lunes, 31 de diciembre de 2012

Tasklist y Taskkill para cerrar procesos maliciosos o rebeldes.


Tasklist es un comando que se ejecuta desde el símbolo de sistema de Windows y básicamente sirve para mostrar todos los procesos que se están ejecutando en nuestro terminal. ¿Que utilidad podríamos darle a parte de información. Pues una de ellas seria el detectar procesos rebeldes o maliciosos que no se dejan cerrar por otros métodos ¿Como lo hacemos?.

1- Ejecutamos: cmd.exe para abrir la consola de comandos.

2- Una vez abierta escribimos el comando: Tasklist /v ( El modificador /v nos servirá para darnos mas información de lo que vamos a matar).

2.1- También podríamos ejecutar: Tasklist /svc (Este nos dará una información mas precisa aun).

3- Una vez identificado el proceso que queremos matar ya estaremos preparados para ejecutar otro comando que sera el que haga el trabajo final.

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Taskkill es una herramienta que se ejecuta desde la linea de comandos y que sirve para matar procesos maliciosos o rebeldes una vez identificados con el comando arriba descrito.

1- Ejecutamos cmd.exe para abrir la consola de comandos.

2- Ejecutamos: Taskkill /? para ver todas las opciones que nos da.

3- Si queremos saltarnos el paso Nº2 ejecutaremos directamente: Taskkill /pid 6688 (este numero de pid pertenece a la aplicación Notepad) con esta simple linea cerraremos dicha aplicación.


Pd: Los pid pueden cambiar por eso hay que identificar primero el proceso con el comando Tasklist.

3.1- Si queremos cerrar mas de un proceso a la vez y desde una misma linea de comandos ejecutamos lo siguiente: Taskkill /pid 6688 /pid 2234 /pid 3443 y así hasta cerrar todo lo que queramos matar en ese momento.

3.2- También podemos matar procesos sin tener que saber de antemano su pid, por ejemplo: Taskkill /IM notepad.exe /F (El modificador /F lo pondremos solamente si queremos cerrar la aplicación si o si, osea que vamos a forzar el cierre).



Saludos y espero que os sirva a algunos.





sábado, 22 de diciembre de 2012

Blackhole kit 2.0. El kit de exploits del momento.

Blackhole es el kit del momento. Lo usan los profesionales para infectar de forma cómoda a los navegantes. La herramienta se encarga de elegir el exploit adecuado según navegador, plugins instalados, sistema operativo... Y por supuesto, ese exploit hará lo que el atacante haya elegido (normalmente robar los ahorros del banco de la víctima). Se ha creado la versión 2.0, que trae importantes mejoras para el atacante, y malas noticias para los analistas.

Nació en 2010, después de desbancar a Eleonore. Según Sophos, el 28% de todas las amenazas web están basadas en Blackhole. Para AVG, son el 91%. En realidad, estas cifras tan dispares no dicen nada, solo que realmente es popular. Podemos asegurarlo por experiencia propia.

Uno de los creadores ha escrito en un foro ruso (cómo no), que ya está disponible la versión 2.0, destinada principalmente a eludir a los antivirus y mejorar el control del que usa el kit. Han reescrito desde cero una buena parte del código. Veamos funciones que nos parecen interesantes.

Ahora las URLS desde donde se descargan los payloads, son dinámicas y válidas solo por unos segundos. Luego desaparecen. Consiguen así que los cazadores de malware lo tengan muy complicado para recopilar muestras (jar y exe) de forma automática, o recuperarlas después de una infección, en los forenses. También permite elegir el formato de la URL de descarga del payload. Incluso tomar palabras de un diccionario, como una especie de firma del que lo use. En la versión 1, se usaba esta estructura:

http://domnioblackhole.com/xxx/main.php?page=0123456789abcdef
  
para la descarga del payload. Este esquema era ya reconocible (adiós a las reglas de los IDS) y han decidido que sea personalizable.
  
1-Han mejorado la detección de las versiones de Java vulnerables, la joya de la corona del kit (el programa que más víctimas le reporta).
Han hecho limpieza de exploits, eliminando los más antiguos, que reportaban poco. También los que no siempre funcionaban y podían causar que el navegador se colgase (con el objetivo de pasar aún más desapercibidos). Sin embargo, parece que dejan algunos para el obsoleto IE6, que todavía es "común", como el MDAC.  Además, usarán (cómo no) un pack para explotar Java y la vulnerabilidad LibTiff para los lectores PDF (de 2010). Por supuesto, esto es ampliable.
    
2-Si uno de los exploits es detectado por más de un número configurable de antivirus, será descartado y reemplazado automáticamente.
    
3-Para los usuarios de Chrome (los únicos a los que no ataca), Blackhole 2.0 permitirá crear una página HTML estática en la que se indicará que esa URL debe ser visitada con cualquier otro navegador. Chrome no interesa a los atacantes porque la ejemplar implementación de su sandbox les hace difícil que los exploits de los plugins funcionen.
  
4-También mejora la seguridad. Ahora el panel permite bloquear el tráfico que les llegue sin referer. Significa que rechazará las peticiones directas. Estas suelen ser de las personas que conocen su existencia y no vienen redirigidas de ningún sitio. Además permite prohibir tráfico TOR, los referer que se deseen, etc.
    
5-Con respecto al panel de control, añaden nuevos sistemas operativos como Windows 8, Android y iOS. Los móviles parece que están ahí para estimar el tráfico generado por los nuevos dispositivos. También mejora la visibilidad de las versiones de Adobe y Java que poseen las visitas, para afinar los exploits de forma cómoda. Por último, lo protegen con CAPTCHA, para que alguien obtenga acceso al panel por fuerza bruta.
Dicen además que han incluido otras mejoras, que prefieren mantener ocultas para no alertar a las casas antivirus.

¿Cuánto cuesta?

El creador mantiene los precios, a pesar de las mejoras.

Alquiler: 50 dólares al día (con 50.000 hits como límite). Al mes son 500 dólares de alquiler. La licencia para uso libre, va desde los 700 dólares por tres meses, a los 1.500 por usarlo un año. Se ofrecen posibilidades como cambios de dominio del panel de administración por 20 dólares. Existe otro servicio de "limpieza" por 20 dólares. Creemos que se refiere a eliminar de la base de datos de infectados las direcciones IPs conocidas de investigadores, casas antivirus, honeypots, etc.

Nuestra experiencia es que Blackhole es muy sofisticado, mucho más que el panel de Zeus, que tanto nos sorprendió en 2006. Además, vulnerabilidades recientes son incorporadas al kit de forma rápida. Se encuentra muy distribuido y ha conseguido posicionarse en todo tipo de páginas, legítimas o no, de forma que cualquier usuario puede infectarse si es vulnerable a alguno de sus exploits, aun manteniendo una rutina de navegación "higiénica". Por ejemplo, Blackhole es el kit más usado actualmente para infectar con Zbots, y el famoso "virus de la policía". El éxito de difusión de ambas familias habla por sí solo.

Fuente: http://unaaldia.hispasec.com/2012/09/blackhole-kit-20-facilidades-en-la.html

jueves, 20 de diciembre de 2012

Netsh "El comando semi-desconocido"

Si ejecutamos en Windows cmd.exe abriremos el símbolo de sistema desde el cual podremos acceder y ejecutar muchos comandos que para la mayoría de usuarios son desconocidos pero muy útiles si uno se habitúa a utilizarlos de vez en cuando y cuando la ocasión lo requiera, es como si arrancamos una Shell desde Linux.

En fin hay un comando en particular llamado Netsh que si lo ejecutamos desde la linea de comandos y con privilegios de administrador nos seria muy útil para administrar todo lo que tenga que ver con la redes wireless de nuestro sistema.
Hacemos link en Inicio--Todos los programas--Accesorios--Símbolo de sistema y ejecutamos (para arrancar con mas privilegios botón derecho y hacer link en ejecutar como administrador).
Pondremos varios ejemplos de utilización de este comando:


Netsh help --> Nos ofrecerá una ayuda de todo lo que se puede hacer con el.
























Netsh wlan show networks--> Este comando nos enseña todas las redes inalambricas que
tenemos a nuestro alcance.

























Netsh wlan show all--> Este nos muestra lo mismo que el anterior pero la información es mucho mas extensa.
























Bueno esto es solo un atisbo de lo que se puede hacer con este comando, saludos.

miércoles, 19 de diciembre de 2012

Vulnerabilidad en dispositivos Samsung permite el robo de datos.


Una nueva vulnerabilidad ha sido descubierta para cierto tipo de terminales Android. En este caso afecta a algunos modelos fabricados por Samsung. Sirviéndose de una aplicación maliciosa un atacante podría obtener acceso al conjunto de la memoria física del dispositivo.
Los Galaxy S III, Galaxy S II, Galaxy Note II o el Galaxy Note 10.1 pueden verse afectados por esta vulnerabilidad, que está originada en el procesador Exynos4, según han explicado un desarrollador en la página especializada XDA Developers.
Aparte del acceso a la memoria física del dispositivo también se pueden obtener privilegios de administrador, tal y como ha quedado patente con la contribución de un segundo desarrollador, que ha creado una APK para utilizar la vulnerabilidad descubierta.
Por el momento no se conoce ninguna aplicación maliciosa para Android que explote esta vulnerabilidad, que únicamente afectaría a los dispositivos que utilicen los recursos kernel de Samsung e incorporen el modelo Exynos4 de procesador, según recoge The Next Web.
El fabricante coreano ya ha sido alertado sobre la vulnerabilidad, aunque aún no se ha pronunciado públicamente sobre ella. Samsung actualmente es de lejos el quien más smartphones Android vende entre todos los que construyen dispositivos para esta plataforma.
El sistema operativo móvil Android es el que más ha crecido en los últimos años, lo que ha ido acompañado igualmente de un aumento del malware. De ahí el interés que ha cobrado para la comunidad de desarrolladores alertar a los fabricantes, operadores o al propio Google sobre los agujeros de seguridad que podrían ser explotados.
Fuente: http://www.ticbeat.com/sim/vulnerabilidad-dispositivos-samsung-permite-robo-datos/

sábado, 15 de diciembre de 2012

Vulnerabilidad en Internet Explorer permite rastrear los movimientos del mouse.

Investigadores de Spider.io han descubierto un agujero de seguridad en Internet Explorer, que permite rastrear los movimientos del cursor del mouse, incluso si la ventana está inactiva, minimizada o fuera de foco. Las versiones de IE 6 a 10 se ven afectadas.

La vulnerabilidad es particularmente preocupante dado que desbarata el uso de teclados virtuales y teclados virtual, que se utilizan como defensa contra los keyloggers.

Spider.io ha publicado un breve video donde se demuestra el problema descubierto el primero de octubre e informanda a la empresa.

Microsoft Security Research Center reconoció el error, pero "no tiene planes inmediatos para remediar el problema", así que Spider.io la hizo pública el martes.

Al parecer, la vulnerabilidad está siendo activamente explotada por al menos dos compañías de análisis y rastreo web.

Para demostrar lo fácil que es explotar la vulnerabilidad, spider.io ha convertido el seguimiento en un juego, que consiste en obtener información a partir del uso de un teclado virtual, a través del seguimiento de los movimientos del mouse.

Los detalles técnicos de la vulnerabilidad tiene que ver con el modelo de eventos de IE, combinado con la capacidad para activar estos eventos manualmente a través del método fireEvent(), manipulable por JavaScript.

Fuente: http://blog.segu-info.com.ar/2012/12/vulnerabilidad-en-internet-explorer.html

viernes, 16 de noviembre de 2012

Vulnerabilidad en la nube.

Investigadores de la empresa de seguridad informática RSA han comprobado que es posible robar datos alojados en la nube utilizando una máquina de ataque virtual. El software espiado y el software atacante comparten la misma memoria caché de hardware, lo que permitió al segundo sondear pistas sobre su víctima. Aunque el estudio demostró que el proceso de ataque resulta demasiado complejo para extenderse y amenazar a los servidores alojados en nube, los expertos recomiendan separar cargas de trabajo altamente sensibles.

La computación en la nube puede aportar muchos beneficios a la empresa al tiempo que ahorrar costes económicos, dejando atrás cualquier preocupación por el equipo físico para alojar información y ejecutar programas. Sin embargo, todavía son muchos los reacios a entregar datos a terceros, bien por temor a los hackers, a la pérdida accidental de archivos o al robo a los proveedores en la nube.

Un estudio llevado a cabo por investigadores de la empresa internacional de seguridad informática RSA da la razón a los más temerosos. Según publica la web MIT Technology Review, se ha demostrado que es posible para un software alojado en la nube robar información valiosa de otro software hospedado en la misma. Para probarlo, ejecutaron un software malicioso en un hardware diseñado para imitar el funcionamiento de compañías de cloud computing como Amazon. Así, fueron capaces de robar una clave de seguridad de e-mail desde el software de otro usuario.

El ataque, desarrollado por RSA en colaboración con investigadores de la Universidad de Carolina del Norte y Wisconsin, ambas en EEUU, demostró ser tan complejo que es poco probable que se convierta en un peligro para los clientes de las plataformas actuales, pero sí abre el debate sobre la seguridad en la nube.

En su publicación, los autores del estudio sugieren que la información más valiosa no debería confiarse a este tipo de alojamientos. “La lección principal es que si tienes una carga de trabajo sensible no debes trabajar junto a alguien desconocido y potencialmente poco fiable”, señala Ari Juels, jefe científico de RSA y director de los laboratorios de investigación.

Virtualización 

El ataque debilita uno de los pilares básicos que sustenta la computación en la nube, el hecho de que los datos de un cliente se mantienen completamente separados de los pertenecientes a cualquier otro. Esta separación es posible en teoría a través de la tecnología de virtualización, software que imita el sistema de un equipo físico.

El resultado son máquinas virtuales (VM) que ofrecen a sus usuarios un sistema familiar para instalar y ejecutar software, ocultando el hecho de que, en realidad, todos los clientes comparten el mismo sistema informático, complejo y a una escala similar a la de un almacén.

El trabajo de Juels y sus compañeros de equipo se centra en demostrar este funcionamiento y sus posibles deficiencias. Así, detectaron que el ataque sólo funciona cuando ambas VM se ejecutan en el mismo hardware físico, como “co-residentes” en una sola máquina. Al compartir recursos, las acciones de una pueden afectar a la eficacia de la otra.

De esta forma, las dos VM comparten la misma caché de hardware, que almacena datos utilizados recientemente para acelerar el acceso futuro a los mismos. El procedimiento de la VM atacante es llenar la memoria caché, de manera que la máquina objeto del ataque, que está procesando en clave criptográfica, puede sobrescribir algunos de los datos de la otra. Al observar qué partes de la caché se cambian, la VM atacante aprende sobre la clave en uso.

Según los autores del estudio, es lo que se conoce como “ataque de canal lateral”, al aprovechar las cachés del procesador para observar el comportamiento de la víctima. “A pesar del hecho de que, en principio, la víctima está aislada, la máquina de ataque virtual vislumbra su comportamiento a través de un recurso compartido”, matiza Juels.

El atacante no consigue leer directamente los datos de la víctima, pero al notar la rapidez con la que escribe en la memoria caché puedo inferir algunas pistas sobre lo que habría dejado en ella. “Mediante la recopilación de cada uno de esos vistazos, se puede revelar la clave de cifrado al completo”, explican en la publicación.






Ataque factible 

El software atacado en la prueba fue GNUPrivacy Guard, un programa de encriptación de correo electrónico conocido por filtrar información. Michael Bailey, investigador de seguridad informática en la Universidad de Michigan, subraya que, aunque el experimento no se realizó en un entorno de cloud computing real, “el resultado es significativo e inspirará a otros investigadores, y tal vez a atacantes reales, a demostrar que este tipo de acciones puede ser factible”.

Y es que, a pesar de su complejidad, los investigadores apuntan que los proveedores de cloud y sus clientes deben tomarse en serio la amenaza. “Las defensas son un reto”, recuerda Juels, quien ha informado a Amazon sobre su investigación. “Me emociona que por fin alguien dé un ejemplo de un ataque de canal lateral”, reconoce Bailey. “Es una prueba que plantea la posibilidad de que esto puede llevarse a cabo realmente y motivará a seguir investigando”, continua.

Una demostración relacionada consistiría en usar el método para robar las claves de cifrado utilizadas para proteger sitios web que ofrecen servicios como el correo electrónico, las compras y la banca aunque, según Bailey, sería mucho más difícil. Con todo, Juels asegura estar trabajando para comprobar hasta dónde puede llegar su nuevo estilo de ataque.

Mientras tanto, una fórmula que los administradores de la nube pueden tomar para evitar fugas como ésta es usar un equipo diferente para tareas de alta seguridad. “En entornos de alta seguridad, una práctica que viene de antiguo sería no usar el mismo ordenador para tareas que deben aislarse unas de otras, es decir, mantener una especie de cámara de aire entre las tareas. Ésta sigue siendo la más alta garantía de defensa contra los ataques de canal lateral (y muchos otros)”, escribieron los autores.

Fuente:http://www.tendencias21.net/

miércoles, 31 de octubre de 2012

Quien genera mas ataques DDos.


Prolexic, empresa conocida por sus servicios de mitigación de ataques DDoS, dio a conocer su informe trimestral en donde se indica que en el tercer trimestre de 2012, los ataques distribuidos de denegación de servicios aumentaron un 88%. Por otro lado, la magnitud de algunos de estos aumentó considerablemente. Por ejemplo, siete tuvieron una tasa de bits promedio de más de 20 Gbps. A nivel general, hubo un incremento del 230% en la cantidad de ancho de banda que consumen estos ataques en comparación con el tercer trimestre de 2011. En cuanto a los países en donde se originan los casos de DDoS, China lidera el ranking seguido de Estados Unidos, India y Brasil:

Como puede observarse en el gráfico anterior, Brasil es el cuarto país de donde más provienen estos ataques. Asimismo, Prolexic aseguró que de forma gradual, ha visto un incremento de números IP provenientes de países de América del Sur involucrados en este tipo de casos. Según explica el documento, Estados Unidos es el segundo con más registros de IP asociadas a DDoS. Además, Prolexic estima que debido a la complejidad de los ataques que provienen de ese país, es probable que los responsables estén aprovechando el ancho de banda de servidores estadounidenses con el fin de utilizarlos en infraestructuras de ataques. El informe clasifica los tipos de DDoS en base a la capa que utilizan. Aquellos de infraestructura son los que recurren a la capa 3 y 4 y los de aplicaciones a la capa 7. Con respecto a esto, los de infraestructura representan el 81,40% y los de aplicación 18,60%. A continuación se muestran las estadísticas de los ataques más comunes por tipo:
De la categoría de ataques que aparecen en el gráfico anterior, SYN (23,53%), UDP (19,63%) e ICMP (17,79%) son los tres más comunes, no obstante, el informe indica que también hubo, aunque no de forma masiva, algunos pocos usuales como SYN PUSH, FIN PUSH y RIP. Con respecto a los que afectan a la capa de aplicación, las estadísticas se distribuyen de la siguiente forma:




HTTP Get es el más utilizado en lo que respecta a DDoS de aplicación. En este caso, algunos atacantes envían numerosas peticiones a un servidor mediante el protocolo HTTP hasta colapsarlo. Por otro lado, en el tercer trimestre del presente año, el horario más común para los ataques DDoS fue las 11:00 GMT. En dicha hora, el sector más afectado es el de la industria de los juegos en línea. A nivel general, empresas e instituciones relativas a servicios financieros, telefonía, energía, y demás; fueron las más atacadas. Para cualquier tipo de compañía, es imprescindible proteger los tres pilares de la seguridad de la información: integridad, confidencialidad y disponibilidad. Los ataques DDoS afectan precisamente a este último punto al imposibilitar que los datos estén disponibles cuando se requiera. Para poder mejorar la seguridad de la información en ambientes corporativos, recomendamos consultar por ESET Security Services e implementar una solución de seguridad como ESET Endpoint Solutions.

Fuente: http://blogs.eset-la.com/laboratorio/2012/10/24/brasil-4to-pais-mas-genera-ataques-ddos-segun-estudios/

lunes, 22 de octubre de 2012

Google desarrolla un antivirus para Android 4.2


La próxima versión del sistema operativo móvil de Google, Android 4.2, tendrá consigo una interesante novedad, la inclusión de un antivirus nativo propio, el cual cubriría dos aspectos principales, permitir a Google revisar las aplicaciones descargadas con el ‘App Check’, y por otro lado, la posibilidad de bloquear aplicaciones sospechosas.

“Nuestro análisis del nuevo código de Google Play sugiere que la compañía está construyendo un marco API para realizar análisis antivirus en un futuro, y que esta funcionalidad no estará disponible por lo menos hasta el nivel 17 de API”, indican analistas de la compañía de seguridad de Sophos.

Sin duda alguna se trataría de una herramienta fundamental para cimentar la seguridad de la plataforma móvil que cada día de posiciona como la más utilizada.

Fuente: http://www.blogantivirus.com/el-antivirus-nativo-desarrollado-por-google-para-android-4-2

sábado, 20 de octubre de 2012

Java soluciona 30 problemas de seguridad en sus nuevas versiones.


Java SE 6 Update 37 Java SE 7 Update 9 son las nuevas versiones de Java lanzadas por Oracle dentro de la rama 6 y la rama 7 del producto de Oracle, en las que de nuevo se han corregido numerosas vulnerabilidades, al tratarse de versiones destinadas a actualizaciones de seguridad. Java es un entorno multiplataforma, puesto que está disponible para todos los sistemas operativos Windows, LinuxSolaris y también para Mac OS X en el caso de Java 7. Conoce a continuación más detalles de estas versiones de Java.

¿Qué es Java SE, Java JRE, Java SDK? ¿Cuál debo instalar?

Java SE (Standard Edition) se compone de JDK JRE. Las diferencias entre ambas versiones son:
JRE (Java Runtime Environment): versión recomendada para la ejecución de aplicaciones Java y applets.Recomendada para la mayoría de usuarios.
JDK (Java Development Kit): versión recomendada para desarrollar aplicaciones Java y applets, y además incluye JRE. Recomendada para desarrolladores.

¿Cuáles son las novedades de Java?

Java SE 6 Update 37 (1.6.0_37-b06) y Java SE 7 Update 9 (1.7.0_09-b05) son versiones destinadas a solucionar 30 problemas de seguridad encontrados y que pueden comprometer la seguridad del sistema si se explotan. Podemos ver más detalles acerca de estos problemas de seguridad en esta nota de alerta de seguridad de Oracle.
Teniendo en cuenta esta información, se recomienda actualizar Java cuanto antes a estas nuevas versiones en caso de tenerlo ya instalado en el sistema.

¿Qué versión de Java tengo instalada?

Podéis comprobarlo en este enlace.

¿Cómo y dónde puedo descargar Java?

Podemos bajar Java en sus versiones JRE JDK desde los siguientes enlaces:

Ya tengo Java instalado y quiero actualizar a esta nueva versión. ¿Cómo actualizar Java?

En caso de tener Java ya instalado en el sistema, podemos actualizar Java de forma manual a la versión más reciente siguiendo las instrucciones de este enlace.

miércoles, 17 de octubre de 2012

Según el FBI Android no es seguro.

Nadie niega que las plataformas móviles se están convirtiendo en un blanco cada vez más grande y tentador para los desarrolladores de malware que buscan elementos como números de tarjetas de crédito y credenciales de acceso a portales bancarios. También se supone que una agencia de alto perfil como es el FBI conoce una cosa o dos al respecto. Sin embargo, la última advertencia publicada por la sección IC3 (Internet Crime Complaint Center) del buró en relación al sistema operativo Android posee algunas imprecisiones que han llamado mucho la atención.

Al otro lado del charco existe una expresión: “FUD”. Las siglas vienen de “Fear, uncertainty and doubt”, lo cual se traduce como “Miedo, incertidumbre y duda”. Bajo el control de alguien habilidoso, el FUD puede tener un impacto impresionante. Como ya sabe la mayoría del globo terráqueo, Estados Unidos se encuentra en plena campaña electoral, por lo que el FUD ha estado en las últimas horas dentro de un torbellino escalofriante. Lamentablemente, también se aplica en tecnología, y puede llegar de una manera casual, o incluso bien intencionada. Tomemos por ejemplo una reciente advertencia publicada por la sección IC3 del FBI sobre nuevas formas de malware afectando al sistema operativo Android. Dos de los nombres que han circulado son “Loozfon” y “FinFisher”.

En el primer caso, si tenemos en cuenta la información publicada por la gente de Symantec, Loozfon es un troyano de muy baja actividad, con menos de cincuenta infecciones registradas, y fácilmente reconocible debido a que el texto de la “aplicación” (que dicho sea de paso, debe ser instalada manualmente por el usuario) está en idioma japonés. FinFisher es más complejo, pero su mención está definitivamente mal enfocada. FinFisher es algo así como un spyware “legal”, ofrecido por una empresa de software estacionada en el Reino Unido. FinFisher tuvo su “momento” en los medios cuando se descubrió un contrato entre la empresa distribuidora y el gobierno de Hosni Mubarak. El detalle aquí es que FinFisher no es algo exclusivo de Android, sino que también puede operar bajo iOS, móviles BlackBerry, Windows y OS X.

Por lo tanto, las recomendaciones que hace el FBI (tener cuidado con el rooting, verificar el origen del software, etc.), si bien no dejan de tener cierta validez, ignoran el hecho de que el usuario debe cometer muchos errores seguidos para que su dispositivo termine infectado con alguna de estas formas de malware. En el caso de FinFisher tal vez exista un poco más de margen para la sospecha si el smartphone pertenece a un empleador o a alguna agencia gubernamental. Otra falla en la alerta emitida es que no se exploran los vectores de ataque u otros detalles técnicos de estas variantes, por lo tanto, lo único que han hecho fue nombrarlas. Allí es en donde comienzan las malinterpretaciones, y el antes mencionado FUD. Android tiene varias cosas por ajustar en materia de seguridad, pero la primera línea de defensa, sigue siendo el usuario.

Fuente: http://www.neoteo.com/el-fbi-advierte-sobre-la-seguridad-en-android
Fuente en Ingles: http://www.guru3d.com/news_story/fbi_issues_android_warning.html

lunes, 8 de octubre de 2012

Tu WiFi bajo vigilancia desde cualquier Android con ezNetScan.



Desde los inicios de los routers y la incorporación de la tecnología WiFi se popularizaron los actos de asalto a las redes vecinas. Si no tengo internet en casa, voy a intentar que el vecino me “preste” su conexión. A todos nos ha venido a la mente cuando hemos necesitado acceder a internet desde algún lado. Con las conexiones de datos ya no pasa tanto, pero para una descarga grande siempre nos vendría bien una buena WiFi accesible por ahí.

Por contrapartida, muchos viven con la sospecha de tener un chupaWiFis pegado a la red y que nos robe nuestra conexión. Algún vecino ingenioso que haya adivinado la contraseña (improbable si la tenemos bien creada) o que haya conseguido acceder por métodos oscuros y desconocidos. Para protegernos de estos accesos indeseados, o bien simplemente para controlar nuestra WiFi vamos a hablar hoy de una aplicación que nos permite hacer esto desde cualquier Android que tengamos a mano.

ezNetScan

Esta aplicación nos proporciona mucha información acerca de nuestra WiFi y de los dispositivos conectados a ella. Usarla es muy fácil, solo tenemos que abrirla y hará un escaneo rápido de nuestra red. La primera información útil que nos dará con eso son una lista de todos los equipos conectados a la red, sean del tipo que sean. Veremos portátiles, ordenadores, móviles, routers, centros multimedia, impresoras, televisores…

La información que nos muestra la lista inicialmente son un nombre del dispositivo, su IP en la red, y su dirección MAC, identificador único de cada dispositivo. Solo con esta lista podemos controlar que no haya nadie de más en nuestra red, ya que si detectamos un equipo desconocido, tenemos su dirección MAC y podemos bloquearla desde las opciones de nuestro router. Un vecino chupasangre menos, en ese caso.

Además de servir como una herramienta simple de control de equipos, dispone de opciones más interesantes para los entendidos de redes. Si accedemos a cualquiera de los equipos y desplegamos su información veremos algunos datos más, como por ejemplo el fabricante, la fecha de conexión y el estado. También podemos ponerle alguna nota o cambiarle el nombre para reconocerlo.

Y luego tenemos las acciones a ejecutar en cada equipo. Si no estáis familiarizados con la jerga quizá os suene a chino, yo también desconozco algunos conceptos en profundidad, pero son herramientas de gestión o algunas acciones interesantes. Por ejemplo podemos hacer ping al equipo, que nos servirá para saber si está conectado y transmite datos a través de la red. Podemos también escanear los puertos que usa dicho equipo, o buscar las rutas hacia ese equipo, viendo si se tiene que pasar a través de algún otro equipo o tenemos conexión directa. Todo esto toma más importancia en redes de mayor envergadura.

Por otro lado tenemos una acción interesante que es el Wake on LAN. Si tenemos el equipo configurado correctamente para aceptar esta acción, podemos encender un ordenador apagado desde el teléfono móvil. Por último también podemos obtener una lista de software o hardware de dicho equipo a través de SNMP, protocolo con el que yo tampoco he experimentado nunca.

La aplicación está abierta a sugerencias de nuevos comandos o acciones que interesen a los usuarios, así que veremos novedades en próximas actualizaciones. Es completamente gratuita, y una herramienta más o menos útil para todos.

Fuente: http://www.elandroidelibre.com/2012/10/tu-wifi-bajo-vigilancia-desde-cualquier-android-con-eznetscan.html

martes, 11 de septiembre de 2012

WordPress 3.4.2 actualización de seguridad.


WordPress 3.4.2, ya está disponible para su descarga, hay una liberación de mantenimiento y seguridad para todas las versiones anteriores.

Se han identificado algunos bugs de seguridad como:
  • Corregir algunos problemas con los navegadores más antiguos en el área de administración.
  • Corrección de un problema por el que un tema no puede obtener una vista previa correctamente, o su captura de pantalla no puede mostrar.
  • Mejorar la compatibilidad plug-in con el editor visual.
  • Abordar los problemas de paginación con algunas estructuras de categorías enlace permanente.
  • Evite errores con los proveedores oEmbed y trackbacks.
  • Evitar imágenes de cabecera de tamaño inadecuado se carguen.
La versión 3.4.2 también corrige algunos problemas de seguridad y mas control sobre estas.
Las vulnerabilidades incluyen escalada de privilegios potencial y un bug que afecta a las instalaciones multisitio con usuarios no confiables. Estas cuestiones fueron ubicadas y corregidas por el equipo de seguridad de WordPress.

domingo, 9 de septiembre de 2012

Microsoft publicara el martes 11 de septiembre 2 boletines de seguridad.


Como cada segundo martes del mes, esta vez el martes 11 de septiembre, Microsoft va a publicar dos boletines de seguridad, ambos con un impacto importante permitiendo elevación de privilegios.

Los productos afectados son, en primer lugar, la herramientas de desarrollo "Visual Studio Team Foundation Server 2010 Service Pack 1", que tiene un impacto importante, permitiendo elevación de privilegios en el peor de los casos.

Por otro lado, en el segundo boletín se corrigen vulnerabilidades en Systems Management Server 2003 y System Center Configuration 2007, ambas con un impacto importante, permitiendo también una elevación de privilegios.

Además de estas dos vulnerabilidades, Microsoft publicará una actualización de la herramienta de eliminación de software malicioso.

Dos boletines es algo poco habitual en Microsoft, sobre todo si no afecta a su sistema operativo Windows. Otras ocasiones en las que han publicado muy pocos boletines son: diciembre de 2011, cuando se publicó un solo boletín y enero y mayo de ese mismo año, con solo dos publicados.

Fuente: Hispasec

jueves, 30 de agosto de 2012

Vulnerabilidad 0-Day en Java 1.7. Como protegerte.


Java ha sufrido muchas vulnerabilidades en todos sus años, pero esta no es como otra cualquiera, es una vulnerabilidad muy peligrosa. Se ha descubierto un fallo de seguridad 0-day en la última versión 1.7 de Java, calificada por los propios desarrolladores con el grado crítico. El exploit instala un dropper (Dropper.MsPMs) que permite ejecutar sofware malicioso sin ser detectado por los programas antivirus.

ESET asegura en un comunicado oficial que la vulnerabilidad solo afecta a la versión 7 de Java (1.6 y anteriores quedan libres de problemas) y el exploit funciona en todas las versiones de Internet Explorer, Firefox, Safari y Opera en Windows 7, Vista y XP. En Chrome solo afecta para Windows XP y Ubuntu tampoco pasa desapercibido si usamos Firefox en él.

La mejor recomendación por el momento es desactivar Java hasta que exista una nueva versión o parche oficial solucionando el fallo de seguridad. Vamos a indicarte como desactivarlo tanto en Windows como en cada uno de los navegadores de forma fácil y sencilla.

Desactivar Java en Windows

Accedemos al Panel de control de Windows y accedemos a la aplicación Java. Se nos abrirá una nueva ventana con los ajustes y configuraciones de Java RE. Entramos en la pestaña “Java” y dentro pinchamos en el botón “Ver”, aquí nos aparecerán las versiones de Java instaladas en nuestro ordenador (normalmente tendremos más de una). Bastará con desactivar la casilla de Java 1.7 y en el caso de disponer de otra versión más antigua activarla para disponer de las características básicas de Java hasta que dispongamos de una solución para esta vulnerabilidad.

Desactivar Java en Google Chrome.

Desde el navegador accedemos a Herramientas y posteriormente a Complementos. En el panel izquierdo entramos en Plugins y dentro tendremos que desactivar todos aquellos elementos que pertenezcan o tengan relación con Java 1.7 (podremos encontrar varios nombres distintos). Desactivamos todos ellos y listo.

Desactivar Java en Internet Explorer.

Si usamos el navegador por defecto de Microsoft tendremos que acceder al menú Herramientas y dentro a Opciones de Internet. Entramos en la pestaña “Programas” y accedemos al botón de Administrar complementos. Una vez dentro, en la opción “Mostrar”, seleccionamos “Todos los complementos” y buscamos el correspondiente a Java (Java Plug-in 1.7). Deshabilitamos el complementos y listo.

Desactivar Java en Safari.

En Safari lo tendremos más fácil para desactivarlo. Solo tendremos que acceder al menú Preferencias y dentro al apartado Seguridad. Bastará con desactivar la opción de “Permitir Java” para solucionar el problema de vulnerabilidad.

Fuente: http://www.genbeta.com/actualidad/vulnerabilidad-critica-detectada-en-java-1-7-pasos-para-prevenir-problemas.

domingo, 26 de agosto de 2012

Google contra la piratería en Android.


La verdad es que si hace tan solo dos meses alguien me hubiera preguntado si iba a ser posible escribir este artículo le habría dicho que ni harto de tequila, pero hoy tengo que tragarme mis palabras.
Hace unos meses parecía que Google no tenía intención ninguna de combatir en plan serio la piratería en Android, simplemente la toleraban como si fuera algo necesario, pero sin tomar medidas al respecto. Veíamos como poco a poco iban proliferando las tiendas de aplicaciones alternativas (no necesariamente legales), como se habían estancado los sistemas de pago y como, sencillamente, conseguir cobrar como desarrollador en Android va siendo cada vez más y más difícil… hasta ahora.
En un par de semanas la situación ha dado un giro de 180º. Para empezar parece que desde Mountain View han escuchado las peticiones de miles de usuarios acerca de la imposibilidad de pagar en su Play Store y se han unido al club al que ya pertenecían otros grandes del sector como Amazon o Apple con su iTunes: las tarjetas prepago. Algunos no entienden por qué esto es así, pero es tremendamente importante de cara a conseguir estandarizar el pago dentro de la tienda de Android. A pesar de lo extendido que está el uso de internet entre nosotros, muchos siguen teniendo reparos a pagar a través de la red o directamente no pueden por motivos como la edad. A partir de ahora toda esa gente podrá comprar aplicaciones sin problemas, simplemente adquiriendo una tarjeta en cualquiera de las tiendas que las distribuyen.
androidgiftPero además hay otro factor que parece minoritario ahí, pero para mí es bastante importante. La posibilidad de regalarlos. Puede parecer una chorrada, pero el disponer de esa opción ayudaría mucho a que se extendiera el pago dentro de PlayStore, pues habría quien las pediría para comprar pelis, discos o libros además de juegos o aplicaciones y es muy fácil extender así el uso del producto, frente a lo difícil que era hasta ahora (solamente podrías regalar algo a alguien dejándole los datos de tu tarjeta).
Por otro lado, hemos recibido hace poco la noticia del cierre de los dominios por parte del FBI de tres de los más importantes dominios de descarga gratuita de aplicaciones de pago para Android (no confundir con otros completamente legales como F-Droid). Por separado esta noticia no significa mucho, pero la verdad es que unida a la anterior el golpe que puede suponer a la pirateria en Android y su extensión no va a ser pequeño, pues además de dificultar la obtención de software ilegal estamos facilitando el pago a los usuarios, en definitiva, actuando en dos frentes al contrario de lo que venía haciendo la industria del entretenimiento hasta ahora.
Así que sólo queda esperar cómo evoluciona la cosa y ver si la gente se mentaliza de pagar en Android gracias a los pasos dados, o si aún así sigue sin ser suficiente.
Y vosotros, ¿habíais pagado antes en Android? ¿lo haréis ahora con las nuevas tarjetas prepago.

domingo, 5 de agosto de 2012

Adobe soluciona un fallo en Flash Player

Adobe ha anunciado que la actualización Flash Player 11.3.300.270 parchea un problema que ha causado que ciertos usuarios sufran problemas cuando intentan cargar el componente FlashPlayerUpdateService.exe.

La compañía ha dicho que el problema estaba afectado a un “número significativo” de sistemas Windows. Para solucionar el fallo la compañía ha lanzado una actualización que parchea el error al que los usuarios pueden acceder habilitando las actualizaciones automáticas y silenciosas de Flash player o descargándolo directamente desde el centro de descargas de Adobe.

La compañía también ha dicho que corregirá un fallo de estabilidad que afecta a todos los usuarios en el próximo lanzamiento de Flash para Windows.

martes, 20 de marzo de 2012

Seguridad en Whatsapp


Lo tenemos siempre que queremos a nuestro lado, nos puede animar cuando estamos decaídos, conoce nuestros secretos personales, incluso tiene acceso a nuestro dinero. No, no estamos hablando de la persona amada, sino de nuestro smartphone, una herramienta que hace cinco años nadie daba mucho por que fuese de uso general, pero en muy poco tiempo ha conseguido ser un útil indispensable para todo el mundo, no solamente para aquellas personas que vivan de Internet.
Como siempre hemos dicho, nos interesa la seguridad de nuestros smartphones en una magnitud quizá enfermiza, pero no por ello falsamente fundada ya que debemos entender que estamos ante una extensión de nuestro ordenador, la herramienta productiva por excelencia, y contiene información vital para nosotros, como son nuestros contactos, nuestras cuentas de correo, nuestros datos bancarios y como tal puede usarse para el bien y para el mal.

Un fallo que pudo haber salido muy caro en salud

¿Por qué os contamos esto? Porque a veces se nos olvida la información o conexiones que ofrece y que nos puede poner en un aprieto si cae en malas manos. Esto mismo le pasó a uno de nuestros lectores que se puso en contacto con nosotros debido a un problema. Al enviar su móvil al SAT se le olvidó cerrar la sesión de WhatsApp, cliente de mensajería móvil por excelencia, poniéndole en una situación comprometida con sus contactos.
Esto se debe a que un miembro del servicio técnico usó su terminal con la cuenta sin cerrar y mandó mensajes muy negativos a sus contactos, haciendo que sus amigos se preocupasen y enfadasen al recibir mensajes insultantes. Casos como este deberían hacernos reflexionar mucho sobre lo que significa el tener un aparato para conectarnos al resto del mundo y a todas las personas imaginables que es el ordenador y el smartphone que funciona como su prolongación portátil, con todo lo que ellos supone.
No podemos negar que la culpa es en gran parte del lector, que olvidó que cuando se envía al SAT, error comprensible con las prisas pero no por ello exime de culpa, no lo envías a una máquina que identifica el error, se lo mandas a un técnico que igual tiene un mal día y decide pagarlo con unas personas que sabe que difícilmente le pillarán. En todo caso es recomendable que cuando vas a dejar un terminal durante un tiempo sin supervisar quitar toda cuenta, no sola de WhatsApp, sino también la de Google, Dropbox, Facebook y toda cuenta sensible, porque corres el riesgo de perder no solamente información, sino relaciones personales.

Puede que tenga culpa, pero debería haber más control ya que juega con muchos usuarios

Esto se podría haber solucionado en gran parte si se cerrase la cuenta de WhatsApp, haciendo más difícil que este suceso hubiera ocurrido. Esto nos deja claro que la vulnerabilidad de WhatsApp está presente nos guste o no. Debemos ser consecuentes si dejamos nuestra confianza en aplicaciones como esta que no requieren de contraseña y la sesión no se cierra tan fácilmente como debería ser.
WhatsApp tiene del orden de diez millones de usuarios en España, y no es difícil que supere los 200 millones en todo el mundo, con la consecuente información que contiene, además de comprobar que los datos se guardan en local y en texto plano sin cifrar, siendo potencialmente posible que nos roben los datos con una aplicación maliciosa.
Con todos esos datos en la mano es nuestro deber como consumidores exigir unas mejoras de seguridad, como son el cifrado de datos y el exigir una contraseña para poder acceder, con posibilidad de pedir el recibir un mensaje para validarlo por si nos roban la contraseña pero no el teléfono Y es que algo debemos tener claro, y es que la mayor inseguridad es la falsa sensación de seguridad.

domingo, 19 de febrero de 2012

Rapidshare limita a los usuarios gratuitos.

Rapid nunca ha sido mi server de descarga directa favorito eso seguro y ahora menos que nunca con la decision que han tomado de limitar a 30Kbps las descargas a los usuarios con cuentas gratuitas ademas los archivos pesados seran ahora mas (si cabe) complicados de descargar puesto que habra que descarharlas de un vez sin paradas en el camino. Desde la caída de Megaupload mucho han cambiando las cosas y los que profetizaban que en Internet ::Cae 1 y se levantan 10:: hasta ahora y por el momento no están teniendo razón y es que la cagalera general que existe actualmente tiene mucha culpa de ello y hasta que esto no se "olvide" o haya alguien que encuentre la manera de hacerlo igual de fácil como lo hizo en su día Megaupload me da a mi la nariz que nos queda mucho tiempo de espera hasta volver a tiempos mejores donde una película de 1,5Gb (por ejemplo) y yo con mis 15Mb de descarga la tenia disponible en mi PC en no mas de 20 minutos, en fin malos tiempos corren para las descargas directas con esta nueva decision de uno de los servidores con mas nombre en la red.

Por otro lado hay que decir que no hay mal que por bien no venga ya que esto puede suponer una vuelta (aunque sea por un tiempo limitado) a las descargas P2P, mas lentas si, pero nadie va a venir a pedirte ni un solo euro por descargar tu serie, película o cd favorito ademas cumple perfectamente con lo que es en esencia la propia internet ::el compartir información::.

sábado, 18 de febrero de 2012

Estudiante britanico hackea Facebook.

Un estudiante británico que hurtó información confidencial de la red interna de Facebook fue sentenciado el viernes a ocho meses de prisión en lo que según los fiscales fue el caso más grave de robo de información a las redes sociales jamás presentado ante las cortes del país.

Glenn Mangham, de 26 años, irrumpió en las computadoras del gigante de socialización desde su recámara en la ciudad de York, en el norte de Inglaterra, y robó lo que fue descrito como propiedad intelectual "invalorable", dijo el fiscal Sandip Patel.

"Actuó con determinación, ingenio indiscutible y fue sofisticado, fue calculador", declaró Patel a la Corte Real de Southwark en Londres antes de la sentencia el viernes. Posteriormente agregó: "Este representa el incidente más amplio y grave de ingreso ilegal a las redes sociales que se haya presentado ante los tribunales británicos".

Alison Saunders, procuradora en jefe de Londres, refrendó lo dicho por Patel, al afirmar en un comunicado que las acciones de Mangham fueron "amplias y flagrantes". Hasta el momento no se había revelado qué información robó, aunque Saunders dijo que los datos personales de los usuarios no resultaron afectados.

En otro comunicado, Scotland Yard indicó que la irrupción ocurrió "durante un breve periodo de tiempo" en abril del año pasado. Se le dijo a la corte que Mangham había obtenido la información tras ingresar ilegalmente a la cuenta de un empleado de Facebook mientras éste vacacionaba.

Facebook Inc., con sede en Palo Alto, California, descubrió la violación en mayo y alertó al FBI, que rastreó la fuente del ataque y determinó que estaba en Gran Bretaña, señaló el comunicado de la policía. La unidad de Scotland Yard especializada en delitos cibernéticos allanó la vivienda de Mangham el 2 de junio.

El estudiante de programación de software se declaró culpable el 13 de diciembre. Su abogado, Tony Ventham, describió a Mangham como un "hacker ético" que vio su acción como un reto para él, e hizo énfasis en que su cliente nunca intentó vender los datos robados ni entregarlos a nadie más.
 

miércoles, 4 de enero de 2012

WPS las herramientas para crackear el Wi-Fi Protect Setup ya están disponibles.

La semana pasada publicábamos que se había descubierto una vulnerabilidad en el WPS de los routers, este Wi-Fi Protect Setup, que sirve para conectarnos de forma segura y sobre todo fácil ya sea pulsando un botón en el router, metiendo un PIN o añadiendo un ordenador desde el menú del router, se ha visto seriamente comprometido en la parte de la introducción del PIN.


Ya han salido dos métodos para crackear este dispositivo de “seguridad”.

A continuación os mostramos los enlaces para la descarga, de momento sólo está para sistemas operativos Linux.

Para los que no dominen el inglés:

Hay dos herramientas, Reaver que funciona con muchos adaptadores Wireless, y la prueba de concepto del autor que es compatible con menos tarjetas pero que lo hace el doble de rápido.

Descargar Reaver

Descargar prueba de concepto del autor

Ahora sólo hace falta que comprobemos si nuestro router está afectado por esta vulnerabilidad o si de lo contrario es inmune.

Fuente: http://www.redeszone.net/2012/01/02/wps-las-herramientas-para-crackear-el-wi-fi-protect-setup-ya-estan-disponibles/