Bad Rabbit nuevo Ransomware en Europa

Lamentablemente hoy tenemos que informar de que hay un nuevo ransomware causando el caos en algunos países, como son Rusia, Ucrania y Alemania. Desde Karspersky Labs han informado que al menos 200 víctimas se han visto afectadas por el ataque del ransomware, apodado desde ya mismo “Bad Rabbit“.

Varios grupos de ciberseguridad, incluyendo a los de Karspersky Labs, ESET y Proofpoint, han declarado que el ataque se propagó a través de una falsa actualización de Adobe Flash, llegando a alcanzar a las compañías de comunicación Interfax y Fontanka.ru. Hay también ataques localizados en el aeropuerto Odessa de Ucrania, el metro de Kiev y el Ministerio de Infraestructuras de Ucrania, aunque por ahora no está muy claro si todos estos ataques se han producido por Bad Rabbit.

El efecto del ataque es similar al de anteriores ocasiones, devolviendo un mensaje en la pantalla advirtiendo de que el ordenador está infectado y obligando al usuario a pagar una cantidad e Bitcoins (0,05 bitcoins, o 281 dólares) para que los archivos cifrados vuelvan a su estado original. El mensaje da 40 horas para que se realice el pago, o de lo contrario el precio de la recompensa subirá. En Karspersky Labs por ahora no pueden confirmar si Bad Rabbit está relacionado con NotPatya, un ransomware que se extendió por todo el mundo a comienzos de este año utilizando métodos similares.

En ESET, sin embargo, aseguran que al igual que NotPetya, Bad Rabbit es una variante del original Petya, un ransomware que alcanzó a muchos ordenadores junto al mítico WannaCry. Por ahora se desconoce qué grupo o persona está detrás de este ataque, así que estaremos atentos a los nuevos detalles que vayan apareciendo.

Rompiendo el cifrado de Whatsapp

WhatsApp, la aplicación de mensajería instantánea más famosa del planeta, vuelve a estar en el punto de mira. Si hace unos meses los desarrolladores de la aplicación integraron en ella un sistema de cifrado de extremo a extremo con el fin de reforzar la seguridad en las comunicaciones de sus usuarios, acaba de saltar una noticia que, si es cierta, tiraría por tierra todos los esfuerzos de la compañía por proteger a sus usuarios.

Y es que una compañía de vigilancia cibernética israelí asegura haber desarrollado una herramienta llamada CatchApp que podría ser capaz de descifrar todas las conversaciones de WhatsApp, incluidas las que se encuentran cifradas, desde una herramienta que crea un falso punto WiFi y cuyo tamaño permite esconderla en un mochila. La herramienta funcionaría solo con estar situado cerca  del usuariodel que queramos descifrar sus mensajes, y después de que éste se conecte a este falso punto WiFi, es posible acceder a toda la información.

catchapp

La compañía desarrolladora se llama Wintego y se encuentra basada en Haifa (Israel). Han sido ellos mismos los que han publicado folletos con toda la información de su herramienta, CatchApp, a la que denominan como “interceptor de WhatsApp”.

Wintego asegura que su aplicación tiene una capacidad sin precedentes y que lo hace a través de unataque de intermediario (man-in-the-middle, MitM o JANUS), un ataque en el que se consigue leer, insertar  o modificar los mensajes entre dos partes sin que ninguna de ellas conozca que algo o alguien ha intervenido.

Se supone que la aplicación interceptaría el tráfico entre la aplicación y el servidor de WhatsApp  y en ese punto descifraría el encriptado.

Por el momento la compañía israelí no ha dado más detalles pero desde Forbes  aseguran que la herramienta funciona y además en la mayoría de versiones de WhatsApp.

CatchApp forma parte de una serie de herramientas de hackeo desarrolladas por Wintego, que son denominadas como WINT y de las que los israelíes presumen cabe en una simple mochila. WINT es para ellos una herramienta de extracción de datos que mediante este hackeo pueden hacerse con material sensible de cualquier usuario.
wint

Por el momento no se sabe demasiado sobre Wintego pero varias investigaciones apuntan que ha sido fundada por varios ex alumnos de Verint, otra empresa israelí. Verint casualmente fue proveedor de herramientas de vigilancia cibernética para la Agencia de Seguridad Nacional de Estados Unidos (NSA). Según indica también Forbes, las cabezas visibles de esta empresa serían Yuval Luria que se encarga de la parte comercial y Nhevo Kaufman que sería el CEO de la compañía.

Estas herramientas se encuentran a la venta únicamente para cuerpos de seguridad como la policía, pero obviamente, cabe la posibilidad de que caiga en manos indebidas siempre y cuando haya suficiente dinero por medio.

Google aumenta la seguridad de Gmail con 2 novedades.

Gmail ha añadido dos nuevas soluciones de seguridad a través de Google Apps, como servicio de pago para las empresas, que mejorarán aún más si cabe nuestra experiencia con el gestor de correo electrónico. Por un lado, la compañía ha informado a través de su blog oficial, que nos dará la oportunidad de conocer quién ha mandado un determinado correo. Por el otro, a partir de ahora Google comprobará los enlaces a las páginas webs que están dentro de los correos electrónicos. De modo, que si alguna de ellas redirije a una página web que contenga phishing, malware o software maligno dará un aviso con antelación. Veamos con más detalle de qué manera sacarles partido a estas nuevas soluciones de seguridad.

Google ha decidido que ya es hora de añadir al Gmail que usan las empresas dos nuevas soluciones para proteger sus cuentas de correo. La primera de ellas está relacionada con la identificación de un contacto. En el momento en el que Google compruebe la llegada de un nuevo correo a la bandeja de entrada, buscará de forma automática la veracidad del emisor. Para ello hará un barrido en ciertas bases de datos para buscar esa dirección de email. En el caso de que esa dirección en cuestión no pueda ser verificada, tal y como se puede ver en la imagen inferior, aparecerá un interrogante rojo en el centro del avatar de la persona o empresa que remite el correo. Es así como la compañía informará de que la cuenta en cuestión no ha sido autentificada.

Gmail seguridad

Como menciona Google en el blog oficial de las actualizaciones de las aplicaciones, para comprobar si esa dirección es verídica o no, la compañía buscará en los registros SPF y en el DKIM (Domain Keys Identified Mail). Se trata de dos sistemas que se encargan de comprobar direcciones de correo electrónico mediante distintos procesos de autenticación. Por su parte, a partir de ahora Google también comprobará los enlaces a aquellas páginas webs que están insertadas en los correos electrónicos. Esto significa, que si alguno de ellos redirige a una web que contenga phishing, malware o cualquier tipo desoftware maligno avisará de forma anticipada para prevenir.

Básicamente, la compañía californiana alertará detenidamente sobre dónde se está a punto de meter, dando la opción de “volver hacia atrás” o entrar de todas formas. Para ello Google usará el Safe Browsing, una protección que está disponible en la mayor parte de los navegadores actuales. Estas dos novedades están comenzando a llegar de forma gradual a todos los usuarios del servicio Google Apps. De hecho, está previsto que en un plazo de dos semanas comiencen a llegar a todos aquellos que dispongan de una cuenta en Gmail. Por último, Google añade que no todos los correos con alguna de las peculiaridades anteriores tienen que ser maliciosos, solo avisa para que seamos cuidadosos a la hora de responder o de hacer clic. Como decimos, estas funciones se añaden al cliente Gmail que se ofrece a través de Google Apps como servicio de pago para las empresas, ya que el servicio estándar ofrece estas funciones desde el pasado mes de febrero.

WhatsApp ya encripta las conversaciones, bienvenidos al mundo con un poco mas de seguridad.

Si WhatsApp está empezando a avisarte en tus chats de que las conversaciones y las llamadas con tus contactos están encriptadas de extremo a extremo, no eres el único: a aplicación ha decidido ir un paso más allá para garantizar las seguridad y la privacidad de las conversaciones. Por si acaso te quedan dudas, te ayudamos a comprobar si tus chats de WhatsApp son seguros. Podrás comprobarlo gracias a un nuevo apartado en el menú de Ajustes y a la información sobre encriptación que aparece para cada contacto y cada grupo.

Cómo saber si el móvil ya tiene WhatsApp encriptado

La encriptación de extremo a extremo significa que toda la información compartida entre los contactos va protegida con una clave única, de manera que no puede ser interceptada por terceros y tampocoWhatsApp puede acceder al contenido de tus chats.

El cifrado de las conversaciones es una de las demandas más extendidas entre los usuarios preocupados por la privacidad en Internet. Cada vez más personas deciden encriptar su teléfono, y para las comunicaciones personales y profesionales van apareciendo nuevas alternativas de email encriptado. Con la nueva actualización de la aplicación, el cifrado de conversaciones empieza a estar disponible para todos los usuarios, y te aparecerán mensajes notificándote de este cambio dentro de cada chat.

Para comprobar que tus conversaciones de WhatsApp están cifradas, entra a Ajustes > Cuenta > Segridad y activa la opción Mostrar las notificaciones de seguridad. La aplicación se compromete a mantener el cifrado de extremo a extremo siempre que sea posible, y con esta opción activada podrás recibir notificaciones si cambia el código de seguridad de algún contacto.

WhatsApp

Cómo saber si un contacto o un grupo de WhatsApp está encriptado

Si ya has comprobado que tu cuenta de WhatsApp tiene listo el cifrado de conversaciones, puedes entrar en cualquier chat, pulsar sobre las opciones y seleccionar Ver contacto. Verás que te aparece información en tiempo real sobre las condiciones de la comunicación con esa persona: si el candado está cerrado, sabrás que los mensajes y las llamadas con esa persona están cifradas. Si la persona no ha actualizado aún la aplicación, el candado aparecerá abierto.

Para los grupos de WhatsApp, también puedes acceder a este apartado desde Info. del grupo dentro del chat. Si hay integrantes que aún no han actualizado a la última versión, no será posible mantener la comunicación encriptada y el candado estará abierto.

WhatsApp

Aunque WhatsApp ya puso en marcha un sistema de encriptación propio llamado Open Whisper Systemen 2014, es muy probable que la polémica por el caso de Apple y el FBI en Estados Unidos haya impulsado a la compañía a realizar actualizaciones en la aplicación para que los propios usuarios puedan tener conocimiento sobre el nivel de seguridad de sus conversaciones. Esta versión llega en unas semanas plagadas de actualizaciones, poco después de la introducción de los textos enriquecidos (negrita, tachado y cursiva) para nuestros chats.

Google indexa automáticamente sitios HTTPS

Google ha anunciado que empezara a indexar automáticamente sitios HTTPS, lo que hará sera buscar los equivalentes de los sitios webs con el protocolo https, es decir si has dado de alta en el buscador https://www.edadfutura.com , Google intentara buscar e indexar https://www.edadfutura.com.

Es un gran paso para aumentar la seguridad web en general, y forzar a los grandes a usar protocolos seguros.

Fallo de seguridad en Whatsapp Web

Recientemente, la aplicación de mensajería instantánea más popular, WhatsApp, alcanzaba la cifra de 900 millones de usuarios activos. Desde luego, una cifra impresionante a la que solo logra acercarse Messenger, también propiedad de Facebook. Sin embargo, las noticias que hoy traemos no son tan agradables, al menos no para los usuarios, que son los principales afectados. Tal y como nos informan desde The Telegraph, se ha descubierto un importante fallo de seguridad en la versión web de WhatsApp, que pone en riesgo a buena parte de esos usuarios.

Se trata de una vulnerabilidad de software descubierta por el grupo Check Point, que puede permitir a los hackers introducir malware en los equipos de los usuarios, incluyendo herramientas para conseguir acceso remoto, entre otros tipos, como el también temido ransomwear, que “obliga” a los afectados a pagar un rescate para que vuelvan a tener control total sobre su sistema y datos, o robots que pueden afectar al rendimiento de todo el sistema.

WhatsApp ya ha puesto remedio
WhatsApp Web notificacionesSe calcula que de los 900 millones de usuarios activos al mes que tienen WhatsApp, por lo menos 200 millones utilizan la plataforma web, por lo que este sería el número de usuarios que están expuestos a esta nueva vulnerabilidad. Como indica la fuente, WhatsApp ya ha reconocido este problema, y ya ha puesto en marcha su plan de soluciones, actualizando la versión web. Así, todas las versiones 0.1.4481 y superiores, deberían tener corregido este grave fallo de seguridad.

Por tanto, lo más seguro es que los usuarios actualicen WhatsApp Web inmediatamente si no lo han hecho ya, y borrar la memoria caché del navegador para tener la certeza de que lo estamos usando ya actualizado. Para cerciorarnos de si estamos actualizados o no, simplemente debemos fijarnos en la parte superior de la columna de chats, y fijarnos si tenemos o no una notificación de actualización.

Nuevo fallo de seguridad en Android

No está siendo una buena semana para Android (ni Google). Al grave fallo de seguridad que afectaba a todos los terminales y que os contábamos que su mayor peligro era la dificultad para que los terminales afectados pudieran ver solucionado el error, se suma una nueva amenaza de la que alertan desde Trend Micro.

Android Malware Hack

La misma fue descubierta el pasado mes de mayo, y enviada a Google, quien todavía no la ha solucionado al haberla catalogado como de baja relevancia. Buen momento pues para sacarla a la luz, aunque no hay por ahora noticias de que haya sido aprovechada por nadie y de ahí quizás que Google todavía no le haya dado solución. Afecta a los terminales a partir de la versión Android 4.3, lo que supone más o menos un 50% de los terminales Android en el mercado.

De nuevo problemas con los vídeos en Android

El error, de nuevo, tiene elementos multimedia en forma de vídeo como tristes protagonistas. En este caso se produce con vídeos MKV alterados que afectan al servidor multimedia del terminal y que provocan que se vuelva inservible, con pantalla en negro, pérdida de la capacidad táctil, sin poder realizar ni recibir mensajes o llamadas … debido a numerosas peticiones que bloquean el terminal.

Mobile Shutdown 1

El proceso para bloquear el terminal puede venir por una web maliciosa donde se ha incrustado el vídeo o directamente por una aplicación. En este último caso, según alertan desde Trend Micro, la solución de reiniciar el terminal no sería suficiente pues de nuevo la aplicación bloquearía el smartphone y seguiría inservible.

Un exploit podría tomar el control de un Mac incluso tras formatearlo

Un exploit podría tomar el control de un Mac incluso tras formatearlo

Este podría ser una de las vulnerabilidades más peligrosas que habíamos oído nunca, ya que al parecer existe un agujero de seguridad que permitiría controlar un Mac incluso tras haberlo formateado. Descubierto por el experto en seguridad de OS X Pedro Vilaca, el exploit ataque a viejos equipos que despiertan tras el modo de hibernación. El problema es que el supuesto sistema de seguridad que protege al firmware del equipo no se activa de inmediato en modelos antiguos tras despertarse del reposo, dejando expuesto al equipo durante un breve periodo de tiempo. A diferencia de otros exploits que requieren acceder vía hardware, el atacante podría plantar la trampa de manera remota desde Safari u otro medio.

Para implantarlo lo primero que debe de conseguir es tener acceso al Root a través de una web preparada para el ataque, un correo electrónico o cualquier otro método. Después se deja el programa que se ha cocinado expresamente para esta tarea, quedando únicamente que esperar a que el equipo entre en reposo (o forzarlo a ello) para posteriormente actualizar el firmware en cuanto se despierte. Una vez instalado, es bastante difícil de detectar y eliminar en comparación con el malware tradicional, de forma que podría sobrevivir incluso tras un formateo.

Según informa el propio Vilaca, los equipos afectados son el MacBook Pro Retina, MacBook Pro 8.1 y MAcBook Air, aunque aquellos modelos de menos de un año de antigüedad parecen ser completamente inmunes al ataque (Vilaca cree que Apple podría conocer el problema y parcheado los equipos más nuevos). Tendremos que esperar a que Apple se pronuncie al respecto, ya que como Vilaca dice, la propagación del informe de seguridad no es para nada una irresponsabilidad, sino una motivación para ponerle solución cuanto antes.

Icloud ha sido parcheado para solucionar agujero de seguridad.

Apple parchea una gran vulnerabilidad en la seguridad de iCloud

Apple ha solucionado una vulnerabilidad en su servicio en la nube iCloud que permitió a un grupo de hackers mostrar cualquier cuenta como vulnerable a ser hackeada.

iDict es una herramienta de hacking que fue lanzada publicamerte el día de año nuevo. Explotando un agujero en la seguridad de iCloud, permitía al atacante poder, mediante fuerza bruta, averiguar la contraseña de la cuenta atacada. Al ser un ataque de fuerza bruta, era necesario mucho tiempo y un hardware potente para averiguar la contraseña.

Por agujeros de seguridad así siempre recomendamos usar un gestor de contraseñas como 1Password y autenticación en dos pasos. Apple ya ha corregido el fallo de seguridad.

“Dolorosamente obvio” así definió Pr0x13, el creador de la herramienta de hacking, la falla de seguridad en iCloud que permitía obviar los sistemas de seguridad como las preguntas de seguridad e, incluso, la autenticación en dos pasos. iDict funcionaba, como casi todas estas herramientas, con diccionarios de contraseñas comunes hasta que encontraba la correcta. Apple ya ha corregido el problema, pero es increíble que en un servicio tan popular se pueda dar un agujero de seguridad tan básico.

En apenas 24h, según informo el propio “hacker”, el agujero de seguridad fue parcheado:

iDict is patched, Discontinue it’s use if you don’t want to lock your account#TheMoreYouKnow

— ! ★ (@pr0x13) January 2, 2015

Estos reportes no ayudan a Apple, una empresa que ya vio manchada su reputación por el escándalo de la filtración de fotos de famosas desnudas hace unas semanas (aunque no fueran responsables directamente).

[Seguridad] Peligroso ataque denominado CryptoLocker

Extremar precauciones en los correos recibidos, debido a un peligroso ataque denominado CryptoLocker.

¿Cómo se produce la infección de Cryptolocker?
Por una acción del usuario. Llega un correo electrónico limpio, que normalmente tiene un link que solicita descargar un fichero simulando que es una factura o un envío urgente. Es el usuario al hacer clic en el link, que está ejecutando la acción de infección. También es posible que acceda a una página que intentará atacar e infectar el PC buscando vulnerabilidades o también denominados "agujeros de seguridad".

¿Qué consecuencias tiene?
Los ficheros a los que intente acceder el usuario, ya sean locales o almacenados en la red, se cifran, y al cabo de unos minutos/horas al usuario le aparece un pantallazo solicitando un pago para recibir la clave de descifrado. Nadie podrá acceder a esos ficheros porque estarán cifrados.

¿Por qué llegan todos estos correos?
Porque los que se dedican a generarlos son profesionales y se lucran con ello.

¿Lo detecta el antivirus?
En la actualidad hay variantes que NO detecta.


¿Qué hacer?


·         No se debe abrir ningún fichero que venga de un correo que desconocemos.

·         Nunca se debe abrir un fichero donde el texto del correo sea un texto que claramente es genérico (del tipo: te adjunto factura....  y no conocemos procedencia).

·         Nunca se debe abrir un fichero que venga con un adjunto con extensión .zip con password, excepto que conozcamos claramente el origen  y nos haya informado que nos lo va a enviar.

·         NUNCA se debe abrir un fichero con extensión .exe (La extensión es la información que hay a la derecha del punto. Por ejemplo. Xlsx).

·         Y sobre todo, utilizar el sentido común (no enviar passwords, números de cuenta,...).

Grave vulnerabilidad sin parche en Internet Explorer está siendo aprovechada por atacantes

via: HISPASEC.com
 ----------------------------------------------------------------

Se ha descubierto un nuevo exploit que aprovecha una vulnerabilidad 
crítica en Internet Explorer. Permite la ejecución remota de código 
arbitrario y que está siendo usada por atacantes. Afecta a las versiones 
7, 8 y 9 del navegador en todas las versiones del sistema operativo. 

Se ha descubierto una vulnerabilidad en Internet Explorer, previamente 
desconocida y que está siendo aprovechada por atacantes. Uno de los 
datos más curiosos es cómo fue descubierto por el investigador Eric 
Romang (@eromang), y que indica que este 0-day podría estar relacionado 
por los mismos autores de la grave vulnerabilidad en Java de hace solo 
unas semanas. Después del descubrimiento del problema en Java, Eric 
Romang monitorizaba regularmente algunos de los servidores desde donde 
se sabía que se distribuía aquel exploit y relacionados con sus 
desarrolladores. El día 14 de septiembre detectó que se había creado 
nuevo directorio en uno de ellos donde se alojaba el código para 
aprovechar una nueva vulnerabilidad, que resultó ser esta de Internet 
Explorer. 

El fallo permite la ejecución remota de código a través de una 
vulnerabilidad en la función execCommand utilizando referencias no 
válidas a puntero ya liberado (use-after-free). En el código del exploit 
esto se consigue mediante la creación de un objeto 'CMshtmlEd', su 
eliminación y posterior uso de la zona de memoria mediante 
CMshtmlEd::Exec. Una vez explotada la vulnerabilidad, se ejecuta el 
payload mediante la técnica del relleno de la memoria heap mediante NOPs 
(heap spray) y del propio shellcode para conseguir su ejecución. Elude 
DEP y ASLR con técnicas ROP y después carga un troyano del servidor 
malicioso. 

En el siguiente vídeo se puede observar todo el proceso, llevado a cabo 
en un servidor comprometido donde se alojaban tanto el exploit de IE 
como el conocido RAT Poison Ivy, encargado de controlar a la potencial 
víctima. 

http://youtu.be/_w8XCwdw5FI 

El diagrama de flujo del ataque sería el siguiente: 

http://2.bp.blogspot.com/-G-HWQ42_uhQ/UFggDIPO3qI/AAAAAAAABFM/Aa4udfFFcSQ/s1600/diagram.png

El exploit (Protect.html) inicialmente no era detectado por ninguna casa 
antivirus: 

http://3.bp.blogspot.com/-rUHfJBC9P3w/UFggOJFjNkI/AAAAAAAABFU/H0d8nhsmYnk/s1600/VT_nodetection.png

Aunque finalmente Microsoft ha actualizado sus definiciones de antivirus 
identificando la familia del exploit como Dufmoh. 

http://4.bp.blogspot.com/-QmVIgO8X9vA/UFggfVFw0qI/AAAAAAAABFc/9kM2RZ9hb18/s1600/Dufmoh_detection.png

Este 0-day está siendo ampliamente explotado tras la publicación del 
script para Metasploit. Aunque el módulo de Metasploit está creado para 
Internet Explorer 8, se podría modificar para otras versiones. 

http://postimage.org/image/zf4qdbmuf 

No existe parche o contramedida oficial por parte de Microsoft, por lo 
que se recomienda el uso de otros navegadores hasta que sea publicada 
una actualización. EMET correctamente configurado, podría permitir 
detener el vector de ataque. 

Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2012/09/grave-vulnerabilidad-sin-parche-en.html#comments

Más información:

Zero-Day Season Is Really Not Over Yet
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/

IE execCommand fuction Use after free Vulnerability 0day en
http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-a
fter-free-vulnerability-0day_en/

metasploit: Microsoft Internet Explorer execCommand Use-After-Free
Vulnerability
http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99
238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb

Mmm, Smells Like 0day
http://blog.beyondtrust.com/bid/89587/Mmm-Smells-Like-0day

New Internet Explorer zero day being exploited in the wild
http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-
in-the-wild

Exploit:Win32/Dufmoh.B
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aWin32%2fDuf
moh.B&threatid=2147663168

Microsoft Internet Explorer execCommand Use-After-Free Vulnerability
http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d6
1ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb

2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265
https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265/an
alysis/1347710701/

Jose Mesa

Sergio de los Santos

@ssantosv

Vulnerabilidad en Wi-Fi Protected Setup compromete el PIN

Copy & Paste: Hispasec.com

Se ha descubierto una vulnerabilidad en el estándar WPS (Wi-Fi Protected Setup) que podría comprometer la robustez del PIN. 

Wi-Fi Protected Setup, o WPS por sus siglas, es un estándar incluido 
en muchos routers y dispositivos wifi que facilita a los usuarios la 
creación de redes inalámbricas seguras. Dicho estándar dispone de 
varios métodos para agregar dispositivos a una red:
  • utilizando una llave USB que almacena los datos de la configuración El estándar WPS lo i
  •  a través de un número PIN de 8 dígitos
  •  pulsando un botón de configuración (PBC o Push Button Configuration)
  •  mediante NFC (Near-Field Communication) acercando los dispositivos al
  • punto de acceso o router
  • mplementan productos de fabricantes como Cisco,
  • Technicolor, TP-Link, ZyXEL, D-Link, Netgear, Linksys, y Buffalo, entre
  • otros muchos.
  • La vulnerabilidad en WPS, descubierta por Stefan Viehbock, se debe
  • a un exceso de información en la respuesta EAP-NACK (Extensible
  • Authentication Protocol-Negative Acknowledgement) que el sistema envía
  • cuando la autenticación falla. Esto podría permitir a un atacante remoto
  • determinar si la primera mitad del PIN es correcta o no, disminuyendo
  • la robustez del mismo e incrementado las posibilidades de éxito de un
  • ataque por fuerza bruta.
  • Mediante esta vulnerabilidad, el problema de descubrir una clave de 8
  • dígitos se reduce a descubrir dos claves de 4 y 3 cifras (ya que la
  • octava es un dígito de control o “checksum”). Dicho de otra manera, el
  • número de intentos necesarios para descubrir el PIN se vería reducido de
  • 10

 (100.000.000) a 10 4 + 10  (11.000).

Además muchos routers wifi no implementan ninguna política de bloqueo 
de los intentos de autenticación y, sin embargo, sí disponen de WPS 
habilitado de forma predeterminada, reduciendo de esta manera el tiempo 
necesario para lograr que un ataque de este tipo tenga éxito. 

Investigadores de Tactical Network Solutions han desarrollado una 
herramienta llamada Reaver que implementa un ataque sobre la 
vulnerabilidad de WPS, siendo capaz de descubrir el PIN, y recuperar 
la contraseña WPA/WPA2 en cuestión de horas. La herramienta Reaver 
se ha liberado como un proyecto de código abierto en Google Code. 

Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2012/01/vulnerabilidad-en-wi-fi-protected-setup.html#comments

Más información:

WiFi Protected Setup Flaw Can Lead to Compromise of Router PINs 
http://threatpost.com/en_us/blogs/wifi-protected-setup-flaw-can-lead-compromise-router-pins-122711 

Brute forcing Wi-Fi Protected Setup 
http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf 

Attack Tool Released for WPS PIN Vulnerability 
http://threatpost.com/en_us/blogs/attack-tool-released-wps-pin-vulnerability-122911 

Reaver 
https://code.google.com/p/reaver-wps/ 

Juan José Ruiz 
jruiz@hispasec.com

 

 

Guia: Pentest: Information Gathering

Via Security ARt Work :

Recientemente el CSIRT-cv y el INTECO-CERT han publicado una guía denominada “” (140 págs), del que son autores Borja Merino Febrero (@BorjaMerino), habitual colaborador de este blog (y magnífica persona, por lo que pude comprobar en mi visita a León) y José Miguel Holguin (@J0SM1, y que también es otra magnífica persona :), y cuya lectura es totalmente recomendable.

El objetivo principal de la misma es informar sobre algunas de las técnicas que los ciberdelincuentes utilizan para obtener información sobre empresas y organizaciones. Uno de los aspectos más significativos y destacables de esta guía es su enfoque real a la hora de detallar muchas de estas técnicas mediante ejemplos prácticos (utilizando herramientas como MetasploitMaltegoNmap, laFoca, etc.).

Lejos de detallar aspectos relacionados con la gestión de la seguridad de la información, el informe ofrece una visión más práctica orientada a responsables de seguridad con un perfil más técnico que administrativo. La guía puede servir de gran apoyo técnico a la hora de implementar contramedidas contra algunos ataques que posiblemente ni siquiera se habían valorado a la hora de crear políticas de seguridad. El enfoque utilizado para explicar muchos de estos ataques (utilizando ejemplos explícitos) puede ayudar a concienciar de manera más eficaz a responsables de seguridad que mediante recomendaciones puramente conceptuales, que en la práctica son difíciles de implementar.

Las primeras páginas del informe detallan la importancia que tiene la fase de fingerprinting así como el valor de determinada información que muchas veces la organización desprecia, pero que puede ser utilizada con fines maliciosos. Posteriormente se muestran tres ejemplos prácticos (Spear Phishing AttackSocial Engineering Toolkit y Web Server Exploitation) de intrusión por medio de diversas técnicas, teniendo como origen común la fuga de información y haciendo gran hincapié en la ingeniería social. El resto del documento está dividido en dos partes: External Footprinting e Internal Footprinting, donde se tocan aspectos como: DNS DiscoveryFingerprinting Webscanning de dispositivos VoIPFirewalls StatefulPivoting con MeterpreterSNMPfingerprinting pasivo, etc.

El informe puede descargarse desde el enlace del CSIRT-CV y desde la nota de prensa del INTECO-CERT.

Esperamos que esto les sirva de lectura para el fin de semana (y algunos días más, probablemente), y esperamos verles por aquí de nuevo la semana que viene. Pasen un buen fin de semana y no olviden ir a votar, sea cual sea su opción política.

Conectate a 5 WIFIS a la Vez

Via: EnteSoluciones.com

Adaptador Wi-Fi USB capaz de conectarse a 5 redes simultáneas y sumar su ancho de banda

Muchos de vosotros, en los foros preguntáis si un equipo puede conectarse a varias redes simultáneamente y así sumar el ancho de banda.

Esto no se puede hacer de una forma trivial, necesitaríamos puntos de acceso y routers con doble WAN para poder sumar las conexiones (balanceador).

Este modelo USB se hace llamar WNBANT-150 Give Me Five, es decir, que puede conectarse a 5 redes Wi-Fi y sumar su ancho de banda, es compatible con Wi-Fi b/g/n, posee una antena de 5dBi para lograr mejor calidad señal, la antena es desmontable y se puede sustituir por otra de mayor ganancia.

Usa un chipset Ralink RT3070 y en Wi-Fi N alcanza los 150Mbps

La Potencia de salida según su página web es de:

802.11b: 28 dBm +/- 1.5 dBm (11 Mbps)
802.11g: 23 dBm +/- 1.5 dBm (54 Mbps)
802.11n: 23 dBm +/- 1.5 dBm (150 Mbps)

La Sensibilidad de recepción es de:
11n (150 Mbps) : -73 dBm;
11g (54 Mbps) : -73 dBm;
11b (11 Mbps) : -91 dBm.

Soporta todo tipo de cifrados y es compatible con todos los sistemas operativos actuales.

Aquí tenéis una imagen de lo que hace (una imagen vale más que mil palabras):

wnant9 150 Conectate a 5 WIFIS a la Vez
En esta página web podéis ver los productos: http://www.connectionnc.com/n&c/menu_novedades.php

PSFreedom para HTC HD2, libera tu PS3

Primero que nada no me hago responsable del uso de esta aplicación, PSFreedom es una aplicación que tiene el código del famoso PSJailbreak que permite cargar programas caseros y hacer copias de seguridad de nuestros juegos en el disco duro de la PS3, y todo ello desde nuestra querida HTC HD2.

PSFreedom HTC HD2

Uso:

1) Extraer la carpeta PSFreedom en el raiz de la tarjeta SD.
2) Ejecutar haret.exe en la carpeta PSFreedom de la SD.
3) Conectar la HTC por USB a la PS3 con la consola apagada sin cable de alimentacion.
4) Conectar el cable de la Playstation 3 no encender.
5) Mira la HD2, si vee “PSFreedom gadget: Got disconnected” etc, esta listo para usar.
6) Tienes 60 segundos antes de que la HD2 se apague, Enciende la consola aprieta POWER y ada mas encenderse aprieta EJECT.
7) Debería Funcionar 🙂
Actualizacion con SOFT BACKUPS: http://www.multiupload.com/9LHKYKBA6W

AiroScript en Ubuntu Lucid Lynx 10.4

Tan facil como teclear esto en vuestra consola:

sudo svn co http://trac.aircrack-ng.org/svn/branch/airoscript/ && make -C airoscript

Web de BackTrack en español.

El portal de Backtrack ahora lo podemos leer en español

Esto significa que tenemos acceso a mucha de la información de esta distribución de seguridad en nuestro idioma. Por ejemplo, los siguientes tutoriales están en español:

Además también disponemos de un foro en español para preguntar nuestras dudas o ayudar a otros usuarios.

Ahora no tenemos excusas para aprender a usar Backtrack.

Como pasar de Hexadecimal a ASCII

Hayyyy pillines muchos de vosotros cuando intentáis auditar la seguridad de vuestro Router Wifi (osea cuando le mangáis el Internet al vecino) os habréis encontrado que el AIRCRACK-NG os devuelve la clave en Hexadecimal (un chorro números: A2:B3:C3:D1 etc….) y tenéis problemas para pasarlo a ASCII (la contraseña del WIFI hablando en plata), bueno aquí tenéis este script que he encontrado buceando en la red:  HEXtoASCII.www.edadfutura.com.tar

Resumen de seguridad de 2009 (III)

Via Hispasec
Termina el año y desde Hispasec continuamos con este breve resumen del 
año, para en esta ocasión recordar y analizar con perspectiva lo que ha 
sido el tercer trimestre de 2009 en cuestión de seguridad informática. 
Estas son las que consideramos las noticias más importantes de cada mes 
publicadas en nuestro boletín diario. 

Julio 2009: 

* Se revela la posibilidad de llegar ejecuta código a través de SMS en 
iPhone, mientras Apple trabaja en un parche para arreglar el problema 
que podría permitir la ejecución de código arbitrario en el iPhone al 
recibir un SMS especialmente manipulado. 

* Este es el mes de los fallos en Twitter, centrado en la API del 
popular servicio de "la nube". 

* Se da a conocer un nuevo "0 day" en un ActiveX de Microsoft. A finales 
de mes Adobe también se ve afectada por un "0-day" en Reader, Acrobat y 
Flash Player. Posteriormente se descubre que ambas compañías conocían 
los fallos desde 2008. 

* Tras la publicación de Security Essentials el antivirus gratuito de 
Microsoft, el jefe de producto de Symantec realiza unas declaraciones en 
contra de las soluciones antivirus gratuitas, afirmando que "No son 
suficientes para mantener al usuario seguro". Sin embargo el problema no 
radica en la gratuidad o no de las soluciones antivirus. 

Agosto 2009: 

* Dos investigadores japoneses mejoran un ataque ya conocido sobre WPA, 
acelerando el proceso de 15 minutos a 1. El ataque es muy limitado y 
solo permite inyectar paquetes de información pequeños bajo ciertas 
circunstancias. 

* Publicamos unos documentos técnicos (White Papers) sobre una 
vulnerabilidad en Asterisk investigada por nuestro compañero Hugo. 
Permitía provocar una denegación de servicio sin necesidad de 
autenticarse. 

* A finales de mes los servidores de la fundación Apache sufren un 
ataque, durante un tiempo gran parte de su infraestructura permanece 
detenida para evaluar los daños causados por los atacantes. Se sabe que 
el problema surge por una llave SSH comprometida. 

Septiembre 2009: 

* Se anuncia un fallo de seguridad en Windows Vista y 7 que podría 
permitir a un atacante provocar un BSOD (pantallazo azul, una denegación 
de servicio) con solo enviar algunos paquetes de red manipulados a una 
máquina que tenga activos los servicios de compartición de archivos 
(protocolo SMB). El ataque es tan sencillo que recuerda a los "pings de 
la muerte" que hicieron estragos a finales de los 90 en los sistemas 
Windows. Poco después de descubriría que el ataque permitía la ejecución 
de código arbitrario. 

* Cisco y Microsoft, seguida posteriormente de Check Point, fueron los 
primeros fabricantes en publicar parche para la vulnerabilidad 
"Sockstress" (revelada en octubre de 2008) del protocolo TCP. El 
problema residía en un error en la implementación TCP al no realizar de 
forma correcta la limpieza de la información de estado y llegaba a 
afectar a todos los sistemas y dispositivos que implementaran una pila 
TCP. 

* Hispasec publica el estudio comparativo: "¿Cuánto tardan los grandes 
fabricantes de software en arreglar una vulnerabilidad?". En el que 
analizamos el tiempo que tarda un fabricante en hacer pública una 
solución para una vulnerabilidad cuando solo es conocida por ellos y 
quien la ha descubierto. Se analizaron 449 vulnerabilidades y los 
fabricantes estudiados fueron HP, Computer Associates, Adobe, Apple, 
Microsoft, Novell, Symantec, Oracle, IBM y Sun. Una de las conclusiones 
del estudio fue que la media de los grandes fabricantes para solucionar 
una vulnerabilidad es de seis meses, independientemente de su gravedad. 

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4086/comentar

Más información:

una-al-dia (29/12/2009) Resumen de seguridad de 2009 (I)
http://www.hispasec.com/unaaldia/4084/

una-al-dia (30/12/2009) Resumen de seguridad de 2009 (II)
http://www.hispasec.com/unaaldia/4085/

Antonio Ropero