lunes, 25 de julio de 2016

Introspection: Un dispositivo de seguridad para saber si te espían el móvil

El   in , , , , , ,   with No hay comentarios

Introspection: Un dispositivo de seguridad para saber si te espían el móvil

Lunes, Julio 25, 2016 | Seguridad | Movil | Rastreo

Así se llama el dispositivo que Andrew ‘bunnie’ Huang y Edward Snowden han presentado al mundo. Introspection. Un dispositivo de seguridad que se acopla a tu terminal móvil para monitorizar si en cualquier momento está emitiendo señales de comunicación a bajo nivel que no deberían estar realizándose. Es decir, para ver si tu terminal móvil está enviando información en contra de tu voluntad, y para evitar capas de software que pudieran estar controladas, y software corriendo en los chips que pudiera estar controlado - recordad el escándalo con los chips Intel que está bajo estudio ahora mismo - directamente monitoriza las señales en los buses a nivel físico.

Como digo, el dispositivo se acopla a nivel físico para poder medir las señales de los buses de comunicación del hardware que son utilizados por los elementos de comunicación de un terminal, como son las conexiones WiFi, BlueTooth, las comunicaciones GSM, 2G, 3G, 4G, las conexiones RF o el mismo GPS. En esta imagen se ve cómo se conecta físicamente a la circuitería del terminal iPhone para monitorizar los buses con unos cables que salen debajo de la zona de la SIM.

En cada terminal hay que hacer una serie de conexiones y debería hacerse por gente especializada. Monitorizar los buses es la única forma que es 100% de fiar, según explican, para poderse fiar de un terminal que ha sido puesto en modo avión y del que no se espera ninguna conexión. Para ello, miran los buses utilizados de todos los elementos de comunicación. La siguiente tabla recoge la lista de sistemas de comunicación y buses monitorizados por su sistema. Como curiosidad, la tabla publicada tiene las típicas marcas del corrector ortográfico de Microsoft Word (una de "metadata leakage" en el post).

A partir de ese momento, Introspection auditará todas las señales para detectar tráfico en los buses de estas señales que se produzcan cuando no deberían producirse porque el terminal está en modo avión. Esto garantizaría que durante los instantes que el usuario quiera, el terminal no emite ninguna señal lo que evitaría que se pudiera localizar por medio de los múltiples caminos que existen: GPS, trilateración de antenas de comunicación, trilateración de redes WiFi, etcétera.

En la figura superior se puede ver cómo los buses de comunicación dejan de emitir señales cuando están en modo avión, así que si están emitiendo significaría que no está en modo avión de verdad y alguien podría estar recibiendo la información del terminal, y por tanto la ubicación del mismo en el mundo.

El objetivo es que fabricantes, operadores, o personal cualificado pueda inspeccionar el software que corre en Introspection, que puedan analizar el hardware con que se construye y que puedan instalarlo ellos sin necesidad de contar con los fabricantes que proveen los teléfonos. Para ello, el diseño se presenta como un recargador de batería extra, tal y como se ve en la fotografía.

La conexión se podrá hacer a través de un nexo entre las conexiones físicas que se hacen internamente en el dispositivo y los circuitos de Introspection. Aquí la conexión que es necesaria en un iPhone, que es uno de los dispositivos de los que Edward Snowden no se fía por haber aparecido también en el programa PRISM. Al final la propuesta que hace Introspection es meterse en las capas más bajas posibles para saber si te están monitorizando e ir a por las señales físicas parece que es lo más fiable a día de hoy, porque lo demás todo se puede troyanizar por una capa inferior.  Eso sí, esto no protegerá de todo el hacking de comunicaciones móviles que se produzca desde fuera.

Fuente: El Lado del Mal
Compartir:

jueves, 21 de julio de 2016

miércoles, 20 de julio de 2016

UN FALLO EN LA COLA DE IMPRESIÓN PERMITE HACKEAR CUALQUIER VERSIÓN DE WINDOWS

El   in , , , ,   with No hay comentarios

WINDOWS VULNERABLE

Noticias de Seguridad | 20 de Julio 2016
Microsoft lanza constantemente actualizaciones en su sistema operativo. Más o menos incómodas, éstas arreglan diversos fallos, tanto de funcionamiento como de seguridad. Cada mes, se publica un informe en el blog de TechCenter de Microsoft, en el que se explican las vulnerabilidades del sistema corregidas durante ese mes.
En el último parche de julio, lanzado el día 11, se resuelven 50 vulnerabilidades, 6 de ellas críticas de ejecución de código de manera remota. Una de ellas, probablemente la más grave, afecta a todas las versiones de Windows. Este fallo se encuentra en la cola de impresión, a la cual van todas las impresiones que realizamos. El atacante, mediante esta vulnerabilidad en este servicio, puede tomar el control total del sistema operativo con un simple mecanismo.
Este fallo crítico, catalogado bajo el código CVE-2016-3238, se encuentra en los drivers de la impresora, ya que estos tienen permisos de sistema en Windows. El hacker puede poner el driver en la impresora de tres maneras distintas. La primera, hackeando la impresora. La segunda, loguearse en la impresora (muchas de ellas tienen la contraseña de serie). La tercera, crear una impresora falsa en la red.
Una vez el usuario se conecta a la impresora, el código se ejecuta. El fallo permite a un atacante instalar malware a distancia, y ver, modificar o eliminar archivos del ordenador, e, incluso, crear cuentas de usuario con permisos de administrador. El ataque fue descubierto por una empresa de seguridad llamada Vectra Networks. Mostraron algunos detalles sobre la vulnerabilidad, pero no mostraron exactamente lo que hay que hacer para poder ejecutarla.
Este fallo se encuentra arreglado en las versiones de Windows que disponen de soporte de actualizaciones de Windows, es decir, de Windows Vista en adelante (aunque este último tiene los días contados)
Por fallos como este os recomendamos tener siempre actualizada vuestra versión de Windows. Si os encontráis en una casa con un buen cifrado en la red, estaréis a salvo. Pero si trabajáis con redes Wi-Fi o Ethernet en una empresa, estaréis expuestos a este tipo de vulnerabilidades si no actualizáis. En las redes de las empresas, los administradores de la red permiten a las impresoras enviar libremente los drivers a los dispositivos que así lo soliciten.
Estos ataques destinados a empresas se conocen como “watering holes”. Estos ataques buscan infectar una red entera, con el objetivo de alcanzar el mayor número de víctimas posible. El ataque a impresores es de los más graves en mucho tiempo por varios factores: su facilidad de ejecución (además de varias vías para hacerlo), y el gran número de usuarios afectados, que, hasta hace 2 días, eran todos los usuarios de Windows.
Compartir:

viernes, 8 de julio de 2016

Nuevo Malware se hace pasar por WhatsApp en Android

El   in , , ,   with No hay comentarios

Nuevo malware para Android se hace pasar por WhatsApp.

Android es la plataforma móvil que más sufre de infecciones de malware, pese a los esfuerzos de Google por mejorar la seguridad de Android versión tras versión otros factores como la popularidad de la plataforma, la fragmentación que sufre (coexistencia de diferentes versiones) y factores propios del sistema que facilitan estas infecciones no permiten que Android se libre de esta carga que arrastra ya desde hace tantos años.
En esta ocasión os informamos de un nuevo malware que ha surgido en Europa,un malware destinado a infectar a usuarios de Android y que tiene el objetivo de hacerse con nuestros datos bancarios para robarnos fondos así como lucrar a sus creadores.

 

¿Cómo se distribuye?

 
Este nuevo malware, detectado por la firma de seguridad FireEye, se transmite utilizando técnicas de phishing vía SMS, es decir, utilizando el servicio de SMS se hace pasar por otras entidades o intenta engañar al usuario para entrar a una web o descargar algo.
En Android es fácil que esto infecte al usuario dado que muchos tienen activada la casilla “Orígenes Desconocidos”, una opción que permite instalar aplicaciones desde fuera de Google Play y que de estar desactivada mejoraría bastante la seguridad de sus terminales.

 

¿Que hace este nuevo malware?

 
Una vez instalado en el dispositivo, de forma totalmente silenciosa, se instala sobre aplicaciones populares como Whatsapp, Uber e incluso la tienda de aplicaciones oficial de Google, Google Play, aplicaciones que de estar instaladas en el terminal lo más probable es que el usuario las utilice varias veces al día.
Cuando está instalado, aplica sobre cada aplicación infectada una nueva capa que imita la interfaz de cada una, pero que en su lugar pide datos de nuestras tarjetas de crédito o cuentas bancarias, supuestamente por algún motivo relacionado con la aplicación, como puede ser la compra de una app en Google Play o el pedir un coche a través de Uber.
Cuando los datos son introducidos estos se envían al responsable de este malware, que puede utilizarlos de muchas formas, ya sea realizando cargos en la cuenta bancaria poco a poco, realizando un gran cargo e incluso vendiendo esos datos a terceros a través del mercado negro (o la deep web).

 

¿Cómo protegernos ante este malware?

 
Hay diferentes recomendaciones que pueden ayudar de forma acumulativa a evitarte disgustos por infección de este tipo de malware:
– Desactiva “Orígenes Desconocidos”: Desde los ajustes de tu dispositivo, dirígete a “Seguridad” o “Privacidad” según la versión de Android que tengas instalada y la capa de personalización que utilice, y posteriormente deja esta casilla sin rellenar, es decir, desactivada.
– No piques con los sms: Si recibes un sms diciendo que descargues esto o entres en esta web, asegúrate de que quien lo envía es de fiar, y en caso de duda consulta a alguien que creas que puede ayudarte.
– No des fácilmente tu información bancaria: Identifica bien cuando es realmente necesaria, en caso de duda acude a alguien que creas que puede ayudarte a identificarlo y por seguridad investiga si puedes utilizar métodos de seguridad existentes en tu banco como tarjetas virtuales, así como estar pendiente a los cargos que se te puedan realizar e informar de manera inmediata a tu banco si detectas actividad inusual.
– Ten siempre instalada la última versión de Android compatible con tu dispositivo: Google va mejorando la seguridad de Android en la medida de lo posible corrigiendo fallos de seguridad y poniendo más barreras a los hackers, todo esto ayudará a que tu versión de Android sea menos propensa a caer infectada al imponer de mejores y más actuales medidas de seguridad.
– Utiliza algún antivirus puntualmente: No confíes plenamente en este tipo de aplicaciones, no son 100% eficaces y no merece la pena mermar el rendimiento de tu dispositivo así como pagar por tener una protección que puede fallarte, lo mejor que puedes hacer es instalar un antivirus gratuito desde Google Play de alguna firma conocida (como Avast, BitDefender, F-Secure, Eset, Symantec, Baidu, etc… ) y realizar análisis programados cada semana o manualmente cuando creas que puede haber algún peligro, de esta forma te ahorras pagar por algo que puede no servirte y tener garantías de una seguridad ligeramente mejorada.
Siguiendo estas indicaciones y con un poco de cabeza (leyendo todas las advertencias que nuestro smartphone nos lanza sin pulsar en aceptar sin haber leído, así como desconfiando de alertas mal escritas o con aspecto dudoso que pueden ser falsas alertas generadas por una web) debería ser suficiente para evitar la gran mayoría de infecciones.
 
Compartir:

lunes, 4 de julio de 2016

Pastejacking, el nuevo ataque informático.

El   in , ,   with No hay comentarios
Pastejacking, el nuevo ataque informático del que debes estar informado.

Las astucia de los ciberdelincuentes muchas veces hace posible la aparición de nuevos ataques. El conocido como pastejacking es la sensación del momento y en las últimas semanas está de moda su uso. Sin embargo, aunque hemos indicado que es nuevo en realidad esta afirmación no es del todo correcta.
Más conocido por “clipboard jacking”, este tipo de ataque carece en la mayoría de las ocasiones de sentido, sirviendo cuando el usuario ha copiado algún contenido al portapapeles para pegarlo en su equipo. Tal y como ya hemos mencionado no se trata de un ataque novedoso, ya que podría decirse que la primera versión de este hacía uso de las hojas de estilo (conocidas como CSS) para conseguir de forma eficaz modificar el contenido copiado por el usuario.
En esta ocasión, todo parece indicar que los ciberdelincuentes han abandonado esta vía y se han entrado en la utilización sobre todo de JavaScript. Los expertos en seguridad afirman que esta nueva versión es mucho más eficaz que la anterior, ya que permite responder a un evento en un tiempo menor y modificar de esta forma el contenido del portapapeles.
Añaden que la utilización de JavaScript es un auténtico problema para los usuarios, ya que es muy difícil de detectar y también de erradicar.
 

Descripción de pastejacking

La técnica consiste en detectar el copiado de cierta información para ejecutar el script que lleva a cabo la modificación del contenido. Algo que es instantáneo y que tiene una clara ventaja con respecto a CSS. Mientras en el último caso el usuario debe seleccionar todo el texto para introducir el código malware, en el actual solo es necesario seleccionar parte o un solo carácter para que el script lleve a cabo su cometido.
 

Las páginas hackeadas juegan un papel importante

Resulta bastante habitual encontrar hoy en día páginas que están afectadas por fallos de seguridad y que distribuyen malware. Partiendo de esto, los ciberdelincuentes podrían a partir de ahora utilizar estas para añadir el código JavaScript correspondiente y así llevar a cabo el pastejacking sin que el usuario se percate de lo que está sucediendo. Además, este podría distribuir su amenaza de forma totalmente gratuita gracias a la página hackeada.
Los expertos en seguridad ya han confirmado que se trata de un ataque muy difícil de detectar y que en un futuro no muy lejano puede ser la tónica a la que los usuarios deban hacer frente.
 
Fuente:http://www.redeszone.net/
Compartir: