Actualizaciones para múltiples productos de Adobe Tomado de:https://unaaldia.hispasec.com/2019/10/actualizaciones-para-multiples-productos-de-adobe-3.html Adobe ha publicado cuatro boletines de seguridad en los que se han corregido un total de 82 vulnerabilidades en sus productos Adobe Experience Manager, Adobe Acrobat …
La vulnerabilidad permitiría que un usuario malintencionado, si se encuentra listado en el archivo /etc/sudoers y posee permisos para impersonar cualquier usuario, salvo root, ejecutase igualmente código con privilegios de administrador mediante un bypass de …
Un Investigador de seguridad ha publicado una vulnerabilidad 0 day que afecta a todas las versiones de phpMyAdmin actualmente no corregida. PhpMyAdmin es una herramienta libre y de código abierto para administrar las bases de …
Adobe ha publicado cuatro boletines de seguridad en los que se han corregido un total de 82 vulnerabilidades en sus productos Adobe Experience Manager, Adobe Acrobat y Adobe Acrobat Reader, Adobe Experience Manager Forms y Adobe Download Manager.
A continuación se exponen los boletines publicados para cada producto.
Adobe Experience Manager (APSB19-48): boletín que soluciona varias vulnerabilidades en el componente AEM cuya explotación permitiría a un atacante acceder a un entorno AEM restringido (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085, CVE-2019-8081, CVE-2019-8086, CVE-2019-8087, CVE-2019-8088, CVE-2019-8077, CVE-2019-8234).
Adobe Acrobat y Adobe Acrobat Reader (APSB19-49): solventa 64 errores de seguridad en el popular lector y editor de archivos PDF, de las cuales 45 están consideradas críticas y permitirían la ejecución de código arbitrario.
Adobe Experience Manager Forms (APSB19-50): se soluciona una vulnerabilidad de Cross-Site Scripting (XSS) almacenado, que podría ser aprovechada para revelar información sensible (CVE-2019-8089).
Adobe Download Manager (APSB19-51): este último boletín corrige una importante vulnerabilidad que permitiría al atacante escalar privilegios en la máquina afectada (CVE-2019-8071).
Se encuentran afectadas las siguientes versiones de los producto Adobe (y anteriores):
La vulnerabilidad permitiría que un usuario malintencionado, si se encuentra listado en el archivo /etc/sudoers y posee permisos para impersonar cualquier usuario, salvo root, ejecutase igualmente código con privilegios de administrador mediante un bypass de la política de seguridad. Las condiciones de explotación así expuestas, no obstante, se revelan como muy poco frecuentes, en tanto que esta configuración del archivo /etc/sudoers no es la habitual.
Imagen: thehackernews.com
Se ha descubierto una vulnerabilidad en sudo, una de las utilidades más importantes y usadas que existen en los sistemas UNIX y basados en Linux. Su función, deducible del significado de su acrónimo «superuser, do» es permitir a un usuario que disfrute de este permiso, la ejecución de programas con permisos de super usuario, sin tener que cambiar el entorno.
Típicamente, en la mayoría de distribuciones basadas en Linux, la posibilidad de facultar a un usuario para ejecutar sudo pasa por incluir la configuración correcta en el archivo /etc/sudoers. La separación de permisos es una excelente práctica de seguridad, así como un paradigma ampliamente establecido en los sistemas Linux. Gracias a él, los administradores pueden definir fácilmente qué usuarios o grupos de usuarios pueden ejecutar o no un comando.
La vulnerabilidad implica que este principio de securización fundamental puede ser ignorado, aunque un usuario esté explícitamente desautorizado para ejecutar un determinado comando. Esto podría conducir a la toma de control del sistema.
La vulnerabilidad, descubierta por el investigador de Seguridad de la Información de Apple Joe Vennix, ha sido asociada al código CVE–2019-14287. Lo interesante es que la explotación parece requerir únicamente el establecimiento de una ID de usuario de valor «-1 » o «4294967295». Esto es debido a que la función implicada en la conversión del valor de la ID de usuario a su valor nominal, no trata correctamente el valor «-1 » o su equivalente sin signar «4294967295». Dicha función estaría tratando esos valores de modo que quedaran igualados a 0, cuya conversión nominal resulta ser root, el usuario con permisos completos sobre el sistema. Pueden consultarse los detalles técnicos de la función implicada en este fallo pulsando este enlace.
La vulnerabilidad afecta a todas las versiones de la utilidad sudo anteriores a 1.8.28 y su parche de seguridad correspondiente fue liberado el día 14 de Octubre de 2019. Se recomienda encarecidamente actualizar el paquete a la última versión disponible para parchear el fallo.
Tomado de: https://unaaldia.hispasec.com/2019/10/fallo-en-sudo-permite-ejecucion-irrestricta-de-codigo-con-privilegios-de-root.html
Un Investigador de seguridad ha publicado una vulnerabilidad 0 day que afecta a todas las versiones de phpMyAdmin actualmente no corregida.
PhpMyAdmin es una herramienta libre y de código abierto para administrar las bases de datos MySQL y MariaDB muy utilizada sobre todo en las aplicaciones de gestión de contenido creadas con WordPress o Joomla.
La vulnerabilidad ha sido descubierta por el investigador de seguridad Manuel García Cárdenas, y podría permitir la ejecución de un ataque CSRF. Identificada como CVE-2019-12922 y de gravedad media, esta vulnerabilidad podría ser aprovechada por un atacante remoto para modificar o borrar cualquier configuración del servidor a través de una dirección web especialmente manipulada de una víctima que tenga una sesión abierta en un panel de administración phpMyAdmin.
El investigador de seguridad, no obstante, calma a los administradores de estas bases de datos aclarando que el aprovechamiento de esta vulnerabilidad no permite eliminar ninguna tabla o base de datos existente.
Junto con la noticia, el investigador de seguridad ha publicado una prueba de concepto demostrando cómo se aprovecharía de este error un atacante. La publicación de la vulnerabilidad ha tenido lugar después de que, en junio, Cárdenas se pusiera en contacto con la compañía afectada y 90 días después no el problema no hubiese sido corregido.
PoC de la vulnerabilidad
Como recomendación, se aconseja no hacer clic en enlaces sospechosos o de origen no confiable hasta que la vulnerabilidad sea corregida.
Cerberus, el reciente malware bancario para Android, afecta ahora a entidades bancarias españolas y latinoamericanas.
El miércoles 18 de septiembre llegó al laboratorio de Hispasec una nueva muestra del troyano bancario para Android ‘Cerberus’. Desde su lanzamiento en Junio de 2019, este malware bancario ha ido creciendo en popularidad poco a poco.
Sus desarrolladores no distribuyen las muestras para infectar a las víctimas, sino que venden el troyano el un foro ‘underground’ para que sean sus clientes los que, a través de una herramienta automatizada, construyan el APK malicioso que distribuirán a sus víctimas.
Este troyano tiene su propia cuenta de Twitter (https://twitter.com/androidcerberus), en la que sus desarrolladores publican las novedades incluidas en las nuevas versiones e incluso bromean con los analistas de malware más conocidos de la comunidad.
El hecho de que su popularidad vaya en aumento ha hecho que en la muestra detectada este miércoles se encuentren entidades bancarias españolas y latinoamericanas afectadas por primera vez. En pasadas versiones se habían descubierto entidades francesas y una japonesa.
Propagación
Tal y como suele ser habitual con este tipo de malware, es probable que la distribución del APK malicioso se haya realizado a través de páginas web fraudulentas.
Teniendo en cuenta que la aplicación maliciosa utiliza el logo de ‘Flash Player’ como icono y su nombre, probablemente se haya distribuido a través de una falsa web de videos que incita al usuario a instalar la aplicación como una falsa actualización de su reproductor.
Infección
Una vez que el usuario instala la aplicación maliciosa y la inicia por primera vez, ésta solicita al usuario que le de permisos de accesibilidad. Estos permisos permiten al malware recibir eventos generados por otras aplicaciones que se encuentren ejecutando en primer plano.
Vista con la solicitud de permisos de accesibilidad
Los permisos de accesibilidad se utilizan habitualmente para que ciertas aplicaciones proporcionen una mejor experiencia de usuario en caso de que el usuario tenga, por ejemplo, problemas de visión. De esta forma, estas aplicaciones pueden proporcionar funcionalidades de lectura del texto de la pantalla.
El motivo por el cual la aplicación maliciosa necesita este permiso es que le permite recibir eventos generados por la aplicación que se encuentra ejecutándose en primer plano, incluyendo el nombre de paquete de dicha aplicación. Con esta información, el malware es capaz de detectar cuando una aplicación es iniciada por parte del usuario, y de esta forma mostrar una ventana falsa solicitando las credenciales de acceso a la entidad bancaria.
Adicionalmente, los permisos de accesibilidad también son utilizados por este malware para protegerse y no ser desinstalado por el usuario. Los servicios de accesibilidad pueden simular eventos (toques en la pantalla, pulsación de botones, etc.), por lo que el malware detecta si el usuario está navegando por los ajustes del sistema e intentando desinstalar el troyano. En caso de que esto ocurra, la aplicación maliciosa envía eventos para salir de los ajustes y evitar su desinstalación.
Tras obtener los permisos de accesibilidad, este malware comienza la actividad maliciosa. La aplicación instalada realmente actúa a modo de ‘dropper’, ya que la funcionalidad de robo y envío de datos se realiza a través de un módulo descargado del servidor de control. Podemos distinguir dos etapas:
La aplicación ‘dropper’ desempaqueta un fichero .DEX que implementa una primera etapa encargada de comprobar el estado del dispositivo infectado, registrarlo en el servidor de control y descargar el módulo malicioso.
Descarga del módulo malicioso (a través de la URL: http://[DOMINIO]/gate.php?action=getModule&data=[DATOS_DISPOSITIVO_CIFRADOS]. El módulo malicioso se trata de un fichero APK, aunque no se instala la aplicación en el dispositivo. En su lugar, el ‘dropper’ cargará dinámicamente las clases necesarias del APK. Este módulo incluye la funcionalidad necesaria para descargar y mostrar las inyecciones para cada entidad. Además incluye el resto de funciones de robo de datos que se explicarán a lo largo de este documento.
Funcionalidades para el robo de datos
Para el robo de credenciales bancarios, este troyano bancario sigue el mismo esquema de funcionamiento que el resto de troyanos bancarios, inyecciones basadas en ‘overlays’. El uso de ‘overlays’ es probablemente la técnica más efectiva, y quizá por ello la preferida por los atacantes, para el robo de credenciales bancarias en Android.
Una vez que la aplicación maliciosa contacta con el servidor para registrar el dispositivo, ésta envía la lista completa de aplicaciones instaladas. Como respuesta, el servidor de control responde con la lista de aplicaciones afectadas de entre todas las aplicaciones instaladas.
Petición al servidor de control para registrar el nuevo dispositivo
Petición al servidor de control para enviar la lista de aplicaciones instaladas
Como respuesta, la aplicación recibe una lista de aplicaciones afectadas de entre las instaladas. Una vez que la aplicación recibe esta lista de entidades afectadas, ésta se encarga de descargar una a una las inyecciones de cada aplicación afectada. Una vez descargada la inyección, se guarda para mostrarla posteriormente.
Código encargado de descargar las inyecciones
Como suele ser habitual en el malware bancario para Android, las inyecciones de Cerberus también están realizadas utilizando HTML y JavaScript. De esta forma, lo que descarga el malware no es más que un fichero HTML que mostrará posteriormente utilizando una ‘WebView’.
Para mostrar la ‘WebView‘ con la falsa web solicitando los datos de usuario, esta aplicación se instala solicitando al usuario que le dé permisos de accesibilidad. Estos permisos le permiten recibir eventos en un servicio ejecutando en segundo plano cada vez que el usuario abre un aplicación o realiza alguna acción en la aplicación.
Al recibir estos eventos, la aplicación maliciosa recibe información sobre la aplicación que se está ejecutando en primer plano. Esta funcionalidad es utilizada para determinar si la aplicación en ejecución es alguna de las afectadas. En caso de ser así, el troyano abrirá una nueva actividad con la ‘WebView’ y la web de phishing.
Inyección para la entidad afectada
Como se puede observar en la imágenes, todas las peticiones se realizan a una URL con la estructura “http://[DOMINIO]/gate.php?action=[COMANDO]&data=[DATOS CIFRADOS]”. El valor del parámetro ‘action’ para el envío de las credenciales robadas es ‘sendInjectLogs’, y en el parámetro ‘data’ se envía cifrado el identificador del paquete correspondiente a la entidad afectada y las credenciales de acceso.
Además del robo de datos bancarios, la aplicación maliciosa también incluye funcionalidad para enviar los SMS recibidos y la agenda de contactos. Para ello, guarda la lista de SMS y contactos en las preferencias compartidas de la aplicación y los envía posteriormente al servidor de control.
Código encargado de guardar los SMS para su posterior envío
Cifrado de peticiones
Como se ha comentado anteriormente, este malware implementa un algoritmo de cifrado que evita inspeccionar los datos enviados al servidor directamente. El algoritmo de cifrado utilizado se trata de RC4. La clave de cifrado es diferente para cada muestra y se almacena en las preferencias compartidas de la aplicación utilizando la clave “key”.
Resulta especialmente curioso el uso del algoritmo RC4 para el cifrado de los datos, ya que es el mismo algoritmo de cifrado utilizado por otro troyano bancario popular, ‘Anubis Bankbot’. Aunque sus desarrolladores afirman que Cerberus se ha desarrollado de cero, el uso de RC4 como algoritmo de cifrado, además del uso de PHP como lenguaje de programación en la parte del servidor y la similitud en las respuestas de algunas de las peticiones, hacen pensar que en mayor o menor medida este nuevo troyano podría estar basado en el código de Anubis Bankbot.
Entidades afectadas
Entre las entidades afectadas se encuentran las españolas Santander, BBVA, Bankia, Cajamar, Banco Sabadell, Ibercaja y Univia. Mientras que en latinoamerica afecta a entidades como Santander (Chile y Perú) y BBVA (Perú).
Conclusiones
Como hemos visto, Cerberus es uno de los troyanos bancarios para Android más recientes. Aún así, está ganando popularidad rápidamente, lo que supone que sus desarrolladores trabajen para incluir nuevas funcionalidades en su creación.
Esta nueva muestra no incluye novedades con respecto a sus funcionalidades, sin embargo, incluye un importante añadido: soporte para el robo de datos bancarios de entidades españolas. Es la primera muestra de Cerberus que se ha descubierto con inyecciones para entidades bancarias españolas.
Teniendo en cuenta la popularidad que ha ganado esta familia de malware, era un secreto a voces que pronto acabaría incorporando entidades españolas y latinoamericanas entre las afectadas. Debemos seguir alerta, ya que se espera que se incluyan nuevas entidades de todo el mundo con el paso del tiempo, además de nuevas funcionalidades.
La opción, que fue introducida hace dos años, contiene un fallo de seguridad sin parchear que no elimina los archivos enviados a dispositivos iPhone, por lo que, en cuanto a funcionalidad se refiere, sencillamente se limita a generar una sensación de privacidad que no se corresponde con la realidad.
Tanto WhatsApp, como su competidor de software – parcialmente – libre, Telegram, ofrecen la opción «Eliminar para todos» cuando se selecciona un determinado archivo enviado. Esto permite rectificar el envío y enmendar un posible – y a menudo incómodo – error cuando, típicamente, se envía por descuido material a un destinatario no deseado.
En el caso de WhatsApp, la opción sólo está disponible en un lapso de tiempo de una hora, ocho minutos y dieciséis segundos, una vez el mensaje o archivo se ha enviado. Un tiempo, seguramente, más que razonable para percatarse del error.
Sin embargo, tanto da el lapso de tiempo configurado por el fabricante, si los mensajes o archivos enviados, tal y como ha descubierto el investigador Shitesh Sachan, no se eliminan correctamente para los usuarios de iPhone. Incluso aunque recibamos de la aplicación el mensaje de «el mensaje ha sido borrado».
Si bien es cierto que la versión para Android de la popular aplicación de mensajería llega incluso a borrar los archivos de la galería del receptor cuando se selecciona la opción «borrar para todos», no ocurre así para los usuarios de iPhone, un contexto donde la aplicación parece seguir un diseño diferente.
El problema radica fundamentalmente en que la aplicación trae activada por defecto la opción de «guardar automáticamente» en las respectivas galerías de Android o iPhone y, pese a que desactivar esta opción mitigaría parte del problema, poca gente configura correctamente su aplicación para que adopte este comportamiento. Ni siquiera cuando las mejoras en cuanto almacenamiento y control de los activos son evidentes al activar esta opción.
A comienzos de esta semana se publicaba, igualmente, un fallo de seguridad similar que afectaba a Telegram, que también adolece de una implementación deficiente en su opción «Eliminar para todos». Sin embargo, mientras que Telegram parcheó inmediatamente el fallo, WhatsApp ha declarado que no tiene intención alguna de abordar el tema, porque la funcionalidad de dicha opción es, argumentan, eliminar de la aplicación -y no del dispositivo móvil – los archivos seleccionados.
El equipo de seguridad de WhatsApp también arguye que la pretensión de que su opción «Eliminar para todos» sirva, precisamente, para eliminar por completo el archivo, colisiona con el hecho de que el receptor del mensaje puede verlo antes de que sea borrado o hacer un «pantallazo», lo que haría inútil implementar correctamente la opción. Por otro lado, también afirman que podrían estudiar cambios en la implementación en un futuro.
En este sentido, recomendamos siempre evitar el uso de software privativo que no respete la privacidad y la seguridad del usuario, y adoptar progresivamente el uso de software cuyo código haya sido liberado – software libre – por los beneficios de seguridad y privacidad que supone el tener a disposición de una comunidad activa un código fuente auditado y saneado de manera pública.
Investigadores de ciberseguridad han descubierto un nuevo malware asociado al grupo Stealth Falcon, éste malware utiliza el servicio background intelligent transfer service (BITS) para el envío de datos en segundo plano al servidor controlado por el atacante.
El grupo Stealth Falcon, patrocinado por el estado, es conocido por atacar a periodistas, activistas y personas detractoras del sistema con spyware. Este grupo centra su actividad principalmente en el Medio Oriente, más concretamente en los Emiratos Árabes Unidos (EAU).
Win32/StealthFalcon se comunica y envía los datos recopilados a los servidores de comando y control (C&C) a través del servicio de transferencia inteligente en segundo plano de Windows (BITS).
BITS es un componente de Windows que aprovecha el ancho de banda no utilizado para la transferencia, en primer o segundo plano, de archivos. Esta utilidad es muy utilizada por actualizadores de software en Windows 10 y permite reanudar la transferencia de los archivos en caso de interrupciones. Además, al ser un sistema integrado en Windows es más sencillo que un Firewall no lo bloquee, lo que ha hecho que, durante 4 años, nadie se percatase de este malware.
Según investigadores de ESET, dado que la velocidad de envío de los archivos se ajusta automáticamente y que escapa de las medidas de seguridad habitualmente configuradas, este malware puede operar en segundo plano sin ser detectado y sin modificar la experiencia de uso del usuario.
Pero la puerta trasera Win32/StealthFalcon no solo realiza la transferencia de archivos en segundo plano, primero crea una copia cifrada de los archivos y la carga en el servidor C&C a través de BITS.
Una vez cargados los archivos, el malware elimina todos los archivos de registro y los sobrescribe con datos aleatorios para dificultar el análisis forense y evitar la recuperación de los archivos.
Como explican en el informe, no ha sido diseñado solo para robar datos de los sistemas infectados, también puede ser utilizado por los atacantes para descargar herramientas maliciosas y actualizar la configuración mediante el servidor C&C.
Son muchas las empresas que empiezan a centrar su inversión en la ciberseguridad del negocio. Entonces habría que preguntarse qué factores son los que, Jorge Rey, Commercial Security Manager de Colt Technology Services recomienda aplicar a la ciberseguridad en la empresa.
Estrategia
La falta de una estrategia de seguridad es uno de los errores más frecuentes que se cometen desde las empresas.Las políticas, estándares y procedimientos han de estar bien definidos y auditar su cumplimiento. Además deben estar basados en perfiles de amenaza, enfocados a riesgos reales.
Para que la estrategia tenga un efecto real la empresa debe adaptarse, conocer al enemigo, identificar las amenazas para poder evaluar los riesgos e implementar las medidas de seguridad más adecuadas. Además para ello debemos contar con un esfuerzo humano y un despliegue tecnológico tan considerable como necesario.
Información
Los datos son objeto de protección de cualquier tipo de negocio y, por tanto, los sistemas que los albergan resultan vulnerables ante los ciberataques.
La transformación digital de las empresas implica acceder a los datos desde cualquier punto. Para ser más productivos, cada vez hacemos más uso de nuestros dispositivos móviles para acceder a información del trabajo, compartiéndola con compañeros, clientes o proveedores. Este intercambio, al poder realizarse fuera de la empresa, presenta otro nivel de dificultad para la seguridad de la misma.
Problemas: robo de dispositivos, pérdida o robo de información confidencial, conexión no segura, robo de credenciales.
Comunicación
Relacionado con la información nos encontramos con el factor comunicación. ¿Cómo se transmiten esos datos? ¿Se realiza de forma segura?
Desactivar la sincronización automática de nuestras aplicaciones es muy importante cuando es nuestro dispositivo personal el que hace de enlace entre la información que obtenemos en el trabajo y la que transmitimos. En la mayoría de las redes inalámbricas que utilizan los trabajadores fuera del entorno empresarial, no existe protección alguna. A veces la información confidencial de la empresa puede transmitirse a través de comunicaciones inalámbricas que no están bajo nuestro control. Cuando esto ocurre, es importante que los datos que enviemos estén debidamente protegidos.
Almacenamiento
En esta era digital, la información empieza a necesitar infraestructuras de almacenamiento flexibles que se adapten rápidamente a cualquier cambio en el negocio o el mercado. Hay distintos tipos de almacenamiento: local, en red, dispositivos externos y en la nube.
Realizar copias de seguridad de todos los documentos importantes es solo el primer paso a realizar antes de que la información se almacene o transmita. De esta forma, si cualquiera de los tipos de almacenamiento de los que disponemos se ve vulnerado ante un ataque, quedará una copia de seguridad.
Factor humano
Cada trabajador debe formarse en materias de seguridad en las redes, y debe tener siempre en cuenta las siguientes medidas:
Utilizar contraseñas fuertes y distintas para cada servicio. Existen gestores de contraseñas que permiten generar contraseñas complicadas para establecer diferentes credenciales.
Mantener los dispositivos actualizados. Muchos virus atacan a equipos que todavía no han aplicado la siguiente actualización de seguridad.
No abrir enlaces sospechosos. Hay que desconfiar de los enlaces en mensajería instantánea, correo electrónico o incluso de muchos de los que hallamos en las redes sociales, pues nunca se sabe cuándo un “inocente” enlace puede llevarnos hasta una web fraudulenta que pretenda hacerse con nuestros datos. Lo mismo ocurre con los archivos adjuntos de e-mails que desconocemos, pues pueden tratarse de virus.
Compras online:solo en webs de confianza. Muchos fraudes online se producen en sitios web que el usuario considera seguros por contar con un certificado digital (https/SSL/TLS) Eso significa que la comunicación será cifrada, pero hay que verificar que el dominio al que accedemos sea el correcto y que el certificado se ha expedido a la empresa propietaria del sitio web.
Si finalmente el riesgo se materializa y sufrimos una brecha de seguridad, deberíamos haber diseñado el sistema de información para que la pérdida de datos sea mínima, inútil para el atacante y con una rápida capacidad de recuperación del negocio.
La seguridad de la red implica crear una estrategia de defensa en profundidad. Necesitaremos hacer uso de elementos como el control de acceso, que nos permite bloquear usuarios y dispositivos no autorizados; el antimalware; los análisis de comportamiento para detectar anomalías o la prevención de pérdida de datos, que nos ayuda a reforzar el elemento más débil de la ciberseguridad: el factor humano.
tomado de: https://www.revistabyte.es/actualidad-byte/5-factores-para-aplicar-la-ciberseguridad-en-la-empresa/
¿Por qué no debes usar la configuración por defecto de los programas?
No es recomendable usar la configuración por defecto del ordenador porque supone un riesgo para la privacidad del mismo. Si quieres evitar riesgos de seguridad en tu dispositivo, presta atención a las recomendaciones que detallamos a continuación.
La ‘configuración por defecto’ es aquella que viene dada por el fabricante; debemos prestar especial atención a las aplicaciones y servicios. Las primeras son software que utiliza el usuario para alguna función específica, por ejemplo Google Chrome. Mientras que los segundos son softwares que vienen predeterminados con el sistema operativo, por ejemplo el administrador de redes inalámbricas. Desde We Live Security ecogen varias razones por ñlas que no es recomendable optar por las configuraciones por defecto. Pero hay aplicaciones y servicios que exigen ciertos permisos para su correcto funcionamiento; por ejemplo, al instalar Windows se crea un perfil de administrador, aunque realmente no es necesario porque con cualquier usuario podrías realizar las mismas actividades en el ordenador. Si quieres evitar riesgos en la privacidad y seguridad de tu dispositivo, presta atención: Es recomendable cambiar las credenciales de fábrica, ya que cualquiera podría averiguar las que vienen por defecto en fotos de Internet. Actualizar el firmware, ya que de lo contrario un atacante podría aprovechar tu vulnerabilidad y acceder a la información que maneja el equipo. Es recomendable hacer configuraciones manuales, cifrar la información sensible y crear usuarios y perfiles propios, para evitar el riesgo de intrusión no autorizada. Es aconsejable hacer un hardening para endurecer el sistema operativo, configurando las aplicaciones y los servicios de red. Eliminar las aplicaciones que vienen por defecto en el equipo y no se utilizan, podrían convertirse posteriormenete en algún tipo de ataque. Si quieres recuperar un servicio, se recomienda restrablecerlo a las configuraciones por defecto, aunque puede dejar vacíos en la seguridad que es recomendable revisar. Aplicar constantemente los parches de seguridad que van lanzando los desarrolladores. Aunque instalar las configuraciones por defecto en el ordenador es el camino más fácil y rápido, es el menos seguro y recomendable, ya que expone tu información y te vuelve vulnerable a los atacantes.
Mientras asistía a una conferencia de ciberseguridad en Singapur, un ciudadano chino decidió hackear el WiFi de su hotel
Zheng Dutao, un ingeniero de seguridad de 23 años de la empresa china de internet Tencent Holdings, sintió curiosidad por encontrar vulnerabilidades en el servidor WiFi de una sucursal del Hotel Fragrance, en Singapur. Acorde a especialistas en hacking ético, Zheng hackeó con éxito el servidor del hotel y escribió un artículo en su blog acerca del incidente, publicación en la que reveló las contraseñas del servidor del administrador del hotel. Este blog terminó por llamar la atención de la Agencia de Seguridad Cibernética de Singapur (CSA).
Zheng llegó a Singapur el mes pasado para participar en una competencia de “Capturar la bandera”, llevada a cabo junto con una conferencia de ciberseguridad y hacking ético en el Hotel Intercontinental. La competencia contó con cientos de especialistas en ciberseguridad enfrentándose en diferentes pruebas de hacking.
Zheng se registró en el Hotel Fragrance el 27 de agosto. Un día después, comenzó a preguntarse por las posibles vulnerabilidades en el servidor WiFi del hotel. Buscó con éxito la identificación de usuario y la contraseña predeterminadas del sistema WiFi del hotel a través de Google.
Después de conectarse a la puerta de enlace WiFi del hotel, Zheng ejecutó secuencias de comandos, archivos descifrados y contraseñas rotas en los siguientes tres días antes de acceder a la base de datos del servidor WiFi del hotel. El servidor del hotel tenía una vulnerabilidad que Zheng explotó para obtener acceso, también intentó acceder al servidor WiFi de la sucursal de Fragrance en el barrio conocido como Little India, pero falló. El ingeniero documentó su hallazgo en su blog personal.
“Al divulgar esta información, Zheng sabía que era probable que la vulnerabilidad en el servidor WiFi del hotel fuera explotada por otros con fines ilícitos, lo que podría causar pérdidas para la organización”, dijo el fiscal de la ciudad. Zheng había estado publicando en su blog sobre vulnerabilidades en servidores desde 2014, dijo la fiscalía, aunque este incidente es la primera vez que descubre una vulnerabilidad él mismo.
La CSA encontró su blog y alertó a la gerencia del hotel. Zheng eliminó la entrada del blog después de que se lo pidieron. El vicepresidente de TI de la empresa presentó un informe policial por hacking contra el Hotel Fragrance.
Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, la defensa alegó que Zheng parecía haber cometido la ofensa por curiosidad y que no se había causado ningún daño tangible. Sin embargo, las autoridades descubrieron que la publicación fue retomada por distintos foros.
Según la fiscalía, dado que otros hoteles utilizan el mismo modelo de servidor, las acciones de Zheng podrían haber llevado a otros hoteles a ser víctimas de ataques cibernéticos gracias a la publicación de Zheng.
Por el delito de revelar las contraseñas del hotel sin autorización, Zheng podría haber sido encarcelado por hasta tres años y haber recibido una multa de hasta 10 mil dólares, aunque la defensa espera que pague sólo 5 mil, pues ya ha pasado algunos días encerrado.
Alerta de Seguridad No. 1 por el virus KRAB de la categoría ransomware.
La Oficina de Seguridad para las Redes Informáticas (OSRI) ha emitido un mensaje de alerta sobre la actividad en las redes de un nuevo código malicioso que ha sido nombrado GranKrab cuya actividad esta basada en el secuestro de la información a partir de la ejecución de la actividad maliciosa. La nota recomienda NO PAGAR NUNCA ante un requerimiento de este tipo porque no existe un mecanismo seguro que garantice, que luego del pago se reciba una clave para recuperar los archivos; puede ser parte de una estafa.
Esta Alerta de Seguridad número 1 por el virus KRAB, nueva versión del virus encriptador de alto riesgo llamado GANDCRAB 3, (…). Este programa malicioso cifra casi todos los archivos almacenados en la computadora afectada, inutilizándolos y añadiéndole la extensión «.KRAB» al nombre de los mismos.
El virus emite una nota de rescate para instruir a las víctimas cómo pagar por la clave de descifrado, única para recuperar archivos .KRAB y es similar a decenas de virus de la categoría ransomware. Usted NUNCA DEBE PAGAR.
Propagación.
KRAB se propaga de varias formas. No obstante, los cinco métodos más comunes son:
1) correos electrónicos Spam;
2) redes Peer-to-peer (P2P)
3) fuentes de descarga no oficiales;
4) asistentes falsos de software;
5) troyanos.
Los mensajes de correo Spam contienen probablemente adjuntos maliciosos, tales como documentos MS Office, archivos JavaScript, etc., que cuando se abren, descargan e instalan el malware. Las redes P2P y otras fuentes de descarga de software no oficiales (sitios web de descargas gratuitas, sitios web de alojamiento de archivos, etc.) presentan a menudo ejecutables maliciosos como software legítimo.
Los correos electrónicos que llevan la carga útil del virus KRAB, pueden contener la siguiente información:
Desde: {nombre falso y dirección de correo electrónico}
Tema: factura de pago # (número)
Estimado cliente,
Para leer el documento por favor, abra el archivo adjunto y responder lo más
pronto posible.
Saludos cordiales
TCR de asistencia al cliente
En cuanto a los asuntos de estos mensajes de correo electrónico, que podrían ser diseñados con uno de los siguientes patrones:
Documento # {número}
Factura # {número}
Orden # {número}
Pago # {número}
factura de pago # {número}
factura de pago # {número}
Boleto # {número}
En su Documento # {número}
Su pedido # {número}
Tu boleto # {número}
RECOMENDACIONES GENERALES
Instale un buen y confiable Antivirus, actualizados de manera permanente.
Utilice un Sistema Operativo seguro.
Evite instalar programas no confiables o inseguros.
Ejecute las actualizaciones del Sistema de forma segura.
No abra ni ejecute archivos adjuntos por correo, chat, etc. procedentes de direcciones desconocidas o poco confiables.
Ponga contraseñas seguras a su ordenador.
No visite webs de hackeo, adultos, casinos online o de dudosa procedencia.
Instalar un programa cortafuegos (Firewall).
No permita utilizar su PC a otras personas.
Cumplir estrictamente con los siguientes Artículos de la Resolución 127/2007 del Ministro de Comunicaciones, 43, 50, 53,64, 65 y 66.
Para más información usted puede consultar los siguientes enlaces:
Cargando ...
Comentarios recientes