domingo, 30 de noviembre de 2014

Cómo averiguar qué aplicación está usando un puerto en Windows y Linux

Explicamos en este tutorial cómo averiguar qué aplicación o servicio está usando un determinado puerto de comunicaciones en el equipo. Mostramos cómo saberlo en sistemas operativos Windows y Linux sin usar software adicional de terceros, con las propias herramientas que incluye el sistema operativo.

Averiguar qué aplicación está usando un puerto de comunicaciones en Windows.

Averiguar qué aplicación está usando un puerto de comunicaciones en Linux.

Averiguar qué aplicación está usando un puerto de comunicaciones en Windows

A continuación explicaremos cómo saber qué aplicación o servicio de Windows está usando un puerto determinado, para ello usaremos el comando Windows: netstat. Para ello abriremos una ventana de MS-DOS (consola de comandos o shell), desde el botón "Inicio", escribimos "cmd", pulsamos con el botón derecho del ratón sobre "cmd.exe" y seleccionamos "Ejecutar como administrador":

Ejecutaremos el siguiente comando Windows:

netstat -naob

Nos devolverá un listado de todos los puertos de comunicaciones que están siendo usados actualmente con el protocolo (TCP, UDP, TCPv6 y UDPv6), dirección IP local, dirección IP remota, estado y PID (número que identifica el proceso en las tareas que se están ejecutando):

Si queremos guardar el resultado en un fichero ejecutaremos el comando Windows:

netstat -naob > aplicaciones_puertos.txt

Con el comando comando Windows:

notepad aplicaciones_puertos.txt

Abriremos el Bloc de notas con el resultado del comando anterior, desde aquí podremos consultar, buscar y guardar todas las aplicaciones que abren puertos de comunicaciones en nuestro equipo:

Un ejemplo del resultado de este comando:

Conexiones activas

Proto Dirección local Dirección remota Estado PID
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 2068
ftpsvc
[svchost.exe]
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4
No se puede obtener informaci¢n de propiedad
TCP 0.0.0.0:111 0.0.0.0:0 LISTENING 3848
[VeeamNFSSvc.exe]
TCP 127.0.0.1:63924 127.0.0.1:63925 ESTABLISHED 7216
[firefox.exe]
TCP 127.0.0.1:63925 127.0.0.1:63924 ESTABLISHED 7216
[firefox.exe]
TCP 127.0.0.1:63926 127.0.0.1:63927 ESTABLISHED 7216
[firefox.exe]
TCP 127.0.0.1:63927 127.0.0.1:63926 ESTABLISHED 7216
[firefox.exe]
TCP 127.0.0.1:64151 127.0.0.1:64152 ESTABLISHED 5436
[vmware-vmrc.exe]
TCP 127.0.0.1:64152 127.0.0.1:64151 ESTABLISHED 5436
[vmware-vmrc.exe]

En el caso en que no aparezca el ejecutable de la aplicación que está usando el puerto podremos consultarlo de la siguiente forma:

1. Ejecutaremos el comando anterior con el parámetro "o" que nos mostrará el PID del proceso que está abriendo el puerto, buscaremos el puerto del que queramos averiguar la aplicación o servicio que lo está usando. En en el ejemplo buscamos qué aplicación está usando el puerto "3306", anotaremos el PID de la aplicación que aparece al final de la línea (en el ejemplo "1320"):

2. Abriremos el Administrador de tareas desde el botón "Inicio" - "Panel de control" "Información y herramientas de rendimiento":

Pulsaremos en "Herramientas avanzadas":

Pulsaremos en "Abrir el Administrador de tareas":

Ahora mostraremos la columna "PID", para ello pulsaremos en el menú "Ver" - "Seleccionar columnas":

Marcaremos "Identificador de proceso (PID)":

Si queremos que nos muestre la ubicación del fichero ejecutable del proceso que usa el puerto marcaremos también "Nombre de ruta de la imagen":

Buscaremos el PID consultado anteriormente correspondiente al ejecutable que está abriendo el puerto, en nuestro caso "1320", así podremos consultar la ruta (carpeta) y ejecutable que lo está usando:

Averiguar qué aplicación está usando un puerto de comunicaciones en Linux

En el caso de sistemas operativos Linux podremos usar el siguiente comando Linux para obtener los procesos y el puerto de comunicaciones que usan:

lsof -w -n -i

El comando Linux nos mostrará el proceso, el PID, el usuario, tipo, dispositivo, protocolo y estado de la conexión:

Para obtener la aplicación que tiene un puerto abierto en Linux usaremos el comando Linux:

ls -l /proc/XXX/exe

Donde XXX será el PID del proceso a consultar.

Existen otros comandos Linux para obtener datos de los procesos que usan puertos de comunicaciones como:

netstat -panut | grep LISTEN

O también:

ss -a | grep LISTEN

miércoles, 26 de noviembre de 2014

Actualización crítica de Flash Player

 


Adobe ha lanzado una actualización urgente fuera de ciclo para una vulnerabilidad crítica de ejecución remota de código en su popular reproductor Flash Player. La vulnerabilidad está siendo actualmente explotada in-the-wild.


La vulnerabilidad crítica (CVE 2014-8439) en Flash Player para Windows, Mac y Linux fue mitigada originalmente hace más de un mes en la versión del 14 de octubre de 2014, pero un investigador francés de Kafeine encontró un exploit activo en los Angler Exploit Kit y Nuclear Exploit Kit después de que Adobe publicara el parche.


Según F-Secure, a vulnerabilidad permite a un atacante ejecutar código arbitrario debido a una debilidad en la forma en que se maneja un puntero sin referencia a memoria. Un atacante podría crear un archivo Flash especialmente diseñado para activar la vulnerabilidad, que conduciría a la ejecución del código del atacante con el fin de tomar el control del sistema de la víctima.


En su boletín APSB14-26, Adobe clasificó la vulnerabilidad como crítica y por eso recomendados actualizar a la brevedad a Flash versión 15.0.0.239 en sistemas Windows, Mac OS X y Linux... o bien dejar de utilizar Flash Player.


Microsoft lanzará pronto actualizaciones de seguridad para Internet Explorer 10 y 11 y Google hará lo mismo para que Chrome. Para conocer su versión de Flash Player actual, visite esta página.

martes, 25 de noviembre de 2014

Google publica nogotofail, herramienta para probar la seguridad en redes

 

antpji

Fuente: MuySeguridad

Google ha liberado una herramienta de testeo denominada nogotofail para ayudar a los desarrolladores a detectar errores y fallos de seguridad en el tráfico de redes. La herramienta es de código abierto y está alojada en github, de modo que cualquiera la puede probar, aportar nuevas características al proyecto, proporcionar soporte para más plataformas y en general ayudar a mejorar la seguridad de Internet.

Y ese es el objetivo de Nogotofail, que llega tras las vulnerabilidades descubiertas en la implementación de la seguridad de la capa de transporte, desde las más críticas como Heartbleed en OpenSSL, el bug gotofail de Apple o el reciente CANICHE en la versión 3 de SSL.

La herramienta ofrece una manera sencilla de confirmar que dispositivos o aplicaciones son seguros contra vulnerabilidades conocidas TLS / SSL y errores de configuración. Nogotofail trabaja sobre Android, iOS, Linux, Windows, Chrome OS, OSX, de hecho en cualquier dispositivo que utilice para conectarse a Internet. Hay un cliente fácil de usar para configurar los ajustes y obtener notificaciones en Android y Linux, así como el motor de ataque en sí, que puede ser desplegado como un router, servidor VPN o proxy.

Google dice que ha estado utilizando internamente esta herramienta bajo el compromiso de aumentar el uso de protocolos TLS/SSL en todas sus aplicaciones y servicios. La apertura al público como un proyecto de código abierto permitirá mejorar sus características y soporte.

Google publica nogotofail, herramienta para probar la seguridad en redes

WebCam On - Off v.1.0 [Evita que te espíen por tu camara Web] GRATIS

 

webcam status on

Las cámaras Web que le permite estar en contacto con familiares y amigos una webcam le permite grabar y transmitir vídeos desde el ordenador o portátil a Internet o un archivo de vídeo. Cuando no esté utilizando la cámara web, es posible que desee deshabilitar para asegurarse de que no está grabando por accidente y también plantean riesgos de personas escribiendo en ellos y espiar a usted sin duda ,El malware puede tener sobre webcams, de manera que existe la posibilidad de la cámara para espiar en usted, la mayoría de los hackers utilizan los llamados troyanos , pueden tomar el control de la webcam y hacer videos y tomar fotos de usted sin su conocimiento.
Si usted es un padre o madre, hay algunas razones por las cuales usted puede querer deshabilitar la cámara web, todos ellos tienen que ver con la seguridad. Video mensajería instantánea y sitios web no siempre son niños, y usted puede decidir la desactivación de la webcam es su mejor recurso. Si tiene una cámara web externa, desconecte el cable USB que se conecta la cámara al ordenador, y ocultar la cámara en algún momento su hijo no lo vas a encontrar! , Pero no es la mejor manera porque si usted lo necesita cada 2 - 3 horas se puede ocultar una y otra vez? Y, ¿qué pasa si usted tiene una cámara incorporada?
El Washington Post destacó una desconcertante estudio publicado en la Universidad Johns Hopkins que encontró que una webcam del portátil puede funcionar en relativo secreto un poco más sutiles de Ojo de Sauron Webcam de espionaje -en particular la variante que supone la desactivación luces de indicador LED-lleva un poco de esfuerzo, pero la práctica no se limita al ámbito de benevolencia académicos. El FBI también ha reconocido públicamente su capacidad de emplear estas técnicas en la investigación actividad criminal

Como se puede ver la webcam totalmente desactivar es la forma más segura de proteger su intimidad, ya que están codificadas de “WebCam on - Off” software , es un Portable Freeware , se puede utilizar para activar o desactivar fácilmente su dispositivo de cámara web, por favor, no permitas que la realidad televisión en tu casa.

Cómo utilizarlo:

1. Haga doble clik en él y mirar el sobre - Indicador apagado (bajo el icono de cámara web)

estado de la webcam en

2. Para desactivar el uso de tu cámara web “botón Desactivar” para que pueda utilizar “botón Enable”, después de deshabilitar su cámara web se puede comprobar, tratar de abrir la pantalla de la cámara web, probablemente verá el “Sin fallos del equipo”

sin error del dispositivo

O puede utilizar el Administrador de dispositivos, haga clic en el icono “Administrador de dispositivos” y compruebe el controlador de cámara web.

administrador de dispositivos

Si su cámara web ya está deshabilitado icono indicador será Off

estado de cámaras web en off

lunes, 24 de noviembre de 2014

Siete enlaces para saber que sabe Google de ti

 

24/11/2014

Seguro te ha pasado que buscaste accesorios para tu bicicleta, y luego de un rato, misteriosamente aparece una publicidad relacionada a bicicletas dentro del sitio que visitas.
Esto tiene una lógica y es bastante evidente: toda acción que realizas en Internet queda registrada en las máquinas de Google, una empresa que administra gran parte de los servicios que utilizas a diario.


Hacia dónde te mueves, tus rutas, tus intereses, tus gustos y mucho más. A continuación te dejamos siete enlaces que te mostrarán cuáles son las cosas que Google sabe sobre ti, para qué las usa y cómo puedes tomar control de ellas:

1. Panel de Administración General
Este panel permite administrar todas las cuentas de Google, sus servicios, aplicaciones y dispositivos. Es el centro neurálgico de todas las operaciones realizadas por el usuario en Google. Ingresa desde https://www.google.com/settings/dashboard
2. Cuánto te conoce Google (Anuncios)
Tengas o no una cuenta en Google Plus, la empresa tiene un perfil básico que aúna tus conductas de navegación en Internet: sabe qué edad tienes, cuál es tu género y algunos de tus gustos, en función de las búsquedas que realizas a diario en el buscador.
Esa información usualmente es utilizada para mostrarte publicidad y anuncios personalizados mientras navegas en distintos sitios: ¿qué es lo que exactamente saben sobre ti? Ingresa a https://www.google.com/ads/preferences/
3. Dónde te mueves
Si no lo sabías, quizá esto te sorprenda: Google conoce también cada paso que has dado, literalmente. Si utilizas Android, a través de tu dispositivo móvil, Google ha "trackeado" tus trayectos que realizas día a día. ¿Cómo ver qué lugares has recorrido? Ingresa a https://maps.google.com/locationhistory
4. Archivo de búsqueda
El buscador más importante del mundo no podía no tener esta opción: cada búsqueda que has realizado y cada click que has hecho en sus anuncios. Para revisar tu registro ingresa a https://history.google.com
5.Dispositivos que se han logueado a tu cuenta
Si sospechas que alguien ha estado usando tu cuenta, Google lleva el registrado de los dispositivos en los que tienes conectada tu cuenta. Así, a través de la dirección IP, podrías localizar qué equipo y desde dónde se está iniciando sesión: https://security.google.com/settings/security/activity
6. Qué aplicaciones pueden ver tus datos
Google tiene la opción para desplegarte en una lista todas las aplicaciones que utilizan tu cuenta de correo electrónico como acceso. De esta manera, puedes regular quiénes y cuánto pueden ver de tus datos personales: https://security.google.com/settings/security/activity
7. Exportar tus datos

Finalmente, Google te permite bajar tus datos e información consolidada. Dígase: marcadores de Chrome, e-mails, contactos, archivos de Google Drive, tu información de perfil, tus videos subidos a YouTube, fotos y más: https://www.google.com/takeout


Fuente: 24Horas y WSJ


Regin: un malware que ha estado espiando desde el año 2008

La amenaza habría sido creada por un gobierno tecnológicamente activo.

En su rol de analista de seguridad, la compañía Symantec ha publicado un reciente informe donde detallan la existencia de Regin, un malware o código malicioso que ha estado rondando en la red desde el año 2008 pero que recién ha sido descubierto, sindicándose como responsable en labores de espionaje y robo de información personal a gran escala.

Según los estudios de la gente en Symantec, Regin es un troyano que abre puertas traseras en los sistemas infectados y permite a los piratas informáticos realizar gran cantidad de acciones, gracias a la naturaleza modular de la amenaza que otorga a quien controle el malware la posibilidad de añadir módulos de ataque según sus propias necesidades, ya sea para servir al robo de información, control de la computadora afectada y mucho más.

Y es que Regin es altamente sofisticado y está diseñado para cumplir tareas de espionaje a nivel masivo como pocas veces se ha visto en la historia de la informática, por lo que en Symantec se cree que la amenaza ha sido creada por el gobierno de algún país con los recursos económicos para hacerlo, ya que algo de esta categoría tarda meses, si es que no años en ser creado.

Víctimas y contagio

El nicho de víctimas no da muchas pistas acerca de las intenciones detrás de los creadores, ni mucho menos de su origen. Porque el 48% de los afectados son personas individuales o negocios pequeños, mientras que el 28% de los ataques han sido dirigidos hacia operadoras telefónicas, probablemente con la intención de interceptar llamados por voz. El resto de los afectados son las entidades de gobierno, aerolíneas y gestores de servicios básicos como el agua o la electricidad a nivel nacional.

La distribución de víctimas según país tampoco da una respuesta clara a los misterios en torno a Regin: un 28% de los ataques se registran en Rusia, un 24% en Arabia Saudita y de ahí en adelante se reparten porcentajes menores en países alrededor del mundo como México, Irlanda, India, Bélgica y varios más.

Otro aspecto preocupante de esta amenaza es que no se sabe con certeza la naturaleza del contagio, registrándose numerosas vías por las cuales el malware ha entrado a los sistemas afectados, generalmente aprovechándose de alguna vulnerabilidad en servicios de Internet como el correo electrónico y los sitios web. Esto no hace más que confirmar lo complejo de la amenaza y lo sofisticado de su desarrollo, ya que se han aprovechado innumerables agujeros de seguridad de diversas compañías de Internet para propagar su infección.

Y si bien Regin ha estado dando vueltas por la red desde el año 2008, se detectó que en 2011 fue retirado abruptamente de circulación. Pero en 2013 habría aparecido una nueva versión, desconociéndose a la fecha si acaso existen nuevas variantes de este código malicioso del cual se sabe muy poco y que al parecer, entra a competir con el virus Flame y el virus Stuxnet como una de las amenazas informáticas más importantes de los últimos años.

FUENTE: FayerWayer

sábado, 22 de noviembre de 2014

Microsoft lanza actualización importante para Windows 8.1

 

 

Microsoft ha liberado una actualización importante para Windows 8.1, una de las más grandes desde aquella que liberaron el pasado mes de abril, denominada como actualización de noviembre.

Los usuarios de Windows 8.1, Windows RT 8.1 y a Windows Server 2012 R2 ya pueden descargar esta actualización que ha sido distribuida como opcional, aunque al instalarla tendremos que reiniciar el equipo ya que incluye novedades importantes.

Dentro de esta actualización podemos destacar numerosas mejoras de estabilidad y rendimiento, además de la corrección de errores menores y de poca importancia. En resumen esta actualización corrige según la web oficial de Microsoft los siguientes errores:

  • Mejora de Windows Hyper-V para máquinas virtuales de Linux que tienen sistemas de archivos mayores de 2 TB.

  • Windows Server 2012, lentitud de respuesta del clúster.

  • Uso elevado de la memoria al ejecutar una aplicación en Windows 8 o Windows Server 2012.

  • Wmiprvse.exe, pérdida de memoria cuando un programa consulta información de almacenamiento de disco o partición en Windows Server 2012.

  • Actualización del microcódigo para procesadores Intel, mejorar la fiabilidad de Windows Server.

  • Error en una operación de copia de archivo cuando los archivos o carpetas tienen rutas de acceso largas en el Explorador de Windows.

  • Actualización para admitir sonido de formato AAC y LATM en Windows 8.1 y Windows 8.

  • Error en la tarea de copia de seguridad con un fallo de tiempo de espera en Windows Server 2012 o Windows Server 2008 R2.

Esta actualización está disponible en versión de 32 bits y de 64 bits, así que no tendremos ningún problema para disfrutar de las ventajas de la misma en nuestro equipo.

Web oficial de Microsoft.

viernes, 21 de noviembre de 2014

Botnets en Latinoamérica: Perdiendo la capacidad de elegir.

 

¿Qué es una Botnet? ¿Cuál es su objetivo? ¿Se propaga también en Latinoamérica? ¿Cual son las más difundidas? ¿Cómo defenderse?


Aunque los zombis de Hollywood no son todavía una amenaza para la humanidad, existen otros tipos de zombis mucho más peligrosos para las compañías caminando entre nosotros. En los últimos años, una de las armas más eficaces utilizada por los ciberatacantes ha sido la “zombificación” de computadoras para crear botnets. Esto es tan cierto en Latinoamérica como en el resto del mundo. La amenaza de un “apocalipsis zombi” para las computadoras de nuestras empresas crece cada día, obligándonos a tomar las medidas necesarias para evitar la infección.

Se denomina como “zombi” a una computadora capturada por un hacker mediante un virus o troyano para ser controlada de forma remota sin el consentimiento de su dueño. Ya una botnet, denota a un grupo de computadoras infectadas y controladas por un atacante de forma remota. Su nombre proviene de la unión de dos palabras del inglés: “bot”, que significa robot, y “net”, que significa red.  Decenas, centenas o miles de computadoras “zombificadas” controladas por el mismo cibercriminal constituyen una botnet.
Los atacantes posteriormente espían datos en las computadoras infectadas y las actividades realizadas por sus usuarios, con los siguientes objetivos:
   •   Robar credenciales
   •   Robar información confidencial y propiedad intelectual
   •   Enviar Virus y Spam para infectar nuevos dispositivos
   •   Realizar ataques de DoS (denegación de servicio), que consisten en dejar fuera de servicio a un servidor saturándolo de consultas.


Dorkbot: la botnet más difundida en Latinoamérica
Desde el 2011 hasta la actualidad, las botnets que se propagaron más en nuestra región han pertenecido a la familia Dorkbot, un código malicioso con 5 variantes conocidas que se propagó mayormente en México, Perú y Colombia; pero también con numerosos casos en Chile, Ecuador y Argentina.
Este código se propaga a través de las redes sociales y cuenta con ataques de phishing para robar información confidencial; su técnica de propagación reemplaza todos los archivos y las carpetas por accesos directos y, como también se transmite a través de dispositivos extraíbles, es muy difícil erradicarlo.
El malware está desarrollado en C++ y su objetivo es hacer ataques de denegación de servicio a servidores que funcionen bajo el protocolo de mensajería IRC.
VBS/Agent: Un nuevo entrante
La familia de malware que se está difundiendo más en Latinoamérica durante 2014 se llama VBS/Agent.NDH. Tomando en consideración los 11 países del mundo donde este código se ha propagado en mayor cantidad, 8 de esos países son latinoamericanos: México (14%), Perú (13%), Venezuela (8%), Ecuador (7%), Colombia (3%), Bolivia (3%), Argentina (2%) y Guatemala (2%). Esto significa que más de la mitad de los infectados en el mundo están en Latinoamérica (cerca de 60%).
Este malware es persistente en los sistemas, creando una entrada en el registro que hace que se ejecute cada vez que un dispositivo reinicia. Con características similares a la familia Dorkbot, este gusano infecta el sistema Windows y también tiene la capacidad de infectar los dispositivos USB. Llega a la computadora como un archivo descargado por otro malware o se descarga, sin el conocimiento del usuario, cuando se visita un sitio web malicioso con la finalidad de dar control de los dispositivos a sus autores y robar informaciones sensibles. Está desarrollado en VBScript y utiliza el protocolo HTTP.

Geografía regional, Dorkbot vs VBS

Tomando en consideración datos de la empresa ESET, Dorkbot sigue siendo el líder en países como Argentina, Chile y Uruguay con el 61% del total de computadoras infectadas contra el 18% de VBS. En Colombia, Venezuela y Ecuador, VBS supera a Dorkbot con 55% de los casos presentados, mientras que VBS afectó a 36% de los infectados. En México y en Centroamérica, Dorkbot gana a VBS con más del 50%, dejando su “adversario” en alrededor de 40% del total de infecciones. En toda Latinoamérica, el tercer puesto es ocupado por Win32/Autorun.IRCBot, con una media del 4% de las computadoras afectadas por un botnet en la región.
Si bien estas son las botnets más difundidas, conquistando alrededor de 90% del total de afectados, también existen muchas variedades que se están difundiendo cada día en Latinoamérica: SpyZBot, que roba códigos de banca en línea, Neurevt, que utiliza el correo electrónico como principal vector de ataque, y BlackEnergy, diseñado para detectar redes y ejecutar códigos remotos.


¿Cómo protegerse?
Reconocer si su computadora es un zombi haciendo parte de una botnet no es una tarea tan fácil como reconocer los zombis de las películas. En realidad, su computadora podría hacer parte de una botnet sin que usted se dé cuenta, y puede que algunos minutos atrás haya pasado un archivo por USB a su colega, trasmitiendo el malware y contagiando rápidamente otras computadoras, una característica presente en las dos botnets más comunes en Latinoamérica. Además, si no está seguro del estado de su computadora, ¿qué puede decir de la computadora de sus colegas? Es imposible controlar todas las computadoras de su empresa sin tener las herramientas correctas. Durante una infección, el factor clave es el tiempo. Cuando soluciona un incidente rápidamente, impide la propagación del malware y reduce el tiempo de inactividad de sus dispositivos durante su reparación. La pieza clave para ahorrar el tiempo durante una respuesta a incidentes, son las soluciones EnCase.
Las distintas soluciones de EnCase tienen un enfoque particular para la detección y la respuesta a incidentes. Utilizando la amplia experiencia forense de Guidance Software, EnCase ha creado herramientas destinadas a cualquier tipo de organización que permite obtener una visibilidad completa hacia los datos de los dispositivos hasta el nivel del bit. A diferencia de la mayor parte de las herramientas de seguridad perimetral, EnCase no está basado en firmas, sino que ofrece decenas de procesos de escaneo automatizados que son personalizables a cada entorno para analizar el comportamiento de los dispositivos y de los usuarios.
Mediante múltiples escaneos durante el tiempo, se puede crear una línea de referencia de la actividad cotidiana en su empresa, de forma que cualquier actividad inusual pueda ser notada con facilidad. Estos escaneos, al ser realizados en todos los dispositivos de la organización, nos permiten conseguir una perspectiva clara del alcance e impacto causado por una infección botnet, o por cualquier otro tipo de incidente de seguridad.
Con EnCase usted puede:
   •   Eliminar completamente malware y artefactos relacionados
   •   Exterminar procesos en ejecución
   •   Limpiar datos sensibles de localizaciones no autorizadas
   •   Producir reportes que demuestren éxito/cumplimiento
   •   Hacer Escaneos de Entropía para encontrar otras versiones del código maliciosos encontrado, como en caso de malware polimórfico
   •   Administrar por completo un incidente de ataque polimórfico


Lo importante es recordar que se necesita un método que permita reaccionar a estas amenazas con gran velocidad, antes de perder informaciones preciosas y antes de que el malware se propague por toda la compañía. Caso quiera profundizarse en este tema, hemos preparado un webinar gratis de 45 minutos en el cual hablamos exclusivamente sobre zombis y botnets. El webinar, titulado “Evite que Sus Dispositivos se Conviertan en Zombis”, está disponible ahora en nuestro sitio web y realmente les aconsejo verlo.

¿Los gobiernos te vigilan? Descúbrelo con Detekt, el anti-spyware de Amnistia Internacional.

 

image

Después de declaraciones tan contundentes como las que suele hacer Edward Snowden, y de datos tan significativos como los que apuntan a que los gobiernos son los responsables del 87% del ciberespionaje, a más de uno se le habrá pasado por la cabeza la idea de que su ordenador también podría estar infectado con algún tipo de spyware gubernamental.

Para sacarnos de dudas ha sido lanzado Detekt, un nuevo software gratuito y de código abierto que protegerá nuestros equipos de los programas de spyware más utilizados por las agencias gubernamentales. La aplicación, desarrollada por el investigador de seguridad alemán Claudio Guarnieri, ha sido lanzada en asociación con Amnistía Internacional y diferentes organizaciones pro derechos civiles y de protección al consumidor.

La función de Detekt es la de escanear y analizar nuestros equipos para detectar si estamos infectados con alguno de los programas de ciberespionaje más utilizados por los gobiernos. Esta herramienta será de especial utilidad para todos los periodistas y activistas que, según Amnistía Internacional, son espiados en docenas de países alrededor del mundo.

Algunos de estos malwares espía, como el programa FinSpy desarrollado por la empresa FinFisher, son capaces de leer nuestros correos electrónicos, monitorizar nuestras conversaciones por Skype,extraer archivos de nuestros discos duros o sacarnos una foto utilizando la cámara web de nuestro ordenador.

Amnistía Internacional avisa de que lo más normal es que los desarrolladores de spyware reaccionen al lanzamiento de este programa, y que actualicen sus aplicaciones para evitar que sean detectadas. Por eso la asociación avisa de que, aunque los análisis de Detekt en nuestro equipo den negativo, podríamos igualmente estar infectados.

jueves, 20 de noviembre de 2014

EL GRUPO DE ESPIONAJE SEDNIT ATACA REDES SEGURAS AISLADAS con Win32/USBStealer

EL GRUPO DE ESPIONAJE SEDNIT ATACA REDES SEGURAS AISLADAS

powerpoint_malware

El grupo de espionaje Sednit, también conocido como Sofacy, APT28 o “Fancy Bear”, estuvo atacando a diversas instituciones durante muchos años. Hace poco descubrimos un componente utilizado para atacar redes de equipos físicamente aislados (entre “air gaps”) y robar archivos confidenciales a través de unidades extraíbles. Un “air gap” es una medida de seguridad de redes que consiste en hacer que una red segura de ordenadores esté físicamente aislada de redes inseguras, como un acceso público a Internet o una red de área local no asegurada debidamente.

INTRODUCCIÓN

El mes pasado, ESET descubrió que el grupo Sednit estaba llevando a cabo ataques con víctimas específicas (Watering Hole) mediante el uso de un exploit kit creado especialmente con dicho propósito. En el transcurso de las últimas semanas, se compartieron varias investigaciones sobre este grupo, incluyendo el informe de Trend Micro Operation Pawn Storm y el informe de FireEye APT28.

En este artículo, compartiremos nuestros conocimientos sobre una herramienta empleada para extraer información confidencial de las redes que se encuentran aisladas y que ESET detecta comoWin32/USBStealer.

Creemos que el grupo Sednit viene usando esta herramienta al menos desde el año 2005 y que la sigue usando en la actualidad con sus objetivos habituales: las instituciones gubernamentales de Europa Oriental. En los últimos años se emplearon muchas versiones de esta herramienta, con diversos grados de complejidad.

ESTRATEGIA DE WIN32/USBSTEALER

Una medida de seguridad habitual para las redes de equipos con información confidencial es aislarlos completamente del mundo exterior mediante una “barrera de aire” (del inglés “air gap“).  Como lo implica el nombre, estas redes no poseen conexiones directas externas a Internet.

No obstante, el uso de unidades extraíbles puede generar nuevas rutas al mundo exterior. Esto es especialmente cierto cuando la misma unidad extraíble se conecta reiteradamente en equipos conectados a Internet y en equipos aislados, como ocurre al transferir archivos.

Este es el escenario que aprovecha la herramienta Win32/USBStealer para alcanzar las redes aisladas por air gaps. La siguiente imagen muestra un panorama general sobre esta estrategia con un ejemplo simple que involucra tan solo a dos equipos. El Equipo A está conectado a Internet y se infecta inicialmente con el dropper Win32/USBStealer, mientras que el Equipo B se encuentra físicamente aislado y se infecta con Win32/USBStealer durante el ataque:

ataque_diagrama

En este ejemplo, la misma unidad extraíble va y viene entre el Equipo A conectado a Internet y el Equipo B en el air gap. A continuación explicaremos cada paso de este ataque con mayor detalle. Ahora nos centraremos en la versión más compleja de Win32/USBStealer que hemos observado.

PASO 1: PRIMERA INSERCIÓN EN EL EQUIPO A

El Equipo A se infecta inicialmente con el dropper Win32/USBStealer, detectado por ESET comoWin32/USBStealer.D. El nombre de archivo del dropper es USBSRService.exe, que intenta hacerse pasar por un programa legítimo ruso llamado USB Disk Security, como se muestra a continuación:

metadatos_dropper

La lógica principal del dropper es la siguiente:

  • Monitoriza la introducción de unidades extraíbles en la máquina, para lo cual crea una ventana con una función de devolución de llamada, que recibirá la notificación cuando ocurra dicho evento.
  • Cuando se inserta una unidad extraíble, el dropperdescifra dos de sus recursos en la memoria. El primer recurso coloca el programa Win32/USBStealer en la unidad extraíble bajo el nombre “exe”. El segundo recurso es un archivo INF cuyo contenido se muestra a continuación:

[autorun]

open=

shell\open=Explore

shell\open\command=”System Volume Information\USBGuard.exe” install

shell\open\Default=1

  • Este archivo se coloca en el directorio raíz de la unidad extraíble. Su función es asegurarse de que, al hacer doble clic en la unidad, se ejecute el programa USBGuard.exe, así como cuando se hace clic en la primera opción del clic derecho (con el nuevo nombre “Explorar” en lugar de “Abrir”). Esto solo funcionará en equipos que tengan habilitada la funcionalidad Ejecución automática de Windows, que fue desactivada por la actualización de Windows KB971029en agosto de 2009.

Parece que fue hace mucho tiempo, pero creemos que Win32/USBStealer comenzó a propagarse al menos cuatro años antes de esa fecha. Además, es muy común que los equipos en redes aisladas por air gaps permanezcan desactualizados, ya que resulta difícil actualizarlos y los usuarios asumen que están fuera del alcance de los atacantes.

  • Finalmente, se coloca un archivo vacío llamado “in” en la unidad extraíble. Servirá como señalpara otras máquinas infectadas de que esta unidad, en algún momento, se conectó a otra máquina con conexión a Internet. En otras palabras, la unidad constituye una ruta potencial al mundo exterior para los equipos ubicados en air gaps.

Durante todo el proceso, el dropper tiene sumo cuidado de no atraer la atención. Por ejemplo, los archivos AUTORUN.INF y USBGuard.exe configuran su registro del último acceso y de la última escritura como si fuera el de una biblioteca estándar de Windows que se elige en el mismo sistema. Además, los dos recursos descifrados se vuelven a cifrar de inmediato en la memoria tras haber sido colocados en la unidad extraíble. Finalmente, todos los archivos colocados se configuran como archivos ocultos y archivos del sistema, para asegurarse de que los usuarios casuales no los detecten.

PASO 2: PRIMERA INSERCIÓN EN EL EQUIPO B

Cuando la unidad USB se inserta en el Equipo B, que tiene habilitada la funcionalidad Ejecución automática, se instala la herramienta Win32/USBStealer. Luego pasa a enumerar todas las unidades conectadas al equipo y, dependiendo del tipo de unidad, ejecuta un proceso diferente:

  • Si se trata de una unidad extraíble y se identificó que estuvo conectada a un equipo capaz de conectarse a Internet (gracias al archivo in colocado en el paso 1), el Equipo B se registra en la unidad mediante la creación de una carpeta con su nombre de equipo. Este registro les permitirá a los operadores trazar un mapa de los equipos accesibles cuando la unidad vuelva a conectarse al Equipo A. El Equipo B también graba el número de identificación de hardware de la unidad para llevar un registro local. Por lo tanto, incluso aunque el usuario quite el archivo in de la unidad, el Equipo B recordará que esta unidad puede usarse como ruta al exterior.
  • Si la unidad no es extraíble, o se puede extraer pero sin señales de que se haya conectado a un equipo con conexión a Internet, Win32/USBStealerejecuta un procedimiento de extracción automático (a diferencia del procedimiento manual que describiremos más adelante).

El propósito de este paso es agrupar los archivos interesantes de todas estas unidades en el mismo directorio local. La extracción real tendrá lugar la próxima vez que la unidad extraíble “marcada” se inserte en el Equipo B. Los “archivos interesantes” se definen como los siguientes:

  • Archivos con extensión “.skr”,“.pkr” o “.key”. Los dos primeros corresponden a las extensiones predeterminadas para los “conjuntos de claves” de la aplicación de cifrado PGP Estos archivos son el lugar de almacenamiento de claves privadas y públicas, respectivamente. Las herramientas de cifrado suelen usar la extensión “.key” para archivos que almacenan claves generadas.
  • Archivos cuyos nombres pertenecen a una lista codificada de forma rígida. Hemos observado dos listas diferentesin-the-wild, que se muestran en la tabla a continuación.

*
Lista 1
Lista 2

Período posible de uso
2005
2011-2014

Nombres de archivos buscados
Win32Negah.dll
Ssers.dat
Settings.dat
Negah2.exe
DtInt.dat
Audit.dat
key.in
key.out
z_box.exe
talgar.exe

El posible período de uso corresponde a la compilación de las fechas de los archivos que contienen estas listas.

Encontramos muy pocas referencias sobre estos nombres de archivos en Internet, probablemente debido a que pertenecen a programas de software privados. Es interesante notar que Talgar (de “talgar.exe”) es un pueblo de la provincia Almaty, en el sudeste de Kazajstán.

El malware busca estos archivos en todas las ubicaciones de la máquina, excepto en carpetas que coincidan con los siguientes nombres de productos antivirus: Symantec, Norton, McAfee, ESET Smart Security, AVG9, Kaspersky Lab y Doctor Web.

PASO 3: SEGUNDA INSERCIÓN EN EL EQUIPO A

Los operadores del malware obtienen desde la unidad el nombre de equipo registrado por el Equipo B. Como el dropper que se ejecuta en el Equipo A no implementa nada más aparte de lo descrito anteriormente, los operadores deberían tener otro componente malicioso más ejecutándose en el Equipo A para lograr ese paso.

A continuación, los operadores colocan comandos para el Equipo B en la unidad extraíble, dentro de un archivo cifrado llamado “COMPUTER_NAME.in”.

PASO 4: SEGUNDA INSERCIÓN EN EL EQUIPO B

Cuando la unidad extraíble vuelve a insertarse en el Equipo B, Win32/USBStealer coloca en la unidad los archivos agrupados durante el procedimiento de extracción automática explicado en el paso 2, más arriba. La próxima vez que la unidad extraíble se conecte al Equipo A, los operadores podrán capturar estos archivos “aislados por el air gap“.

A continuación, Win32/USBStealer descifra los archivos de comando colocados por los operadores para el Equipo B y da una serie de comandos que se ejecutarán sucesivamente. Cada comando es un número de dos bytes seguido por un parámetro.

Número de comando
Parámetro
Propósito

0x0001
Ruta de Windows
Copia los archivos que coinciden con la ruta a la unidad extraíble

0x0002
Raíz = Ruta = Día
Copia archivos cuya ruta coincida con “Raíz\Ruta*” de la unidad extraíble, pero solo si se modificaron hace menos de “Día” días atrás

0x0003
Raíz = Ruta = Día
Igual que el comando 0x0002, pero el parámetro también se escribe en el archivo de monitoreo del inicio (ver el párrafo siguiente)

0x0004
Debería configurarse en “!”
Inicia la función de extracción automática (ver el paso 2) en todas las unidades conectadas

0x0005
Ninguno
Elimina el archivo de monitoreo del inicio (ver el párrafo siguiente)

0x0006
Ruta de Windows
Ejecuta una copia del archivo señalado por el parámetro bajo el nombre “taskrel.exe”

0x0007
Ninguno
Elimina el archivo llamado “taskrel.exe”

0x0008
Raíz = Ruta = Día
Copia los nombres de archivos que coincidan con “Raíz\Ruta*” de la unidad extraíble, pero solo si se modificaron hace menos de “Día” días atrás, a un archivo llamado “inres.in”

0x0009
Ninguno
Elimina el archivo llamado “inres.in”

Los comandos 0x0003 y 0x0005 hacen referencia al archivo de monitoreo del inicio, un archivo almacenado localmente en el Equipo B, que contiene patrones de archivos en el formato “Raíz = Ruta= Día”. Cada vez que arranque el equipo, se ejecutará el comando 0x0002 para estos patrones. Esto permite hacer una monitorización a largo plazo de los archivos de interés.

El comando 0x0008 sirve como una manera de descubrir posibles archivos interesantes. Podemos especular que los operadores comienzan por el comando 0x0008 y luego ejecutan los comandos 0x0002 o 0x0003 para recopilar archivos de posible interés.

Para todos los comandos que copian archivos a unidades extraíbles, existe un mecanismo de reserva. En caso de que falle la copia de archivos, por ejemplo si no se otorga acceso de escritura a la unidad, los archivos se agrupan en un directorio local. Se copiarán a la próxima unidad con posibilidad de conectarse a Internet, que se enchufe a la máquina.

CONCLUSIÓN

Win32/USBStealer demuestra el alto grado de determinación de sus operadores: el grupo Sednit. A continuación mencionamos algunas cosas sorprendentes que descubrimos durante la investigación:

Casi 10 años de actividad: la primera fecha de compilación que encontramos para la cargaWin32/USBStealer es mayo de 2005, como se muestra en la imagen abajo. Como la versión del compilador que creó este binario en particular es consistente con la fecha de compilación, y ya que otras cargas de Win32/USBStealer llevan un registro realista de la fecha de la compilación (que datan de los últimos años), creemos que estas fechas representan la fecha real en que el programa entró en funcionamiento.

operacionsednit

  • Objetivos de ataque precisos: Los nombres de los archivos buscados por el procedimiento de extracción automático indican que hay un conocimiento muy preciso de los objetivos que se desean extraer.

Todavía quedan algunas preguntas pendientes: por ejemplo, hasta ahora no ha quedado nada claro cómo ocurrió la infección original. Podemos especular que se usó la técnica clásica de ataques de phishing dirigidos a grupos específicos. Debemos destacar que el reciente informe de FireEye sobre este grupo advierte sobre una campaña de phishing que usa como tema “la seguridad de los discos USB es el mejor software para bloquear amenazas que pueden dañar tu PC o que pueden comprometer tu información personal desde el almacenamiento USB”.

En el escenario de ataque descrito, el Equipo A ya tiene que estar siendo controlado por los cibercriminales. El dropper Win32/USBStealer no cuenta con la capacidad de comunicarse por Internet, por lo que podemos especular que hay otros componentes maliciosos ejecutándose simultáneamente en el equipo.

INDICADORES DE SISTEMAS COMPROMETIDOS

Dropper

  • Registra el servicio llamado “USB Disk Security” con la descripción “Provide protection against threats via USB drive” (Suministrar protección contra amenazas a través de la unidad de USB).
  • Como alternativa, se registra bajo la llave de registro “HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run”, con el nombre “USB Disk Security”
  • Abre un mutex llamado “ZXCVMutexHello”
  • Recursos del tipo “X”:
    • ID=109 para la carga
    • ID=106 para el archivo INF

Payload

  • Registra el servicio llamado “USBGuard” con la descripción “Protects removable media from becoming infected with malware” (Protege los medios extraíbles para que no se infecten con malware).
  • Como alternativa, se registra bajo la llave de registro “HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run”, con el nombre “USBGuard”
  • Abre un mutex llamado “USB_Flash”

Hashes

SHA1
Propósito
Nombre de detección de ESET

BB63211E4D47344514A8C79CC8C310352268E731
Dropper
(USBSRService.exe)
Win32/USBStealer.D

776C04A10BDEEC9C10F51632A589E2C52AABDF48
Payload
(USBGuard.exe)
Win32/USBStealer.A

Fuente: Mr. Calvet – ESET

martes, 18 de noviembre de 2014

Productos OfficeFix

 

Hoy les quiero mostrar los productos de OfficeFix en su version v.6

Entre los productos para Profesionales de IT se encuentra el AccessFix para solucionar problemas con Access Microsoft Office, ExcelFix y WordFix para la suite ofimática de Microsoft, OutlookFix para solucionar problemas con nuestro administrador de correo electrónico Microsoft Outlook y DeleteFix Photo para recuperar de manera rápida y fácil fotos eliminadas de tu cámara digital.

image

A continuación les agrego más información de los principales productos que pueden ustedes bajar en su versión EVALUACIÓN para luego ser adquirido.

La página Oficial es http://es.cimaware.com/ (en español). Vale la pena darle una oportunidad a sus productos.

Whatsapp activa la encriptación de sus mensajes

Usa un sistema que cifra los mensajes intercambiados entre usuarios de tal forma que ni la empresa ni la Policía pueden tener acceso a ellos; es transparente para el usuario.

 

 

Whatsapp informó hoy que activó una herramienta que, en teoría, subsana uno de sus puntos más débiles: el cifrado de los mensajes, que dio pie a competidores como Telegram. La encriptación transforma un texto convencional (o una imagen, un archivo, etcétera) en un galimatías que requiere de una clave especial para reconstruirlo.

Whatsapp se asoció con la organización Open Whisper Systems para incorporar el software Textsecure (de código abierto) en su red de mensajería móvil, que logra que sólo los participantes de una conversación tengan acceso a ella, es decir, logrando que sea (en teoría) prácticamente invulnerable a la mirada de terceros.

Textsecure usa una técnica de encriptación de punta a punta que transforma al mensajero en uno de los más seguros del mundo. El cifrado funciona con claves digitales intercambiadas por los usuarios y nadie más; esto hace que sea casi imposible que otros puedan acceder al contenido de la conversación, sea Whatsapp o la Policía.

Según le dijo la compañía a Wired, Textsecure lleva una semana encriptando mensajes; ahora los mensajes viajan hasta el dispositivo del usuario antes de ser desencriptados; antes el cifrado se hacía entre el dispositivo y el servidor de Whatsapp. El resultado es transparente, aunque más adelante incluirán la posibilidad de verificar la identidad del otro usuario en función de su llave criptográfica, para evitar los mensajes falsos de Whatsapp.

Este nuevo sistema de seguridad por ahora sólo está disponible en Android y no alcanza a los mensajes grupales, ni a fotos o videos, aunque luego estará disponible en otras plataformas.

jueves, 13 de noviembre de 2014

¿Qué datos se pueden obtener de un selfie?

Estamos con los amigos en un bar tomando unas cervezas. Alguien saca el móvil y se lía a sacar selfies. El siguiente paso está claro: lo sube a Facebook y nos etiqueta.

PabloYglesias-Selfie

Esta acción se repite día tras día en millones de lugares y grupos distintos. Los selfies están de moda, y la proliferación de smartphones con cámara aceptable y conexión acompañan la tendencia.

 

¿Qué es una fotografía digital, y qué metadatos puedo obtener de ella?

La pregunta parece absurda, pero seguro que a más de uno le acabará sorprendiendo la respuesta. Una fotografía digital (redoble de tambores…) no es únicamente un archivo con información gráfica, sino que lleva asociado una cantidad ingente de información técnica y tangencial a la propia fotografía.

Para que un dispositivo informático sea capaz de reproducir un archivo, es necesario que le demos ya no solo el contenido en bruto, sino la manera que tiene de hacerlo. Desde el formato del archivo, pasando por la compatibilidad con herramientas de visualización de este tipo de archivos, así como sus dimensiones, resolución y un largo etcétera.

Además, y unido a lo anterior, encontraremos información técnica del dispositivo que ha realizado la imagen (marca, modelo, sensor, tiempo de exposición, número F, longitud focal,…) e información ambiental (principalmente, hora y lugar donde se tomaron).

Toda esta información suele ser planteada siguiendo un estándar de metadatos multimedia llamado EXIF, y que permite ya no solo reproducir el contenido, sino dotar de información enriquecida a los reproductores que hacen uso de él, como el sistema de filtrado de herramientas como Flickr. Y por supuesto, sirve tanto a los buenos para realizar auditorías que puedan ser presentadas como prueba ante un juez, como a los malos (malos malísimos o empresas de marketing :)) para obtener beneficio de los mismos.

 

¿Qué información podría obtener de un selfie?

Volviendo al tema principal, en la foto que acompaña este artículo tenemos a cuatro sujetos disfrutando de una buena cerveza en un bar. He tapado la cara por proteger su privacidad, pero imaginemos que los cuatro son gemelos y que por tanto la imagen no está retocada (xD).

Como hemos visto, analizando los datos EXIF desde un programa de edición de fotografía como puede ser Photoshop o GIMP, podríamos conocer el móvil o cámara con la que ha realizado la fotografía, así como la hora y el lugar de la toma. Suponiendo, como era el caso, que la fotografía está subida a Facebook y que ha etiquetado a sus amigos, sabríamos también el nombre de cada uno, pudiendo descubrir cualquier posible parentesco y, por supuesto, cualquier otra información obtenida mediante ingeniería social en la propia red social.

Pero descontando esto último, que daría sin duda para otro artículo, sí podríamos obtener más información de la que aparentemente tenemos. Concretamente, por dos cuestiones: contextualidad y analítica.

  • Contextualidad: se basa en compulsar los datos que ya tenemos (obtenidos por EXIF) con el conocimiento que tenemos de la víctima y su entorno. Sabiendo las coordenadas donde se tomó la fotografía, podremos seguramente obtener en Google Maps el nombre del bar donde estaban, que seguramente concuerde con una tipología de cliente concreta (cervecero, amante del buen rock, tranquilo,…). La hora nos da una idea de sus hábitos (somos animales de costumbres). Esto unido al conocimiento del resto de integrantes de la plantilla, y posiblemente, a fotos anteriores.
  • Analítica: Atendiendo a lo que se ve en la propia fotografía, podemos conocer más del grupo. Relaciones entre ellos, forma de vestir (asociada a un nivel socio-económico) y su relación con las marcas. Precisamente esto último empieza a ser utilizado ya no solo por malos malísimos, sino por las agencias de marketing, para establecer asociaciones entre marcas (por ejemplo, sudadera de Nike y cerveza Heineken), con el fin de entablar posibles acuerdos publicitarios en conjunto, u obtener un patrón de cliente más exacto (asociaciones que quizás se desconocían, potenciales influencers,…). Para ello utilizan herramientas de analítica multimedia (Ditto Labs (EN) es una de las múltiples empresas que se dedican a esto “legalmente”) que analizan cada imagen buscando logotipos o marcas, que vuelcan en un dashboard para su explotación. Esto podríamos aplicarlo también a los malos malísimos, que tendrán sus propias herramientas para realizar sus fechorías.

Para terminar, recordar que precisamente los selfies son quizás los mejores botines de un ciberatacante, ya que además de toda la información que se puede obtener de ellos, le servirán para futuras campañas de phishing, bien sean propias o revendiendo sus investigaciones a terceros. Muchos se preguntan cómo alguien puede suplantarnos la identidad, y precisamente los selfies son el Caballo de Troya predilecto para ello.

 

¿Cómo protegernos de estas técnicas?

La respuesta rápida y sencilla es que si nos preocupa la privacidad, no subamos ni fotos ni vídeos, y mucho menos selfies, a internet. Ahora bien, como somos humanos y la guardia tarde o temprano acaba bajando, lo importante es hacerlo con cabeza.

Lo correcto, sería que esperáramos a llegar a casa y tranquilamente, con alguna de las herramientas de escritorio, borráramos los datos EXIF. Por ejemplo, en el caso de Photoshop, se puede hacer desde Archivo > Guardar para Web >Metadatos > Ninguno.

PabloYglesias-Metadatos

Esto además hará que la imagen pese menos (cada imagen puede llegar a contener 50ks de metadatos), por lo que cargará más rápido sin perder por ello calidad, lo que lo transforma además en una herramienta fenomenal para todos aquellos administradores de páginas (truquillo gratuito para cualquier blogger, por cierto).

Por supuesto, existen herramientas específicamente diseñadas para tal fin (que por cierto son más exactas que otras genéricas como el Photoshop, que sí que borra los datos EXIF, pero incluye unos pocos suyos). ExifTool (EN) permite borrar selectivamente uno u otro dato, e incluso modificarlo, motivo por el cual se armó la que se armó cuando el fundador de McAffee subió fotos suyas para reírse del anuncio de Busca y Captura que había sobre él (ES), y que hacen que en la práctica, defender como prueba legal la validez de los metadatos sea complicado (a no ser que se cuente con una firma que valide su originalidad).

Y por último, elegir muy bien los permisos en el servicio donde lo estamos subiendo. Asegurarnos de que al menos a priori solo es visible por nuestros amigos, y no de forma pública. Con esto no evitamos el problema (si un amigo comparte esa foto, se rompe el círculo), pero al menos minimiza los riesgos, que es de lo que se trata.

ShadowCrypt, una extensión de navegador para cifrar nuestras comunicaciones (ya disponible para Google Chrome)

 


Un grupo de investigadores ha desarrollado una extensión que ofrece a los usuarios cifrado extremo a extremo en su navegador
ShadowCrypt es fácil de configurar y usar, un buen exponente de que la seguridad y la privacidad pueden ser accesibles a todos
ShadowCrypt es una extensión que nos permite cifrar todo tipo de mensajes
Las filtraciones de Edward Snowden sobre los programas de espionaje de la NSA nos han hecho ver la red de una manera distinta. Somos más celosos con la privacidad de nuestros datos y el secreto de nuestras comunicaciones. Estos requisitos se ven reflejados en el desarrollo de aplicaciones y servicios que, precisamente, ponen el foco en la seguridad y privacidad.
Grandes protagonistas de la industria como Google o Yahoo, a raíz de las revelaciones de Snowden, anunciaron el desarrollo de servicios de mensajería segura. También hemos asistido al lanzamiento de servicios como Telegram, BitTorrent Bleep o Red Phone y hemos observado cómo aumentaba el uso de PGP para el intercambio de correos electrónicos. Un ecosistema en plena ebullición que, en los últimos días, ha sumado un nuevo integrante procedente de un equipos de investigadores de la Universidad de California, concretamente de Berkeley, y la Universidad de Maryland: ShadowCrypt, una extensión de navegador que permite cifrar mensajes en Twitter, Facebook y otros servicios web.
ShadowCrypt, la extensión para cifrar mensajes
Este plugin, disponible actualmente para Google Chrome (y cuyo código está disponible en GitHub), nos permite escribir un mensaje en servicios como Twitter o Facebook y, en vez de enviarlo tal cual lo hemos escrito, realmente enviará un "galimatías", un mensaje opaco; es decir, lo que estaremos enviando realmente será un mensaje cifrado. Cara a Twitter, Facebook o Reddit, el mensaje enviado estará cifrado y, de esta forma, aunque se intercepte la información o se acceda, de manera fraudulenta, a nuestra cuenta de Facebook, la información no será accesible salvo que tengamos autorización (y la extensión pueda descifrar el contenido del mensaje).
En resumen, aunque nos comuniquemos a través de Facebook, el contenido de la conversación solamente es accesible por los pares que intervienen en la misma; Facebook ya no tendrá acceso a los contenidos que intercambiemos puesto que, cara al servicio, solamente verá un conjunto de caracteres ininteligible (eso sí, siempre y cuando intercambiemos el código de manera segura).
El objetivo de ShadowCrypt es mostrar que cifrar la información puede ser algo sencillo para el usuario: instalar una extensión en el navegador y generar una clave que, evidentemente, habrá que compartir con los destinatarios de nuestros mensajes. En cierta medida, el proceso es similar al uso de PGP a la hora de cifrar mensajes de correo electrónico; sin embargo, la extensión permite aplicar el cifrado a cualquier servicio web que se nos ocurra y, además, de manera muy simple para el usuario (los desarrolladores han verificado el funcionamiento con Twitter, Facebook, Gmail y otros 11 servicios más).
El pasado mes de junio, Google anunció el desarrollo de End-to-End, una extensión que ofrecería a los usuarios un cifrado "extremo a extremo" en sus correos de Gmail. Básicamente, ShadowCrypt viene a ofrecernos algo similar solo que, además de aplicarse a Gmail, se puede extender a otros servicios y, de esta forma, garantizar el secreto de nuestras comunicaciones (sin miedo a que el operador del servicio que usemos pueda inspeccionar la información intercambiada o una instancia superior, como ocurre con la NSA, pueda solicitar acceso a los datos).
La configuración de ShadowCrypt es extremadamente simple, casi instalar y usar.
El cifrado extremo a extremo es cada vez más accesible
Uno de los puntos fuertes de ShawdowCrypt es su facilidad de uso; solamente hay que instalar la extensión en Google Chrome y configurar la clave en cada servicio a usar. A partir de ahí, de manera transparente, la extensión se activará en aquellos servicios cuya url hayamos configurado (Twitter.com, Facebook.com...) y los mensajes se enviarán cifrados:
¿Y tiene sentido cifrar un tuit? Quizás Twitter, salvo que usemos mensajes directos, no sea el mejor campo de aplicación del cifrado "extremo a extremo"; sin embargo, en servicios como Gmail o Facebook sí que puede ser interesante tener en cuenta esta herramienta. ShadowCrypt no se apoya sobre PGP (aunque el funcionamiento sea similar); según exponen los investigadores en el artículo que han publicado, el proceso para descifrar un mensaje requiere mucha carga computacional y, por tanto, la experiencia de uso de la extensión se vería mermada.
Por este motivo, actualmente la extensión se apoya en AES-CCM pero, por lo que indican, parece que la integración de PGP forma parte de la hoja de ruta para ofrecer un mejor recurso a los usuarios.
Cryptocat es otra opción a tener en cuenta, un chat cifrado
Por cierto, ShadowCrypt no es el único recurso que tenemos a nuestro alcance y, por ejemplo, Cryptocat nos ofrece una alternativa mucho más ágil en comunicaciones a tiempo real puesto que nos ofrece un chat seguro también en forma de extensión para navegador y, desde BitTorrent, también nos ofrecen un sistema de mensajería segura y descentralizada a través de BitTorrent Bleep.
Si lo que buscamos es usar PGP de manera sencilla (y mejorar la seguridad de nuestras comunicaciones), a nuestro alcance tenemos extensiones como Secure Mail for Gmail, WebPG for Mozilla, Enigmail, Mailvelope o, incluso, Keybase; por tanto, el cifrado extremo a extremo, realmente, no está tan lejos de nuesto alcance.
Mailvelope es una extensión para cifrar mensajes de correo electrónico
Afortunadamente, cada vez contamos con más recursos que nos permiten mantener nuestras comunicaciones a salvo de "ojos curiosos" (que no siempre tienen buenas intenciones) y, lo mejor de todo, seguridad no siempre implica que sea algo complicado o reservado para usuarios de nivel avanzado.

Actualización para Adobe Flash Player

 

Adobe ha publicado una actualización para Adobe Flash Player para evitar 18 nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 15.0.0.189 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.250 (y versiones 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.411 (y anteriores) para Linux.

La mayoría de las vulnerabilidades que se corrigen en este boletín (APSB14-24) permitirían la ejecución de código arbitrario aprovechando los siguientes fallos de seguridad: 

  • Cuatro vulnerabilidades que podrían causar una corrupción de la memoria, a los que se han asignado los siguientes identificadores: CVE-2014-0576, CVE-2014-0581, CVE-2014-8440, CVE-2014-8441.
  • Tres vulnerabilidades de uso de memoria después de liberarla (CVE-2014-0573, CVE-2014-0588, CVE-2014-8438).
  • Una vulnerabilidad de doble liberación, con CVE-2014-0574.
  • Cinco vulnerabilidades de confusión de tipos (CVE-2014-0577, CVE-2014-0584, CVE-2014-0585, CVE-2014-0586, CVE-2014-0590).
  • Dos vulnerabilidades de desbordamiento de búfer (CVE-2014-0582, CVE-2014-0589).

Por otra parte un desbordamiento de búfer (CVE-2014-0583) y un problema de tratamiento de permisos (CVE-2014-8442) que podrían permitir la elevación de privilegios. Y por último una vulnerabilidad solucionada podría permitir la obtención de tokens de sesión (CVE-2014-8437).

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  • Flash Player Desktop Runtime 15.0.0.223
  • Flash Player Extended Support Release 13.0.0.252
  • Flash Player para Linux 11.2.202.418

Igualmente se ha publicado la versión 15.0.0.223 de Flash Player para Internet Explorer y Chrome.

Más información:

Security updates available for Adobe Flash Player

http://helpx.adobe.com/security/products/flash-player/apsb14-24.html

Parches de Microsoft noviembre de 2014

 

El segundo martes de Noviembre de 2014, Microsoft publicó 14 nuevos boletines de seguridad, de los cuales 4 han sido catalogado como Crítico, 8 como Importante y 2 como Moderado.


Consideramos que estos boletines deben ser del conocimiento de nuestros asociados, para que apliquen los parches disponibles a la máxima brevedad y de este modo evitar estar expuestos a futuros ataques.


Los 14 boletines del mes de Noviembre de 2014 son los siguientes:
•Boletín de seguridad de Microsoft MS14-064 (Severidad:Crítica) https://technet.microsoft.com/es-ES/lib ... 4-064.aspx
•Boletín de seguridad de Microsoft MS14-065 (Severidad: Crítica)
https://technet.microsoft.com/es-ES/lib ... 4-065.aspx
•Boletín de seguridad de Microsoft MS14-066 (Severidad: Crítica)
https://technet.microsoft.com/es-ES/lib ... 4-066.aspx
•Boletín de seguridad de Microsoft MS14-067 (Severidad: Crítica)
https://technet.microsoft.com/es-ES/lib ... 4-067.aspx
•Boletín de seguridad de Microsoft MS14-069 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-069.aspx
•Boletín de seguridad de Microsoft MS14-070 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-070.aspx
•Boletín de seguridad de Microsoft MS14-071 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-071.aspx
•Boletín de seguridad de Microsoft MS14-072 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-072.aspx
•Boletín de seguridad de Microsoft MS14-073 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-073.aspx
•Boletín de seguridad de Microsoft MS14-074 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... -0674.aspx
•Boletín de seguridad de Microsoft MS14-076 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... -0676.aspx
•Boletín de seguridad de Microsoft MS14-077 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-077.aspx
•Boletín de seguridad de Microsoft MS14-078 (Severidad: Moderada)
https://technet.microsoft.com/es-ES/lib ... 4-078.aspx
•Boletín de seguridad de Microsoft MS14-079 (Severidad: Moderada)
https://technet.microsoft.com/es-ES/lib ... 4-079.aspx


Recomendamos el uso de Windows Update para mantener el equipo al día con los últimos parches de seguridad:


•Puede acceder a Windows Update a través de su navegador MS Internet Explorer, menú Herramientas, pulsando clic sobre Windows Update.
Nota: Para utilizar Windows Update, necesitará establecer una conexión a Internet.

lunes, 10 de noviembre de 2014

EMET 5.1 ya está disponible

 

El día de hoy hemos liberado Enhanced Mitigation Experience Toolkit (EMET) 5.1, que continuará mejorando su postura de seguridad al proporcionar una mayor compatibilidad con las aplicaciones y el fortalecimiento de las migraciones. Usted puede descargar EMET 5.1 desde microsoft.com/emet o directamente desde aquí. A continuación le mostramos una lista de los principales cambios y mejoras:

    • Se han resuelto varios problemas de compatibilidad de las aplicaciones con Internet Explorer, Adobe Reader, Adobe Flash y Mozilla Firefox y algunas de las migraciones de EMET.
    • Se han mejorado y fortalecido ciertas migraciones para hacerlas más resistentes a ataques y desviaciones.
    • Se ha agregado la función “Telemetría local” que permite guardar localmente las descargas de memoria cuando se activa una migración.

Todos los cambios en esta versión aparecen el Artículo 3015976 de la Base de conocimiento de Microsoft.

Si utiliza Internet Explorer 11, ya sea en Windows 7 o Windows 8.1, e implementó EMET 5.0, es particularmente importante instalar EMET 5.1, ya que se descubrieron problemas de compatibilidad con la actualización de seguridad de noviembre de Internet Explorer y la mitigación de EAF+. De manera alterna, puede deshabilitar EAF+ temporalmente en EMET 5.0. En la Guía del usuario se muestran detalles sobre cómo deshabilitar la mitigación EAF+. En general, recomendamos actualizar a la versión más reciente de EMET para beneficiarse de todas las mejoras.

Microsoft publicará 16 boletines de seguridad el próximo martes

Como cada mes, Microsoft ha revelado un adelanto de los boletines de seguridad que serán publicados dentro de su ciclo de actualizaciones, el próximo martes 11 de noviembre. En esta ocasión, Microsoft publicará 16 boletines (del MS14-063 al MS14-078) que corregirán múltiples vulnerabilidades en diversos sistemas.

Entre los 16 boletines que se publicarán, cinco están calificados como críticosy corrigen vulnerabilidades que pueden dar lugar a la ejecución remota de código en Internet Explorer y sistemas Windows. Nueve boletines serán de carácter importante y los dos boletines restantes de nivel moderado.

Las actualizaciones corregirán vulnerabilidades en sistemas Microsoft Windows, Internet Explorer, Office, Exchange, .NET Framework, Internet Information Services (IIS), Remote Desktop Protocol (RDP), Active Directory Federation Services (ADFS), Input Method Editor (IME) (japonés) y el controlador modo kernel (Kernel Mode Driver, KMD).

Cuatro de las actualizaciones críticas también afectan a Windows 10 Technical Preview. Por la información facilitada por Microsoft sabemos que hay dos actualizaciones para Office, aunque no se confirma si publicará la solución final para el 0-day en Microsoft OLE descubierto recientemente.

Como es habitual, Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Desde Hispasec se informará puntualmente sobre los nuevos parches a través de este servicio de noticias, dando una información más detallada sobre los boletines de actualización de Microsoft.

Más información:

Microsoft Security Bulletin Advance Notification for November 2014

https://technet.microsoft.com/library/security/ms14-nov

Advance Notification Service for the November 2014 Security Bulletin Release

http://blogs.technet.com/b/msrc/archive/2014/11/06/advance-notification-service-for-the-november-2014-security-bulletin-release.aspx

viernes, 7 de noviembre de 2014

Nueva técnica, phishing más sencillo y difícil de detectar.

 

Investigadores han detectado una nueva técnica usada por los phishers (cibercriminales encargados de hacer phishing) la cual podría engañar aún más a los usuarios, haciéndoles creer que están ingresando su información en un formulario web legítimo.

En lugar de replicar lo más fielmente posible una página web legítima, por ejemplo, un sitio de comercio electrónico, los atacantes sólo necesitan configurar una página de phishing con un proxy que haga la función de intermediario de la página legítima, además de crear un par de páginas falsas para cuando los usuarios necesiten ingresar su información personal y financiera.

"Siempre y cuando las posibles víctimas estén navegando en la página, verían el mismo contenido como en el sitio original. Es solamente cuando se ingresa información de pago se muestran las páginas modificadas a los usuarios", explica Noriaki Hayashi, investigador senior de amenazas de Trend Micro.

"No importa el dispositivo (PC, laptop, teléfono, tableta) o navegador usado,  ya que el ataque usa el proxy para todas las partes de la petición HTTP de la víctima y todas las partes de la respuesta del servidor legítimo."

En el ataque detectado, los usuarios son direccionados al sitio malicioso, haciendo clic en un resultado de búsqueda del nombre del producto. Los atacantes usaron un gran número de técnicas blackhat SEO (técnicas ilegales para dar buen posicionamiento a páginas web en los buscadores) para hacer que la URL apareciera en los resultados. Pero los correos electrónicos y mensajes de spam también se pueden utilizar para atraer víctimas potenciales al sitio malicioso.

El ataque real empieza cuando el usuario da clic sobre el botón de "Add to Basket" del sitio legítimo, el atacante ha reescrito la función para que el usuario sea redirigido a una página falsa de carrito electrónico que lleva a más páginas falsas, simulando el proceso de compra.

La primera página pide a la víctima que ingrese su información personal (nombre, dirección, número telefónico) así como su correo electrónico y su contraseña. La segunda pide que ingrese la información de su tarjeta de crédito (incluyendo el código de seguridad). La tercera solicita información adicional que algunas veces es requerida para autorizar la transacción.

Una vez que las víctimas han mandado toda esa información, recibirán un correo falso de confirmación por la compra a la cuenta proporcionada anteriormente, así se completa la ilusión.

"Hasta ahora, solamente hemos identificado este ataque contra una tienda en línea específica en Japón. Sin embargo, si se vuelve más prominente, podría convertirse en un desarrollo muy preocupante: esto hace más difícil a las páginas de phishing ser detectadas por los usuarios finales, también, las páginas falsas serán idénticas a las páginas originales", notó Hayashi.

Este enfoque hace a las páginas de phishing mucho más fáciles de configurar y más difíciles de detectar para los dueños de las páginas web legítimas.

Fuente: Help Net Security DV

WireLurker, nuevo malware para iOS y OS X

Palo Alto Networks ha descubierto una nueva familia de malware para Apple OS X y dispositivos iOS, bautizada como WireLurker.

WireLurker se ha extendido originalmente a través de Maiyadi (http://app.maiyadi.com), una tienda de aplicaciones China no oficial. El sitio Maiyadi es un portal chino de noticias y recursos relacionados con Apple. La tienda de aplicaciones Maiyadi es un sitio conocido por albergar aplicaciones para Mac, iPhone eiPad pirateadas. En los pasados seis meses, se han detectado 467 aplicaciones infectas que se han descargado un total de 356.104 veces, lo que implica miles de usuarios infectados.

WireLurker infecta sistemas OS X y se queda a la espera de que se conecte un dispositivo iOS. Momento en el que instalará aplicaciones de terceros o generará de forma automática aplicaciones maliciosas en el dispositivo conectado, independientemente de si tiene jailbreak o no. Cualquier dispositivo iOS que se conecte a un sistema OS X infectado, también quedará infectado. Esta es la razón del nombre "Wire Lurker" ("fisgón de cable").

Según Palo Alto Networks WireLurker, para evitar la ingeniería inversa este malware exhibe una estructura de código compleja, múltiples versiones de componentes, ocultación de archivos, ofuscación de código y cifrado personalizado.

Este es el primer malware que automatiza la generación de aplicaciones iOS maliciosas, a través de reemplazar el archivo binario. También es el primer malware conocido que puede infectar aplicaciones iOS instaladas en un dispositivo de forma similar a la de un virus tradicional.

Como no podía ser de otra forma, WireLurker es capaz de robar una variedad de información de los dispositivos móviles infectados y pide regularmente actualizaciones desde un centro de comando y control de los atacantes.Este malware está en desarrollo activo y el objetivo último de su creador no es todavía claro. En cualquier momento puede recibir una actualización que cambie su forma de actuación en los dispositivos infectados.

No existe una única versión de WireLurker, desde el 30 de abril al 17 de octubre de 2014 se han detectado tres versiones distintas de WireLurker (A, B y C). Cada una de las versiones ha significado una evolución y nuevas funcionalidades. Mientras que la primera versión no descargaba ninguna aplicación, la versión B descargaba dos aplicaciones: "lszr2" (un juego para iOS) y "pphelper" (un cliente de una tienda de aplicaciones iOS no oficial). Por su parte, WireLurker.C descarga una aplicación "7b9e685e89b8c7e11f554b05cdd6819a" (un lector de comics). Los nombres mostrados en el teléfono son todos en caracteres chinos.

WireLurker troyaniza aplicaciones OS X e iOS mediante el reemplazo de archivos ejecutables reempaquetados.Esta técnica es simple de implementar y efectiva, por lo que seguramente nuevo malware para OS X e iOS empleará esta técnica en el futuro. De forma similar a la del aumento de APKs maliciosas reempaquetadas por los creadores de malware.

El ataque de dispositivos iOS sin jailbreak a través de conexiones USB, no es nuevo, ya existían pruebas de concepto disponibles desde hace algo más de un año. Ni siquiera se trata del primer malware en emplear esta técnica, en junio de 2014 los laboratorios Kaspersky descubrieron una versión iOS del spyware Mekie que usaba conexiones USB en Windows y OS X para infectar dispositivos iOS (con  jailbreak). WireLurker se trata de la segunda familia que usa esta estrategia para infectar los dispositivos, sin embargo la diferencia entre Mekie y WireLurker es que el nuevo malware también infecta dispositivos sin jailbreak.

Palo Alto Networks destaca el incremento de malware destinado a atacar dispositivos iOS con jailbreak, durante 2014 se han detectado seis nuevas familias contra dispositivos con esta modificación.

Al ejecutar una aplicación iOS infectada pedirá confirmación
Fuente: Palo Alto Networks

Pero la gran novedad de WireLurker está en la infección a dispositivos sin jailbreak. Para ello emplea un perfil de aprovisionamiento empresarial, característica destinada a la distribución de aplicaciones creadas por empresas para su uso interno. El uso de aprovisionamiento empresarial explica cómo se pueden instalar aplicaciones en dispositivos iOS sin jailbreak. Sin embargo, al ejecutar por primera vez la aplicación infectada en iOS, se presenta un diálogo que solicita confirmación para abrir una aplicación de terceros. Si el usuario opta por continuar, se instalará un perfil de aprovisionamiento empresarial de terceras partes y WireLurker habrá comprometido con éxito ese dispositivo sin jailbreak. Por lo demás, la aplicación infectada funcionará de igual forma que la aplicación legítima.

Palo Alto Networks confirma que ha enviado cinco archivos diferentes de WireLurker (de las tres versiones detectadas) a VirusTotal, sin embargo ninguno de los 55 antivirus ha detectado este nuevo malware.

Para la detección, los usuarios de Mac e iOS deben revisar los procesos y archivos en sus ordenadores Mac y dispositivos iOS. Palo Alto Networks ofrece un programa en Python para sistemas OS X para detectar archivos conocidos como maliciosos y sospechosos, así como las aplicaciones que muestran características de infección.

Esta herramienta está disponible desde:

https://github.com/PaloAltoNetworks-BD/WireLurkerDetector

Más información:

WireLurker: A New Era in iOS and OS X Malware

https://www.paloaltonetworks.com/resources/research/unit42-wirelurker-a-new-era-in-ios-and-os-x-malware.html

martes, 4 de noviembre de 2014

RKill v2.6.8 [2014] [Ingles]

 

 

RKill es una herramienta de seguridad encargada de finalizar los procesos en ejecución relacionados con diferentes clases de malware, de manera que posteriormente puedas pasar tu antivirus habitual para limpiar el sistema.

En ocasiones el malware que corre en segundo plano se oculta para no ser detectado e impide el correcto funcionamiento del antivirus. Con RKill creas de forma previa una buena base sobre la que tu antivirus sí puede actuar.

Características
  • Acaba con los procesos maliciosos que corren en segundo plano.
  • Importa archivos de registro para eliminar asociaciones de archivo incorrectas y fija políticas que impiden el uso de ciertas herramientas.
  • Obtén un archivo de registro con todos los procesos eliminados tras usar el software.
Allanando el camino a tu antivirus

Una vez que RKill ha hecho su trabajo, es importante ejecutar inmediatamente el antivirus. RKill no puede eliminar el malware por sí solo; únicamente detiene y elimina los procesos. De eso se encargará tu utilidad de seguridad habitual, que se recomienda ejecutar inmediatamente después y muy importante, sin reiniciar el sistema, ya que nuestra infección podría estar configurada para ejecutarse automáticamente con cada reinicio.

Por otra parte, los desarrolladores te ofrecen diferentes nombres para el archivo del programa, ya que determinadas infecciones podrían no permitir la ejecución de procesos en función del nombre del archivo. Si es tu caso, sólo tienes que sustituir el nombre del ejecutable por alguno de los ofrecidos de forma alternativa.

IDIOMA  Inglés
AUTOR    Lawrence Abrams
SISTEMA OPERATIVO   Windows

lunes, 3 de noviembre de 2014

Windows 10: Seguridad y protección de identidad

En el mundo de hoy, el mercado de ataques cibernéticos a los negocios tiene un gran alcance y éstos son cada vez más de un alto perfil y exitosos en su ejecución.  Estamos viendo violaciones a la red resultantes de técnicas tan simples como robo de nombre de usuario y contraseña.  En un par de casos recientes, los hackers se infiltraron en compañías enlistadas en Fortune 500 utilizando nombres de usuario y contraseñas robadas que les daba acceso a sistemas de punto de venta y datos de tarjetas de crédito que procesaban con los mismos.  El ataque resultó en el robo de millones de números de tarjeta de crédito que rápidamente terminaron en el mercado negro.  Recientemente, el New York Times reportó que tan sólo una de las organizaciones de crimen cibernético había robado 1200 millones de nombres de usuario y contraseña.  Lo cual es escalofriante considerando que sólo existen 1800 millones de personas en línea a nivel mundial.  Estas tenaces organizaciones criminales y algunos estados nacionales no son las únicas amenazas que enfrentamos.  Aún empleados bien intencionados representan un riesgo sustancial que requiere de una migración.  Un reporte de este año preparado por el despacho de seguridad Stroz Friedberg señaló que 87% de los gerentes senior admitieron cargar de manera regular archivos de trabajo a un correo electrónico personal o a una cuenta en la nube, mientras que el 58% de los usuarios admitió haber enviado de manera accidental información sensible a la persona equivocada.

Con Windows 10, estamos resolviendo de manera activa las amenazas modernas a la seguridad con avances que fortalecen la protección de la identidad y el control del acceso, protección de la información y resistencia a amenazas.  Con esta versión, tendremos casi todo instalado para olvidarnos del uso de opciones de autenticación de un solo factor, como las contraseñas.  Ofrecemos una prevención robusta a la pérdida de datos en la plataforma misma y, cuando se trata de amenazas en línea como malware, tendremos una gama de opciones para ayudar a que las empresas se protejan contra causas comunes de infección por malware en PCs.

Protección a la identidad y control del acceso

Para empezar, quisiera hablar sobre una solución que proporciona un enfoque muy moderno a las credenciales de identidad y usuario, algo que representa la siguiente generación de protección a la identidad.  Hablé un poco de esto en mi último blog post del 30 de septiembre.  Con esta solución, Windows 10 protege las credenciales del usuario cuando ocurre una violación en el centro de datos.  Protege a los usuarios de robo cuando se comprometen los dispositivos y hace casi totalmente infructuosos los ataques de phishing a identidades.  Es una solución que ofrece beneficios tanto a los negocios como a los consumidores, proporcionando toda la conveniencia de una contraseña junto con una seguridad que es verdaderamente de grado empresarial.  Representa el destino de nuestro viaje para eliminar el uso de opciones de identidad con un solo factor como las contraseñas.  Creemos que esta solución lleva a la protección de la identidad a un nuevo nivel, ya que toma la seguridad multifactor que hoy en día está limitada a soluciones como tarjetas inteligentes, creándolas dentro del mismo sistema operativo y dispositivo, eliminando la necesidad de periféricos adicionales de seguridad en hardware.

Una vez registrados, los dispositivos mismos se convierten en uno de los dos factores requeridos para la autenticación.  El segundo factor será un PIN o biométrico, como una huella digital.  Desde un punto de vista de seguridad, esto significa que un atacante necesitaría tener el dispositivo físico de un usuario –además de los medios para usar la credencial del usuario– lo cual requeriría acceso a la información de PIN o factor biométrico de los usuarios.  Los usuarios podrán registrar cada uno de sus dispositivos con estas nuevas credenciales o podrán registrar un dispositivo único, como un teléfono móvil, que se convertirá de manera efectiva en su credencial móvil.  Les permitirá iniciar sesión en todas sus PCs, redes y servicios Web siempre que estén cerca su teléfono móvil.  En este caso, el teléfono, utilizando Bluetooth o Wi-Fi, se comportará como una tarjeta inteligente remota y ofrecerá una autenticación de dos factores, tanto para inicio de sesión local como de acceso remoto.

Si analizamos con mayor profundidad este componente de Windows 10 y vemos tras bambalinas, los equipos de TI y de seguridad encontrarán que las cosas tienen una apariencia muy familiar.  La credencial misma puede ser una de dos cosas.  Puede ser un par de claves generadas criptográficamente (claves privadas y públicas) por Windows mismo o puede ser un certificado proporcionado al dispositivo desde infraestructuras PKI existentes.  Proporcionar estas dos opciones convierte a Windows 10 en una excelente opción para organizaciones con inversiones existentes en PKI y lo hace viable para escenarios Web y de consumidores en donde no es práctica una identidad respaldada por PKI.  Active Directory, Azure Active Directory y Microsoft Accounts brindarán soporte a nuestra nueva solución de credenciales del usuario directo de la caja, así que cuando las empresas y consumidores utilicen los servicios en línea de Microsoft rápidamente podrán dejar de usar las contraseñas.  Intencionalmente, se diseñó esta tecnología de tal manera que pudiera adoptarse de manera amplia en otras plataformas, la Web y otras infraestructuras.

La protección de identidades del usuario es tan sólo una parte de nuestro enfoque de protección a la identidad.  La siguiente parte es proteger los tokens de acceso al usuario generados una vez que sus usuarios han sido autenticados.  Hoy, estos tokens de acceso cada vez más están bajo ataque utilizando técnicas como Pass the Hash, Pass the Ticket, etc.  Una vez que un atacante tiene esos tokens, pueden acceder a recursos al volver impersonal de manera efectiva la identidad del usuario sin necesitar las credenciales reales del mismo.  Con frecuencia, esta técnica viene acompañada de amenazas persistentes avanzadas (APT) y, por tanto, es una técnica que definitivamente deseamos eliminar del repertorio de un atacante.  Con Windows 10, nuestro objetivo es eliminar este tipo de ataques con una solución arquitectónica que almacene tokens de acceso al usuario dentro de un contenedor seguro que se ejecute encima de la tecnología Hyper-V.  Esta solución evita que los tokens se extraigan de dispositivos aún en casos en donde el kernel mismo de Windows esté comprometido.

Windows Media Player 10 Visual Style

Protección a la información

Con Windows 10 se han logrado avances importantes en el frente de la identidad y encontrarán que estamos enfocados en la misma medida en la protección a la información.  Veamos primero algunos datos que ayudarán a explicar en dónde estamos invirtiendo.  BitLocker se ha vuelto una tecnología líder en la industria que protege datos mientras reside en un dispositivo; sin embargo, una vez que lo deja, ya no tiene protección.  Para proteger datos cuando sale el dispositivo, proporcionamos servicios Azure Rights Management y la Administración de derechos de información (IRM) en Microsoft Office, lo cual típicamente requiere que el usuario opte por activar la protección.  Esto deja a las compañías con una pequeña brecha, de tal forma que, si sus usuarios no son proactivos, es relativamente fácil que haya fugas accidentales de los datos corporativos.  En Windows 10, resolvemos este problema con una solución de prevención a la pérdida de datos (DLP) que separa los datos corporativos y personales, ayudando a protegerlos utilizando contenedores.  Creamos esta capacidad en la plataforma misma y la integramos dentro de la experiencia existente del usuario para permitir la protección sin las interrupciones vistas frecuentemente en otras soluciones.  No habrá necesidad de que sus usuarios cambien modos o aplicaciones para proteger los datos corporativos, lo que significa que los usuarios podrán ayudar a mantener los datos seguros sin cambiar su comportamiento.  La protección de los datos corporativos en Windows 10 permite la codificación automática de aplicaciones, datos, correo electrónico, contenidos de sitio Web y otra información sensible corporativa, ya que llega al dispositivo desde ubicaciones de la red corporativa.  Y, cuando los usuarios crean nuevos contenidos originales, esta solución de protección a los datos los ayuda a definir los documentos que son corporativos y los que son personales.  Si se desea, las compañías pueden designar incluso todos los nuevos contenidos creados en el dispositivo como corporativos por política.  Además, políticas adicionales pueden permitir a las organizaciones evitar que se copien datos de contenidos corporativos a documentos no corporativos o ubicaciones externas en la Web, como las redes sociales.

Windows 10 proporciona una solución avanzada de protección a los datos para el escritorio, pero ¿qué pasa con los móviles? Esta solución proporcionará la misma experiencia en Windows Phone como la vemos en el escritorio de Windows y proporcionaremos interoperabilidad de tal manera que los documentos protegidos puedan accederse en varias plataformas.  Un último punto sobre la protección a los datos en Windows 10 es que las organizaciones pueden definir las aplicaciones que tendrán acceso a los datos corporativos por medio de políticas.  Llevamos esta capacidad a un nivel más alto y ampliamos estas políticas para solucionar requisitos VPN que muchos de ustedes han compartido con nosotros. 

Al igual que usted, cuando estoy en el camino o trabajo en casa, necesito conectarme a datos y aplicaciones críticas para seguir siendo productivo.  Al brindar soporte a usuarios remotos, los profesionales de TI buscan formas de limitar los riesgos asociados con la conectividad a VPN, particularmente con dispositivos BYOD. Al dar un espectro de opciones de control de VPN, Windows 10 ayuda desde tener una conectividad constante hasta especificar las aplicaciones particulares que pueden tener acceso vía la VPN.  Las listas de aplicaciones permitidas y no permitidas dejarán que los profesionales de TI puedan definir las que están autorizadas para acceder a la VPN y se podrán administrar mediante soluciones MDM para aplicaciones tanto de escritorio como universales.  Para los administradores que requieran un control más detallado, pueden restringir aún más el acceso por medio de puertos o direcciones IP específicos.  Estas mejoras permiten a los profesionales de TI empresariales equilibrar la necesidad de acceso, con la de seguridad y control.

Resistencia a las amenazas

Además, Windows 10 proporciona a las organizaciones la capacidad de bloquear dispositivos, permitiendo una resistencia adicional contra amenazas y malware.  Debido a que, con frecuencia, los usuarios instalan malware de manera inadvertida en sus dispositivos, Windows 10 resuelve esta amenaza al sólo permitir aplicaciones confiables, lo que significa que son aplicaciones certificadas utilizando un servicio de certificación proporcionado por Microsoft, que se ejecutará en dispositivos especialmente configurados.  El acceso al servicio de certificación estará controlado utilizando un proceso de selección similar a la forma en que controlamos el acceso a publicaciones ISV en Windows Store y el OEM bloqueará los dispositivos mismos.  El proceso de bloqueo que utilizarán los OEMs es similar a lo que hacemos con los dispositivos Windows Phone.  Las organizaciones tendrán la flexibilidad de elegir las aplicaciones que son confiables –tan sólo las aplicaciones que sean certificadas por ellos mismos, especialmente aplicaciones certificadas de ISVs, aplicaciones de Windows Store o todas las anteriores.  A diferencia de Windows Phone, también se pueden incluir aplicaciones de escritorio (Win32), lo que significa que cualquier cosa que se ejecute en el escritorio de Windows también se puede ejecutar en estos dispositivos.  En última instancia, estas capacidades de bloqueo en Windows 10 proporcionan a los negocios una herramienta efectiva en la lucha contra amenazas modernas y esto trae aparejado la flexibilidad para que funcione dentro de la mayoría de los ambientes.

Existen muchas otras cosas que me encantaría hablar sobre el frente de la seguridad.  Y espero colocar más blogs sobre diferentes funciones y mejoras a la seguridad cuando ya estén integradas a los productos.  Continúe al pendiente de más información de mi parte sobre las formas en las que estamos trabajando para que Windows 10 sea un gran producto para los negocios.  Y, mientras tanto, si no lo han hecho aún, verifiquen la Vista técnica previa de Windows 10 y dígannos lo que piensan.