, kioscos e incluso cajeros automáticos, lo que supone un grave peligro teniendo en cuenta que este exploit, capaz de tomar el control de estos dispositivos, está al alcance de cualquiera.
La única forma de proteger los dispositivos de esta amenaza informática es instalar los parches de seguridad de Microsoft de marzo de 2017, una tarea muy simple en los ordenadores convencionales pero bastante más complicada para los dispositivos IoT. La ventaja de dedicar tiempo y recursos a instalar estos parches en Windows IoT Core OS es que, además de protegernos de DoublePulsar, también nos protegeremos de todos los demás exploits filtrados por The Shadow Brokers, haciendo nuestros dispositivos IoT bastante más seguros.
Fuente: bleepingcomputer

TICKETMASTER Admite un hackeo que expuso los datos personales del 5% de sus usuarios

Ticketmaster, la popular plataforma para comprar entradas para eventos, ha publicado un comunicado en el que admite que el pasado 23 de junio identificó un software malicioso en un producto de soporte al cliente alojado por Inbenta Technologies, un proveedor externo de la compañía, a través del cual se expusieron los datos de menos del 5% de sus clientes.
La brecha de seguridad ha abierto la puerta a que agentes externos a Inbenta y Ticketmaster hayan podido tener acceso a la información personal o de pago, es decir: nombres, direcciones, correo electrónico, teléfonos o tarjetas de crédito de los clientes.
La compañía de entradas ha explicado a través de un post en su blog que se ha puesto en contacto con los clientes que pueden haber sido afectados por el incidente de seguridad. En concreto, se trataría de los clientes deReino Unido que compraron o intentaron comprar entradas entre febrero y el 23 de junio del presente año, así como clientes internacionales que compraron o intentaron comprar entradas entre septiembre de 2017 y el 23 de junio de 2018. Eso sí, aclara que a sus clientes de EEUU no les ha afectado en ningún caso.
Ticketmaster apunta a que "si no ha recibido un correo electrónico, no creemos que se haya visto afectado por este incidente de seguridad basado en nuestras investigaciones. Los equipos forenses y los expertos en seguridad trabajan día y noche para comprender cómo se vieron comprometidos los datos. Estamos trabajando con autoridades relevantes, así como con compañías de tarjetas de crédito y bancos".
La brecha de seguridad ha quedado resuelta a las 72 horas de haberse descubierto, explica Inbenta
Inbenta por su parte ha emitido un comunicado en el que aclaran que  el origen de la violación de datos fue una pieza de código JavaScript, que fue personalizado por Inbenta para cumplir con los requisitos particulares de Ticketmaster. "Este código no forma parte de ninguno de los productos de Inbenta ni está presente en ninguna de nuestras otras implementaciones", expone el CEO de la compañía, Jordi Torras.
En cualquier caso, tras haberse identificado la vulnerabilidad el 23 de junio, quedó completamente resuelta 72 horas después, al tiempo que se revisaron el resto de scripts generales y personalizados, "estamos completamente seguros de que ningún otro cliente de Inbenta se ha visto comprometido de ninguna manera", aclara Torras.
Además de avisar a los usuarios que se han podido ver afectados por el agujero de seguridad, el servicio de venta de entradas ha establecido un sitio web de información sobre el incidente (security.ticketmaster.co.uk) desde el que los usuarios podrán responder las preguntas sobre sus cuentas como solicitar un servicio gratuito de monitoreo de identidad de 12 meses con un proveedor externo.
En cualquier caso, como medida de precaución, se recomienda renovar las contraseñas. Asimismo, todos los clientes notificados se verán obligados a hacerlo la próxima vez que inicien sesión en sus cuentas en el portal.
Fuente: El Economista.com

BITCOIN. El pincho que hará estallar ”la burbuja financiera mundial”

Las criptomonedas son cada vez más populares, aunque no todo el mundo está a favor de ellas. Bitcoin, la más famosa en la actualidad, ha provocado una revolución en el mundo financiero
Al ser una divisa descentralizada, no precisa pasar por una entidad bancaria, lo cual ha generado aceptación y rechazo por igual. Por un lado, este hecho ayuda al usuario medio, que ahorra en comisiones. Por otro, crea desconfianza, pues en caso de un ataque informático, es más complicado recuperar lo invertido.
No obstante, bitcoin no se utiliza generalmente de la misma manera que una divisa tradicional, sino que la mayoría de sus compradores la adquieren con fines especulativos. Después de ver cómo algunos inversores se han hecho millonarios de la mañana a la noche, como el joven alemán Erik Finman, la criptomoneda pionera se ha vuelto un activo tan anhelado como el oro. Por ello, su precio no hace más que subir, lo que ha hecho pensar a algunos expertos de finanzas que bitcoin es una burbuja que pronto estallará. Otros, como Jon Matonis, afirman lo contrario.
Matonis es el fundador de la Fundación Bitcoin, la cual creó en 2012 con el objetivo de incentivar el uso de la divisa. El 2 de abril concedió una entrevista a Business Insider, en la que trató el polémico tema de “la burbuja bitcoin”. En su opinión, el concepto “burbuja” se aplica a otro tipo de mercados, como el de los bonos. Remarcó que este tipo de operaciones eran las incentivadas por los bancos, y que por lo tanto no tenían nada que ver con la moneda digital. En todo caso, el economista planteaba que, si existe alguna burbuja financiera, bitcoin será “el alfiler” que la hará estallar.
De todos modos, es innegable que la teoría que define bitcoin como una posible burbuja tiene fundamento. Como sus unidades son limitadas, su precio es más alto a medida que éstas se van terminando. Tal es el fenómeno, que el valor de bitcoin ha llegado hasta 20.000 dólares, logrando por lo tanto un precio muy superior a su valor real. Por ello, no sería de extrañar que bajase de forma exagerada. La moneda digital ha tenido algunos momentos de debilidad, sobre todo cuando ha sido víctima de algún ciberataque, pero gracias a la velocidad con la que se ha recuperado, ha podido seguir en auge.
En consecuencia, se puede afirmar que el futuro de bitcoin es incierto, pero de acuerdo con las declaraciones de economistas como Matonis, será próspero y creará nuevos mercados.
Fuente: Estrella Digital.es

Vulnerabilidades en iDRAC - PowerEdge Dell EMC

El equipo de seguridad de Dell a corregido 4 vulnerabilidades que pueden ser explotadas por usuarios maliciosos en iDRAC.
¿Qué es iDRAC?
'Integrated Dell Remote Access Controller' (iDRAC) permite implementar, actualizar, supervisar y mantener los servidores Dell PowerEdge con o sin un agente de software de administración de sistemas. Se encuentra integrado dentro del servidor por lo que iDRAC no requiere de un sistema operativo o un hipervisor para funcionar.
Simplifica las tareas de administración del ciclo de vida del servidor, como el aprovisionamiento, implementación, mantenimiento, instalación de parches y actualizaciones.
Algunas de sus funciones:
·        Energía: Los administradores entre otras cosas pueden en caso de bloqueo del sistema realizar un reinicio del servidor.
·        Consola: EL administrador puede interactuar con el servidor a través de la consola remota, evitando estar físicamente delante de la máquina en caso de perder la conexión con el sistema operativo.
·        Medios virtuales: Permite montar imágenes de disco compartidas en red.
También permite supervisar la temperatura, ventiladores y los eventos del sistema.
Detalle de vulnerabilidades
·        CVE-2018-1249.- Las versiones de Dell EMC iDRAC9 anteriores a 3.21.21.21 no exigen el uso de TLS/SSL para establecer la conexión con el servidor web de iDRAC en ciertas URLs. Un atacante podría explotar esta vulnerabilidad para realizar un ataque 'mitm' (man-in-the-middle) y evitar que el cliente establezca una conexión cifrada con el servidor.
·        CVE-2018-1244 .-Tanto las versiones anteriores a 2.60.60.60 de Dell EMC iDRAC7/iDRAC8 como 3.21.21.21 de iDRAC9 contienen una vulnerabilidad de inyección de comandos en el agente SNMP. Un atacante autenticado podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en iDRAC, donde las alertas de SNMP están habilitadas.
·        CVE-2018-1212.- La consola de diagnóstico web en Dell EMC iDRAC6 (todas las versiones modulares) contiene una vulnerabilidad de inyección de comandos. Un usuario malicioso autenticado de forma remota con acceso a la consola de diagnóstico podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios como root en el sistema que no se encuentre actualizado.
·        CVE-2018-1243 .- Las versiones anteriores a 2.91 de iDRAC6, 2.60.60.60 en iDRAC7/iDRAC8, así como 3.21.21.21 en iDRAC9, contienen una vulnerabilidad de ID de sesión CGI débil. Las sesiones invocadas a través de binarios CGI utilizan valores de 96 bits, lo que facilita a los atacantes remotos realizar ataques de fuerza bruta.
Dell ya ha publicado un documento de soporte para solucionar las vulnerabilidades comentadas anteriormente, así como consejos para mantener al día el firmware de iDRAC.
Más información:
·        Dell EMC iDRAC response to multiple CVE's http://en.community.dell.com/techcenter/extras/m/white_papers/20487494
Fuente: Hispasec

STYLISH. Extensión de navegador que se queda con lo que visitas

Una extensión para los navegadores Google Chrome y Mozilla Firefox dedicada a modificar la apariencia de las webs, conocida como Stylish, se dedicaba a mandar lo visitado por el usuario a servidores de SimilarWeb, la empresa detrás de ésta
"De buen gusto", dice la página de diccionarios en línea WordReference.com que significa "stylish", entre otras acepciones. La verdad es que de buen gusto no se puede decir que haya sido lo que ha hecho SimilarWeb, la empresa detrás de esta famosa extensión. Y no decimos "famosa" como manida coletilla periodística, estamos hablando de la que ha sido la extensión de referencia con su funcionalidad: permitir especificar hojas de estilo personalizadas para modificar la apariencia de una web. Los datos: cerca de dos millones de usuarios en Google Chrome, y casi trescientos mil en Mozilla Firefox. Datos extraídos gracias a la caché de Google, ya que ambas versiones han desaparecido de las páginas de Chrome y Firefox.
La mecánica del espionaje es sencilla: Este tipo de extensiones necesitan acceder a la URL del navegador para saber si está en una página a la que debe aplicar una hoja de estilos personalizada. Y ya que accedes a la URL, pues te la quedas y la envías a tus servidores, que hay empresas que compran el historial de visitas de la gente... ¿Qué hay de malo en ésto? Bueno, éstas empresas estudian los hábitos de navegación de la gente, y de las peores cosas que pueden hacer dentro de la legalidad es venderle a otra empresa que a una persona en concreto le gustan los nomos de jardín. Así, esa última empresa como anunciante en Internet te puede bombardear con publicidad sobre unos nomos chulísimos cada vez que pases por una página que contiene anuncios gestionados por esa empresa.
En realidad, que Stylish se dedicase a esos menesteres no es una novedad. Cuando fue comprado a un desarrollador independiente por SimilarWeb en enero de 2017, ésta anunció que iba a recopilar ciertos datos "anónimos" sobre los usuarios. De hecho, ese mismo mes se publicó un artículo avisando de este cambio en la política de privacidad, donde se comentaba que efectivamente se obtenía información sobre los sitios que se visitaban. Lo que pasa es que a veces es necesario escribir un artículo incendiario como el de Robert Heaton, con capturas de pantalla donde se ve claramente cómo mandan esa información a los servidores de SimilarWeb:
Como ya comentábamos en otra Una-al-día, existen distintos tipos de datos personales, y los que probablemente recopila SimilarWeb son datos personales despersonalizados. Es decir, datos personales que conforman un perfil, pero que no se asocian directamente a una persona. El problema es que es demasiado fácil, a pesar de recopilarlos sin identificar a la persona en concreto, terminar vinculándolos a una. Y es que como dice Robert Heaton en su artículo, si saben que alguien está visitando https://www.linkedin.com/in//edit/ (página visitada por un usuario para modificar su perfil), ¿quién podrá ser ese usuario? Guiño, guiño.
En definitiva, se dice que "si un servicio es gratis, el producto eres tú", y este es otro caso más. Otra de las acepciones de "stylish" según WordReference.com es "a la moda", que también hace justicia al concepto recopilar datos personales para luego venderlos: está de moda. Y lo que nos queda.
Más información:
·         "Stylish" browser extension steals all your internet history https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/
·         Major Stylish add-on changes in regards to privacy https://www.ghacks.net/2017/01/04/major-stylish-add-on-changes-in-regards-to-privacy/
Fuente: Hispasec

Detectadas graves vulnerabilidades en dispositivos SCADA Siemens SICLOCK

En un reciente reporte de la multinacional Siemens, se alerta de graves vulnerabilidades remotas presentes en los dispositivos de control de planta SICLOCK TC que, dada su antigüedad, no van a ser actualizados, siendo necesario aplicar las contramedidas publicadas.
Los dispositivos Siemens SCADA, pertenecientes a la familia SICLOCK TC, se utilizan para proporcionar un sistema de sincronización de la hora dentro de una central de pequeña o mediana escala, en caso que el dispositivo principal fallase.
Las vulnerabilidades reportadas afectarían a los dispositivos SICLOCK TC100 y TC400, en todas sus versiones. Según el reporte facilitado, se habrían detectado 6 vulnerabilidades, como denegaciones de servicio, salto de restricciones de autenticación o modificación del firmware, siendo el listado completo el siguiente:
CVE-2018-4851 - Denegación de servicio.
CVE-2018-4852 - Salto de restricciones del sistema de autenticación.
CVE-2018-4853 - Modificación del firmware del dispositivo a través del puerto UDP 69.
CVE-2018-4854 - Modificación del cliente de administración presente en el dispositivo a través del puerto UDP 69. Un atacante podría de esta manera ejecutar código en el sistema del cliente que utilice una versión modificada.
CVE-2018-4855 - Revelación de credenciales sin cifrar, tanto en los ficheros de configuración, como durante el tráfico de red, permitiendo a un atacante con acceso obtener los credenciales de forma sencilla.
CVE-2018-4856 - Un atacante con permisos administrativos podría bloquear usuarios ya registrados en el dispositivo. Sólo mediante el acceso físico al dispositivo se podrían revertir los cambios.
Aunque no se han detectado ataques o exploits públicos que reproduzcan estas vulnerabilidades, Siemens ha proporcionado las contramedidas necesarias para proteger los dispositivos de estos ataques.
Al encontrarse estos dispositivos en el fin de ciclo de soporte, no se van a publicar actualizaciones de firmware por el momento, según el fabricante.
Más información:
·         SSA-197012: Vulnerabilities in SICLOCK central plant clocks https://cert-portal.siemens.com/productcert/pdf/ssa-197012.pdf
Fuente: Hispasec

Peralta ATM Malware. Informe técnico

Después de haber visto casos como plotus, greendispenser, plotus.d entre otros ataques tanto de malware como de red a ATM. Desde el mes pasado se han detectado varios ataques con una nueva forma de operación para infectar y poder obligar a los cajeros automáticos (ATMs) a dispensar dinero.
Por el momento los ATMs afectados contenían las siguientes características:
  • Marca: Diebold Nixdorf
  • Software_XFS: Agilis
  • Software de Seguridad: GMV Checker
  • Sistema Operativo: Windows 7
Cabe destacar que la DLL 'Display Settings' se ha encontrado con múltiples variantes de 'hashes' pero todas ellas han sido desarrolladas para utilizar funciones de XFS3.x SDK.
1.- En primera instancia el atacante o grupos de atacantes requieren autentificarse con un token RSA de Diebold sobre el usuario de producción y entrar firmados, aunque este acceso no signifique que tienen permisos administrador (dependerá de las configuraciones de seguridad de los bancos).
2.- Luego requieren identificar un teclado o periférico valido dentro de la ACL de protección del software. Este tipo de ataques se puede efectuar mediante un dispositivo de emulación de USB como facedancer21, arduino o un diseño de hardware propio.
En los logs se puede observar como se conectan en un 1 segundo más de 120 periféricos:
El malware que utiliza el hardware ID de Diebold VID03F4 PID1003 y la casualidad es que:
El hub de USB de Diebold se encuentra en la ACL como un 'driver' genérico. Después de haber repasado con el 'phukd' todos los usb disponibles para probar los que puedan aceptar un comando Cntr+Alt+Del.
3.- Una vez a dentro el usuario de producción y con un teclado dentro de la ACL, el siguiente paso es utilizar 'Powershell' (que no está protegido con 'checker'), para ejecutar una escalada de privilegios local con el archivo exp.ps1.
Teniendo en cuenta que el archivo 'exp.ps1', se puede encontrar público y esta vulnerabilidad está disponible entre otros en la suite Metasploit, la investigación arrojó que el atacante adquiere 'NT Authority/System'.
El exploit lo podemos encontrar en exploit-db, pentestlab y en github, entre otros, en este último fue donde encontramos el código exacto usado por los atacantes. Este exploit es usado debido a que muchas políticas de seguridad para ATMs no contemplan shells secundarias como powershell, powershell_ISE y otras funciones que permiten ejecutar código fuera de los típicos EXE, VBS.
CONCLUSIÓN:
Este nuevo malware presenta soporte para múltiples EPPs y múltiples dispensadores. De momento solo afectaría a Diebold con Agilis.
Por lo tanto tenemos un malware nuevo, derivado de casos como 'plotus'  pero en este caso solo con DLLs requeridas para confirmar y configurar correctamente el proceso de conexión.
Display Settings.dll :
-- INTEROP.CASHDISPENSER3LIB.DLL dll segundaria
-- INTEROP.PINPAD3LIB.DLL dll secundaria
Por otro lado, en la sección del UI del malware,  al ejecutarse, se solapará sobre el archivo 'OUTPUT.html' del modo supervisor del EMPOWER Screen Themes para mostrar algo así en la sección inferior izquierda:
En este caso el ataque como se mostró,requiere de varios pasos para poder ejecutarse desde el malware hasta el dispositivo de emulación de USB y un alto conocimiento del sistema operativo Windows y de Diebold Agilis XFS
RECOMENDACIONES:
ES PRIMORDIAL TENER UN CORRECTO CONTROL TANTO DEL TOKEN COMO EL CONTROL DE ACCESO DE USUARIOS DE WINDOWS. HAY QUE TENER TRAZABILIDAD SOBRE LOS TÉCNICOS DE SOPORTE O MANTENIMIENTO QUE MANIPULAN NUESTROS ATMS.
Por otro lado es primordial tener una correcta política de actualizaciones de seguridad de la plataforma sobre la que corre nuestro ATM, en este caso Microsoft Windows.
Por el momento las soluciones mas recomendadas son las que permitan poder tomar acciones inmediatas remotamente sin depender de protecciones de sistema operativo, como mandar a apagar el ATM y apagar el dispensador.
Más información
Fuente: Hispasec