GOOGLE+. No será obligatorio para acceder a otros servicios del buscador

En los próximos meses, Google desvinculará las cuentas de su red social de las otras plataformas con las que cuenta.

En una nueva entrada en su blog oficial anunciaban que ya no será necesario tener un perfil en Google+ para acceder a sus otros productos: bastará con tener una cuenta en Google.

Esto se traduce en una mayor privacidad para el usuario, ya que como explican en VentureBeat, la cuenta en Google no es pública ni, por tanto, debería poderse buscar. El cambio no es inmediato, sino que se introducirá en los próximos meses. Uno de los primeros servicios en verse afectados, y sin duda uno en los que este cambio era más demandado, será la plataforma de vídeos Youtube.

Desde aquí también comentaban la decisión, avisando a sus usuarios que, si desean desvincular el canal de la cuenta de Google+, deberán esperar para hacerlo ya que por el momento todavía supondrá la eliminación del canal. Además, avisaban que, con el cambio, los comentarios hechos en vídeos de otros usuarios no aparecerán ya también en el perfil personal de Google+. Una decisión que ya se ha hecho efectiva y a la que se sumarán otras medidas destinadas a facilitar los comentarios.

Esto nuevo movimiento es el último de una cadena de maniobras destinadas a redefinir Google+. En mayo introducían Google+ Collections, con el que organizar por temas los posts que se comparten, y a partir del 1 de agosto Google+ Photos se integrará en Google Photos. Según la compañía, se trata de cambios que “llevarán a un mejor enfocado, más útil, con mayor grado de implicación, Google+”.

Fuente: Silicon News.es

TWITTER. Los peligros ocultos tras las URL de los tweets

Aunque la red social Facebook ha sido el principal objetivo de los ciberdelincuentes, expertos en seguridad advierten de que los tweets de la red social basada en microblog servirían para distribuir malware entre los usuarios.

Al estar limitados los mensajes a 140 caracteres la imaginación de los ciberdelincuentes queda muy limitada y de no utilizar los mensajes directos solo disponen de la URL como único arma para lograr la meta que persiguen.

Se ha detectado un nuevo incremento de la utilización de los enlaces para redirigir al usuario a páginas web falsas y provocar que el usuario caiga en una estafa o provocar la descarga de ejecutables que son los instaladores de aplicaciones maliciosas.

Las URL acortadas de Twitter sin lugar a dudas un aliado para los ciberdelincuentes

• La informática avanza y los usuarios disponen hoy en día de herramientas que permiten comprobar si un enlace se encuentra en la lista negra e identificado como contenido malware. 
• Sin embargo, el problema para los usuarios y estas herramientas con las URL acortadas, ya que no pueden analizarlas y determinar si corresponde a una página web legítima o a una encargada de distribuir virus informáticos o estafas.
• Por dicho motivo los usuarios deben extremar las precauciones con respecto a los enlaces a los que se accede y eliminar todos aquellos archivos (tanto ejecutables como comprimidos) que se descarguen al acceder a estos.

Fuente: MalwareTips

VERACRYPT. Lanza una versión beta con Personal Iterations Multiplier (PIM)

La última versión de VeraCrypt actualmente disponible y lista para descargar gratuitamente es la 1.12-BETA. 

Esta nueva versión tiene una gran cantidad de cambios tanto globalmente (en las versiones para los diferentes sistemas operativos como Windows, Linux y Mac OS X en los que la aplicación es compatible) así como cambios específicos para la versión de Microsoft Windows y Linux.

VeraCrypt es uno de los programas que ha sustituido al popular TrueCrypt, de hecho se considera más seguro que TrueCrypt al estar en constante actualización e incorporación de nuevos algoritmos. Una de sus principales características es que tiene compatibilidad completa con volúmenes TrueCrypt, además de solucionar las vulnerabilidades encontradas recientemente en la auditoría a fondo.

Soporte de Personal Iterations Multiplier (PIM)

• PIM se ha introducido en la versión 1.12 y es un gran cambio ya que aumenta la seguridad de nuestros contenedores cifrados. PIM se encarga de controlar el número de iteracciones utilizadas por la función de obtención de claves de cabecera, este valor se puede especificar a través de la interfaz de usuario o a través de la línea de comandos. Si no se especifica ningún valor, VeraCrypt asignará el valor por defecto de manera automática con la finalidad de crear un contenedor seguro.
• Cuando un valor de PIM se especifica, el cálculo es de la siguiente forma:

1. Para sistemas operativos cifrados (cifrado completo). Iteracciones= PIM x 2048
2. Para discos duros cifrados y para contenedores. Iteracciones = 15000 + (PIM x 1000)

Recomendación

• Wiki VeraCrypt (https://veracrypt.codeplex.com/wikipage?title=Personal%20Iterations%20Multiplier%20%28PIM%29 )

Cambios para sistemas Microsoft Windows

• Se ha solucionado un fallo a la hora de parsear los archivos XML de los idiomas, asimismo se ha solucionado un bug que hacía que chkdsk de Windows reportara que hay sectores dañados en el disco duro cuando en realidad había un contenedor cifrado. Para los usuarios que ya estén utilizando el nuevo sistema operativo de Microsoft, Windows 10, el instalador ya es 100% compatible con este nuevo sistema operativo así como el propio programa.

• Otras características que se han incorporado a esta nueva versión es el descifrado de particiones que no tienen el sistema operativo, además ahora también se pueden usar las letras A: y B: para montar volúmenes VeraCrypt, asimismo también se ha incorporado una funcionalidad que permite ver la contraseña de cifrado del sistema en el Windows GUI y en el bootloader para facilitar su introducción.

Cambios para sistemas Linux

• El cambio más importante es que se ha solucionado un problema con el instalador si utilizamos KDE como entorno de escritorio. Otro cambio importante es que se han añadido soporte para hashes en la línea de comandos que contienen un guión (-) como por ejemplo sha-256, sha-512 y ripemd-160. También se ha quitado la opción “–current-hash” y se ha sustituído por “–new-hash” ya que es más coherente con lo que realiza la función. Por último, si se montan volúmenes con contraseña vacía, es necesario especificarlo con el argumento “-p”.

Recomendación

• Sitio web de VeraCrypt ( https://veracrypt.codeplex.com/releases/view/616110  )

Fuente: VeraCrypt

iTUNES. Utilizado en correos spam para robar las credenciales de acceso

La temporada estival provoca que los ciberdelincuentes aumenten su actividad buscando que los usuarios caigan en sus estafas. En esta ocasión están enviando de forma masiva correos electrónicos spam con un enlace en el cuerpo de este que conduce al usuario a una página web falsa de iTunes.

Las cuentas de Apple son uno de los bienes más deseados por parte de los ciberdelincuentes, sobre todo por lo contenidos que los usuarios han podido adquirir utilizando esta y el acceso a otro tipo de material sensible y que a priori es privado. No es la primera pero tampoco será la última vez que el servicio de los de Cupertino se utilice para esta finalidad.

En el correo electrónico enviado de forma masiva y aleatoria a un número indeterminado de usuarios, se puede ver como los ciberdelincuentes describen un problema con la cuenta del servicio, instando a los usuarios a acceder a la página web indicada para así solventar el problema, es decir, introducir las credenciales para verificar la cuenta y evitar que esta sea finalmente suspendida. La descripción que se puede observar en el cuerpo del mensaje es idéntica a la utilizada en numerosas ocasiones pero aplicada a otros servicios, como por ejemplo servicios de banca en línea.

Una página falsa prácticamente idéntica a la de iTunes

• En la imagen anterior se puede ver la página web a la que se hace referencia en el cuerpo del correo electrónico, pudiendo ver como la recreación por parte de los ciberdelincuentes es buena y podría decirse que es casi idéntica, salvo porque la dirección URL final no corresponde con la del servicio de los de Cupertino.

• Tal y como ya hemos indicado con anterioridad, la finalidad es que el usuario introduzca las credenciales de acceso y que envíe el formulario, realizándose de esta forma la recopilación de la información en un servidor propiedad de los ciberdelincuentes.

• Antes de introducir información privada conviene en primer lugar asegurarse de que la página web en la que nos encontramos corresponde en realidad con la de el servicio legítimo y no una copia propiedad de ciberdelincuentes.

Fuente: Redeszone.net

TARJETAS DE CRÉDITO. Demostrado, las de tipo “contactless” tienen fallos de seguridad

Los investigadores detallan que los fallos encontrados afectan tanto al medio de pago como a muchas tienda en línea cuya seguridad es bastante deficiente.

Para comenzar con la investigación se hicieron con un lector de este tipo de tarjetas, observando que la forma de obtener la información de estas es bastante sencilla. Tal y como es de suponer, el chip es capaz de almacenar una gran cantidad de información y es esta la que se puede ver afectada por una falta de seguridad bastante importante, ya que de entrada no existe ningún tipo de cifrado que la proteja.

Este tipo de tarjetas hipotéticamente se encuentran preparadas para proteger la información almacenada, sin embargo, los expertos en seguridad han descubierto que gracias al lector que adquirieron y un algoritmo no muy complejo se puede descifrar la información y leerla sin ningún tipo de problema: número de la tarjeta de crédito, nombre del titular y la fecha de caducidad. A pesar de todo, tras realizar esta prueba en 10 tarjetas el CVV no fue ofrecido en ninguno de los casos.

¿ Y la seguridad de tiendas en línea y tarjetas de crédito “contactless” ?

• Si bien de forma separada esto no reviste mucha gravedad aunque no deja de ser curioso la facilidad con la que se puede acceder a esta información, los investigadores han comprobado que con los datos obtenidos (recordad que el CVV no se encuentra entre ellos) e incluso utilizando un nombre falso que no está asociado a la tarjeta de crédito utilizada pudieron realizar una compra en una tienda en línea de forma satisfactoria.

• El problema es que esto se puede aplicar a cualquier tipo de tarjeta, por lo que el problema es mucho mayor que en el caso de tarjetas de crédito “contactless”.

¿Y que sucede con este tipo de pago realizado utilizando smartphones?

• Teniendo en cuenta que Google Pay ya está en funcionamiento y que Apple Pay ha llegado a muchos países, resulta bastante interesante reflexionar sobre la seguridad de esta forma de pago. Es de suponer que si las tarjetas de crédito “contactless” han mostrado tan poca seguridad en los terminales móviles se reproduzca de igual forma el problema.

• Sine embargo, los investigadores creen que como la programación es mucho más elaborada y el proceso depende de una aplicación o módulo del sistema, la seguridad será mucho más eficiente que en el caso de un chip.

• Sin embargo, también hay usuarios que defienden las tarjetas de crédito de toda la vida y hay algunos que piensan que a día de hoy y hasta que se mejoren las otras son mucho más seguras.

Fuente: InfoSecurity Magazine

STEAM. Fallo de seguridad permitía robar fácilmente cualquier cuenta

A lo largo del fin de semana se ha descubierto un fallo de seguridad crítico que afectaba al 100% de las cuentas a la plataforma de juegos Steam.

En condiciones normales, cuando un usuario intenta cambiar la contraseña de su plataforma de juegos Steam envía un código por correo electrónico para proceder al cambio. Este código debe copiarse al asistente de cambio de contraseña para poder continuar.

Este fallo de seguridad permitía que cuando se intentaba cambiar la contraseña de cualquier usuario y el atacante dejaba el espacio del código en blanco la plataforma lo identifica como “código correcto” y nos permitía seguir con el asistente y cambiar la contraseña de dicha cuenta sin ningún tipo de confirmación adicional.

Desde Valve intentan tranquilizar a los usuarios ya que según afirman las contraseñas no se han desvelado en ningún momento. También recuerdan que aquellas cuentas protegidas por Steam Guard tampoco se han visto comprometidas ya que aunque se ha modificado la contraseña en ningún momento han permitido el acceso a usuarios no autorizados.

Steam Guard: La doble autenticación era la única forma de protegerse

• Todas las cuentas de usuario eran vulnerables. Cualquier usuario que siguiera el proceso podía cambiar la contraseña de cualquier cuenta de la plataforma. Por suerte Steam cuenta con medidas de protección adicionales (aunque son opcionales) para poder reforzar la seguridad de su plataforma de juegos.

• Steam Guard es el sistema de doble autenticación de la compañía. Cuando un usuario intenta iniciar sesión desde una red nueva diferente a la habitual la compañía envía a través del correo electrónico un código alfanumérico que debe introducir para continuar con el proceso de inicio de sesión. Sin dicho código ningún usuario accede a los datos de la plataforma.

• Cuando usuarios malintencionados empezaron a cambiar contraseñas y a apoderarse de diferentes cuentas pudieron darse cuenta de que el sistema Steam Guard no era vulnerable como el código de cambio de contraseña. Por ello, cuando introducían la nueva contraseña aquellos usuarios con este sistema de doble autenticación habilitado recibían un correo electrónico con el código, sin el cual, era imposible acceder a la cuenta.

• Es recomendable, siempre que sea posible, activar todas las medidas de seguridad posibles para proteger el acceso a las cuentas. Ya sea con una doble autenticación como mediante otros sistemas de seguridad de manera que si uno de los sistemas de acceso se ve comprometido nuestra cuenta pueda seguir protegida por otra capa de seguridad adicional.

Fuente: Redeszone.net

TWITCH. Falso parche de audio toma el control de las cuentas

Muchos usuarios de esta red social se han encontrado alguna vez con un problema relacionado con el sonido para el que no se encuentra solución, y mucho menos cuando ocurre en tiempo real durante un streaming. Como en otras ocasiones los piratas informáticos han querido aprovechar la situación y han creado un falso parche que, en teoría, soluciona dicho problema de audio.

Twitch es una red social creada especialmente para transmitir vídeo en streaming. Los usuarios suelen utilizar esta red social para emitir partidas de videojuegos en tiempo real e incluso permitir a los usuarios participar de forma activa en la reproducción tal como ocurrió en el conocido Twitch Plays Pokemon, donde cerca de 20 millones de usuarios participaron de forma activa a jugar en tiempo real a este título de Nintendo.

Detalle del ataque

• Los piratas informáticos que han creado este falso parche, que en realidad es un troyano recuperador de contraseñas escrito en C con las librerías de Python C, han habilitado también una página web (con un dominio .ml) donde se hacen pasar por el blog oficial de Twitch y ofrecen a los usuarios el supuesto parche malicioso.

• Estos piratas han publicado también una serie de instrucciones para que cualquier usuario pueda ejecutar la herramienta maliciosa incluso sin demasiados conocimientos. Esta herramienta maliciosa se distribuye también con todas las dependencias necesarias incluidas para que los usuarios tengan en menor número de problemas posibles y el número de víctimas potenciales sea mayor.

• Cuando el usuario ejecuta la supuesta herramienta para solucionar los problemas con el audio automáticamente se buscan los credenciales de la cuenta de Twitch en el ordenador (debe estar abierto el navegador) y muestra una serie de mensajes donde indica que se están parcheando los archivos correspondientes.

• Una vez finaliza, en teoría, los problemas con el audio han desaparecido, sin embargo la cuenta está siendo controlada por los piratas informáticos y puede llevarnos un tiempo en volver a tomar el control sobre ella, tiempo durante el cual estaremos perdiendo seguidores en la red social del streaming.

• A nivel básico la herramienta utiliza nuestros credenciales de Twitch para tomar el control de nuestra cuenta, aunque también es probable que estos credenciales se envíen a los servidores de los piratas informáticos de manera que después puedan utilizarse con otros fines. Debemos tener cuidado siempre con este tipo de amenazas y, si hemos caído víctimas de este engaño, lo que debemos hacer es analizar nuestro ordenador con un software antivirus actualizado y cambiar todas las contraseñas de nuestros servicios (Twitch, correo, redes sociales, etc) para evitar que los piratas informáticos puedan tomar el control de ellos.

Fuente: Malwarebytes

AV-TEST. Publica los resultados de antivirus de junio

Mensualmente diferentes laboratorios llevan a cabo análisis utilizando algunas de las principales herramientas de seguridad para determinar la mejor aplicación en función de tres parámetros. Los resultados de AV-Test con respecto al pasado mes ya están disponibles.

Estos tres aspectos son el nivel de protección que ofrecen al usuario, es decir, la capacidad para detectar todas las amenazas actuales, su forma de utilizar los recursos del sistema para desempeñar las tareas encomendadas y la usabilidad, o lo que es lo mismo, si es fácil de instalar y configurar.

El pasado mes y teniendo en cuenta estos tres aspectos, las soluciones de Avira y Bitdefender marcaban la diferencia con respecto al resto, algo que tal y como vais a poder observar a continuación se mantiene.

Y es que la mayoría de las herramientas poseen unos buenos datos de detección de amenazas con salvedad de ThreatTrack, Microsoft Windows Defender y Comodo Internet Security. Los resultados de esta última herramienta han sorprendido a muchos, sin embargo, los expertos del sector afirman que se trata de algo normal y que es debido a la gran sandbox que posee y que provoca que esto no sea del todo necesario.

Avira y Bitdefender siguen al frente y son muchos los que mejoran

• Tal y como sucedió en meses anteriores, estos dos productos continúan siendo la referencia para muchos usuarios y expertos. Sin embargo, son muchas las herramientas que en la actualidad ofrecen una buena detección de amenazas. Por lo tanto, la diferencia se encuentra en el aprovechamiento de los recursos del equipo, tal y como podemos ver en el gráfico anterior. Y es que mientras la protección y facilidad de uso es la buena en la inmensa mayoría son pocos los que utilizan la memoria RAM de forma óptima, consumiendo demasiada y haciendo imposible su instalación en equipos por ejemplo de 1 GB o menos.
• Como siempre sucede, cada uno posee su propia valoración al respecto y tiene una mejor o peor experiencia dependiendo de la herramienta utilizada, pero en el caso de los miembros de RedesZone, Comodo Internet Security es la solución utilizado desde hace bastante tiempo.

Más información

• AV-Test https://www.av-test.org/en/antivirus/home-windows/

Fuente: Redeszone.net

WINDOWS 10. ¿ Cuales son los mejores antivirus para esta plataforma ?

Windows 10 ya está aquí,  pero antes de actualizar el sistema operativo debemos asegurarnos de que las aplicaciones que utilizamos a diario han sido actualizadas y son compatibles con la nueva versión del sistema operativo, de lo contrario podemos tener problemas.

 Las principales empresas de seguridad informática no actualizan sus herramientas de seguridad para hacerlas compatibles con los nuevos sistemas operativos, empezando así el desarrollo de las “versiones beta” que aún tardarán varios meses en salir al mercado, meses durante los cuales no podremos estar protegidos con nuestro antivirus habitual si queremos instalar el nuevo sistema.

ESET, Kaspersky y Bitdefender suspensos en Windows 10

• Aunque parezca mentira los 3 antivirus principales no funcionan correctamente en Windows 10 tal como hemos podido comprobar en nuestras pruebas.
• Como ya hemos hablado anteriormente, ESET no funciona ni en su versión estable ni en su nueva versión beta que, en teoría, es compatible con el nuevo Windows 10. Si instalamos cualquiera de las dos versiones podremos ver cómo varios componentes (por ejemplo el módulo HIPS) no se ejecutan correctamente dejando una brecha de seguridad considerable. Tampoco podemos activar el antivirus por un problema de compatibilidad con los servidores de ESET ni actualizar la base de datos.
• Hemos probado a instalar también la última versión de Kaspersky y en esta ocasión directamente el propio asistente nos indica que no es compatible con Windows 10, una mala noticia para aquellos que hayan comprado la licencia y tengan pensado actualizar al nuevo sistema de Microsoft en cuanto esté disponible.
• Para finalizar como tercera opción hemos probado con Bitdefender y, aunque en esta ocasión el asistente ha comenzado y la herramienta de seguridad se ha empezado a instalar casi al finalizar hemos obtenido un pantallazo azul quedando el antivirus a medio instalar, y ni se podía retomar la instalación ni desinstalarlo por medios convencionales.
• Aunque es posible que algunas versiones Beta funcionen no recomendamos utilizarlas ya que son versiones en desarrollo, incompletas y potencialmente vulnerables.

¿Qué Antivirus y Firewall podemos utilizar en Windows 10?

• Tras varias pruebas, tanto en máquinas reales como virtuales, y comparar los resultados de la plataforma AV-Test hemos decidido instalar Avast en nuestro ordenador.
• Este antivirus gratuito funciona a la perfección con el nuevo sistema operativo de Microsoft y es uno de los que mejor nota en cuanto a detección y rendimiento consiguen en estos tests.
• Si estamos buscando por un cortafuegos una de las opciones más viables es optar por Avast Internet Security y su firewall integrado para tener el control de nuestras conexiones. Si queremos utilizar sólo software gratuito la mejor opción es mantener Avast como antivirus e instalar Comodo Firewall para proteger las conexiones. El firewall de Windows también puede servirnos, aunque siempre recomendamos utilizar otras herramientas más completas y profesionales para garantizar la máxima protección.
• Es probable que otros antivirus funcionen (al igual que próximamente lo harán los 3 anteriores), sin embargo con esta configuración que recomendamos podremos tener nuestro sistema protegido de forma gratuita (Avast + Comodo) o pagando la licencia de 1 año por tan sólo 19.99 euros por la versión Internet Security.

Fuente: Softzone.es

PLAGUESCANNER. La aplicación OpenSource similar a VirusTotal

VirusTotal es una gran herramienta tanto para usuarios particulares como empresas, para comprobar si un archivo está infectado, aunque muchos desconfían de la privacidad relacionada con la acción de subir el archivo a los servidores de Google, algo que se puede solucionar ahora gracias a la herramienta PlagueScanner.

Se trata de una solución OpenSource que reúne lo mejor del que hemos mencionado con anterioridad sin el problema de tener que subir nuestros archivos a un servidor que puede sufrir problemas de seguridad y al final quedar nuestros datos al descubierto.

En la primera versión que ya se encuentra disponible se añaden algunos de los motores más importantes de herramientas de seguridad de gran éxito:

1. Avast
2. BitDefender
3. Clam AV
4. ESET
5. Microsoft (Windows Defender)
6. Trend Micro

Y es que exceptuando la solución de Microsoft el resto de motores ofrecen una gran capacidad de detección al usuario y en muchos test poseen buenas puntuaciones.

También hay que decir que el software se encuentra programado en Python y que para realizar la ejecución del código se necesitan muy pocos recursos del sistema, por lo que cualquier usuario con cualquier nivel de hardware sería capaz de disfrutar de este software. Al utilizar este lenguaje de programación lo hace compatible con Windows, Linux y Mac OS X.

Los creadores de PlagueScanner anuncian más novedades

• Tal y como ya hemos indicado con anterioridad, se trata de la primera versión y por lo tanto la funcionalidad es aún limitada. El número de motores es aún bastante pequeño pero los responsables de la misma ya han confirmado que están trabajando para que otras soluciones de seguridad se unan a la iniciativa.

Conectar con los motores de forma remota

• Y es que sin lugar a dudas la gran ventaja de esta solución es que el usuario no debe subir sus archivos a un servidor, siendo este la parte más débil y donde pueden aparecer los problemas de seguridad, como por ejemplo sufrir un hackeo que deje al descubierto los datos.
• Los requerimientos en lo referido a conexión a Internet se mantienen en la misma tónica que los hardware, y con una conexión de 2-3 Mbps se pueden obtener los resultados con relativa rapidez.
• Para todos aquellos que quieran probar PlagueScanner pueden acceder al repositorio .git desde ( https://github.com/PlagueScanner/PlagueScanner )

Fuente: Softpedia

LINUX. Vulnerabilidad crítica en Sudo permite elevar privilegios

Se ha descubierto una nueva vulnerabilidad crítica en el programa “Sudo” que utilizan los sistemas operativos Linux para ejecutar temporalmente órdenes como superusuario (root). 

Sudo es ampliamente utilizado por sistemas operativos Debian y sus derivados como la familia Ubuntu, asimismo también es utilizado en la rama Red Hat Enterprise Linux y sus derivados como CentOS por ejemplo.

Sudo nos permite que un usuario incorporado en el archivo /etc/sudoers habitualmente, pueda ejecutar órdenes a través del terminal con permisos de root para cambiar permisos o modificar partes del sistema que en modo usuario no podría. En este archivo también se pueden detallar los comandos que dicho usuario puede ejecutar.Gracias a sudo no tendremos que tener el usuario “root” habilitado en el sistema con una contraseña, 

Vulnerabilidad en Sudo

• Ahora se ha descubierto una vulnerabilidad en las últimas versiones de “sudo” para Ubuntu y Red Hat Enterprise Linux que permitiría a un usuario elevar privilegios y acceder a partes del sistema a las que no debería tener permitido su acceso. Para explotar esta vulnerabilidad se debe tener acceso local al sistema (o remoto vía SSH con un usuario registrado en el sistema). 
• A continuación en el archivo sudoers debería existir una sentenciacon comodín del siguiente estilo:

·         /home/*/*/file.txt

• El problema radica en que sudo no interpreta correctamente los comodines y permitiría que cualquier usuario registrado en el sistema cree un enlace simbólico a por ejemplo /etc/shadow que es donde se almacenan todos los hashes de las contraseñas de los usuarios del sistema, y tener acceso completo a dicho archivo.

¿Cómo comprobar si estoy afectado por el fallo?

• Para comprobar si estamos afectados primero debemos crear una sentencia en el archivo sudoers con el siguiente aspecto:

·         ALL=(root) NOPASSWD: sudoedit /home/*/*/test.txt

• A continuación nos logueamos con el usuario de prueba y creamos un enlace simbólico dentro de la carpeta de test.txt a un archivo del sistema al que no deberíamos tener acceso como por ejemplo /etc/shadow. A continuación si procedemos a editar o leer dicho archivo test.txt deberíamos tener acceso directo a /etc/shadow aunque en el archivo sudoers no nos diga específicamente que tenemos permitido el acceso a él.

Más información

•    0day.today http://www.0day.today/exploit/23943

Fuente: Redeszone.net

MALWARE. Los ciberdelincuentes recuperan el troyano Dridex y las infecciones por macros

Los ciberdelincuentes ahora han recuperado una vía de infección de equipos que tuvo mucho éxito en el pasado: las macros. Para ello han contado también con la ayuda de un malware que ha tenido mucho éxito: Dridex.

En primer lugar, y haciendo mención a las macros, hay que puntualizar que entre 2001 y 2007 se trataba de una forma de infectar equipos muy utilizada, ya que en aquellos años estas se encontraban activadas por defecto en Microsoft Office. Aunque en versiones posteriores a esos años ya se encontraban deshabilitadas por defecto y era el usuario el que debía activarlas, el uso de versiones anteriores de la suite de ofimática contribuyó a que este tipo de infección se utilizase pero con un éxito menor.

A pesar de seguir deshabilitadas por defecto en las últimas versiones de Microsoft Office, la infección haciendo uso de macros vuelve a estar a la orden del día, recurriendo eso sí a una ingeniería social que cada vez toma una mayor importancia.

Recibos, facturas, compras no autorizadas, todo vale para que descarguen el documento

• Para hacer que el ataque sea efectivo ya hemos mencionado con anterioridad la presencia de la ingeniería social. Por este motivo, los ciberdelincuentes recurren a asuntos monetarios con cuentas, servicios de Internet o compras realizadas para llamar la atención del usuario y provocar que este descargue el archivo, en esta ocasión, un documento de Word o Excel que contiene la macro.
• Teniendo en cuenta que está desactivadas, en el interior del propio documento el usuario encontrará instrucciones para activarlas y así visualizar el contenido de forma correcta. La única diferencia que notará el usuario es que al activar estas se producirá la descarga de un archivo.

Troyano Dridex, dedicado a robar las credenciales y otros datos introducidos en el equipo

• No es la primera vez que hemos hablado de este malware y como la mayoría de las amenazas de los últimos años poseen una finalidad concreta, obtenida la mayoría de las ocasiones de forma remota: los ciberdelincuentes se ayudan de servidores de control para actualizar y controlar la amenaza de forma totalmente remota.
• En principio el troyano está destinado a robar las credenciales de acceso a servicios de banca en línea gracias a la función de keylogger, aunque luego se pudo comprobar que no hacía ningún tipo de distinción y almacenaba las credenciales de todos los servicios de los que se hacían uso en el equipo.

Fuente: betanews

SEGURIDAD. Pocos usuarios protegen la carpeta .git de su repositorio

Este tipo de repositorios están ahora muy de moda, permitiendo a los usuarios compartir sus documentos, orientados sobre todo a los desarrolladores de software. Los ".git" son uno de los más utilizados, sin embargo, una configuración de privacidad errónea podría exponer los datos de los usuarios.

Jamie Brown, un desarrollador de software y experto en temas de seguridad ha analizado la configuración de una gran cantidad de repositorios del servicio creado por Linus Torvalds. Y es que a pesar de tener 10 años de antigüedad es ahora cuando ha mostrado un gran apogeo, ayudado sobre todo por la gran cantidad de aplicaciones móviles y de escritorio que se están creando y que cuyo código es compartido por los usuarios.

Estos repositorios contienen una carpeta oculta denominada .git que almacena una gran cantidad de información de la que muchos usuarios no son conscientes. Aquellos más experimentados optan por protegerla de forma minuciosa ya que ahí podemos encontrar claves de cifrados, credenciales de acceso a servidores FTP, … El problema es que una inmensa mayoría desconoce su existencia y dejan el contenido de esta carpeta totalmente desprotegido, permitiendo el acceso público  la información que en principio debería ser privada.

La carpeta .git está expuesta en un número importante de repositorios analizados

• Como resultados del estudio realizado, Brown se ha encontrado con que 8.000 repositorios del millón y medio analizados exponen la carpeta descrita con anterioridad, incluyendo empresas de bastante prestigio entre los afectados, como por ejemplo el de la BBC.
• Antes de utilizar este servicio, Brown recomienda fijarnos en primer lugar en la configuración de privacidad que posee el servicio y configurarla de forma adecuada para no exponer la información. Lo importante en este caso no es hacer el repositorio .git privado o público, sino que la carpeta considerada clave sea privada y no pueda ser accesible por otros usuarios que puedan acceder de esta forma a más información de la interesada.

La mala configuración de los servicios es una práctica bastante usual

• No tenemos que rebuscar tanto en los servicios de Internet para darnos cuenta que las redes sociales son la primera fuente de robo de información. Una gran cantidad de cuentas no están configuradas de forma correcta y los otros usuarios pueden acceder a más información de la deseado, incluso facilitando un posible robo de la cuenta.
• Pero esto es solo un ejemplo ya que podemos citar además servicios FTP, gestores de páginas web y así hasta completar una larga lista de servicios, por lo tanto, los repositorios .git son solo uno más de la lista.

Fuente: Softpedia

LINUX. Analizan un nuevo y defectuoso troyano para la plataforma

La empresa de seguridad Dr. Web ha analizado un nuevo malware para Linux que está infectando un considerable número de equipos. Aunque aparentemente el troyano es muy similar a cualquier otra pieza maliciosa un análisis en profundidad ha demostrado que en realidad debido a una mala programación del mismo la herramienta carece de un gran número de funciones lo que hace que la herramienta sea casi inofensiva.

Este troyano, que ha sido denominado como Linux.BackDoor.Dklkt.1, simplemente habilita una puerta trasera en los sistemas que infecta. Este troyano, probablemente de origen chino, habilita la posibilidad de crear un proxy para establecer conexiones seguras y permite al pirata informático trabajar con nuestro sistema de archivos. También habilita una línea de comandos remota para poder controlar el sistema desde un TTY.

Una característica poco común de este malware es la capacidad de compilarse automáticamente en el sistema de su víctima para, por ejemplo, generar un binario para Windows y atacar dentro de la propia red local otro equipo diferente con un sistema operativo diferente. Por ello se puede afirmar que este troyano es multiplataforma, aunque siempre necesitará de un sistema previamente infectado para recompilarse.

Este troyano también ha sido diseñado para realizar ataques DDoS tal como se puede ver en las funciones:

•  Flood SYN
•  Flood HTTP (GET y POST)
•  Flood ICMP
•  Flood TCP
• Flood UDP

Aunque parece un troyano bastante complejo en realidad su diseño es pésimo y eso hace que en muchos aspectos el troyano sea totalmente inútil. Al analizar el malware se pudo ver cómo carece de ciertas funciones como un sistema de actualizaciones automáticas, transferencia de datos del usuario al servidor del pirata informático y la eliminación de sí mismo una vez finaliza el ataque.

Fuente: Dr. Web

CISCO. Informe semestral sobre problemas de seguridad y recomendaciones al respecto

La compañía Cisco ha publicado su primer informe semestral de Seguridad de este año 2015, en este informe se analizan las principales tendencias respecto a la ciber-seguridad. Una de las novedades que podemos encontrar en este informe es que desvela cómo el Internet de las Cosas está generando nuevos vectores de ataque por parte de los cibercriminales.

Según el informe de Cisco, es imprescindible para cualquier organización reducir el tiempo de detección y mitigación de los ataques, ya que las ciberamenazas como los kits de explotación, el ransomware o el malware “mutante” son cada vez más sofisticadas y persistentes. Cisco pone de manifiesto la falta de seguridad de Adobe Flash cuyas vulnerabilidades son explotadas por kits como Angler, asimismo también encontramos malware “mutante” como Dridex.

Actualmente la detección de este tipo de ciberataques se sitúa entre los 100 y 200 días según las estimaciones de la industria. Según Cisco, su solución para combatir la nueva generación de malware Cisco Advanced Malware Protection realiza la detección en una media de 46 horas ya que incluye seguridad retrospectiva.

Claves de este informe semestral de Cisco 

• Angler: El índice de éxito de este kit de explotación es del 40%, es actualmente uno de los más sofisticados y utilizado. La razón de ser tan utilizado es que permite explotar vulnerabilidades de Flash, Java, Internet Explorer y Silverlight. ¿Por qué no es detectado más fácilmente? Utiliza una técnica que consiste en utilizar el registro de dominios de los usuarios para crear subdominios e insertar el contenido malicioso.

• Adobe Flash: Uno de los software más inseguro que podemos instalar en nuestro equipo, la explotación de estos fallos de seguridad están aumentando gracias a los kits de explotación específicos como Angler y Nuclear. El número de vulnerabilidades de Flash con un CVE asignado se ha incrementado en un 66% respecto a 2014. Es muy posible que Flash establezca un nuevo récord si sigue esta tendencia.

• Ransomware: Este tipo de malware que restringe el acceso a algunas partes del sistema infectado y pide un rescate a cambio de eliminarlo sigue creciendo ya que es muy lucrativo para los cibercriminales.

• Dridex: El malware que muta con rapidez, sus creadores tienen amplios conocimientos para evitar las medidas de seguridad como por ejemplo alterar el contenido de los emails, adjuntos o sitios de referencia, cambia constantemente para que no de tiempo a los antivirus a detectarlo con rapidez.

Recomendaciones de Cisco para protegernos

• Algunas de las recomendaciones de Cisco es que los proveedores de seguridad deben centrarse en el diseño de soluciones de seguridad integradas para ayudar a las organizaciones a ser proactivas (actuar antes de ser infectados). Además las organizaciones cada vez más demandan una solución de seguridad integral que cubra todas las partes, desde el datacenter hasta los equipos de los usuarios, pasando por las oficinas remotas y el Cloud que cada vez es más utilizado.

• Otro detalle importante que detalla Cisco es que debe haber un marco regulatorio global para luchar contra el cibercrimen donde participen múltiples Gobiernos y empresas para evitar problemas de jurisdicción y ser lo más rápidos posible.

Fuente: Redeszone.net

CHIPS DDR3. La mayoría de estas memorias RAM permiten explotar Row Hammer vía Javascript

Expertos en seguridad han detectado que los chips de memoria RAM DDR3 vulnerables a Row Hammer pueden sufrir los efectos de este gracias a la utilización de código Javascript.

Esta vulnerabilidad permitía al atacante tomar el control del equipo gracias a un fallo producido por un campo magnético: según se detalló hace varios meses, consiste en utilizar de forma continuada una fila perteneciente a uno de los chips que forman los DIMM de memorias RAM, provocando que se cree un campo magnético y que las operaciones en las filas adyacentes fallen, alterándose el ciclo normal de funcionamiento de las lecturas y escrituras.

Teniendo en cuenta que ahora se ha demostrado que un código Javascript puede o tener el resultado los atacantes disponen de muchas más facilidades, ya que ahora solo tiene que subir el código a una página web y esperar que el usuario realice su descarga y lo ejecute en el equipo.

El código Javascript que utiliza Row Hammer también se puede ejecutar desde un navegador

• Tal y como han detallado los investigadores al mando de esta demostración, los propios navegadores también son capaces de ejecutar este tipo de archivos, por lo que se eliminaría la necesidad de descargar un archivos. Durante las pruebas realizadas, los investigadores se percataron de que al reducir la velocidad de ejecución de este código en el navegador también desaparecía Row Hammer, por lo que se han apresurado en recomendar esto a los principales desarrolladores de navegadores.
• Sin embargo, ya saben que sus palabras no serán escuchadas ya que reconocen que hoy en día los programadores de este tipo de aplicaciones están obsesionados con la obtención del mejor rendimiento en los test.

Muchos chips de memoria RAM están preparados frente a esta vulnerabilidad

• Desde que se detectó el problema, fueron muchos los fabricantes que se apresuraron a crear medidas para minimizar o impedir que esta vulnerabilidad hiciese acto de presencia. A pesar de que estas pedidas están presentes en la actualidad en muchos chip, los expertos encargados de demostrar las opciones con el código Javascript informan que las medidas adoptadas no son suficientes y que en muchos casos no impiden que la vulnerabilidad aparezca y permita a terceras personas acceder a la memoria física del equipo.

Fuente: Softpedia

HACKERS. Ocultan amenazas en servicios como Twitter o GitHub

En la mayor parte de los casos la comunicación se realiza en conexión directa o mediante un servidor de comando y control, sin embargo también es posible aprovechar ciertos servicios de confianza como Twitter para enviar comandos a las herramientas maliciosas sin dejar prácticamente ningún rastro.

Un grupo de piratas informáticos de origen ruso está haciendo uso de una puerta trasera, a la que han denominado como Hammertoss, para inyectar tráfico malicioso en el tráfico legítimo que se genera en ciertas plataformas de confianza como Twitter, GitHub o varios servidores de almacenamiento en la nube.

Esta puerta trasera de detectó por primera vez a principios de este 2015 y desde entonces lleva siendo utilizada por los piratas informáticos para transmitir comandos y extraer datos de los objetivos comprometidos. La técnica que utilizan estos piratas informáticos para comunicarse con el troyano es muy compleja.

A continuación vamos a resumir de la forma más sencilla posible cómo este malware utiliza Twitter para recibir órdenes:

1. Hammertoss contiene una serie de algoritmos que generan una cuenta concreta de Twitter desde donde recibirá las órdenes por parte de los piratas informáticos.
2. El troyano se conecta todos los días a su cuenta concreta de Twitter y busca en ella nuevas órdenes establecidas por los piratas informáticos.
3. Una vez recibe las órdenes las ejecuta y espera hasta el día siguiente para volver a conectarse.
4. El troyano, una vez conectado a su cuenta de Twitter, buscará un tweet concreto que tenga un hashtag específico para cargar desde él los comandos de control. Analizando estos mensajes se ha podido ver cómo la mayoría de ellos estaban formados únicamente por imágenes en las cuales había datos ocultos mediante la esteganografía (arte de ocultar un mensaje o una imagen dentro de otro mensaje u otra imagen).
5. Una vez que el troyano ya tenía todos los datos necesarios para empezar a trabajar se conectaba a un terminal de PowerShell en el sistema de la víctima desde donde ejecutaba los comandos recibidos.

Según FireEye, empresa de seguridad que se encuentra investigando estos ataques, este grupo de piratas informáticos es uno de los más prometedores de estos tiempos, que mejores técnicos y conocimientos tienen y que mayores ataques están llevando a cabo. La empresa de seguridad también afirma que esta herramienta no se está distribuyendo de forma masiva por la red sino que el grupo de piratas informáticos la tenía preparada de manera que si todas sus demás herramientas fallaran pudieran aprovechar la infraestructura de esta. También es posible que Hammertoss esté siendo utilizada para atacar objetivos no vulnerables a sus otras herramientas, aunque esto no se ha confirmado.

Esta herramienta de momento es detectada por 4 bases de datos de VirusTotal. Es posible que a lo largo de las horas el número de firmas de seguridad capaces de identificar el malware sea mucho mayor, pero también que los piratas informáticos creen una nueva variante de Hammertoss que siga trabajando de forma oculta en la red.

Más información

• Informe completo de FireEye  https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf  

Fuente: Redeszone.net

FOROS. Los de Darkode vuelven con seguridad mejorada

A mediados de mes nos hacíamos eco del cierre llevado a cabo por el FBI y Europol en colaboración con las autoridades de varios países. Después de varias semanas y contra todo pronóstico Darkode esta de nuevo disponible y según sus responsables con una seguridad mejorada para evitar problemas.

Según la información publicada, un miembro que escapó a las detenciones ha sido el encargado de crear la web prácticamente desde cero y en base a las copias de seguridad realizadas meses anteriores. En lo referido a los usuarios, todos aquellos que tenían cuenta podrán recuperarla, excepto aquellos que se registrasen en los últimos meses. El motivo de esta medida es que parte de los fundadores creen que “el topo” que ha propiciado esta operación de las autoridades se registró en este periodo de tiempo.

Darkode cambia de dominio

• Evidentemente el anterior dominio fue requisado por las autoridades, por lo que los fundadores en primer lugar se han visto obligados a adquirir un nuevo dominio. El funcionamiento de la página web se basa aún más en Tor, tal  como describen los fundadores: será imposible identificar a las personas que hagan uso del foro, ya que estarán identificados por una dirección IP generada de forma aleatoria.

• También han explicado que a partir de ahora el robo de las credenciales de una cuenta de usuario del foro no será suficiente para acceder a este, cubriéndose de esta forma las espaldas y evitar que la cuenta de algún miembro sea robada por las autoridades y utilizada para obtener pruebas.

Fuente: Softpedia

POTAO. Viejo malware con nuevas vías de distribución

Potao es troyano que sirve como ejemplo a esto que estamos diciendo, ya que en los últimos días se ha visto incrementada su actividad.

Hasta el momento, los expertos en seguridad han visto como Potao se está distribuyendo haciendo uso de correos spam, descargas directas, sitios web hackeados o incluso unidades USB que se han conectado a equipos infectados con anterioridad. Sin ir más lejos, el sitio web ruso de TrueCrypt se ha visto afectado y durante varias horas ha distribuido esta amenaza en lugar del software legítimo.

Incluso mensajes SMS con un enlace falso a un servicio postal han llegado a los smartphones de los usuarios para que descargasen la amenaza a sus terminales y así alcanzar un equipo de sobremesa cuando el terminal móvil se conectase a este.

Potao utiliza un icono de un ejecutable de Microsoft Word

• Expertos en seguridad han analizado una de las miles de copias que se están distribuyendo de la nueva variante y han detectado que al llegar al equipo el ejecutable adopta un icono relacionado con Microsoft Office, concretamente el del programa Word.

• La finalidad de esto no es otra que la de confundir al usuario y provocar que este ejecute la aplicación confundiéndola con una acceso directo de la suite de ofimática.

• También hay que decir que los usuarios de herramientas de seguridad no tendrían de qué preocuparse, ya que según informan los expertos en seguridad han llevado a cabo el análisis, cualquier software antivirus es capaz de realizar su detección y proceder a la eliminación del ejecutable antes de que este consiga instalar la amenaza en el equipo.

• Los responsables de TrueCrypt han confirmado que el sitio web dedicado a los usuarios rusos ya se encuentra libre de cualquier amenaza malware y que los enlaces de descarga contienen de nuevo al software legítimo.

Fuente:Softpedia

CISCO ASR 1000. Denegación de servicio en routers

Se ha descubierto una vulnerabilidad que permite realizar una denegación de servicio en routers Cisco ASR 1000, catalogada de Importancia: 4 - Alta

Recursos afectados

• Todos los Cisco ASR 1000 Aggregation Series Router

Detalle e Impcto de la vulnerabilidad

• El software IOS XE para los routers afectados no maneja adecuadamente el reensamblado de paquetes IP (IPv4 e IPv6) fragmentados, lo que permite a un atacante remoto sin autenticación causar una caída del ESP (Procesador de Servicios Embebidos) que procesa los paquetes.
• Se ha asignado el identificador CVE-2015-4291 a esta vulnerabilidad.

Recomendación

• Actualizar Cisco IOS XE al menos hasta la versión 2.5.1

Más información

• Cisco ASR 1000 Series Aggregation Services Routers Fragmented Packet Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150730-asr1k    

Fuente: INCIBE

IBM. Múltiples vulnerabilidades en Tivoli Storage Manager FastBack

IBM informa de la corrección varias vulnerabilidades críticas en Tivoli Storage Manager FastBack, la vulnerabilidad se ha catalogado de Importancia: 5 - Crítica

Recursos afectados

• IBM Tivoli Storage Manager Fastback 6.1.0.0 hasta 6.1.12.0

 Descripción e Impacto de la vulnerabilidad

• El producto IBM Tivoli Storage Manager FastBack para Windows está afectado por múltiples vulnerabilidades cuya explotación puede provocar la caída del sistema, elevación de privilegios o fuga de información.
• Los detalles sobre las vulnerabilidades (CVE-2015-4931, CVE-2015-4932, CVE-2015-4933, CVE-2015-4934, CVE-2015-4935), pueden consultarse en el enlace proporcionado en la sección "Más información".

Recomendación

• IBM proporciona el parche necesario para corregir las vulnerabilidades desde http://www-933.ibm.com/support/fixcentral/swg/selectFix?product=ibm%2FTivoli%2FIBM+Tivoli+Storage+Manager+FastBack&fixids=6.1.12.1-TIV-TSMFB-FP001&source=SAR&function=fixId&parent=ibm/Tivoli

Más información

• Security Bulletin: Multiple Security Vulnerabilities in IBM Tivoli Storage Manager FastBack http://www-01.ibm.com/support/docview.wss?uid=swg21961928

Fuente: INCIBE