martes, 16 de diciembre de 2014

Y vuelta al "phising"

Estaba esta mañana leyendo en el blog de ontinet - noooo, no tiene nada que ver que hace un par de semanas conociera en Cybercamp 2014 a Josep Albors  y a Fernando de la Cuadra (grandísimos profesionales) - acerca de las últimas amenazas que corren por ahí, en concreto la de correos electrónicos supuestamente enviados por Correos cuando ¡zas! en "" el "inbox" me encuentro con uno de FedEx diciéndome que "el pasado día 12 no me pudieron entregar un paquete"... Y me adjuntan en un fichero comprimido la documentación necesaria para reclamarlo, supongo.

sábado, 8 de noviembre de 2014

Dos antivirus NO protegen más que uno...

Eso estaba intentando hacer comprender un compañero de bits a un usuario del S.O. Windows esta mañana. Todo ello debido a que el antivirus que tiene -de pago, legal y actualizado- no ha sido capaz de detectar una infección que se ha llevado por delante los tres ordenadores de la oficina.
Y, claro, "si el que tengo no ha funcionado, pongo otro más y estoy más seguro", pensaba él.

miércoles, 24 de septiembre de 2014

¿Seguimos con el WPS activado en nuestros routers domésticos?

Hace ya unos meses, allá por diciembre del año pasado, colgué una entrada en este blog sobre el problema de seguridad que representa tener la función WPS activada, algo que viene por defecto.
Y hoy ha llegado a mis manos un "log" con el resultado, que obviamente he ocultado, de un ataque realizado a un router doméstico, en este caso -que no es el único- de Vodafone:


20140923

ESSID: VodafonexxxX

Pin cracked in 4049 seconds
[+] WPS PIN: 'xxxxxx81'
[+] WPA PSK: 'XXXXXXXXXXXXXX'
[+] AP SSID: 'vodafonexxxX'

---
 Como podéis ver, toda la seguridad que nos ofrece una encriptación WPA con 14 caracteres alfanuméricos se va al traste por la debilidad de implantación del WPS. Y deja nuestra red WiFi "con el culo al aire", si me permitís la expresión.
Este resultado el de ejecutar el programa de testeo de seguridad Reaver, desde el que con la friolera de ¡¡cuatro!! líneas de comando a partir de una terminal se averigua logra. Y, a partir de aquí, el "malo" se entretuvo en entrar en la red, ejecutar un Nmap una vez dentro y ver cuántos hosts, cuántos equipos, estaban conectados... y alguna cosita más:


sábado, 6 de septiembre de 2014

¡Y mis fotos por ahí!

OMG! Mis fotos "sólo mías" están por todos lados...

Esta semana hemos tenido como noticia más mediática, en lo que a seguridad informática se refiere, el "robo" de fotos a famosas de muy buen ver en situaciones comprometidas. Vaya por delante que yo no las he visto ni, por supuesto, he sido el autor de la filtración, aunque no me importaría tener la capacidad de tamaña fechoría, dados los conocimientos que implica tener.

Pero vamos a lo nuestro, que no es lamentarnos de lo que no sabemos sino intentar extraer alguna ensañanza de ello.

Leyendo por aqui y por allí vimos que la culpa en primera instancia se la llevó Apple por una flagrante falla de seguridad en un servicio (find my iPhone) que permitió acceder a su sistema de almacenaje en la nube, iCloud, consistente en que las copias de seguridad de sus dispositivos se hacen sin cifrar, en claro. A lo que se añade que hasta hace poco no han adoptado la autenticación en dos pasos, algo así como una doble contraseña: la "normal" y otra que se genera en el momento en que queremos acceder al servicio y recibimos por un segundo medio (otra cuenta de correo electrónico, una aplicación en el móvil...) Pero esta segunda medida de seguridad no viene "de serie" sino que aunque está disponible hay que activarla sí o sí voluntariamente. Y, claro, eso es un "coñazo" que va en contra de la comodidad de pulsar un botón y que esté todo hecho. ¿Hablamos del almacenamiento en "la nube"? Porque si la doble autenticación nos supone un trabajo excesivo, el mero hecho de buscar un servicio que lo guarde cifrado es un "extra" al que no estamos dispuestos... ¡y no hablemos de cifrar el contenido y subirlo, ya encriptado, a un servidor tipo dropBox, Copy... ¡o Google Drive! sin ir más lejos. Trabajo para chinos, dicho sea con todo el respeto pero en lenguaje de la calle. Eso sólo lo hacen los frikis o los neuras.

martes, 1 de julio de 2014

De cómo nos instalamos el malware Selfmite en el teléfono móvil

Una de las últimas infecciones que llega a los móviles, el gusano SMS bautizado como “Selfmite”, hace un uso encadenado de varias técnicas para llegar a nuestros teléfonos inteligentes con Android.

Todo empieza cuando nos queremos descargar una aplicación, en este caso concreto“The Self-Timer” a la que llegamos haciendo clic en un hipervínculo acortado vía Google (goo.gl) para despertar menos sospechas y que nos muestra una página web con “instrucciones” para descargar e instalar la aplicación TheSelftimerV1.apk

Tan pronto la instalamos tenemos un icono en el menú para que no dejemos de ejecutarla inmediatamente, con lo que la aplicación accederá a nuestra lista de contactos en el teléfono y mandará un SMS a los veinte primeros “invitándolos”, en nuestro nombre, a probar la aplicación... Después se conecta a una página web que también está acortada con goo.gl y realiza otras tareas necesarias (instalar otra aplicación, visitar una página web) para que el creador de la infección cobre por terminal infectado.

Los detalles más técnicos los podéis encontrar aquí, que es de dónde he sacado la información, pero lo que a nosotros nos interesa de cara a prevenir infecciones es ver qué técnicas de engaño se usan:
  1. Se hace uso de direcciones url acortadas para dirigirnos a páginas maliciosas, donde además nos pueden infectar vía watering-hole
  2. La aplicación no se instala desde la tienda oficial de Google, sino que se instala vía paquete descargado y sin controlar. No es que las aplicaciones de la tienda oficial sean todas, todas, todas legítimas, pero sí hay un mayor control frente a la descarga vía fichero.apk
  3. Recibimos una invitación por SMS de uno de nuestros contactos instándonos a probar la aplicación en cuestión... Ingeniería social pura: ¿quién no se fía de sus amigos?


Si echamos cuentas, la infección se extendería de forma exponencial: 1, 20, 400... Sigue tú calculando los cuadrados de 20, que yo me pierdo con tanto cero. Afortunadamente esto no es así ya que un número elevado de los destinatarios del SMS lo borrarán, lo ignorarán e incluso su antivirus les protegerá al intentar la instalación...


Porque también tienen antivirus en el smartphone, como tú ¿verdad?

viernes, 6 de junio de 2014

El ¿fin? de Windows XP no termina de llegar...

El pasado día ocho de abril finalizó el soporte que Microsoft daba a Windows XP. Desde ese "fatídico" día los millones de usuarios que no han podido (bien por razones técnicas o económicas) o no han querido cambiar su sistema operativo tras más de una década juntos se encuentran desprotegidos frente a las amenazas que día a día van surgiendo. Pero no nos referimos sólo a los usuarios "normales", sino también a otros más específicos como pueden ser las Administraciones Públicas, la banca con sus miles de cajeros automáticos o nuestro propio negocio con su TPV, que corren XP bien como sistema operativo de escritorio o embebido como base para aplicaciones específicas.
En el caso de las grandes empresas, que no han querido o no han sabido reaccionar a tiempo, ha bastado con poner una sustanciosa cantidad de dinero encima de la mesa y Microsoft les liberará parches de seguridad, si bien de modo reactivo; es decir, pondrá remedio tras comprobarse la vulnerabilidad, lo que de modo castizo expresa el refrán de que "a burro muerto, cebada al rabo" que decía mi abuela.
Esto sentimos que nos afecta de un modo lejano, aunque no es así de ningún modo habida cuenta la cantidad de datos nuestros que maneja la Administración; pero ¿y en el caso de los TPV? Aquí parece que pinta un tanto mejor ya que aún siendo XP el sistema operativo que corre por debajo, desde Microsoft han decidido seguir dando soporte hasta dentro de unos años (¿2019 he leído por ahí?). Esto nos permite un par de cosas: primera, ganar algo de tiempo para que los comercios se puedan plantear un plan de renovación tecnológica mientras mantienen y amortizan su hardware actual; y segunda, totalmente desaconsejada por Microsoft -por supuesto-, que mediante una simple entrada en el registro de Windows tengamos acceso con nuestros XP "normales" a las actualizaciones que se seguirán liberando para los sistemas embebidos, que no olvidemos corren en máquinas conectadas a Internet.
¿Cómo se hace? te estarás preguntando. Pues asómate aquí, donde te explican cómo modificar el registro; pero no sin antes leer y pensarte lo que quieres hacer, como te advierten tanto Microsoft como en distintos blogs de empresas de antivirus, ya que esta treta no mantiene el sistema operativo seguro como si de actualizaciones específicas se trataran. ¡Avisado estás!
Y si quieres saber mi opinión... ¡duda razonable! Aún tengo un equipo "en producción" con WinXP, y tan pronto tenga un hueco pondré en práctica esta "treta" y os contaré...
Y tú ¿qué vas a hacer?  ¡Anímate a contármelo!
Un cordial saludo,
Pedro.

martes, 20 de mayo de 2014

El "virus de la policía" llega a los móviles

¿Os acordáis del famoso virus de la policía? Ese que te bloqueaba el ordenador con una llamativa pantalla de fondo amarillo y escudos de la Policía, Guardia Civil, FBI... acusándote de descargas ilegales o tenencia de pornografía infantil y te pedía 100 €/$ por desbloquearlo? 

Seguro que sí, ése de la "familia" Reveton que evolucionó a Cryptoware-Cryptolocker y pasó a encriptar los ficheros más valiosos para el usuario: imágenes, vídeos, documentos de texto, pdf... con una clave de cifra asimétrica. En ambos casos el pago del rescate no aseguraba la recuperación del equipo, al margen de dejarnos con la sospecha de qué más nos habrían metido.

La penúltima versión, hasta donde yo sé -que no es mucho, todo sea dicho- mientras dejaba bloqueado el ordenador para nuestro uso lo hacía trabajar en segundo plano como minero de bitcoins: tal vez no cobraran por el rescate, pero mientras les ayudaba a generar bitcoins dentro de una red de ordenadores zombies.

Ahora, la última versión, ha saltado a los teléfonos móviles con nuestro querido Android, y somos nuevamente nosotros quienes lo instalamos de modo inconsciente: nos requieren instalar un reproductor de vídeo y nos ofrecen su descarga... Obviamente se trata de una descarga que no se hace desde la Google Play Store, y que en función de la configuración de nuestro terminal móvil adapta el contenido del "aviso" e imágenes al idioma y país del equipo.

martes, 15 de abril de 2014

Heartbleed: el corazón "partío" de OpenSSL

Heartbleed: ¿qué es? Pero para profanos...
Dicho muy rápidamente: una vulnerabilidad en el código de OpenSSL, el mecanismo open source encargado de mantener seguras las comunicaciones entre cliente y servidor (entre máquinas) que permitiría la extracción de información contenida en los servidores web sin dejar rastro alguno.
Y eso de OpenSSL... Es el mecanismo que se encarga de encriptar y mantener cifradas las comunicaciones entre, por ejemplo, nuestro ordenador y alguno de los servicios de correo web o de almacenamiento en línea afectados (y ya solucionado, afortunadamente).
Cuando nos logueamos en nuestra cuenta de correo web habremos visto como en la barra de direcciones nos aparece la "s" tras el archiconocido "http", lo que nos aseguraba unas comunicaciones cifradas por medio del https. Y así es: lo que nosotros enviamos al servidor (usuario y contraseña) se encripta con su clave pública y viaja cifrado e ininteligible. Al llegar el paquete de datos al servidor se desencripta usando la clave privada que sólo conoce el propio servidor. Y al verificarse la correspondencia usuario-contraseña se autoriza el resto de comunicaciones, el servidor te "abre" la puerta del correo en nuestro ejemplo. Y para el resto de comunicaciones se emplea ya una clave simétrica.
Pero, claro, no nos limitamos a entrar y salir de la aplicación de correo web sino que permanecemos un tiempo conectados. Durante este lapso de tiempo el servidor comprueba periódicamente si el cliente (nosotros) aún estamos conectados mediante mensajes de comprobación que asimilan latidos del corazón (heartbeats):

martes, 1 de abril de 2014

DNS seguros para la navegación por Internet de los niños

En la anterior entrada del blog hablaba del secuestro del DNS de Google en la dirección IP 8.8.8.8, y en como ese secuestro lo que hacía era devolver una dirección equivocada a las peticiones de resolución de URL. Esa dirección equivocada pudiera haber sido un sitio con malware dispuesto a infectar cualquier equipo cuyo navegador abriera la página (via drive-by download), o un sitio con contenido inadecuado para nuestros niños.

sábado, 22 de marzo de 2014

Adiós, Windows XP...

Ahora sí que sí. Acabo de encender el equipo y me encuentro con el iconito amarillo de las sempiternas actualizaciones de Windows... Fiel a la costumbre de intentar no hacer clic y siguiente, siguiente, siguiente miro a ver cuáles son las que tocan hoy... ¡Y mi sorpresa es lo suficientemente notable como para animarme a hacer esta entrada en el blog con la foto de lo que me ha sorprendido!




Ahí es nada: la confirmación "oficial" e inapelable de que esta vez sí que sí: Win XP dejará de tener soporte técnico, es decir, dejarán de publicarse parches de seguridad para el sistema operativo.

Llegados a este punto es un buen momento para empezar a pensar seriamente en pasarse a GNU/Linux si quieres seguir manteniendo el equipo, ya que los agujeros de seguridad se van a producir al mismo ritmo que la publicación de las actualizaciones de seguridad para Windows 7 y Windows 8, según os conté aquí hace unas fechas.

¿Te lo he dicho? A pesar de lo que escribo en la primera línea, que es verdad, uso Ubuntu como S.O. por defecto.

martes, 18 de marzo de 2014

DNS 8.8.8.8 de Google ¡secuestrado!

El pasado día 15 de marzo el servidor de DNS de Google (8.8.8.8/32) fue "secuestrado"(hijacked) durante 22 minutos.
¡Menuda tontería! ¿Y a mí que me importa? pensarán algunos cuando se enteren, ya a toro pasado, que se **** Google. ¡Pues no!
En primer lugar estamos hablando de un servicio gratuito que se presta a la comunidad para que desde nuestros ordenadores podamos alcanzar cualquier página web que queramos visitar; y en segundo lugar ese secuestro, con una redirección a sitios de internet que no son los "originales" nos puede acarrear una serie de consecuencias indeseables como, por ejemplo, que acabemos en páginas que por el mero hecho de ser mostradas en nuestro navegador nos hayan, ya, infectado el ordenador (watering hole, drive-by downloads)

domingo, 9 de marzo de 2014

Snake = Uroburos + Turla + ?

¿Os acordáis de que hace un tiempo hablábamos de Stuxnet, Duqu y Flame? Que era un malware de diseño salido de algún laboratorio de inteligencia de algún gobierno (¿Israel?¿Estados Unidos?) con la intención de acabar o, al menos, retrasar el programa nuclear iraní... Y que además, por afectar a sistemas Scada, nos afecta directamente ya que esos sistemas igual controlan a que piso va un ascensor como cuando y cuanto abrir las compuertas de un embalse...
Pues ahora investigadores de una empresa británica llamada BAE Systems han desvelado la existencia de un nuevo "kit" que ha permanecido oculto durante los últimos ocho años, y cuyo objetivo han sido -y están siendo- sistemas informáticos fuertemente protegidos, especialmente gubernamentales.

miércoles, 29 de enero de 2014

Ingeniería social: crackeando el sentido común

Caro amigo:
Debido a la inactividad de su cuenta de hotmail…
---
Estoy desesperado y necesito tu ayuda. Estoy de viaje en (cualquier lugar) y me han robado el equipaje y el teléfono móvil. Necesito dinero para pagar el hotel y el billete de vuelta. ¿Puedes enviarme XXXXX€ a la siguiente dirección:
Tu-propio-nombre
OFicina de Western Union
Calle tal, número cual. Ciudad. Código postal
País (en el que se supone estás de vacaciones)
Te lo devolveré tan pronto como vuelva, pero mientras tanto mantenlo en secreto por favor
¿Te suenan? ¿La primera?¿La segunda?¿¡Las dos!? Pues están relacionadas, muy relacionadas; tanto, que la segunda es la prueba fehaciente de que tu “gafado” amigo ha perdido el control de su cuenta de correo… ¡por contestar a la primera!

martes, 14 de enero de 2014

Objetivo: TPV- POS. Malware roba los datos de pago con tarjeta de las cajas registradoras de los comercios.


Las tarjetas de crédito, o más bien sus números y titular, son un bien muy preciado y que se cotiza en el mundo del ciber-crimen. De ahí que estemos sobre avisados para no perder de vista nuestra tarjeta cuando paguemos con ella en según que lugares o comercios, ni usarla para hacer pagos en Internet si el sitio no es de confianza... Para eso tenemos tarjetas de crédito virtuales y de pre-pago o pagamos con dinero en efectivo, pero ¿quien va a sospechar de una charcutería? ¿o de un establecimiento que pertenece a una cadena extendida a lo largo y ancho del país?
Pues durante el pasado año se ha visto comprometida la seguridad de los TPV (Terminal de Punto de Venta), especialmente en fechas festivas durante las que el número de ventas se incrementa significativamente, y con ellas los números de cuenta de miles de tarjetas de débito y de crédito de clientes de distintos establecimientos.

domingo, 5 de enero de 2014

Windows XP nos abandonará el próximo 8 de abril

No, no es que el sistema operativo vaya a desaparecer de todos los equipos en que corre, sino que Microsoft dejará de prestar soporte técnico y no habrá actualizaciones de seguridad, ni parches… ni nada de nada.
Ya, puedes estar pensando, pero a mí no me afecta, me da igual… Pues lo cierto es que sí te afecta y no debería darte igual, ya que los “malos” tendrán una ventaja que no podremos superar.