Seguridad en Windows 8 ¿Qué hay de nuevo?

Cuando ya estamos a pocas horas del lanzamiento del nuevo sistema operativo de Microsoft, Windows 8, quedan pocas cosas que no se hayan dicho aún. Mucho se ha hablado de la nueva interfaz del sistema, pensada para ser usada tanto en ordenadores de sobremesa como en dispositivos móviles, pero nosotros nos vamos a centrar en aquellas características que nos interesan: las relativas a la seguridad.

Aryeh Goretsky ha preparado un más que interesante documento [PDF] donde describe a fondo estas nuevas características que ayudan a mejorar la seguridad en Windows 8. Centrándonos en los puntos clave, hemos decidido hacer un repaso breve a estas nuevas características diseñadas para hacer de este sistema el más seguro que ha diseñado Microsoft.

Antimalware incluido de serie

Sin duda, una de las características que más revuelo ha armado es la inclusión de un antimalware, evolución del Windows Defender introducido ya en Windows Vista y que no es más que una versión actualizada de Microsoft Security Essentials. A pesar de que algún periodista ya se ha apresurado a anunciar la muerte de las casas antivirus (y ya van unas cuantas veces), la verdad es que, si bien este antimalware incorpora una protección decente, carece de las características y funciones avanzadas de las soluciones de pago.

Más que una competencia de Microsoft frente a las casas antivirus, pensamos que este movimiento está orientado a proteger a los millones de sistemas que siguen sin contar con una protección antivirus. Este movimiento no es algo nuevo y tiene su precedente en la inclusión del cortafuegos de Windows que fue introducido en el Service Pack 2 de Windows XP hace ya 10 años.

UEFI y la defensa contra bootkits

También hay mejoras pensadas para proteger al sistema de uno de los tipos de malware más peligrosos, los rootkits. Este tipo de malware está diseñado para proporcionar acceso no autorizado al sistema con privilegios de administrador y, además, evitar su detección usando elaboradas técnicas de ofuscación. Una de las categorías de rootkits son los bootkits, pensados para tomar el control del sistema tan pronto como sea posible, normalmente remplazando el código necesario para iniciar el sistema con una copia maliciosa de este.

Uno de los cambios más drásticos tomados para atajar este problema es el cambio de la clásica BIOS en la placa base por un nuevo tipo de firmware conocido como UEFI (Unified Extensible Firmware Interface). A pesar de que este nuevo firmware no es polémico de por sí, sí que lo es una de sus características conocida como Secure Boot. Esta característica evita que un ordenador arranque un sistema operativo a menos que el código del gestor de arranque esté firmado digitalmente con un certificado derivado de una clave almacenado en el propio firmware UEFI. Esto evitaría que un bootkit consiguiera arrancarse antes que el propio sistema salvo en el poco probable pero no imposible caso de que estuviese firmado con un certificado digital válido.

La polémica viene cuando desde varios frentes se ha acusado a Microsoft de querer dificultar la instalación de sistemas operativos como Linux al no disponer de una firma digital adecuada en su código de arranque. No obstante, las especificaciones de UEFI no indican qué claves digitales necesitan estar en el firmware UEFI y, además de Microsoft, otras empresas como Red Hat y Canonical (Ubuntu) apoyan la creación del arranque seguro en UEFI. También hay que aclarar que la posibilidad de desactivar esta opción debe estar presente según los requisitos de certificación de hardware de Microsoft.

ELAM: inicio del antimalware antes de todo

Otra opción de seguridad interesante incluida es la nueva tecnología de arranque de Antimalware (ELAM - Early Launch Anti-Malware). Esta tecnología permite que las soluciones de seguridad antimalware sean el primer programa no-Microsoft que arranquen junto al sistema operativo. De esta forma se protege al sistema cuando aún está arrancando y evita que se cargue malware que podría desactivar nuestra solución antivirus.

A pesar de esto, no debemos pensar en ELAM como algo capaz de eliminar malware por sí mismo. Es más bien una tecnología capaz de analizar el sistema operativo en busca de código malicioso antes de que este pueda interferir con el sistema. Una vez que el sistema operativo ha arrancado, ELAM cede el control a la solución antivirus instalada y ya se pueden tomar medidas para eliminar posibles amenazas.

A pesar de que esta versión de Windows es, sin lugar a dudas, la más segura diseñada hasta la fecha, los usuarios no deben confiarse y deben permanecer alerta puesto que “más segura” no significa invulnerable. Muy probablemente vamos a seguir viendo ataques que utilicen la ingeniería social para engañar a los usuarios y hacer que pulsen o ejecuten algo dañino. Y es que para el fallo humano no hay avance en seguridad que valga si no se tienen unos conocimientos mínimos de dicha materia.

Fuente: Blog Ontinet

Libro "Web Hacking- Attacks and Defence" online

El libro libro "Web Hacking- Attacks and Defence" de Stuart McClurem, Shreeraj Shah y Saumil Shahsi, si bien ha sido publicado hace unos años, sin duda ayudará mucho a aquellos conocer los ataques y defensa más comunes al momento de proteger un sitio web, así como a conocer las buenas prácticas de programación segura. El libro también puede adquirirse en Amazon.

Si aplica las lecciones que ofrecen estos consultores de Foundstone, los atacantes van a tener que ser mucho más creativos y trabajar mucho más duro para romper la seguridad de su sitio.

El libro es un tour técnico lleno de valiosas descripciones de cómo, cuándo, dónde y por qué puede ser atacado un sitio web. Equilibra la exposición técnica exacta y completa con explicaciones que ayudan a los lectores menos informados técnicamente y los capítulos están llenos de ejemplos que impulsan las lecciones.

Cristian de la Redacción de Segu-Info

Servidores RDP hackeados en venta

Existe un número cada vez mayor de servicios de cibercrimen ofrecidos en línea. En los últimos días han aparecido servicios que por unos pocos dólares ofrecen la posibilidad de comprar un ingreso a de las redes de la lista Fortune 500.

Krebs on security ha examinado el acceso a 17.000 ordenadores en todo el mundo, a pesar de que casi 300.000 sistemas comprometidos han pasado por este servicio desde su creación a principios de 2010. Todas las máquinas en venta han sido creadas por sus legítimos propietarios para aceptar conexiones entrantes a través de Internet, utilizando el protocolo de escritorio remoto (RDP), un servicio integrado en Microsoft que da acceso al escritorio del PC anfitrión. 

Con el slogan "The whole world in one service", el sitio ruso Dedicatexpress.com anuncia servidores RDP en varios foros especializados en delitos informáticos. El acceso se concede a los nuevos clientes que se comunican con el propietario a través del servicio de mensajería instantánea y pagan una cuota de inscripción de U$S20 a través de WebMoney, una moneda virtual. El precio de cualquier servidor hackeado se calcula sobre la base de varias cualidades, como la velocidad de su procesador y el número de núcleos de procesador, la velocidad de carga, el tiempo que el servidor ha permanecido hackeado y el tiempo disponible en línea ( "uptime").

Cristian de la Redacción de Segu-Info

Cuánto tardaría un hacker en descifrar tu contraseña #Infografía

La seguridad de una contraseña depende de varios factores, como el número de caracteres, una combinación alfanumérica o la introducción de símbolos. La siguiente infografía muestra cuánto esfuerzo le supondría a un hacker descifrar este término secreto para entrar en una cuenta personal. Depende, por supuesto, de lo segura que sea nuestra selección.

Es comúnmente conocido (aunque no por todos, porque si fuera así la situación no se seguiría manteniendo) que las contraseñas más populares en Internet son las de tipo ‘123456’, ‘abc123’ o ‘password’. La siguiente infografía, elaborada por LifeLock, muestra cuánto tardaría un hacker en adivinar nuestra clave secreta, aunque depende del hacker, claro.


Fuente: TICBeat

Botnet Sopelka: tres troyanos bancarios y un sólo panel

La botnet Sopelka empezó a gestarse en mayo de este año y su actividad cesó a finales del mes pasado. Tiene el nombre Sopelka debido al path usado en la distribución de binarios y archivos de configuración, y era una curiosa mezcla de variantes de los conocidos troyanos bancarios Tatanga, Feodo y Citadel. El objetivo de esta botnet era la recolección de credenciales bancarias de entidades europeas, afectando en gran medida a España y Alemania, pero también a Holanda, Italia y Malta. Además, se hacía uso de diferentes componentes móviles para teléfonos Android, BlackBerry, y también Symbian, el primer sistema operativo detectado con este tipo de componente malicioso, hace ya más de dos años.

Durante el tiempo de actividad de la botnet se realizaron por lo menos cinco campañas, aunque seguramente se hubieran realizado más. De estas cinco campañas tres de ellas instalaban variantes de Citadel (versiones 1.3.4.0 y 1.3.4.5), otra, Feodo, y en la restante fue Tatanga el troyano elegido. Todas las campañas de Citadel llevaban la palabra "sopelka" (un tipo de flauta, en ruso) en su path de descarga, tanto de binarios como de archivos de configuración, pero no así en el caso de Tatanga y Feodo.

 fuente:

Seguir leyendo de la fuente original S21Sec

CIETSI, Capacitaciones en Tecnologías de la Información y Comunicaciones

Publican (supuesta) identidad de 80 miembros de Anonymous

El misterio que envuelve la identidad de los líderes del grupo de hacktivistas, Anonymous, podría quedar al descubierto tras la batalla interna que se ha desatado entre sus miembros. Este lunes un grupo de desertores de Anonymous, publicó un listado [PDF] en el que se revela la identidad, sobrenombre, dirección de correo electrónico y país de origen de 80 de los principales líderes de Anonymous.

El grupo autoproclamado BackTrace Security, señaló que cuenta con la información personal de cada uno de los integrantes de Anonymous e indicó que ésta fue conseguida a través de métodos de ingeniería social, lo que significa que no tuvieron que corromper ningún equipo para obtenerla, presumen. Un vocero de BackTrace reveló a medios locales que el grupo está conformado por exmiembros de Anonymous y señaló que la razón por la cual publicaron el listado fue para terminar con la manera de actuar de Anonymous. De acuerdo con lo declarado por el portavoz, Anonymous se convirtió en una especie de policía revolucionaria, la cual dictamina qué está bien y qué está mal según sus ideales, éstas no fueron la razones por las cuales fue creado el movimiento, explicó.

El vocero que responde al sobrenombre de Hubris, agregó que a diferencia de HBGary, en BackTrace sí cuentan con la información verídica de los líderes de Anonymous.

A principios de año, la firma de seguridad HBGary fue víctima de un cibeartatque por parte de Anonymous. El grupo de hacktivistas justificó el ataque al señalar que el entonces CEO de la firma, Aaron Barr, intentó vender al FBI información sobre la identidad de los miembros del grupo.

Como consecuencia, Anonymous publicó en internet más de 50,000 cuentas de correo corporativo de HBGary, además de los datos personales de Barr. El ejecutivo tuvo que renunciar luego de haber sido señalado como el responsable de provocar el ataque contra la empresa.

De acuerdo con el vocero de BackTrace, Anonymous no tiene la capacidad para atacarlos de la misma manera que lo hizo con HBGary, indicando que los sistemas de defensa de la firma de seguridad eran muy débiles. Hubrish indicó que los ataques contra la firma hubieran incluso podido ser perpetrados por principiantes.

Hubrish presumió que tanto los hackers, como los investigadores de BackTrace son superiores a los de Anonymous, por lo que no temen ante posibles represalias por parte del popular grupo de hacktivistas.

Por su parte, Anonymous declaró que el listado publicado por BackTrace en el portal Anonymousdown no cuenta con información real y señaló que dicha publicación pone en riesgo a ciudadanos inocentes.

De acuerdo con Barret Brown, vocero de Anonymous, los ahí señalados ni pertenecen al grupo, ni son los responsables de los ataques contra los sitios de Visa, MasterCard y Amazon.

El vocero señaló que esperan que las autoridades no se guíen a través de dicha lista, ya que de hacerlo podrían capturar a gente que no tiene relación con el grupo o que no participo en los embates.

En el listado de 80 miembros destaca que la mayoría de miembros son de origen estadounidense, canadiense y europeo.

Brown reconoció que entre el listado existen nombres claves de miembros reales de Anonymous, pero indicó que la información sobre su nombre verdadero, país de origen y cuentas de correo son falsas o equivocadas.

El vocero finalizó al señalar que la mayoría de los miembros de Anonymous no se conocen entre sí y que el único contacto que existe entre ellos se da a través del grupo y las operaciones que tienen que ejercer.

Lejos de buscar que Anonymous modifique su manera de actuar o la desintegración del grupo de hacktivistas, BackTrace intenta posicionarse como una empresa de seguridad informática.

El vocero de BackTrace indicó que planean ofrecer su servicio para proteger empresas y gobiernos, garantizando que no experimentarán robo de información o ataques de Negacion de Servicio (DDoS, por su siglas en inglés).

Hubris señaló que a diferencia de las compañía de seguridad, en BackTrace ofrecerán su experiencia como hactivistas, por lo que serán más efectivas que el promedio de las empresas, asegura.

Fuente: bSecure

Para que se usa una PC hackeada/infectada

Krebs on security ha publicado un mapa conceptual enumerando las diversas formas en que se pueden obtener beneficios económicos de PC hackeados. El proyecto fue diseñado para explicar de manera sencilla y visual y entender el proceso de infección y los objetivos de los mismos.

El gráfico incluye algunos de los usos más frecuentes de ordenadores hackeados, incluidos el ransomware, el robo de sesiones en las redes sociales, la ingeniería social, etc. (clic para agrandar).

Una de las ideas transmitidas en esta imagen es que casi todos los aspectos de un ordenador hackeado y la vida en línea de un usuario puede ser y ha sido mercantilizados. Si tiene valor y puede ser revendido, usted puede estar seguro de que es un servicio o producto ofrecido en el underground criminal cibernético para obtener beneficios económicos.

Fuente:  Krebs on security

La policía usa las redes sociales para recopilar evidencias

Como huellas digitales, dejamos pequeñas pistas acerca de nuestras vidas a través de todo internet. 

El presunto miembro de una pandilla neoyorkina Melvin Colon, quien enfrenta cargos por asesinato, posesión de armas y delitos relacionados con estupefacientes, publicó fotos en Facebook haciendo gestos referentes a pandillas, e hizo privadas unas publicaciones mucho más incriminatorias, incluyendo referencias a crímenes violentos del pasado y amenazas.

Por desgracia para Colon, uno de sus amigos de Facebook aceptó dar acceso a la policía a su información "privada", y el 10 de agosto un juez federal dictaminó que Colon perdió todos los beneficios de privacidad cuando compartió los detalles con sus amigos. 

"Las legitimas expectativas que Colon tenía sobre su privacidad terminaron cuando difundió los mensajes entre sus amigos, ya que esos amigos eran libres de utilizar la información como quisieran, incluido poder compartirla con el gobierno", escribió el juez. 

Apoyarse en Facebook es sólo una de las muchas formas que usan los oficiales para recolectar evidencia desde las redes sociales, para resolver un crimen. 

La policía busca entre la información que es considerada pública y, a veces, crea identidades falsas en línea para acercarse a los sospechosos y solicitar acceso a sus perfiles. Las autoridades también pueden solicitar directamente los datos privados a los administradores de las redes sociales a través de órdenes y citatorios, o presentar una solicitud para tener acceso a la información de los usuarios de forma urgente si creen que hay una amenaza de peligro inminente. 

En Estados Unidos, estas técnicas están implementándose en todo el país. De acuerdo con una encuesta reciente realizada entre 1,221 miembros de la policía federal, estatal y local que utilizan las redes sociales, cuatro de cada cinco funcionarios utilizan estos medios sociales para reunir información durante las investigaciones. La mitad dijo que revisan las redes sociales al menos una vez a la semana, y la mayoría dijo que las redes sociales les han ayudado a resolver los crímenes más rápido. La encuesta en línea fue realizada por LexiNexis Risk Solutions, y su margen de error es del 2.8%. 

La encuesta mostró que Facebook es la red social más fructífera para la policía, seguida por YouTube.

fuente: CNN

Diversas vulnerabilidades en dispositivos Cisco ASA (Actualiza)

Se han reportado seis vulnerabilidades en dispositivos Cisco ASA 5500 Series Adaptive Security Appliances (ASA) y Cisco Catalyst 6500 Series ASA Services Module (ASASM) por las que se podrían causar denegaciones de servicio y la posibilidad de ejecución de código arbitrario de forma remota.

La primera de las vulnerabilidades se debe a un problema de asignación de memoria en el tratamiento de paquetes DHCP, que podría permitir a un atacante provocar el reinicio del dispositivo (CVE-2012-4643). Otro de los problemas reside en el tratamiento de paquetes SIP media update que podría dar lugar a una denegación de servicio (CVE-2012-4660)

Otra denegación de servicio reside en la implementación de la autenticación SSL VPN (CVE-2012-4659). También existen otras dos vulnerabilidades en el motor de inspección DCERPC (CVE-2012-4662 y CVE-2012-4663).  Por último, un desbordamiento de búfer debido a una validación insuficiente de paquetes DCERPC dentro de una sesión DCERPC válida, que podría permitir a un atacante ejecutar código arbitrario (CVE-2012-4661). 

Las vulnerabilidades afectan a las versiones comprendidas entre la 7.0 y 8.6 y Cisco ha publicado actualizacionespara todas estas versiones que pueden obtenerse desde el Software Center de Cisco.com en http://www.cisco.com/cisco/software/navigator.html

Fuente: Hispasec