¿Qué es día cero?

 

En seguridad informática, se habla de día cero al mencionar el momento en que se descubre un nuevo virus o vulnerabilidad en una aplicación. Se dice día cero porque hasta ese momento ni siquiera los desarrolladores eran conscientes de determinada vulnerabilidad, por lo tanto el día cero marca la primera aparición de una amenaza informática puntual.

La aparición de una vulnerabilidad 0-day implica que no habrá parche ni solución instantánea para cerrar el agujero de seguridad encontrado. Cada tanto aparecen exploits que aprovechan estas vulnerabilidades y pueden ser verdaderamente dañinas ya que la ausencia de una solución implica que tienen tiempo suficiente para causar destrozos hasta que se encuentre una forma de reparar la vulnerabilidad.

Día Cero Informática 1(1)

En el mundo del malware, hablamos de día cero cuando todavía no hay firmas existentes para detectarlo o eliminarlo. Estas vulnerabilidades solamente pueden ser detectadas a través de técnicas no reactivas que deben ser realizadas por personas con experiencia en informática, los usuarios casuales poco podrán hacer para descubrir que están infectados.

El concepto día cero es relativamente simple, es aquel día en que una amenaza informática es descubierta y recién a partir de ese momento empezarán a realizarse actividades intentar detener su avance y daños.

A diferencia de muchos productos que intentan vender supuestas soluciones inmediatas, lo cierto es que no existen formas de detectar mediante software tradicional las vulnerabilidades día cero, ya que se denominan cero porque hasta el momento no hay forma de conocerlas.

Lo que sí hay son programas que analizan los comportamientos de los programas y sistemas operativos en busca de rutinas extrañas, de esta forma se puede saber si nuestro ordenador tiene algún comportamiento fuera de los parámetros que pueda considerarse una amenaza.

Día Cero Informática 2(1)

En seguridad informática las vulnerabilidades tipo día cero son las más temidas, pero tampoco hay que ser alarmistas. Muchas veces son vulnerabilidades que no terminan de convertirse en virus o que son selladas al instante y no generan mayores inconvenientes. Siempre hay que tener cuidado, pero sin alarmismos.

Fuente | open security

Android Master Key [explicación]

 

Post image for Anatomía de una vulnerabilidad – Explicamos la debacle del “Android Master Key”Si lees los periódicos o estás al tanto de la seguridad informática, habrás oído que existe una vulnerabilidad, ya corregida por Google, que afectaba al 99% de los dispositivos Android.

Todo comenzó con unos titulares explosivos de una startup de seguridad para móviles: Bluebox. En su blog proclamaban que habían descubierto la master key de Android por lo que el 99% de los dispositivos eran vulnerables a un ataque.

Sin embargo el titular es bastante metafórico porque no mostraba ninguna master key, ni nada que se le pareciera. Lo que si encontraron es una manera de modificar los archivos de instalación sin que Android se diera cuenta.

.APKs

Los ficheros con extensión APK (Android Packages) son los que usa Android para instalar una aplicación. Básicamente son un archivo ZIP en el que encontramos una carpeta llamada META-INF que contiene la suma de verificación de los archivos que contiene el paquete.

1-apk-list-orig

La idea es que si alteras cualquier fichero, por ejemplo cambiándolo por otro modificado, Android lo detectará y bloqueará la instalación.

Android usa una librería de Java para comprobar que cada fichero se corresponde con la verificación y que por lo tanto es el original

1-manifest

El sistema parece funcionar.

Es fácil cambiar el APK usando cualquier herramienta estándar de ZIP, como en el ejemplo:

 2-apk-list-changed

Pero cuando intentamos instalarlo, nos encontramos que ha detectado el cambio y no podemos continuar con la instalación.

2-changed-inst

Hasta ahora todo marcha bien.

La vulnerabilidad

La siguiente pregunta fue la que se hicieron los chicos de Bluebox ¿qué ocurre si hay dos ficheros con el mismo nombre dentro del APK?

3-apk-list-hacked

Los ficheros ZIP no permiten dos ficheros con el mismo nombre porque no sabrían cual de los dos deberían descomprimir. Pero esto no implica que con una herramienta adecuada puedes incluir dos archivos con el mismo nombre en un fichero APK.

¿Sabes lo que ocurre?

La verificación de Android se aplica al primero pero extrae el segundo. En otras palabras, puedes modificar el archivo que quieras, por lo que fácilmente puedes instalar malware o cualquier otra cosa que se te ocurra haciéndolo pasar por una aplicación original.

3-hacked-inst

¿Existe una solución?

Bluebox notifició este vulnerabilidad a Google quien ya ha creado un parche que bloquea este agujero de seguridad.

La actualización busca nombres de archivo duplicados dentro del fichero APK, asegurándose que solo hay una versión de cada fichero del manifiesto. Si encuentra un nombre duplicado, da un mensaje de error y para la instalación.

1-patched-code

¿Qué puedo hacer?

Obviamente, aunque ya existe una solución, tienes que esperar hasta que el fabricante de tu dispositivo publique una actualización de tu firmware. Y eso puede llevar su tiempo.

Así que mientras no recibas la actualización te aconsejamos que:

No salgas del Google Play Store, donde suponemos que Google, ahora que está avisada, estará prestando especial atención a aplicaciones que usen este truco.

Usa un antivirus para Android que escanee las aplicaciones antes de que las instales. Por supuesto que te recomendamos el de Sophos, es bueno y gratis.

No podemos asegurarte al 100% que con estos dos trucos estés libre de riesgos, pero por lo menos estarás mucho más protegido.

Fuente | sophos iberia

Las cinco mayores amenazas para Mac OS X

 

El mito de que los usuarios de Mac se encuentran a salvo de malware y virus cae, cada vez más, por su propio peso. Kaspersky Lab ha elaborado una clasificación de las cinco mayores amenazas a Mac OS X que demuestra que, según aumenta la popularidad de este sistema operativo (que ya cuenta con 63 millones de usuarios en todo el mundo) los riesgos aumentan.

1. Que tu Mac se convierta en zombi. La infección de este sistema operativo más conocida hasta la fecha es la que produjo el troyano Flashback/Flashfake, que contaminó a más de 700.000 Macs a través de webs de WordPress comprometidas que explotaban una vulnerabilidad de Java. Los ordenadores pasaban, entonces, a formar parte de una red zombi global manejada por un cibercriminal.

2. Antivirus falsos que ni protegen nuestro Mac ni nuestra cuenta bancaria. A través de ingeniería social o de resultados maliciosos en Google Search, falsos antivirus como MacDefender y MacGuard han sido descargados e instalados por usuarios Mac, a los que el programa les pide que paguen por la versión “completa”. Lo que sucede habitualmente es que, al final, el precio de ésta se triplica o se realiza el mismo cobro varias veces.

3. Vulnerabilidades en el software. Flashfake, el caso antes mencionado, se propagó tan rápidamente porque aprovechaba una vulnerabilidad –CVE-2012_0507- de Java que tardó 49 días en contar con un parche de Apple, lo que dejó a los usuarios expuestos durante todo ese tiempo.

4. Ataques dirigidos a usuarios de perfil alto. Es de todos conocido que el usuario tipo de Mac suele gozar de cierto caché, y resulta habitual encontrar en este perfil a políticos o ejecutivos, que, deducen los cibercriminales, pueden guardar información de gran valor en sus equipos. Por eso existe malware específico para Mac OS X, que suele infectar a través de un mail con un adjunto que explota alguna vulnerabilidad para extraer de forma silenciosa los datos.

5. Otra cosa que muchos usuarios de Mac tampoco saben es que sus equipos también pueden contaminar a los PC de su red de contactos.

Kaspersky ofrece algunas recomendaciones para que los usuarios Mac aumenten su seguridad, como realizar las tareas diarias desde una cuenta sin permisos de administrador, utilizar como navegador Google Chrome, desinstalar el reproductor de Flash y Java, actualizar siempre que sea posible o utilizar un gestor de contraseñas para evitar los ataques de phishing.

Fuente | ticbeat

Adobe corrige falla crítica en ColdFusion

 

Para recuperar archivos de servidores afectados, un atacante remoto puede utilizar la falla que Adobe planea corregir el 14 de mayo. Existe un exploit público disponible para esta vulnerabilidad, por lo que el parche tiene una prioridad alta para las empresas que utilizan ColdFusion.

“Hay reportes de que un exploit se encuentra disponible públicamente para esta vulnerabilidad. Los clientes de ColdFusion, que restringieron el acceso público a los directorios CFIDE/administrator, CFIDE/adminapi and CFIDE/gettingstarted (como se indica en la Guía ColdFusion 9 Lockdown y la Guía ColdFusion 10 Lockdown), estan mitigando este problema”, dijo Adobe en su aviso.

La compañía recomendó a los clientes que ejecutan versiones vulnerables de ColdFusion, que incluyen 10, 9, 9.02 y 9.01, seguir las recomendaciones en las guías mencionadas, para ayudar a instalar medidas de mitigación que evitan la explotación de esta vulnerabilidad.

Fuente | seguridad.unam

Vulnerabilidad permite cambiar la contraseña de Apple solo con el e-mail y la fecha de nacimiento

idapple

 
Un nuevo exploit que afecta a los clientes de Apple fue descubierto hoy por The Verge, que permite cambiar la contraseña de una cuenta teniendo como información únicamente la dirección de correo electrónico y la fecha de nacimiento, datos que lamentablemente no son tan difíciles de conseguir.

La compañía activó ayer un sistema de verificación de dos pasos, medida de seguridad que permitiría proteger más a los usuarios de Apple ID e iCloud, sin embargo, para comenzar a utilizarlo ha habido algunas demoras y ciertos usuarios han sido notificados de que deben esperar un par de días antes de que empiece a funcionar, lo que los deja vulnerables a este tipo de hackeo.

En Internet ya hay un tutorial para aprovechar la vulnerabilidad mencionada, que involucra copiar una URL modificada y responder algunas preguntas de seguridad de la página iForgot.

La compañía no se ha referido al problema todavía. Mientras tanto, la mejor idea es intentar activar la verificación de dos pasos, o bien cambiar la información de la fecha de nacimiento en tu cuenta para dejar de estar vulnerable.

Actualización: Apple suspendió la operación del sitio para recuperar las contraseñas, iForgot, “por mantenimiento”. Lo más probable es que estén tratando de reparar el problema.

Fuente | fayerwayer

Vulnerabilidad en teléfonos Samsung, independientes de Android

 
IF

El experto italiano en seguridad informática Roberto Paleari comenta en su blog que a mediados de enero informó a Samsung sobre seis vulnerabilidades que ha detectado en teléfonos de la empresa, operados con Android. El experto recalca que no se trata de vulnerabilidades en la plataforma Android, propiamente tal, sino en aplicaciones y adaptaciones específicas de Samsung, como TouchWiz. Las vulnerabilidades hacen posible realizar distintos tipos de ataques. Los más graves de ellos permiten a las aplicaciones instaladas descargar por cuenta propia programas potencialmente malignos, otorgándoles plenos privilegios, sin contar con autorización, y menos con el conocimiento, del propietario del aparato.

Samsung habría respondido a Paleari, aunque sin confirmar qué planes tiene para solucionar el problema. Hace un mes, la empresa le habría pedido esperar antes de publicar los detalles de las vulnerabilidades, hasta que tuviera disponibles los parches de seguridad correspondientes.

Según Paleari, Samsung le había comentado que todos los parches deben ser necesariamente aprobados por los operadores de telefonía móvil. Éste planteamiento lleva a Paleari a concluir que la solución tomará mucho tiempo. Por lo tanto, ha decidido informar públicamente sobre el potencial de daño de las vulnerabilidades, aunque sin explicar el procedimiento técnico en sí.

El experto agrega que: “Considerando que la mayoría de estos errores de programación pueden ser solucionados fácilmente, sin necesidad de hacer cambios drásticos al software del aparato, debo admitir que esperaba una reacción más rápida por parte de Samsung. Sin embargo, dos meses no fueron suficientes ni siquiera para comenzar el desarrollo de un parche de seguridad. En realidad, no creo que vayan a publicarlo muy pronto tampoco”.

Las vulnerabilidades detectadas por Paleari no son las únicas que afectan a smartphones de Samsung. La empresa de seguridad informática Bkav Corporation informa que la función de bloqueo de los aparatos Samsung Galaxy S III y Samsung Galaxy Note II puede ser eludida mediante la función que permite hacer llamadas telefónicas de emergencia. Al igual que el experto italiano Roberto Paleari, Bkav Corporation también menciona que Samsung simplemente no solucionó el problema. Por ello, comenta que la versión gratuita de Bkav Mobile Security soluciona la vulnerabilidad descrita, incluso tomando capturas de pantalla de los intentos de intrusión. Tales capturas son enviadas directamente por correo electrónico a los usuarios registrados del software.

Fuente | diarioti

Privacidad y seguridad en Facebook

 

Desde que Facebook dio a conocer su nuevo Timeline y lo puso en marcha, han sido numerosos los incidentes relativos a la privacidad que han visto la luz en los últimos meses. Y no es de extrañar, porque el nuevo diseño y el cambio en sus políticas de privacidad ha provocado no solo que haya muchos usuarios que todavía siguen despistados sin saber muy bien cómo configurar correctamente sus publicaciones para que se vean solo por los amigos elegidos, sino que también se han descubierto varios fallos que ha dado lugar a una mayor confusión.

El pasado mes de septiembre, por ejemplo, te informábamos de que un fallo de diseño podría publicar en tu muro fragmentos de mensajes privados, y también te hablábamos del nuevo conflicto con las leyes de privacidad europeas al poner en marcha una nueva tecnología de reconocimiento facial que etiquetaba, de forma automática, a los usuarios reconocidos en las imágenes publicadas.

Una semana más tarde descubrimos que los usuarios podían publicar cualquier cosa en nuestro muro y después bloquearnos, de forma que nosotros ni veríamos el contenido ni podríamos eliminarlo. No era un bug ni un fallo de diseño, pero sí una funcionalidad de Facebook que pudiera dar lugar a más de un lío.

En octubre saltaba la noticia de la compra de Instagram por parte de Facebook y su más que polémica Política de Privacidad, que suponía que cualquier contenido publicado en la red pasaba automáticamente a ser de su propiedad y, por lo tanto, susceptible de ser utilizada con fines comerciales o publicitarios sin nuestro conocimiento ni consentimiento. Menos mal que rectificaron en poco tiempo.

La última problemática derivada de la seguridad de Facebook saltaba hace apenas un mes, cuando descubríamos que la popular red social tenía una vulnerabilidad que permitía tomar el control de cualquier cuenta y que, afortunadamente, había sido solventada.

Pero si alguno de vosotros piensa que gracias a la colaboración de investigadores, usuarios y empresas ahora estamos bien, nada más lejos de la realidad, porque cada día nos encontramos con una nueva sorpresa.

Un grupo de estudiantes de Austria que están librando su particular batalla contra Facebook para conseguir que hagan los adecuados cambios en su política de privacidad para adaptarla a las políticas europeas, ha anunciado que han descubierto un nuevo fallo en su Timeline, de forma que amigos de tus amigos pueden ver a qué eventos has asistido, aunque hayas configurado tu privacidad de forma que tus publicaciones solo puedan ser vistas por tus amigos directos.

A primera vista, puede parecer una tontería. Pero si eres de los que frecuentas muchas fiestas, tu jefe, por ejemplo, sin que tenga una relación de amistad directa contigo en Facebook, podría investigar a qué eventos has asistido aquel día que dijiste que estuviste malo, por solo poner un ejemplo. La única manera de eliminar esta información es ir uno a uno en cada evento eliminando tu participación, tarea que puede ser muy ardua y tediosa si eres de los que utilizas muy frecuentemente esta opción.

Lo que sí tenemos que reconocer a este grupo es que está siendo sumamente efectivo, ya que el día 15 Facebook procedió a corregir el desaguisado… aunque no sabemos si de manera 100% efectiva.

eset nod32 antivirus cambios privacidad facebook

Y justo antes de este último cambio, Facebook anunció “mejoras” en el diseño de tu muro, con el fin de facilitar el caos informativo que se forma entre actualizaciones de estado, noticias y publicidad. Cambios que, según han dicho, irán aplicando de forma gradual y que, entre otras, cambia la forma en cómo accedemos a configurar nuestra privacidad. Estamos esperando a que se terminen de aplicar todos los cambios para ver en qué manera han mejorado (si lo han hecho) el acceso a algo tan importante para los usuarios como mantener nuestros datos tan privados como queramos.

eset nod32 cambios timeline facebook

Nos encantaría que fuera la última vez en informaros sobre este tipo de problemáticas, pero mucho nos tememos que en cuanto llegue la nueva función del buscador a nuestros lares, Google Graph Search, nos encontraremos con variadas y nuevas problemáticas derivadas de la privacidad, ya que todavía no está muy claro hasta qué punto nuestras publicaciones más privadas se van a indexar y estarán a disposición de los usuarios que utilicen la nueva funcionalidad. Por no hablar sobre qué tipo de información personal y privada sobre gustos, aficiones o hábitos se estarán añadiendo a nuestro nombre de perfil y quedará grabado no solo internamente en la Red, sino a disposición de cualquiera que quiera utilizar dichos datos… con fines publicitarios u otros peores.

Fuente | blogs.protegerse

Vulnerabilidad permite acceder a sistemas Windows al estilo Hollywood

Hace una semana Microsoft lanzó sus parches de seguridad mensuales entre los que se incluía uno calificado como “Importante”. Este parche solucionaba una vulnerabilidad en sistemas Windows que requería acceso físico a la máquina pero que permitía saltarse los controles de seguridad del sistema con solo utilizar un pendrive USB.

Si somos seguidores del cine de Hollywood o las series americanas veremos que eso ya se lleva haciendo desde hace años en estas producciones, donde espías, super-hackers y forenses de todo tipo solucionan casos con tan solo insertar un pendrive en el sistema y apretando muchas teclas lo más fuerte posible. Como muestra, un botón:

La realidad, no obstante, es bien diferente y el acceso a un sistema para obtener información del mismo es, normalmente, un trabajo que requiere su tiempo y la utilización de muchas herramientas.

Es por eso que esta vulnerabilidad llamó la atención cuando Microsoft lanzo el parche que la solucionaba, porque permitiría a un atacante realizar (aunque no con tanta parafernalia) un ataque a un sistema usando una memoria USB cargada con el exploit y saltarse, de ese modo, los controles de seguridad. De hecho, esta vulnerabilidad permitía acceder al sistema aun si el sistema de autoarranque de este tipo de dispositivos se encontrase desactivado y la pantalla bloqueada.

Esta vulnerabilidad aprovecha un fallo a la hora de enumerar los dispositivos conectados por lo que no se requiere interacción alguna por parte del usuario, permitiendo a un atacante con acceso a la máquina obtener una elevación de privilegios aun con el sistema bloqueado. A pesar de ya haber sido solucionada, Microsoft advierte de que esta vulnerabilidad podría abrir nuevos vectores de ataque sin tener que acceder físicamente al sistema.

Mientras tanto, si no queremos sufrir un ataque al estilo Hollywood, será mejor que actualizamos nuestro sistema Windows con los últimos parches de seguridad. Solo así evitaremos que un aprendiz de Jason Bourne acceda a nuestro sistema y robe la información que allí almacenamos.

Fuente | blogs.protegerse

WhatsApp es un coladero: sus servidores permiten distribuir virus, contenido ilegal y datos robados con total impunidad

WhatsApp pone un circo y le crecen los enanos. Por si fueran pocos los usuarios que se plantean cambiar de chat tras la polémica por el pago, dos investigadores españoles acaban de hacer público un nuevo fallo que deja al descubierto los enormes agujeros de seguridad del servicio de mensajería instantánea más utilizado del planeta.

Uno de ellos es Pablo San Emeterio, experto en seguridad de Optenet que ya el pasado noviembre dio a conocer una vulnerabilidad que permitía interceptar comunicaciones, espiar los mensajes de los usuarios, ver sus fotos y vídeos e incluso suplantar su identidad. Gracias a la repercusión que tuvo su trabajo, más de un mes después, WhatsApp actualizó su aplicación y enmendó sus errores.

No fue suficiente. Juan Garrido, ingeniero de InnoTec/Entelgy, decidió sumar fuerzas con San Emeterio y, gracias a la aportación de este ‘hacker’ del sevillano barrio de Triana, han vuelto a sacar los colores a la multinacional estadounidense. Sus conclusiones, presentadas ayer durante la primera edición de las Jornadas de Seguridad y Ciberdefensa de la Universidad de Alcalá de Henares (Ciberseg), son demoledoras. En palabras llanas, WhatsApp tiene abiertas de par en par las puertas de sus servidores y cualquiera puede entrar y salir sin pedir permiso ni dejar huellas.

“De manera anónima puedes utilizar la infraestructura de WhatsApp para subir lo que tú quieras y sin límite”, explican. Virus, páginas web falsas, archivos ilegales, documentos secretos… Lo que sea. Se puede hacer en cinco minutos desde cualquier ordenador, gratis, y sin necesidad de averiguar contraseñas, pasar noches en vela escribiendo código o utilizar complejas técnicas de ‘hacking’. Además, es prácticamente imposible cazar al delincuente. “Es tan sencillo hacerlo que nadie puede negarnos que se esté haciendo ya”, afirma Garrido.

WhatsApp, una ‘nube’ negra

Cualquiera que haya utilizado alguna vez WhatsApp sabe que, además de mensajes de texto, es posible enviar archivos a nuestros contactos. Concretamente fotografías, vídeos, audios, tarjetas de contacto y coordenadas GPS. ¿Has probado alguna vez a enviar un documento de texto, un PDF o un archivo ejecutable? No se puede. Tampoco es posible enviar ficheros de más de 10 MB.

Pero estas son restricciones que se aplican del lado del cliente, en su dispositivo, y que no existen en los servidores donde se almacenan los archivos. Lo mismo sucede con el proceso por el cual se comprueban las credenciales (nombre de usuario y contraseña). Por tanto, lo único que se necesita para subir cualquier tipo de fichero a los servidores de WhatsApp de forma anónima es un sistema que permita comunicarse con la plataforma sin necesidad de utilizar la ‘app’, que es donde se encuentran todos los obstáculos.

Este sistema existe y más adelante explicaremos cómo funciona. De momento, quedémonos con que el servidor de WhatsApp permite subir archivos de cualquier tamaño y tipo (incluidos los ejecutables) desde un ordenador y sin identificarse. Si sumamos a esto que la plataforma no dispone de antivirus y que los contenidos se borran automáticamente en un plazo de 15 días, tenemos el caldo de cultivo perfecto para que al rey de chats le brote una infraestructura criminal en toda regla en su propia casa.

En la mente del atacante

San Emeterio y Garrido no se llevan un duro de esto, ni tienen una cruzada contra WhatsApp, ni pretenden dar pistas a los cibercriminales. Lo único que buscan al desvelar los fallos del servicio es que sus responsables los corrijan y, así, el usuario esté más protegido. Por eso tratan de adelantarse a los posibles usos delictivos que un ‘hacker’ sin escrúpulos podría encontrar.

En Ciberseg han ejemplificado unos cuantos. Por ejemplo, el público asistente, en su mayoría estudiantes de ingeniería, ha podido ver cómo un virus de lo más convencional (Citadel, incluido en la base de firmas de la gran mayoría de antivirus comerciales) se albergaba en los servidores de WhatsApp sin ningún impedimento y generaba una URL que el atacante podría usar para distribuirlo. Tres cuartos de lo mismo sucedería con contenidos ilegales, como por ejemplo una canción, un libro o una película con derechos de autor o, lo que es infinitamente peor, pornografía infantil.

En un segundo ejemplo, el hipotético cibercriminal alojaba en los servidores del chat una imitación de la web de una conocida entidad bancaria. Con la URL que se generaba, podía llevar a cabo la estafa conocida como ‘phising’: hacer creer al usuario que se trata de la auténtica página del banco para que introduzca su contraseña, robarla y acceder a su dinero.

Después, en un tercer ejemplo, exponían como la brecha de seguridad de WhatsApp podría facilitar enormemente el espionaje industrial. A día de hoy, el trabajador de una gran empresa tiene muy complicado robar documentos confidenciales sin ser descubierto. Si los imprimiese, los guardase en un pendrive o los enviase por correo, podrían pillarle. Sin embargo, sirviéndose de esta vulnerabilidad, podría trocear el archivo, subirlo a los servidores de WhatsApp y hacerlo pasar por una imagen que le ha enviado uno de sus contactos.

Todo esto es cuando menos inquietante, y eso que solo se trata de una pequeña muestra de los múltiples usos maliciosos que pueden pasar por la cabeza de un ciberdelincuente.

Con total impunidad

Lo que más preocupa, y lo que convierte a WhatsApp en un auténtico paraíso pirata, es que todos estos delitos podrían cometerse impunemente. Hasta ahora, cuando un cibercriminal quería distribuir un virus o llevar a cabo una estafa mediante ‘phising’, tenía que buscarse la vida para encontrar un servidor. Normalmente lo ‘hackeaba’, pero ya no es necesario. Puede utilizar una plataforma que no levanta grandes sospechas, de forma sencilla, gratuita y prácticamente sin riesgo. Al menos hasta que los responsables del chat decidan tomar cartas en el asunto.

Durante una investigación, lo máximo que las fuerzas de seguridad podrían averiguar, si es que WhatsApp accediera a proporcionárselo, sería la dirección IP desde la que se ha subido el archivo. Solo con eso, poco o nada se puede hacer para llegar hasta la identidad del atacante, que puede recurrir a infinidad de estrategias para camuflarse: utilizar proxys encadenados para que el archivo ‘pase’ por distintos países antes de llegar a su destino, conectarse desde redes públicas (por ejemplo, las de una universidad o una biblioteca), navegar de forma anónima mediante herramientas como Tor…

Además, como ya hemos indicado, todos los archivos que se almacenan en los servidores de WhatsApp se borran automáticamente a los 15 días. Los que comparte un usuario desde la ‘app’ en su móvil, los que se suben directamente desde un ordenador, los legales, los ilegales… Todos. En otras palabras, no solo es muy difícil encontrar al autor del delito sino que el propio chat se encarga de eliminar las pruebas.

¿Y cómo se suben archivos desde el ordenador?

Como decíamos, nada de esto podría hacerse desde la aplicación que un usuario convencional utiliza para conectarse a WhatsApp. Para evitar las restricciones, es necesario emplear otro sistema que se comunique directamente con el servidor. Pablo y Juan utilizan una API extraoficial conocida como Yowsup.

Una API es una librería de código (funciones, procedimientos, métodos) que una empresa pone a disposición de los programadores para que sus aplicaciones puedan comunicarse con la suya. Por ejemplo, la API de Facebook permite que haya un botón para compartir este artículo y la de Twitter hace posible que existan gestores de terceros como Echofon o Hootsuite.

Como los fundadores de WhatsApp decidieron no publicar su propia API, los ingenieros no podían crear aplicaciones capaces de interactuar con el chat y tuvieron que recurrir a la ingeniería inversa. Estudiaron el protocolo que seguía la ‘app’ para enviar y recibir mensajes y lo reprodujeron. Así nacieron Yowsup y WhatsAPI, las bibliotecas de código que San Emeterio y Garrido han utilizado en sus investigaciones. Esta última dejó de funcionar hace unos meses.

Pueden arruinarte la vida

A lo mejor llegados a este punto, e incluso siendo consciente de la magnitud del problema, te preguntas en qué te afectan a ti, como usuario de WhatsApp, estás vulnerabilidades. ¿Por qué deberías preocuparte? Porque, sin demasiado esfuerzo, cualquiera te puede meter en un gigantesco aprieto.

Decíamos al principio de este reportaje que Pablo San Emeterio encontró en su día un sistema para espiar los mensajes que mandas y que te mandan, para ver tus fotos y tus vídeos e incluso para suplantar tu identidad y mantener conversaciones en tu nombre.

No obstante, también comentábamos que WhatsApp introdujo modificaciones para evitarlo. Concretamente cambiaron la forma en que se generan los nombres de usuario y contraseñas. Antes se formaban a partir de un identificador único (algo así como el DNI de los móviles): la dirección MAC en los dispositivos Apple o el código IMEI en los equipos con sistema operativo Android. Era lo único que un atacante necesitaba conocer además del número de teléfono de su víctima. Y era relativamente sencillo de conseguir.

Ahora es un poco más complicado. Cuando el usuario quiere conectarse al servidor, es WhatsApp quien le envía la contraseña. ¿Y ya no se puede acceder a ella? Eso parecía… Hasta que Juan Garrido descubrió que la clave quedaba registrada en una base de datos dentro del propio terminal. En iPhone ni siquiera está cifrada y en Android se podría descifrar. La única ventaja es que, en principio, si quieren espiarte o suplantarte necesitarán tener tu móvil en sus manos para poder leer el ‘password’.

Fuente | lainformacion

Google corrige un fallo en su doble factor de autenticación

La empresa Duo Security, descubrió hace casi un año una vulnerabilidad en el sistema de doble autenticación que permitía a través de un ASP (application-specific password) capturado y un nombre de cuenta acceder a la cuenta en si de Google, y poder cambiar todos los datos de la misma para hacerse con el control de la misma.

Una vez logueado en los servicios de Google, se suelen generar contraseñas para cada aplicación que no use el doble factor de autenticación, lo que viene siendo un ASP o application-specific password. Estos ASP no tienen acceso a la cuenta de Google a través del doble factor de autenticación por lo que en principio no suponen un grave riesgo en caso de ser interceptados. En este escenario tenemos que los usuarios iban creando ASP para aplicaciones como thunderbird, apple mail, ical… lo que descubrió Duo Security es que estos ASP se podían utilizar para acceder a casi todos los servicios web de Google, accediendo a la configuración de los mismos y evitando la doble autenticación.

Por ejemplo, el servicio de auto-login para Android o Chrome OS, permitía que tras conectar el dispositivo a la cuenta de Google, el navegador del dispositivo pudiera acceder a estos servicios web sin tener que loguearse, dando acceso a cambiar la información para recuperar una cuenta, con lo que básicamente se podía cambiar esta información, cambiar el password y cuenta totalmente secuestrada.

 
Aunque estos ASP en muchos casos no se almacenan ni son fáciles de interceptar, el hecho de que puedan ser almacenados en aplicaciones de terceros (como los clientes de correo) siempre dejan la puerta abierta a que o bien se puedan desde el terminal o se pueda interceptar una comunicación no debidamente encriptada. En este caso con el nombre de usuario, este ASP y una visita a https://android.clients.google.com/auth los atacantes ya tenían todo los necesario para acceder a la configuración más sensible de la cuenta con la posiblidad de robarla.

Lo que ha hecho Google en este caso es añadir un estado de sesión para identificar de que manera el usuario está identificado y en el caso que sea a través de un tercero o del propio dispositivo impedir el acceso a determinadas zonas sin pasar previamente por un login clásico en web.

Fuente | cyberseguridad

Vulnerabilidades también en Pidgin

 

pidgin Vulnerabilidades también en Pidgin

Si ayer mismo informábamos sobre una vulnerabilidad en el kernel Linux, hoy toca hacerlo de otra pieza de software libre, menos importante pero muy conocida y utilizada aún así. Hablamos de Pidgin, uno de los clientes de mensajería instantánea multiplataforma más populares.

Según cuentan nuestros compañeros de MuyLinux, la última versión de Pidgin, la 2.10.7, cierra cuatro agujeros de seguridad graves, cuya explotación podría tener consecuencias como manipulación de datos, ejecución de código arbitrario de forma remota o causar una denegación de servicio.

La recomendación es obvia: actualizar cuanto antes a la última versión de la aplicación, algo de lo que las principales distribuciónes GNU/Linux con Pidgin en sus repositorios ya se han encargado de hacer en favor de sus usuarios. Sin embargo, en Windows y Mac OS X hay que actualizar a mano.

Fuente | muyseguridad

Millones de dispositivos móviles HTC en riesgo

 
Según informó The Hacker News, la Comisión Federal de Comercio de Estados Unidos (Federal Trade Commission) ha acusado a la empresa taiwanesa HTC por no tomar medidas adecuadas en cuanto a la seguridad en sus teléfonos. De esa manera, un software sobre móviles en Android o Windows podría robar información personal
por aplicaciones de terceros.
Dispositivo móvil HTC

La FTC ha identificado diversas vulnerabilidades que incluyen algunas aplicaciones conocidas como HTC Loggers y Carrier IQ. Asimismo, se descubrió que existen algunas vulnerabilidades en la programación, lo que permite a aplicaciones de terceros saltear ciertos permisos en el modelo de seguridad de Android.  Esto ocurre por una nueva delegación de permisos donde una aplicación que tiene determinado nivel de acceso a información o funcionalidades críticas pueden ser accesibles por otras aplicaciones que no deberían tener los mismos permisos.

Además, este tipo de vulnerabilidad podría permitir a las aplicaciones acceder a la información de los contactos,
obtener el historial de navegación de la potencial víctima, el contenido de los mensajes de texto e incluso información de transacciones bancarias. En otro caso, códigos maliciosos podrían grabar conversaciones o incluso realizar un rastreo de la geolocalización de la víctima. Existe un documento explícito (en inglés) que explica en varios niveles las fallas en cuento al diseño de los dispositivos.

La FTC informó que HTC accedió a desarrollar parches de seguridad que solucionen este problema, debido a que millones de teléfonos se encuentran expuestos. Además, HTC América establecerá un programa integral de seguridad que se aplicará durante el desarrollo de los dispositivos, con la finalidad de evitar futuras brechas de seguridad.

En este caso particular, las vulnerabilidades solo afectan a teléfonos móviles HTC. Sin embargo, existen vulnerabilidades que residen en las propias aplicaciones. De esta manera es importante que los usuarios actualicen periódicamente sus aplicaciones para contar con los últimos parches de seguridad. Asimismo, contar con un software antivirus permite estar protegido contra amenazas que afectan a estas plataformas.

El siguiente nivel corresponde a la educación por parte del usuario y a sus buenas prácticas a la hora de utilizar los dispositivos. Desde ESET Latinoamérica, recomendamos la lectura de nuestra guía de dispositivos móviles para que los usuarios adquieran conocimiento e incorporen buenas prácticas en la temática. Finalmente, para aquellas organizaciones que utilicen dispositivos móviles como parte de sus recursos, recomendamos la lectura de nuestro artículo Seguridad en BYOD.

Fuente | blogs.eset-la