Month: December 2017
¿Cómo funciona el nuevo malwares “sin archivos”?
A diferencia de los ataques que se llevan a cabo utilizando un malware tradicional, los ataques del malware “sin archivos” no hacen que los hackers instalen algún software en la máquina de la víctima. En lugar de eso, los atacantes toman herramientas que están incorporadas a Windows y las usan para llevar a cabo el ataque. Esencialmente, Windows se ataca así mismo.
El hecho de que un malware tradicional no se use es un punto importante. Esto significa que no hay una firma de antivirus para detectar, así decrece la efectividad de estos programas detectando los ataques del malware sin archivos, y mientras la siguiente generación de productos de seguridad afirma detectar actividad de PowerShell maliciosa, la realidad es que descubrir malware sin archivos es un verdadero retoexplica Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).
¿Cómo funciona éste malware?
Éste ataque involucra tomar por default las herramientas de Windows, particularmente PowerShell y Windows Management Instrumentation (WMI), y lo utiliza para actividad maliciosa, como mover información a otras máquinas. PowerShell y WMI son herramientas de la preferencia de los hackers ya que están instaladas en cada máquina de Windows, capaz de llevar a cabo comandos (PowerShell por ejemplo, puede ser utilizada para automatizar tareas en múltiples máquinas) y han sido incorporadas al flujo de trabajo diario de muchos profesionales de IT, haciendo casi imposible que los trabajadores se priven de su uso.
Usando programas legítimos hace que estos ataques sean casi indetectables para la mayoría de programas de seguridad e incluso analistas de seguridad. La razón es muy sencilla: ya que PowerShell y WMI son programas legítimos, cualquier comando que ejecuten se asume como legitimo explica Jim Gil, un experto de seguridad informática.
POWERSHELL
Es un lenguaje de programación que provee acceso sin precedentes al interior de una máquina, incluyendo acceso irrestricto a las API de Windows.
PowerShell también ofrece el beneficio de ser una parte inherente de Windows que es completamente confiable para que así los comandos que ejecute sean usualmente ignorados por el software de seguridad explica Jim Gil, un experto de seguridad informáticade International Institute of Cyber Security (IICS).
La habilidad de PowerShell de correr remotamente a través de WinRM la hace una herramienta aun mas atractiva. Ésta característica permite a los hackers pasar el Firewall de Windows, correr la programación de PowerShell o simplemente iniciar una sesión interactiva de PowerShell, otorgando un control completo de administración sobre un endpoint. Si WinRM se apaga, se puede prender a través de WMI usando una sola línea de código.
Usar PowerShell en el malware sin archivos, borra completamente la linea entre comprometer sólo una máquina y comprometer una empresa. El momento en el que el hacker tiene un nombre de usuario y contraseña para una máquina (que pueden ser fácilmente obtenidas mediante los escenarios de PtH y PtT), el camino para complementar la acción queda completamente abierto.
Acercamientos tradicionales a la seguridad quedan inservibles frente el malware sin archivos que utiliza PowerShell ya que la herramienta es de renombre, tiene una firma confiable, se baja carga directamente a través de la memoria del sistema (el cual no puede ser escaneado al tanteo) y tiene acceso libre al sistema operativo porque es una parte integral de Windows.
WINDOWS MANAGEMENT INSTRUMENTATION (WMI)
WMI permite a los administradores realizar varias acciones , como juntar métricas, instalas software y actualizaciones o hacer consultas al sistema operativo. WMI tiene acceso a todos los recursos de una computadora, y se divide en clases para diferentes tareas como ejecutar archivos, borrar y copiar archivos y cambiar los valores de registro. Ésta herramienta está puesta en cada versión moderna de Windows y es la columna de los “agentless”.
Éstas características hacen que WMI sea una bendición pues permite que los administradores realicen tareas muy rápido, pero cuando es usada para operaciones maliciosas se convierte en una maldición. De la misma manera en la que un administrador utiliza WMI para consultar métricas y ejecutar códigos, un hacker lo puede usar para sigilosamente correr un código malicioso a través de una red de computadoras. WMI permite la persistencia para auto-correr programas sigilosamente en el inicio o basado en eventos específicos. WMI no puede ser desinstalado, pero puede ser desabilitado. Sin embargo, esto perjudica y limita lo que el administrador pueda hacer, como actualizaciones de software en varias computadoras.
EJEMPLOS DE ATAQUES DEL MALWARE SIN ARCHIVOS
Mientras que este malware no es tan conocido como los ransomware o algunos otros cybernasties, estos ataques son un mayor problema de seguridad y usado en muchos ataques. De hecho, Cybereason ha visto el malware sin archivos utilizarse en varias campañas incluyendo OperationCobaltKitty, que apuntaba a un corporativo importante de Asia. Los hackers desarrollaron una infraestructura de PowerShell sofisticado y lo usaron para soltar un payload de PowerShell que consiste en un payloadCobaltStrike’sBeacon en la computadora de la víctima, así como buscar playloads desde el servidor de comando y control. Usando PowerShell para ejecutar los comandos maliciosos permite a los hackers operar sin que sean detectados por casi seis meses menciona Jim Gil, un experto de seguridad informáticadel International Institute of Cyber Security (IICS). Ya que un programa de confianza ejecutó estos comandos, el staff de la seguridad de la compañía así como las herramientas de seguridad asumen que los comandos eran legítimos acuerdo a expertos de seguridad informáticade Webimprints.
Otro de los incidentes detectados por el Cybereason demuestra que tan frecuentes se han vuelto los ataques de este malware. Las operaciones de seguridad del equipo de Cybereason observaron actividad inusual en enPowerShell en el ambiente de un cliente. Supuestamente un administrador había ejecutado una sesión de PowerShell usando un comando codificado mediante una línea de comandos. Sin embargo, este comportamiento es típicamente atribuido a una escritura automatizada, no una persona. Después de investigar el incidente, el equipo de operaciones de seguridad determinó que el equipo rojo de la compañía estaba realizando pruebas de penetración y había incorporado el malware Sin archivos a su ejercicio. Si este malware no fuera una preocupación entre los profesionales de la seguridad, los equipos rojos no lo estarían añadiendo a sus pruebas.
LA CRECIENTE AMENAZA DEL MALWARE SIN ARCHIVOS
Técnicamente, estos ataques no son nuevos. Muchas de las técnicas utilizadas por este malware han estado presentes desde hace tiempo. Las explotaciones “in-memory” eran prominentes en el virus SQL Slammer de inicios del 2000, pero el desarrollo y distribución a gran escala de los kits de explosión ha hecho que los ataques del Sin archivos sean mucho más común. Por ejemplo, los marcos ofensivos del PowerShell como Metasploit y CobaltStrike son especialmente abusados ya que pueden ser utilizados para crear ataques de payload de PowerShell.
Y, por supuesto, los ataques de Sin archivos llaman la atención de los hackers pues los softwares de antivirus no pueden detectarlos y muchas herramientas avanzadas de seguridad batallan mucho encontrando el uso malicioso del PowerShell.
La dificultad que las organizaciones enfrentan en detectar estos ataques combinado con la disponibilidad de estas técnicas es realmente la razón de porque esta táctica esta siendo adoptada exponencialmente. Ya no es una técnica fraudulenta, un tercio de organizaciones encuestadas por la SANS 2017 ThreatLandscape reportó haber pasado por ataques del Sin archivos.
DETECCIÓN Y PREVISIÓN DEL SIN ARCHIVOS MALWARE
¿Qué lo hace tan difícil de detectar?
Estos ataques están principalmente en la memoria y usan el sistema legitimo de herramientas para ejecutar y propagarse, haciendo del uso del PowerShell algo legítimo y la actividad del hacker algo muy difícil de encontrar. PowerShell es utilizado por los administradores de IT para realizar varias actividades en un día así que el uso excesivo del PowerShell no es sospecha alguna. Debido a que PowerShell se utiliza muy frecuentemente, los profesionales de seguridad no cuentan con el tiempo de revisar cosas, accesos, notar sospechas e investigar el incidente según expertos de seguridad informática de Webimprints.
Además, ciertas características en PowerShell hacen que sea difícil averiguar cuando la herramienta está siendo utilizada por hackers. Por ejemplo, PowerShell 2, que es la versión más utilizada de esta herramienta, genera eventos de acceso que informan cuando el motor se prende y se apaga, pero no da mucha información. Esto significa que estos accesos pueden no ser analizados para determinar si un payload malicioso fue puesto en marcha.
En PowerShell 3, Microsoft añade la opción para un acceso manual, que permite a los analistas y productos de seguridad determinar si los archivos escritos fueron invocados y los parámetros correspondientes que les pasaron. El módulo de acceso tiene sus defectos: analistas y productos de seguridad pueden no estar disponibles para manejar la cantidad de información que produce PowerShell incluye innovaciones de seguridad pero no están disponibles por default y los hackers pueden evadir estas características regresando a la versión 2.
Un error common es pensar que al desactivar PowerShell se podrán prevenir los ataques del Sin archivos. Desafortunadamente, este acercamiento sólo hará que los trabajos de los profesionales de IT sean más retadores. Microsoft ha hecho del uso de PowerShell algo casi esencial en sus productos. Por ejemplo, empezando con el Exchange 2007, Microsoft diseñó el GUI que sólo permite a los usuarios completar las funciones administrativas comunes. A PowerShell se le pide llevar funciones menos comunes. Adicional, todos los productos de Microsoft usarán PowerShell. Si los administradores se vuelven hábiles en PowerShell, entonces podrán manejar los productos más nuevos de Microsoft. Restringir el uso de PowerShell limita las habilidades de los administradores para perfeccionar habilidades que les ayuden en sus carreras.
¿Cómo puede un profesional de seguridad saber si se está usando PowerShell en contra de una empresa? La detección por conducta es la mejor manera para responder esa pregunta. Buscar señales asociadas a un mal uso de PowerShell (como una sesión de PowerShell ejecutada usando un comando codificado mediante una linea de comandos), provee al equipo de seguridad evidencia que necesitan para investigar incidentes que pueden ser la instancia del mal uso de PowerShell.
Escuelas advierten de sistemas de calefacción que son hackeables.
Se han encontrado sistemas de calefacción vulnerables para los hackers en decenas de escuelas británicas de acuerdo a una prueba realizada por la firma de seguridad informática.
Los socios de Pen Test dicen que el problema fue causado por los controladores del equipo pues estaban conectados a Internet más ancho de acuerdo a la guía de manufactura.
Dice que era relativamente más sencillo para traviesos apagarlos de lejos.
Pero un arreglo fácil como sacar los cables de la red, puede direccionar la amenaza.
Aún así, la compañía sugiere que el descubrimiento del problema en el sistema de dirección del edificio señala que usualmente son instalados por electricistas o ingenieros que necesitan conocer más sobre seguridad informática.
“Sería demasiado sencillo para alguien con conocimientos básicos de computación, apagar el sistema de calefacción en una escuela, son sólo unos clicks y escribir códigos” el fundador de Pen Test, Ken Munro mencionó.
“Es un reflejo del estado actual de la situación de seguridad informática.
“Los instaladores necesitan mejorar su técnica, pero los fabricantes deben hacer más para que sus sistemas sean a prueba de tontos y no se puedan configurar de esta manera.”
La compañía de seguridad informática realizo este descubrimiento mirando la administración de los controladores de sistemas del edificio hechos por Trend Control Systems mediante el IoT y su herramienta de búsqueda Shodan menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).
Supo que un modelo sacado en el 2003, podría estar comprometido cuando estuviera expuesto directamente a la red, aun cuando estuviera corriendo el firmware más reciente.
Además de las escuelas, dijo que ha visto casos que involucran tiendas retail, oficinas de gobierno, negocios y bases militares.
Pen Test hizo una entrada en su blog acerca de sus descubrimientos en la semana, pero la BBC retrasó el reporte del problema hasta que contactó y alertó a las escuelas que podían ser identificadas.
Expertos de seguridad informática de Webimprints aconseja a sus clientes a usar trabajadores de IT para evitar el problema.
Pero responde a la crítica que pudo haber hecho más para revisar que la instalación fue propiamente realizada después de lo sucedido.
“IICS se toma muy en serio la seguridad cibernética y regularmente se comunica con los clientes para hacer los dispositivos y conexiones lo más seguro posible” dijo JIm experto de seguridad informática.
“Esto incluye la importancia de configurar sistemas detrás del firewall o una red privada virtual, y asegurar que los sistemas tengan al menos un firmware y otras actualizaciones de seguridad para mitigar el riesgo de los accesos no autorizados”.
Añadió, sin embargo que la compañía “evalúa y prueba la efectividad” de sus prácticas actuales.
Un investigador independiente de seguridad explicó la amenaza a los que están expuestos, pero añadió que el casi levantó situaciones que deben de ser tomadas en cuenta.
“El riesgo es limitado porque los criminales tienen poca iniciativa para llevar acabo dichos ataques, y aun si lo hicieran, les será posible a los administradores del edificio notar que algo esta pasando y tomar control manual.” mencionó Dr Steven Murdoch, de University College London.
“Sin embargo, estos problemas muestran el potencial para escenarios mas peligrosos en un futuro, ya que mas dispositivos se conectan al internet y las fallas son más difíciles de recuperar”
“Aún necesitamos fabricantes para diseñar equipo seguro, porque aunque un dispositivo no esté conectado a Internet, siempre habrá algún modo de entrar.”
5 tácticas para prevenir el hackeo de Uber
¿Cómo sucedió la violación de datos de Uber que impactó a 57 millones de usuarios y cómo prevenirque le suceda a tu negocio?
El año 2017 ha sido en el que ha habido mayor violación de datos en los sectores de negocios y alrededor de todo el mundo de acuerdo a los expertos de seguridad informática de Webimprints. Uno de los más recientes incluye a la compañía Uber, que pagó $100,000 USD a hackers para ayudar a cubrir la pérdida de datos de más de 50 millones de usuarios. ¿Cómo se pudo haber prevenido esta falla?
¿Cómo sucedió el hackeo de Uber?
Uber admitió públicamente haber sufrido un incidente con la seguridad en la información en su blog en día 21 de Noviembre del 2017, Bloomberg primeramente publico noticias del hackeo, y anunció que dos hackers accesaron a a los códigos GitHub utilizados por Uber y encontraron credenciales de acceso para la cuenta Uber’s Amazon Web Services (AWS). Los desarrolladores de Uber publicaron un código GitHub que incluía credenciales para la empresa de Uber. Las credenciales le permitieron a los hackers accesos privilegiados de la cuenta a la red de Uber. Los hackers pudieron bajar la información de los usuarios directamente del AWS, y posteriormente pedir el pago de rescate a Uber. Uber pagó $100,000 en Bitcoin a través de HackerOne, un sitio de bug bounty menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Uber después pudo identificar al hacker mediante el proceso de pago a través de HackerOne para después lograr que firmaran un acuerdo de confidencialidad. El hacker firmó un NDA y un consentimiento para destruir la información robada. El ataque se hizo público la semana pasada, después de más de un año de que sucedió.
¿Qué información se perdió en este ataque?
Se incluía información personal de 57 millones de usuarios de alrededor del mundo, según el blog publicado acerca del incidente. También incluía números de licencia de 600,000 conductores de Uber en los Estados Unidos.Uber anunció que información más delicada como localización, números de tarjetas de crédito, números del banco, o seguros sociales y fechas de nacimiento no estuvieron comprometidas.
Uber encubrió el hackeo de la información de lo usuarios.
El actual CEO y co-fundador de UberTravisKalanick, supo de la filtración de información en Noviembre 2016, un mes después de lo ocurrido. Sin embargo, él y su equipo decidieron no informar acerca de el hackeo, realizando los pagos mediante el sitio de bug bounty y actuando como si las fallas fueran parte del sistema. El nuevo CEO de Uber, Dara Khosrowshahi, supo de la falla en septiembre 2017, dos semanas después de haber tomado su cargo e inmediatamente ordenó una investigación exhaustiva. Después de que la filtración de información se hizo pública, despidió a su jefe de seguridad y uno de sus encargados por haber ayudado a encubrir el ataque. Joe Sullivan el sobresaliente CSO fue el responsable de separar los asuntos de confidencialidad de la información y del manejo de la información del consumidor. Una reciente investigación de la misma empresa hacia sus operaciones descubrió el ataque y su caso omiso a comunicarlo.
Una de las cosas que la nueva CEO,Khosrowshahi, hizo bien después de enterarse del ataque, fue contratar ayuda de terceros para el tema legal. MattOlsen, abogado del departamento jurídico del National Security Agency, reorganizará al equipo de seguridad de la empresa, mientras dirigen una investigación independiente acerca de la mencionada violación de datos.
La paga de Uber hacia los atacantes, ha tenido diversas opiniones de los expertos. El experto en seguridad Brain Krebs, la comparó a un pago por ransomware. Otros elogiaron a la compañía por haber pagado para proteger la información de sus clientes. Lo peor del caso ha sido la falla en compartir la información de lo sucedido. Debido a esto, Uber incumplió las leyes de divulgación en varios Estados. Además, Uber cubrió las fallas mientras estaban negociando un acuerdo con FTC acerca del manejo de información de sus usuarios, cuando Uber incumplió la divulgación de información en el 2014.
Como resultado, Uber ahora sostiene 3 posibles demandas, al menos 5 investigaciones del procurador del estado y una investigación del FTC. Entidades internacionales están de la mano investigando con la European data protectionauthorities a partir de noviembre. El congreso se ve igualmente involucrado pues ha llamado a los líderes de la empresa Uber a hacer declaraciones. Se levantó un ticket el 30 de Noviembre por la Data Security and BreachNotificationAct, en el que se ordena que las empresas deben reportar las brechas o violaciones a su seguridad en un rango de 30 días, y condenando a 5 años de prisión a quienes escondan mencionadas fallas.
Uber se encuentra actualmente en un proceso de evaluación para incrementar su inversión mediante SoftBank, pero con los planes de que la noticia se haga pública para el 2018, se prevé un impacto negativo en la evaluación de la compañía.
5 tácticas de defensa para prevenir hackeos como el de Uber
Varias tácticas de defensa hubieran sido efectivas para proveer la perdida de información que tuvo Uber:
- Autenticación Multifactor. los hackers de Uber tuvieron sus accesos tanto a GitHub como a AWS inmediatamente, No fue dicho como fue que pudieron accesar, pero las credenciales legitimas de Uber con las que se tiene acceso se ven comprometidas. Al implementar autenticación multi-factor, reviene que un hacker obtenga acceso a los sistemas específicos, aun cuando se comprometan credenciales legítimas. Un time-basedsofttoken, hardtoken, SMS (mensajes de texto) o card-basedtoken son maneras efectivas de asegurar los ingresos y puede ayudar a proveer posibles ataques en sistemas vulnerables.
- Menor privilegio. Los hackers usaron credenciales de un administrador encontradas en GitHub para acceder al AWS de Uber y filtrar millones de récords de información vulnerable. Una de las estrategias para prevenir este tipo de filtración es restringir los privilegios para los usuarios y administradores de la cuenta. Implementando éste principio, el administrador no tendrá derechos a la información vulnerable dentro de AWS y accesará mediante GitHub. Teniendo este tipo de restricciones, el impacto de una pérdida de la cuenta será mínimo.
- Evaluación del peligro. Otra de las maneras sería que mediante ciberseguridad, realizar análisis de seguridad informáticamencionó Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Las compañías pueden revisar sus bienes y sus riesgos para determinar las áreas en las que se necesita mayor control de seguridad. Para Uber esta podría ser los accesos para GitHub y AWS y los depósitos de información vulnerable dentro de AWS, ambos en los que se vería beneficiado por las medidas de acceso controlado.
- Monitoreo de seguridad mediante la nube. Uber no sabía de la filtración de datos si no hasta que el hacker los contactó vía e-mail para pedir el rescate..Servicios de Nube, especialmente aquellos que contengan información vulnerable. Si dicho monitoreo estuviera al alcance, Uber hubiera detectado el acceso y la filtración de la información de su red.
- Controles de seguridad. Basarse en los riesgos es la manera más efectiva para que las compañías aumenten su inverso en la seguridad informática mencionó Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Realizando una valoración para determinar las áreas de riesgo, los negocios pueden apartar una inversión y esfuerzo a los controles de seguridad que proveerán una reducción considerable en los mencionados riesgos. NIST, CIS/SANS 20 o ISO 27001proveen controles efectivos que pueden ser utilizados en este proceso.
Conclusión
A Uber le hizo falta controles de seguridad fundamentales que pudieron haber prevenido la pérdida de 57 millones de récords de información de sus usuarios explica Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Accesos remotos y cuentas privilegiadas son dos de los mayores objetivos para los hackers así como vectores de amenaza que necesiten un mayor control de seguridad, Mientras que el pago de Uber a los hackers ayudó a evitar que la información de sus usuarios fuera conocida, su falla en dar a conocer el ataque durante casi un año tendrá repercusiones legales, financieras y en la reputación de la compañía.
¿Cuál es el historia y futuro de Bitcoin?
El año 2017 se destacó por ser el año en que el bitcoin se dio a conocer a lo grande.
Comenzó el año valiendo menos de $1,000 pero ha subido más allá de los $17,000. En el 2011, valía menos que un dólar. Ha sido comprado y vendido por inversionistas como una locura, llevando el precio a la alta de acuerdo a los expertos de seguridad informática de Webimprints.
Algunos líderes economistas y financieros han llamado al bitcoin una burbuja y un fraude, pero los que están dentro de la industria opinan que se va a volver tan grande como lo vayan aceptando.
¿Cómo funciona este cambio de moneda virtual y qué hay detrás de su alza tan espectacular?
¿Qué es el bitcoin?
Bitcoin (XBT) fue creado en el 2009 por un desconocido usando el seudónimo de SatoshiNakamoto. Muchos de sus financiadores lo vieron como una simple método de pago global para cualquiera que quisiera usarlo en lugar de un activo para el intercambio entre inversionistas.
A diferencia del dólar estadounidense o el yen japonés, las monedas digitales como el bitcoin no las regula el banco central como Reserva Federal, en cambio, son “extraídas” por computadoras utilizando algoritmos complejos.
Los pagos con bitcoin se pueden hacer sin intermediarios como los bancos y sin necesidad de dar tu nombre.
Eso fue lo que hizo al bitcoin tan popular para los criminales y aquellos que quisieran mover dinero de manera anónima. Se ha tomado como método de pago en negocios al rededor del mundo para pagar alimentos, pasajes de tren o cortes de cabello.
Casas de intercambios o mercados permiten que la gente venda o compre bitcoins utilizando diferentes tipos de cambio. Mediante apps en las computadoras o en el celular, la gente se puede enviar bitcoins. Es similar al envío de dinero digitalmente, y se cobra una tarifa por cada transacción, menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).
Los bitcoin se guardan en una “cartera digital”, una cuenta de banco virtual que le permite a los usuarios mandar o recibir bitcoins, así como pagar por sus bienes o guardar su dinero.
Debido a que inversionistas han mostrado interés, su precio ha subido bastante.
Los gobiernos nacionales han intentado mantener el ritmo y encontrar la manera de regular el bitcoin y otras ciber-divisas. Países como China y Venezuela han mostrado interés en crear su propia moneda digital.
¿Por qué los precios se han alocado?
Algunos expertos comentan que la razón por la que el precio de los bitcoin ha aumentado tanto, ha sido por la alza de precios.
Inversionistas han comprado mediante “FOMO” (thefear of missingout), según DaveChapman, director general de OctagonStrategy, una base de intercambio de cripta-divisas en Hong Kong.
“Hay muchas especulaciones respecto a este mercado,”exclamó.
Los bitcoin se han aumentado debido a la disposición de muchos reguladores financieros que están tomando la moneda digital, exclamó Chapman.
El gobierno japonés, por ejemplo, le dio el sello de aprobación y comenzó a utilizar la licencia de intercambio de bitcoin a principios de este año.
La única negativa ha sido China, que ha estado restringiendo los usos de la moneda virtual.
Algunos anuncios de instituciones financieras en los Estados Unidos han apoyado al bitcoin para ganar mayor aceptación.
Este mes, inversionistas podrán comenzar con el intercambio de bitcoins mediante el Chicago BoardOptions Exchange y el Chicago Mercantile Exchange.
El Nasdaq de Nueva York planea lanzar su propia bitcoin en el 2018.
“El hecho de que tanto CME, CBOE como Nasdaq ofrezcan productos mediante bitcoins da legitimidad adicional” a la divisa digital, dijo Chapman.
¿Quiénes la están comprando?
Durante este año, han sido inversionistas mom-and-pop que la han estado comprando.
La mayoría han sido en Japón y Corea del Sur, en donde las regulaciones recientes han hecho que se mas fácil el intercambio con bitcoins, según expertos.
Pero la mayor parte de las ganancias de la divisa virtual están siendo concentradas dentro de un numero muy pequeño de inversionistas.
Cuando inviertes en bitcoin, no tienes que comprar toda la unidad. De acuerdo BitInfoChart, un sitio de investigación, la gran mayoría de cuentas de bitcoin, contienen 0.1 de bitcoin o incluso menos. Sólo el 3% de más de 20 millones de cuentas tienen más de un bitcoin dice Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).
Inversionistas de instituciones como fondos especulativos y gerentes de bienes se han mantenido al margen. Pero algunos expertos pronostican que se metan a este mercado en los próximos meses, a pesar del escepticismo del Warren Buffett de JamieDimon, CEO de JPMorgan Chase.
¿Qué viene después?
Algunos conocedores de la industria están siendo completamente optimistas.
Arthur Hayes, el CEO de Bitmex en Hong Kong, prevé que los precios pueden llegar hasta $50,000 a finales del próximo año, debido al flujo de dinero que haya cuando inversionistas decidan hacer inversiones en la divisa digital.
Chapman incluso prevé que van a ir más allá de los $100,000 antes de que el año 2018 termine.
Con un valor total de $270 billones, el mercado del bitcoin es pequeño a comparación de los bienes mayormente establecidos.
“Es una gota en el océano comparado con los trillones de transacciones realizadas diariamente” en divisas y mercados de valores dijo Thomas Glucksmann, director de marketing en Gatecoin (intercambio de bitcoin en Hong Kong). Sólo una pequeña cantidad de inversionistas podrían hacer la diferencia en el precio del bitcoin, mencionó.
Pero algunos veteranos de la industria financiera son cautelososacuerdo a los expertos de seguridad informáticade Webimprints.Iness de Onda (Conversor de divisas), que ha trabajado en el intercambio de divisas por décadas, hizo referencia a un consejo muy aclamado del Buffet: “Teme cuando los demás están siendo codiciosos.”
“Seguir a la manada raramente produce ganancias a gran escala,” mencionó Iness.
Inversionistas tuvieron un recordatorio de la impredictibilidad del bitcoin en Diciembre, después de haber llegado a los $18,000; se hundió más de $1,000 previo a resumir su asenso.
ProcessDoppelgänging: nueva técnica de evasión de Antivirus
Un equipo de investigadores de seguridad informática ha descubierto un nuevo malware de técnicas de evasión que podría ayudar a otros autores de malware a derrotar la mayoría de las soluciones de antivirus modernos y herramientas del forense
El apodado proceso Doppelgänging es un nuevo código inyectado sin archivos cuya técnica tiene ventajas en las funciones Preconstruidos de Windows y una implementación sin documentos de los procesos cargados de Windows
Los investigadores de seguridad informática de Ensilo Tal Liberman and Eugene Kogan quienes descubrieron este ataque, presentaron sus hallazgos hoy en la conferencia llevada cabo en Londres en el Black Hat 2017 Security conference.
Funciona en todas las versiones de Windows
Aparentemente el ataque proceso Doppelgänging funciona en todas las versiones modernas de sistema operativo de Microsoft Windows empezando por Windows vista hasta la versión de Windows 10.
Tal Liberman, la cabeza del equipo de investigación de EnSilo comunicó que esta invasión del malware es similar al proceso Hollowing, un método que se introdujo hace años por atacantes para vencer las capacidades de mitigación de los productos de seguridad informática.
En el proceso del Hollowing, los hackers remplazan la memoria de procesos legítimos con un código malicioso para que el segundo código se ejecute en lugar del original engañando a las herramientas de monitoreo y al antivirus haciéndoles creer que el proceso original está siendo ejecutado.
Desde que los antivirus modernos y productos de seguridad informática han sido mejorados para detectar procesos de ataque como Hollowing, el uso de esta técnica no es tan buena idea.
Por otra parte, el proceso Doppelgänging es un enfoque completamente diferente que logra lo mismo, abusando de las transacciones de NTFS de Windows y una implementación obsoleta del cargador del proceso, que originalmente fue diseñado por Windows XP, pero cargado a través de las versiones posteriores de Windows.
¿Cómo funciona el ataque del Doppelgänging?
Antes de adentrarnos en cómo esta inyección del código funciona, necesitas entender lo que es una transacción NTFS de Windows y como un hacker puede aprovecharlo para llevar a cabo sus acciones.
La transacción NTFS es una función de Windows que trae el concepto de transacciones atómicas al archivo del sistema NTFS, permitiendo que archivos y directorios sean creados modificados renombrados y eliminados automáticamente
La transacción NTFS es un espacio apartado que permite que los desarrolladores de la aplicación de Windows, escriban las rutinas de un archivo output que están aseguradas que van a salir completamente exitosas o a fallar absolutamente, nos menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).
Según el investigador, ProcessDoppelgänging es un ataque sin archivos y funciona en cuatro pasos que mencionamos a continuación:
- Transact- procesa una ejecución legitima a la transacción NTFS y luego lo sobre-escribe con un archivo malicioso
- Load- crea una sección de memoria desde el archivo malicioso
- Rollback- reduce la transacción, (deliberadamente hace que falle), resultando en que se tengan que quitar todos los cambios en la ejecución legitima como si nunca hubieran existido
- Animate- trae al doppelganger (la copia) a la vida. Utiliza la vieja implementación del cargador de procesos de Windows para crear procesos con la memoria previamente creada (en el paso 2), que es maliciosa y jamás fue guardada en el disco, “haciéndola invisible para la mayoría de las herramientas de grabación tales como EDRs modernos”.
El ProcessDoppelgänging evade la detección de la mayoría de los antivirus
Liberman comentó en The Hacker News que durante su investigación probaron el ataque en productos de seguridad informática de Windows Defender, KasperskyLabs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda, e incluso en herramientas avanzadas del forense.
Para demostrarlo, los investigadores utilizaron Mimikatz, una herramienta post-exploratoria que ayuda a extraer los accesos de los sistemas afectados, con ProcessDoppelgänging para realizar una detección antivirus.
Cuando los investigadores ejecutaron Mimikatz en un sistema operacional de Windows, Symantec antivirus solution, encontró la herramienta inmediatamente, como lo podemos ver a continuación:
Sin embargo, Mimikatzs se ejecutó sigilosamente, sin que el antivirus diera aviso alguno cuando se estuviera ejecutando usando el ProcessDoppelgänging, mostrado en la imagen inicial de este artículo.
Liberman comentó que el ProcessDoppelgänging funciona incluso en la última versión de Windows 10, exceptuando Windows 10 Redstone y FallCreatorsUpdate, lanzados a principios de este año.
Pero debido a un virus diferente en Windows 10 Redstome y FallCreatorsUpdate, usar ProcessDoppelgänging ocasiona BSOD (bluescreen of death), que colisiona las computadoras de los usuarios.
Irónicamente, el virus fue parchado por Microsoft en las actualizaciones posteriores, permitiendo que el ProcessDoppelgänging, corra en las versiones más recientes de Windows 10 acuerdo a los expertos de seguridad informáticade webimprints.
No espero que Microsoft intervenga rápidamente con un parche que pueda hacer que los softwares se apoyan en versiones implementadas inestables, pero sí que las compañías de antivirus puedan mejorar sus productos para detectar programas maliciosos que estén utilizando ProcessDoppelgänging o ataques similares.
Esta no es la primera vez que investigadores de EnSilo han descubierto malwares de técnicas de evasión. Anteriormente descubrieron y demostraron AtomBombing technique que abusa también de unan debilidad en el diseño del sistema operativo de Windows.
En septiembre, los investigadores de EnSilo, divulgaron un error de 17 años en la programación de Microsoft Windows kernel que previene que los software de seguridad detecten malware en tiempo de ejecución cuando se baja al sistema de memoria.
Alemania prohíbe el uso de smartwatches para niños y les pide a los padres destruirlos
La Federal Network Agency es el regulador de la Telecom de Alemania que es el encargado de revisar las telecomunicaciones de Alemania, ha prohibido que los niños utilicen smartwatches pues los clasifica como aparatos para espiar. Así mismo, les pidió a los padres que destruyeran estos aparatos (los smartwatches o relojes inteligentes) que son usados principalmente por niños en un rango de edad de 5 a 12 años de acuerdo a los expertos de seguridad informática de webimprints.
La decisión llegó meses después de que la misma agencia prohibiera la muñeca “MyFriendCaylaDoll” mencionando que el smarttoy (juguete inteligente) vigila, escucha las conversaciones de los niños y les responde en tiempo real. La agencia Bundesnetzagentur describió a la muñeca como un auténtico ejemplo de “equipo no autorizado de transmisión de datos vía inalámbrica”.
La última decisión de la agencia es de prohibir los relojes ya que los describen como “transmisores no autorizados”. El presidente de la agencia Bundesnetzagentur Jochen Homann declaró: “De acuerdo a nuestras investigaciones, los padres de los niños han utilizado los smartwatches para escuchar a los maestros de sus hijos durante sus clases.”
Mientras las autoridades le piden a los padres que se deshagan de los ya mencionados relojes, medidas severas en contra de algunas de las firmas que los venden en línea han sido puestas en marcha. Se les ha pedido también a las escuelas dentro del país que pongan más atención acerca del uso de dichos relojes, nos señala Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).
“A través de una app, los padres pueden utilizar los relojes de sus hijos para escuchar sin que los noten, el ambiente en el que se encuentra el niño, por esto se les considera (a los relojes) sistemas de transmisión no autorizados.” declaró Homann.
De acuerdo al comunicado de prensa de Bundesnetzagentur, éstos relojes cuentan con una tarjeta SIM y funciones limitadas de telefonía, que están configuradas y controladas mediante una app. Dicho monitoreo usualmente es llamado “baby monitor” (monitor de bebé) o “monitor function” (función de monitor”. Quien esté utilizando la app puede especificar que sin que el portador lo note el reloj realice llamadas a algún número; esto permite que la persona que está utilizando la app escuche las conversaciones que está teniendo el portador del reloj sin que éste lo note. Dicho monitoreo está prohibido en Alemania.
En Octubre del año en curso, el “guardián” del consumo en Noruega, NorwegianConsumer Council (NCC) y equipo de seguridad informática, dijeron que hay muchas fallas de seguridad en los smartwatches que pueden ser explotadas, los pueden hackear y ubicar la localización del niño y engañar a sus padres mostrando una ubicación diferente. Los relojes probados por los investigadores, fueron equipados con ubicación en tiempo real y facilitando llamadas de dos vías con algunos de los contactos seleccionados.
NCC también encontró que estos smartwatches guardan y transmiten data sin codificación y una vez que se extrae, se torna en una gran amenaza. “Es muy serio cuando hay productos que pretenden dar seguridad a los niños, los ponen en riesgo debido a su poca seguridad informática y sus características que no funcionan adecuadamente. Importadores y vendedores deben de conocer lo que tienen en almacén y lo que está en venta. Estos relojes no deberían de estar en las tiendas, mucho menos en posesión de los niños.” menciona FinnMyrstad de la NCC.
Nuevo Ransomware/shellcode que recrea la escena de Jurassic Park en la que se hackea el servidor.
¿Porqué pop calc cuando puedes utilizar pop Nedry? Esta herramienta contiene un x86-64 payload que recrea la escena de Jurassic Park en la que Dennis Nedry encierra a Ray Arnold fuera de su terminal, explica Jim Gil, un experto de seguridad informática del International Institute of Cyber Security (IICS) acerca de pop Nedry. Cuando se ejecuta pasa lo siguiente:
- Asigna una ventana en la consola con llamada a AllocConsole
- Sale un aviso que dice “¡No has dicho la palabra mágica!” repetitivamente con llamadas a WriteConsoleA
- Al mismo tiempo baja winmm.dll y obtiene la dirección del procedimiento para PlaySound
- Baja el audio “¡No, no, no…no has dicho la palabra mágica!” de la memoria utilizando PlaySound
- Baja shell32.dll y obtiene la dirección del proceso para ShellExecuteA
- Abre el buscador del objetivo en una página web que tiene en infame Nedry GIF utilizando ShellExecuteA
- Entra en modo reposo durante un tiempo para que el audio se reproduzca
- Restaura el stack’s y los ret’s
Construcción
Se utiliza Python script (Windows)
El Python Script se realizó para Windows. Para activarlo asegúrese de que tanto nasm y Python 2 estén instalados y añadidos en la variable PATHenvironment. Inicie el siguiente comando desde el directorio de project’s parent para generar la posición independiente del código binario:
> python build.py –outfile nedry.bin –url http://127.0.0.1:8080/nedry.html
Ésto reunirá lo armado, soltará el binary in .\build, y escribe en la página URL de Nedry
Construcción manual (Cualquier sistema operativo)
También puedes construir el shellcode manualmente para cualquier sistema operativo con nasm
> cd .\src
> nasm -f bin -o pop-nedry.bin pop-nedry.asm
Una vez que hayas construido el binary, necesitas un patch en tu URL. Para hacer esto, abre un editor hex y busca 0x1dd. Re-escribe los NULL bytes con tu URL. Asegúrate que comience con http:// o https://. No utilices una URL de más de 63 caracteres para asegurar que quede al menos un NULL para terminar el string.
Uso de prueba
Construir el shellcode binary
> python build.py –outfile nedry.bin –url http://127.0.0.1:8080/nedry.html
Inicie un servidor web de Python para instalar la página HTML Nedry
> cd .\html
> python -m SimpleHTTPServer 8080
Pruebe el shellcode con ShellcodeTester.exe incluido (o su explorador favorito).
> cd .\utils
> ShellcodeTester.exe ..\build\nedry.bin
Nueva postura agresiva de NATO en armas cibernéticas.
No muchos lo notaron, pero el mes pasado, NATO realizó cambios dramáticos en sus políticas cibernéticas.
No mucha gente lo ha notado, pero el mes pasado, NATO realizó cambios severos en sus ciber-políticas anunciadas por el Secretario General de NATO, es el cambio más grande en las políticas desde hace algunas décadas.
Lo cual ha generado discusiones políticas en varios comités de NATO desde hace cuatro años se discute sobre las capacidades cibernéticas y las armas cibernéticas, les puedo decir que esto fue uno de las más debatidas y contenciosas decisiones durante mi ocupación en NATO.
Según Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). NATO se adaptó rápidamente a las armas cibernéticas en sus operaciones. Ésto es un gran avance dentro de la histórica, la postura de solamente usarlas sólo como medio de defensa, principalmente para guardarse de ataques contra su propia red. El ataque más agresivo se suponía como un mensaje, primordialmente hacia Rusia, NATO usará las capacidades cibernéticas de sus miembros para disuadir los ataques en la misma manera en la que utiliza armas en tierra, aire y mar.
Las provocativas acciones de Rusia durante las elecciones presidenciales de Estados Unidos, sus intentos por influenciar las elecciones de los franceses y a los alemanes, y su abiertamente agresiva y continua ciber guerra en contra de Ucrania fueron factores determinantes que llevaron a los ministros de defensa de NATO a adoptar una postura más asertiva.
Por fuera, los cambios en las políticas cibernéticas de NATO parecieran ser sólo cambios en sus políticas ya existentes, Sin embargo, el hecho de que la alianza está erigiendo un centro de operaciones cibernéticas para integrar más habilidades cibernéticas de los miembros del grupo, manda de por sí un mensaje al mundo, especialmente a Rusia, que los miembros del grupo tanto tienen la posesión, así como el poder de hacer uso de las capacidades cibernéticas junto con sus armas durante operaciones militares.
Ésta no es la primera vez que NATO ha intentado reafirmarse en el ciberespacio. En el 2008, la primer ciberdefensa de NATO se implementó y el Cooperative Cyber Defense Center of Excellence ubicado en Estonia, establecido a partir de los devastadores ciberataques de Rusia en Estonia. Desafortunadamente, ésta política fue meramente acerca en la defensa para las mismas redes de NATO. Además, el establecer el centro en Estonia, hizo muy poco como disuadir las acciones agresivas de Rusia en el ciberespacio.
Implementar ésta nueva ciberpolítica, será una mejoría en la batalla para NATO. En un desafío interesante, los efectos cibernéticos (es decir, las armas cibernéticas), serán provistas por los miembros del grupo y serán completamente controladas por la alianza, la cual ha provisto las capacidades específicas. Ésto es un magnífico avance en la manera en la que NATO maneja los comandos y el control de las otras capacidades y fuerzas de sus miembros. Si un miembro de la nación provee un escuadrón de aviones, dichos aviones y sus miembros están bajo el control operacional del Comando militar asignado de NATO. En dicho caso, la nación que ha provisto las capacidades cibernéticas tendrá el comando y control de las armas y fuerza cibernética. ninguna de éstas se traerá bajo las control de operaciones tradicionales de la comandancia de NATO.
Éste acercamiento tipo “black box” hacia las operaciones militares, es uno que rara vez es utilizado, debido a que está lleno de problemas. Cuando se llevan a cabo operaciones, los comandantes militares quieren saber los detalles acerca de las capacidades que están a su disposición, para poder así incluir las limitaciones. Así mismo quieren saber acerca de los posibles conflictos que las capacidades podrían presentar con otras operaciones subsecuentes y las implicaciones legales en el uso de dicha capacidad. en el camino antepuesto por los ministros de defensa, estos detalles no estarán a la disposición de los comandantes de NATO. Según expertos de seguridad informática de webimprints, los comandantes requerirán los efectos del uso del arma cibernética durante la operación y uno de los miembros de la alianza se lo dará sin mayor información. Ésto es poco menos de lo ideal, pero es algo que los comandantes militares de NATO tendrán que resolver a través de sus procedimientos.
Cyber Security 