Latest Event Updates

¿Cómo hackear cualquier WIFI WPA/WPA2 fácilmente con Wifiphisher?

Posted on

Wifiphisher es una herramienta de seguridad que monta ataques de phishing automatizados y personalizados en contra de clientes de WiFi para obtener credenciales o infectar a las víctimas con malwares. Primordialmente es un ataque de ingeniería social que a diferencia de otros métodos no incluye ninguna fuerza bruta. Es una manera sencilla de obtener las credenciales de los portales cautivos y los accesos de terceras partes (e.g. en redes sociales) o WPA/WPA2 llaves compartidas.

wifiphisher

Wifiphisher funciona en Kali Linux y tiene licencia bajo el GPL.

¿Cómo funciona?

Después de obtener una posición en medio utilizando el Evil Twin o el ataque KARMA, Wifiphisher re-direcciona todas las búsquedas HTTP hacia un controlador de ataque en una página phishing menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Desde el punto de vista de la víctima, el ataque tiene uso en tres fases:

  1. La víctima es des-autenticada de su punto de acceso. Wifiphisher continuamente interfiere todos los puntos de acceso de wifi de los dispositivos de los objetivos dentro de un rango forzando paquetes de “des-autenticación” o “des-asociación” para interrumpir asociaciones existentes.
  2. La víctima se une a un punto de acceso fraudulento. Wifiphisher olfatea el área y copia las configuraciones de los puntos de acceso. Después crea un acceso wireless fraudulento que se va moldeando por la víctima. También pone un NAT/DHCP servidor y manda los puertos correctos. Consecuente a esto, debido a la interferencia, los clientes se comienzan a conectar al punto de acceso fraudulento. Después de esta fase, la víctima es MiTMed. Además, Wifiphiser escucha para probar marcos requeridos y burla redes abiertas “conocidas” para causar una asociación automática acuerdo a los expertos de seguridad informática de Webimprints.
  3. Se le presenta a la víctima una página realista de phishing que es especialmente personalizada. Wifiphisher emplea un servídor web mínimo que responde a peticiones de HTTP y HTTPS. Tan pronto como la victima requiera la página de Internet, Wifiphisher responderá con una página falsa que le pide sus credenciales o le da malwares. Ésta pagina estará hecha especialmente para la víctima, por ejemplo, una pagina de configuración del router contendrá los logos del vendedor. La herramienta contiene plantillas construidas para diferentes escenarios de phishing.

Requerimientos

A continuación los requerimientos para sacar lo mejor de Wifiphiser:

  • Kali Linux. Aunque han logrado que Wifiphisher funcione en otras distribuciones, Kali Linux es el soporte oficial de distribución, así que todas las nuevas características son primeramente probadas en esta plataforma.

 

  • Un adaptador de red wifi que soporte AP y modo Monitor y que sea capaz de inyectar. Para el modo avanzado, necesitas dos tarjetas; una que soporte el modo AP y otra que soporte el modo Monitor. Los conductores deberán soportar netlink.

 

Instalación

Para instalar la versión más reciente, escribe el siguiente comando:

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision cd wifiphisher # Switch to tool’s directory sudo python setup.py install # Install any dependencies

Alternativamente, puedes bajar la versión más estable de la Releases page

Uso

Corre la herramienta escribiendo wifiphisher o python bin/wifiphisher (desde el directorio de la herramienta).

Al correr la herramienta sin opciones, encontrará interfaces e intelectivamente pedirá al usuario escoger ESSID de la red objetivo (de una lista con todas las ESSIDs en el área) así como el escenario del phishing. Por default, la herramienta realizará ambos ataques (Evil Twin y KARMA).

wifiphisher -aI wlan0 -jI wlan4 -p firmware-upgrade –handshake_capture handshake.pcap

Utilice wlan0 para generar el punto de acceso fraudulento y wlan4 pata ataques DoS. Selecciona la red objetivo manualmente de la lista y realiza un escenario de “actualización de Firmware”. Verifica mediante el handshake en el archivo handshake.pcap  que la llave ore-compartida es la correcta.

Útil para seleccionar manualmente los adaptadores wireless. “La actualización de Firmware” es una manera sencilla de obtener el PSK de la red protegida con contraseña.

wifiphisher –essid CONFERENCE_WIFI -p plugin_update -pK s3cr3tp4ssw0rd

Automáticamente selecciona las interfaces correctas, Pon el wifi en el objetivo con ESSID “CONFERENCE_WIFI” y realiza el escenario para la “actualización plug-in”.  El Evil Twin tendrá de contraseña PSK:  “s3cr3tp4ssw0rd”.

Útil contra redes con PSK divulgado (por ejemplo, en conferencias). El escenario del Plugin Update  provee una manera sencilla para hacer que la víctima baje ejecutables maliciosos (por ejemplo, malwares que contengan un shell payload reversible) explica experto de seguridad informática

wifiphisher –noextensions –essid “FREE WI-FI” -p oauth-login

No cargues ninguna extensión. Simplemente genera una red de wi.fi abierto con ESSID “FREE WI-FI” y realiza el escenario para “OAuth Login”.

Útil en contra de las víctimas en lugares públicos. El escenario “OAuth Login” provee una manera sencilla de capturar las credenciales de redes sociales como Facebook.

A continuación, las opciones y las descripciones (también disponibles con wifiphisher -h):

Short form Long form Explanation
-h –help Muestra el mensaje de ayuda y sale
-jI EXTENSIONSINTERFACE –extensionsinterface EXTENSIONSINTERFACE Manualmente escoge una interfaz que soporte el modo Monitor para correr las extensiones. Ejemplo -jI wlan1
-aI APINTERFACE –apinterface APINTERFACE Manualmente escoge una interfaz que soporte el modo AP para generar un AP. Ejemplo: -aI wlan0
-nJ –noextensions No bajar ninguna extensión
-e ESSID –essid ESSID Mete el ESSID del punto de acceso fraudulento. Esta opción se salta la fase de selección del punto de acceso. Ejemplo: –essid ‘Free WiFi’
-p PHISHINGSCENARIO –phishingscenario PHISHINGSCENARIO Escoge el escenario que quieras ejecutar. Esta opción se saltara la fase de selección de escenario. Ejemplo: -p firmware_upgrade
-pK PRESHAREDKEY –presharedkey PRESHAREDKEY Añade la protección WPA/WPA2 en el punto de acceso fraudulento. Ejemplo: -pK s3cr3tp4ssw0rd
-qS –quitonsuccess Detén el script después de obtener un par de credenciales.
-lC –lure10-capture Capture el BSSIDS del APS que se descubre durante la fase de selección AP. Esta opción es la parte de ataque de Lure10.
-lE LURE10_EXPLOIT –lure10-exploit LURE10_EXPLOIT Engañe al servidor de localización de Windows de usuarios cercanos de Windows haciéndoles creer que esta dentro del área previamente capturada con —caputura-lure10—. Parte del ataque Lure10
-iAM –mac-ap-interface Especifique la dirección MAC para la interfaz AP. Ejemplo: iAM 38:EC:11:00:00:00
-iEM –mac-extensions-interface Especifique la dirección de MAC para las extensiones de la interfaz. Ejemplo: -iEM E8:2A:EA:00:00:00
-iNM –no-mac-randomization No cambie la dirección de MAC
-hC –handshake-capture Capture los handshakes de WPA/WPA2 para verificar la contraseña. Ejemplo: -hC capture.pcap
-dE –deauth-essid Deauth todas las BSSIDs que tengan la misma ESSID de la selección AP o la ESSID dada por opción -e
–logging Permite el acceso. Output será guardado al archivo wifiphisher.log
-cM –channel-monitor Monitorea si el punto de acceso objetivo cambia de canal
–payload-path Permite el camino al payload. Previsto para uso de escenarios que tengan payloads.
-wE –wpspbc-exploit Monitorea si el botón del WPS-PBC Registrar está presionado
-wAI –wpspbc-assoc-interface La interfaz de WLAN utilizada para asociar al punto de acceso WPS

 

wifi phisher1.png

 

wifi phisher2

 

wifiphisher-3

 

wifiphisher 4

 

wifi phisher 5

La herramienta no apunta a ser una escritura amistosa. Asegúrate de entender cómo funciona la herramienta antes de realizar una prueba menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Advertisements

Datos de 31 millones de usuarios se filtran debido a una app de teclado en los smartphones.

Posted on

Después de que el creador de la app del teclado virtual Ai.Type dejó 577GB de datos de Mongo-hosted sin seguridad, la información personal de más de 31 millones de clientes fue expuesta a todo el que tuviera conexión a internet, según un post en el blog de Kromtech Security Center cuyos investigadores fueron quienes encontraron la fuga de datos.

virtual-keyboard-app-exposed-data-31-million-usersryut

Los investigadores descubrieron que la información expuesta incluía números telefónicos, el nombre del dueño, aparatos, redes móviles, números del SMS, direcciones de correo electrónico, información asociada con las cuentas de redes sociales y demás.

“Esto expuso también la cantidad de información a la que se tiene acceso y cómo se obtiene el tesoro oculto de información, los usuarios promedio no esperan que se extraiga de sus teléfonos o tablets,” según lo escrito en el post del blog mencionado.

“Ésta falla resalta lo vulnerable que somos ante las apps o las herramientas de terceros que son descuidadas o imprudentes con su seguridad,” mencionóel experto de seguridad informática de Webimprints. “Los consumidores aceptan automáticamentelos permisos de seguridad y sin darse cuenta permiten que las apps tengan completo acceso a lo que se encuentra en sus celulares.”

La mayoría de los usuarios “jamás leen los permisos de información de las aplicaciones cuando la bajan y no se dan cuenta que están otorgando acceso a casi todo, incluyendo muchas áreas en la que el publicador de la app no tiene uso legitimo, unas cuantas fugas de información más como ésta y las cosas podrían cambiar,” dijo John Gunn, jefe de marketing en VASCO Data Security. “Anteriormente, la gente sólo se preocupaba por su propia ingenuidad, ahora los usuarios también se tienen que preocupar por la de sus amigos y conocidos, pues pueden dar acceso a su información a algunos irresponsables y sin límites, publicadores de la app.”

Jeff Williams, CTO y cofundador del Contrast Security, hizo un llamado a la FCC para encontrar al autor de la app mencionada por haber hecho declaraciones fraudulentas acerca del producto, nos menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

“El autor de la app prometido mayor seguridad y codificar la información pero fallado completamente, es un serio problema,” dijo Williams, “¿Cómo pueden los consumidores protegerse, si el marketing es libre de decir lo que sea sin asumir las consecuencias por mentir?”.

Sería mejor si “los vendedores de las apps no se quedaran solamente con lo que les dicen, si no que se les requiriera revelar información básica acerca de la seguridad de los productos,” comentó Williams, “No hallo alguna otra manera de arreglar el mercadeo de los softwares.”

DeMeo hizo un llamado al cambio “Un mejor modelo de seguridad: asumir que todas las apps y vendedores (aún las más confiadas) pueden ser las más descuidadas y pueden ser infringidas,” advirtiendo a los usuarios a no otorgar acceso a información personal de manera voluntaria “ni permitir lasapps que no son de confianza tengan acceso a la información de sus dispositivos moviles.”

¿Cómo detener malware certificado?

Posted on

Los autores de malwares frecuentemente añaden firmas de certificados expirados o comprometidos para evitar productos AV que no validen esas firmas.

La semana pasada, investigadores de la Universidad de Maryland presentaron evidencia acerca de que esta técnica esta mucho más expandida que lo que anteriormente se creía. Además, de medir la prevalencia de esta técnica, los investigadores también la utilizaron para añadir dos certificados diferentes que habían expirado a cinco ransomeware maliciosos de muestra. Obviamente, añadiendo una firma digital, expirada o no, a un pedazo del malware, no lo hace benigno Sin embargo, de acuerdo a los investigadores, esta técnica engaña a algunos nombres importantes de la industria como Crowdstrike, SentinelOne, Malwarebytes, TrendMicro, Microsoft, Symantec, Kaspersky y Sophos. fue una de los motores que marcaron cada uno de las diez muestras creadas como maliciosas. ¿Cómo fue que el Malware Webimprints pasó las pruebas de los investigadores?

Primero, revisemos la razón de las firmas y certificados para permitir a los usuarios confiar los códigos ejecutables. Certificados para firmar el código vienen del mismo sistema y arquitectura que los que se utilizan para las conexiones HTTPS en sitios web. Cuando códigos ejecutables son propiamente firmados con estos certificados, quiere decir que esta certificado para originar de la organización de la que el certificado fue emitido y no ha sido manipulado con la ciencia dice Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Cuando certificados por firma de código son emitidos, se les da una fecha de expiración, muchas organizaciones tienen una clave para los códigos de fecha de expiración. Para prevenir que los códigos sellados expiren con e certificado, como paso opcional, un sello firmado con la fecha y hora puede ser añadido. Este sello es generalmente emitido por un servidor de tiempo que corre por el Certificate Authority  que emite el certificado. Si uno de estos sellos no se añade, entonces la firma se considera inválida si el certificado ya expiró. Esto permite que la verificación se realice mientras el certificado sea válido. Mientras que todas las partes de la información estén presentes, la firma puede ser validada aun cuando haya expirado.

Los investigadores encontraron que los motores AV fueron engañados por firmas que podrían no ser válidas. Sin embargo, no pudieron engañar a la Business Control System, una máquina basada en el motor de aprendizaje para detectar ejecutables maliciosos. Hay dos razones principales para esto, primeramente, las características extraídas de los 10 millones de muestras no incluían información de la firma. Las características se centran en un rango de características como librerías importadas, funciones exportadas, y el nombre, tamaño, y complejidad de las secciones en el archivo PE. Ya que no entrenamos en firmas y certificados como aquellos que se usan en estos ataques, Business Control System no se engaña cuando se añaden firmas invalidadas o expiradas a un archivo, y regresa una etiqueta exacta a pesar de su presencia.

Encontrar ejecutables maliciosos es un problema bastante serio que se completa con la máquina aprendiendo a tomar decisiones con un whitelisting limitado en hashes y firmas.

Esta nueva capa ayuda a reducir los falsos pósitos en el despliegue del cliente. La validación imprecisa de los certificados pudo habernos llevado a confiar en algunas firmas inválidas añadidas al ransomware probadas por los investigadores y falsamente marcadas como benignas. Limitando los certificados que pongamos en la whitelist, y probando a fondo la validación de los códigos de los certificados nos da la confianza que nuestra whitelist solo afecta a software legítimo. Los investigación presentada la semana pasada por la Universidad de Maryland nos provee de confirmación adicional acerca de que nuestro enfoque ayuda a detectar una amplia gama de técnicas para mantener los falsos positivos en un rango bajo comenta Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Business Control System ya ha sido probado por muchas agencias independientes y estamos contentes de que los investigadores académicos determinaran nuestra capacidad de detección de malware sea fuerte en contra de este ataque en particular. Continua y rigurosamente, probamos el Business Control System. Internamente para validar que es el mejor motor AV en el mercado, sin embargo, es importante recordad que ningún método de protección es perfecto, es por ello que Webimprints empareja con Business Control System con otra industria líder en la protección de procesos de inyección, escalamiento privilegiado, robo de credenciales, entre otros. El acercamiento por expertos de seguridad informática de Webimprints es más que efectivo para detener una amplia gama de vectores de ataque. Como lo confirmó la investigación de la Universidad de Maryland, esto incluye detener los más nuevos y creativos ataques de malware que se escapen en una solución AV, pero son rápidamente detectados en la plataforma de Webimprints.

¿Cómo funciona el nuevo malwares “sin archivos”?

Posted on

A diferencia de los ataques que se llevan a cabo utilizando un malware tradicional, los ataques del malware “sin archivos” no hacen que los hackers instalen algún software en la máquina de la víctima. En lugar de eso, los atacantes toman herramientas que están incorporadas a Windows y las usan para llevar a cabo el ataque. Esencialmente, Windows se ataca así mismo.

El hecho de que un malware tradicional no se use es un punto importante. Esto significa que no hay una firma de antivirus para detectar, así decrece la efectividad de estos programas detectando los ataques del malware sin archivos, y mientras la siguiente generación de productos de seguridad afirma detectar actividad de PowerShell maliciosa, la realidad es que descubrir malware sin archivos es un verdadero retoexplica Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Free Tool Looks for HackingTeam Malware
Free Tool Looks for HackingTeam Malware

¿Cómo funciona éste malware?

Éste ataque involucra tomar por default las herramientas de Windows, particularmente PowerShell y Windows Management Instrumentation (WMI), y lo utiliza para actividad maliciosa, como mover información a otras máquinas. PowerShell y WMI son herramientas de la preferencia de los hackers ya que están instaladas en cada máquina de Windows, capaz de llevar a cabo comandos (PowerShell por ejemplo, puede ser utilizada para automatizar tareas en múltiples máquinas) y han sido incorporadas al flujo de trabajo diario de muchos profesionales de IT, haciendo casi imposible que los trabajadores se priven de su uso.

Usando programas legítimos hace que estos ataques sean casi indetectables para la mayoría de programas de seguridad e incluso analistas de seguridad. La razón es muy sencilla: ya que PowerShell y WMI son programas legítimos, cualquier comando que ejecuten se asume como legitimo explica Jim Gil, un experto de seguridad informática.

POWERSHELL

Es un lenguaje de programación que provee acceso sin precedentes al interior de una máquina, incluyendo acceso irrestricto a las API de Windows.

PowerShell también ofrece el beneficio de ser una parte inherente de Windows que es completamente confiable para que así los comandos que ejecute sean usualmente ignorados por el software de seguridad explica Jim Gil, un experto de seguridad informáticade International Institute of Cyber Security (IICS).

La habilidad de PowerShell de correr remotamente a través de WinRM la hace una herramienta aun mas atractiva. Ésta característica permite a los hackers pasar el Firewall de Windows, correr la programación de PowerShell o simplemente iniciar una sesión interactiva de PowerShell, otorgando un control completo de administración sobre un endpoint. Si WinRM se apaga, se puede prender a través de WMI usando una sola línea de código.

Usar PowerShell en el malware sin archivos, borra completamente la linea entre comprometer sólo una máquina y comprometer una empresa. El momento en el que el hacker tiene un nombre de usuario y contraseña para una máquina (que pueden ser fácilmente obtenidas mediante los escenarios de PtH y PtT), el camino para complementar la acción queda completamente abierto.

Acercamientos tradicionales a la seguridad quedan inservibles frente el malware sin archivos que utiliza PowerShell ya que la herramienta es de renombre, tiene una firma confiable, se baja carga directamente a través de la memoria del sistema (el cual no puede ser escaneado al tanteo) y tiene acceso libre al sistema operativo porque es una parte integral de Windows.

WINDOWS MANAGEMENT INSTRUMENTATION (WMI)

WMI permite a los administradores realizar varias acciones , como juntar métricas, instalas software y actualizaciones o hacer consultas al sistema operativo. WMI tiene acceso a todos los recursos de una computadora, y se divide en clases para diferentes tareas como ejecutar archivos, borrar y copiar archivos y cambiar los valores de registro. Ésta herramienta está puesta en cada versión moderna de Windows y es la columna de los “agentless”.

Éstas características hacen que WMI sea una bendición pues permite que los administradores realicen tareas muy rápido, pero cuando es usada para operaciones maliciosas se convierte en una maldición. De la misma manera en la que un administrador utiliza WMI para consultar métricas y ejecutar códigos, un hacker lo puede usar para sigilosamente correr un código malicioso a través de una red de computadoras. WMI permite la persistencia para auto-correr programas sigilosamente  en el inicio o basado en eventos específicos. WMI no puede ser desinstalado, pero puede ser desabilitado. Sin embargo, esto perjudica y limita lo que el administrador pueda hacer, como actualizaciones de software en varias computadoras.

EJEMPLOS DE ATAQUES DEL MALWARE SIN ARCHIVOS

Mientras que este malware no es tan conocido como los ransomware o algunos otros cybernasties, estos ataques son un mayor problema de seguridad y usado en muchos ataques. De hecho, Cybereason ha visto el malware sin archivos utilizarse en varias campañas incluyendo OperationCobaltKitty, que apuntaba a un corporativo importante de Asia. Los hackers desarrollaron una infraestructura de PowerShell sofisticado y lo usaron para soltar un payload de PowerShell que consiste en un payloadCobaltStrike’sBeacon en la computadora de la víctima, así como buscar playloads desde el servidor de comando y control. Usando PowerShell para ejecutar los comandos maliciosos permite a los hackers operar sin que sean detectados por casi seis meses menciona Jim Gil, un experto de seguridad informáticadel International Institute of Cyber Security (IICS). Ya que un programa de confianza ejecutó estos comandos, el staff de la seguridad de la compañía así como las herramientas de seguridad asumen que los comandos eran legítimos acuerdo a expertos de seguridad informáticade Webimprints.

Otro de los incidentes detectados por el Cybereason demuestra que tan frecuentes se han vuelto los ataques de este malware. Las operaciones de seguridad del equipo de Cybereason observaron actividad inusual en enPowerShell en el ambiente de un cliente. Supuestamente un administrador había ejecutado una sesión de PowerShell usando un comando codificado mediante una línea de comandos. Sin embargo, este comportamiento es típicamente atribuido a una escritura automatizada, no una persona. Después de investigar el incidente, el equipo de operaciones de seguridad determinó que el equipo rojo de la compañía  estaba realizando pruebas de penetración y había incorporado el malware Sin archivos a su ejercicio. Si este malware no fuera una preocupación entre los profesionales de la seguridad, los equipos rojos no lo estarían añadiendo a sus pruebas.

LA CRECIENTE AMENAZA DEL MALWARE SIN ARCHIVOS

Técnicamente, estos ataques no son nuevos. Muchas de las técnicas utilizadas por este malware han estado presentes desde hace tiempo. Las explotaciones “in-memory” eran prominentes en el virus SQL Slammer de inicios del 2000, pero el desarrollo y distribución a gran escala de los kits de explosión ha hecho que los ataques del Sin archivos sean mucho más común. Por ejemplo, los marcos ofensivos del PowerShell como Metasploit y CobaltStrike son especialmente abusados ya que pueden ser utilizados para crear ataques de payload de PowerShell.

Y, por supuesto, los ataques de Sin archivos llaman la atención de los hackers pues los softwares de antivirus no pueden detectarlos y muchas herramientas avanzadas de seguridad batallan mucho encontrando el uso malicioso del PowerShell.

La dificultad que las organizaciones enfrentan en detectar estos ataques combinado con la disponibilidad de estas técnicas es realmente la razón de porque esta táctica esta siendo adoptada exponencialmente. Ya no es una técnica fraudulenta, un tercio de organizaciones encuestadas por la SANS 2017 ThreatLandscape reportó haber pasado por ataques del Sin archivos.

DETECCIÓN Y PREVISIÓN DEL SIN ARCHIVOS MALWARE

¿Qué lo hace tan difícil de detectar?

Estos ataques están principalmente en la memoria y usan el sistema legitimo de herramientas para ejecutar y propagarse, haciendo del uso del PowerShell algo legítimo y la actividad del hacker algo muy difícil de encontrar. PowerShell es utilizado por los administradores de IT para realizar varias actividades en un día así que el uso excesivo del PowerShell no es sospecha alguna. Debido a que PowerShell se utiliza muy frecuentemente, los profesionales de seguridad no cuentan con el tiempo de revisar cosas, accesos, notar sospechas e investigar el incidente según expertos de seguridad informática de Webimprints.

push

Además,  ciertas características en PowerShell hacen que sea difícil averiguar cuando la herramienta está siendo utilizada por hackers. Por ejemplo, PowerShell 2, que es la versión más utilizada de esta herramienta, genera eventos de acceso que informan cuando el motor se prende y se apaga, pero no da mucha información. Esto significa que estos accesos pueden no ser analizados para determinar si un payload malicioso fue puesto en marcha.

En PowerShell 3, Microsoft añade la opción para un acceso manual, que permite a los analistas y productos de seguridad determinar si los archivos escritos fueron invocados y los parámetros correspondientes que les pasaron. El módulo de acceso tiene sus defectos: analistas y productos de seguridad pueden no estar disponibles para manejar la cantidad de información que produce PowerShell incluye innovaciones de seguridad pero no están disponibles por default y los hackers pueden evadir estas características regresando a la versión 2.

Un error common es pensar que al desactivar PowerShell se podrán prevenir los ataques del Sin archivos. Desafortunadamente, este acercamiento sólo hará que los trabajos de los profesionales de IT sean más retadores. Microsoft ha hecho del uso de PowerShell algo casi esencial en sus productos. Por ejemplo, empezando con el Exchange 2007, Microsoft diseñó el GUI que sólo permite a los usuarios completar las funciones administrativas comunes. A PowerShell se le pide llevar funciones menos comunes. Adicional, todos los productos de Microsoft usarán PowerShell. Si los administradores se vuelven hábiles en PowerShell, entonces podrán manejar los productos más nuevos de Microsoft. Restringir el uso de PowerShell limita las habilidades de los administradores para perfeccionar habilidades que les ayuden en sus carreras.

¿Cómo puede un profesional de seguridad saber si se está usando PowerShell en contra de una empresa? La detección por conducta es la mejor manera para responder esa pregunta. Buscar señales asociadas a un mal uso de PowerShell (como una sesión de PowerShell ejecutada usando un comando codificado mediante una linea de comandos), provee al equipo de seguridad evidencia que necesitan para investigar incidentes que pueden ser la instancia del mal uso de PowerShell.

 

Escuelas advierten de sistemas de calefacción que son hackeables.

Posted on

SCHOOLS WARN1

Se han encontrado sistemas de calefacción vulnerables para los hackers en decenas de escuelas británicas de acuerdo a una prueba realizada por la firma de seguridad informática.

Los socios de Pen Test dicen que el problema fue causado por los controladores del equipo pues estaban conectados a Internet más ancho de acuerdo a la guía de manufactura.

Dice que era relativamente más sencillo para traviesos apagarlos de lejos.

Pero un arreglo fácil como sacar los cables de la red, puede direccionar la amenaza.

Aún así, la compañía sugiere que el descubrimiento del problema en el sistema de dirección del edificio señala que usualmente son instalados por electricistas o ingenieros que necesitan conocer más sobre seguridad informática.

“Sería demasiado sencillo para alguien con conocimientos básicos de computación, apagar el sistema de calefacción en una escuela, son sólo unos clicks y escribir códigos” el fundador de Pen Test, Ken Munro mencionó.

“Es un reflejo del estado actual de la situación de seguridad informática.

“Los instaladores necesitan mejorar su técnica, pero los fabricantes deben hacer más para que sus sistemas sean a prueba de tontos y no se puedan configurar de esta manera.”

SCHOOLS WARN.png

 

La compañía de seguridad informática  realizo este descubrimiento mirando la administración de los controladores de sistemas del edificio hechos por Trend Control Systems mediante el IoT y su herramienta de búsqueda Shodan menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Supo que un modelo sacado en el 2003, podría estar comprometido cuando estuviera expuesto directamente a la red, aun cuando estuviera corriendo el firmware más reciente.

Además de las escuelas, dijo que ha visto casos que involucran tiendas retail, oficinas de gobierno, negocios y bases militares.

Pen Test hizo una entrada en su blog acerca de sus descubrimientos en la semana, pero la BBC retrasó el reporte del problema hasta que contactó y alertó a las escuelas que podían ser identificadas.

Expertos de seguridad informática de Webimprints aconseja a sus clientes a usar trabajadores de IT para evitar el problema.

Pero responde a la crítica que pudo haber hecho más para revisar que la instalación fue propiamente realizada después de lo sucedido.

“IICS  se toma muy en serio la seguridad cibernética y regularmente se comunica con los clientes para hacer los dispositivos y conexiones lo más seguro posible” dijo JIm experto de seguridad informática.

“Esto incluye la importancia de configurar sistemas detrás del firewall o una red privada virtual, y asegurar que los sistemas tengan al menos un firmware y otras actualizaciones de seguridad para mitigar el riesgo de los accesos no autorizados”.

Añadió, sin embargo que la compañía “evalúa y prueba la efectividad” de sus prácticas actuales.

Un investigador independiente de seguridad explicó la amenaza a los que están expuestos, pero añadió que el casi levantó situaciones que deben de ser tomadas en cuenta.

“El riesgo es limitado porque los criminales tienen poca iniciativa para llevar acabo dichos ataques, y aun si lo hicieran, les será posible a los administradores del edificio notar que algo esta pasando y tomar control manual.” mencionó Dr Steven Murdoch, de University College London.

“Sin embargo, estos problemas muestran el potencial para escenarios mas peligrosos en un futuro, ya que mas dispositivos se conectan al internet y las fallas son más difíciles de recuperar”

“Aún necesitamos fabricantes para diseñar equipo seguro, porque aunque un dispositivo no esté conectado a Internet, siempre habrá algún modo de entrar.”

5 tácticas para prevenir el hackeo de Uber

Posted on

¿Cómo sucedió la violación de datos de Uber que impactó a 57 millones de usuarios y cómo prevenirque le suceda a tu negocio?

El año 2017 ha sido en el que ha habido mayor violación de datos  en los sectores de negocios y alrededor de todo el mundo de acuerdo a los expertos de seguridad informática de Webimprints. Uno de los más recientes incluye a la compañía Uber, que pagó $100,000 USD a hackers para ayudar a cubrir la pérdida de datos de más de 50 millones de usuarios. ¿Cómo se pudo haber prevenido esta falla?

¿Cómo sucedió el hackeo de Uber?

Uber admitió públicamente haber sufrido un incidente con la seguridad en la información en su blog en día 21 de Noviembre del 2017, Bloomberg primeramente publico noticias del hackeo, y anunció que dos hackers accesaron a a los códigos GitHub utilizados por Uber y encontraron credenciales de acceso para la cuenta Uber’s Amazon Web Services (AWS). Los desarrolladores de Uber publicaron un código GitHub que incluía credenciales para la empresa de Uber. Las credenciales le permitieron a los hackers accesos privilegiados de la cuenta a la red de Uber. Los hackers pudieron bajar la información de los usuarios directamente del AWS, y posteriormente pedir el pago de rescate a Uber. Uber pagó $100,000 en Bitcoin  a través de HackerOne, un sitio de bug bounty menciona  Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Uber después pudo identificar al hacker mediante el proceso de pago a través de HackerOne para después lograr que firmaran un acuerdo de confidencialidad. El hacker firmó un NDA y un consentimiento para destruir la información robada. El ataque se hizo público la semana pasada, después de más de un año de que sucedió.

Uber

¿Qué información se perdió en este ataque?

Se incluía información personal de 57 millones de usuarios de alrededor del mundo, según el blog publicado acerca del incidente. También incluía números de licencia de 600,000 conductores de Uber en los Estados Unidos.Uber anunció que información más delicada como localización, números de tarjetas de crédito, números del banco, o seguros sociales y fechas de nacimiento no estuvieron comprometidas.

Uber encubrió el hackeo de la información de lo usuarios.

El actual CEO y co-fundador de UberTravisKalanick, supo de la filtración de información en Noviembre 2016, un mes después de lo ocurrido. Sin embargo, él y su equipo decidieron no  informar acerca de el hackeo, realizando los pagos mediante el sitio de bug bounty y actuando como si las fallas fueran parte del sistema. El nuevo CEO de Uber, Dara Khosrowshahi, supo de la falla en septiembre 2017, dos semanas después de haber tomado su cargo e inmediatamente ordenó una investigación exhaustiva. Después de que la filtración de información se hizo pública, despidió a su jefe de seguridad y uno de sus  encargados por haber ayudado a encubrir el ataque. Joe Sullivan el sobresaliente CSO fue el responsable de separar los asuntos de confidencialidad de la información y del manejo de la información del consumidor. Una reciente investigación de la misma empresa hacia sus operaciones descubrió el ataque y su caso omiso a comunicarlo.

Una de las cosas que la nueva CEO,Khosrowshahi, hizo bien después de enterarse del ataque, fue contratar ayuda de terceros para el tema legal. MattOlsen,  abogado del departamento jurídico del National Security Agency, reorganizará al equipo de seguridad de la empresa, mientras dirigen una investigación independiente acerca de la mencionada violación de datos.

La paga de Uber hacia los atacantes, ha tenido diversas opiniones de los expertos. El experto en seguridad Brain Krebs, la comparó a un pago por ransomware. Otros elogiaron a la compañía por haber pagado para proteger la información de sus clientes. Lo peor del caso ha sido la falla en compartir la información de lo sucedido. Debido a esto,  Uber incumplió las leyes de divulgación en varios Estados. Además, Uber cubrió las fallas mientras estaban negociando un acuerdo con FTC acerca del manejo de información de sus usuarios, cuando Uber incumplió la divulgación de información en el 2014.

Como resultado, Uber ahora sostiene 3 posibles demandas, al menos 5 investigaciones del procurador del estado y una investigación del FTC. Entidades internacionales están de la mano investigando con  la European data protectionauthorities a partir de noviembre. El congreso se ve igualmente involucrado pues ha llamado a los líderes de la empresa Uber a hacer declaraciones. Se levantó un ticket el 30 de Noviembre por la Data Security and BreachNotificationAct, en el que se ordena que las empresas deben reportar las brechas o violaciones a su seguridad en un rango de 30 días, y condenando a 5 años de prisión a quienes escondan mencionadas fallas.

Uber se encuentra actualmente en un proceso de evaluación para incrementar su inversión mediante SoftBank, pero con los planes de que la noticia se haga pública para el 2018, se prevé un impacto negativo en la evaluación de la compañía.

5 tácticas de defensa para prevenir hackeos como el de Uber

Varias tácticas de defensa hubieran sido efectivas para proveer la perdida de información que tuvo Uber:

  1. Autenticación Multifactor. los hackers de Uber tuvieron sus accesos tanto a GitHub como a AWS inmediatamente, No fue dicho como fue que pudieron accesar, pero las credenciales legitimas de Uber con las que se tiene acceso se ven comprometidas. Al implementar autenticación multi-factor, reviene que un hacker obtenga acceso a los sistemas específicos, aun cuando se comprometan credenciales legítimas. Un time-basedsofttoken, hardtoken, SMS (mensajes de texto) o card-basedtoken son maneras efectivas de asegurar los ingresos y puede ayudar a proveer posibles ataques en sistemas vulnerables.
  2. Menor privilegio. Los hackers usaron credenciales de un administrador encontradas en GitHub para acceder al AWS de Uber y filtrar millones de récords de información vulnerable. Una de las estrategias para prevenir este tipo de filtración es restringir los privilegios para los usuarios y administradores de la cuenta. Implementando éste principio, el administrador no tendrá derechos a la información vulnerable dentro de AWS y accesará mediante GitHub. Teniendo este tipo de restricciones, el impacto de una pérdida de la cuenta será mínimo.
  3. Evaluación del peligro. Otra de las maneras sería que mediante ciberseguridad, realizar análisis de seguridad informáticamencionó Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Las compañías pueden revisar sus bienes y sus riesgos para determinar las áreas en las que se necesita mayor control de seguridad. Para Uber esta podría ser los accesos para GitHub y AWS y los depósitos de información vulnerable dentro de AWS, ambos en los que se vería beneficiado por las medidas de acceso controlado.
  4. Monitoreo de seguridad mediante la nube. Uber no sabía de la filtración de datos si no hasta que el hacker los contactó vía e-mail para pedir el rescate..Servicios de Nube, especialmente aquellos que contengan información vulnerable. Si dicho monitoreo estuviera al alcance, Uber hubiera detectado el acceso y la filtración de la información de su red.
  5. Controles de seguridad. Basarse en los riesgos es la manera más efectiva para que las compañías aumenten su inverso en la seguridad informática mencionó Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Realizando una valoración para determinar las áreas de riesgo, los negocios pueden apartar una inversión y esfuerzo a los controles de seguridad que proveerán una reducción considerable en los mencionados riesgos. NIST, CIS/SANS 20 o ISO 27001proveen controles efectivos que pueden ser utilizados en este proceso.

Conclusión

A Uber le hizo falta controles de seguridad fundamentales que pudieron haber prevenido la pérdida de 57 millones de récords de información de sus usuarios explica  Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Accesos remotos y cuentas privilegiadas son dos de los mayores objetivos para los hackers así como vectores de amenaza que necesiten un mayor control de seguridad, Mientras que el pago de Uber a los hackers ayudó a evitar que la información de sus usuarios fuera conocida, su falla en dar a conocer el ataque durante casi un año tendrá repercusiones legales, financieras y en la reputación de la compañía.

¿Cuál es el historia y futuro de Bitcoin?

Posted on

El año 2017 se destacó por ser el año en que el bitcoin se dio a conocer a lo grande.

Comenzó el año valiendo menos de $1,000 pero ha subido más allá de los $17,000. En el 2011, valía menos que un dólar. Ha sido comprado y vendido por inversionistas como una locura, llevando el precio a la alta de acuerdo a los expertos de seguridad informática de Webimprints.

bitcoin

Algunos líderes economistas y financieros han llamado al bitcoin una burbuja y un fraude, pero los que están dentro de la industria opinan que se va  a volver tan grande como lo vayan aceptando.

¿Cómo funciona este cambio de moneda virtual y qué hay detrás de su alza tan espectacular?

¿Qué es el bitcoin?

Bitcoin (XBT) fue creado en el 2009 por un desconocido usando el seudónimo de SatoshiNakamoto. Muchos de sus financiadores lo vieron como una simple método de pago global para cualquiera que quisiera usarlo en lugar de un activo para el intercambio entre inversionistas.

A diferencia del dólar estadounidense o el yen japonés, las monedas digitales como el bitcoin no las regula el banco central como Reserva Federal, en cambio, son “extraídas” por computadoras utilizando algoritmos complejos.

Los pagos con bitcoin se pueden hacer sin intermediarios como los bancos y sin necesidad de dar tu nombre.

Eso fue lo que hizo al bitcoin tan popular para los criminales y aquellos que quisieran mover dinero de manera anónima. Se ha tomado como método de pago en negocios al rededor del mundo para pagar alimentos, pasajes de tren o cortes de cabello.

Casas de intercambios o mercados permiten que la gente venda o compre bitcoins utilizando diferentes tipos de cambio. Mediante apps en las computadoras o en el celular, la gente se puede enviar bitcoins. Es similar al envío de dinero digitalmente, y  se cobra una tarifa por cada transacción, menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Los bitcoin se guardan en una “cartera digital”, una cuenta de banco virtual que le permite a los usuarios mandar o recibir  bitcoins, así como pagar por sus bienes o guardar su dinero.

Debido a que inversionistas han mostrado interés, su precio ha subido bastante.

Los gobiernos nacionales han intentado mantener el ritmo y  encontrar la manera de regular el bitcoin y otras ciber-divisas. Países como China y Venezuela han mostrado interés en crear su propia moneda digital.

¿Por qué los precios se han alocado?

Algunos expertos comentan que la razón por la que el precio de los bitcoin ha aumentado tanto, ha sido por la alza de precios.

Inversionistas han comprado mediante “FOMO” (thefear of missingout), según DaveChapman, director general de OctagonStrategy, una base de intercambio de cripta-divisas en Hong Kong.

“Hay muchas especulaciones respecto a este mercado,”exclamó.

Los bitcoin se han aumentado debido a la disposición de muchos reguladores financieros que están tomando la moneda digital, exclamó Chapman.

El gobierno japonés, por ejemplo, le dio el sello de aprobación y comenzó a utilizar la licencia de intercambio de bitcoin a principios de este año.

La única negativa ha sido China, que ha estado restringiendo los usos de la moneda virtual.

Algunos anuncios de instituciones financieras en los Estados Unidos han apoyado al bitcoin para ganar mayor aceptación.

Este mes, inversionistas podrán comenzar con el intercambio de bitcoins mediante el Chicago BoardOptions Exchange y el Chicago Mercantile Exchange.

El Nasdaq de Nueva York planea lanzar su propia bitcoin en el 2018.

“El hecho de que tanto CME, CBOE como Nasdaq ofrezcan productos mediante bitcoins da legitimidad adicional” a la divisa digital, dijo Chapman.

¿Quiénes la están comprando?

Durante este año, han sido inversionistas mom-and-pop que la han estado comprando.

La mayoría han sido en Japón y Corea del Sur, en donde las regulaciones recientes han hecho que se mas fácil el intercambio con bitcoins, según expertos.

Pero la mayor parte de las ganancias de la divisa virtual están siendo concentradas dentro de un numero muy pequeño de inversionistas.

Cuando inviertes en bitcoin, no tienes que comprar toda la unidad. De acuerdo BitInfoChart, un sitio de investigación, la gran mayoría de cuentas de bitcoin, contienen 0.1 de bitcoin o incluso menos. Sólo el 3% de más de 20 millones de cuentas tienen más de un bitcoin dice Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Inversionistas de instituciones como fondos especulativos y gerentes de bienes se han mantenido al margen. Pero algunos expertos pronostican que se metan a este mercado en los próximos meses, a pesar del escepticismo del Warren Buffett de JamieDimon, CEO de JPMorgan Chase.

¿Qué viene después?

Algunos conocedores de la industria están siendo completamente optimistas.

Arthur Hayes, el CEO de Bitmex en Hong Kong, prevé que los precios pueden llegar hasta $50,000 a finales del próximo año, debido al flujo de dinero que haya cuando inversionistas decidan hacer inversiones en la divisa digital.

Chapman incluso prevé que van a ir más allá de los $100,000 antes de que el año 2018 termine.

Con un valor total de $270 billones, el mercado del bitcoin es pequeño a comparación de los bienes mayormente establecidos.

“Es una gota en el océano comparado con los trillones de transacciones realizadas diariamente” en divisas y mercados de valores dijo Thomas Glucksmann, director de marketing en Gatecoin (intercambio de bitcoin en Hong Kong). Sólo una pequeña cantidad de inversionistas podrían hacer la diferencia en el precio del bitcoin, mencionó.

Pero algunos veteranos de la industria financiera son cautelososacuerdo a los expertos de seguridad informáticade Webimprints.Iness de Onda (Conversor de divisas), que ha trabajado en el intercambio de divisas por décadas, hizo referencia a un consejo muy aclamado del Buffet: “Teme cuando los demás están siendo codiciosos.”

“Seguir a la manada raramente produce ganancias a gran escala,” mencionó Iness.

Inversionistas tuvieron un recordatorio de la impredictibilidad del bitcoin en Diciembre, después de haber llegado a los $18,000; se hundió más de $1,000 previo a resumir su asenso.