14 de septiembre de 2018

Tribunal Estrasburgo. Crítica a sistema de espionaje masivo británico

Grupos de derechos humanos y periodistas lograron el jueves una victoria contra el sistema de vigilancia electrónica masiva del Gobierno británico después que el máximo tribunal de derechos de Europa dictaminara que el programa “Big Brother” (Gran Hermano) violaba la privacidad y la libertad de expresión.
El Tribunal Europeo de Derechos Humanos, con sede en Estrasburgo, al este de Francia, no cuestionó la existencia en sí del programa de espionaje, pero dijo que la falta de supervisión y garantías suponía que socavaba los derechos a la privacidad y la libre expresión.
El tribunal dio a Reino Unido, que está en vías de modificar la legislación sobre un tema públicamente expuesto por el informante estadounidense Edward Snowden, tres meses para decidir si solicita una audiencia de apelación tras el fallo del jueves.
“Aunque el Tribunal estuvo satisfecho con que los servicios de inteligencia del Reino Unido se tomaran en serio sus obligaciones con la Convención (Europea de Derechos Humanos) y no abusaran de sus poderes, descubrió que no había una supervisión independiente adecuada de los procesos de selección y búsqueda involucrados en la operación”, dijo el tribunal.
Las violaciones se referían a deficiencias cuando se trataba de seleccionar a los proveedores de servicios de Internet involucrados, así como a los criterios de búsqueda utilizados para filtrar y seleccionar las comunicaciones interceptadas para su evaluación.
“Además, no había verdaderas salvaguardas aplicables a la selección de los datos de comunicaciones relacionadas para su examen, a pesar de que esta información podría revelar mucho sobre los hábitos y contactos de una persona”, añadió el tribunal.
Los casos son el último desafío legal contra Reino Unido en un prolongado escándalo de espionaje tras las revelaciones realizadas en 2003 por Snowden, un ex proveedor de la Agencia de Seguridad Nacional de Estados Unidos (NSA), que reavivaron el debate sobre privacidad frente a seguridad.
Entre los grupos que llevaron el caso a Estrasburgo estaban la organización Big Brother Watch con sede en Londres, la Oficina de Periodismo de Investigación y la ex periodista de The Guardian Alice Ross.
Fuente: Hispasec

APP STORE. Cuatro aplicaciones filtran a China datos personales de usuarios de Mac

La compañía de ciberseguridad Malwarebytes ha alertado sobre la existencia de cuatro aplicaciones para ordenadores Mac presentes en la App Store que filtran datos personales de los usuarios y que los envían a servidores externos situados en China.
Las aplicaciones para ordenadores Mac Adware Doctor, Open Any Files: RAR Support, Dr. Antivirus y Dr. Cleaner almacenan los datos personales de sus usuarios en sus servidores propios en China, país con una legislación de protección de datos distinta.
La empresa de ciberseguridad Malwarebytes ha explicado en su blog que esta técnica, conocida como 'exfiltración' de datos, puede suponer problemas en el tratamiento de datos personales de sus usuarios al diferir la legislación china con la de la Unión Europea o la de Estados Unidos.
La primera de las aplicaciones, Adware Doctor, sube a servidores externos datos entre los que se encuentran el historial de los navegadores Safari, Chrome y Firefox, así como una lista con todos los procesos del ordenador y las aplicaciones descargadas y su procedencia.
Open Any Files: RAR Support, por su parte, es una aplicación fraudulenta que secuestra la función de gestión de archivos del dispositivo en los casos en que este no dispone de un programa para abrirlos. Una vez instalada, esta 'app' aconseja la instalación de un antivirus y accede al historial de navegadores y de la App Store.
Además, la compañía de ciberseguridad ha alertado también sobre las aplicaciones Dr. Antivirus y Dr. Cleaner, un antivirus un 'software de limpieza de archivos, respectivamente, creadas por el mismo desarrollador.
Estas aplicaciones recolectan el mismo tipo de información personal del equipo de los usuarios. En el caso del antivirus, presenta un bajo índice de detección y en ambos casos las 'apps' filtran información sobre todos los programas utilizados.
Al igual que Open Any Files, Dr. Antivirus y Dr. Cleaner suben los datos personales a un servidor externo a través de un archivo ZIP. El servidor al que se suben estos archivos es propiedad de un ciudadano chino, según ha advertido la Malwarebytes.
Fuente: Europa Press

MICROSOFT. Corrige vulnerabilidad Edge permitía secuestrar barra de URL, aún presente en Safari

Microsoft ha solucionado una vulnerabilidad presente en su navegador Edge a través de la cual un actor malicioso podía acceder a información sensible de un usuario al sustituir la dirección web a la que se quiere acceder por otra mediante el secuestro de la barra de URL.
El investigador de ciberseguridad Rafay Baloch ha recogido el problema en una publicación en su blog, tras descubrir la vulnerabilidad por primera vez en un estudio realizado hace un año. Microsoft ya ha solucionado distribuido un parche de seguridad para su navegador Edge que soluciona el fallo, también presente en Safari y por el momento aún activo.
La vulnerabilidad, bautizada como 'Cargar y sobreescribir las condiciones de funcionamiento', permite 'burlar' la dirección URL a la que un usuario quería acceder. Para ello, a través de la función setInterval integrada dentro del lenguaje de programación JavaScript, utilizado en la creación de páginas web, es posible controlar los tiempos de recarga de una página.
Al utilizar esta función se induce a que la página retrase la carga, algo que durante este proceso un actor malicioso puede aprovechar para cambiar la dirección integrada en la barra URL por otra diferente antes de que el sitio web termine de cargar.
Si esto se produce, el usuario es redireccionado a la página mientras que la barra de direcciones muestra la URL a la que se quería acceder, así como su contenido. Mientras tanto, la información sensible que la página albergue acabará a disposición del ladrón de datos por medio de un sitio externo inexistente, el cual se correspondería a la página con la que se sustituyó la dirección web.
Este problema afectaba tanto a Microsoft Edge como a Safari, el navegador del sistema operativo iOS. El investigador informó de la vulnerabilidad a ambas compañías el pasado 2 de junio. Microsoft lo solucionó con la actualización de seguridad lanzada el 14 de agosto, mientras que Apple no había reaccionado al aviso por el momento a fecha de este lunes.
Fuente: Europa Press

PORTÁTILES ROBADOS. Desprotegidos por vulnerabilidad que permite extraer claves de RAM

Una vulnerabilidad presente en el 'firmware' de todos los modelos de ordenadores portátiles modernos permite a los 'hackers' robar claves de acceso de la memoria RAM de un dispositivo después de forzar su apagado en los casos en que tienen acceso al equipo de forma física.
Los expertos de ciberseguridad de la compañía finlandesa F-Secure han alertado sobre la existencia de este problema a los fabricantes de dispositivos, que por el momento aseguran que no ofrecen una protección suficiente contra esta vulnerabilidad que deja desprotegidos los ordenadores robados o perdidos.
El informe elaborado por la firma de ciberseguridad ha puesto de manifiesto que la vulnerabilidad no puede ser aprovechada a distancia, aunque es suficiente que un ciberdelincuente entre en contacto durante cinco minutos con un ordenador para acceder a datos sensibles.
La vulnerabilidad se conoce como 'ataque de arranque en frío' y es utilizada para extraer datos de la memoria volátil RAM del dispositivo antes de que esta sobreescriba la información que contiene.
La RAM de un ordenador se vacía de datos cuando este se apaga, pero al forzar el apagado del dispositivo de una forma distinta al proceso de apagado común se evita que esta memoria se libere, por lo que los datos guardados en ella durante el funcionamiento del aparato seguirán ahí después de que pierda la energía.
Una vez apagado, la información que albergue la RAM puede ser extraída por medio de un programa informático cargado en un dispositivo extraíble USB, el cual daría acceso a las redes y servidores de una empresa. Se tiene constancia de que los ciberdelincuentes han utilizado este procedimiento de ataque desde hace una década.
El asesor principal de seguridad de F-Secure, Olle Segerdhal, ha afirmado que este es un ataque de dificil protección, pues las empresas no están preparadas para frenar las amenazas que implican contacto físico con los ordenadores, y también supone un serio riesgo ya que casi todos los portátiles pertenecientes a compañías poseen claves de acceso a servidores y redes.
Los asesores han puesto a grandes empresas como Intel, Microsoft y Apple al corriente y recomiendan a estas firmas métodos para estar preparadas en caso de brecha, entre los que destacan configurar los dispositivos para que hibernen en vez de entrar en modo sueño cada vez que se suspenden, educar a los trabajadores y la necesidad de tener preparados planes de acción que invaliden los credenciales de acceso de los usuarios en caso de vulneración.
Fuente: Europa Press

SYMANTEC. Descubre grupo de cibercriminales que atacó gobiernos Oriente Medio

La compañía de ciberseguridad Symantec ha descubierto un nuevo grupo de cibercriminales llamado Leafminer que se encuentra activo al menos desde principios de 2017 y que se ha especializado en ataques a organizaciones gubernamentales de países Oriente Medio.
Leafminer constituye una campaña internacional de ciberespionaje que trata de infiltrarse en las redes objetivo a través de diferentes técnicas de intrusión como sitios web maliciosos mediante ataques 'watering hole', inicios de sesión por fuerza bruta y escaneados de vulnerabilidad, como ha alertado Symantec en un comunicado.
Los ciberataques de Leafminer buscan hacerse principalmente con datos de correo electrónico, archivos y servidores de base de datos en los sistemas a los que compromete, lo que indica que su principal motivación es el ciberespionaje, según el vicepresidente de análisis de detección en Symantec, Einar Oftedal.
“El grupo es sumamente activo y usa herramientas públicamente disponibles que generalmente no disparan las alertas, además de usar su propio 'malware' personalizado", ha explicado Oftedal, que también ha asegurado que el grupo ha imitado técnicas de ataques de otras amenazas, como es el caso de Dragonfly.
Symantec ha descubierto una lista de 809 objetivos usada por los atacantes de Leafminer para realizar escaneados de vulnerabilidad. Las regiones objetivo incluidas en la lista eran Arabia Saudí, los Emiratos Árabes Unidos, Qatar, Kuwait, Bahréin, Egipto, Israel y Afganistán.
Entre los objetivos de este ciberataque se incluyen tanto gobiernos de los países afectados como empresas del sector financiero y energético. Debido al uso del idioma farsi y de herramientas de arsenal, Symantec ha sugerido que Leafminer tiene sede en Irán y se relaciona con grupo de hackers Sun Army.
Fuente: Europa Press

APPLE. Presentación de nuevo iPhone más grande y relojes orientados a salud

Apple Inc presentó el miércoles teléfonos iPhone más grandes y un reloj que puede detectar problemas cardíacos, con lo que busca que los usuarios cambien sus antiguos modelos por unos más caros en momentos en la demanda por aparatos se ha estancado.
El vicepresidente senior de márketing de Apple, Philip Schiller, en la presentación del teléfono iPhone XR en Cupertino, EEUU, sep 12, 2018. REUTERS/Stephen Lam
Los pequeños cambios a los productos de Apple siguen a una importante renovación el año pasado con el lanzamiento del iPhone X y eran, en general, esperados por los inversores. Las acciones de Apple caían un 1,5 por ciento en el Nasdaq.
La estrategia ayudó a Apple a convertirse en la primera empresa estadounidense que cotiza en bolsa que alcanzó un valor de mercado de más de 1 billón de dólares a principios de este año.
“Es bastante consistente con los últimos lanzamientos de iPhone donde se vende con la noticias en el corto plazo, pero las cosas probablemente mejorarán mucho en las próximas semanas y meses, especialmente con una fuerte temporada de ventas navideñas”, dijo Jake Dollarhide, director ejecutivo de Longbow Asset Management.
Los nuevos teléfonos, basados en el iPhone XS y iPhone XS Max, con pantalla de 5,8 pulgadas y 6,5 pulgadas, respectivamente, se venderán desde 999 dólares y 1.099 dólares.
Apple usa el sufijo ‘S’ cuando actualiza componentes, pero deja el exterior de un teléfono igual.
La empresa también presentó el iPhone Xr de 6,1 pulgadas, hecho de aluminio, y que se vende desde 749 dólares.
Los dos modelos de teléfono a partir de 999 dólares o más en Estados Unidos parecen aprovechar la fortaleza de la economía, el bajo desempleo y un creciente patrimonio de las familias.
La compañía abrió su evento diciendo que su nueva gama de relojes Apple Watch Serie 4 tendrá pantallas sin bordes, como sus últimos teléfonos, y que sus pantallas son sobre un 30 por ciento más grandes que las de los modelos actuales.
El nuevo reloj es promocionado como un dispositivo de salud más completo, que puede detectar el latido cardíaco irregular e iniciar una llamada de emergencia automáticamente si detecta la caída de un usuario, lo que puede atraer a clientes de edad avanzada.
“Este es un gran problema”, dijo el analista de tecnología de salud Ross Muken de Evercore. “Esta actualización realmente muestra los crecientes esfuerzos de la compañía para hacer que el reloj sea un dispositivo médico serio”, agregó.
Fuente Reuters

Vulnerabilidad de escalada de privilegios en cliente NordVPN

Existe una vulnerabilidad de ejecución de código explotable en la funcionalidad de conexión del cliente VPN NordVPN 6.14.28.0. Un archivo de configuración OpenVPN especialmente diseñado podría causar una escalada de privilegios, lo que podría permitir la ejecución de comandos arbitrarios con los privilegios del sistema, catalogada de  Importancia: 4 - Alta
Recursos afectados:
  • Cliente de VPN NordVPN 6.14.28.0
Recomendación
  • Un parche ha sido incluido en la actualización del cliente VPN el 8 de agosto. Se recomienda actualizar los clientes VPN a la versión actual.
Detalle de vulnerabilidades
  • El investigador Paul Rascagneres de Cisco Talos, ha descubierto que si se modifica el archivo de configuración de OpenVPN y se agrega el parámetro up y a continuación la ruta de ejecución de un programa cualquiera, el programa se ejecutará con privilegios de sistema. Se ha reservado el identificador CVE-2018-3952 para esta vulnerabilidad.
Más información
·        TALOS-2018-0622 - Cisco Talos https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0622
·        Vulnerability Spotlight: CVE-2018-3952 / CVE-2018-4010 - Multi-provider VPN Client Privilege Escalation Vulnerabilities https://blog.talosintelligence.com/2018/09/vulnerability-spotlight-Multi-provider-VPN-Client-Privilege-Escalation.html
Fuente. Hispasec

Múltiples vulnerabilidades en productos HPE

El investigador Sztivi ha descubierto 9 vulnerabilidades de severidad crítica en productos HPE que podrían permitir a un atacante remoto sin autenticación la ejecución de código arbitrario., catalogadas de Importancia: 5 - Crítica
Recursos afectados:
·        Intelligent Management Center
Recomendación
Por el momento no existe ninguna actualización que solucione estas vulnerabilidades. Se recomienda, como medida de mitigación, restringir la interacción del servicio con máquinas de confianza mediante, por ejemplo, cortafuegos y listas blancas.
Detalle de vulnerabilidades
Un atacante puede aprovechar las siguientes vulnerabilidades para ejecutar código arbitrario en el contexto de SYSTEM, debido a:
·        La inadecuada comprobación de los datos de entrada suministrados por el usuario en el servicio dbman, en el puerto de escucha TCP 2810 (por defecto).
·        El manejo de las peticiones de opcode 10010 en el servicio dbman, en el puerto de escucha TCP 2810 (por defecto) que permite la escritura arbitraria de archivos con datos controlados por el usuario.
·        La inadecuada validación del parámetro de nombre de usuario proporcionado al método dealInodeNotifyMsg antes de copiarlos a un búfer basado en pilas de longitud fija.
·        Un checkeo inapropiado de la longitud de los datos suministrados por el usuario dentro del descifrado de mensajes encriptados antes de copiarlos a un búfer basado en pilas de longitud fija.
·        El procesamiento del mensaje dealInodeOfflineMsg no valida adecuadamente la longitud de los datos suminstrados por el usuario antes de copiarlos a un búfer basado en pilas de longitud fija.
Más información
Fuente: INCIBE

Boletín de seguridad de Microsoft de septiembre de 2018

La publicación de actualizaciones de seguridad de Microsoft este mes consta de 60 vulnerabilidades, 17 clasificadas como críticas y 43 como importantes, siendo el resto de severidad media o baja, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
  1. Internet Explorer
  2. Microsoft Edge
  3. Microsoft Windows
  4. Microsoft Office and Microsoft Office Services and Web Apps
  5. ChakraCore
  6. Adobe Flash Player
  7. .NET Framework
  8. Microsoft.Data.OData
  9. ASP.NET
Recomendación
  • Instalar la actualización de seguridad correspondiente. En la página de información de instalación de las mismas actualizaciones, se informa de los distintos métodos para llevarlas a cabo.
Detalle de vulnerabilidades
El tipo de vulnerabilidades publicadas se corresponde a las siguientes:
  • Elevación de privilegios.
  • Denegación de servicio.
  • Ejecución remota de código.
  • Revelación de información.
  • Suplantación.
  • Evasión de seguridad.
  • Encuesta valoración
Más información
Fuente: INCIBE

SAP. Actualización de seguridad de septiembre 2018

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de Importancia: 4 - Alta
Recursos afectados:
  1. SAP Business Client, versión 6.5
  2. SAP Business One, versiones 9.2 y 9.3
  3. SAP NetWeaver BI, versiones 7.30,7.31,7.40,7.41 y 7.50
  4. SAP HANA, versiones 1.0 y 2.0
  5. SAP WebDynpro, versiones 7.20, 7.30, 7.31, 7.40, 7.50
  6. SAP NetWeaver AS Java, versiones de la 7.10 a la 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
  7. SAP Hybris Commerce, versiones 6.*
  8. SAP Plant Connectivity, versión 15.0
  9. SAP Adaptive Server Enterprise, versión 16.0
  10. SAP HCM Fiori "People Profile" (GBX01HR), versión 6.0
  11. SAP Mobile Platform, versión 3.0
  12. SAP Enterprise Financial Services, versión 6.05, 6.06, 6.16, 6.17, 6.18, 8.0
  13. SAP Business One Android application, versión 1.2
Recomendación
  • Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Detalle de vulnerabiliadades
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, de las cuales 1 es una actualización de una nota de seguridad publicada con anterioridad, 3 de severidad alta, 9 de de severidad media y 1 de severidad baja,
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
  • 1 vulnerabilidad de denegación de servicio
  • 3 vulnerabilidades de divulgación de información
  • 3 vulnerabilidades de falta de comprobación de autorización
  • 2 vulnerabilidades de Cross-Site Scripting
  • 2 vulnerabilidades de incorrecta validación de XML
  • 3 vulnerabilidades de otras tipologías
Las vulnerabilidades más relevantes son las siguientes:
  1. La vulnerabilidad de divulgación de información en SAP Business ONE y SAP HANA, podría permitir a un atacante revelar información adicional (datos del sistema, información de depuración, etc.) que ayudaría a aprender sobre un sistema y planificar otros ataques. Esto podría desembocar en la divulgación de información, escalamiento de privilegios y otros ataques. Se ha asignado el código CVE-2018-2458 para esta vulnerabilidad.
  2. Un atacante puede utilizar la vulnerabilidad de incorrecta validación de XML, presente en SAP BEx Web Java Runtime Export Web Service, para enviar solicitudes XML especialmente diseñadas y no autorizadas que serían procesadas por el analizador XML. El atacante obtendría acceso no autorizado al sistema de archivos del SO. Se ha asignado el código CVE-2018-2462 para esta vulnerabilidad.
  3. Una vulnerabilidad de falta de comprobación de autorizacion en SAP ECC Sales Support podría permitir a un atacante el acceso a un servicio sin necesidad de autorización y emplear funciones de servicio con acceso restringido. Esto puede desembocar en la divulgación de información, escalado de privilegios y otros ataques.
Mas información
Fuente: INCIBE

Múltiples vulnerabilidades en productos de Intel

Intel ha publicado 16 avisos de seguridad en su centro de seguridad de productos, 1 de severidad crítica, 7 de severidad alta y 8 de severidad media. Importancia: 4 - Alta
Recursos afectados:
  • Intel® Data Migration Software v3.1 y anteriores
  • Intel® OpenVINO™ Toolkit for Windows v2018.1.265 and earlier
  • Intel® IoT Developers Kit 4.0 y anteriores
  • Intel® NUC Kit, varios modelos
  • Intel® Compute Card, varios modelos
  • Intel® Compute Stick, varias modelos
  • Intel® Centrino® Wireless-N, varios modelos
  • Intel® Centrino® Advanced-N, varios modelos
  • Intel® Distribution for Python 2018 versiones descargadas antes del 6 de agosto del 2018
  • Intel® Extreme Tuning Utility, versiones anteriores a 6.4.1.23
  • Intel® Driver & Support Assistant, versiones anteriores a 3.5.0.1
  • Intel® Computing Improvement Program, versiones anteriores a 2.2.0.03942
  • Intel-SA-00086 Detection Tool, versiones anteriores a 1.2.7.0
  • Intel® CSME, versiones desde 11.0 hasta 11.8.50; desde 11.10 hasta 11.11.50; desde 11.20 hasta 11.21.51, Intel® Server Platform Services firmware versión 4.0 (en Purley y Bakerville only) e Intel® TXE versiones desde la 3.0 hasta 3.1.50.
  • Sistemas que usen Intel® CSME con versiones de firmware anteriores a 11.0/ Intel® Server Platform Services 4.0/TXE 3.0 o que usen las versiones de firmware 11.8.55/11.11.55/11.21.55/ Intel® Server Platform Services 5.0 y superiores /TXE 3.1.55 o superiores no están afectadas por esta vulnerabilidad.
  • Intel® CSME, varias versiones
  • Intel® ME, varias versiones
  • Intel® Trusted Execution Engine (TXE), varias versiones
  • Intel® Data Center manager, versiones anteriores a 5.1
  • Intel® Server Board, varias versiones
  • Intel® Server Board S2600BP, S2600WF y S2600ST
Recomendación
  • Actualizar a  la última versión de producto en https://downloadcenter.intel.com/.
Detalle de vulnerabilidades
Un usuario malintencionado que aprovechara alguna de las vulnerabilidades descritas, podría llegar a realizar las siguientes acciones en los productos afectados:
  1. Escalada de privilegios
  2. Ejecución de código con otros privilegios
  3. Ejecución de código arbitrario
  4. Revelación de información
  5. Denegación de servicio
  6. Encuesta valoración
Más información
Fuente: INCIBE

SAFARI. Vulnerabilidad de falsificación de sitios web

Se ha descubierto una vulnerabilidad que podría permitir a los atacantes falsificar direcciones de sitios web legítimos para robar credenciales
Si bien Microsoft solucionó el mes pasado esta misma vulnerabilidad que le afectaba en su navegador Edge, Safari aún no está parcheado.
El fallo ha sido descubierto por el investigador de seguridad Rafay Baloch. La vulnerabilidad (CVE-2018-8383) se debe a un problema de condición de carrera que permite a JavaScript actualizar la dirección de la página web en la URL mientras se carga la página.
Funcionamiento de la vulnerabilidad
La explotación de esta vulnerabilidad podría permitir que un atacante inicialmente comience a cargar una página legítima y luego reemplazar el código en la web por uno malicioso.
"Al solicitar datos de un puerto inexistente, la dirección se conservó y, por lo tanto, debido a una condición de carrera sobre un recurso solicitado desde un puerto inexistente combinado con el retraso introducido por la función setInterval logró activar la suplantación de barra de direcciones", explica Baloch en su blog.
Prueba de concepto
Los desarrolladores de Microsoft arreglaron el fallo antes de que pasara la fecha límite de 90 días desde que se le informó, pero Apple aún no ha puesto solución al error.
Baloch sigue sin exponer el código de la prueba de concepto de este último, pero dado que el de Microsoft Edge es público y el fallo es muy similar, cualquier persona con un conocimiento decente de JavaScript podría hacerlo funcionar en Safari.
El propio investigador asegura que este fallo no afecta ni a Chrome ni a Firefox.
Más información:
Fuente: Hispasec

MAGECART. Detrás de la sustracción de información de pago de los clientes de British Airways

El pasado 6 de septiembre, la aerolínea británica British Airways, anunció que había sufrido un ataque que provocó el robo de información confidencial de 380,000 de sus clientes. Entre la información sustraída se encuentra información personal de los usuarios y de los métodos de pago usados por los mismos.
La misma British Airways a través del comunicado aportaba la siguiente información. En primer lugar, acotaba el tiempo que habían estado expuestos a este ataque, situaba el mismo entre las 22:58 horas del 21 de agosto y las 21:45 horas del 5 de septiembre de 2018, todo según la franja horaria UTC+1. Además aportan datos que hacían prever el 'modus operandi' del ataque. Estos datos aclaran que los usuarios debían de haber llevado una compra desde su web principal o aplicación móvil.
El investigador de seguridad Yonathan Klijnsma de la empresa RiskIQ ha aportado datos que arrojan detalles de esta brecha de seguridad la cuál ha relacionado directamente con el grupo Magecart. Que para nuestros lectores son los mismos que perpetraron el ataque contra Ticketmaster el pasado mes de junio del cual hablamos en la siguiente noticia.
Los datos aportados por la empresa RiskIQ aportan una visión clara de cómo funciona este grupo organizado. Pueden leerlo en su artículo.
De forma resumida, los atacantes lograron hacerse con el control del servidor, una vez dentro ocultaron código Javascript dentro de una librería conocida (Modernizr), para no levantar sospechas. Este código fraudulento era el encargado de ir recolectando la información.
Pero, ¿y la aplicación Android?, fácil, la aplicación recogía información desde el servidor actuando como ‘webview’. La web referenciada también incluía la versión modificada de la librería Modernizr por lo que el código se cargaba también en los terminales
Sin duda un ataque con un alto nivel de especialización y 100% dirigido que nos hacen hablar de un concepto que cada vez suena con más fuerza los skimmers virtuales, métodos de robo colocado dentro del código que maneje información de pago para el robo de la misma.
Más información:
Fuente: Hispasec

WPA3. Más seguridad y más fácil de usar

Esta nueva versión incluye el nuevo protocolo SAE, que hará inviable nuevos ataques como KRACK; aunque también se incluyen mejoras para hacer más fácil y seguro compartir redes y usar redes públicas
Durante más de una década, el uso de PSK (clave pre-compartida, comúnmente conocido como 'four-way handshake') se ha considerado seguro, hasta que en 2016 un grupo de investigadores belgas descubrieron lo que se denominaría KRACK, dejando de manifiesto la necesidad de buscar una alternativa: SAE (Simultaneous Authentication of Equals).
Este nuevo protocolo empleado por WPA3 (que en realidad data de 2008), se trata de una variación de dragonfly handshake, contando entre sus novedades resistencia a ataques como el de KRACK, pero además hace inútil los ataques por diccionario a los paquetes interceptados. Por si fuese poco, además cuenta con 'forward secrecy'. Esto significa, que aunque se obtenga la clave, un atacante no podrá descifrar los mensajes anteriormente cifrados con dicha clave, porque ésta cambia con cada comunicación.
SAE a diferencia de PSK, tal y como indica su nombre (Simultaneous Authentication of Equals) trata a cada cada parte como iguales, y cualquiera de ellas puede establecer la comunicación. Este nuevo método se contrapone a la forma de trabajar de PSK, en que router y cliente se encontraban diferenciados, y era posible forzar la desconexión entre ambos para analizar los 'handshake' (tal y como hace KRACK).
Además de SAE, WPA3 en su modalidad WPA3-Enterprise contará con cifrado de 192-bits, al contrario que WPA3-Personal, que utilizará 128-bits. Esta seguridad adicional puede ser excesiva para el mercado doméstico, pero su uso puede ser requerido por instituciones y gobiernos.
WPA3 no es sólo más seguro, sino también más fácil de usar. Muestra de ello es Easy Connect, un nuevo protocolo que ha sido creado para facilitar compartir (y seguro) el acceso a una red. Esta nueva modalidad hace uso de códigos QR únicos, que deben ser escaneados por los dispositivos. Para aquellos dispositivos sin posibilidad de escanear el código QR, también será posible utilizar un código legible por un ser humano, e incluso compartirlo mediante sonido. Este tipo de medidas evitan compartir la contraseña (lo cual es más inseguro) y reduce los errores comunes al almacenar la clave para compartirla (a.k.a apuntarlo en un post-it). Sólo esperemos que estas nuevas facilidades, no se conviertan en un agujero de seguridad, como ya ocurrió con WPS.
Relacionado con lo anterior, el nuevo protocolo Enhanced Open protegerá a los usuarios que se conecten a redes abiertas, como aeropuertos o cafés, de ver sus datos comprometidos por el resto de usuarios de la red. Éste es un problema grave existente hasta ahora del que muchos usuarios no son conscientes, siendo la única solución utilizar una VPN (algo, que la mayoría de personas no utilizarán). Aunque el uso de una VPN en una red desconocida seguirá siendo aconsejable (porque no sabemos quien controla la red), este nuevo protocolo protegerá en gran medida a los usuarios que no usen una VPN.
Más información:
·        Wi-Fi Gets More Secure: Everything You Need to Know About WPA3
·        RFC Dragonfly Key Exchange https://tools.ietf.org/html/rfc7664
·        Wi-Fi Easy Connect https://www.wi-fi.org/discover-wi-fi/wi-fi-easy-connect
·        Open Wi-Fi networks https://www.wi-fi.org/discover-wi-fi/security
Fuente: INCIBE

Google Chrome traerá un generador de contraseñas

El equipo de Chrome, el navegador de Google, ha dado un paso hacia delante en el hastiado campo de las contraseñas. Está preparando una nueva funcionalidad que ofrecerá a los usuarios generar contraseñas seguras.
Anticipando el conjunto de mejoras que Chrome espera recibir para celebrar el décimo aniversario del navegador, se encuentra una funcionalidad que permite al usuario mejorar la seguridad en el uso de contraseñas, en concreto, nos posibilitará generar contraseñas seguras además de la ya conocida función de custodia y sincronización de estas.
De hecho, Google, pretende con este paso paliar el problema que genera la reutilización indiscriminada de contraseñas, a la par que descarga al usuario del proceso de elección que suele terminar, casi siempre, en una mala elección. De esta forma, se podrá optar a que el navegador nos genere una nueva contraseña (las reglas incluyen al menos una minúscula, una mayúscula, un número y símbolos si estos son requeridos) y la recuerde, así como que la sincronice con el resto de dispositivos que tengamos federados.
Indudablemente, Ia reutilización de contraseñas es un peligro habitual en usuarios que no están advertidos del riesgo que conlleva esta flexibilidad. Este escenario de explotación ocurre cuando se extraen o filtran credenciales de un sitio web. Una vez que las contraseñas han sido expuestas, estas podrían ser probadas no ya en el sitio afectado sino en otros muchos sitios donde el usuario podría poseer una cuenta; comprometiendo así, de un solo golpe varios accesos.
Otro riesgo común de dejar a elección del usuario la generación de contraseñas es la incapacidad de elegir contraseñas seguras. Si bien parte de la responsabilidad le corresponde al sitio o aplicación, por no obligar a seguir una politica de contraseñas fuertes, el usuario medio no se distingue por la elección de buenas contraseñas. Ya sea por la costumbre, necesidad -absurda- de memorizarlas o desconocimiento del riesgo que supone una credencial débil.
Sin duda, los generadores de contraseñas no son nada nuevo ni exclusivos. Los gestores de contraseñas ya lo poseen como una característica considerada fundamental dentro de sus funciones. Sin embargo, lo que sí que parece exclusivo es su uso, ya que no están precisamente difundidos en los usuarios comunes. Quizás, si incrustamos su uso en los navegadores podamos evitar que la utilización de  contraseñas débiles como la clásica "12345
Más información:
·        Tired of memorizing p4ssw0rd$? The new Chrome has your back https://www.blog.google/products/chrome/chrome-password-manager/
Fuente: Hispasec

Descubierta aplicación anti-adware espiando a usuarios de Mac

Una aplicación situada en el puesto número uno de las aplicaciones de pago de la AppStore cazada espiando a sus usuarios
Se trata de la aplicación "Adware Doctor", esta aplicación está diseñada para proteger a sus usuarios de adware y malware e irónicamente ha sido descubierta robando el historial de navegación de los usuarios sin su consentimiento y enviándolo a servidores localizados en China.
El investigador de seguridad '@privacyis1st' detectó un comportamiento sospechoso de spyware en la aplicación antes citada y le reportó los resultados de la investigación a Apple junto con la prueba de concepto de este incidente, pero la aplicación seguía siendo hospedada por el famoso market.
Una investigación más exhaustiva de la aplicación desveló que elude el entorno de 'Sandboxing' presente en la ejecución de cada aplicación dentro del sistema operativo del gigante tecnológico. Lo cual conlleva a una violación de los acuerdos de desarrollo de aplicaciones.
Los datos obtenidos por la aplicación son principalmente todos los sitios web que el usuario haya visitado por los navegadores más famosos (Google Chrome, Firefox, Safari) y los envía a servidores chinos (hxxp://yelabapp.com) que está a cargo de los creadores de la aplicación. La aplicación se salta la protección de sandboxing y accede a estos datos, comprimiéndolos para posteriormente mandarlos al servidor a través de 'sendPostRequestWithSuffix'.
Esta aplicación tiene más historia detrás antes podíamos encontrarla con el nombre de 'Adware Medic', que era una aplicación que simulaba ser otra llamada AdwareMedic. Se marcó como falsa con la ayuda de MalwareBytes y se eliminó de la AppStore, pero luego apareció Adware Doctor y se convirtió en la mejor aplicación de pago de la AppStore.
Dado que la aplicación viola flagrantemente los términos y condiciones del market de aplicaciones recopilando datos de los usuarios sin su consentimiento y saltándose las protecciones de sandboxing presentes se le comunicó a Apple el incidente, esta comunicación se lleva a cabo hace algunas semanas, pero la compañía aún no ha hecho nada al respecto.
Fue después cuando la información se hizo pública cuando Apple tomó cartas en el asunto y la aplicación fue finalmente borrada junto con la otra aplicación presente del mismo desarrollador 'AdBlock Master' y la URL donde se enviaban los datos ha dejado de ser accesible.
Se recomienda a los usuarios que hayan instalado esta aplicación que la borren inmediatamente de sus dispositivos.
Más información:
·        Artículo técnico:  https://objective-see.com/blog/blog_0x37.html
Fuente: Hispasec

MALWARE . Kronos se actualiza para ser más fuerte

Los troyanos bancarios son un tipo de malware que ha aumentado mucho en los últimos tiempos. Esto ha afectado tanto a los equipos de escritorio como a los dispositivos móviles. La razón principal es que los usuarios cada vez utilizan más Internet para realizar acciones relacionadas con los bancos. La tecnología avanza, pero a su vez los riesgos presentes. Hoy hablamos de Kronos, uno de los troyanos bancarios más peligrosos de los últimos tiempos. Ahora ha recibido una actualización que hace que sea aún más fuerte. Vamos a dar algunos consejos para protegernos y evitar ser víctima.
El troyano bancario Kronos se actualiza y se hace más fuerte
Seguro que muchos recordáis cuando hace unos meses hablábamos de Kronos. Ahora llega más fuerte después de actualizarse. Este troyano bancario pertenece a la misma familia que otras variedades de malware similares como Zeus, Gozi o Citadel.
Esta nueva variante de Kronos también se conoce como Osiris. Ha estado presente en diferentes campañas en países europeos y también otras naciones como Japón. Esta nueva actualización incluye funciones como el control de comando de red TOR, captura de teclas y control remoto a través de VNC.
Para su distribución utiliza un kit de exploit como RIG EK. Ha sido enviado en campañas de phishing mediante correo electrónico donde además envían documentos de Word especialmente diseñados.
Esta nueva actualización de Kronos utiliza mecanismos Anti-VM o Anti-Sandbox para evadir la detección en cualquier entorno virtual. Además, puede modificar algunos aspectos de Internet y reducir la seguridad del navegador para inyectar código malicioso en los sitios web.
Este troyano puede copiarse por sí mismo en diferentes ubicaciones en nuestro equipo, además de ejecutables para TOR o crear accesos directos en la carpeta de inicio.
Hay que mencionar que este troyano bancario hoy en día es mucho más caro que hace unos meses. Se puede encontrar en la Dark Web por unos 7.000 dólares (unos 6.000 euros al cambio actual).
Cómo protegerse de Kronos, el troyano bancario
Los primero que debemos de tener en cuenta es que se distribuye de múltiples formas. Esto incluye macros en Word, aprovechando ciertas vulnerabilidades en el sistema operativo, a través de descargas, etc.
Es muy importante contar con programas y herramientas de seguridad. Pero esto se aplica a cualquier tipo de amenazas, no es exclusivo de este troyano bancario. Tener un buen antivirus y otro tipo de software de seguridad puede protegernos de eventuales ataques.
Pero en este caso se antoja aún más importante el sentido común. Como hemos mencionado, puede distribuirse a través de macros en Word mediante correo electrónico. Por ello hay que prestar mucha atención a posibles archivos adjuntos sospechosos que recibamos, incluso desde contactos que conocemos.
El motivo es que si un usuario acaba infectado, puede reenviar ese correo a otros contactos. Un problema serio, ya que si alguien recibe un e-mail desde una cuenta extraña, que no conoce, puede sospechar. Sin embargo si lo recibimos de un familiar o un amigo, tendemos a fiarnos y a abrir el correo o descargar archivos adjuntos.
También es importante tener nuestros sistemas actualizados. Hemos visto que Kronos utiliza vulnerabilidades del sistema para distribuirse. En ocasiones surgen parches de seguridad que resuelven este tipo de problemas. Por tanto es importante que tengamos actualizados los equipos a la última versión, así como los diferentes programas que tengamos instalados.
Fuente: Fossbytes