Los ataques en Internet aumentaron en un tercio [Symantec]

noviembre 14, 2013 § Deja un comentario

La empresa Symantec ha publicado dos libros blancos de seguridad correspondientes a “guías sobre protección de sitios web” y “cómo funciona el software malicioso”.

La guía de cómo funciona el malware [PDF] dice que casi un cuarto de los responsables informáticos no saben hasta qué punto es seguro su sitio web.

Sin embargo, y dado que la cantidad de ataques bloqueados al día ha pasado de 190.370 en 2011 a 247.350 en 2012, resulta fundamental que las empresas sepan qué papel desempeña su sitio web en la distribución de software malicioso entre sus clientes y el resto de la comunidad web.

El software malicioso puede tener distintos fines: registrar pulsaciones de teclas, filtrar datos, bloquear dispositivos o usar sistemas infectados para propagar el software malicioso entre más víctimas. Como propietario de un sitio web, no solo tiene la obligación de proteger su negocio y a sus clientes, sino también de garantizar la seguridad en Internet. Piense en el efecto que tendría en su negocio que su sitio web se convirtiera en un foco de infección.

En 2012, los ataques perpetrados a través de Internet aumentaron en un tercio. En muchos casos, las víctimas fueron precisamente pequeñas empresas cuyos sitios web sufrieron un ataque, pero el agravamiento de este fenómeno aumenta el riesgo de infección para todos.

Cristian de la Redacción de Segu-Info

Anuncios

#Macrumors "pierde" 860.000 cuentas (con MD5)

noviembre 13, 2013 § 1 comentario

El foro del sitio de noticias, información y rumores sobre MAC, MacRumors ha sido atacado y se han comprometido 860.106 cuentas de usuarios, los cuales eran mantenidos en una versión sin actualizar de vBulletin.

Los mensajes de correo electrónico y los hash MD5 de las contraseñas fueron potencialmente comprometidos por lo que se sugiere a los usuarios cambiar sus contraseñas inmediatamente en Macrumors y en todos los otros lugares donde la hayan utilizado.

Utilizar MD5 con o sin sal es un medio insuficiente para proteger contraseñas almacenadas. Incluso en 2012, el autor original del algoritmo de hash MD5 ha declarado públicamente que ya no se considera seguro para usar en sitios web comerciales.

El propietario de Macrumors , Arnold Kim, se disculpó por la intrusión y dijo que esto ocurrió porque se obtuvo acceso a una cuenta de moderador, que luego permitió escalar privilegios con el objetivo de robar las credenciales de inicio de sesión de los usuarios. Al parecer, se utilizó un método similar al utilizado en los foros de Ubuntu en julio, donde los atacantes habían accedido a la base de datos de 1,82 millones de miembros registrados.

Aún no hay novedades de si la base comprometida esté circulando en Internet.

Actualización: los atacantes han dejado un post en Macrumors con la descripción de lo que hicieron y cómo lo hicieron.

Cristian de la Redacción de Segu-Info

#badBIOS: aclaraciones sobre hipótesis, teorías y fantasías

noviembre 12, 2013 § 1 comentario

Se ha hablado bastante en los últimos días sobre un “misterioso” malware apodado badBIOS por el investigador Dragos Ruiu que lo ha encontrado y ha estado estudiando desde hace tres años (?!).

“Misterioso” porque el investigador no ha dado a conocer siquiera un borrador de documento de la investigación ni muestras completas.
Los primeros datos sobre el malware surgen principalmente a partir de una nota que describe con pocas pruebas y muchas hipótesis los múltiples poderes de este fantástico malware. Incluso otro profesional, Rob Graham, explica, según el propio Dragos mejor que él, algunas teorías sobre las hipótesis que Dragos ha planteado sobre el funcionamiento y características de este malware.

Para empeorar las cosas algunos han planteado, sin mayor información, comparaciones con obras de ingeniería como Stuxnet, con lo que han alimentado el torrente de comentarios y titulares sin bases al respecto.

Por suerte David García de Hispasec ha explicado de forma clara y concreta lo que hasta ahora se sabe por cierto (poco) y lo mucho que aun no se sabe, llamando a esperar antes de sacar conclusiones. Lectura recomendada en nuestro idioma y de un especialista.

De todos modos algunas cosas se pueden aclarar.

¿Es cierto que badBIOS tiene capacidades de infectar a equipos no conectados eléctricamente mediante ondas de sonido?

Este punto ha sido inicialmente mal explicado por el investigador y los columnistas. Tal capacidad de infectar mediante solo las vibraciones del aire (sonido) y sin conexión eléctrica, no existe ni es posible. Phillip R. Jaenke explica varios detalles sobre la imposibilidad de esa ridícula afirmación.
Dragos Ruiu dice taxativamente que no tiene evidencia que eso suceda. Solo que parece ser un medio de comunicación entre equipos ya infectados.
Es obvio que si un equipo no tiene un programa escuchando y preparado para interpretar un protocolo de comunicación, es imposible que ingrese un solo bit por los sonidos que detecte el micrófono.

¿Es cierto que badBIOS puede infectar y correr en BIOS de distintos motherboards, que el código es portable?

Este punto ha sido refutado con pleno conocimiento por el especialista Phillip R. Jaenke, dedicado exclusivamente a la codificación de BIOS por muchos años. Escribe y refuta todo el análisis en su nota “El análisis de badbios está profundamente equivocado” . Incluso Dragos Ruiu cita esa nota y no lo refuta, es más, dice que provee información útil.

¿Es cierto que badBIOS es indetectable en la BIOS?

Phillip R. Jaenke explica que eso sencillamente no es posible. Que es capaz de detectar al instante cualquier código extraño en el BIOS y detalla como.

¿Pero se han publicado muestra de BIOS “infectado”?

El investigador Igor Skochinsky, quien publicó “Rootkit in your laptop” en la conferencia Breakpoint 2012, dice que “he analizado el vuelco de memoria BIOS que se ha publicado y no encontré nada sospechoso. Y a diferencia de mucha gente que ha retwiteado esta historia, sé de lo que estoy hablando.

¿Es cierto que badBIOS puede propagarse desde una memoria USB a otro equipo solo por conectarla, sin siquiera montarla?

Dragos Ruiu cree que el malware se propaga a través de memorias USB, pero esto aun no se ha confirmado. Dijo que “perdió uno de sus equipos limpios sencillamente conectado en este una memoria USB que estuvo en los equipos infectados.”. De todos modos no hay pruebas ni descripción apropiada del supuesto mecanismo de propagación por esta vía. Solo especulaciones.

¿Es cierto que badBIOS puede infectar equipos distintos gracias a los BIOS UEFI?

Nuevamente Phillip R. Jaenke explica y se ríe de tan equivocada afirmación.

¿Está suelto en circulación badBIOS?

No se sabe, nadie lo ha reportado. De hecho no se ha publicado código alguno para identificarlo, ni se sabe nada de su vector de propagación. Tal es el grado de desconocimiento en concreto hasta el momento sobre este malware.

Conclusiones

A diferencia de otros casos esta investigación se realiza en forma privada por un solo especialista. Dragos Ruiu admite que si bien algunos colegas lo han ayudado en su investigación, esta no ha sido revisada o verificada por otros expertos.

Cuando las investigaciones las realizan los laboratorios de empresas antivirus o de universidades, se dan a conocer muestras, comportamiento, firmas del código, explicación del funcionamiento y otros datos relevantes. Se sigue una metodología y se pueden ir dejando asentados los hechos y sus explicaciones.

Para el lector interesado hay algunas compilaciones de las fuentes original de información:
http://www.securityartwork.es/2013/10/30/badbios-2/
https://kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/

Y un análisis de otro profesional de una firma antivirus que concluye que no hay motivo por el cual alarmarse al respecto de esta historia:
http://nakedsecurity.sophos.com/2013/11/01/the-badbios-virus-that-jumps-airgaps-and-takes-over-your-firmware-whats-the-story/

Personalmente creo que esta historia ha sido sobrevalorada solo por haber sido relatada en Ars Technica y por el vacío de datos y hechos comprobados sumados a especulaciones no verificadas que dieron lugar a cientos de comentarios, donde se perdió de vista el bosque.

Otras fuentes:
http://www.iamit.org/blog/2013/11/on-badbios-and-bad-behavior/
http://threatpost.com/dragos-ruiu-on-the-badbios-saga

Raúl de la Redacción de Segu-Info

Vulnerabilidad Zero-Day en Intenet Explorer

noviembre 11, 2013 § Deja un comentario

FireEye Labs ha descubierto un exploit que aprovecha una vulnerabilidad 0-day en Internet Explorer de acceso a memoria para lograr la ejecución de código. Hasta ahora la vulnerabilidad ha sido confirmada en IE 7, 8, 9 y 10 y según Microsoft, la vulnerabilidad puede ser mitigada utilizando EMET 4.0.

Un 0day en productos de Microsoft es relativamente normal. De hecho, con este, son dos los que han sido encontrados en la última semana (particularmente prolífica en este aspecto). Al margen de la eterna discusión y las soluciones no adoptadas aún (con EMET, no hay peligro en ninguno de los dos casos), este 0-day es muy especial no tanto por el fallo, sino por la forma de explotación. Una vez encontrada una vulnerabilidad, el atacante puede explotarla de varias formas. En este caso, han elegido un par de métodos muy interesantes, y nada habituales.

FireEye proporcionó información adicional sobre el exploit y sobre el troyano utilizado para infectar los equipos vulnerados Trojan.APT.9002 (o una variante Hydraq/McRAT), conocido también por la Operation DeputyDog, contra sitios japoneses y también usando en la Operación Aurora original. Además, han publicado una lista de MD5 y dominios que han estado actuando desde el momento del descubrimiento.

Fuente: ISC y Hispasec

Lista de las mejores herramientas de seguridad (actualizada a noviembre 2013)

noviembre 11, 2013 § Deja un comentario

Esta gran lista de servicios y productos de seguridad informática ha sido recopilada durante varios años y se actualiza continuamente.

El propósito de la lista es proporcionar una completa documentación de los productos de seguridad disponibles así como comentarios comparativos y sugerencias personales de los autores de la lista. Casi todos los productos de esta lista son casi exclusivamente libres, con algunas pocas excepciones que corresponden a soluciones gratuitas con licencias de por vida o productos comerciales de mérito excepcional.

La lista es mantenida por editores voluntarios & J_L.

Mejores herramientas de seguridad
(click aquí para la lista completa)

Fuente: Tech Support Alert

Jornada gratuita sobre Criptografía

noviembre 11, 2013 § Deja un comentario

El próximo jueves 14 de noviembre se llevará a cabo en Escuela de Ingeniería de Ejército una actividad no arancelada sobre Criptografía, que contará con la presencia del Dr. Jorge Ramió Aguirre de la Universidad Politécnica de Madrid.

  • 18:30 – 18:55 Registración
  • 19:00 – 19:15 Bienvenida y Apertura
  • 19:15 – 19:45 Interrogantes sobre el nuevo paradigma de enseñanza MOOC y un caso de estudio: el proyecto Crypt4you de Criptored.
    Dr. Jorge Ramió Aguirre – Universidad Politécnica de Madrid.
  • 19:45 – 20:15 El sistema de aeronaves no tripuladas Lipan y un potencial uso de la criptografía en la transmisión de información sensible.
  • 20:15 – 20:45 Nuevas Tendencias en Criptografía.
  • 20:55 – 21:25 Seguridad en QR.
  • 21:30 – 22:00 Fortalezas y debilidades de la cifra con clave pública: el caso de RSA

Informes e inscripción:
Av. Cabildo15 –1° Piso (1426) C.A.B.A.
Tel:(5411) 4779-338
estcc@iese.edu.ar – www.ingenieriaest.iese.edu.ar

Cristian de la Redacción de Segu-Info

Exploit 0-day para Office

noviembre 6, 2013 § Deja un comentario

Microsoft ha emitido una advertencia porque se ha encontrado que atacantes han estado usando una vulnerabilidad 0-day para lanzar ataques contra objetivos determinados. La vulnerabilidad en un componente gráfico de Office permite ejecución remota de código y ha sido identificada como CVE-2013-3906.

Según la firma, el ataque ha sido distribuido por correo mediante documentos de Microsoft Word y en gran parte ha sido dirigido a equipos pertenecientes a empresas con sede en el Oriente Medio y Asia del sur.

Utilizando ingeniería social se distribuye un email que contiene un adjunto con una imagen TIFF mal formada y que permite explotar la vulnerabilidad.

De acuerdo a Microsoft, desde Office 2003 a 2013 podrían ser vulnerables. En la advertencia de seguridad publicada, Microsoft pone a disposición una herramienta tipo Fix-it como solución temporal para el fallo y además recomiendan instalar EMET para mitigar la explotación del la vulnerabilidad (imagen).

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría exclusivo en Seguridad Informática.