• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (69)
  • adware (5)
  • Android (20)
  • Anuncios (42)
  • Apple (32)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (59)
  • Cálico Electrónico (48)
  • certificados (4)
  • Cibercrimen (3)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (22)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (116)
  • email (11)
  • entrevista (7)
  • Espionaje (45)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (57)
  • Filtraciones (74)
  • General (152)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (30)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (24)
  • Malware (290)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (8)
  • Privacidad (77)
  • Productos (42)
  • ransomware (11)
  • redes sociales (109)
  • rogue (26)
  • rootkit (2)
  • Scada (8)
  • Scam (26)
  • scareware (3)
  • seguridad (126)
  • sorteos (4)
  • Spam (147)
  • spyware (6)
  • telefonía (57)
  • timos (10)
  • Troyanos (37)
  • Tutoriales (23)
  • Twitter (10)
  • Unix (5)
  • Vulnerabilidades (287)

• Archivos

  • junio 2013 (15)
  • mayo 2013 (23)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Anonymous asegura haber obtenido datos privados de una web de propaganda norcoreana

Entre los ataques a diferentes webs producidos durante la pasada Semana Santa que comentábamos ayer, vimos cómo alguno de ellos había tenido como objetivo sitios web de Corea del Norte. No hace falta devanarse los sesos para averiguar que estas acciones son una respuesta a las continuas amenazas a la comunidad internacional por parte de su líder, Kim Jong-Un, quien amenaza con desplegar su arsenal nuclear en respuesta a unas recientes maniobras militares realizadas por sus vecinos del sur y el ejército de los Estados Unidos.

En el día de ayer conocimos la noticia de que miembros de Anonymous habrían conseguido, supuestamente, acceder al sitio de propaganda norcoreano Uriminzokkiri.com y obtener más de 15.000 credenciales de sus usuarios. A través de un mensaje que se publicó para informar de esta filtración de datos, estos miembros de Anonymous expusieron sus motivos para lanzar este ataque a esta web norcoreana y pusieron como ejemplo seis cuentas obtenidas de ella que mostraban sus nombres de usuario, direcciones de email, fecha de nacimiento y las contraseñas cifradas.

La web afectada se encuentra alojada en China, no en Corea del Norte, y no es la primera vez que sufre un ataque similar. Ya en 2011, grupos hacktivistas atacaron esa misma web, borrando artículos y publicando mensajes en contra del régimen norcoreano.

En el mensaje dejado por Anonymous se menciona también que los hacktivistas que realizaron este ataque tienen acceso a la Intranet de Corea del Norte, así como también acceso a sus servidores de correo y servidores web. Desconocemos la veracidad de estas afirmaciones y será difícil creerlo si no se presentan pruebas contundentes, puesto que es conocido que la Intranet de Corea del Norte no se encuentra conectada a Internet y es considerada una de las redes de más difícil acceso, algo completamente lógico conociendo la política aislacionista del régimen norcoreano.

Como vemos, de nuevo una escalada de tensión entre naciones en el mundo real tiene su repercusión en Internet. El problema viene cuando estas acciones online son tomadas como ataques equiparables con actos de guerra por las naciones afectadas y se plantea tomar represalias que amenazan la vida de civiles solo por ser considerados “hackers peligrosos”.

Josep Albors

Mi nuevo móvil, seguramente seguro (II)

Tras mi publicación de hace un par de días, he recibido varios comentarios de personas sobre la posibilidad de que alguien tenga tanto interés como para robar la información de su móvil. Se quedaban sorprendidos al pensar que allí pudiera haber algo que le interesara a alguien.

Y lo más curioso, sobre la técnica de congelar el móvil para obtener información, es que dudaban que alguien pudiera llegar a conseguir temperaturas tan bajas. Aquí hay dos errores fundamentales. El primero, el desconocimiento de qué es un congelador. Yo en casa tengo uno, y no es que sea especialmente “friki”. Me gusta tener cubitos de hielo, y conservo comida en él. ¿Su temperatura? -18º C, menos de los -10ºC que emplearon para la prueba.

Y el segundo error, el despreciar la información personal que tenemos. Recientemente ha aparecido una noticia que dice que los “Me gusta” de Facebook pueden desvelar mucha información del usuario. No por obvio ha dejado de sorprender. Si digo “Me gusta” a un vídeo de AC/DC y no lo digo de un vídeo de Justin Bieber “puede” intuirse algo de mis gustos musicales.

En nuestro teléfono tenemos, de entrada, un estupendo registro de las llamadas. Se puede saber a quién hemos llamado y cuándo. Con las fotos podemos saber dónde hemos estado, y mucho más si tenemos activada la georreferenciación de las imágenes. Y si hablamos de los SMS y los MMS (o Whatsapp), ya no solo tenemos información de con quién hablamos, sino el contenido de las conversaciones.

¿Hablamos de los documentos que hay almacenados? Como el móvil sea de uso profesional, la probabilidad de que haya información interna de nuestra empresa es prácticamente 1. Y si el teléfono es personal, no perderíamos mucho si apostamos a que hay algo que no queremos que los demás vean. Todos tenemos información que no debe ser pública en nuestro teléfono.

Aunque no lo creamos, todos esos datos pueden ser una golosina para un cibercriminal, y pueden hacernos daño. Evidentemente, es mucho más tentador el móvil de Barak Obama, el de Charlize Theron o el de Hugo Silva que el nuestro, pero estamos expuestos y debemos tomar todas las precauciones posibles. Solamente hay dos tipos de usuarios de móviles: los que ya han visto comprometida su información y los que van a verla comprometida próximamente. ¿En qué grupo estás?

Fernando de la Cuadra

@ferdelacuadra

Evernote cambia la contraseña de 50 millones de usuarios tras ver comprometida su seguridad

El conocido servicio de archivo de notas en la nube, Evernote, informó el pasado fin de semana a sus más de 50 millones de usuarios de haber sufrido una intrusión no autorizada en sus sistemas. Según la empresa, los atacantes consiguieron obtener datos como el nombre de usuario, el email asociado a su cuenta y una copia de las contraseñas cifradas.

Por suerte, aparentemente no se obtuvieron datos como los de las tarjetas de crédito de los usuarios ni se obtuvo acceso a las notas almacenadas en el servicio. Esto, unido a que las contraseñas obtenidas se encontraban cifradas, hace que los atacantes solo hayan obtenido datos de menor relevancia pero que igualmente pueden ser usados con malas intenciones.

Los atacantes pueden usar estos datos, por ejemplo, para preparar campañas de envío masivo de correos electrónicos, haciéndose pasar por la propia Evernote y dirigirlos a sitios web maliciosos.

De hecho, el correo enviado por Evernote a los usuarios podría pasar perfectamente por un caso de phishing si no fuera porque los datos de la cabecera del mensaje son los correctos. Veamos un ejemplo:

No es solo por el lenguaje usado, o por las faltas de ortografía  presentes en todo el texto. Lo más paradójico de este correo es que se nos proporciona un enlace para reestablecer nuestra contraseña al servicio cuando, unas líneas más tarde, se nos avisa de lo siguiente:

“Nunca haga clic en correos electrónicos que piden que cambie o reajuste su contraseña – En ves, diríjase directamente al sitio”.

Una recomendación de seguridad muy acertada pero que ellos mismos no aplican en ese mensaje.

Si somos usuarios de este servicio debemos tomar precauciones y cambiar lo antes posible nuestra contraseña. Obviamente, debemos generar una contraseña robusta y que no repitamos en ningún otro servicio, para evitar males mayores en caso de que uno de estos servicios se vea comprometido.

Josep Albors

Los móviles HTC ponen en riesgo la privacidad de sus usuarios

Estos días, la cantidad de noticias acerca de nuevos teléfonos y dispositivos móviles se multiplica por la celebración en Barcelona del Mobile World Congress. No obstante, no todo van a ser presentaciones de nuevos dispositivos, aplicaciones o gadgets de dudosa utilidad. En el apartado de la seguridad también tenemos noticias importantes que contar, empezando por el riesgo al que están expuestos los usuarios de más de 18 millones de dispositivos del fabricante taiwanés HTC.

Según la Comisión Federal de Comercio, agencia independiente del Gobierno de los Estados Unidos, HTC personaliza de tal forma sus dispositivos móviles basados en Android y Windows que permiten a aplicaciones de terceros instalar software que puede usarse para robar información personal, según leemos en The Hacker News.

Esto implica que la información privada de millones de usuarios podría estar en riesgo, puesto que aplicaciones aparentemente inofensivas podrían estar enviando mensajes de texto, grabando audio e instalando software adicional (que podría incluir malware) sin que el usuario tuviera conocimiento de estas actividades.

Según esta comisión, se han identificado varias vulnerabilidades que incluyen una implementación insegura de dos aplicaciones de registro como son Carrier IQ (que ya protagonizó su propia polémica hace más de un año) y HTC Loggers. También se han descubierto fallos en la programación que permitirían a aplicaciones de terceros saltarse el modelo de seguridad basado en permisos de Android.

Estos fallos de seguridad son los que permitirían a las aplicaciones de terceros acceder a los números de teléfono, los mensajes de texto, historial de navegación e información personal, como los números de las tarjetas de crédito e información acerca de transacciones bancarias. Por todo esto, la Comisión Federal de Comercio ha apremiado a HTC a que solucione estas vulnerabilidades presentes en millones de dispositivos.

Parece mentira que una multinacional con una base de usuarios tan grande como HTC siga fallando en el diseño de los sistemas que gobiernan sus dispositivos. Este problema, no obstante, no es únicamente achacable a esta empresa, ya que en este mismo blog hemos visto otros ejemplos en dispositivos de todo tipo como routers, Smart tv, cámaras IP, impresoras o cualquier otro que incluya un protocolo vulnerable.

Por desgracia, el ritmo de aparición de nuevas tecnologías que llevamos actualmente hace que, en muchas ocasiones, no se dediquen los esfuerzos necesarios para crear un dispositivo seguro. La situación se agrava cuando estos dispositivos quedan obsoletos y el fabricante deja de publicar actualizaciones de seguridad para ellos, quedando los usuarios desprotegidos y con la única alternativa de volver a pasar por caja y adquirir la versión más reciente.

Esta tendencia no parece que vaya a cambiarse en un futuro próximo, por lo que es nuestro derecho como usuarios de estos productos exigir un mínimo de seguridad y soporte para todos los dispositivos que usemos, más aun si estos almacenan datos privados.

Josep Albors

Información privada de miembros de la Academia de Cine filtrada por hacktivistas

Anoche se celebró la entrega de los premios Goya del cine español y, como viene siendo costumbre durante los últimos años, los hacktivistas volvieron a ser protagonistas al hacer públicos datos de los miembros de la Academia de Cine.

Mediante un tweet publicado por miembros de LulzEs se comunicó la filtración de estos datos, los cuales incluyen correos electrónicos y números de teléfono de varios de los asistentes a la gala de entrega de los premios Goya.

Parece mentira que haya vuelto a ocurrir algo tan similar a lo que ya ha pasado en ocasiones anteriores, y eso demuestra, como bien apuntan nuestros compañeros Chema Alonso en su blog y los chicos de Security by Default, que no se toman las medidas de seguridad necesarias para proteger datos privados como estos.

Este no es un caso de publicación de una agenda telefónica sustraída de algún famoso, como ocurrió con Pipi Estrada. Se trata de datos privados de artistas, directores, productores y otras personas que han confiado en la Academia de Cine y su sistema informático y ahora ven cómo cualquiera puede acceder a ellos.

Por suerte, no se han publicado los nombres asociados a cada email o teléfono, pero solo con que analicemos los correos electrónicos publicados podremos asociar muchos de ellos a la persona que hay detrás, lo que puede derivar en cientos de llamadas a actores famosos por parte de gente que ha consultado estos datos filtrados.

Viendo que este tipo de filtraciones se producen una y otra vez, podríamos decir que los personajes famosos e importantes disponen ahora de menos privacidad que nunca, aunque a veces ya se encargan ellos mismos de hacer públicos datos privados.

Los usuarios que no somos personajes famosos podemos aprender una lección de esta noticia, y es asumir que nuestros datos privados no están seguros en ninguna empresa u organización. Si aceptamos esta realidad, podemos empezar a limitar la cantidad de datos que proporcionamos y, de esta forma, limitar nuestra exposición a este tipo de incidentes.

Josep Albors

Sobre la importancia de hacer copias de seguridad

Uno de los consejos que más repetimos y que, a su vez, menos suele aplicarse en la práctica es la realización de copias de seguridad de nuestros dispositivos, ya sean un ordenador de escritorio, portátil, tablet, teléfono móvil, etc. Puede parecer que la realización de estas copias es algo tedioso y que va a quitarnos parte de nuestro preciado tiempo, pero nada más alejado de la realidad.

Actualmente, la mayoría de nosotros almacenamos nuestra vida digital en nuestros ordenadores y demás dispositivos móviles. ¿Nos hemos parado a pensar qué pasaría si perdiésemos esa información sin posibilidad de recuperarla? Miles de fotografías, documentos, vídeos, etc. que se perderían irremediablemente o solo se podrían recuperar previo pago a profesionales de una elevada cantidad de dinero, y eso sin garantizarnos el éxito al cien por cien.

Es por eso que realizar copias de seguridad se ha convertido en algo vital debido a la ingente cantidad de información que generamos. No es extraño almacenar gigas de información privada en nuestro dispositivo móvil, información que confiamos que siempre estará a nuestra disposición hasta que un día perdemos, nos roban o se rompe nuestro dispositivo y ya no tenemos manera de acceder a esa información.

Pero, ¿cómo debemos realizar correctamente una copia de seguridad? Hay muchas opciones, algunas más sencillas y otras más complejas y completas pero no hace falta complicarse mucho la vida para generar una copia que sea más que suficiente para recuperar nuestros datos más importantes en caso de desastre.

Podemos simplemente copiar toda la información de nuestro ordenador o dispositivo móvil a un disco duro externo, tan populares hoy en día por su movilidad y precio asequible. Para realizar la copia de seguridad tan solo hemos de copiar aquellos archivos que deseemos guardar al nuevo disco duro. También existen herramientas muy completas, capaces de restaurar el sistema íntegramente tras algún desastre y ahí el usuario puede elegir entre herramientas de pago o gratuitas.

Además, la mayoría de sistemas operativos actuales ya cuentan con herramientas para facilitar las copias de seguridad y programarlas para que se realicen automáticamente, por lo que no tenemos excusa para no usarlas. De hecho, también es común encontrarse con opciones de restauración del sistema que vienen configuradas de forma automática para, tras haber sufrido algún problema en nuestro sistema, volver a un punto anterior en el que todo funcionaba correctamente.

Tan importante como realizar una copia de seguridad es cifrar dicha copia si solemos llevarla encima. Es frecuente que viajemos con un dispositivo portátil y un disco duro externo donde guardamos la copia de seguridad. En caso de pérdida de dicho dispositivo portátil o del disco duro portátil, podemos ver nuestra información privada seriamente comprometida si no hemos tomado las medidas adecuadas.

Cifrar un disco no es una tarea complicada y existen multitud de manuales en Internet sobre cómo hacerlo. También podemos elegir entre múltiples sistemas de cifrados igual de eficaces, siendo uno de los más populares True Crypt. Obviamente, para que el cifrado de un disco sea seguro, ha de contar con una contraseña igualmente segura.

Como vemos, opciones hay muchas y muy fáciles de aplicar. Es cuestión de que dediquemos un poco de tiempo a configurar una copia periódica de nuestro sistema. Seguro que, en el caso de que suframos algún problema y tengamos que recuperar nuestros datos, agradeceremos haber destinado ese tiempo.

Josep Albors

Linux/SSHDoor.A: usando una versión troyanizada de SSH para robar contraseñas

El siguiente texto es una adaptación del publicado por nuestro compañero Sébastien Duquette en el blog del laboratorio de ESET en Norteamérica.

En las predicciones para este año realizadas por los investigadores de seguridad de ESET, Stephen Cobb hizo hincapié en los constantes esfuerzos realizados por los creadores de malware para atacar al sistema operativo Linux. Al parecer, Stephen estaba en lo cierto. En un post publicado en el blog de Sucuri el pasado miércoles se describe una versión del demonio SSH que incluye un backdoor y que se encontraba alojada en un servidor comprometido. Esta puerta trasera fue usada en conjunto con el módulo malicioso de Apache Linux/Chapro.A del que hablamos recientemente.

SSH es un protocolo muy popular que se usa para una comunicación segura de datos. Se usa de forma muy extendida en sistemas Unix para gestionar servidores remotos, enviar ficheros, etc. El demonio SSH descrito en este artículo, Linux/SSHDoor.A, está diseñado para robar usuarios y contraseñas y permitir el acceso remoto al servidor usando una contraseña predefinida o una llave SSH.

Las cadenas relacionadas con los comportamientos ocultos están cifradas con XOR. Esto se hace para evitar una identificación fácil al buscar el binario en búsqueda de cadenas sospechosas. Hemos identificado un total de 16 cadenas cifradas. La imagen a continuación muestra la parte del código responsable de descifrar los datos ocultos al cifrarlos con XOR con la constante 0×23.

El  protocolo HTTP se usa para enviar datos robados a un servidor remoto. La información se cifra primero usando una llave RSA de 1024 bits almacenada en el binario y luego codificada en Base 64. Los datos se envían usando una solicitud HTTP POST al servidor usado para recibir esta información.

El binario que hemos analizado contiene dos nombres de host para los servidores usados para recopilar información: openssh.info y linuxrepository.org. Ambos nombres se eligieron probablemente para evitar sospechas de los administradores de los servidores comprometidos. En estos momentos, ambos nombres de host apuntan a un servidor alojado en Islandia cuya IP es 82.221.99.69.

Cuando el demonio se inicia, el backdoor envía la IP y el puerto en el cual está funcionando el servicio y el nombre de host del servidor.

Cada vez que un usuario se registra en el servidor comprometido el usuario y contraseña también se envían al servidor remoto.

Además de robar credenciales, el backdoor, garantiza la persistencia del atacante en el host comprometido de dos formas diferentes. Para empezar cuenta con una contraseña predefinida introducida en el código. Si cualquier usuario se registra usando esta contraseña, automáticamente se le proporciona acceso al servidor comprometido. La siguiente imagen muestra la comparación de cadenas entre la contraseña proporcionada por un usuario que intenta registrarse y la contraseña predefinida.

Como segundo paso, el binario modificado también contiene una llave SSH. Si un usuario se registra en el servidor con la llave privada correspondiente a la llave pública predefinida, se le proporciona acceso automáticamente.

Este backdoor también puede recibir información del fichero /var/run/.options. Si este fichero existe, el backdoor usará el nombre del host, la contraseña del backdoor y la llave SSH almacenada en él. Las variables se almacenen una por línea en texto plano.

Tal y como sucedía con Linux/Chapro.A es difícil averiguar cómo esta versión troyanizada del demonio SSH consiguió acceder a un servidor comprometido pero el uso de versiones vulnerables de aplicaciones o unas contraseñas débiles podrían ser los responsables. Encontrar ficheros que han sido troyanizados puede resultar problemático para la mayoría de administradores de sistemas. Para eso, recomendamos el uso periódico de herramientas de revisión de la integridad además de revisar las conexiones salientes de red y un análisis periódico de todos los ficheros utilizando un antivirus.

Agradecimientos especiales para Peter Kosinar, Pierre-Marc Bureau y Olivier Bilodeau por su ayuda.

Hash MD5 de la muestra analizada: 90dc9de5f93b8cc2d70a1be37acea23a

Traducido y adaptado por Josep Albors

Mega, el sucesor de Megaupload, es presentado con algún fallo de seguridad

Justo cuando se cumplía un año del cierre de Megaupload, su creador, Kim Dotcom, anunciaba el lanzamiento de Mega, el que viene a intentar ser su sucesor. No vamos a entretenernos en describir las características de este nuevo servicio puesto que ya se ha comentado de sobra en multitud de lugares, pero sí queremos destacar el lavado de cara que se ha realizado al que fuera el mayor servicio de compartición de ficheros entre usuarios.

Además de contar con una nueva interfaz para gestionar la transferencia de ficheros, Mega asegura tener un sistema de seguridad mejorado con respecto a Megaupload que, supuestamente, impedirá actuaciones legales que provoquen su cierre. También aseguran haber cifrado todos los datos (incluyendo los servicios de chats, emails o llamadas que se han incluido), siendo el usuario el único que conoce la clave de cifrado, garantizando así su privacidad.

No obstante, nada más hacerse público este servicio durante el fin de semana, no fueron pocos los usuarios que empezaron a alertar de fallos de seguridad en la web de Mega. Uno de los fallos de seguridad descubiertos que más ha llamado la atención es la existencia de XSS (Cross-Site Scripting), lo que permitiría a un atacante inyectar código en la web de Mega, pudiendo provocar que los usuarios pulsasen sobre enlaces maliciosos.

La existencia de estos fallos demuestran que hay aspectos que aún se deben pulir, puesto que, de seguir presentes, pueden afectar a muchos usuarios que quieren formar parte de este nuevo servicio (se calcula que solo durante el primer día Mega registró a 250.000 usuarios). Lo último que necesitamos, es que provocado por las prisas en lanzarlo, se esté utilizando un servicio de forma masiva con graves problemas de seguridad.

Josep Albors

Ciberataques y hacktivismo, Facebook y Twitter y amenazas para todas las plataformas, nombres propios en diciembre

¡¡Feliz 2013!! Esperamos que hayáis comenzado el año con buen pie, porque son 364 los días que nos quedan por delante . Nosotros, como siempre, os acompañaremos desde este lado, alertando sobre todo tipo de informaciones relacionadas con la seguridad informática y la privacidad con el ánimo de que cada día nos protejamos un poquito mejor.

Si el año 2012 en términos globales ha sido especialmente intenso en cuanto a incidentes de seguridad se refiere, el mes de diciembre no ha cambiado la tendencia y ha discurrido no exento de sobresaltos, sustos y acciones que han tenido su impacto. Los ciberataques y el hacktivismo, las redes sociales y los problemas de privacidad, las vulnerabilidades tanto en hardware como en software así como masivas campañas de spam han saltado a los titulares. Por si te has perdido alguno, te traemos un resumen de lo que ha sido uno de los meses más activos en noticias de seguridad.

Ciberataques y hacktivismo

Este mes ha sido muy activo en lo que operaciones hacktivistas se refiere. El conflicto entre varios países musulmanes e Israel fue la excusa perfecta para que las protestas se extendieran a la red y comenzasen las filtraciones de datos privados y la modificación de páginas web por mensajes apoyando a uno u otro bando, como las operaciones #OpIsrael u #OpFuckMohammad.

En menor medida pero también con la inestabilidad política en Oriente Medio como telón de fondo nació la #OpSyria, para condenar los ataques del Gobierno sirio a su población. Entre las acciones drásticas tomadas en este conflicto figura la desconexión de ese país de Internet durante unos días, acusándose mutuamente las dos facciones en conflicto.

Las instituciones educativas y más en concreto las universitarias también fueron víctimas de este tipo de ataques tal y como pudimos comprobar con los ataques sufridos por parte de las universidades de Macquarie en Australia y la de Michigan en Estados Unidos. En la primera de ellas los atacantes afirmaron haber obtenido alrededor de un millón de contraseñas almacenadas en texto plano mientras que responsables de la universidad rebajaban esta cifra a 2600 cuentas con las contraseñas cifradas.

Un objetivo clásico de este tipo de ataques es la NASA, que vio cómo su seguridad, junto con la de otras agencias aerospaciales como la European Space Agency, el Crestwood Technology Group – CTG123, Bigelow Aerospace, California Manufacturers & Technology Association – CMTA.net, Aerospace Suppliers y World Airport Transfers también vieron cómo se filtraban datos supuestamente privados por obra y arte del grupo GhostShell.

El ciberataque curioso del mes fue el sufrido por varias webs de contenido adulto que vieron vulnerada su seguridad, permitiendo que los atacantes colgaran en varios sitios de Internet miles de credenciales de acceso a servicios pornográficos online de pago.

Una de las últimas actividades del año del colectivo Anonymous consistió en preparar la #OpPedoChat, una operación que pretendía exponer a pederastas usuarios de Twitter para que se tomasen acciones contra ellos. Si bien las formas usadas no fueron las más ortodoxas, esta acción permitió destapar las actividades encubiertas de estos individuos e incluso alguno vio cómo se cancelaba su cuenta de Twitter y se emprendían acciones legales contra su persona.

En el ámbito nacional, diciembre fue el mes en el que los datos aportados por el Centro Criptográfico Nacional desveló que 2012 ha sido el peor año en cuanto a ciberataques contra las altas instituciones del Gobierno español. La mayoría de estos ataques según el CCN fueron atribuidos al grupo hacktivista Anonymous y tenían como objetivos tanto a dispositivos de uso personal de altas personalidades gubernamentales, como móviles, portátiles y tablets, como a servidores clave de las instituciones mencionadas anteriormente.

Redes sociales

Las redes sociales también han dado que hablar tanto por los fallos y vulnerabilidades que han sufrido como por la excesiva confianza de los usuarios a la hora de pulsar sobre un enlace sospechoso. Hemos visto y analizado un par de casos de publicaciones en Facebook que, haciéndose pasar por vídeos que despertaban la curiosidad de los usuarios, obtenían el permiso de estos para poder publicar en su muro.

Tanto Twitter como Facebook vieron cómo se hacía pública una vulnerabilidad que se aprovechaba de la función de enviar o recibir actualizaciones vía SMS que incorporan estas redes sociales. Aprovechándose de este fallo, cualquiera podía publicar mensajes en nuestro nombre si conocía el número de teléfono asociado a la cuenta.

Facebook también fue protagonista durante el pasado mes de diciembre debido a un error que hizo inaccesible el servicio durante varios minutos. Ese mismo día Google también presentó dificultades para acceder a varios de sus servicios como Gmail, Google Calendar, Google Play, Google Drive y Google Docs durante un buen rato. Según ambas empresas, esta caída del servicio se debió a fallos técnicos aunque no tardaron en aparecer supuestos hackers que querían atribuirse el mérito.

Privacidad

A principios de diciembre todavía coleaba el conocido como caso de las fotos de las chicas de Deusto. Este hecho, que tuvo en vilo a muchas personas durante varios días hasta que se desveló que no hubo ningún robo de información desde los móviles de los estudiantes, demuestra la facilidad con la que se puede propagar un bulo, aunque no deberíamos bajar la guardia porque en esta ocasión ninguna de las fotos difundidas se correspondiese con estudiantes de Deusto.

El manejo de nuestros datos personales y de la información que publicamos en las redes sociales también dio mucho que hablar el mes pasado. Primero Facebook anunció cambios en sus políticas de privacidad tras haber finalizado el periodo de consulta en el que los usuarios teníamos derecho a opinar sobre si queríamos que se mantuviesen las políticas actuales o aceptábamos cambios. Al no haber votado el 30 % mínimo (se estima que la participación apenas llegó al 1 %) Facebook asume que está en su derecho de cambiar estas políticas de privacidad a su antojo sin que los usuarios puedan reclamar.

Pero la decisión más controvertida fue la que tomó Instagram (propiedad de Facebook, recordemos) cuando anunció cambios en su política de propiedad intelectual. En pocas palabras, Instagram se reservaba los derechos perpetuos de venta de las fotos que los usuarios hubieran subido y compartido a través de esta red sin ningún tipo de obligación a pago o a notificación. Esto desató muchas críticas que hicieron que un representante saliese a intentar aclarar el asunto y que, si bien minimizó el impacto de estos cambios, no dejó del todo claro la política que seguirían en el futuro.

Vulnerabilidades en software

Hotmail, el popular servicio de correo electrónico de Microsoft conocido ahora como Outlook, vio cómo se publicaba una vulnerabilidad que permitía el robo de sesiones aunque esta se encontrase cerrada. Los pasos a seguir para conseguirlo eran relativamente sencillos y se resumían en conseguir las cookies del navegador desde el que se hizo el acceso e importarlas a otro navegador.

Una buena noticia para todos los que se preocupan por la seguridad de las aplicaciones instaladas en su sistema fue la que dio Oracle al anunciar que empezará a actualizar automáticamente a la versión más reciente a aquellos usuarios que aún estén usando JRE 6 (Java Runtime Enviroment) a partir del mismo mes de diciembre, actualización que incluye la opción de que el usuario configure su seguridad.

Uno de los plugins más usados en el popular gestor de contenidos WordPress fue noticia a finales de mes al anunciarse una vulnerabilidad en W3 Total Cache. Esta vulnerabilidad permite aprovecharse de un fallo en la forma en que W3TC almacena la caché de la base de datos en un directorio de acceso público y que podría ser usado para obtener los hash de las contraseñas y otra información de la base de datos.

Vulnerabilidades en hardware

En lo que respecta a vulnerabilidades en dispositivos distintos a los ordenadores, Samsung se ha llevado la palma sin duda alguna durante el mes pasado. Primero vimos cómo se publicaba una vulnerabilidad en ciertos modelos de Smart TV de la marca coreana que permitiría ganar acceso total al televisor y a cualquier dispositivo USB conectado a él, entre otras muchas opciones.

El otro incidente de seguridad en el que se vio envuelto Samsung tiene relación con el procesador Exynos, el cerebro de dispositivos tan populares como el Galaxy SII, Galaxy SIII o el  Galaxy Note II entre otros. Según el investigador que hizo público este descubrimiento, el grave agujero de seguridad permite acceder a la memoria física del dispositivo, lo que equivale a poder acceder a cualquier cosa que se esté almacenando en la RAM, incluyendo el directorio virtual para la memoria que usa el kernel del sistema. En la práctica esto se traduce en un control total del dispositivo.

Malware

En diciembre analizamos un troyano bancario que lleva meses dando que hablar. Win32/Gataka tiene muchas características que lo hacen peculiar. Entre ellas, las capacidades de inyección web de este troyano son bastantes interesantes. La idea de tener un módulo JavaScript centralizado para utilizarlo como método de acceso a todas las funcionalidades de la plataforma principal es particularmente llamativo, por lo que no descartamos nuevos análisis en el futuro.

Otro malware que analizamos en nuestro blog fue el conocido como Win32/Spy.Ranbyus. Este troyano bancario presenta una característica realmente interesante puesto que muestra cómo es posible saltarse el firmado/autenticación de las transacciones de pago con dispositivos smartcard. Con técnicas de este tipo Ranbyus ha conseguido el liderato entre el malware bancario en la región de Ucrania.

El malware para sistemas Mac también ha estado presente durante el mes pasado y en nuestro blog analizamos una nueva muestra para estos sistemas que estaba siendo propagada en una web relacionada con el Dalai Lama. Esta web incluía una línea de código puesta allí por los atacantes y que hacía que los visitantes de esta web se descargasen un applet de java. Este applet intentaba aprovecharse de la misma vulnerabilidad que usó el troyano Flashback durante la pasada primavera y que consiguió afectar a más de 600.000 equipos con Mac OS en todo el mundo.

Linux también tuvo su ración de amenazas y en nuestro blog analizamos Linux/Chapro.A, un módulo Apache malicioso que se estaba propagando preocupantemente. Este módulo se estaba usando para inyectar contenido malicioso en páginas web mostradas por servidores web y su finalidad era robar credenciales bancarias.

En el apartado de dispositivos móviles observamos cómo aparecía una variante para smartphones de Carberp, conocido troyano bancario que afecta principalmente a Rusia y países del este de Europa. Citmo, tal y como se conoce esta amenaza, está especializada en el robo de información bancaria y está pensada para romper los sistemas de doble autenticación que incorporan algunas entidades bancarias.

Esperamos que 2013 sea más tranquilo en cuanto a incidentes de seguridad se refiere, pero observando las tendencias, mucho nos tememos que no será un deseo que se haga realidad.

¡Suerte con vuestra lista de deseos de año nuevo, tropa! Esperamos que cumpláis al menos la mayoría de ellos.

Josep Albors

Yolanda Ruiz

 

 

Vulnerabilidad en W3 Total Cache permite obtener datos privados de sitios WordPress

WordPress es, a día de hoy, uno de los gestores de contenidos más conocido y usado por millones de usuarios de todo el mundo. Permite a usuarios con diferentes niveles de conocimiento configurar y gestionar un blog  de forma sencilla, con la posibilidad de añadir complementos que realizan funciones adicionales. Uno de los complementos de WordPress más usados es W3 Total Cache, utilizado para optimizar el rendimiento.

Es precisamente este complemento, o más concretamente su implementación, lo que permite aprovecharse de un fallo en la forma en que W3TC almacena la caché de la base de datos en un directorio de acceso público que podría ser usado para obtener los hash de las contraseñas y otra información de la base de datos. Esta información fue publicada el pasado día 24 en la lista de correo Full Disclosure de Seclists.org.

Esta información es almacenada por defecto dentro del directorio /wp-content/w3tc/dbcache/ lo que permitiría que cualquiera navegase hasta esa ruta y la descargase si tenemos activado el listado de directorios. De esta forma, haciendo una búsqueda en Google podemos obtener algunos ejemplos de sitios que no tienen el acceso restringido a este apartado.

Aun  sin tener este listado habilitado, es posible averiguar los directorios/archivos y así poder extraer las búsquedas en la base de datos y sus resultados, obteniendo incluso el hash de las contraseñas de los administradores. El problema es que hay una cantidad importante de sitios  web con esta vulnerabilidad y muchos de ellos incluso desconocen su existencia.

De momento, la manera más sencilla para proteger nuestros sitios web consiste en desactivar la caché de la base de datos o crear un fichero .htaccess dentro del directorio /wp-content/w3tc/ con la línea “deny from all” para así denegar el acceso directo, tal y como vemos en la imagen a continuación:

En caso de no usar un servidor Apache, deberemos usar entrada en el fichero de configuración similar a la que hemos usado para evitar accesos directos a la carpeta /w3tc/.

Es importante que los administradores de este tipo de sitios y servidores web estén al corriente de las vulnerabilidades más recientes que puedan afectarles, puesto que esto les evitará más de un incidente de seguridad con nefastas consecuencias. Por nuestra parte, desde este blog intentaremos aportar nuestro granito de arena proporcionando la información necesaria para tratar de mitigar estas incidencias.

Josep Albors

Artículos Anteriores »