Mes: febrero 2017

Son trucos a los que no se les presta atención pero que pueden abrir las puertas a los ciberdelincuentes para acceder a datos valiosos de las organizaciones. Se supone que los encargados de seguridad informática de las empresas tienen una política, que incluye procedimientos para resguardar los sistemas y las redes de las compañías. Parches al día, antivirus con sus bases de códigos maliciosos actualizadas, un firewall (cortafuegos) en regla, documentos encriptados y un personal capacitado en el uso seguro de estas herramientas pueden dar la falsa sensación de estar protegido ciento por ciento.

Pero un descuido puede tirar todo esfuerzo o plan por la borda, y poner en riesgo a la información y a las comunicaciones de una organización. Y en general se trata de amenazas a las cuales no se les prestas atención. Algunas son tácticas provenientes de la delincuencia en el mundo físico, que rinden sus frutos en el universo de los bits y que no están habitualmente incluidas en los planes de seguridad.

No se trata de amenazas críticas, como el virus Kamasutra que infectó a miles de computadoras el 3 de febrero, aunque se las puede considerar como las cabeceras de playa que plantan los ciberdelincuentes para llegar a los botines mayores.

Estas amenazas son descriptas en un documento elaborado por el especialista en seguridad informática Andrew Bycroft, quien cuenta con una certificación CISSP, considerada como una de las máximas acreditaciones en el tema que otorga el consorcio International Information Systems Security Certification (ISC). El documento fue publicado por el sitio especializado Infosec Writers.

Las diez prácticas que atentan contra la seguridad que describe Bycroft son las siguientes:

• «Shoulder surfing”: La práctica de mirar por encima del hombro de un usuario. Por ejemplo, cuando se espía la clave de un empleado en un computadora especial o en un sitio web bancario.
• Observación: Es una técnica similar a la anterior, pero a una distancia mayor, a través de binoculares u otro medio. Aquí el objetivo es obtener información preliminar para cometer luego ataques. Por ejemplo, se controlar si existen alarmas en una sala de servidores, o los horarios de los servicios de vigilancia, o quién sale último de una oficina de informática o quién entra primero.
• «Eavesdropping”: O «parar la oreja”. En este caso, se trata de una técnica para capturar información privilegiada afinando el oído cuando se está cerca de conversaciones privadas. Por ejemplo, cuando un administrador de sistemas le comenta a un ejecutivo cuál es la clave que puso en una aplicación crítica.
• «Dumpster diving”: La búsqueda de información valiosa en la basura es una práctica que puede resultar riesgosa para una empresa. Allí van a parar muchos datos importantes que figuran en notas, documentos confidenciales, configuraciones, e-mails, memorandos internos, computadoras en desuso, entre otras muchas fuentes.
• Dispositivos móviles perdidos: Equipos como los teléfonos móviles y los asistentes digitales (PDAs) pueden guardar datos de cuentas bancarias e información personal, hasta notas confidenciales.
• Prensa: A través de los medios, los delincuentes pueden enterarse cuál es la infraestructura que tiene una empresa determinada. Por ejemplo, cuando la propia compañía informa que instaló un antivirus determinado o se pasó a tal sistema operativo (Windows o Linux), un ciberladrón procurará averiguar cuáles son los puntos débiles de estos sistemas para aprovecharlos y explotarlos.
• Foros online: Los grupos y foros de discusión en Internet son lugares donde puede aparecer información valiosa. En estos espacios son habituales las consultas técnicas sobre temas muy específicos de seguridad. Por ejemplo: «¿Alguien puede ayudarme? He instalado Apache 1.39 en mi sistema RedHat Linux 7.2 y no puedo instalar el SSL para trabajar en mi sitio www.misitio.com «. Además de esta información crítica, el delincuente tiene acceso a la dirección IP del técnico que pide ayuda.
• Sitios Web: Los buscadores revelan cada vez más información de las organizaciones. Es más, hay prácticas que se engloban bajo el término de «Google hacking”, que describen cómo el famoso motor de búsqueda puede ser utilizado para acceder a información, programas o dispositivos sensibles. En general, la publicación de una nueva vulnerabilidad proporciona muchas veces un nuevo término o cadena que buscar, y la extraordinaria potencia de Google a la hora de indexar se encarga del resto. Hasta hay un libro, «Google Hacking for Penetration Testers”, que explica en sus más de 500 páginas ejemplos de cómo puede usar al buscador para localizar sitios web vulnerables o información sensible que sus propietarios consideraban a salvo.
• Herramientas en línea: Existen programas que buscan vulnerabilidades o que revisan los puertos de comunicación de una computadora que pueden conseguir información valiosa sobre una dirección determinada.
• Ingeniería social: La técnica más antigua y eficaz. Millones de usuarios que cada año abren incautamente un archivo adjunto a un e-mail bajo la promesa de ofrecer imágenes de personas desnudas y que en realidad es la trampa para inocular códigos maliciosos demuestran cómo los delincuentes se aprovechan de la curiosidad humana.

[Vía]

Un hombre de 23 años de edad fue arrestado en la región española de Murcia por una simple pero ingeniosa estafa a través del popular sistema de mensajes WhatsApp. En tan solo dos meses obtuvo cerca de 53 mil dólares.

De acuerdo con el reporte del periódico español Levante, el presunto delincuente utilizó redes sociales para anunciar una aplicación que permitía a los usuarios espiar las conversaciones de otros usuarios de WhatsApp sin cargo alguno. Los usuarios tenían que visitar un sitio web e ingresar su número telefónico y así podrían recibir instrucciones para descargar e instalar la aplicación.

Naturalmente, ingresar su número telefónico dentro del sitio web falso fue una mala idea. En lugar de recibir la aplicación esperada, el sitio inscribe a un servicio de mensajería caro que envía anuncios de spam al teléfono de la víctima y cobra entre 2 y 10 dólares por servicio a través de la página falsa.

La parte realmente ingeniosa de la estafa es que se reduce de manera importante la oportunidad de que alguien reporte al estafador ante la ley, ya que se verían forzados de admitir ante la policía que trataron de espiar a otras personas con no más de 10 dólares.

Sin embargo, de acuerdo a Levante, irónicamente se obtuvieron las suficientes declaraciones, pues los medios sociales y la policía española se pusieron en acción y arrestaron al presunto ladrón del cual confiscaron su computadora y cuatro discos duros. No descartan la posibilidad de que otras personas estén involucradas en el presunto fraude, sin embargo, hasta la fecha no se han presentado estafas parecidas, aunque podrían aparecer pronto.

La aplicación espía para WhatsApp, por supuesto que fue falsa, pero dieron a conocer en las noticias que ha habido varios incidentes de seguridad en móviles de alto perfil que fueron reales: un sitio de desarrollo utilizado por programadores de iOS fue hackeado la semana pasada, mientras que la cantidad de malware móvil dirigida a dispositivos Android aumentó recientemente en más del 600%.

[Vía]

Trabajan en agregar criptografía a las aplicaciones móviles. Los programas cliente de Facebook para iOS y Android no encriptan las credenciales de inicio de sesión de los usuarios, dejándolas en una carpeta accesible para otras aplicaciones o conexiones USB.

Se requiere una aplicación de dudosa procedencia o dos minutos con una conexión USB para  robar tus datos de acceso de cualquier dispositivo, el problema se agrava con la idea de «temporalidad” de Facebook que durará hasta el año 4000. En el caso de iOS, incluso se puede plagiar los datos de una copia de seguridad, lo que permite al atacante relacionarlos a una cuenta de Facebook y tener acceso a aplicaciones por diversión o algún beneficio.

Lo anterior de acuerdo a Gareth Wright, lector de The Register, quien encontró el archivo y lo probó para ver si es tan sencillo pretender ser alguien más. Resulta que es así, y después de realizar una prueba de concepto (un editor de puntajes para dispositivos iOS con jailbreak) que tomó miles de IDs, Gareth eliminó los datos obtenidos y reportó el problema a Facebook como debe hacerse.

Facebook ya estaba al tanto del problema y trabaja en él para resolverlo; sin embargo, no dirá cuanto tiempo le tomará o lo que los usuarios deben hacer durante ese tiempo.

iOS no le permitirá a las aplicaciones leer datos almacenados por otras aplicaciones y ofrece un nivel ligeramente más alto de protección que Android, en donde esto depende del usuario. Esa es la razón por la que la prueba de concepto se ejecutó en un PC conectada por USB; una aplicación local sólo funcionaría en dispositivos con jailbreak. Sin embargo, parece que cualquier aplicación de Android con permisos para modificar o borrar en la tarjeta SD podría hacer lo mismo.

Los juegos en iOS a menudo almacenan los puntajes en archivos de texto plano y depende del sistema operativo la protección y algunos claramente almacenan tokens de conexión de Facebook en el mismo lugar. Estos tokens sólo son válidos por 60 días, y resulta que la propia aplicación de Facebook almacena un token similar (que dura hasta el 1º de enero del año 4001). Copia el token a otro dispositivo y estás dentro.

Vale la pena recordar que Facebook no solo es una red social en estos días, ingresa a la cuenta de otro y podrás usar sus créditos para votar en Big Brother, y existen muchas oportunidades para el robo de identidad, con Facebook apoderándose e incrementando su cuota en las comunicaciones personales.

Conectar un cable USB desconocido en tu dispositivo es siempre un riesgo, y quienes descargan software poco fiable de fuentes desconocidas a veces merecen lo que les pasa. Pero Facebook no debería almacenar en un espacio accesible credenciales sin encriptar a menos que hayan bloqueado el dispositivo o de alguna manera haberlo asegurado, y con suerte es lo que estarán implementando muy pronto.

Fuente | UNAM

Una empresa de seguridad advirtió que la mensajería en Viber y la aplicación de Android VOIP permite a un atacante evadir el bloqueo de la pantalla. Bkav demostró que la falla de una serie de dispositivos Android en el envío de un mensaje al teléfono de la víctima usando Viber abre una ventana emergente que aparecerá sobre la pantalla bloqueada para que se pueda responder al mensaje. En ese momento, Bkav muestra una serie de manipulaciones, dependiendo del dispositivo, como mostrar las notificaciones, que terminan con pulsar el botón de atrás y en ese momento el dispositivo de la víctima mostrará la pantalla principal de Android.

Si un atacante tiene la posesión física del teléfono y el propietario del dispositivo instaló Viber, entonces esto haría posible que el atacante pueda desbloquearlo. Viber cuenta con una base de 175 millones de usuarios, aunque no está claro cuántos de ellos están en los dispositivos, Viber para Android se ejecuta en una amplia variedad de sistemas operativos y dispositivos móviles.

Cuando se instalan, las aplicaciones de Android pueden solicitar permiso para desbloquear temporalmente un dispositivo. El permiso está diseñado para permitir a los usuarios interactuar con una aplicación, como la aplicación de teléfono, para contestar una llamada o responder a mensajes de texto sin tener que desbloquear primero el teléfono. Sin embargo, se supone que la aplicación puede volver a habilitar el bloqueo inmediatamente después. Viber pide este permiso, entre la gran cantidad de permisos que la aplicación requiere, por lo que puede presentar los mensajes en la pantalla de bloqueo. Al parecer, se confunde con las distintas manipulaciones y se pierde la pista de su estado. En los foros, hay discusiones acerca de problemas con la función y la lógica de cuándo y cómo haría un pop-up.

Pero la característica «pop-up and reply” no es obligatoria, es sólo un defecto. Si los usuarios entran a las configuraciones, encontrarán la opción «Desbloqueo de pop-ups”, que puede desactivar el comportamiento de desbloqueo y dejar que la aplicación sólo entregue pop-ups normales no interactivos o notificaciones de nuevos mensajes. En respuesta a las revelaciones de Bkav, Viber haaconsejado a los usuarios a hacer exactamente eso  desactivar el  ”Desbloqueo de pop-ups”  mientras trabaja en solucionar el problema. La compañía dice que espera ofrecer una versión corregida de la aplicación la próxima semana.

[Via]

Una aplicación que permitía a cualquiera localizar geográficamente a mujeres registradas en una red social ha causado tal polémica que terminó siendo retirada del mercado.

«Girls around me” (Mujeres a mi alrededor) es un programa desarrollado por una empresa rusa que utilizaba datos de la red Foursquare y Facebook, y que estaba disponible en iTunes.

Sin embargo, las contínuas quejas de usuarios alegando que tal recurso podría incentivar el «acoso” a las féminas motivó que Apple decidiera eliminarla de su tienda virtual.

Según la compañía, conocida como i-Free, todo se debería a un «serio malentendido”.

Geolocalización

La aplicación funciona mediante la extracción de datos de Foursquare, red social que la gente suele usar para «registrarse” en un determinado lugar, como un bar o una tienda.

En Estados Unidos este tipo de aplicaciones son muy populares y es usual que los negocios ofrezcan descuentos a la gente que se registra en sus locales.

Además de datos sobre su localización exacta, en este caso la aplicación tenía asociada información de Facebook. De este modo Girls Around Me permitía a quien lo hubiera descargado localizar a usuarias que estuvieran cerca y leer sus perfiles.

La cantidad de la información a la que podían acceder dependía del grado de privacidad que las chicas hubieran establecido en sus perfiles de Facebook, pero en muchos casos podían averiguar si estaban en una relación o mirar algunas de sus fotos.

Según iFree la aplicación, que aseguran ya ha sido retirada, se descargó más de 70.000 veces de la tienda de aplicaciones de iTunes debido a «un problema”.

Sus desarrolladores informaron que van a corregir la aplicación para asegurarse de que sólo los registros realizados en lugares públicos puedan ser visibles para los usuarios. Ahora mismo, añadieron, también están trabajando en una versión par Android.

«Creemos que no es ético tomar a un chivo expiatorio para sacar a colación las preocupaciones existentes en torno a la privacidad”, dijeron portavoces de iFree.

«Es una ola de negatividad por un serio malentendido de los objetivos, habilidades y restricciones de la aplicación”.

«Girls Around Me no proporciona información que no está disponible al usuario cuando usa su cuenta en la red social, tampoco revela información que los usuarios no comparten con otros”.

Llamado de atención

Sin embargo, grupos de usuarios consideran el caso como un ejemplo más de los peligros que entrañan las redes sociles en lo que a privacidad respecta.

Un popular blog de amantes de Apple dijo que el caso era una «llamada de atención sobre la privacidad”.

«Girls Around Me no es una aplicación que alguien debería usar para conocer a chicas o chicos con ese propósito”, dijo el bloguero John Brownlee.

«Es una aplicación que deberíamos bajarnos para enseñar a la gente que nuestras preocupaciones sobre el tema de la privacidad son reales, que las redes sociales como Facebook y Foursquare te exponen y exponen a aquellos a los que quieres, y que desconocemos lo que realmente estamos compartiendo”, apuntó.

Por el momento, ninguna de las versiones podrá funcionar hasta que Foursquare vuelva a permitir a iFree el acceder a sus datos.

Fuente | bbc noticias

Eugene Kaspersky considerá que Mac OS X de Apple está 10 años atrás de Microsoft Windows en términos de seguridad. Cupertino tendrá que realizar una revisión de seguridad como en algún momento lo hizo Redmond.

La semana pasada Kaspersky Lab detalló porqué el mercado creciente de las Mac de Apple significa más malware para la plataforma. Eugene Kaspersky, cofundador y CEO de la compañía de seguridad, ha ido más lejos en su declaración hecha durante su asistencia a la conferencia Infosecurity Europe 2012.

«Pienso que Apple está atrasado 10 años con respecto a Microsoft en términos de seguridad,” dijo Kaspersky para CBR. «Por muchos años he dicho que desde el punto de vista de seguridad no hay gran diferencia entre Mac y Windows. Siempre ha sido posible desarrollar malware para Mac, pero es un poco diferente. Por ejemplo, este tipo de malware hace preguntas para instalarse en el sistema y, a través de vulnerabilidades, es capaz de llegar al modo usuario sin ninguna alerta.”

Kaspersky por supuesto se refiere al malware Flashback que infectó a cientos de miles de Macs. También, reiteró lo que sus trabajadores y muchos investigadores de seguridad han estado diciendo por años: Apple necesita contar con una estrategia.

«Apple está entrando al mismo mundo en el que Microsoft ha estado por más de 10 años: actualizaciones, parches de seguridad y mucho más”, dijo Kaspersky. «Esperamos ver cada vez más debido a que los cibercriminales aprenden de sus aciertos y éste fue el primero en ser exitoso. Entenderán muy pronto que tienen los mismos problemas que Microsoft tuvo hace 10 o 12 años, tendrán que hacer cambios en términos de ciclos de actualizaciones e invertir más en sus auditorías de seguridad de software. Eso es lo que hizo Microsoft en el pasado, después de muchos incidentes como Blaster y aquellos complejos gusanos que infectaron millones de computadoras en un corto periodo de tiempo. Tienen mucho trabajo que hacer para revisar su código, encontrar errores y vulnerabilidades. Ahora es momento de que Apple lo haga.”

Kaspersky, la compañía privada, produce antivirus y otros productos relacionados con seguridad en cómputo. Excluyendo el sector energético, Kaspersky Lab es considerado una de las pocas historias de éxito de Rusia en los negocios internacionales. La compañía hace excelente software de seguridad y la he recomendado varias veces por sus productos.

Dicho esto, ambos, Kaspersky el fundador y la compañía, se beneficiarían de una epidemia de malware en Mac. Esto es importante tenerlo en cuenta, al tiempo de reconocer que las cifras en realidad siguen creciendo y la situación de seguridad en Mac está empeorando. Qué tan grave es la situación y lo que vendrá, es sólo cuestión de enfoques.

Fuente | UNAM 

Junkware removal tool es una utilidad de seguridad que busca y elimina adware común, barras de herramientas y programas no deseados (PUP) de tu computadora. Una tactica comun de los desarrolladores de software gratuito es unirlos a programas no deseados para obtener ingresos. Esta herramienta te ayudara a eliminar todo ese tipo de programas.

Junkware Removal Tool  tiene la capacidad de eliminar los siguientes tipos de programas:

• Ask Toolbar
• Babylon
• Browser Manager
• Claro / iSearch
• Conduit
• Coupon Printer for Windows
• Crossrider
• DealPly
• Facemoods / Funmoods
• iLivid
• Iminent
• IncrediBar
• MyWebSearch
• Searchqu
• Web Assistant

Cuando se ejecuta, Junkware Removal tool eliminará todo rastro de estos programas, incluyendo sus archivos, claves de registro y carpetas.

Descarga | Junkware Removal Tool.

Irán anunció ayer mismo que ha encontrado la manera de controlar el malware Duqu, un virus similar a Stuxnet que precisamente fue el que atacó en 2010 el programa nuclear del país e infectó más de 30.000 ordenadores.

A través de IRNA, la agencia de noticias oficial de Irán, se ha comunicado que «se ha desarrollado el software para controlar el virus Duqu y que está disponible para organizaciones y corporaciones, ha dicho Gholamreza Jalali, Brigadier General de Defensa Civil.

Multitud de países han informado ser víctimas de Duqu, incluidas Irán, Francia, Gran Bretaña o India.

Hace poco más de una semana que saltaba a los titulares que Duqu estaba aprovechando una vulnerabilidad a nivel de kernel en Windows gracias a la cual los hackers eran capaces de implantar código malicioso en el corazón de un sistema informático.

Las similitudes que existen entre Duqu y Stuxnet han llevado a especular que han sido escritos por la misma persona o grupo, aunque la principal diferencia entre estos dos malware es que Duque está diseñado únicamente para recopilar información y enviarla a los servidores de comando y control, mientras que Stuxnet estaba diseñado para atacar a los sistemas de control industrial que se utilizan en plantas purificadoras, plataformas petroleras, centrales eléctricas y otras grandes infraestructuras.

(via)

Desde que Apple lanzó la nueva versión iOS 5 de la mano del iPhone 4S, se han detectado algunos problemas como la duración de la batería que han obligado a la compañía a liberar una actualización para corregir los errores encontrados.

Se trata de iOS 5.0.1, que se ha convertido en la primera actualización de software que Apple hace llegar a sus usuarios vía OTA.

El origen del fallo reside en la opción encargada de actualizar la hora del dispositivo cuando éste cambia de zona horaria. Esta herramienta no estaba configurada correctamente, provocando un consumo excesivo de la batería.

Además de solventar este fallo, iOS 5.0.1 lleva los gestos multitarea al iPad de primera generación, soluciona un fallo descubierto en el servicio de documentos en la nube de iCloud, arregla el fallo de seguridad relacionado con las fundas Smart Cover en el iPad 2 y mejora el sistema de reconocimiento de voz.

La actualización iOS 5.0.1 ya está disponible para iPhone 3GS, iPhone 4, iPhone 4S, iPad, iPad 2, iPod Touch de tercera y cuarta generación.

(via)

intypedia es una web dedicada a la seguridad informática, donde encontraras vídeos en los cuales se habla de diferentes temas relacionados con la seguridad en Internet. En esta ocasión se habla de Seguridad en redes WI-FI cuyo autor es D. Raúl Siles, fundador y analista de seguridad de Taddong, y que verá destacado como último vídeo en esa página Web.

En esta lección Bernardo explica a Alicia cómo deben configurarse las redes inalámbricas Wi-Fi para tener un acceso y navegación seguros y además protegerse ante diversos tipos de ataque. Se entrega finalmente un conjunto de recomendaciones en esta línea.

• Escena 1. Introducción a la seguridad de las redes Wi-Fi.
• Escena 2. Seguridad de las redes Wi-Fi.
• Escena 3. Seguridad de los clientes Wi-Fi.
• Escena 4. Recomendaciones de seguridad.

Como siempre, el vídeo viene acompañado por 3 documentos en pdf que puedendescargarse desde el sitio Web de intypedia: el guión de la lección, las diapositivas de apoyo y los ejercicios para autoevaluación.

Visto