CIBERATAQUE. Hackers rusos acceden a material clasificado de la NSA

Un grupo de 'hackers' rusos ha llevado a cabo un ciberataque sobre la agencia de seguridad nacional de Estados Unidos (NSA), con el que han accedido a material clasificado de la organización relativo a los servicios de inteligencia a través de un 'exploit' en el antivirus Kaspersky, según ha publicado el diario The Wall Street Journal.

El ataque de los 'hackers' rusos tuvo lugar durante el año 2015, aunque no fue advertido por la NSA hasta la primavera de 2016. El material robado incluye archivos secretos con detalles sobre cómo la agencia estadounidense accede a redes informáticas en países extranjeros --incluido el código que emplean para este tipo de espionaje--, así como las pautas de defensa de sus propias redes en Estados Unidos.

Para llevar a cabo la acción, los 'hackers' rusos habrían llevado a cabo un ataque de tipo 'exploit' --que se aprovecha de vulnerabilidades en el 'software'-- sobre el antivirus Kaspersky, desarrollado por una empresa rusa, pero utilizado también por la NSA.

Es la primera vez que se tiene constancia de un ataque al gobierno de Estados Unidos a través de este popular antivirus. Según expertos citados por el diario estadounidense, el ciberataque a la NSA supondría "una de las brechas de seguridad más importantes de los últimos años".

Sin embargo, Kaspersky Lab, la compañía encargada del antivirus, ha negado en un comunicado la veracidad del ciberataque a través de su 'software', alegando la falta de pruebas sobre el supuesto incidente. Además, la NSA ha asegurado que mantiene un contrato con otra compañía de 'software' de seguridad en lugar de Kaspersky e incluso que desde 2015 recomienda a sus empleados que ni siquiera lo utilicen en sus casas.

El pasado 13 de septiembre el ejecutivo de Donald Trump prohibió el uso del antivirus Kaspersky en agencias gubernamentales, aunque este ha sido utilizado anteriormente por más de 20 de estas organizaciones, incluidos el ejército y los departamentos de defensa y seguridad nacional.

A pesar de ello, representantes públicos como la senadora demócrata Jeanne Shaheen han manifestado su preocupación ante la colaboración entre el Gobierno de Estados Unidos y Kaspersky, y han acusado a la compañía de tener "conexiones con el Kremlim" durante un comité de la fuerzas armadas en el Senado celebrado el jueves.

Con el actual incidente, es ya la tercera ocasión en la que se denuncia públicamente una brecha de seguridad de la NSA a causa de contratos con personas o empresas externas. Los anteriores tuvieron lugar en el año 2014 tras el escándalo de filtración de datos que propició el exanalista Edward Snowden y en 2016 con el investigador Harold Martin III.

Fuente: Europa Press

APPLE.Lanza un parche de emergencia para MacOS High Sierra

MacOS High Sierra fue lanzada el 25 de septiembre. Ahora, unos días después de su lanzamiento, Apple ha tenido que sacar un parche de emergencia para corregir la filtración de contraseña de los volúmenes cifrados. Al pulsar el botón Password hint (sugerencia de contraseña), ésta era revelada. Así pues, parece que la nueva versión de Apple sigue sin comenzar con buen pie. Son muchos los usuarios que han estado expuestos a este grave fallo de seguridad.

Parche de emergencia

Apple ha emitido un parche de emergencia para MacOS High Sierra. Una actualización de seguridad para solucionar este error que exponía las contraseñas de los volúmenes de APFS cifrados a través de la característica de sugerencia de contraseña. Sin duda un error más que importante.

Los compañeros de Softzone se hacen eco hoy de otras dos vulnerabilidades resueltas recientemente por Apple para MacOS High Sierra.

El error ha sido descubierto por el investigador de seguridad brasileño Matheus Mariano de Leet Tech. Hay que destacar que este problema únicamente afecta a la versión MacOS High Sierra cuando los usuarios agregan un nuevo volumen APFS cifrado.

Cuando el usuario monta el volumen APFS y se le pide que ingrese la contraseña antes de poder acceder a los datos, si el usuario presiona el botón de sugerencia de contraseña, se mostrará la contraseña del usuario en lugar de la sugerencia. Claramente es un sinsentido y queda totalmente expuesta la clave.

Sugerencia de contraseña

Sin embargo hay que añadir que este error solamente ocurre a aquellos usuarios que han puesto una sugerencia de contraseña. Es decir, si alguien cifró el volumen simplemente y no añadió ninguna sugerencia de contraseña como recordatorio en caso de olvido, este bug no le afecta para nada.

El problema afecta sólo a los Macs con unidades SSD, donde se admite el nuevo sistema de archivos APFS de Apple.

En comparación con otras instancias de informes de errores, Apple se ha movido rápidamente para acabar con el error. Se recomienda a los usuarios que actualicen o, al menos, eliminen la sugerencia de contraseña, para que el error no se manifieste. Todo esto en caso de que tuvieran una sugerencia de contraseña puesta, como hemos mencionado.

Además, Apple también ha lanzado una página de soporte con pasos para realizar una copia de seguridad, borrar y restaurar el volumen APFS cifrado después de la actualización del sistema operativo.

Otros errores

La misma actualización complementaria también corrigió un zero-day en la aplicación Keychain que exponía las contraseñas de la aplicación en texto plano, descubierto por el investigador de seguridad Patrick Patrick Wardle.

Así pues, Apple ha tenido que lanzar un parche de seguridad de manera urgente para acabar con este serio problema. Los usuarios que tuvieran una sugerencia de contraseña lo mejor es que actualicen o directamente quiten esa pista para recordar la clave en caso de olvido. Sólo así podrán estar completamente seguros.

Recientemente publicamos un artículo donde explicábamos que Apple había arreglado una vulnerabilidad para MacOS de forma silenciosa. Este fallo podría haber permitido a los atacantes pasar por alto el sistema de cuarentena de archivos incorporado al sistema operativo de la manzana mordida.

Fuente: Bleeping Computer

DISQUS. Confirma el fallo de seguridad que expuso datos de millones de usuarios

Los responsables del servicio de mensajes en sitios web Disqus, han confirmado que hace 5 años sufrieron un ataque que utilizó una brecha de seguridad que propició el acceso a la información de más de 17 millones de usuarios. Ahora salen a la luz algunos detalles relacionados con este ataque.

Lo que más interesa a los usuarios es qué información quedó al descubierto. O lo que es lo mismo, qué datos acabaron en manos de los ciberdelincuentes. Los informes publicados indican que los datos han sido varios. Correos electrónicos con los que se registró la cuenta en el servicio, nombre de usuarios, fecha del último inicio de sesión, configuraciones y el listado completo de inicios de sesión. Todo ellos en texto plano. Añaden que también las contraseñas de acceso se vieron afectadas, aunque estas e encontraban tratadas utilizando SHA-1.

De acuerdo con los datos filtrados, todos aquellos usuarios que se registraron en el servicio entre el año 2007 y 2012 sus cuentas se vieron afectadas por el robo de información. Para ser más precisos, hablamos del mes de julio, aunque la fecha exacta es un aspecto que no ha trascendido de forma oficial.

Desde Disqus indican que se llevaron a cabo las actuaciones correctas

La empresa desarrolladora del servicio indica que las acciones llevadas a cabo fueron las correctas. Se llevó a cabo el restablecimiento de las contraseñas de las cuentas, buscando de alguna forma minimizar los daños de cara a los usuarios.

Sin embargo, lo más criticado no ha sido esto, sino la falta de información existente. Sin ir más lejos, han pasado más de 5 años desde que se produjo la brecha de seguridad, y aun así  no ha salido a la luz toda la información que expertos en seguridad y muchos usuarios creen que debería haberse publicado.

Desde el servicio indican que, con motivo de este hackeo, modificaron el tratamiento de las contraseñas de las cuentas, pasando de SHA-1 a bcrypt.

La investigación parece que aún no ha terminado, o al menos eso han dicho por parte de Disqus. Indican que en las próximas semanas se podrán conocer más detalles relacionados. Añaden que no tienen constancia de inicios de sesión no autorizados utilizando los datos robados, algo que se evitó gracias a la rápida actuación para restablecer las contraseñas de las cuentas existentes hasta ese momento.

Lo que está claro es que en el momento del hackeo la seguridad no era la más adecuada. Esto es algo que se ha extrapolado a otros servicios que durante estos años se han visto afectados por problemas de seguridad.

Fuente: Bleeping Computer

ANTI-WEBMINER. Bloquea los script de minado de criptomonedas

Una de las nuevas amenazas a las que nos enfrentamos son los scripts de minado que se ejecutan, sin permiso, desde el navegador, y es aquí donde entra en juego Anti-WebMiner.

En las últimas semanas hemos visto varias veces cómo algunas páginas web (The Pirate Bay, por ejemplo) estudian la posibilidad de incluir scripts de minado de criptomonedas como una alternativa a la publicidad de manera que mientras que el usuario visita la página, el script utilice la CPU del usuario para minar y generar ingresos.

Además de TPB, otras páginas, en teoría fiables (como Showtime) también han empezado a experimentar con esto, lo que es mucho más preocupante.

En varias ocasiones os hemos hablado ya de herramientas y extensiones diseñadas para ayudarnos a bloquear este tipo de scripts y evitar que otros se aprovechen de nuestro hardware para minar criptomonedas, herramientas como, por ejemplo, Halt and Block Mining que, además, acabamos de actualizar hace apenas unas horas añadiendo bastantes más dominios utilizados para esta práctica.

Para los usuarios que quieren una aplicación propiamente dicha y no les sirve con un script como el anterior, en este artículo os vamos a hablar de Anti-WebMiner. Esta herramienta, gratuita y de código abierto, se basa principalmente, igual que Halt and Block Mining, en editar el archivo hosts de nuestro sistema para evitar que se pueda establecer conexión con estas páginas de minado, aunque con una interfaz bastante más simple y rápida de utilizar, así como con algunas funciones adicionales, como, por ejemplo, un actualizador de hosts que nos permite actualizar la base de datos de dominios bloqueados sin tener que descargar la herramienta de nuevo.

Cómo funciona Anti-WebMiner

Como hemos dicho, esta aplicación también es gratuita y de código abierto, y podemos descargarla desde GitHub, tanto en formato instalable como en formato portable para poder llevarla siempre en un USB.

Una vez tenemos la aplicación ya en nuestro ordenador la ejecutamos y lo primero que veremos será una ventana como la siguiente.

Cuando se ejecuta por primera vez, el programa busca actualizaciones de las bases de datos y, si las hay, las descarga. Una vez finaliza esta primera comprobación, podemos ver cómo se activa el botón “Install” que nos permite habilitar la protección contra los scripts de minado de criptomonedas.

Pulsamos sobre “Install” y el programa añadirá automáticamente las entradas correspondientes al fichero hosts de nuestro sistema. Tras unos segundos, la protección estará habilitada en nuestro sistema, y ninguna web podrá utilizar el equipo para minar criptomonedas desde nuestro navegador.

Si por algún motivo queremos deshabilitar esta función, simplemente pulsaremos el botón “Uninstall” que se habilitará para borrar las entradas del archivo hosts del sistema para poder volver a conectar a estos dominios.

Fuente: Redes Zone.net

CRIPTOMONEDAS. Conceptos básicos

En la actualidad, existen más de 800 monedas en el ámbito digital, es decir, el Internet del Valor (IoV), también llamado Internet del Dinero, que permite una infinita posibilidad de transacciones sin que queden registros de las mismas.

La falta de registros permite a los usuarios tener el control absoluto de su dinero, así como la exposición total del mismo, como apuntan desde la compañía de protección digital Always On.

Antes de entrar en el mundo del IoV, la compañía aconseja la instalación de sistemas de ciberseguridad si se van a realizar este tipo de operaciones, ya que son el objetivo de numerosos hackers.

Asimismo, y para que el usuario comprenda este mundo de las criptomonedas, conviene que aprenda los conceptos básicos del mundo de las transacciones digitales mediante dinero virtual.

La diferencia entre la moneda digital o electrónica y la criptomoneda es que la primera es emitida por los bancos y cuenta con su correspondiente supervisión, mientras que la criptomoneda tiene un creador privado y no es controlada por ningún organismo o gobierno, como explican desde Always On.

El monedero o cartera digital de un usuario es aquella en la que se registra el dinero y las transacciones. Como advierten desde la compañía de seguridad, es posible 'hackearlo' mediante técnicas de 'phishing', robar sus credenciales, acceder al mismo y sustraer sus fondos.

En sus comienzos las criptodivisas se adquirían y utilizaban en la conocida como 'deep web', la red paralela a Internet en la que se realizan la mayoría de las transacciones ilegales y que gracias a estos criptoactivos mantienen el anonimato de los usuarios. En la actualidad, sin embargo, se utilizan en la plataforma común de Internet para realizar transferencias a otros monederos o como método de pago.

Las criptomonedas se utilizan como método de pago de rescates en ciberataques por su alto valor y la irrastreabilidad tanto de las cuentas, como de las transacciones y los usuarios.

Su principal diferencia con una cuenta bancaria es que no se asocia a una numeración, por ejemplo, en Bitcoin, la criptomoneda más popular, cualquiera se puede generar un número de cuenta, completamente aleatorio, no se pueden predecir de antemano ni conocer a qué persona física está asociada.

Fuente: Europa Press

GOOGLE. Usará globos para ofrecer servicio de telefonía celular en Puerto Rico

La Comisión Federal de Comunicaciones (FCC, por su sigla en inglés) de Estados Unidos dijo el viernes que aprobó una postulación de Alphabet Inc para brindar servicio de telefonía celular de emergencia en Puerto Rico a través de globos.

Luego del paso del huracán María, Puerto Rico ha enfrentado problemas para restablecer los servicios de comunicación. La FCC dijo el viernes que un 83 por ciento de los sitios celulares permanecen fuera de servicio, en tanto, las compañías de comunicaciones están desplegando sitios temporales.

Alphabet, que anunció su Proyecto Loon en 2013 para usar globos de alta altitud alimentados por energía solar para brindar servicios de Internet en regiones remotas, dijo en un documento presentado a la FCC que trabaja para “apoyar a la restauración de una capacidad de comunicaciones limitada de los portadores móviles con licencia” en Puerto Rico.

Más temprano el viernes, el jefe de la FCC Ajit Pai anunció que estaba formando un equipo especial de recuperación por el huracán, con énfasis en abordar los desafíos que enfrentan Puerto Rico y las Islas Vírgenes de Estados Unidos.

“Es clave que adoptemos un enfoque coordinado e integral para apoyar a la reconstrucción de la infraestructura de comunicaciones y la restauración de los servicios de comunicación”, dijo Pai en un comunicado.

Por otra parte, el gobernador de Puerto Rico, Ricardo Rosselló, dijo en Twitter en la noche del viernes que tuvo una “gran conversación inicial con @elonmusk esta noche. Los equipos están conversando, explorando oportunidades. Pronto vendrán nuevos pasos”.

Musk, presidente ejecutivo de Tesla Inc, dijo el viernes que la compañía enviaría más instaladores de baterías a Puerto Rico para ayudar a restablecer la energía después de que el huracán María cortó la electricidad de la isla hace más de dos semanas.

Fuente: Reuters

Disponible PostgreSQL 10

PostgreSQL Global Development Group ha anunciado hoy la disponibilidad de PostgreSQL 10, la última versión del conocido Sistema Gestor de Bases de Datos (SGBD) Open Source y multiplataforma.

PostgreSQL 10 incluye una gran cantidad de mejoras y novedades, como replicación lógica nativa, particionado de tablas declarativo y un paralelismo de consulta mejorada. Otro aspecto a tener en cuenta es el cambio de formato en la versiones, utilizando números con decimales para las versiones menores (por ejemplo, 10.1) y unidades enteras para las mayores (por ejemplo, 11).

Desarrollamos los aspectos más destacados de PostgreSQL 10 en su lanzamiento:

1. Replicación lógica: Extiende las características de replicación de PostgreSQL con la capacidad de enviar modificaciones a nivel de por base de datos o por tabla a diferentes bases de datos. Ahora los usuarios pueden afinar los datos replicados a varios clústeres de bases de datos y tendrán la capacidad de realizar actualizaciones de tiempo de actividad cero a futuras versiones mayores del SGBD.
2. Particionado declarativo de tabla: El particionado de tabla existe desde hace años en PostgreSQL, pero requería que el usuario mantuviera un conjunto de reglas y disparadores (triggers) no triviales para que funcionara. La versión 10 incluye una sintaxis de particionado de tabla que permite a los usuarios crear y mantener un rango y una lista de tablas particionadas. La sintaxis es el primer paso para crear un framework dentro del SGBD.
3. Paralelismo de consulta mejorada: PostgreSQL 10 ofrece un mejor soporte para consultas paralelas al permitir que más partes del proceso de la ejecución de una consulta puedan ser paralelizadas. Las mejoras incluyen tipos de datos adicionales que comprueban que están paralelizadas, así como optimizaciones cuando un dato es recombinado. Estos mejoras permiten que los resultados sean devueltos más rápidamente.
4. Comprometimiento del Quórum para la Replicación Síncrona: Permite para la flexibilidad de la base de datos primaria recibir el reconocimiento de que los cambios se escribieron correctamente en las réplicas remotas. Un administrador puede especificar si algún número de réplicas ha reconocido que se ha hecho un cambio en la base de datos, entonces los datos pueden ser considerados como escritos de forma segura.
5. Autentican SCRAM-SHA-256: PostgreSQL utiliza el método de autenticación SCRAM-SHA-256 para ofrecer una mejor seguridad que el método de autenticación de contraseñas basado en MD5.

En la wiki del proyecto se pueden consultar todas las novedades introducidas en PostgreSQL 10, las cuales también se pueden ver desde la documentación. Este SGBD cuenta con versiones para FreeBSD, OpenBSD, RHEL y familia, Debian, Ubuntu, SuSE, macOS, Solaris y Windows.

Fuente: Muy Linux.com

MICROSOFT. Presentado la “siguiente generación” de Skype para Linux

Microsoft presentó la semana pasada la “siguiente generación de Skype para Linux”, aunque para ver el comunicado oficial se requiere de usar una VPN que apunte hacia Estados Unidos debido a que el enlace redirecciona al sitio web de la compañía para España.

Desde hace unos días los usuarios pueden descargar la última versión Preview de Skype para Linux, pudiendo hacer uso de las nuevas características incorporadas, entre las cuales están la de compartir la pantalla y realizar chats en grupo.

La característica compartir la pantalla podría ser utilizada para la colaboración en proyectos gracias a que se puede compartir su contenido con cualquiera con quien se mantenga una conversación. Además de los chats en grupo, se han incluido opciones relacionadas con los emoticonos, emojis y fotos para que el usuario pueda expresarse de la forma que vea más conveniente.

El cloud computing es un área que va ganando fuerza dentro de la política corporativa de Microsoft, algo muy posiblemente impulsado por el origen de su actual CEO, Satya Nadella. La compañía ha explicado que “la siguiente generación de Skype para Linux es parte de nuestra estrategia de reconstruirlo desde cero con la tecnología de la nube”. La intención es convertirlo en una plataforma que llegue a más personas.

La “siguiente generación” de Skype para Linux ya puede ser descargada desde el canal Insider de la aplicación de VoIP. Microsoft recomienda una webcam y un micrófono recientes para poder exprimir todas sus posibilidades.

Fuente: Muy Linux.com

SUSE Linux Enterprise y openSUSE permitirán migrar de una a otra

Con motivo de la celebración de SUSECON 17 la semana pasada el líder de openSUSE y empleado de la compañía alemana, Richard Brown, ha concedido una entrevista en la que revela datos interesantes acerca del futuro más inminente de la distribución del camaleón, entendiendo como tal tanto la edición corporativa como la comunitaria, ya que ambas se basan en el mismo código.

Brown deja una pequeña gran exclusiva que aún no se había matizado como debiera: SUSE Linux Enterprise (SLE) y openSUSE permitirán migrar de una a otra con total libertad. No está claro si este soporte estará disponible ya para la próxima versión de la distribución, pero todo parece indicar que así será y que funcionará en ambos sentidos.

Es decir, los usuarios de openSUSE Leap podrán migrar directamente hacia SLE si ven necesario adquirir soporte, y viceversa: aquellos usuarios de SLE que se las deseen apañar solos podrán hacer el camino a la inversa. Y aunque hablamos de usuarios, evidentemente, nos referimos a empresas. Por ejemplo una empresa cuya infraestructura funcione con SLE podrá pasar a Leap y ahorrarse el soporte (mala idea, pensará cualquier CTO, y SUSE lo sabe), o por el contrario podrán levantar lo que sea con openSUSE y llegado el momento dar el salto como cliente (lo más plausible, y SUSE también lo sabe).

Así que esta nueva sinergia asemejará en algo el ecosistema de SUSE al de Red Hat, con una diferencia notable: el cambio de Centos a RHEL no es el más suave del mundo, mientras que SUSE pretende automatizar el de openSUSE a SLE o de SLE a openSUSE. No obstante -de acuerdo a los comentarios de Brown, aunque le incitan un poco a ello- la intención no sería competir con Centos/RHEL, sino con Ubuntu. ¿Y cuándo sucederá esto? Se espera que a partir del lanzamiento de SLE y openSUSE 15, previsto para 2018.

Recordar que los dos últimos lanzamientos llegados del ecosistema de SUSE son openSUSE Leap 42.3 y SLE 12 SP3, aparecidos en mayo y septiembre de este año respectivamente. Los siguientes serán, pues, openSUSE 15 y SLE 15, y si este desbarajuste en la numeración de versiones te confunde, es porque no estás informado de que openSUSE Leap cambiará su numeración de versiones para alinearse con SUSE Linux Enterprise.

Fuente: Muy Linux.com

IoT. Hacker espía y habla a una mujer a través de la cámara de vigilancia de su casa

Los dispositivos conectados, o el Internet de las Cosas, plantean problemas de seguridad, que pueden comportar desde su uso para lanzar un ataque de denegación de servicio hasta el control remoto de los terminales, un hecho que ha denunciado una mujer holandesa a raíz de su experiencia con una cámara de vigilancia para el interior de su casa.

La afectada se llama Rilana Hamer y en su perfil de Facebook explica en una entrada que decidió comprar una cámara para poder controlar a distancia a su cachorro cuando lo dejaba solo en casa.

Un mes o dos después de su compra, estando en casa, escuchó unos ruidos procedentes de la sala de estar. Al ir a comprobar de qué se trataba, vio cómo la cámara se movía sola. Ella había dejado el móvil encima de la cama, y por tanto la 'app' con la que se controla estaba fuera de su alcance.

La cámara que adquirió permite hablar a través de ella. Y esta característica terminó por alertarla de que algo estaba pasando. Además de ver cómo la cámara se giraba sola e incluso seguía sus movimientos, en un momento dado empezó a hablarle.

La reacción de Rilana fue de desenchufar la cámara y guardarla. Como explica en su historia, se dio cuenta de que la habían estado espiando y no sabía por cuánto tiempo. Más tarde, con un amigo, se decidieron a ponerla en funcionamiento de nuevo para comprobar lo que ocurría con el dispositivo.

Como detalla Rilana, no tardó más de un minuto en volver a moverse y hablarle. La mujer incluso comenta lo breve que fue esa conversación, que acabó con el 'hacker' insultándola cuando le pidió explicaciones. Ella incluso llegó a grabar a la cámara fuera de su control.

Rilana no oculta el miedo que pasó al ser consciente de que alguien había estado observándola sin ella saberlo, y como ella misma pide en su historia, quiere que su experiencia se comparta, para alertar de los peligros que pueden suponer los dispositivos conectados.

Lo que no se sabe, sin embargo, es si la contraseña que empleó era nueva y más robusta que la que suele venir de serie, ni si en la tienda donde la adquirió le han dado alguna explicación sobre posibles problemas de seguridad el modelo.

Según explican en The Next Web, la mujer adquirió la cámara en una tienda local, y poco después del incidente decidió devolverla, donde están investigando lo sucedido.

Fuente: Europa Press

FIREFOX. Permite hacer capturas de pantalla y enviar enlaces entre dispositivos

Mozilla ha anunciado este viernes la implantación de nuevas herramientas para su navegador de internet Firefox. La nueva versión de este 'software' permitirá a sus usuarios hacer capturas de pantalla de las páginas web sin salir del navegador y también podrán enviarse enlaces entre diferentes dispositivos sin necesidad de usar el correo electrónico.

La función de captura de pantalla ya está disponible con la versión 56 de Firefox, según ha afirmado Mozilla en un comunicado de su página web oficial. Para usarla, hay que pulsar el icono de las tijeras en la parte superior derecha de la ventana.

La herramienta permite al usuario hacer clic y arrastrar el cursor para seleccionar cualquier área rectangular de la ventana. También será posible pasar el cursor por cualquier parte de la pantalla para que la herramienta detecte automáticamente el contorno de las diferentes áreas de la web.

Una vez seleccionada la zona que se quiere capturar, hay que hacer clic y guardar la imagen. Firefox almacena automáticamente las capturas en la nube durante dos semanas, pero se pueden guardar directamente en el ordenador, cambiar su fecha de caducidad o borrarlas desde la biblioteca 'online'. La nueva versión del navegador también permite compartir las capturas mediante un enlace, sin importar qué dispositivo o qué navegador use el destinatario.

Junto con la herramienta de captura de pantalla, Firefox se ha actualizado con una nueva función que permite al usuario enviarse enlaces entre diferentes dispositivos. De esta forma, con 'Send Tabs' se puede enviar cualquier 'link' desde el ordenador al 'smartphone' o viceversa sin tener que copiar y pegar la dirección en un correo electrónico. Además, Mozilla ha asegurado que los datos del usuario se encriptan al hacer el envío para que ni ellos mismos puedan desencriptarlos.

La versión 56 de Firefox también incluye una opción de autorrellenado de formularios que, según Mozilla, se implantará primero en Estados Unidos para después desplegarse por el resto del mundo. Este sistema se activa al rellenar un formulario 'online' por primera vez, momento en el que Firefox guarda los datos automáticamente. Los usuarios también pueden guardar múltiples direcciones para poder rellenar rápidamente las direcciones de casa y del trabajo, así como las de la familia y amigos.

Fuente: Europa Press

ROBOTO. Fuente de texto falsa que se utiliza para instalar adware en Windows

Roboto es una “fuente” de texto cuya instalación está siendo solicitada. Sin embargo, este proceso provoca la llegada de malware al equipo.

En esta ocasión, recurriendo a ingeniería social, los ciberdelincuentes informan al usuario de una fuente de texto ausente, y que es necesario instalar. La han bautizado como Roboto.

Simulan un pop-up informativo de navegadores web, dotando este de un botón en el que se puede leer “Update”. Al no existir otro botón (el que permite cerrar el pop-up está bastante camuflado) el usuario no duda ni un segundo en realizar el proceso. Un error que ya ha conducido a miles de usuarios a instalar malware en su dispositivo.

Esto provoca la descarga de un ejecutable .exe. Muchos usuarios creen que es el archivo instalado de la fuente. El nombre del archivo es InstallCapital.exe, y puede existir variaciones en función de la página desde la que se descargue.

¿Dónde se está realizando el ataque con la fuente Roboto?

Los expertos en seguridad han detectado que se está llevando a cabo utilizando sobre todo páginas web de descarga de contenidos pirata (tanto de torrents como descarga directa) y contenido pornográfico, aunque no se descarta que esto pueda extenderse a otras muchas.

¿Qué implica su instalación en el equipo?

De entrada, lo que se instala se trata de un software que podemos considerar intermediario en todo este proceso. Lo que queremos decir, es que no se trata de la amenaza real. Es un software que permitirá la instalación del malware.

Es necesario añadir que las instalaciones no acostumbran a ser únicas. Es decir, los ciberdelincuentes recurren a software que sea complementario entre sí. O lo que es lo mismo, a un equipo infectado pueden llegar incluso hasta tres piezas malware.

¿Se trata de un software peligroso?

Sí. La mayoría del software detectado hasta el momento por los expertos en seguridad de diferentes empresas de seguridad está llamado a recopilar información, entre la que se encuentran las credenciales de acceso a diferentes servicios.

Otro tipo de software está destinado a utilizar los recursos para propagar correos spam o minar criptomonedas mientras navegas.

¿Un software antivirus debería detectar la amenaza?

Los expertos en seguridad sostienen que sí. La inmensa mayoría de amenazas utilizadas son versiones antiguas y las herramientas de seguridad ya están preparadas para su detección y posterior eliminación. Está claro que para ello es necesario mantener la herramienta de seguridad actualizada de forma correcta.

Fuente: Bleeping Computer

MOZILLA. Cambia revisión de extensiones no revisadas manualmente.

Mozilla ha cambiado a un nuevo sistema de revisión de complementos de Firefox recientemente, lo que reduce el tiempo que tarda en publicar las extensiones en Mozilla AMO (la tienda oficial de Firefox add-ons). Los complementos de Firefox se analizan automáticamente cuando los desarrolladores los cargan y cuando los complementos pasan los controles, se publican en la página web.

Ajustar los complementos de Firefox

Los empleados y voluntarios de Mozilla continuarán revisando todos los complementos de Firefox y actualizaciones manualmente, pero eso sucede después de la publicación del complemento. Esto significa que hay un período de tiempo en el que los complementos están disponibles para su descarga e instalación, o actualización automática, en la que sólo han sido examinados por la automatización.

Un primer lote de complementos con secuencias de comandos de minería incluidas se detectó y se informó recientemente. Estos complementos estaban públicamente disponibles en Mozilla AMO, y desde entonces han sido eliminados por la compañía.

Los complementos en este caso revelaron la integración de scripts de minería en la descripción, y eso hizo que la detección fuera relativamente fácil.

El sistema de Mozilla sigue siendo mejor que el de Google Chrome. Esto es así ya que Google no revisa manualmente las extensiones de Chrome a menos que estén marcadas para su revisión.

La automatización no es suficiente

Los últimos años han demostrado que la automatización no es suficiente cuando se trata de proteger a los usuarios de Chrome de extensiones de navegador maliciosas, espías o de otro modo problemáticas. Parece probable, y las extensiones de script de minería parecen confirmarlo, que el sistema automatizado de Mozilla no será 100% a prueba de balas tampoco.

Incidentes como éste no pintan bien el nuevo sistema WebExtensions, considerando que se anunciaba como más seguro que el sistema anterior.

Para ajustar el sistema, según explican algunos expertos, lo que Mozilla debería de realizar es lo siguiente:

1. Mozilla necesita marcar las extensiones que no se han revisado manualmente.
2. Actualmente no hay distinción entre los complementos que se han revisado manualmente y los que se revisaron automáticamente hasta ese momento.
3. Firefox necesita una opción para bloquear actualizaciones de extensiones a menos que se hayan revisado manualmente.
4. Otras opciones que Mozilla puede considerar incluyen limitar la exposición de las extensiones que se han revisado automáticamente solamente o publicar listas de extensiones muy populares de los desarrolladores de confianza.

Hay que recordar que Mozilla Firefox va a dejar a un lado los complementos heredados y pasar a las WebExtensions. Como sabemos, se trata de uno de los navegadores más utilizados mundialmente. Está un escalón por debajo, eso sí, de Google Chrome. Con las nuevas mejoras y actualizaciones, desde Mozilla esperan que Firefox 57, que está previsto que salga en noviembre, pueda acercarse y ser más competitivo frente al navegador de Google.

Fuente: Ghacks

GOOGLE. Lanza las actualizaciones de seguridad de octubre de 2017 para Android

Con la llegada del mes de octubre, Google ha publicado sus nuevos parches de seguridad para Android, parches con los que la compañía va a solucionar un total de 14 vulnerabilidades en su sistema operativo, fallos de seguridad como los que vamos a ver a continuación.

Igual que en meses anteriores, Google ha dividido en dos los parches de seguridad de Android, parches que abarcan la mayoría de las versiones del sistema operativo, desde la 4.4.4, KitKat, hasta la nueva 8.0 Oreo, dos curiosos nombres para las dos versiones comerciales de este sistema operativo.

En la primera parte de los boletines de seguridad, disponibles desde el 1 de octubre de 2017, Google ha solucionado un total de 8 vulnerabilidades, 3 de las cuales eran críticas, 3 de peligrosidad alta y otras 3 de importancia media. De estas 8 vulnerabilidades, 6 corresponden al Media framework, 3 de las cuales son críticas y pueden permitir a un atacante aprovecharse de este componente para ejecutar código en cualquier dispositivo vulnerable sin permiso. De las 3 vulnerabilidades restantes, una es de peligrosidad alta y las otras dos medias.

Las dos vulnerabilidades restantes son de peligrosidad alta y se encuentran, por un lado, dentro del Framework del sistema, y la otra corresponde al sistema operativo como tal, concretamente al fallo de Dnsmasq del que hablamos ayer.

En la segunda parte de estos parches de seguridad, liberada hace pocas horas, Google ha solucionado un total de 6 vulnerabilidades, dos de las cuales son críticas y las 4 restantes de alta importancia. Estos fallos se encuentran, principalmente, en los controladores Qualcomm y MediaTek, así como en el Kernel de Android.

Podemos ver toda la información detallada sobre estas vulnerabilidades en el siguiente enlace.

Igual que siempre, estos parches de seguridad solo van a llegar a los usuarios de los dispositivos Nexus y algunos afortunados dentro de la gama alta, quedando la mayoría de los usuarios sin soporte. Por suerte, con Android 8.0 Oreo y el nuevo Project Treble, se espera que en los próximos meses esto cambie y, a partir de ahora, los parches de seguridad lleguen a todos los usuarios al depender de Google en vez hacerlo de los fabricantes.

Los dispositivos Nexus/Pixel también reciben su tanda de parches de Android específicos

Además de los parches que os hemos indicado anteriormente, y que llegarán a todos los usuarios de Android, Google también ha lanzado una serie de parches específicos para los dispositivos Nexus y Pixel con los que la compañía ha solucionado un total de 38 vulnerabilidades, 4 de las cuales eran críticas, en varias partes exclusivas de estos dispositivos, como el framework, Media framework, System, el Kernel y los chipsets Broadcom, HTC, Huawei, Motorola y Qualcomm (22 de los cuales estaban relacionados con los chips Wi-Fi de Qualcomm).

Igual que los otros, estos parches llegarán a todos los poseedores de un Nexus y Pixel, aún en soporte, para que los usuarios de estos dispositivos puedan utilizarlos de la forma más segura posible.

Fuente: Redes Zone.net

CLOUDFLARE. Bloquea los sitios web que minan criptomonedas sin permiso

Cloudflare es uno de los CDN más utilizados en todo el mundo. Dentro de esta nube se protegen todo tipo de páginas web, desde webs pequeñas, como puede ser cualquier blog personal, hasta grandes plataformas, como la conocida The Pirate Bay.

Gracias a este CDN, estas páginas se protegen de todo tipo de ataques informáticos, como los ataques DDOS al no ser capaces estos de sobrepasar los servidores del CDN. Sin embargo, también muchas webs utilizan esta plataforma para esconderse y hacer de las suyas, y esto es lo que intentan erradicar Cloudflare.

Si algo está de moda últimamente son las criptomonedas. Cada vez son más los usuarios que intentan sacar algo del dinero utilizando sus recursos de hardware para conseguir estas monedas y poder venderlas cuando alcancen un precio adecuado. Estas criptomonedas también han llamado la atención de los piratas informáticos, quienes han creado distintas aplicaciones maliciosas pensadas para aprovecharse de los recursos de sus víctimas para minar estas criptomonedas a su costa.

En el punto medio entre ambos extremos se encuentra una práctica que, por desgracia, está creciendo con fuerza por la red, y es que algunos administradores están optando por esconder en sus páginas script diseñados para minar criptomonedas como una alternativa a la publicidad de manera que, cuando el usuario visita la página, esta empieza a minar criptomonedas para el administrador.

The Pirate Bay ha sido la primera plataforma que ha empezado a experimentar con esta función, aunque, por desgracia, parece haber gustado a muchos administradores, tanto que hasta hemos podido verla en páginas web de cierto prestigio, como Showtime.

A los usuarios no les gusta que las páginas web minen criptomonedas a su costa sin permiso, lo que ha hecho crecer ciertas plataformas como, por ejemplo, Halt and Block Mining, un script que nos permite bloquear los dominios utilizados por estos scripts para minar criptomonedas, aunque no es la única aplicación diseñada para este fin.

Por suerte, algunas grandes plataformas de Internet también están a favor de los usuarios, como, por ejemplo, Cloudflare, quien ha sido claro con esta técnica para intentar atajarla de raíz cuanto antes.

Cloudflare ha sido claro: “los scripts que minan criptomonedas sin permiso son malware, y eso está en contra de los términos de servicio”

Desde hace algunas horas, los responsables de Cloudflare han empezado a bloquear páginas web que han empezado a utilizar esta práctica sin avisar a los usuarios asegurando que estos scripts ocultos son malware y, al ser páginas web con malware, deben salir del CDN al suponer esto una violación del servicio.

Los responsables de las webs bloqueadas han recurrido a Cloudflare para poder volver a entrar al CDN, y la compañía ha sido, de nuevo clara: podrán entrar de nuevo si avisan a los usuarios de la presencia de este tipo de scripts y les permiten desactivarlos, pero si se detecta una práctica similar de nuevo serán expulsados de forma definitiva.

Es de agradecer ver cómo alguna plataforma con cierto peso sobre la red, como Cloudflare, defiende a los usuarios de estas prácticas tan abusivas que, por desgracia, cada vez están teniendo una mayor presencia en la web. Habrá que ver cómo responden los administradores de las webs que utilizan estos scripts a las expulsiones del CDN y si finalmente sirve para reducir esta práctica.

Fuente: Torrentfreak

Un botnet DDoS de 2015 irrumpe en las últimas semanas

Un botnet DDoS descubierto por primera vez en 2015 ha aumentado la actividad durante el verano y es responsable de más de 900 ataques DDoS durante los últimos cuatro meses, el mayor de los cuales alcanzó 45 Gbps. Se le conoce como Flusihoc. 

El malware detrás de este botnet apunta a equipos con Windows y fue detectado por primera vez por Microsoft y otros proveedores de antivirus en 2015. Sin embargo, nuevas versiones han aparecido en forma regular, la más reciente el mes pasado.

Botnet DDos de 2015

Arbor Networks, una empresa que mantiene un ojo en el panorama DDoS, dice que ha habido una afluencia de nuevas versiones este año. Después de excavar en torno a la historia de la botnet ha encontrado más de 154 servidores de comando y control diferentes utilizados para administrar la infraestructura botnet. De ellos, 48 estaban todavía activos el mes pasado.

Los investigadores hallaron más de 500 diferentes versiones de Flusihoc. Todas ellas fueron detectadas en los últimos dos años y sugieren que el malware fue creado por un usuario con sede en China.

Además, los investigadores encontraron muchas cadenas de depuración que contienen palabras y caracteres chinos, mientras que muchos servidores de C & C y ataques de DDoS estaban basados en China.

“El análisis sugiere que esta botnet es parte de un servicio regional DDoS basado en la variedad de los objetivos”, dijo TJ Nelson, analista de Arbor Networks.

Mayor actividad de Flusihoc

No es ninguna sorpresa que Arbor haya notado una mayor actividad de Flusihoc. Las investigaciones publicadas hace dos meses por Cisco Talos relacionaron el aumento repentino de los servicios DDoS-for-hire (de alquiler) basados en China con la fuga de una plataforma booster de DDoS que los expertos creen que alguien tradujo al chino y ofreció en foros de hacking clandestinos chinos.

Los operadores del botnet Flusihoc podrían haber aumentado la actividad con la liberación de nuevas herramientas para mantenerse al día con la creciente competencia.

Arbour explica que detectó 909 ataques DDoS lanzados por Flusihoc desde junio de 2017, con una media de 14,66 ataques por día. Mientras que el mayor ataque alcanzó un máximo de 45,08 Gbps, el promedio de ataques fue de sólo 603,24 Mbps, lo cual es más que suficiente para reducir sitios web que no ejecutan un servicio de mitigación DDoS.

Este botnet DDoS, a pesar de estar lejos de otros más grandes, Flusihoc no es un mero malware amateur. Según un análisis del código Flusihoc, Arbor dice que los equipos infectados pueden lanzar nueve tipos de ataques DDoS diferentes, como SYN, UDP, ICMP, TCP, HTTP, DNS, CON y dos tipos de inundaciones CC.

Mayor capacidad

Además, a partir de abril de 2017, Flusihoc recibió la capacidad de descargar y ejecutar binarios de terceros. Mientras que este mecanismo se utiliza para auto-actualizar el bot Flusihoc DDoS, los operadores botnet pueden usarlo en cualquier momento para descargar otros tipos de malware en hosts infectados, tales como troyanos bancarios o ransomware.

Debido a los peligros crecientes que provienen de esta amenaza, Arbour ha lanzado hoy las reglas de YARA para que otros investigadores de seguridad puedan rastrear muestras recientes de Flusihoc y agregar reglas de detección para sus productos y redes internas.

Fuente: Bleeping Computer

SIOFRA. Software que permite analizar y detectar DLLs que han sido “secuestradas”

Un experto en seguridad ha desarrollado una herramienta que es capaz de analizar DLLs y determinar si han sido secuestradas. Ha sido bautizada con el nombre de Siofra.

Para llevar a cabo este ataque, los ciberdelincuentes concentran sobre todo sus esfuerzos en afectar a librerías que sean utilizadas por procesos que estén en ejecución, prefiriendo sobre todo aquellas que pertenece al sistema operativo Windows.

Forrest Williams ha sido el experto en seguridad encarga de desarrollar esta herramienta con una doble función. No solo permite analizar las DDLs en busca de aquellas que han sido secuestradas. También ofrece la posibilidad de saber cómo se puede llevar a cabo la explotación de la vulnerabilidad.

Siofra es una herramienta que ayuda a los dos bandos

O al menos es lo que parece a simple vista. El investigador ha informado sobre este aspecto para tratar de calmar las aguas. Son muchas las críticas que le han llovido, pero todo parece indicar que se trata de una solución radical. Microsoft esta importancia en muchas ocasiones a los fallos de seguridad que permiten el secuestro de las DLLs de sus sistemas operativos. De este modo, se verán obligados a tomar cartas en el asunto e involucrarse de una forma directa para poner punto y final a los problemas.

Podría decirse que el resultado es el mismo que cuando se publica el exploit o la forma de aprovecharse de una vulnerabilidad, buscando que la empresa afectada reaccione y ponga una solución sobre la mesa.

¿En qué consiste el “secuestro de DLLs?

Lo hemos mencionado en varias ocasiones, pero no hemos concretado en exceso. Para todos aquellos que no conozcan esta técnica de infección, se trata de una forma de instalar software malicioso en un dispositivo con sistema operativo Windows utilizando como alojamiento las librerías dinámicas existentes. Si a esto le sumamos que todas ellas serán utilizadas por un proceso autorizado en el sistema, nos encontramos con el escenario ideal para adquirir persistencia y ejecutar código con el nivel máximo de privilegios.

El investigador y desarrollador de la herramienta argumenta que no se está asistiendo a un crecimiento de estos ataques, sino al aumento de fallos de seguridad en estas librerías que no están encontrando solución alguna por parte de Microsoft.

Fuente: Security Week

SUPERCOMPUTACION. Los cúbits de Google CERCA de lograr la supremacía cuántica

La nueva investigación de la empresa demuestra un sistema estable de nueve cúbits con superposición cuántica por superconducción cuyos errores no aumentan exponencialmente. Si consiguen escalarlo a 49 cúbits, habrán logrado la supremacía del ordenador cuántico

La gran promesa de la computación cuántica es la posibilidad de realizar cálculos de una complejidad tal que no puede ser asumida por los ordenadores convencionales. Los físicos saben desde hace tiempo que un ordenador cuántico de sólo 50 cúbits podría derrotar incluso a las supercomputadoras más poderosas del mundo.

El investigador de la Universidad de California Santa Barbara (EEUU)  Charles Neill y el de Google Pedram Roushan, afirman que saben cómo lograr la supremacía cuántica, y han demostrado con éxito por primera vez una prueba de concepto de la máquina. Su trabajo plantea la posibilidad de que sólo falten unos meses para la primera demostración de la supremacía cuántica.

Primero algunos antecedentes. La gran ventaja de los cúbits sobre los bits ordinarios es que pueden existir en una superposición de estados. Así, mientras que un bit ordinario puede ser un 1 o un 0, un cúbit puede ser un 1 y 0 al mismo tiempo. Esto significa que dos cúbits pueden representar cuatro números al mismo tiempo, tres cúbits pueden representar ocho números, y, nueve cúbits, 512 números simultáneamente. En otras palabras, su capacidad aumenta exponencialmente.

Por eso no hacen falta muchos cúbits para superar a los ordenadores convencionales. Con sólo 50 cúbits se pueden representar 10.000.000.000.000.000 números. Una computadora clásica requeriría del orden de un petabyte de memoria para almacenar ese número.

Así que una manera de alcanzar la supremacía cuántica es crear un sistema que pueda soportar 49 cúbits en una superposición de estados. Este sistema no necesita realizar cálculos complejos, solo tiene que ser capaz de explorar de manera fiable el espacio completo de una superposición de 49 cúbits. Así que la meta de Neill y Roushan es crear una superposición de 49 cubits.

El trabajo que acaban de presentar es una demostración de prueba de concepto. Su enfoque es sencillo. Los cúbits son objetos cuánticos que pueden existir en dos estados al mismo tiempo, y hay muchas maneras de hacerlos. Por ejemplo: los fotones pueden ser polarizados tanto vertical como horizontalmente al mismo tiempo; los núcleos atómicos pueden girar con su eje hacia arriba y hacia abajo al mismo tiempo; los electrones pueden viajar a lo largo de dos trayectorias al mismo tiempo. Los físicos están experimentando con todos estos sistemas para la computación cuántica.

Pero Neill y Roushan han elegido otra ruta. 

Su sistema cuántico se basa en un cúbit superconductor. En esencia se trata de un bucle de metal enfriado a baja temperatura. Si se establece una corriente que fluya a través de este bucle, fluirá para siempre; un fenómeno cuántico conocido como superconductividad.

Esta naturaleza cuántica permite un pequeño truco: la corriente puede fluir en una dirección y en la otra al mismo tiempo. Y esto es lo que le permite actuar como un cúbit que puede representar simultáneamente un 0 y un 1.

La gran ventaja de los cúbits superconductores es que son relativamente fáciles de controlar y medir. También se pueden vincular entre ellos si se colocan varios bucles uno al lado del otro en un chip. Esta vinculación entre los vecinos es más difícil y requiere de otro truco. El flujo de corriente en una dirección u otra es sólo una configuración de baja energía. Pero es posible añadir más energía y otros estados. Son estos estados de energía superior los que pueden interactuar entre sí, creando superposiciones mayores. De esta manera, los bucles vecinos pueden compartir un mismo estado mucho más complejo.

El experimento de prueba de concepto que Neill, Roushan y sus colaboradores han logrado consiste en hacer un chip con nueve lazos vecinos y mostrar que los cúbits superconductores que soportan pueden representar 512 números simultáneamente.

No es ni de cerca el número de cúbits necesarios para la supremacía cuántica, pero el experimento parece sugerir que será posible.

El gran temor entre los físicos es que no son sólo los números, sino también los errores, los que aumentan exponencialmente en estos sistemas cuánticos. Si los errores aumentan con demasiada rapidez, inundarán el sistema, haciendo imposible la supremacía cuántica.

El resultado clave de este experimento es mostrar que los errores no escalan rápidamente en estos chips superconductores. En cambio, la investigación demuestra que los errores aumentan lentamente, de una manera que debería permitir la superposición significativa de hasta 60 cúbits. "Estos resultados proporcionan indicios prometedores de que la supremacía cuántica puede ser alcanzable con la tecnología existente", dicen los investigadores.

Es un trabajo interesante. Se sugiere claramente que la supremacía cuántica debería ser posible con un chip que tenga 50 bucles superconductores en lugar de sólo nueve. Hacer un chip de este tipo debería ser sencillo; de hecho, es difícil no pensar que el equipo no está trabajando ya en uno.

Con una salvedad importante. Un chip de 50 cúbits solo será posible si los errores continúan escalando tal y como demuestra la investigación. Y eso plantea una pregunta importante. El equipo afirma que los errores escalan a medida que el número de cúbits aumenta de cinco a nueve. Pero, ¿escalarán de la misma manera los errores según aumenten los cúbits de nueve a 50?

Si no lo hacen, la supremacía cuántica está aún muy lejos. Pero si lo logran, este equipo espera proclamar la supremacía cuántica en los próximos meses. Así que Neill, Roushan y su equipo estarán ahora mismo trabajando duro para responder esa pregunta. Esperamos poder contar sus resultados.

Fuente: MIT Technology Review