Malware logra eludir (de nuevo) el sistema Bouncer de Google Play

julio 31, 2012 § Deja un comentario

Investigadores demuestran (otra vez) que Google Bouncer, el sistema automatizado para detectar aplicaciones maliciosas o malware antes de que llegue a la tienda de aplicaciones de Google, puede eludirse de una forma sencilla. Esta aproximación es diferente a la ya conocida publicada en junio.

Google Bouncer es un sistema de escaneo automático de aplicaciones, que fue lanzado en febrero de 2012. Simula la ejecución de las aplicaciones en un dispositivo Android con el objetivo de detectar malware y evitar que sea publicado en Google Play.

Unos meses después de su lanzamiento, en junio, Jon Oberheide y Charlie Miller descubrieron que Bounce utiliza un entorno virtual QEMU y que todas las solicitudes de Google procedían de un bloque de IPs específico. Los investigadores crearon y enviaron falsas aplicaciones a Google Play que se dedicaron a registrar los procesos del sistema y lanzar una conexión reversa a sus propios servidores. Así demostraron varios puntos débiles, que pueden ser aprovechados fácilmente por los desarrolladores de código malicioso, implementando aplicaciones que se comporten como legítimas cuando detecten ese entorno virtual específico.

En este contexto, los investigadores de la empresa de seguridad Trustwave han explicado en la conferencia de seguridad Black Hat en Las Vegas que es posible eludir el sistema Bouncer con una aplicación maliciosa, pero con otros métodos. Nicolas Percoco y Sean Schulte han desarrollado SMS Bloxor [PDF del paper], una aplicación para bloquear los mensajes de texto procedentes de determinados números de teléfono… pero que además roba datos personales tales como fotos, mensajes de texto, contactos, registros de llamadas, e incluso puede realizar ataques de denegación de servicio.

Para conseguirlo, no activaban el comportamiento malicioso de la aplicación cada vez que detectaba que estaba siendo analizada por Bouncer. Pero además, han ideado un puente JavaScript, una solución legítima que permite a los desarrolladores añadir nuevas características de forma remota a aplicaciones que ya han sido aceptadas. Así, logran evitar volver a pasar por el proceso de aprobación de nuevo, aunque la aplicación se haya actualizado.

Percoco y Schulte pudieron publicar en Google Play siete versiones de su aplicación durante dos semanas, cada cual con más funcionalidades maliciosas, antes de que Bouncer la detectara como malware. SMS Bloxor fue retirado de la tienda después de que subieran una versión que enviaba continuamente todos los datos de un dispositivo a los creadores de la aplicación. Para evitar que los usuarios de descargaran la aplicación durante el periodo que se prolongó el experimento, SMS Block se puso a un precio prohibitivo de casi 50 dólares.

Google ha sido informado de los resultados de esta investigación para que pueda realizar cambios y mejorar la seguridad de Google Play.

Fuente: Hispasec

ISO 29110: Calidad en el desarrollo de software para PyMEs

julio 31, 2012 § Deja un comentario

La actividad económica desarrollada por la industria del software está tomando cada vez más importancia a nivel mundial. La cantidad de empresas dedicadas al desarrollo software está experimentado un fuerte crecimiento, en línea con el incremento de la demanda de productos del sector. Según los últimos datos publicados en (INTECO, 2008), el sector del desarrollo de software español ha experimentado un alza del 8% en 2006 para situarse en unas cifras de facturación global de cerca de 1.600 millones de facturación.

La citada industria del software está formada principalmente por PyMEs (pequeña y medianas empresas) y micro PyMEs (PyMEs de aproximadamente 20 empleados), las cuales suponen el mayor porcentaje de empresas dentro del sector (Fayad, Laitinen, & Ward, 2000). Y en este tipo de empresas la calidad del software tiene un papel fundamental, por su repercusión en los costes finales, como elemento diferenciador de la competencia y de imagen frente a sus clientes. Estudios como (Pino, Garcia, & Piattini, 2006), muestran que estas empresas desean mejorar la calidad de sus procesos software, implicando así la mejora de sus productos, implementando modelos de mejora de procesos.

Entre los múltiples modelos de mejora de procesos que en la actualidad son un referente para la mejora de la calidad, CMMI-DEV (SEI, 2006), ISO 12207 (ISO, 2007), ISO 15504 (ISO, 2004) e ISO 9001 (ISO, 2000) se han convertido en los de mayor uso en la industria. Pero numerosos estudios y encuestas como (Hareton, & Terence, 2001); (Saiedian, & Carr, 1997); (Staples, Niazi, Jeffery, Abrahams, Byatt, & Murphy, 2007), confirman que dichos modelos están orientados a grandes organizaciones y no abordan las necesidades de las pequeñas empresas, donde la aplicación de estos resulta costosa en términos económicos y de esfuerzo, ya que requieren una gran inversión en dinero, tiempo y recursos, sus recomendaciones son complejas de aplicar y el retorno de la inversión se produce a muy largo plazo.

No obstante estas iniciativas si bien suponen un importante paso en la creación de modelos para PyMEs adolecen de su carácter regional, dónde se echa en falta iniciativas de carácter internacional y avaladas por grandes organismos. En esta línea y para apoyar a la pequeña empresa, ISO ha creado el grupo de trabajo denominado SC7-WG24 con el objetivo de que sus estándares para la mejora de procesos software sean más accesibles a este tipo de empresas. Este grupo de trabajo está estableciendo un marco común para describir perfiles (conjunto de procesos para ayudar a aplicar una norma ISO) evaluables del ciclo de vida software de uso en las pequeñas empresas.

Si bien el trabajo de dicho grupo continúa, ya se han desarrollado un conjunto de informes técnicos que serán la base sobre la cual se estructurará el futuro estándar ISO para la mejora de procesos en pequeñas empresas: el ISO/IEC 29110 for VSE (Very Small Enterprise). En la siguiente sección, se presenta una visión general de los informes técnicos referentes a ISO/IEC 29110.

Los perfiles se definen con el propósito de empaquetar referencias a y/o partes de otros documentos de manera formal, con el fin de adaptarlos a las necesidades y características de las VSE. Preparar un perfil implica producir dos tipos de documentos:

  • Marco de trabajo y taxonomía (TR29110-2): Especifica los elementos comunes a todos los perfiles (estructura, conformidad, evaluación) e introduce la taxonomía (catálogo) de los perfiles ISO/IEC 29110.
  • Especificaciones de perfil (TR29110-4): Proporciona la composición definitiva de un perfil, los enlaces normativos al subconjunto normativo de estándares usados en el perfil, y los enlaces informativos (referencias) a documentos de “entrada”. Para cada perfil existe un documento de este tipo.Un ejemplo de una especificación de perfil es el documento 29110-4.1 (Especificación– Perfil Básico). Su objetivo es definir una guía de gestión de proyectos y desarrollo desoftware, adaptada a las necesidades de las VSE, para un subconjunto de procesos de ISO/IEC 12207.

Cada vez más se está comprobando que la aplicación de grandes modelos de mejora de procesos (CMMI, ISO 15504, etc.) no se adapta bien a PyMEs, y de ahi la necesidad de adecuar los modelos actuales al tamaño y necesidades de este tipo de empresas. Los objetivos que ISO pretende alcanzar con la creación del estándar internacional ISO/IEC 29110 abordarían el problema que rodea a las pequeñas empresas del sector del desarrollo software en la implementación de los modelos de mejora de proceso actuales. Este estándar puede ser la solución a multitud de pequeñas empresas, ya que el propósito del mismo es, como se ha expuesto anteriormente, hacer las normas actuales de ingeniería del software más accesibles a este tipo de empresas, adaptándolas a su tamaño y necesidades de negocio, lo cual es importante para su supervivencia en los mercados y para lograr competitividad, enfrentándose a problemas como la globalización creciente de los mercados y los cambios tecnológicos que se están produciendo.

Fuente: Soft Develop Standard

Rusia: ley de ‘listas negras’ de portales

julio 31, 2012 § Deja un comentario

Una controvertida ley rusa sobre “listas negras” de portales internet entró en vigencia el lunes, con el objetivo anunciado de proteger a los menores de edad contra “informaciones peligrosas”, aun cuando muchos observadores temen que ese texto sirva para censurar a los internautas.

La ley, promulgada el sábado por el presidente ruso Vladimir Putin y publicada el lunes en el Diario Oficial, prevé la creación de un registro federal que reglamente la actividad de los sitios internet que contengan informaciones prohibidas por la ley, obligando a sus propietarios o a los proveedores de acceso a cerrarlos.

Aprobada a mediados de julio por el Parlamento ruso, esta ley busca reprimir los portales que difunden pornografía de carácter pedófilo, así como los que promueven el consumo de drogas o dan consejos para suicidarse, pero muchos observadores sospechan que las autoridades quieren censurar el internet en Rusia.

En menos de tres meses, Vladimir Putin, que retornó en mayo al Kremlin, ha reforzado el control sobre la sociedad civil rusa, tras un inédito movimiento de impugnación, con la adopción de una serie de leyes calificadas de represivas por la oposición.

Fuente: Te interesa

Lanzan herramienta para romper PPTP y WPA2 #Blackhat

julio 31, 2012 § Deja un comentario

En Defcon, el investigador de seguridad Moxie Marlinspike ha lanzado una herramienta para romper el cifrado de cualquier PPTP (Point-to-Point Tunneling Protocol) y WPA2-Enterprise (Wireless Protected Access) siempre y cuando se que utilicen autenticación MS-CHAPv2.

MS-CHAPv2 (Wikipedia) es un protocolo de autenticación creado por Microsoft y se introdujo en Windows NT 4.0 SP4 y comúnmente es utilizado por pequeñas y medianas empresas. A pesar de su edad, todavía se utiliza como mecanismo de autenticación primaria por la mayoría de las VPN sobre PPTP.

MS-CHAPv2 ha sido conocido por ser vulnerable a ataques de fuerza bruta basadas en diccionario ​​desde 1999, cuando un criptoanálisis del protocolo fue publicado por el criptógrafo Bruce Schneier y otros investigadores.

Ahora Moxie Marlinspike desarrolló ChapCrack, que puede capturar el tráfico de red al momento del handshake de PPTP y WPA2 y reducir la seguridad de este “saludo” a una clave DES (Data Encryption Standard).

Esta clave DES puede ser sometida a CloudCracker.com, un servicio comercial para romper contraseñas en línea, desarrollado por David Hulton de Informática de Pico Computing, y desde donde se puede descifrar en menos de un día.

Los consejos apuntan a dejar de usar PPTP y cambiar a otras tecnologías como IPSec o OpenVPN. Las empresas con redes inalámbricas que utilizan seguridad WPA2 Enterprise con autenticación de MS-CHAPv2 también deben comenzar a utilizar otro protocolo.

Fuente: Networkworld

La Policía londinense perdió las llaves de Wimbledon

julio 31, 2012 § 1 comentario

La policía de Londres perdió un juego de llaves del estadio de Wembley, una de las sedes olímpicas, por lo que hubo que cambiar de urgencia todas las cerraduras antes que comiencen las competencias.

El hecho ocurrió la semana pasada pero fue revelado este lunes por el diario Daily Mail en su tapa, donde agregan que el reemplazo del sistema de cerraduras láser pudo costar hasta 63 mil dólares.

Scotland Yard aclaró que no se trató de un robo y negó que haya un fallo en la estricta seguridad que rodea los Juegos Olímpicos.

Sin embargo, inició una investigación interna para determinar cómo pudieron perder las llaves, el pasado 24 de julio, tan sólo tres días antes de la ceremonia inaugural.

La sede será escenario también de los partidos decisivos por las medallas tanto para mujeres como hombres.

Fuente: Ambito

Presentan virus que infecta firmware de PC #BlackHat

julio 30, 2012 § Deja un comentario

Muchos estábamos en cierto modo preocupados por los virus convencionales, aquellos que se cuelan en nuestro ordenador e infectan nuestro sistema operativo. Puede que eso dentro de no mucho quede obsoleto y los virus acaben infectando el firmware de los dispositivos que forman parte de nuestro PC. Así lo ha demostrado Jonathan Brossard, investigador de seguridad, durante las conferencias Black Hat y Defcon.

Rakshasa [PDF con la investigación], que así se llama el invento, infectaría la BIOS del ordenador. No es el primero que hace esto; no obstante el ingenio viene en el modo en el que permanecería persistente en el sistema. Además de infectar la BIOS infectaría el firmware de los dispositivos conectados al sistema, como unidades de CD/DVD, tarjetas PCI, e incluso adaptadores de red (que recibirían un software adicional, luego explico para qué).

La cuestión es que para limpiar esta infección no sólo sería necesario reflashear la BIOS de la placa base: habría que reflashear todos y cada uno de los componentes del sistema, y en algunos casos son necesarias herramientas software/hardware específicas. De no hacer así, el malware de la unidad de CD (por poner el caso) podría reflashear la BIOS. Y para reflashear la BIOS del sistema puede no ser necesario acceso físico a la máquina: todos conocemos herramientas software que se encargan de ello.

Otro detalle interesante es que el software insertado en el firmware de la tarjeta de red tiene capacidad de realizar un arranque desde software obtenido vía red local: la versión modificada de iPXE sería capaz de cargar un bootkit (malware que arranca antes que el sistema operativo y, por tanto, antes que la mayoría de productos de seguridad). En lugar de insertar el malware en el MBR se descargaría cada vez que se encendiera el ordenador, dificultando su detección limpieza. Y no se toca un sólo byte del sistema de archivos.

Y lo más interesante de todo: una vez el bootkit realiza su función puede borrarse de la memoria RAM del sistema, de manera que un análisis en caliente tampoco serviría para detectarlo. Lo más interesante de esta clase de malware, realmente, es que es extremadamente complicado detectarlo: los productos convencionales no están diseñados (y por tanto no son efectivos) para este tipo de amenazas. Quizá las empresas de seguridad deban plantearse construir nuevos métodos para proteger nuestros sistemas.

Este malware ha sido construido en su totalidad mediante herramientas libremente disponibles en la red, open source, y por suerte no ha sido hecho público y viene a complementar el Rootkit para Mac que se presentó ayer.

Fuente: Genbeta

Primera plataforma de seguridad integral presentada en #BlackHat

julio 30, 2012 § Deja un comentario

AccessData ha aprovechado BlackHat para lanzar su Cyber Intelligence & Response Technology (CIRT 2), una plataforma que integra la redes, equipos forenses, análisis de malware a gran escala, auditoria de datos y equipos de remediación.

Tradicionalmente, las organizaciones se basan en una serie de herramientas dispares para mantener la seguridad de la información y dar respuesta a los incidentes.

A menudo hay varios equipos se centran en pequeños aspectos: un equipo de análisis forenses, un equipo de seguridad de red, un equipo de auditoría y pueden o no colaborar de forma rutinaria.

Estas brechas en tecnologías y procesos hacen que sea difícil para una organización identificar rápidamente cuando existe una fuga o violaciones de seguridad. Hoy en día, cuando una organización descubre que se ha visto comprometida, a menudo es por accidente, y por lo general mucho tiempo después de que se haya producido un daño generalizado. CIRT 2 está diseñado para proporcionar una visibilidad de 360 ​​grados de lo que está sucediendo en la red, para acelerar la detección, analizar la causa raíz y las posibles remediaciones

A partir de una correlación de eventos, redes y datos CIRT ofrece a las organizaciones la capacidad de identificar y abordar todo tipo de amenazas, incluyendo eventos de 0-day, hacking, y amenazas persistentes avanzadas (APT).

Fuente: Net-Security

¿Dónde estoy?

Actualmente estás viendo los archivos para julio, 2012 en Seguridad Informática.