Ultimos posts Protegerse.com

Subscribe to canal de noticias Ultimos posts Protegerse.com
Una manera informal de acercarse a la seguridad informática
Actualizado: hace 2 horas 59 mins

Samba corrige una grave vulnerabilidad que permite la ejecución de código remota

Jue, 05/25/2017 - 12:29

Tras varios días en los que las noticias sobre ciberseguridad han estado prácticamente monopolizadas por el ataque de WannaCryptor y otros malware que aprovechan los exploits de la NSA filtrados por el grupo The Shadow Brokers el mes pasado, es hora de volver a analizar otras amenazas y vulnerabilidades que también requieren de nuestra atención.

Problemas en Samba

No obstante lo dicho en el párrafo anterior, el tema de hoy también tiene cierta relación con el incidente WannaCryptor, puesto que se trata de un agujero de seguridad en el software de código abierto Samba, utilizado por una gran cantidad de sistemas en todo el mundo para acceder a archivos y recursos compartidos tanto en una red local como a través de Internet.

Samba está implementado en muchos sistemas operativos actuales como Windows, Linux, UNIX u OpenVMS, entre otros y se trata de una reimplementación del protocolo de red SMB, permitiendo a aquellos sistemas que no sean Windows compartir recursos a través de una red con el sistema operativo de Microsoft.

Con un nivel de implementación bastante elevado entre empresas y algunos usuarios, no es de extrañar que el anuncio publicado ayer informando de la existencia de una vulnerabilidad en Samba durante más de 7 años haya causado bastante revuelo. Las versiones de Samba que se ven afectadas son todas las publicadas desde la 3.5.0 (que se lanzó el 1 de marzo de 2010) por lo que los sistemas afectados no son pocos.

Gravedad de esta vulnerabilidad

Algunos analistas han apuntado a la posibilidad de que esta vulnerabilidad sea aprovechada para lanzar ataques indiscriminados a todos los sistemas vulnerables, similar a lo sucedido con WannaCryptor. De momento no se han observado indicios que nos hagan temer un ataque similar afectando también a otros sistemas como Linux, pero esta vulnerabilidad tiene el potencial suficiente para hacerlo debido a la facilidad que tiene un atacante para explotarla.

Teniendo en cuenta que, a día de hoy, existen varias decenas de miles de sistemas expuestos a Internet y corriendo una versión vulnerable de Samba, según informan desde Rapid 7, es importante que estos sistemas apliquen el parche lo antes posible. De lo contrario, un atacante podría conectarse a un sistema vulnerable, subir una librería compartida maliciosa a un recurso compartido con permisos de escritura y, posteriormente, hacer que el sistema la cargue y ejecute.

Al tratarse de una implementación del protocolo SMB, uno de los indicadores que pueden indicar que se están realizando posibles ataques es monitorizar el tráficio malicioso en el puerto 445. No obstante, debido al revuelo causado por WannaCryptor y otras variantes, es difícil discernir quien es el causante de esta actividad.

También debemos tener en cuenta que ya ha aparecido al menos un módulo para Metasploit que simplifica la ejecución de los ataques a los sistemas vulnerables a través de este framework.

Soluciones

Ante esta situación y para prevenir posibles ataques, lo mejor es actualizar cuando antes las versiones vulnerables aplicando el parche publicado. También se puede instalar directamente alguna de las nuevas versiones publicadas en el repositorio oficial de Samba y que no son vulnerables.

Si, por algún motivo, no se puede proceder a parchear o actualizar la versión de Samba, se recomienda encarecidamente añadir la siguiente línea en la sección [global] del fichero smb.conf y reiniciar el servicio smb:

“nt pipe support = no”

Con este cambio impediremos que los sistemas cliente puedan acceder a algunas de las máquinas conectadas a la red y deshabilitaremos algunas de las funcionalidades en los sistemas Windows conectados.

Distribuciones de Linux como Ubuntu o Red Hat ya han actualizado a versiones parcheadas de Samba pero hay otros sistemas como los sistemas de almacenamiento en red (NAS) que utilizan muchos usuarios y empresas que pueden tardar más en actualizarse, si es que alguna vez llegan a hacerlo.

Conclusión

Si durante los últimos días el foco de atención estaba en los equipos con Windows vulnerables, ahora también otros sistemas deben proceder a actualizar lo antes posible para evitar un ataque similar al vivido con WannaCryptor. El parche ya está publicado y las actualizaciones han comenzado, ahora solo queda por ver si los usuarios hacemos bien nuestro trabajo y somos capaces de evitar que se vuelva a producir un incidente de gran magnitud.

Josep Albors

Subtítulos maliciosos podrían ser utilizados para tomar el control de un sistema

Mié, 05/24/2017 - 12:54

Imagínate que llegas a casa tras un día agotador y antes de acostarte procedes a ver tu ración diaria de series y, como te gusta verlas en versión original pero el tu nivel de inglés, japonés o cualquier otro idioma no te permite prescindir de los subtítulos, procedes a cargarlos desde alguno de los repositorios online que los ofrecen. Este momento de relax podría convertirse en una pesadilla y en este post vamos a ver porqué.

El ataque de los subtítulos maliciosos

Hay que reconocer que las opciones para visualizar contenido online de forma cómoda han aumentado sustancialmente con respecto a hace unos años. A día de hoy contamos con numerosas aplicaciones que permiten visualizar todo tipo de contenidos desde prácticamente cualquier dispositivo y ya no hace falta descargar el archivo de vídeo o audio primero a nuestro ordenador para luego enviarlo a la televisión del salón, por ejemplo.

Esto ha permitido que muchos usuarios disfruten de sus películas y series favoritas prácticamente al mismo tiempo a nivel mundial y, para los que no se les dan muy bien los idiomas y no quieren esperar a la traducción correspondiente, la comunidad de subtituladores ha hecho un gran trabajo. Resulta especialmente práctico que, en servicios como VLC, KODI (antiguo XBMC), Popcorn-Time o strem-io se puedan elegir los subtítulos publicados en alguno de los repositorios existentes pero esto también puede suponer un peligro.

Investigadores de CheckPoint publicaron recientemente los resultados de una investigación en la que se habían utilizado archivos de subtítulos maliciosos como vector de ataque para tomar el control de un dispositivo que estuviese ejecutando alguna de las aplicaciones de streaming mencionadas en el párrafo anterior. Estos investigadores calculan que existen aproximadamente 200 millones de reproductores de contenido multimedia en todo el mundo que estarían ejecutando software vulnerable.

La investigación llevada a cabo ha demostrado como un atacante podría preparar un fichero de subtítulos malicioso y colocarlo en los primeros puestos de los repositorios donde los usuarios buscan estos subtítulos. Debido a la confianza que se tiene en estos repositorios y que los ficheros de subtítulos siguen viéndose como un simple e inofensivo fichero de texto, el alcance que un ataque de este tipo podría tener es realmente grande.

Causa y efecto

El principal problema reside en los escasos controles de seguridad que varios reproductores multimedia realizan a los ficheros de subtítulos y en la existencia de una gran cantidad de formatos. A día de hoy existen alrededor de 25 formatos de subtítulos con sus características diferenciadoras lo que hace que los reproductores tengan que tratar de dar soporte a todos ellos, pero cada uno de ellos lo hace a su manera y esto lleva a numerosas vulnerabilidades.

Estamos hablando de decenas de millones de posibles usuarios afectados por un ataque que sería bastante simple de hacer y que permitiría a los atacantes tomar el control total del dispositivo que estuviese utilizando un reproductor multimedia vulnerable, independientemente de si se trata de un ordenador de sobremesa, dispositivo móvil o smartTV, entre otros.

Entre los ataques que se podrían realizar utilizando esta técnica encontramos el robo de información, la instalación de todo tipo de malware como ransomware, la utilización de estos dispositivos para lanzar ataques de denegación de servicio masivos, etc.

Hay que tener en cuenta que el ataque se iniciaría colocando el fichero de subtítulos malicioso en alguno de los repositorios de confianza usados por estas aplicaciones y los propios usuarios. Estos repositorios clasifican e indexan los subtítulos y los mejor valoradas suelen ser los más descargados. Los investigadores demostraron como, manipulando el algoritmo de clasificación en sitios como OpenSubtitles.org, pudieron colocar subtítulos maliciosos que serían descargados automáticamente por el reproductor multimedia.

Este ataque no requiere de intervención alguna del usuario puesto que se ataca a la fuente de los subtítulos e incluso los que descargan subtítulos de forma manual pueden verse afectados, puesto que se tiende a descargar los subtítulos mejor clasificados. Para ver cómo funcionaría este ataque lo mejor es visualizar el siguiente vídeo preparado para tal efecto.

La solución a este problema, al menos en lo que respecta a las aplicaciones analizadas, es sencilla y pasa por actualizarlas a su versión más reciente, disponibles desde los repositorios oficiales de cada una de ellas.

Conclusión

Solo con pensar la cantidad de usuarios que podrían resultar infectados si alguien utilizara este vector de ataque cuando aparezca, por ejemplo, el primer episodio de la séptima temporada de “Game of Thrones” es suficiente para recomendar la actualización inmediata de las aplicaciones vulnerables.

Como acabamos de comprobar una vez más, prácticamente cualquier tipo de fichero puede ser utilizado para tratar de comprometer la seguridad de nuestro sistema por lo que conviene estar alerta ante investigaciones como la que acabamos de analizar.

Josep Albors

Tras WannaCryptor, ¿cómo queda el panorama de la seguridad informática?

Mar, 05/23/2017 - 12:00

Han sido días duros, de muchas horas de trabajo intenso para detectar y bloquear las diversas variantes de WannaCryptor y otras familias de ransomware que, desde el 12 de mayo, están en boca de todos. A pesar de que esta amenaza lleva ya bastante años entre nosotros, no ha sido hasta hace unos días que los medios de comunicación le dedicaron una extensa cobertura y el público generalista descubrió las peculiaridades de este tipo de malware.

Ahora que el “efecto WannaCryptor” parece haber pasado, ¿cómo está la situación en lo que respecta al ransomware y otras amenazas?, ¿somos ahora más vulnerables o, por el contrario, hemos aprendido a aplicar las medidas de seguridad necesarias?.

Variantes e imitadores

Como ya hemos indicado, WannaCryptor no fue en absoluto el primer ransomware que tuvo gran impacto. Ni siquiera podemos considerarlo un buen ejemplo de ransomware puesto que contiene numerosos fallos en su código que incluso ha permitido que algunos de los sistemas infectados puedan ser recuperados (siempre que se cumplan ciertas condiciones) sin ceder al chantaje de los delincuentes, utilizando para ello herramientas como Wanakiwi y siguiendo unas sencillas instrucciones.

Debido al impacto mediático, muchos delincuentes se han lanzado a generar su propia variante de ransomware para intentar conseguir nuevas víctimas, aunque pocas de estas amenazas merecen ser analizadas debido a su pobre calidad, limitándose a imitar a WannaCryptor con mayor o menor acierto.

Sin embargo, han aparecido unas cuantas muestras de ransomware que sí van un paso más allá de WannaCryptor. Una de ellas es Uiwix, que también hace uso del exploit EternalBlue. Gracias a este exploit, este ransomware también adquiere capacidades de gusano para propagarse más rápidamente por redes corporativas y además añade características anti-debugging para dificultar su análisis, algo de lo que WannaCryptor carecía.

Otra de las amenazas aparecidas durante los últimos días es EternalRocks, descubierta por el investigador Miroslav Stampar, cuyas variantes más recientes se camuflan como una variante de WannaCryptor pero que, en realidad, se encarga de tomar el control del sistema para realizar otros ataques. Lo más destacable de esta amenaza es que hace uso de siete de los exploits de la NSA liberados el pasado mes de abril por el grupo The Shadow Brokers.

Antes de WannaCryptor

Si bien la característica más destacada de WannaCryptor fue la utilización de los exploits EternalBlue y DoublePulsar para conseguir infectar a sus víctimas y propagarse por redes corporativas, no fue el primero, tal y como se ha descubierto posteriormente. UN buen ejemplo de esto ha sido el malware Adylkuzz, detectado como Win32/CoinMiner.AFR y Win32/CoinMiner.AFU por las soluciones de seguridad de ESET.

En lugar de secuestrar la información almacenada por los usuarios en sus equipos, este malware utilizaba los recursos de los ordenadores que infectaba para minar monedas criptográficas como Monero. El inicio de la propagación de este malware se remonta a pocos días después de la publicación de los exploits de la NSA, lo que representa que dos semanas antes de la aparición de WannaCryptor, los delincuentes ya los estaban aprovechando.

De hecho, la tasa de infecciones se mantuvo bastante baja hasta un par de días antes del ataque que propagaba WannaCryptor, momento en el que empezó a despuntar y comenzar a afectar a miles de máquinas, especialmente en Rusia, Ucrania y Taiwan. Si bien este malware no se detectaba tan fácilmente como un ransomware, ya que no muestra ningún mensaje en pantalla, el elevado consumo de recursos delataba al usuario que algo no estaba funcionando correctamente.

¿Se ha aprendido algo de este incidente?

Se ha comentado por activa y por pasiva que este ataque no habría tenido éxito de haber aplicado los correspondientes parches de seguridad publicados por Microsoft dos meses antes del ataque. Si bien a día de hoy es muy sencillo para la mayoría de usuarios actualizar su Windows, en las grandes empresas este proceso aun resulta largo y tedioso. Se tiene que revisar que estas actualizaciones no afectan de manera negativa a los sistemas y aplicaciones instaladas (algunas de ellas incluso con décadas de antigüedad) y esto retrasa sobremanera la aplicación de estos parches.

A pesar de esto, el mecanismo de propagación utilizado por WannaCryptor y sus imitadores no es nada nuevo ya que, a lo largo de la historia, hemos visto numerosas infecciones provocadas por gusanos informáticos. Desde el gusano de Morris en una primitiva Internet, pasando por Melissa, I love You, Code RED, Sasser, Mydoom o Conficker (que aun sigue activo a día de hoy pese haber aparecido a finales de 2008) son varios los ejemplos similares que hemos sufrido en sistemas sin actualizar.

Cada vez que se producía un incidente similar se recordaba la importancia de adoptar las medidas de seguridad necesarias, solo para volver a tropezar en la misma piedra tiempo después. ¿Significa que estamos condenados a repetir los mismos errores una y otra vez? Eso depende bastante de en que nos fijemos.

En el incidente provocado por WannaCryptor no ha habido apenas usuarios domésticos afectados y muchas pymes tampoco han notado su impacto. Esto es debido a que los cambios en las políticas de actualizaciones de Windows que Microsoft ha ido implementando con el tiempo parecen haber funcionado parcialmente.

También la evolución de las soluciones de seguridad como han permitido a algunos antivirus detectar incluso la utilización de los exploits filtrados de la NSA y bloquear su ejecución, con lo que se evita la ejecución del malware, sea el que sea, en el sistema vulnerable.

Pero también debemos tener en cuenta que los delincuentes no se han quedado atrás precisamente y algunas amenazas actuales tienen una gran sofisticación que dificultan su detección y análisis. No obstante, el factor humano sigue siendo importante a la hora de conseguir que un ataque tenga éxito y eso es algo que hemos de mejorar mediante la concienciación en seguridad.

Conclusión

Después de más de una semana tras el incidente con WannaCryptor, es momento de reflexionar si se está haciendo lo necesario para que algo así no se vuelva a ocurrir. Disponemos de las herramientas e información necesarias para mitigar la mayoría de ataques actuales pero debemos tomarnos en serio algo tan crucial como la seguridad informática o estaremos condenados a repetir los errores del pasado.

Josep Albors

Reflexiones tras WannaCryptor y el nuevo anuncio de The Shadow Brokers

Mar, 05/16/2017 - 12:56

Tras unos días intensos tratando el tema del ransomware WannaCryptor y, especialmente, su vector de ataque y propagación, toca hacer balance de lo sucedido y, sobre todo, mirar hacia el futuro para prevenir ataques similares. Cuesta creer el alcance que ha tenido esta amenaza, especialmente a nivel informativo aunque, como no hay mal que por bien no venga, también ha servido para que el público generalista tome conciencia de un problema real.

Atribuciones y conexiones

Una de las preguntas que más se han repetido durante estos días es ¿de dónde viene el ataque?. Por experiencia sabemos que no debemos fiarnos de las apariencias y que, al menos en el mundo de la seguridad informática, es perfectamente posible engañar a los investigadores para que atribuyan el ataque a alguien que no tenga nada que ver.

En las últimas horas hemos visto como varios investigadores apuntaban a una posible relación del ransomware WannaCryptor en una sus primeras versiones que data de febrero con otras creaciones anteriores del grupo Lazarus. Recordemos que a este grupo se le ha relacionado con ataques tan importantes como el hackeo a Sony Pictures o el ataque a bancos de todo el mundo.

Todo empezó por la publicación de un enigmático tweet por parte de Neel Mehta, investigador de seguridad en Google, tweet que aparentemente contenía una pequeña porción de código. El investigador Matt Suiche, muy activo durante los últimos días y uno de los que más información ha aportado relacionada con WannaCryptor, fue probablemente el primero en aportar algo de luz sobre este asunto desvelando que se trataba de código compartido tanto por este ransomware como por una creación anterior del grupo Lazarus.

Fuente de la imagen: blog.comae.io

A partir de ese momento no tardaron en aparecer las conjeturas y las posibles atribuciones ya que el grupo Lazarus está aparentemente relacionado con Corea del Norte y esta reutilización del código podría indicar que alguien de este país estaría detrás de los recientes ataques a empresas de todo el mundo.

No obstante, y por muchos periódicos que una información así pudiera vender, esta similitud en el código de ambas amenazas no es determinante y puede significar cualquier cosa. Desde que los creadores de WannaCryptor reaprovecharon código de anteriores amenazas (algo muy común entre los creadores de malware) hasta que alguien quiera atribuir a este grupo la creación de este ransomware con algún oscuro interés.

Reaparecen The Shadow Brokers

Por si fuera poco tras todo el revuelo causado durante estos días, esta misma mañana se ha publicado un nuevo comunicado por parte del grupo The Shadow Brokers. Recordemos que fue este grupo el que publicó las herramientas de la NSA, herramientas entra las que se encontraba EternalBlue y cuya efectividad hemos podido comprobar durante estos días ya que ha sido utilizada para dotar al ransomware WannaCryptor de funcionalidades de gusano y aumentar así su velocidad de propagación.

En este comunicado, escrito de una manera un tanto especial y con cierto aire a sorna, se hace un repaso a los diferentes intentos de este grupo de vender las herramientas robadas a la NSA al mejor postor, intentos que terminaron en fracaso y en la liberación de parte de estas herramientas el pasado mes de abril.

Sin embargo, tal y como se apunta en este comunicado, las herramientas fueron liberadas cuando ya existían parches para ellas, por lo cual no podían considerarse como 0-day (y aun así, ya hemos visto el éxito obtenido por WannaCryptor). Es por eso que en ese comunicado aprovechan para anunciar que a partir de junio lanzarán un modelo de suscripción mensual en el que los suscriptores recibirán cada mes información confidencial relacionada, entre otras cosas, con:

  • Vulnerabilidades en navegadores web, routers, exploits y herramientas
  • Nuevos exploits para Windows 10
  • Datos confidenciales obtenidos de proveedores de la red de transferencias interbancarias SWIFT y bancos centrales
  • Información confidencial relacionada con el programa de misiles y armamento nuclear de Rusia, China, Irán o Corea del Norte

Como vemos, información más que interesante para pasar un verano de lo más entretenido.

Conclusión

No cabe duda que WannaCryptor y sus conexiones aun dará mucho que hablar y que, de cumplir lo dicho en su comunicado, The Shadow Brokers promete acaparar buena parte de la atención de aquellos que nos dedicamos a la seguridad informática. No obstante hay que tomar este tipo de información con cautela y no alarmar innecesariamente como ya se ha hecho demasiadas veces sin contrastar previamente la información.

Han sido días movidos para todos y el futuro inmediato también promete serlo, pero si algo hemos comprobado durante los últimos días es que el esfuerzo conjunto de múltiples investigadores, pertenecientes a empresas u organismos, o simplemente investigadores anónimos que han aportado muy buena información, ha ayudado muchísimo a esclarecer varios aspectos de WannaCryptor y sus técnicas de propagación.

Es esta unidad la que nos hace más fuerte frente a los delincuentes y aquellos que intentan aprovecharse de las vulnerabilidades en beneficio propio. La gran mayoría de estos investigadores no han salido en las noticias ni se les ha mencionado en alguno de los múltiples artículos publicados pero ellos seguro que sabrán reconocerse.

Desde este humilde blog, nuestro más sincero reconocimiento a todos vosotros.

Josep Albors

Evolución de WannaCryptor y análisis de las consecuencias del ataque

Lun, 05/15/2017 - 16:59

Tras un fin de semana en el que analistas de malware, investigadores, administradores de sistemas, técnicos de soporte y otras profesiones relacionadas con la ciberseguridad hemos descansado poco, toca hacer balance de la situación y ver que es lo que puede suceder a partir de ahora, ya empezada una nueva semana y con la gente volviendo a sus puestos de trabajo.

Nuevas variantes

Los datos recopilados en las últimas horas nos indican cosas muy interesantes, como por ejemplo el intento de desarrollar nuevas variantes sin el interruptor de apagado que se activaba tras contactar con la dirección URL introducida en el código del malware. Sin embargo, hasta el momento, ninguna de estas variantes sin ese “Kill Switch” son plenamente funcionales, aunque puede ser cuestión de tiempo que los delincuentes lo corrijan (si es que quieren seguir desarrollando este ransomware y no cambiar de malware).

Con los datos de los que disponemos en nuestro laboratorio y gracias a las reglas Yara creadas en nuestro servicio ESET Threat Intelligence hemos podido ir cuantificando las nuevas variantes que han ido apareciendo. También algunos investigadores u organismos públicos como el CERT de los Estados Unidos han publicado sus propias reglas para que cualquiera pueda utilizarlas en sus servicios de inteligencia frente amenazas

Gracias a estos datos recopilados y a la ayuda de nuestro compañero Jiri Kropac de los laboratorios de ESET en la República Checa hemos podido observar de forma gráfica la evolución de WannaCryptor desde su aparición el pasado viernes 12 de mayo hasta esta misma mañana.

Como observamos, la mayor parte de detecciones se realizó durante el viernes y el sábado. Algo comprensible debido a la elevada velocidad de propagación debido a las capacidades de gusano de WannaCryptor. El descenso durante el fin de semana se debe principalmente a que la mayoría de empresas afectadas estuvieron cerradas durante esos días y que la activación del Interruptor de apagado gracias al registro de un dominio por parte de dos investigadores británicos consiguió frenar el proceso de propagación.

En lo que respecta a número de variantes detectadas hasta el momento de escribir estas líneas, en ESET detectamos cuatro variantes principales de nombre  Win32/Filecoder.WannaCryptor y sus variantes A,B,C y D, junto con sus múltiples subvariantes.

En relación a los países más afectados de nuestro entorno, si nos centramos en la región de EMEA (Europa, África y Oriente Medio) observamos como Rusia es claramente el país más afectado, al menos por una de las variantes más propagadas. España estaría en la parte media de la tabla con unas 170 empresas afectadas por esa variante de WannaCrypt a día de hoy (a las que habría que sumar el resto).

Aparecen los imitadores

En rio revuelto, ganancia de pescadores, reza el refranero español y esta situación no es una excepción. Viendo el éxito de WannCryptor, no son pocos los delincuentes que se han puesto a propagar otras variantes de ransomware, aunque la gran mayoría de ellas siguen utilizando el método tradicional del correo electrónico con adjunto malicioso.

Así pues, y como muy bien resumen en el blog Bleeping Computer, durante los últimos días se ha observado la propagación o el desarrollo de otras variantes de ransomware que se aprovechan del tirón de WannaCryptor y que responden a nombres como Wanna Crypt v2.5, WannaCrypt 4.0, DarkoderCryptor o una utilidad para personalizar la pantalla de bloqueo y las instrucciones de pago y descifrado conocida como Aron WanaCrypt0r 2.0 Generator v1.0.

Lo cierto es que el impacto de Wannacryptor se ha podido ver en todo el mundo y, durante todo el fin de semana se han ido compartiendo fotografías de sistemas afectados como ordenadores, cajeros automáticos, paneles informativos o incluso paneles luminosos colocados en plena calle como el que vemos a continuación:

Principales consecuencias

Además de habernos tenido ocupados a muchos especialistas en seguridad informática, administradores de sistemas y otras muchas personas, la llegada del lunes ha supuesto una prueba de fuego para muchas empresas. Algunos de los incidentes más madrugadores se han producido en la zona de Asia, donde la empresa japonesa Hitachi también se ha visto afectada por estas variantes de WannaCryptor.

En lo que respecta a España, la situación ha estado bastante controlada, con algún incidente aislado. Esto no significa, ni mucho menos, que la amenaza haya desaparecido puesto que el principal problema no se encuentra en el ransomware propiamente dicho, si no en la funcionalidad de gusano que se le ha incorporado y que puede ser portada a otro tipo de malware fácilmente.

No es difícil pensar en un malware que se propague de la misma forma y que, en lugar de alertar enseguida a sus víctimas mostrando una pantalla con un mensaje alarmante, permanezca oculto y se dedique a robar información de forma sigilosa o a destruirla en una fecha programada por los atacantes. Algunos expertos como Sergio de los Santos apuntan a que esta vulnerabilidad no sería la única que se podría utilizar para aportar funcionalidades de gusano a casi cualquier malware y mencionan a la solucionada recientemente por Microsoft y que afectaba a Windows Defender.

Lo que se ha comprobado casi a ciencia cierta es que estas variantes de WannaCryptor no utilizaron ningún correo con fichero adjunto para propagarse inicialmente tal y como viene siendo habitual y que, una vez dentro de una red corporativa, se propagaban rápidamente de un equipo vulnerable a otro aprovechando el exploit EternalBlue. En el siguiente vídeo realizado por el investigador Hacker Fantastic se puede ver claramente:

Respecto al dinero obtenido por los delincuentes en las tres carteras de bitcoin que pusieron a disposición de los afectados por el ransomware para realizar el pago de los rescates, estas no han reunido una cantidad significativa a pesar de haber conseguido infectar más de 200.000 sistemas y, en el momento de escribir estas líneas apenas habían recopilado poco más de 50.000 dólares.

Conclusión

Todo apunta a que la situación está más o menos controlada (en algunas regiones mejor que en otras) y que, salvo la aparición de alguna nueva variante con cambios significativos las infecciones tenderán a remitir. No obstante, este incidente debe servir como una importante llamada de atención para mejorar muchos aspectos relacionadas con la ciberseguridad en las empresas.

La revisión y aplicación de actualizaciones periódicas de seguridad (como la MS17-010 que evita que los sistemas sean vulnerables) es algo que se debe tener en cuenta, aun sabiendo que existen muchos tipos de empresas y no siempre es factible instalarlas sin que pase antes un largo periodo de tiempo revisando que no van a causar errores o incompatibilidades con otros sistemas o aplicaciones.

El uso de copias de seguridad actualizadas también se ha desvelado clave para hacer frente a este y cualquier otro ataque de ransomware, ahorrando así mucho tiempo a la hora de restaurar aquellos equipos que se hayan visto afectados.

También se ha de revisar que se cuenta con la última versión de las soluciones de seguridad implementadas tanto en estaciones de trabajo como en servidores y en la defensa perimetral, y que están debidamente configuradas, puesto que es muy probable que no solo se pueda detectar el malware si no que también se bloquee el exploit gracias a módulos específicos que analicen el tráfico de red para prevenir esta y otras vulnerabilidades.

Solo adoptando medidas eficaces y mediante la concienciación conseguiremos evitar ataques como el que hemos sufrido, algo que muy probablemente volvamos a ver en el futuro viendo el éxito obtenido por WannaCryptor.

Josep Albors

WannaCryptor, o como un ransomware puso en jaque a empresas de todo el mundo en pocas horas

Sáb, 05/13/2017 - 16:57

Ayer fue una de esas jornadas que se recordarán por mucho tiempo, igual que lo fue el ataque de la botnet Mirai el pasado 14 de octubre de 2016 (casualmente también un viernes). Desde que recibí los primeros avisos poco antes de las 12 del mediodía y que alertaban de que algo extraño estaba pasando en Telefónica supe que este inicio del fin de semana iba a ser de todo menos tranquilo.

La amenaza se confirma

Esta primera alerta no tardó en ser confirmada y pronto comenzaron a aparecer las primeras fotografías hechas a ordenadores que pertenecían a la red interna de esta importante teleoperadora. Incluso llegó a distribuirse un audio en el que se podía escuchar por megafonía de la empresa las órdenes de apagar todos los equipos.

Rápidamente nos pusimos a investigar mientras varios medios de comunicación se hacían eco de esta noticia e incluso apuntaban a que el ataque lo estaban sufriendo también otras grandes empresas españolas entre las que se encontraban bancos y empresas del sector energético. Sin embargo, muchas de estas alertas fueron una falsa alarma provocada, bien por la falta de información existente en esos momentos o bien por oscuros intereses.

Lo que ya sabíamos en esos primeros momentos era que se trataba de un ransomware (y no Ramón Ware como se dijo en algún medio) ya que los sistemas infectados tardaban poco en mostrar tanto el fondo de pantalla donde se alertaba de lo sucedido como la herramienta preparada por los delincuentes para que la víctima pagase el rescate y procediera al descifrado de los archivos afectados.

El ataque distaba mucho de estar centrado en España y, si bien durante las primeras horas se habló principalmente de Telefónica, después se comprobó como grandes empresas como Renault en Francia, el servicio público de salud en Reino Unido, el Ministerio de Interior ruso o la empresa de transporte de paquetería Fedex entre muchas otras por todo el mundo también habían sido víctimas.

Distribución de infeciones por WannaCryptor. Fuente: Malwaretech

Propagación del ransomware

Una vez identificada el tipo de malware había que comprobar la variante. En esta ocasión estábamos ante una nueva versión de WannaCryptor (también conocida como WannaCry o WCry). Este ransomware había hecho su aparición a principios de febrero y se había propagado levemente en una campaña a finales de marzo, sin destacar por nada en especial.

Entonces ¿cómo es posible que un ransomware de poca monta estuviese causando estragos a ese nivel y, sobre todo, se propagase tan rápido? La respuesta la encontramos no en el malware en sí, si no en la técnica elegida por los atacantes para propagarse, especialmente por redes corporativas.

Este punto es importante puesto que, por lo que sabemos gracias a los datos recopilados, la mayoría de sistemas afectados pertenecían a empresas de mayor o menor envergadura. De hecho, pese a que nuestro servicio de soporte técnico estuvo al pie del cañón, atendiendo las múltiples llamadas que buscaban información sobre este ransomware al haber escuchado las alarmantes noticias en los principales medios de comunicación y también tras recibir la alerta que enviamos desde nuestro departamento de comunicación, ninguno de los usuarios que nos llamó se había visto afectado.

Era hora de revisar que estaba causando esta rápida propagación del ransomware que las soluciones de seguridad de ESET identifican como Win32/Filecoder.WannaCryptor y la respuesta no tardó en aparecer. Varios investigadores apuntaron al exploit conocido como Eternalblue publicado por el grupo Shadow Brokers a mediados de abril.

Ese exploit aprovecharía una vulnerabilidad en la implementación del protocolo de red SMBv1 realizada por Microsoft, una implementación con casi 20 años de antigüedad pero que aún se sigue utilizando a día de hoy. Las vulnerabilidades aprovechadas por estos exploits fueron parcheadas rápidamente por Microsoft, dejándolos sin efecto.

Además, justo un mes antes, Microsoft había publicado el boletín de seguridad MS17-010 en el que se solucionaba una grave vulnerabilidad en SMB Server y que tendría relación con los exploits publicados posteriormente. Esto explicaría además porque solo hemos visto a empresas siendo afectadas por este ataque puesto que este servicio no suele estar activado en aquellas versiones de Windows orientadas a usuarios domésticos.

Analizando WannaCryptor

Una de las dudas principales en el momento de escribir este breve análisis es cual fue el vector principal de ataque. Sabemos por experiencias anteriores que el ransomware suele propagarse por adjuntos en correos electrónicos, malvertising en webs con bastante tráfico o incluso aprovechando contraseñas débiles y conectándose a las máquinas via RDP.

Sin embargo, hasta este momento no hay nada claro sobre cual fue el vector de ataque inicial e incluso Microsoft indica dos posibilidades en su análisis. Por una parte, apunta al correo con un fichero adjunto o enlace que activaría un payload que ejecutase el ransomware y el exploit en SMB para propagarse rápidamente. No obstante, si bien Chema Alonso publicó en su blog que fue un caso de spam masivo a emails de empresas de todo el mundo, aun no se ha visto una muestra de este correo a pesar de la gran cantidad de empresas afectadas.

El otro vector de ataque señalado por Microsoft y por el que parecen decantarse muchos investigadores sería haciendo uso directamente del exploit en SMB buscando máquinas sin el correspondiente parche de seguridad aplicado y que tuviesen el puerto TCP 445 abierto. Echando un vistazo rápido mediante Shodan vemos que solo en España hay un buen número de dispositivos con ese puerto accesible y bastantes podrían ser potencialmente vulnerables.

Por si fuera poco, apenas unos días antes del ataque ya hubo investigadores que publicaron pruebas de concepto para demostrar que se podía aprovechar esta vulnerabilidad para ejecutar código de forma remota. El caso es que, una vez se ha ejecutado el payload inicial en un sistema vulnerable, se utiliza un dropper para descargar y ejecuta el ransomware WannaCryptor por un lado, mientras que por otro se intenta aprovechar la vulnerabilidad en SMB con el exploit EternalBlue para conseguir propagarse dentro de la intranet de la empresa afectada.

Es entonces cuando los usuarios verían el fatídico mensaje en sus pantallas y se abriría la herramienta que solicita el pago del rescate. Esto no solo ha sucedido en ordenadores utilizados por los empleados de las empresas afectadas, si no que se han visto múltiples ejemplos de ordenadores conectados a paneles de información de todo tipo e incluso cajeros automáticos.

Posibles soluciones

Cuando aparecen estas pantallas es cuando las víctimas se dan cuenta de que algo va mal y se empiezan a tomar medidas. La decisión tomada por Telefónica de apagar todos los equipos conectados a la intranet avisando por todos los medios posibles a sus empleados estuvo bien tomada para evitar que la infección se propagase más aun y contenerla lo máximo posible.

Sin embargo, a diferencia de campañas de ransomware anteriores, la utilización de la vulnerabilidad en SMB fue aprovechada para propagar este ransomware a una velocidad muy rápida, una característica de los gusanos informáticos bien conocida. No es que el ransomware WannaCryptor deba ser considerado un gusano. Mas bien fue un gusano informático el que propagó el ransomware, y esto tiene consecuencias graves a corto plazo porque se puede utilizar para muchas otras finalidades tal y como veremos más adelante.

Una vez controlada esta propagación toca hacer balance de la situación y revisar que sistemas se han visto afectados para tratar de recuperarlos lo antes posible, empezando por los más críticos. Esto se soluciona de forma relativamente sencilla si se dispone de copias de seguridad actualizadas, aunque en grandes empresas esta restauración de los sistemas a un estado previo a la infección puede llevar su tiempo.

Si la empresa no dispone de esa copia de seguridad puede que se vea tentada a pagar el rescate. En la mayoría de casos detectados en España este rescate es de 300$ en bitcoins por equipo infectado, algo que puede llegar a ser considerado hasta “aceptable”. Sin embargo, tal y como la experiencia nos ha demostrado, pagar el rescate no garantiza nada y puede que la empresa afectada se quede sin datos ni el dinero pagado para tratar de recuperarlos.

Por los pagos acumulados en el momento de escribir estas líneas no parece que esta haya sida la opción elegida por la mayoría de los afectados puesto que solo se llevan registradas 70 transacciones en los tres monederos que el ransomware proporciona a sus víctimas, con un total de poco más de 21.500€ recaudados en total, una cifra totalmente irrisoria viendo la magnitud del ataque.

Existe la posibilidad de que, revisando el código del malware se consiga la clave maestra de cifrado para así poder recuperar todos los archivos afectados. Esto ya se ha hecho en anteriores ocasiones e incluso existe una iniciativa internacional conocida como nomoreransom.org donde varias empresas de seguridad y fuerzas policiales nos hemos unido para proporcionar herramientas de descifrado gratuitas para diferentes variantes de ransomware.

Hay que destacar que la propagación de esta amenaza podría haber sido mucho mayor si los investigadores @Malwaretech y Darien Huss no hubiesen adquirido por unos pocos dólares un dominio presente en el código de WannaCryptor. Este dominio actuaba como interruptor de apagado ya que el malware lanzaba peticiones al mismo y, si estas eran devueltas, el código malicioso dejaba de propagarse. Gracias a ellos se evitaron aun más daños en empresas de todo el mundo.

Kill switch de WannaCryptor. Fuente: Microsoft

Hora de reflexionar

Este incidente a escala global debe servir para reflexionar sobre todo lo que se está haciendo mal y que permite que este tipo de amenazas tengan éxito. Se sabía de la existencia de la vulnerabilidad en SMB y los parches para solucionarla fueron publicados meses atrás, pero aun así las empresas afectadas han sido muchas y muy importantes.

Obviamente, la aplicación de parches de seguridad en una empresa dista mucho de la que suelen hacer los usuarios domésticos. En una empresa no se pueden aplicar estos parches sin antes comprobar de que no entran en conflicto con otras aplicaciones cruciales y esto puede llevar su tiempo. Un ejemplo parecido es el del gusano Conficker, que desde finales de 2008 y aun hasta hoy sigue infectando máquinas que no han parcheado la vulnerabilidad que aprovechaba.

También tenemos el problema de aquellos sistemas que no pueden ser actualizados y que dejan de recibir soporte por parte del fabricante. El impacto de este ataque ha sido tan grande que incluso Microsoft ha lanzado actualizaciones para sistemas obsoletos a los que se dejó de proporcionar boletines de seguridad, sistemas como Windows XP, Windows 8 y Windows Server 2003. También hay que indicar que Windows 10 no se veía afectado por este exploit.

Así pues, parece claro que, una vez se despeje la humareda causada por WannaCryptor y el gusano que lo ayudó a propagarse muchas empresas van a tener que pasar un tiempo actualizando sus sistemas, desactivando protocolos obsoletos como SMBv1 y considerando añadir reglas en su cortafuegos para detectar tráfico entrante en el puerto TCP 445.

Problemas futuros

Sin embargo, muchos investigadores nos tememos que, a pesar del impacto y toda la cobertura mediática recibida, este ataque solo haya sido un adelanto de lo que está por venir. Analizando fríamente la situación, tiene poco sentido utilizar un exploit tan potente como EternalBlue para propagar un ransomware, y más con el fin de semana encima.

Las campañas de propagación de ransomware (y otros muchos malware) suelen empezar los lunes bien temprano y suelen tener su pico máximo de infección a mitad de semana. De esta forma los delincuentes maximizan el impacto conforme se van conectando ordenadores en entornos corporativos cuyos empleados regresan del fin de semana.

Además, el ransomware es uno de los malware más “estridentes” porque el usuario se da cuenta enseguida de que ha sido infectado. Es, a día de hoy, casi una excepción entre las numerosas familias de malware existentes que buscan pasar desapercibidas y tener el sistema comprometido el máximo tiempo posible para así tener la oportunidad de robar datos o utilizarlo como parte de una botnet durante más tiempo.

Por esos motivos, mucho nos tememos que este caso ha sido una prueba lanzada antes de tiempo y que, una vez comprobado su eficacia, muchos otros puedan imitar este ataque, cambiando el payload por algo menos llamativo que un ransomware pero que permita infectar sistemas durante más tiempo sin levantar sospechas.

Conclusión

Si para algo debe haber servido este incidente es para despertar conciencias y, de una vez por todas, aplicar medidas de seguridad eficaces que eviten o, por lo menos, dificulten que algo así vuelva a ocurrir. El caso de los hospitales del sistema de salud británico afectados por WannaCryptor nos debe hacer reflexionar como de vulnerables son algunos de nuestros servicios básicos más importantes y no es comprensible que su buen funcionamiento esté a merced de los delincuentes detrás de ataques como el de ayer.

Hace falta que todos tomemos conciencia de la importancia que tiene la ciberseguridad en nuestro día a día y que muchas de las cosas que damos por sentado pueden irse al traste en cuestión de segundos si no hemos tomado las medidas adecuadas. WannaCryptor ha sido solo un aviso, el próximo incidente similar a escala mundial puede ser mucho más grave si no tomamos las medidas oportunas.

Josep Albors

Comprometen el servidor de descarga de HandBrake y propagan malware para macOS

Lun, 05/08/2017 - 12:14

Si hace apenas unos días hablábamos del descubrimiento de dos nuevas amenazas para macOS, hoy tenemos que añadir una nueva a la lista que utiliza un vector de ataque muy efectivo a la par que peligroso: suplantar una aplicación desde uno de sus servidores de descarga oficiales.

Descarga desde un servidor comprometido

Uno de los peores escenarios posibles es que el malware se descargue desde un servidor oficial, puesto que la confianza que proporcionan a los usuarios hace que muchas veces bajen la guardia. Tampoco es algo nuevo, puesto que el año pasado ya analizamos el caso de Keranger, el primer ransomware completamente funcional para macOS, que también se propagó desde la web oficial de descarga de una aplicación para este sistema operativo.

En esta ocasión, la web de descarga comprometida por los atacantes pertenece a la aplicación HandBrake, un conversor de formatos de vídeo que soporta una gran cantidad de codecs y es bastante utilizado. Si accedemos a la web oficial, veremos cómo los desarrolladores han incluido un aviso para los usuarios de macOS.

Los desarrolladores de HandBrake alertan de que durante los días 2 y 6 de mayo de 2017 se estuvo descargando una versión troyanizada de su aplicación que podría haber infectado a los usuarios que la descargaron durante ese periodo. Estos desarrolladores calculan que la probabilidad de haber descargado una versión maliciosa durante este periodo es del 50%.

Análisis del malware

El troyano que se adjuntaba junto a la versión maliciosa de HandBrake subida al servidor de descarga es identificada por las soluciones de seguridad de ESET como OSX/Proton.A. Este malware permite a un atacante acceder remotamente a un sistema macOS infectado y tomar capturas de pantalla del sistema, robar datos de tarjetas de crédito y contraseñas, obtener el control de la cámara web y robar ficheros.

La detección de este malware aún es escasa en el momento de escribir estas líneas. Esto, unido a que muchos usuarios de macOS no disponen de una solución de seguridad en sus sistema al creer erróneamente que su sistema no la necesita, hace que estas amenazas consigan su objetivo de forma relativamente sencilla.

Incluso los usuarios más veteranos pueden ser infectados por este tipo de amenazas, tal y como podemos observar en el relato que se ha compartido en el foro MacRumors y que demuestra lo cerca que estuvo el autor de proporcionar sus credenciales a los atacantes. Según este usuario, se mostraban varios cuadros de diálogo con diferentes excusas y que buscaban que se introdujeran las credenciales del sistema del usuario.

Eliminando la infección

Si sospechamos que hemos sido víctimas de esta amenaza, podemos eliminarlo de forma manual si no lo ha hecho ya nuestra solución antivirus. Podemos revisar  el Monitor de Actividad del sistema en busca del proceso “Activity agent”. Si este proceso se encuentra presente, es que nuestro Mac ha sido infectado.

La eliminación es relativamente sencilla y tan solo deberemos abrir la Terminal del sistema e introducir los siguientes comandos

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app

Si en la ruta ~/Library/VideoFrameworks/ encontramos el fichero proton.zip es recomendable eliminar la carpeta.

Como medida de precaución, se recomienda cambiar todas las contraseñas que estén almacenadas en el Llavero del sistema para evitar que sean utilizadas de forma fraudulenta por los atacantes.

Apple ha sido informada de esta amenaza, por lo que no debería tardar en actualizar su aplicación XProtect para poder detectarla, algo que, aunque tarde, evitará nuevas infecciones en el futuro por esta variante de malware.

Conclusión

Tal y como vimos la semana pasada y hoy mismo, el malware para macOS sigue creciendo de forma lenta pero continua. Aún está muy lejos del elevado número de muestras que se detectan cada día en otros sistema operativos como Windows o Android, pero estas amenazas deben servirnos de aviso para aplicar medidas de seguridad que eviten una infección y no confiar ciegamente en un sistema operativo solo porque su departamento de marketing nos intente vender que es invulnerable al malware.

Josep Albors

Hashes de la muestra analizada

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

 

El Cloud, Industria 4.0 y los becarios gratuitos ¿el fin del profesional medio?

Vie, 05/05/2017 - 10:35

Estimados lectores del blog,

¿Quién no ha escuchado que el futuro de la informática es el cloud?. ¿Quién no ha escuchado estas semanas la polémica sobre el trabajo no remunerado de becarios en ciertos sectores “de moda”?.

¡Aviso a navegantes!: en este artículo voy a reflejar mis opiniones personales como Kinomakino.

Cloud

En primer lugar, voy a hablar del cloud. Lo que parecía una moda pasajera resulta que se está consolidando y nos guste, más o menos, en la actualidad casi todos tenemos servicios en esa famosa nube. Lo queramos o no. No voy a entrar en las ventajas o inconvenientes, pero es un hecho que en nuestras instalaciones con el tiempo tendremos menos equipo “gestionable” y más equipo “tonto” o ligero.

Ya dimos un paso en este sentido con la virtualización de servidores. Donde antes había un armario con 20 servidores, cables, controladoras, tecnología de redes, patch y demás, ahora hay un blade o un servidor central donde antes había 20.

Blade System

Muchas consultoras con el afán de vender postulaban departamentos IT externos para mantener ese sistema blade unificado, y así “esbozar” al comprador una ilusión de ahorro de coste en personal. Al final fue mentira porque donde se gestionaban 20 servidores, ahora se gestionan hypervisores, cabinas, máquinas virtuales y demás lindezas.

Ahora llega el cloud. Mismo concepto pero en un sitio remoto. El poco hardware que nos quedaba en el CPD se reduce a conexiones a Internet y páginas web donde configurar nuestro entorno. Un entorno en formato PAAS, IAAS, AAAS, según contrates. Ya sabes, puedes contratar hardware y administrarlo tú, puedes contratar servidores operaciones (una base de datos) y gestionarlo tú, puedes contratar una aplicación web (un erp) y gestionarlo tú…

Esto es una realidad. En unos años, los equipos de sobremesa también se llevarán a la nube como cuando comenzó la informática… con un equipo sin recursos. Ahora usaremos think client, móviles o tablets.

Pero me pregunto, ¿qué va a pasar con el informático de la empresa? Si ya no tiene que instalar servidores, clientes, administrador programas, configuraciones ¿qué va a pasar? Si supiera qué ocurrirá en el futuro me leeríais desde Bahamas, seguro…

Industria 4.0

Este debate o pensamiento no es cosa únicamente de los informáticos. Con el boom de la industria 4.0, una industria más “moderna” tecnológica, blablabla se introduce la robótica, el machine learning, blablabla

Kaos en la red.

Bajo mi punto de vista, el panorama informático no va a cambiar mucho para los perfiles de bajo y alto perfil. Sin embargo, creo que los perfiles medios corren un riesgo importante, y lo extrapolo a la industria para consolidar mis pensamientos. El currito técnico de la fábrica, el informático de nivel 1 que arregla impresoras, que conoce el software cliente, es más, que conoce al usuario, lo entiende, se lleva bien con él, ese va a ser necesario sí o sí. Estemos en la nube o en Marte ese tipo de soporte habrá que dárselo a Juan cuando entre el lunes y jure y perjure que alguien ha cambiado su clave, o a Cristina que de repente pierde archivos de la hoja de cálculo. El operario de la fábrica que mueve las cajas de un lado para otro, que se pone en una cinta a realizar un proceso concreto. Ese operario quizás perdure, siempre los ha habido, ya que se da el caso en que automatizar un proceso industrial puede ser más caro que sustituir la mano de obra. Por ejemplo, ¿qué máquina va a realizar el control de calidad en una cadena de alimentos en el que también envasa, apila, traspaleta, etc…?

Vamos a pensar en el operario de alto nivel. El experto. En la informática por mucha nube que haya siempre será necesario un arquitecto que controle el despliegue. Siempre será necesario un programador que mejore las soluciones. Un ingeniero agrícola que lidere los proyectos en el campo. Un ingeniero industrial que mejore los procesos junto al proveedor. Nadie discute que este tipo de perfil va a seguir siendo necesario en el cloud y en la industria 4.0.

Pero  ¿qué hay de ese empleado de perfil medio? Esa persona que tiene conocimientos de informática porque lleva toda la vida trabajando pero que lo mismo arregla un PC que configura un servidor. Que lo mismo hace un pequeño script que crea fórmulas con la hoja de cálculo. Que lo mismo instala un antivirus que te instala un virus XD. Ese operario de la fábrica que goza de beneficios adquiridos con el tiempo y no en base a su capacitación. Ese que tiene aparcamiento porque le hace la rosca al jefe y tú no XD.

Cuando llegue un cambio en la empresa, cuando se defina una política concreta de puestos, ¿dónde lo ponemos? No es experto programador, no es experto en una tecnología o proceso concreto. De repente, no sabemos muy bien dónde colocarlo. Estos puestos creo que son los que corren peligro.

Un robot nunca va a llegar a tu casa a entregarte pedidos porque por 1.000€ al mes es más barato pagar a un humano. Pero el operario de la empresa de logística que prepara las rutas… ese sí que corre peligro.

Tengo claro que en este desafío queda la especialización o el bajo nivel. Siempre he defendido lo contrario, siempre he sido un chico para todo, pero creo firmemente que el asunto está cambiando.

Becarios gratuitos

En este mundo siempre ha habido gente que se ha buscado las habichuelas mejor que otros. Recuerdo mi época de estudiante de informática (perdón, mis inicios, aún sigo día a día estudiando). Mientras que mis colegas dormían yo me busqué cursos. Muchos. 2.000 horas recuerdo. Mientras que mis compañeros hacían el mongui, yo lo hacía más, pero me buscaba prácticas no pagadas en empresas. Iba a todas las charlas, eventos, conferencias que caían en mi mano. Recuerdo que me lo curré un montón hasta que encontré mi primer trabajo de informático. Ahora recuerdo con simpatía las discusiones con mis amigos sobre las certificaciones dichosas, que no servían para nada, que no sé qué, qué no sé cuántos. Que cada uno piense lo que quiera, a mi me ha ido de lujo toda la vida y gracias a ellas se me han entreabierto muchas puertas que después he tenido que acabar de abrir yo, pero ya tenía ‘el empujón’.

Forges

Bien, ¿por qué todo esto? Porque como becario tuve que tragar mierda. No mucha, la verdad, pero sí una poca. No me pagaban. Me costaba a mí el dinero el transporte, el café y la movida. ¿Quién me va a decir ahora, que no debería haber hecho eso, ahora que me va bien la cosa? ¿Tendría que no haber recibido la ayuda que recibí gracias a mi esfuerzo como becario en más de 3 sitios? ¿Tendría que haber renunciado a esa formación por un sueldo que no existía?

Aquí están los matices. Yo tuve la suerte de trabajar los fines de semana. Me pagaba los gastos de durante la semana trabajando de camarero 15 horas al día.

Pero la cuestión no es esa. La cuestión es que hay jóvenes a los que les gustaría hacer esas prácticas, recibir esa formación, pero no pueden. Tienen que invertir las 40 semanales de trabajo en eso, en trabajar. No todo el mundo puede permitirse tirarse una temporada sin ingresar pasta. Esto pone a la gente con dinero, con posibilidades económicas en ventaja, ya que seguro que podrán mantener unas prácticas no pagadas o mal pagadas, mucho más que una familia que necesita el salario.

La empresa es la empresa, y su objetivo es conseguir el mayor rendimiento posible por el menor coste. El problema es del gobierno.

A mi juicio, no se debería permitir tener becarios sin sueldo o sueldos ínfimos. Por mucho que yo te haya escrito atrás estas líneas, no debería ser así. Yo tuve la suerte de currar de camarero, pero hay otra gente que no puede. Debería ser competencia del gobierno regular estos contratos.

El sistema educativo en España te pone delante de algo parecido a un trabajo, 3 meses al final de la carrera (salvo algunos casos). Esto es de risa. Todo el mundo quiere salir de la carrera con un trabajo, pero realmente no ha trabajado en su vida, y sería lógico que esos primeros años fueran una extensión de la formación en materia de prácticas, pero claro, somos como somos y entendemos que con el título en la mano… ¡ya no hay más que hablar!.

¿Y si la carrera en vez de 4 años fuera de 6, y estos dos años se alternan durante todo el ciclo en materia de prácticas? Seguramente nadie se quejaría, o menos, y se daría por hecho que la formación en el trabajo es parte de la formación curricular.

Lo que está claro es que el gobierno debe regular las prácticas en todos los sectores, y que las habilidades prácticas en las carreras brillan por su ausencia.

 

 

 

Dok y Bella, nuevos malware para macOS que utilizan el mismo vector de ataque

Jue, 05/04/2017 - 14:56

A día de hoy, nadie debería sorprenderse al descubrir malware para el sistema de Apple macOS, a pesar de que aún queden usuarios que piensan que su sistema es invulnerable. Cada cierto tiempo se detectan nuevas amenazas para este sistema, habiéndose incrementado preocupantemente en los últimos años, aunque siguen muy lejos del número de amenazas existentes para otros sistemas como Windows o Android.

Funcionamiento de OSX/Dok

Durante los últimos días se han descubierto dos nuevas variantes de malware que responden al nombre de OSX/Dok y OSX/Bella. A pesar de que estas amenazas son distintas, no lo es el método que utilizan para propagarse, el cual sigue siendo un clásico: un fichero adjunto a un correo electrónico escrito en alemán que se hace pasar por una supuesta devolución de impuestos.

La primera voz de alarma la dieron investigadores de CheckPoint a finales de la semana pasada, cuando descubrieron que este correo adjuntaba un fichero comprimido que contenía, a su vez, un fichero de nombre Dokument y con el antiguo icono de la Vista Previa para macOS.

Correo fraudulento el que iba el adjunto malicioso. Fuente: CheckPoint

Al intentar ejecutar este fichero se muestra una falsa ventana de alerta y, sin conocimiento del usuario, se instala en segundo plano la aplicación maliciosa AppStore.app. Una vez instalado el malware OSX/Dok en el sistema, este se ejecuta y concede permisos a todos los usuarios para que puedan ejecutar el malware y borrar la aplicación original. Además, se colocará como un ítem de registro para conseguir persistencia en el sistema y asegurarse de que se ejecuta cada vez que este se reinicia.

Seguidamente, se genera una pantalla que se superpone al resto y que muestra una supuesta alerta de seguridad. Esto no es más que una excusa para conseguir las credenciales del usuario, puesto que solicita su introducción para instalar esta falsa actualización. El usuario se ve obligado a introducir esta contraseña, puesto que el malware impide que realice cualquier otra acción en el sistema.

Falsa pantalla de alerta generada por el malware OSX/Dok. Fuente: ChekPoint

Con los permisos necesarios ya obtenidos, este malware procede a instalar varias aplicaciones, entre las que se encuentra un gestor de paquetes para macOS que, seguidamente, será utilizado para descargar TOR y SOCAT. Además, el malware otorgará privilegios de administrador al usuario que lo está utilizando para instalarse, y así evitar que se muestren nuevas pantallas solicitando que se introduzca la contraseña.

El fin último de este malware es instalar un certificado malicioso y proceder a realizar un ataque Man in the Middle, para interceptar todo el tráfico del usuario cuando este navegue por Internet. El atacante dispone de una página web dentro de la red TOR que contiene la configuración de un proxy para realizar este ataque y suplantar algunas de las webs que utiliza, para así poder robar información como credenciales de acceso.

Funcionamiento de OSX/Bella

Pocos días después de descubrir la propagación del malware OSX/Dok, investigadores de Malwarebytes descubrieron otra amenaza que utilizaba exactamente el mismo método de propagación por correo electrónico, el mismo archivo comprimido y la misma pantalla de alerta.  Sin embargo, en esta ocasión se instalaba una puerta trasera de código abierto conocida como Bella, cuyo autor se identifica a sí mismo en GitHub como Noah.

Este programador es el autor de varios scripts desarrollados en Python diseñados para realizar ataques a macOS, como el robo de tokens de autorización de iCloud o datos de tarjetas de crédito desde el navegador Chrome. El pasado mes de febrero publicó Bella, la cual combina funcionalidades ya presentes en estos scripts con algunas nuevas como la localización de dispositivos a través de Find my iPhone y Find my Friends, el robo de mensajes SMS y los enviados a través de iMessage, o la captura de imágenes y audio a través del micrófono y la webcam, entre otros.

Funcionalidades del malware OSX/Bella. Fuente: Malwarebytes

Dependiendo de la versión del sistema operativo, Bella puede incluso intentar explotar vulnerabilidades existentes en versiones de macOS 10.12.1 y anteriores. De esta forma puede llegar a conseguir privilegios de root, aunque también puede utilizar técnicas de phishing para obtener la contraseña del administrador del sistema y así poder realizar sin problemas alguna de las funcionalidades mencionadas.

Conclusión

Como acabamos de ver, estas dos muestras de malware para macOS utilizan el mismo vector de ataque, algo que hemos visto en incontables ocasiones, por ejemplo, a la hora de propagar ransomware para Windows. Si esto va a suponer una nueva tendencia a la hora de propagar malware para macOS o si vamos a ver un incremento de amenazas en este sistema, es algo que aún no podemos confirmar.

En cualquier caso, nunca está de más contar con una solución de seguridad capaz de detectar estas amenazas y desconfiar de correos no solicitados, especialmente si estos contienen adjuntos sospechosos.

Josep Albors

Abierto el registro para las jornadas X1RedMasSegura 2017

Mar, 05/02/2017 - 12:55

Un año más, regresan las Jornadas X1RedMasSegura. Desde ESET España estamos muy felices de poder participar de nuevo con esta iniciativa que, en su 5ª edición, nos tiene preparadas muchas sorpresas.

El registro para las jornadas ya se encuentra abierto y, cómo en las anteriores ediciones, es totalmente gratuito. Además, se contará con diversos detalles para todos los asistentes y ponentes, cortesía de los patrocinadores, los cuales nos irán presentando durante las próximas semanas.

Las plazas son limitadas, por lo que mejor no dejar la inscripción para última hora… ¡Apúntate ya!

Las Jornadas X1RedMasSegura 2017 se celebrarán de nuevo en el Salón de Actos de la Escuela Técnica Superior de Ingenieros de Telecomunicación (ETSIT) de la Universidad Politécnica de Madrid, localizada en la “Ciudad Universitaria”, campus universitario situado en la zona noroeste de Madrid.

Estas jornadas darán comienzo el VIERNES 19 de MAYO a las 16:30h hasta las 21:00h y continuarán con otra interesante jornada el SÁBADO 20 de MAYO de 10:00h a 20:00h.

Para facilitar la alimentación e hidratación de todos durante estas frenéticas jornadas, contarán con meriendas y desayunos gratuitos, además de comida de tipo catering el sábado, también gratuita, para TODOS los asistentes y ponentes. ¿Qué más se puede pedir?

En las ponencias también se reflejarán las problemáticas de los colectivos más vulnerables olvidados. Ya os adelantamos que contaremos con grandes ponentes de primer nivel, como Silvia Barrera, Juan Garrido, Israel Córdoba, José Selvi, Eduardo Sánchez, Lorenzo Martínez, Mª José Montes, Juan Luis G. Rambla, Alberto Rodas, Pablo F. Burgueño, Luís Corrons, Alfonso Muñoz, Román Ramírez, Pedro Candel, el Dpto. de Delitos Telemáticos de la Guardia Civil o Alejandra Frías, además de nuestro compañero Josep Albors, miembro de la organización de X1RedMasSegura, que también participará en una interesante mesa redonda con otros responsables de empresas antivirus.

En las jornadas se tratarán temas de interés para todos los internautas, como la seguridad en smartphones, navegación segura en Internet, estafas online, etc. Al igual que todos los años comentan desde la organización (a la que le gusta reiterarlo), no es un evento para hackers, es un evento para INTERNAUTAS, dirigido a cualquier ciudadano que utilice Internet en su vida cotidiana (whatsApp, compras online, Facebook, etc.), para poder ayudarle a asegurar su cibervida de una forma adecuada.  Además, el viernes será una jornada especial para los colectivos más vulnerables, que cerraremos con una exhibición canina.

Además, si se desea, se podrá colaborar altruistamente con la Fundación Mensajeros de la Paz. En la puerta del recinto, al igual que en las últimas 2 ediciones, se encontrarán voluntarios recogiendo comida no perecedera para ayudar a los más necesitados.

¡Nos vemos pronto!

La ciberseguridad es cosa de tod@s… y para tod@s

Submelius, malware que utiliza falsas extensiones de Chrome para infectar el navegador

Vie, 04/21/2017 - 16:30

Desde hace unas semanas, una amenaza en concreto nos ha llamado la atención a varios investigadores de distintos países. Esta nueva amenaza utiliza extensiones del que es ahora el navegador más utilizado (Google Chrome) para intentar inyectar código en las webs visitadas por sus víctimas y así poder robar información, descargar malware o bombardearlas con publicidad.

Vectores de infección

Debido a que esta amenaza, detectada por las soluciones de ESET como JS/Chromex.Submelius, necesita instalarse como una extensión de Chrome, el vector de infección utilizado por los delincuentes son ciertas páginas web. Nuestro compañero Camilo Gutiérrez, responsable de Investigación y Concienciación en ESET Latinoamérica, ha detectado esta amenaza propagándose, por ejemplo, desde cierto sitio bastante popular que es utilizado por los usuarios para ver películas online.

Justo antes de iniciarse la reproducción de la película, Camilo observó cómo se abría una nueva ventana en el navegador, cosa habitual cuando se nos quiere mostrar publicidad en este tipo de sitios, pero que en esta ocasión esconde algo más peligroso:

Como ya hemos indicado, este comportamiento no debería resultarnos atípico, puesto que muchos sitios lo utilizan para mostrarnos publicidad, y no estamos hablando solamente de webs en las que ver este tipo de contenido…, sino también de muchas webs con buena reputación y visitadas por millones de personas cada día, como las de los periódicos online o aquellas que buscan las mejores ofertas en vuelos y hoteles, por poner solo dos ejemplos.

Pero al contrario que sucede en aquellos casos en los que solamente se nos muestra publicidad, en esta ocasión se redirige al usuario a una web que tan solo muestra un mensaje que no deja de aparecer hasta que se pulsa sobre el botón Aceptar.

Instalando una extensión maliciosa

En lugar de descargar un malware directamente al pulsar sobre el botón Aceptar en la anterior ventana emergente, la estrategia diseñada por los delincuentes hace que se dirija al usuario a la descarga de una extensión desde la tienda oficial Chrome Web Store. Es importante destacar este punto, puesto que esto significa que la extensión maliciosa está siendo instalada desde un repositorio oficial gestionado por Google.

En este punto, podemos ver varios indicios que nos pueden hacer sospechar que no se trata de una aplicación legítima, como la falta de comentarios o valoración. Sin embargo, para muchos usuarios esto no es un impedimento a la hora de descargar extensiones y es bastante probable que instalen la extensión maliciosa sin fijarse en estos detalles.

En el caso de que se produzca la instalación de esta extensión maliciosa en el navegador de la víctima, observaremos que aparece un nuevo icono al lado de la barra de direcciones. Al pulsar sobre dicho icono se dirige nuevamente a la descarga de otro complemento malicioso que también se encuentra en la web oficial de extensiones de Chrome.

Si el usuario ha caído en la trampa y procede a instalar esta extensión, habrá comprometido la seguridad de su navegador, ya que a partir de ese momento y gracias a que esta aplicación dispone de permisos para leer y modificar todos los datos de los sitios web que se visiten a partir de ese momento.

Esto permite a los atacantes inyectar código malicioso en cualquier web que se visite utilizando el navegador infectado.

A partir de ese momento, el usuario observará que realizando una navegación completamente normal por sitios de Internet legítimos aparecerán nuevas pestañas en su navegador con todo tipo de alertas o avisos sobre su sistema. La finalidad de los delincuentes es que el usuario termine descargando algún tipo de código malicioso o sea bombardeado por publicidad de todo tipo.

Impacto de Submelius

Como en anteriores campañas analizadas en las que un malware destacaba sobremanera sobre el resto, el caso de Submelius es similar, puesto que su propagación empezó a destacar a finales de marzo.

En la siguiente gráfica obtenida gracias al servicio Virus Radar de ESET podemos observar cómo la detección de este malware en España ha sido bastante considerable durante las últimas semanas, llegando a estar por encima de un clásico como el ransomware y rozando niveles del 50% del total de malware detectado en días concretos.

A nivel mundial, vemos cómo Submelius ha afectado principalmente a Europa y Latinoamérica, situándose también entre las amenazas más detectadas durante el mes de abril. Es curioso ver que su incidencia en Asia, Norteamérica y Oceanía ha sido más leve si lo comparamos con las zonas más afectadas, todo eso a pesar de concentrar un gran número de usuarios de Internet.

Cómo eliminar las extensiones maliciosas

Si nos hemos visto afectados por Submelius y hemos instalado alguna de las extensiones maliciosas en nuestro navegador Chrome, debemos proceder a eliminarlo lo antes posible. Para ello accederemos al apartado de extensiones escribiendo “chrome://extensions” en la barra del navegador y eliminaremos las extensiones sospechosas.

Debemos tener en cuenta que en este post solo hemos mostrado dos de las extensiones maliciosas utilizadas por los creadores de Submelius y que existen muchas más. Así pues, debemos revisar una por una todas las extensiones que tengamos y eliminar aquellas sospechosas.

Además, siempre es recomendable analizar nuestro equipo con una solución de seguridad para buscar posibles restos de esta infección y proceder a su eliminación. Si no se dispone de ninguna o se desea obtener una segunda opinión, podemos utilizar ESET Online Scanner de manera gratuita, aplicación que se ejecuta directamente desde nuestro navegador.

Conclusión

Ejemplos como el que acabamos de analizar nos recuerdan la importancia de revisar cualquier cosa que queramos instalar en nuestro sistema antes de hacerlo. No importa el sitio web que estemos visitando en ese momento, puesto que este tipo de amenazas pueden estar tanto en sitios más peligrosos como en otros perfectamente confiables a través de técnicas como el malvertising.

Josep Albors

Vuelven a utilizar una falsa app de linterna para robar contraseñas

Jue, 04/20/2017 - 13:46

Es curioso observar cómo hay ciclos y técnicas que se repiten cada cierto tiempo a la hora de propagar malware. Sin embargo, más que curioso, es preocupante saber que esas técnicas siguen funcionando aun muchos años después de ser utilizadas por primera vez. Un buen ejemplo claro son los códigos maliciosos como el ransomware que utilizan las macros de documentos de Office para infectar a sus víctimas, algo que empezamos a ver hace 20 años.

El retorno de un clásico

Lo mismo pasa con las aplicaciones para el sistema operativo Android que los usuarios instalan. Casi desde la aparición de esta plataforma, unas de las aplicaciones más descargadas han sido las que transforman nuestro dispositivo móvil en una linterna gracias al flash de la cámara que muchos incorporan. De la misma forma, uno de los ejemplos más claros que suelen darse en múltiples conferencias relacionados con aplicaciones maliciosas camufladas como inofensivas, es el de la app de la linterna que pide permisos excesivos.

Con los años que han pasado desde que apareciera el primer malware que se hiciera pasar por una inofensiva app de linterna y con todo lo que se ha hablado de este tema, sería lógico pensar que todo el mundo debería estar al tanto y desconfiar de estas aplicaciones, o por lo menos revisar los permisos que concede cuando las instala. Pero no.

Recientemente, el investigador de ESET Lukas Stefanko descubrió un troyano bancario disponible para su descarga en Google Play que estaba camuflado (de nuevo) como una aplicación de linterna. Sin embargo, este troyano disponía de características que lo hacían único y es que era capaz de ajustar su funcionalidad de forma dinámica.

Para no levantar sospechas, la aplicación cumple con la funcionalidad prometida. Es decir, sirve para utilizar nuestro smartphone como linterna. Sin embargo, añade otras funciones maliciosas destinadas a robar las credenciales bancarias de los usuarios que la instalen. En función a lo que el delincuente establezca desde su centro de mando y control, este troyano es capaz de suplantar aplicaciones legítimas usando pantallas falsificadas, bloquear los dispositivos infectados para esconder la actividad maliciosa, interceptar los mensajes enviados por nuestra entidad bancaria para confirmar las operaciones e incluso mostrar notificaciones fraudulentas para intentar evadir el doble factor de autenticación.

Este troyano fue subido a Google Play el pasado 30 de marzo y, tras ser detectado por los investigadores de ESET como Trojan.Android/Charger.B, se avisó a Google para que lo eliminara, cosa que hizo el pasado 10 de abril. Hasta esa fecha, la aplicación maliciosa fue descargada por unos 5000 usuarios.

Funcionamiento del troyano

Como en muchos otros casos, una de las primeras acciones que intenta ejecutar este malware es la de conseguir permisos de administrador en el dispositivo que va a intentar infectar. En versiones antiguas de Android esto se conseguía con una simple pregunta al usuario, pero desde la versión 6.0 el usuario debe, además, aprobar los permisos para que una aplicación pueda utilizar y superponerse a otras app instaladas.

Para evitar que la funcionalidad maliciosa sea detectada de forma sencilla, esta aplicación oculta su icono y solo se muestra como un complemento del sistema. De esta forma permite que su carga maliciosa real (oculta y cifrada dentro del instalador) sea descifrada y ejecutada tan pronto como el usuario abra la aplicación por primera vez.

Una de las primeras acciones que realiza este troyano es registrar el dispositivo de la víctima en el servidor controlado por el delincuente. No solo procede a enviar información del sistema junto a un listado de las aplicaciones instaladas en este, sino que también intenta realizar y enviar una foto del usuario utilizando la cámara frontal del dispositivo.

Esta información recopilada es utilizada para, entre otras cosas, intentar localizar al usuario. Si este se encuentra en Rusia, Ucrania o Bielorrusia, se le ordena al troyano desde el centro de mando y control que cese su actividad. Este tipo de comportamiento no es extraño en el malware desarrollado en esas regiones y se suele incluir esta opción para evitar llamar la atención de las autoridades de esos países y que estas procedan a perseguirlos.

El listado de aplicaciones instaladas es utilizado para detectar si hay instalada alguna aplicación que pueda ser interesante para el delincuente. Este troyano está pensado para robar credenciales de aplicaciones de banca online, pero también está preparado para robar información de Facebook, WhatsApp, Instagram y Google Play.

El robo de credenciales se realiza superponiendo una pantalla falsa sobre la aplicación legítima, pantalla desde la que se solicita la introducción de credenciales del usuario. Estas credenciales son seguidamente enviadas sin cifrar al servidor de mando y control gestionado por el atacante. Como dato curioso, en las comunicaciones que realiza el malware con su centro de mando y control se utiliza el canal Firebase Cloud Messages, siendo esta la primera vez que se observa su uso por parte de un malware.

Respecto a la funcionalidad que permite bloquear el dispositivo infectado, la sospecha de los investigadores de ESET es que se activa cuando los delincuentes proceden a robar dinero de las cuentas bancarias de los usuarios. De esta forma, evitan que los usuarios se den cuenta o puedan interferir mientras se realiza este robo.

Las investigaciones realizadas hasta el momento apuntan a que este troyano se trata en realidad de una variante de Android/Charger (descubierta inicialmente por investigadores de Chek Point en enero de 2017) que ha cambiado el ransomware por el phishing. El punto más llamativo de esta variante radica, no obstante, en su capacidad de actualización dinámica, algo que permitiría su adaptación a nuevos usos maliciosos.

Cómo protegerte y limpiar un dispositivo infectado

A la hora de evitar ser víctimas de un malware como el que acabamos de comentar, es importante tomar ciertas medidas de precaución. Si bien en esta ocasión los delincuentes consiguieron subir su aplicación maliciosa a una tienda oficial como Google Play, la mayor parte de las veces este tipo de aplicaciones se encuentran en mercados alternativos y sin control alguno, por lo que no es recomendable descargar apps desde sitios no oficiales (o no lo es al menos sin revisarlas a fondo).

Antes de instalar una aplicación en nuestro dispositivo es importante que revisemos su popularidad entre los usuarios mediante el número de instalaciones, la puntuación que se le ha otorgado, si estamos ante una app creada por un desarrollador verificado y, especialmente, en los comentarios de aquellos usuarios que la han instalado antes que nosotros.

Durante la instalación es importante que prestemos especial atención a los permisos que nos solicita una aplicación. Hay permisos que pueden ser lógicos de conceder, mientras que otros no tienen ningún sentido si, como en este caso, estamos ante una app que solamente debería ser utilizada como función de linterna.

Por último, es importante contar con una solución de seguridad que revise estas aplicaciones y su actividad. Existen soluciones de confianza como ESET Mobile Security que incluso ofrecen muchas más funcionalidades además de detectar el malware, funcionalidades que pueden resultarnos muy útiles a los usuarios de dispositivos móviles.

Pero si ya hemos sido víctimas de este malware tampoco debemos entrar en pánico, puesto que podemos desinstalarla de forma sencilla. Para ello nos dirigimos al menú de Ajustes -> Seguridad -> Administradores de dispositivos y desmarcaremos la casilla donde se encuentra Flashlight Widget. Seguidamente accederemos al menú Aplicaciones -> Flashlight Widget –> Desinstalar y ya habremos eliminado esta aplicación de nuestro sistema.

Conclusión

A pesar de que el malware para Android sigue evolucionando, seguimos viendo que muchas veces es necesaria la interacción del usuario para conseguir instalar este tipo de aplicaciones maliciosas. Por eso es importante ser consciente de los riesgos existentes y así poder evitarlos y evitar que nos roben credenciales bancarias o de otros servicios.

Josep Albors

Nombre del APK

com.flashscary.widget

Hash SHA1

CA04233F2D896A59B718E19B13E3510017420A6D

Detectado como

Android/Charger.B

 

El ransomware como servicio, una tendencia en auge

Mié, 04/19/2017 - 12:39

No cabe duda de que el ransomware es actualmente una de las amenazas más importantes a las que tienen que hacer frente miles de usuarios y empresas en todo el mundo. Los delincuentes han encontrado una forma de ganar dinero rápidamente secuestrando los archivos de los usuarios y exigiendo un rescate, rescate que no siempre garantiza la recuperación de los archivos infectados.

Pero incluso en el ransomware se observa cómo se repiten tendencias ya utilizadas por otro tipo de malware años atrás, y una de las más en auge es la del ransomware como servicio.

Ransomware al alcance de todos

El principal problema de este modelo de negocio utilizado por los criminales es que permite que prácticamente cualquiera pueda acceder a realizar este tipo de actividades ilícitas, con el consiguiente impacto que eso tiene en el número de usuarios afectados.

Un caso reciente lo tenemos en Karmen, un ransomware que se ofrece como servicio por la módica cantidad de 175 dólares en foros utilizados por los delincuentes para comprar y vender este tipo de malware. Entre las ventajas que ofrece esta variante a los aprendices de criminal destacamos el poco conocimiento técnico que se necesita para poder gestionarlo, operación que se realiza desde un panel de control como el que vemos a continuación.

Desde ese panel el delincuente puede controlar el número de infecciones y los pagos realizados por las víctimas. Dada la facilidad de manejo, el criminal solo debe preocuparse de propagar esta amenaza entre el mayor número de víctimas posible, algo que suele realizarse mediante el envío masivo de spam con adjuntos maliciosos y que también puede subcontratar a otros delincuentes.

La aparición de Karmen es bastante reciente y data de diciembre de 2016, comenzando a distribuirse como un servicio a partir de marzo de este año. Tras su análisis, se ha podido comprobar que Karmen tiene su origen en el conocido Hidden Tear, un ransomware de código abierto que fue publicado con “fines educativos” en 2015.

Características de Karmen

Como muchos otros ransomware, Karmen realiza un cifrado de los archivos del sistema con ciertas extensiones con un algoritmo de cifrado robusto como es AES 256. Seguidamente muestra un mensaje en la pantalla para que la víctima se dé cuenta de lo que ha pasado y proceda a pagar el rescate.

Tal y como se observa en algunas muestras de malware, Karmen también incorpora medidas antidebugging para dificultar su análisis y, de hecho, amenaza con borrar todos los ficheros cifrados si se intenta analizar este código malicioso. Además, es capaz de detectar si se está intentando ejecutar en una máquina virtual o en una sandbox y se elimina del sistema, algo que dificulta el análisis por parte de los investigadores.

Aún es pronto para ver el impacto real que tendrá Karmen, pero es muy probable que otros creadores de malware sigan desarrollando códigos maliciosos similares pensados para ser utilizados por otros delincuentes. Al fin y al cabo, estos creadores de código malicioso siguen obteniendo beneficios pero sin tener el grado de exposición de alguien que infecta a usuarios de todo el mundo y, por tanto, con más dificultades de ser detenido.

Como ejemplo tenemos a otras familias de ransomware que también contaban con un modelo de negocio similar, ofreciéndose como servicio. Son los casos de Petya y Cerber, por poner solo dos ejemplos, casos en los que los delincuentes ya permitían alquilar el uso de sus códigos maliciosos obteniendo un éxito notable, como con Cerber.

Conclusión

Siempre hemos dicho que, en el caso del ransomware (y del malware en general), es mejor prevenir que curar. Si no queremos quedarnos sin los archivos importantes que almacenamos en nuestro sistema, lo mejor es tomar las medidas adecuadas. Medidas como contar con una copia de seguridad actualizada, bloquear el acceso a ficheros adjuntos en emails que puedan ser utilizados para propagar malware, detectar operaciones de cifrado no autorizado o contar con una solución de seguridad capaz de detectar y bloquear nuevas variantes de ransomware de forma rápida y efectiva son algunas de las medidas básicas que deberíamos aplicar.

Además, en entornos corporativos es importante tomar medidas de seguridad adicionales para evitar que sistemas críticos como servidores de ficheros o correo se vean afectados. Si a un usuario medio una infección por ransomware puede causarle problemas graves, a una empresa puede dejarla inoperativa durante el tiempo suficiente como para tener importantes pérdidas y eso es algo que no se puede permitir.

Josep Albors

Shadow Brokers filtra más herramientas de la NSA, o cómo pasar entretenido la Semana Santa

Mar, 04/18/2017 - 13:44

Volvemos de las vacaciones de Semana Santa, unos días que apuntaban a relax entre procesiones, playita, descanso en una casa rural o simplemente pasando el tiempo en el hogar y adelantando trabajo pendiente. Pero no. La vida de aquellos que trabajamos en el sector de la seguridad informática es un tanto especial en cuanto a horarios y nunca sabes cuándo tienes que poner en alerta todos los sentidos, algo que muchos hemos tenido que hacer en los últimos días.

La procesión del exploit publicado

La Semana Santa empezó bien, y mientras algunos aprovechaban para salir a la calle llevando a imágenes religiosas a sus hombros y cantarles saetas, otros nos quedábamos en casa viendo qué se cocía en el mundillo de la seguridad y preparando temas para los meses venideros. Todo tranquilo hasta el Viernes Santo por la mañana, en la que empezamos a ver cómo algunos investigadores se hacían eco de una publicación del grupo Shadow Brokers.

Shadow Brokers, ¿de qué me suena ese nombre? Ah, sí. Es el grupo que el año pasado le sacó los colores a la NSA robando su supuesto arsenal de ciberarmas y poniéndolas a subasta. Para demostrar que no estaban tirándose un farol llegaron a publicar algunos exploits y documentos que explicaban cómo aprovecharse de vulnerabilidades. Sin embargo, si queríamos conseguir todo lo obtenido por este grupo deberíamos donar la nada despreciable cantidad de ¡1 millón de bitcoins! (pronúnciese con voz de Dr. Maligno).

Como era de esperar, la respuesta fue casi nula y este intento de Shadow Brokers de recaudar cantidades indecentes de dinero fracasó estrepitosamente. Así pues, los meses pasaron, y este grupo fue publicando información relacionada con Equation Group (supuestamente, el grupo vinculado con la NSA que estaría realizando ciberataques desde hace tiempo), información relacionada con alguna de las herramientas desarrolladas y utilizadas o con servidores comprometidos por esta agencia de inteligencia.

Sin embargo, las cosas empezaron a precipitarse tras la ofensiva de los Estados Unidos a Siria, realizado tras el ataque con armas químicas perpetrado supuestamente por el gobierno de Bashar al-Ásad. En respuesta a este ataque, el grupo Shadow Brokers publicó el 8 de abril la contraseña para acceder a los archivos que intentó subastar sin éxito el verano pasado.

Pero la cosa no terminó ahí, ya que el principal motivo de que muchos hayamos descansado menos de lo que deberíamos durante los últimos días, se encuentra en la publicación el pasado viernes 14 de abril de más material que contiene nuevas herramientas utilizadas supuestamente por la NSA en sus ciberataques y una interesante información que trataba la supuesta infiltración de esta agencia en sistemas SWIFT, utilizados por entidades bancarias para la transferencia de dinero.

La crucifixión de las vulnerabilidades

Tan pronto como este material estuvo disponible, varios investigadores (entre los que destacó sobremanera HackerFantastic) se lanzaron a analizar estas nuevas herramientas y documentos para descubrir cómo funcionaban y qué objetivos tenían. Quizás el descubrimiento que más nos sorprendió fue que, en lugar de utilizarse frameworks conocidos como Metasploit, la NSA parecía haber desarrollado el suyo propio, de nombre Fuzzbunch.

Framework Fuzzbunch ejecutando el payload DoublePulsar – Imagen de HackerFantastic

Este framework sería el utilizado para lanzar los diferentes exploits revelados por Shadow Brokers en esta publicación, exploits que afectaban principalmente a diversas versiones de Windows. Los investigadores encontraron especialmente interesante la existencia de una posible vulnerabilidad en la implementación del protocolo de red SMB realizada por Microsoft, una implementación con casi 20 años de antigüedad.

Aprovechando esta vulnerabilidad y alguno de los exploits publicados como EternalBlue o DoublePulsar se puede llegar a conseguir una Shell inversa en una máquina vulnerable, tal y como muy bien explica en su post la investigadora argentina Sheila A. Berta, la cual ha elaborado la siguiente tabla, donde se observa cuáles de los exploits más destacables funcionan en según qué versiones de Windows (basándose en las pruebas que ella misma ha realizado).

Una vez comprobado el alcance y magnitud de estos exploits y los millones de máquinas vulnerables existentes actualmente (aparentemente Windows 8.1 y Windows 10 se salvan de la quema), muchos empezaron a pensar en el ciberapocalipsis (o más bien el calvario de parches que tendrían que empezar a aplicar), aunque la reacción de Microsoft sorprendió a propios y extraños.

Parches de resurrección

Decimos que la reacción de Microsoft fue sorprendente, puesto que el mismo día en el que se hicieron públicos estos exploits, Microsoft indicó que la gran mayoría de las vulnerabilidades aprovechadas por ellos ya habían sido parcheadas en boletines de seguridad lanzados previamente.

Además, con respecto a los exploits para los que aún no se habían publicado boletines de seguridad, Microsoft indicó que ninguno de ellos podía ejecutarse en las versiones soportadas actualmente de Windows. Eso significa que los usuarios que estén utilizando Windows 7 y posteriores y Exchange 2010 y posteriores no se encuentran en riesgo. Debido a esto, Microsoft animó a los usuarios que aún estuviesen ejecutando software vulnerable a actualizarse a versiones más actuales.

Además, Microsoft aprovechó la ocasión para recordar el abandono de SMB1 en futuras actualizaciones de sus sistemas operativos, algo que ya se empezó a anunciar en 2015, animando a los administradores de sistemas que todavía lo estén utilizando a migrar a versiones más avanzadas y seguras como SMB2 o SMB3.

No obstante, de cara a la comunidad de investigadores, lo que más sorprendió de esta reacción de Microsoft fue la rapidez con la que anunció que esos parches ya habían sido publicados. Es curioso que algunos de los boletines de seguridad publicados en 2017 solucionaran vulnerabilidades que estaban siendo explotadas por la NSA desde 2011, y es incluso más curioso que, en contra de lo que sucede habitualmente, Microsoft no dijera quién le había informado de esas vulnerabilidades.

Esto ha dado pie a que en los últimos días surgieran varias teorías que apuntasen a que bien Microsoft había pagado por estas vulnerabilidades directamente o a través de terceros al grupo Shadow Brokers, bien había sido informada de forma privada directamente por el gobierno de los Estados Unidos, o bien había conseguido detectar las vulnerabilidades a partir de la filtración realizada por este grupo el pasado 8 de enero, filtraciones en las que ya se apuntaba a una posible vulnerabilidad desconocida en el protocolo SMB.

La NSA y los ataques al sistema SWIFT

Por si fuera poco con todo lo mencionado hasta ahora, otro de los puntos clave de esta reciente filtración mencionaba exploits que habían sido supuestamente utilizados por la NSA para atacar a oficinas de servicios SWIFT, utilizadas por bancos de todo el mundo para gestionar el acceso y las transacciones en esta red. En los archivos en los que se habla de este ataque se menciona cómo se logró comprometer a la mayor oficina de servicios SWIFT de Oriente Medio, EastNets, algo que esta empresa se encargó de desmentir rápidamente.

Una de las diapositivas donde la NSA explicaba el funcionamiento de los ataques a la red SWIFT

Varios investigadores como Matt Suiche analizaron estos supuestos ataques y dedujeron que, de ser verdad, podría significar que la NSA tuvo acceso directo al corazón de esta oficina de servicios SWIFT y, probablemente, a toda la red SWIFT. Según este investigador, las operaciones bancarias realizadas mediante este sistema utilizan una base de datos Oracle que corre el software SWIFT, y las herramientas de la NSA serían capaces de obtener información de esta base de datos, incluyendo listados de usuarios y búsquedas de mensajes.

Se añadiría así una nueva amenaza a la red SWIFT, que lleva tiempo siendo objetivo de varios ataques en todo el mundo. Y es que la gran cantidad de dinero que maneja esta red es muy suculenta, tanto para los ciberdelincuentes como para agencias de inteligencia de varios países.

Conclusión

Como se puede observar, hemos tenido unos días movidos durante la Semana Santa, y aún falta por ver las consecuencias reales de esta filtración. Por lo pronto, ya hemos empezado a ver alguna muestra de ransomware que utiliza algunos de los exploits de la NSA para infectar a sus víctimas y es posible que veamos más en las próximas semanas.

En cualquier caso, la solución pasa por actualizar aquellos sistemas vulnerables o, al menos, las aplicaciones o protocolos afectados. Este consejo es genérico y está bien recordarlo cada vez que se produce un caso similar, aunque también es cierto que en ciertos ámbitos es más difícil de aplicar que otros.

Sea como sea, servidor se va a comer la mona de pascua que no ha podido comerse durante estos días por estar pendiente de este asunto y, como dicen en mi pueblo “Ací em pica, ací em cou, ací em menge la mona, i ací et trenque el ou!”.

 Josep Albors

Microsoft soluciona numerosas vulnerabilidades, incluido un 0-day en Word

Mié, 04/12/2017 - 13:41

La publicación de los boletines periódicos de seguridad correspondientes al mes de abril estaba siendo esperada por muchos usuarios, especialmente por aquellos que utilizan Microsoft Word de forma habitual. Esta conocida aplicación ofimática ha estado en el punto de mira desde finales de la semana pasada debido al aprovechamiento de una vulnerabilidad no revelada hasta el momento y que estaba siendo aprovechada por numerosas variantes de malware, entre las que se encuentra el conocido troyano Dridex.

Vulnerabilidad en Word

El fallo de seguridad que más ha dado que hablar en los últimos días tiene como protagonista al conocido procesador de textos MS Word. Al parecer, un atacante podría preparar un documento malicioso en formato RTF (formato de texto enriquecido) y guardarlo como .doc, haciéndolo pasar como algo inofensivo para la mayoría de usuarios.

Sin embargo, una vez que la víctima ejecuta este fichero, el exploit introducido en el documento se conecta a un servidor remoto controlado por el atacante y descarga un fichero que tiene contenido HTML y se ejecuta como un archivo .hta. Como ya hemos visto en ocasiones anteriores, la extensión .hta se puede utilizar para propagar código malicioso, puesto que se trata de un tipo de fichero ejecutable.

Este vector de ataque permitiría a un atacante saltarse algunas de las protecciones introducidas por Microsoft a lo largo de los últimos años. Sin embargo, una medida de seguridad tan sencilla como tener activada la Vista Protegida en Word consigue evitar que este tipo de ataques tenga éxito.

Los usuarios pueden revisar si tienen activada esta opción accediendo a las opciones de Word > Centro de Confianza > Vista protegida:

Hay que destacar que esta vulnerabilidad afecta a todas las versiones de MS Word, incluso las versiones incluidas en Office 2016 que funcionan bajo Windows 10. Respecto a desde cuándo se vienen produciendo ataques aprovechándose de esta vulnerabilidad, algunas fuentes hablan de enero de este mismo año, mientras que otras se remontan incluso a noviembre de 2016, habiendo sido reportada la vulnerabilidad en octubre. Lo que parece claro es que la mayoría de ataques se han producido durante las últimas semanas y que uno de los malware que más la ha aprovechado ha sido Dridex, el conocido troyano bancario, en campañas de propagación masiva de spam con supuestos documentos escaneados.

Explotación de dos fallos más

Además de la vulnerabilidad 0-day en MS Word, la publicación ayer de los boletines de seguridad de Microsoft ha desvelado la existencia de otros dos agujeros de seguridad que estaban siendo aprovechados por varios atacantes.

Una de estas vulnerabilidades permitía la elevación de privilegios en el navegador Internet Explorer cuando este no fuerza la aplicación de políticas de dominio cruzado, permitiendo a un atacante acceder a información de un dominio e inyectarlo en otro dominio. El atacante podría preparar una web maliciosa para aprovechar la vulnerabilidad y engañar a los usuarios para que accedan a este sitio.

Esta vulnerabilidad no permite la ejecución de código arbitrario, pero puede utilizarse en conjunto con otras vulnerabilidades existentes para hacer que este código pueda ejecutarse en niveles de seguridad más relajados que los que fuerza Internet Explorer por defecto.

La otra vulnerabilidad que se ha visto siendo aprovechada por atacantes no ha sido exactamente parcheada. Microsoft ha publicado una alerta para la suite Office en la que se comenta la existencia de un fallo de seguridad en el Filtro Encapsulado PostScript, y para tratar de mitigar su explotación se ha lanzado una actualización de Office que deshabilita por defecto este filtro.

Además de estos parches, los boletines de seguridad de Microsoft han solucionado un total de 61 fallos de seguridad en sus sistemas y aplicaciones, siendo abril el mes en el que se abandona definitivamente la anterior nomenclatura utilizada para identificar los boletines de seguridad para adoptar una nueva que ya ha provocado reacciones enfrentadas entre los usuarios.

Tampoco hay que olvidar que este ha sido el último mes en el que Windows Vista recibirá actualizaciones de seguridad. Esta versión de Windows ha estado soportada durante 10 años y, a pesar de contar ya con pocas instalaciones activas (siendo superado incluso por Windows XP), es importante que los usuarios que aún lo sigan utilizando empiecen a pensar en migrar a versiones más modernas como Windows 10.

Conclusión

La gestión de las actualizaciones de seguridad es un factor determinante a la hora de mantener nuestros sistemas protegidos. Microsoft es consciente de ello y en los últimos años ha estado haciendo mejoras para que la ventana de exposición de sus usuarios a posibles ataques se reduzca lo máximo posible.

Sin embargo, todavía se observan casos como el que acabamos de analizar en los que se tardan meses en proporcionar una solución, y eso no deja de ser un riesgo considerable. Esperamos que los cambios que se están realizando a la publicación de boletines periódicos de seguridad ayuden a que estas situaciones sean cada vez menos habituales.

Josep Albors

Apple y Google solucionan fallos de seguridad en el módulo WiFi de sus dispositivos

Mié, 04/05/2017 - 13:07

A principios de semana tanto Google como Apple publicaron actualizaciones para algunos de sus dispositivos funcionando con Android e iOS. Estas actualizaciones solucionan varios fallos de seguridad en un apartado tan crucial como es la conectividad WiFi de estos dispositivos, por lo que es altamente recomendable actualizar nuestros dispositivos en el caso de que hayamos recibido la alerta de que se encuentra una actualización disponible.

Fallos que podrían comprometer remotamente el dispositivo

En esta ocasión, las vulnerabilidades no se encuentran en el software implementado por Apple y Google en sus dispositivos si no en el SoC (Software en el Chip) del chip desarrollado por la empresa Broadcom y que se encarga de proporcionar este componente a muchos dispositivos que funcionan tanto con Android como con iOS.

El investigador Gal Beniamini, empleado en la división Project Zero de Google que precisamente se encarga de descubrir vulnerabilidades en sistemas, aplicaciones y dispositivos de todo tipo, ha sido el que ha descubierto las vulnerabilidades existentes en este chip. Según sus investigaciones un fallo de seguridad en el código del firmware implementado por Broadcom podría permitir a un atacante enviar y ejecutar código malicioso en un dispositivo vulnerable, siempre que este se encuentre en al alcance de la WiFi del dispositivo.

Además de poder ejecutar código en el chip que gestiona la WiFi de un dispositivo vulnerable, Beniamini también ha avanzado que se pueden elevar los privilegios desde el SoC al propio kernel del sistema operativo. Según este investigador, combinando ambas vulnerabilidades se podría comprometer completamente el dispositivo y tomar el control del mismo tan solo con estar lo suficientemente cerca y sin necesitar ninguna interacción por parte del usuario.

Tampoco sería necesario que el atacante se acercase a su víctima físicamente ya que se podrían aprovechar estas vulnerabilidades usando puntos de accesos WiFi maliciosos instalados en sitios clave o incluso realizar wardriving por zonas concretas usando un dispositivo como un dron.

Solución por parte de las empresas afectadas

Tratándose de una vulnerabilidad de este tipo en la que los dispositivos afectados se cuentan por millones, lo normal (aunque no sea siempre así) es que la comunicación con las empresas afectadas se realice de forma responsable. Este ha sido el caso y el propio investigador de Google ha destacado que la comunicación con Broadcom ha sido muy buena y siempre con ganas de colaborar, tanto a la hora de arreglar las vulnerabilidades como a la hora de proporcionar los parches de seguridad a los fabricantes de los dispositivos afectados.

Por su parte, tanto Apple como Google han lanzado sus respectivas actualizaciones, Apple en forma de actualización a la versión 10.3.1 de iOS y Google mediante sus boletines de seguridad correspondientes al mes de abril.

El problema, como siempre, es cuantos de todos los dispositivos existentes recibirán esta actualización. Si bien en el ecosistema Apple esta actualización se ha publicado para dispositivos a partir del iPhone 5, iPad de 4ª generación e iPod Touch de 6ª generación, en Android la gran mayoría de dispositivos existentes no recibirán nunca este parche debido a la gran fragmentación existente, con millones de usuarios utilizando versiones obsoletas y sin posibilidad de actualizarse hasta que cambien de terminal.

Conclusión

La publicación de este tipo de vulnerabilidades siempre es bienvenida si se producen de forma responsable y permite que se solucionen de forma efectiva por las empresas afectadas. No obstante, cuando comprobamos como, aun con la publicación de los parches de seguridad, millones de dispositivos van a seguir siendo vulnerables porque dejaron de recibir actualizaciones de seguridad hace tiempo es cuando nos damos cuenta de que aun queda mucho por hacer.

Josep Albors

Fallos de seguridad en vibradores con cámara y WiFi permiten espiar tus momentos más íntimos

Mar, 04/04/2017 - 13:38

Uno de los temas más curiosos, a la par que interesantes, tratados durante el año pasado y relacionada con la seguridad en el Internet de las cosas, fue el del vibrador que se conectaba a nuestro smartphone para controlar su funcionamiento y compartir experiencias con otros usuarios.

Gracias a la charla en Defcon donde se presentaron varias vulnerabilidades en un modelo de vibrador en concreto, se pudo comprobar que, quizá, incluir esas funcionalidades no era la mejor idea. Sin embargo, otra empresa que también fabrica este tipo de juguetes sexuales ha ido más allá y, como no, han vuelto a aparecer los problemas.

Un vibrador todoterreno

El modelo que tanto revuelo causó el año pasado de la empresa We Vibe incorporaba la posibilidad de conectarlo a nuestro smartphone para gestionar desde ahí y mediante una aplicación su funcionamiento. Lo que el fabricante no dijo a sus usuarios es que la información sobre el uso de este dispositivo era almacenada en sus servidores, información que incluía aquellas conversaciones de chat, voz y videollamadas, realizadas entre los usuarios.

Esto le costó tener que ir a juicio y, finalmente, tener que pagar una multa cercana a los 4 millones de dólares, algo a lo que ahora se expone otro fabricante, de nombre Svakom y cuyo vibrador Siime Eye incorpora, además de la conectividad con ordenadores, smartphones y tabletas, iluminación con bombillas LED (¿?) y una cámara web (¿¿¿???).

Imagen propiedad de Svakom

No solo eso. Además, este dispositivo también crea su propio punto de acceso WiFi, por lo que cualquiera con malas intenciones que esté al alcance de la red generada por este vibrador podría, por ejemplo, visualizar las imágenes obtenidas mediante la cámara web solamente instalándose la aplicación móvil utilizada para gestionar el dispositivo.

Esto sería un problema relativamente pequeño si no fuera por la pobre seguridad implementada y que un grupo de investigadores de la empresa Pen Ten Partners ha desvelado recientemente. Para empezar, este dispositivo genera una red WiFi con el SSID “Siime Eye”, red que viene con una contraseña por defecto tan curiosa como “88888888” (y que rima con…bizcocho).

Por si fuera poco, este vibrador también dispone de un panel de administración web accesible en la dirección local 192.168.1.1:80, donde encontramos de nuevo unas pobres medidas deseguridad, usando “admin” como usuario y dejando la contraseña en blanco.

Como dato curioso, al revisar la aplicación móvil que controla algunas funciones del vibrador, los investigadores encontraron algunas librerías que, aparentemente, estaban pensadas para el manejo de drones. Concretamente, las librerías que hacen referencia a Sky Viper pertenecen a un fabricante de cámaras para drones que, al ser contactados por los investigadores, se sorprendieron de ver su código en un dispositivo de este tipo.

Posibles ataques

Con todas estas funcionalidades no es de extrañar que pensemos en los posibles ataques que pueden afectar a la privacidad del usuario. Si, por ejemplo, un atacante escribiera un programa que permitiera detectarlos conectándose a ellos mientras circula por una ciudad, sería capaz de saber donde están sus usuarios y podría intentar acceder al dispositivo de forma ilegal.

De hecho, no hace falta moverse de casa para saber donde pueden estar ubicados estos dispositivos puesto que utilizando servicios como wigle.net podemos buscar redes WiFi por su SSID. El principal problema es que este identificador de la red WiFi generada por el vibrador es estático y no puede cambiarse. Así pues, el simple hecho de identificar a un usuario en posesión de este tipo de dispositivos puede provocarle graves problemas, especialmente si reside en un país que prohíbe el uso de estos dispositivos.

Imagen propiedad de Pen Test Partners

Lo que si pueden hacer los usuarios es cambiar la contraseña por defecto con la que vienen estos dispositivos por una más segura. De esta forma se evitaría que un atacante pudiese acceder a la cámara y obtuviese imágenes privadas del usuario utilizando este vibrador y se evitarían casos de chantajes provocados por el robo de este tipo de contenidos.

Existen además funcionalidades ocultas en el código que no se activaron en el producto pero que, en teoría, podría permitir a un atacante enviar el contenido generado por la cámara a varias cuentas de Skype o direcciones de correo electrónico. Mejor no pensar en las consecuencias…

Conclusión

Parece claro que cualquier tipo de dispositivo conectado puede suponer un problema si la seguridad del mismo no se ha tenido en cuenta. Este tipo de noticias pueden parecernos curiosas e incluso divertidas pero puede poner en serios apuros a los usuarios de estos dispositivos si alguien aprovecha los agujeros de seguridad descubiertos.

Esperemos que esta empresa actúe de forma responsable y solucione estos fallos tras haber sido contactada por los investigadores que los descubrieron para así evitar tener que lamentar incidentes provocados por la inseguridad de este vibrador y, posiblemente, cuantiosas multas.

Josep Albors

Controlar, espiar, obligar en Internet es violencia de género digital

Vie, 03/31/2017 - 09:20

Parece que alguien ha caído del guindo y se ha dado cuenta del potencial de las redes sociales como prolongador y amplificador de la violencia de género. Para mi, desde luego, esta campaña del Ministerio de Sanidad, llega tarde, pero sea bienvenida, si sirve para algo.

La propia ministra de Sanidad, Dolors Montserrat, advirtió en la rueda de prensa de presentación de la campaña que hasta un 29% de jóvenes y adolescentes asegura haber padecido situaciones de control abusivo por parte de sus parejas, pero tan sangrante es que este porcentaje sea tan alto, como el hecho que subraya este otro estudio sobre la Percepción de la violencia de género en la adolescencia y la juventud, realizado por el CIS para la Delegación del Gobierno para la Violencia de Género y publicado a principios de 2015. Y es que, según este informe, una de cada tres personas de entre 15 y 29 años considera inevitable o aceptable situaciones de control tales como controlar los horarios de sus parejas, impedir que vean a sus familias o amistades. Sí, una de cada tres personas de entre 15 y 29 años lo considera inevitable o aceptable. ¡Bienvenidos al siglo XXI! Si un índice tan elevado de jóvenes son capaces de pasar por alto estas situaciones, me pregunto qué no disculparán en Internet…

Por todo esto está claro que una campaña en esta línea era más que necesaria. De un lado, para evitar que los acosadores-controladores tengan carta blanca social y, de otro, para que los acosados-controlados se den cuenta de que no son situaciones aceptables. Son situaciones que se han de atajar porque pueden ser síntomas iniciales de comportamientos mucho peores. Y no hablo de si las personas que reciben este acoso son hombres o mujeres porque en ambos casos merecen idéntica repulsa.

Estas son las 10 formas de violencia de género digital sobre las que pretende poner el acento la campaña:

No permitas que tu pareja…

1.      Te acose o controle usando el móvil

2.      Interfiera en tus relaciones en Internet con otras personas

3.      Espíe tu móvil

4.      Censure las fotos que publicas y compartes en redes sociales

5.      Controle lo que haces en las redes sociales

6.      Te exija demostrar dónde estás con la geolocalización

7.      Te obligue a enviarle imágenes íntimas

8.      Te pida tus contraseñas y claves personales

9.      Te obligue a enseñarle chats con otras personas

10.    Se enfade cada vez que no tiene una respuesta online inmediata por tu parte

 

Lo de “Mi pareja me controla (también en Internet) porque me ama”, no es sostenible. ¡Piénsalo bien!

Apple soluciona más de 200 vulnerabilidades en varios de sus productos

Jue, 03/30/2017 - 10:58

Apple ha vuelto a publicar una de esas actualizaciones que tanto les caracteriza: gigantesca y para muchos de los sistemas y aplicaciones que utilizan sus usuarios a diario. Nada menos que 223 vulnerabilidades en macOS Sierra, iOS, Safari, watchOS y tvOS fueron solucionados con la publicación el lunes de varios parches de seguridad.

Actualizaciones importantes en macOS, iOS y Safari

La mayor parte de las vulnerabilidades solucionadas corresponden al sistema operativo macOS Sierra, con 127 fallos de seguridad solucionados en total en la nueva versión 10.12.4. El otro sistema estrella de Apple, iOS, también recibió su ración de actualizaciones y, tras un análisis detallado de las mismas se ha observado que 30 de esas vulnerabilidades en iOS (y otras 40 en macOS Sierra) podían ser aprovechadas para conseguir la ejecución de código de forma arbitraria, incluso en algunos casos con privilegios de root.

Muchas de las vulnerabilidades parcheadas en estos sistemas operativos estaban relacionadas con la implementación de software de código abierto que Apple utiliza en sus sistemas. Así pues, se solucionaron varios agujeros de seguridad en tcpdump (un conocido analizador de tráfico de red), Libre SSL, PHP y OpenSSH.

Entre las vulnerabilidades solucionades destaca una en la versión móvil de Safari, producida por un manejo inadecuado de las ventanas emergentes que contienen código JavaScript. Algunos investigadores afirman que esta vulnerabilidad podría haber sido aprovechada por ciberdelincuentes para elaborar un rudimentario ransomware que no cesaba de mostrar avisos suplantando a fuerzas de seguridad y acusando a la víctima de visualizar contenido ilegal.

De entre los 38 fallos de seguridad encontrados en el navegador Safari, 23 de ellos podrían provocar la ejecución de código arbitrario, mientras que los 15 restantes podrían provocar varios tipos de problemas entre los que encontramos el clásico XSS, diversos tipos de spoofing, el robo de datos e incluso el cierre de la aplicación.

Fallos en otros sistemas y aplicaciones de Apple

Además de las vulnerabilidades ya mencionadas, Apple ha publicado varios parches en su suite ofimática iWork. Al parecer, la implementación de un cifrado débil podría poner en riesgo la seguridad de documentos PDF protegidos con contraseña. Esto ha hecho que Apple empiece a utilizar el cifrado AES 128 en iWork, cifrado que tampoco es especialmente seguro puesto que es considerado por muchos como obsoleto desde hace tiempo.

Otros dos sistemas de Apple más recientes como son tvOS y watchOS, diseñados para sus dispositivos Apple TV y Apple Watch también han recibido su ración de actualizaciones de seguridad. No obstante, hay que tener en cuenta que ambos sistemas operativos comparten buena parte de su código con iOS por lo que la mayoría de actualizaciones de este sistema operativo también les afectan.

A pesar de la gran cantidad de parches publicados con esta actualización, los fallos descubiertos recientemente durante la celebración del Pwn2Own y que afectaban a macOS y Safari no han sido solucionados por el momento.

Conclusión

Como acabamos de ver, Apple sigue con su tradición de publicar actualizaciones bastante grandes que afectan a muchos de sus productos cada cierto tiempo. Sin embargo, el tiempo que pasa entre cada una de estas actualizaciones se ha venido reduciendo con el paso de los años y eso es bueno para sus usuarios, puesto que la ventana de exposición a posibles ataques se reduce.

Aun así, estamos seguros de que se puede mejorar y lanzar actualizaciones de forma más frecuente, algo que los desarrolladores de Microsoft han empezado a implantar con Windows 10, abandonando su programa publicación de parches cada segundo martes de cada mes por uno más flexible.

Josep Albors

Análisis del falso correo de la agencia tributaria con un fichero adjunto malicioso

Mar, 03/28/2017 - 11:19

Cuando aún no ha empezado la campaña de la declaración de la renta 2016 (cuyo inicio está previsto para el próximo 5 de abril), los delincuentes se han adelantado y han empezado a distribuir un correo intentando suplantar a la Agencia Tributaria para conseguir así el mayor número de víctimas posible.

Correo con adjunto malicioso

Como en campañas anteriores, la suplantación de una empresa o administración pública suele dar buenos resultados a los delincuentes, especialmente si el correo está bien redactado y se utilizan logos oficiales. Este no es el caso, pero solo con mencionar a la Agencia Tributaria a más de uno le habrá entrado un escalofrío y habrá corrido a abrir el fichero adjunto.

Los correos tienen el siguiente formato:

Hay que decir que este no ha sido el único asunto empleado por los delincuentes en esta campaña de propagación. De hecho, casi al mismo tiempo se recibían correos mencionando una supuesta donación. En ambos casos, el documento suele ser interceptado por las soluciones de seguridad debido a que el archivo de Word no es lo que parece.

Como en tantos ejemplos vistos en ocasiones anteriores, el documento Word contiene macros que ejecutan código malicioso. Por defecto, estas macros están desactivadas precisamente para evitar que se ejecute este tipo de código, algo heredado desde hace años debido a la elevada propagación de documentos de Office maliciosos desde la segunda mitad de los años 90 hasta principios de los 2000.

Por ese motivo, lo primero que intentan los delincuentes es conseguir que los usuarios permitan la ejecución de las macros, algo que en esta ocasión se realiza de forma bastante explícita, tal y como observamos en la siguiente captura obtenida de la ejecución de este documento en la sandbox de malwr.com.

Análisis del código

A pesar de que el documento es detectado por múltiples soluciones antivirus, en este caso tan solo se encarga de actuar como descargador de otro malware. Para ello ejecuta el código Visual Basic Script oculto en las macros para ejecutar el fichero error.bat, que a su vez contacta con un servidor alojado aparentemente en Estados Unidos y descarga el archivo beta.exe.

Gracias al servicio ESET Threat Intelligence podemos revisar todo el proceso de ejecución y descarga y revisar la IP de la web a la que se conecta para obtener el malware:

De la misma forma, y utilizando la sandbox de Hybrid Analysis, podemos obtener las cadenas donde se observan las peticiones GET realizadas desde el código VBS oculto en la macro del documento para obtener el payload malicioso.

En esta ocasión, los delincuentes no han generado dominios aleatorios para alojar el malware. En su lugar han utilizado páginas web legítimas que llevan años registradas para intentar evitar a los filtros de reputación de URLs, al menos durante los primeros instantes de esta nueva campaña de propagación de correos maliciosos.

Si nos fijamos en los datos proporcionados por el WHOIS de algunas de las direcciones que han sido utilizadas para esta campaña (URL donde se aloja el malware y el dominio desde donde se envían los correos), observamos que pertenecen a la misma persona, por lo que es probable que los delincuentes hayan conseguido obtener las credenciales de administración de los sitios web comprometidos.

En lo que respecta al malware que se ejecuta en el sistema, estaríamos hablando de una variante del troyano Win32/Neurevt y que roba información confidencial del usuario como las credenciales de acceso a diferentes servicios online o información sobre el sistema operativo utilizado, entre otros. Se trata de un malware con cierta antigüedad y que nuestros compañeros de ESET Latinoamérica ya han observado en campañas anteriores afectando a paises como Argentina, México y Venezuela.

Conclusión

Si bien esta nueva campaña no es tan detallada como otras que hemos visto anteriormente, el uso de la Agencia Tributaria como gancho para intentar conseguir más víctimas justo cuando está a punto de empezar la campaña de la renta es algo destacable. Por eso recomendamos evitar abrir este tipo de correos no solicitados, incluso aunque provengan de remitentes de confianza.

Además, si las macros viene desactivadas por defecto en los documentos de Word y Excel es por un buen motivo y, salvo que sepamos perfectamente lo que estamos haciendo, no deberíamos activarlas para evitar que malware como el que acabamos de analizar se ejecute.

Josep Albors

 

Páginas