Month: May 2019
ROBO DE DATOS EN PERCEPTICS, COMPAÑÍA FABRICANTE DE LECTORES DE PLACAS DE AUTO
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/robo-de-datos-en-perceptics-compania-fabricante-de-lectores-de-placas-de-auto/
Un grupo de actores de amenazas han hackeado a Perceptics, fabricante de lectores de placas de automóviles más empleado de Estados Unidos; acorde a los especialistas en seguridad de aplicaciones web los hackers accedieron a los archivos internos de la compañía y los publicaron para su descarga gratuita en diversos foros de dark web.
El pasado jueves, un grupo de hackers, auto nombrado “Boris Bullet-Dodger”, se puso en contacto con múltiples miembros de la comunidad de la ciberseguridad para anunciar el incidente de hacking; los hackers enviaron una muestra de los archivos extraídos de las redes corporativas de Perceptics para demostrar la veracidad de sus afirmaciones. Se cree que este grupo de actores de amenazas también estuvieron involucrados en un incidente de seguridad el mes pasado.
Los archivos expuestos incluyen archivos con diversas extensiones (.xlsx, .jpg, .docx, .mp4, etc) con nombres de ubicaciones, códigos postales, archivos relacionados con los clientes gubernamentales de la compañía y material de evidencia, reportan los especialistas en seguridad de aplicaciones web.
Los archivos expuestos, equivalentes a cientos de GB de información, incluyen bases de datos de Microsoft Exchange, registros de recursos humanos, almacenes de datos de Microsoft Server, entre otros. Detalles confidenciales de la compañía, como cifras financieras e información personal, está actualmente disponible en múltiples archivos comprimidos en varios foros de hacking en dark web.
Dada la naturaleza del negocio de la empresa, dedicada a tareas como la adquisición de datos de seguridad en frontera, la inspección de vehículos comerciales, cobro electrónico de cuotas de carretera y monitoreo de caminos, los expertos en seguridad de aplicaciones web consideran que es probable que una cantidad considerable de información confidencial haya sido expuesta.
Una portavoz de Perceptics confirmó que la compañía era consciente del estado de seguridad en sus redes. “Estamos colaborando con autoridades federales en la investigación del incidente; eso es todo lo que podemos decir por ahora”, concluyó la portavoz.
Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS), el sitio web de la compañía redirige a los visitantes a la página de inicio de Google, por lo que se cree que la organización aún no logra restablecer la totalidad de sus sistemas. Se esperan más detalles en los próximos días.
HUAWEI NO PODRÁ UTILIZAR TARJETAS DE MEMORIA MICROSD EN SUS PRÓXIMOS DISEÑOS
CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/huawei-no-podra-utilizar-tarjetas-de-memoria-microsd-en-sus-proximos-disenos/
En días recientes compañías como Panasonic y ARM se han unido a Google en su decisión de romper relaciones con el fabricante de tecnología chino Huawei después de la orden ejecutiva de la administración de Donald Trump, lo que, acorde a expertos en servicios de auditoría de sistemas podría representar un serio golpe contra los planes comerciales de la compañía.
Ahora, la SD Association, grupo comercial que establece los estándares a utilizar en tarjetas SD y microSD, ha decidido que Huawei no podrá utilizar tarjetas microSD en sus próximos modelos de smartphone.
La asociación acaba de informar su decisión de eliminar a la compañía china de la lista de fabricantes de equipos originales (Original Equipment Manufacturers) autorizados para emplear estas tarjetas de almacenamiento.
Esta decisión no impacta a los usuarios de los smartphones Huawei existentes, aclaran los especialistas en servicios de auditoría de sistemas. Las tarjetas SD y microSD seguirán funcionando como hasta ahora; en cambio, la medida comenzará a ser efectiva para los futuros diseños de la compañía.
Huawei también ha entrado en la lista negra de la WiFi Alliance, organización que define los estándares a implementar en los dispositivos con conexión WiFi (smartphones, equipos de cómputo, dispositvos IoT, etc. se apegan a estos estándares). “Después de conocer la decisión del Presidente Trump, hemos decidido restringir de forma temporal a Huawei de la lista de compañías respaldadas para el uso de nuestros estándares”, mencionó un comunicado de la WiFi Alliance.
Expertos en servicios de auditoría de sistemas del Instituto Internacional de Seguridad Cibernética (IICS) consideran que esta decisión significa un severo golpe contra la compañía china, aunque al parecer Huawei lleva un tiempo preparándose para afrontar esta clase de decisiones. La compañía cuenta con sus propias tarjetas de memoria que pueden ser implementadas en sus futuros desarrollos, estas tarjetas son incluso más pequeñas que una microSD.
Especialistas en el tema no han dejado de especular sobre el futuro de la compañía, que es actualmente el segundo fabricante de smartphones que más dispositivos vende a nivel mundial; además, aún se desconocen los planes que otras compañías, como Microsoft, tienen al respecto. Se cree que la compañía podría dejar de lanzar actualizaciones del sistema operativo Windows para las laptops diseñadas por Huawei, aunque aún no se conoce una postura oficial.
MILLONES DE USUARIOS AFECTADOS POR BRECHA DE DATOS EN TRUECALLER
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/millones-de-usuarios-afectados-por-brecha-de-datos-en-truecaller/
Expertos del curso de seguridad web del IICS reportan una brecha de datos en Truecaller, el popular servicio para evitar el spam telefónico. Los datos personales de millones de usuarios del servicio, en su mayoría residentes de India, se encuentran expuestos en foros de hackers en dark web, un sector de Internet donde los cibercriminales pueden poner a la venta productos y servicios ilícitos.
Acorde a múltiples miembros de la comunidad de la ciberseguridad, los datos personales de los usuarios de Truecaller, incluyendo nombres completos, direcciones email, entre otros, han sido detectados en diversos foros de hacking en dark web. Los criminales ofrecen la información de los usuarios de Truecaller en India a cambio de alrededor de 2 mil euros; por otra parte, la información de los usuarios a nivel global es ofrecida a cambio de cerca de 25 mil euros.
Los expertos del curso de seguridad web que reportaron inicialmente el incidente, también encontraron evidencia para confirmar que los hackers han estado haciendo copias no autorizadas de la información comprometida, además de que, entre los datos expuestos, es posible encontrar información de residencia y proveedor de servicio de telefonía móvil de los usuarios.
Finalmente, los expertos afirmaron que, durante su larga investigación, encontraron una cantidad considerable de información similar pero que no pertenece a Truecaller.
Al ser cuestionados sobre el incidente, Truecaller respondió negando que haya existido una brecha de datos; “los datos de nuestros usuarios están resguardados y no contamos con evidencia que sugiera lo contrario; la información personal y financiera de nuestros usuarios no ha sido comprometida”, menciona un comunicado de la compañía.
Acorde a expertos del curso de seguridad web del Instituto Internacional de Seguridad Cibernética (IICS), la compañía argumenta que la información fue expuesta por otras fuentes y no se obtuvo de un ataque directo contra los servidores de Truecaller; no obstante, la compañía se ha comprometido a revisar sus protocolos de seguridad de la información e implementar las medidas que sean necesarias para prevenir que esta clase de incidentes ocurran de nuevo.
BRECHA DE DATOS EN CANVA; MÁS DE 100 MILLONES DE USUARIOS AFECTADOS
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/brecha-de-datos-en-canva-mas-de-100-millones-de-usuarios-afectados/
Especialistas en seguridad de aplicaciones web reportan una brecha de datos en Canva, plataforma de diseño web de origen australiano; un actor malicioso afirma haber comprometido la seguridad de la plataforma para robar la información de alrededor de 139 millones de usuarios.
Acorde a los reportes, la información extraída incluye:
- Nombres completos
- Nombres de usuario
- Dirección email
- País y ciudad de residencia del usuario
A pesar de que una brecha de datos nunca será una buena noticia, no todo está perdido para Canva, pues las contraseñas de las direcciones email de los usuarios contaban con la protección de un algoritmo, conocido como Bcrypt, que, acorde a los expertos en seguridad de aplicaciones web es casi imposible de descifrar.
La primera persona en hablar del incidente fue el propio hacker, conocido bajo el pseudónimo ‘GnosticPlayers‘, mismo actor de amenazas que en los pasados meses afirmó haber robado datos de millones de personas a través de múltiples sitios web comprometidos. El hacker habría contactado a algunos especialistas para informarles sobre su crimen.
Posteriormente, un representante de Canva reconoció que la compañía había sufrido una violación de seguridad que permitió el acceso no autorizado a diversos detalles personales de los usuarios, como nombre de usuario y dirección de correo electrónico.
A través de un comunicado, Canva mencionó: “Todas las contraseñas de nuestros usuarios son almacenadas de forma segura, pues nos apegamos a los más altos estándares de protección de la información. No obstante, continuaremos monitoreando la situación como medida de seguridad adicional.”
Los expertos en seguridad de aplicaciones web recomiendan a los usuarios de Canva restablecer su contraseña; además, si se emplean las mismas palabras clave en otras plataformas, lo más recomendable es cambiar de contraseña en los otros sitios web. Los usuarios de Canva también pueden acceder a la plataforma a través de sus cuentas de Facebook o Google; las contraseñas de estas plataformas resguardadas por Canva no forman parte de la lista de datos comprometidos por el hacker.
Acorde a los especialistas del Instituto Internacional de Seguridad Cibernética (IICS), Bcryprt es un algoritmo de hashing de contraseñas pensado para dificultar la labor de los hackers; además, cada contraseña de los usuarios de Canva cuenta con caracteres aleatorios adicionales que incrementan la complejidad para los hackers.
HACKERS INFECTAN SERVIDORES MYSQL CON RANSOMWARE GANDCRAB
CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/hackers-infectan-servidores-mysql-con-ransomware-gandcrab/
Especialistas en seguridad en páginas web reportan una campaña de ataque desplegada por un grupo de hackers chinos en la que se buscan servidores de Windows ejecutando bases de datos MySQL para infectarlos con la variante de ransomware conocida como GandCrab.
Miembros de la comunidad de la ciberseguridad afirman que este vector de ataque no había sido detectado anteriormente. “Lo más común es que los hackers busquen servidores de bases de datos para infiltrarse en los sistemas de las organizaciones para inyectar malware de minado de criptomoneda o robar información confidencial, no para desplegar ataques de ransomware“, mencionan los expertos.
Los especialistas que detectaron esta campaña de ataques mencionan que, de cierta forma, el descubrimiento fue un tanto circunstancial. En su reporte, los expertos en seguridad en páginas web mencionan que los hackers escanean Internet para localizar bases de datos accesibles en línea para inyectar comandos SQL maliciosos en los servidores comprometidos, infectando el host con la variante de ransomware mencionada.
La mayoría de los servidores MySQL cuentan con ciertas medidas de protección, como contraseñas, es por ello que los operadores de la campaña de ataque están llevando ese exhaustivo análisis, pues es bastante probable que puedan encontrar bases de datos con configuraciones de seguridad erróneas y sin protección.
Tomando como referencia el modo de operación de los hackers, los expertos en seguridad en páginas web consideran que se trata de un grupo de actores de amenazas con avanzadas capacidades, conocimientos y amplios recursos a su disposición; no obstante, aún no se encuentran evidencias de ataques exitosos.
Los expertos descubrieron que los ataques se originaban en un servidor remoto con directorio abierto que ejecutaba un software conocido como HFS, que muestra las estadísticas de descarga de las cargas maliciosas de los hackers. “Acorde a los datos recolectados, la carga maliciosa se ha descargado más de 500 veces”, menciona el informe de los expertos.
Acorde a los especialistas del Instituto Internacional de Seguridad Cibernética (IICS), esta no es una campaña demasiado ambiciosa o de amplio alcance, aunque sí que puede generar serias consecuencias para los administradores de servidores MySQL que no cuenten con las configuraciones de seguridad necesarias para prevenir la inyección de código malicioso a través del puerto 3306.
DATA BREACH AT PERCEPTICS, VEHICLE PLATE SCANNER MANUFACTURER
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/05/27/data-breach-at-perceptics-vehicle-plate-scanner-manufacturer/
A group of threat actors have hacked into Perceptics, the most-used car plate license reader manufacturer in the United States; according to web application penetration testing specialists hackers accessed the company’s internal files and published them for free download in various dark web forums.
Last Thursday, a group of hackers, self-appointed as “Boris Bullet-Dodge”, contacted multiple members of the cybersecurity community to announce the hacking incident; ackers sent a sample of the files extracted from Perceptics’s corporate networks to demonstrate the veracity of their claims. It is believed that this group of threat actors was also involved in a security incident last month.
The exposed information include files with different extensions (.xlsx,.jpg,.docx,.mp4, etc) with location names, zip codes, files related to the company’s government clients and evidence material, report the web application penetration testing specialists.
Exposed files, equivalent to hundreds of GB of information, include Microsoft Exchange databases, human resource records, Microsoft Server data stores, and more. Confidential details of the company, such as financial figures and personal information, are currently available in multiple compressed files format in various hacking forums on dark web.
Given the nature of the business of the company, dedicated to tasks such as the acquisition of border security data, commercial vehicle inspection, electronic payment of highway fees and road monitoring, web application penetration testing specialists believe that a considerable amount of confidential information is likely to have been exposed.
A spokeswoman for Perceptics confirmed that the company was aware of the state of security in its networks. “We are collaborating with federal authorities in investigating the incident; that’s all we can say for now”, concluded the spokesperson.
According to the experts from the International Institute of Cyber Security (IICS), the company’s website redirects visitors to the Google home page, so it is believed that the organization still fails to restore all of its systems. More details are expected in the coming days.
HUAWEI WILL NOT BE ABLE TO USE MICROSD MEMORY CARDS IN ITS FUTURE DESIGNS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/05/27/huawei-will-not-be-able-to-use-microsd-memory-cards-in-its-future-designs/
In recent days companies like Panasonic and ARM have joined Google in their decision to break relationships with Chinese technology manufacturer Huawei after the executive order of the administration of Donald Trump, which, according to information security audit specialists could represent a serious blow against the company’s business plans.
Now, the SD Association, a commercial group that sets the standards to use on SD and microSD cards, has decided that Huawei will not be able to use microSD cards in their next smartphone models.
The Association has just informed its decision to remove the Chinese company from the authorized Original Equipment Manufacturers (OEM) list to use these storage cards.
This decision does not impact users of existing Huawei smartphones, noted the information security audit specialists. SD and microSD cards will keep functioning as before; instead, the measure will begin to be effective for the company’s future designs.
Huawei has also entered the black list of the WiFi Alliance, an organization that defines the standards to be implemented in devices with WiFi connection capabilities (smartphones, computer equipment, IoT devices, etc. adhere to these standards). “After knowing president Trump’s decision, we have decided to temporarily restrict Huawei from the list of companies backed up for the use of our standards,” as mentioned by the WiFi Alliance statement.
Information security audit experts from the International Institute of Cyber Security (IICS) consider this decision to mean a severe blow to the Chinese company, although apparently Huawei has been preparing for this class of decisions for a while. The company has its own memory cards that can be implemented in its future developments; these cards are even smaller than a microSD.
Specialists in the subject have not stopped speculating about the future of the company, which is currently the second largest smartphone manufacturer selling devices worldwide; moreover, the plans that other companies, such as Microsoft, have in this regard, are still unknown. It is believed that the company could stop launching Windows operating system upgrades for Huawei-designed laptops, although an official stance is not yet known.
MILLIONS OF USERS AFFECTED BY DATA BREACH AT TRUECALLER
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/05/27/millions-of-users-affected-by-data-breach-at-truecaller/
Experts from the IICS cyber security training report a data breach at Truecaller, the popular service to avoid phone and SMS spam. The personal data of millions of service’s users, mostly residents of India, are exposed in hacker forums in dark web, an Internet sector where cybercriminals can put on sale illicit products and services.
According to multiple members of the cybersecurity community, the personal data of Truecaller users, including full names, email addresses, among others, have been detected in various hacking forums on dark web. The criminals offer the information of the users of Truecaller in India in exchange for about €2000; On the other hand, the information of the users at global level is offered in exchange for about €25k.
Experts from the IICS cyber security training who initially reported the incident also found evidence to confirm that hackers have been making unauthorized copies of the compromised information, in addition to the fact that, among the exposed data, it is possible to find information of residence and service provider of mobile telephony of the users.
To conclude, the experts stated that, during their long investigation, they found a considerable amount of similar information but that does not belong to Truecaller.
When questioned about the incident, Truecaller responded by denying that a data gap existed; “Our users’ data is completely protected and we do not have any evidence to suggest otherwise; the personal and financial information of our users has not been compromised at all”, mentions a statement from the company.
According to the cyber security training from the International Institute of Cyber Security (IICS), the company argues that the information was exposed by other sources and was not obtained from a direct attack on the Truecaller servers; However, the company is committed to revising its information security protocols and implementing measures that are necessary to prevent these kinds of incidents from occurring again.
DATA BREACH IN CANVA; OVER 100 MILLION USERS WERE AFFECTED
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/05/27/data-breach-in-canva-over-100-million-users-were-affected/
Web application security testing specialists reported a data breach incident in Canva, a web design platform developed in Australia; a malicious actor claims to have compromised the security of the platform to steal information belonging to about 139 million users.
According to the reports, the extracted information includes:
- Users’ full names
- Website usernames
- Email addresses
- Users’ country and city of residence
Although a data breach will never be good news, not everything is lost to Canva, as the passwords of the email addresses of users had the protection of an algorithm, known as Bcrypt, which, according web application security testing specialists, it’s almost impossible to decrypt.
The first person to talk about the incident was the hacker himself, known under the pseudonym ‘GnosticPlayers‘, the same threat actor that in the past months claimed to have stolen data from millions of people through multiple compromised websites. The hacker would have contacted some specialists to inform them of his crime.
Subsequently, a representative of Canva recognized that the company had suffered a security breach that allowed unauthorized access to various personal details of users, such as username and email address.
Through a statement, Canva mentioned: “All passwords of our users are stored safely, because we adhere to the highest standards of information protection. However, we will continue to monitor the situation as an additional security measure”.
Web application security testing experts recommend Canva users to reset their password; also, if you use the same keywords on other platforms, it’s best to change your password on other websites. Canva users can also access the platform through their Facebook or Google accounts; the passwords of these platforms stored by Canva are not part of the list of data compromised by the hacker.
According to the specialists from the International Institute of Cyber Security (IICS), Bcrypt is a password hashing algorithm designed to hinder the work of hackers; in addition, each Canva user password has additional random characters that increase the complexity for hackers to decrypt them.
HACKERS INFECT MYSQL SERVERS WITH GANDCRAB RANSOMWARE
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/05/27/hackers-infect-mysql-servers-with-gandcrab-ransomware/
Web application security course specialists report an attack campaign deployed by a group of Chinese hackers, which are looking for Windows servers running MySQL databases to infect them with the ransomware variant known as GandCrab.
Members of the cybersecurity community claim that this attack vector had not been detected before. “The most common thing for hackers is to search for database servers to infiltrate organizations’ systems to inject cryptocurrency mining malware or steal confidential information, not to deploy ransomware attacks,” the experts mentioned.
The specialists who detected this attack campaign mentioned that, in somehow, the discovery was kind of circumstantial. In their report, web application security course experts mentioned that hackers scan the Internet to locate accessible databases online to inject malicious SQL commands into compromised servers, infecting the host with the aforementioned ransomware variant.
Most MySQL servers have certain protection measures, such as passwords, which is why attack campaign operators are carrying that exhaustive analysis, because it is quite probable that they can find unprotected databases with erroneous security configurations.
Taking as a reference the hackers’ mode of operation, web application security course experts consider it to be a group of threat actors with advanced capabilities, knowledge and extensive resources at their disposal; however, there is still no evidence of successful attacks.
The experts discovered that the attacks originated from an open directory remote server running software known as HFS, which shows the download statistics of malicious loads from hackers. “According to the data collected, the malicious load has been downloaded more than 500 times”, mentions the experts’ report.
According to the specialists from the International Institute of Cyber Security (IICS), this is not a campaign too ambitious or wide-ranging, but it can generate serious consequences for the administrators of MySQL servers that do not count on the security configurations required to prevent malicious code injection through port 3306.
MALWARE BANCARIO CRECIÓ 60% ESTE AÑO, CÓMO PROTEGER SU DINERO EN EL BANCO
CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/malware-bancario-crecio-60-este-ano-como-proteger-su-dinero-en-el-banco/
A medida que los servicios de banca móvil y banca en línea crecen, también crece el interés de los actores de amenazas por explotar estas plataformas. Acorde a expertos en protección de datos personales, recientemente los hackers han tratado de desarrollar malware bancariocapaz de aprovechar las fallas de seguridad en la implementación de estos servicios, cada vez más extendidos. A continuación, revisaremos algunas medidas que pueden fortalecer la seguridad del usuario frente al malware bancario.
Según los datos recolectados por diversas firmas de ciberseguridad, durante el primer trimestre de 2019 el malware bancario en dispositivos móviles creció alrededor de 60%, lo que se traduce en más de 300 mil usuarios de banca móvil infectados con alguna variante de malware; esto sin mencionar que estos ataques también son posibles infectando equipos de cómputo de escritorio.
La principal vía de infección de los dispositivos móviles es la descarga de software/aplicaciones poco confiables. A pesar de que nada garantiza protección absoluta contra estos ataques, la principal recomendación de seguridad para el usuario es descargar aplicaciones sólo desde fuentes confiables (App Store, Google Play Store, etc).
Las actualizaciones de aplicaciones y del sistema también son una medida de protección fundamental, comentan los expertos en protección de datos personales. El malware bancario puede ingresar en nuestros dispositivos explotando vulnerabilidades de seguridad conocidas, corregidas mediante actualizaciones y parches de seguridad, por lo que es fundamental mantener nuestros sistemas y aplicaciones siempre actualizados a la versión más reciente.
Por último, los especialistas en protección de datos personales consideran que las herramientas y aplicaciones anti malware son una medida de seguridad al alcance de cualquier usuario. En las plataformas oficiales (App Store, Google Play Store) se encuentran disponibles múltiples opciones de programas antivirus para móvil, creados por desarrolladores de confianza y bajo los más altos estándares de calidad.
Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS), la protección de equipos de escritorio aplica del mismo modo, pues los desarrolladores cuentan con servicios de protección igualmente funcionales para PC, basta con ingresar desde la plataforma oficial del desarrollador de software antivirus para evitar cualquier infección por ingresar a una página web maliciosa.
GOBIERNO DE E.U. ACUSA A JULIAN ASSANGE DE 18 CARGOS POR VIOLAR LEY DE ESPIONAJE
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/gobierno-de-e-u-acusa-a-julian-assange-de-18-cargos-por-violar-ley-de-espionaje/
Expertos en ciberseguridad reportan que el Departamento de Justicia de E.U. (DOJ) presentó 17 nuevos cargos contra Julian Assange, fundador de WikiLeaks, por presuntas violaciones a la Ley de Espionaje de E.U. debido a la publicación de información clasificada en la plataforma de ciber activismo.
De ser hallado culpable de todos los cargos, Assange enfrentaría una sentencia de hasta 175 años de prisión, según las leyes americanas. “Este es uno de los incidentes de seguridad que involucran información clasificada más importantes, y el papel de Assange fue fundamental”, comentan las autoridades de E.U.
Julian Assange fue arrestado en Londres hace un mes después de que el gobierno ecuatoriano decidiera retirarle el asilo político; la justicia británica posteriormente lo sentenció a 50 semanas de cárcel por infringir su libertad condicional en 2012. Acorde a expertos en ciberseguridad, el gobierno de E.U. busca la extradición del ciber activista por la filtración de miles de documentos clasificados en 2010 a través del sitio web de WikiLeaks.
Anteriormente, las autoridades de E.U. sólo acusaban a Assange de ayudar a Chelsea Manning, antigua analista de inteligencia del ejército estadounidense, a descifrar contraseñas para acceder a la información. No obstante, en estos nuevos cargos se acusa a Assange de haber recibido y publicado documentos diplomáticos y militares en múltiples ocasiones, lo que constituye una violación a la Ley de Espionaje de E.U., que data de 1917.
Esta es la primera vez que esta ley, que prohíbe la divulgación de información de relacionada con la defensa nacional clasificada, es usada contra un periodista, reportan especialistas en ciberseguridad.
En la acusación, el DOJ afirma que “Assange publicaba documentos clasificados en WikiLeakes en referencia a las campañas militares de E.U. en Irak y Afganistán, además de documentos diplomáticos relacionados con gobiernos de todo el mundo, lo que representa un serio riesgo para la seguridad nacional”.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS) WikiLeaks se pronunció respecto a esta nueva decisión del DOJ, considerándola como “una locura que pone punto final al periodismo de seguridad nacional, protegido por la Primera Enmienda (libertad de expresión)”.
NUEVA FORMA DE RECOLECCIÓN DE DATOS A TRAVÉS DE LOS SENSORES DE IPHONES Y GOOGLE PIXEL
CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/nueva-forma-de-recoleccion-de-datos-a-traves-de-los-sensores-de-iphones-y-google-pixel/
Expertos en seguridad en páginas web publicaron una prueba de concepto para una nueva variante de ataque conocida como “calibration fingerprinting”, que usa los datos de los sensores de los dispositivos Apple para generar una huella digital única para cada usuario de equipos móviles en el mundo. Acorde a los expertos, esto puede proporcionar a los actores de amenazas una forma altamente efectiva para realizar actividades de seguimiento contra los usuarios de smartphones.
En su prueba de concepto, los expertos demostraron que los datos recopilados del acelerómetro, el giroscopio y el magnetómetro de los smartphones pueden ser utilizados para generar una huella digital en menos de un segundo. Esta huella digital será siempre igual, ni siquiera reiniciar el smartphone a sus configuraciones de fábrica la afectaría.
Los expertos afirman que el ataque puede ser lanzado desde cualquier sitio web malicioso a través de un navegador web, así como a través de cualquier aplicación móvil, sin necesidad de que el usuario otorgue algún permiso.
Desplegar este ataque en dispositivos de Apple es posible gracias a una falla de seguridad en el sistema operativo iOS 12.1 y versiones anteriores. Los expertos en seguridad en páginas web recomiendan a los usuarios actualizar a la más reciente versión del SO disponible para sus equipos. Acorde a los expertos, también es posible desplegar este ataque contra smartphones Pixel, de Google, aunque la compañía no se ha pronunciado al respecto.
La huella digital de un dispositivo permite a los sitios web que el usuario visita detectar las visitas posteriores del mismo usuario, así como algunas funciones de seguimiento, además de proteger a los usuarios contra algunas variantes de fraude de identidad o robo de tarjetas de pago. Algunas compañías emplean esta función para campañas de publicidad dirigida.
Una huella digital está integrada por datos básicos como: nombre y versión del navegador, tamaño de la pantalla, modelo del dispositivo, etc. Por razones de privacidad, los navegadores deben desarrollar medidas cada vez más eficientes para proteger esta información; Safari, por ejemplo, restringe el uso de cookies y otras funciones como seguimiento multi dominio.
Los especialistas en seguridad en páginas web descubrieron que es posible esquivar estos mecanismos de protección en cualquier dispositivo iOS versión 12.2 y anteriores, gracias a la “micro fabricación”, método de construcción de los sensores de movimiento en un smartphone moderno.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS) una primera medida de protección contra esta variante de ataque puede ser el uso de navegadores móviles con énfasis en la privacidad del usuario, donde se puede deshabilitar el acceso a los sensores de movimiento de un dispositivo.
SE REVELAN NUEVAS VULNERABILIDADES DÍA CERO EN WINDOWS 10 POR TERCER DÍA CONSECUTIVO
CONTENIDO ORIGINAL_ https://noticiasseguridad.com/vulnerabilidades/se-revelan-nuevas-vulnerabilidades-dia-cero-en-windows-10-por-tercer-dia-consecutivo/
Una especialista en auditorías de seguridad informática conocida bajo el pseudónimo de SandboxEscaper acaba de revelar nuevas vulnerabilidades día cero en Windows; este es el tercer día consecutivo en que la investigadora revela el descubrimiento de nuevas fallas en el sistema operativo.
La investigadora publicó en su cuenta de GitHub el código de una prueba de concepto para dos vulnerabilidades día cero, además de una explicación paso por paso para usar estos exploits. La investigadora ha encontrado ocho vulnerabilidades día cero en los últimos diez meses.
Llama la atención que SandboxEscaper ha reportado errores día cero en los últimos tres días, mismos que también publicó en GitHub. Acorde a los expertos en auditorías de seguridad informática, las vulnerabilidades reportadas son:
- Una vulnerabilidad de escalada de privilegios local en el Programador de Tareas de Windows
- Escape del sandbox para Internet Explorer
- Una falla de escalada de privilegios en el Servicio de Reporte de Errores de Windows (Microsoft corrigió esta falla poco antes de que la investigadora publicara el código del exploit)
En cuanto a sus más recientes hallazgos, la primera vulnerabilidad es un método para eliminar el parche de seguridad que la compañía lanzó para la falla CVE-2019-0841. Esta vulnerabilidad permite a usuarios con privilegios reducidos secuestrar archivos de privilegios más altos, sobrescribiendo los permisos en el archivo objetivo.
La segunda vulnerabilidad reportada se dirige contra la carpeta de Windows Installer. SandboxEscaper explica que hay un periodo de tiempo muy corto en el que es posible secuestrar el proceso de reparación de las aplicaciones de Windows para inyectar archivos en áreas no autorizadas del sistema operativo. La vulnerabilidad abusa de la operación msiexec/fa para inyectar malware y controlar los equipos a los que los hackers han accedido previamente mediante una cuenta con pocos privilegios.
Acorde a especialistas en auditorías de seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS), estas dos vulnerabilidades podrían generar serios problemas para los administradores de sistemas Windows, a diferencia de las fallas publicadas anteriormente por SandboxEscaper, cuya explotación fue considerada como poco probable o altamente compleja. No obstante, la especialista en auditorías de seguridad informática señala que la explotación de la segunda vulnerabilidad reportada ayer también es poco probable, debido a que la ventana de tiempo para explotar el proceso vulnerable es realmente reducida.
BANKING MALWARE GREW 60% THIS YEAR, HOW TO PROTECT YOUR BANK ACCOUNTS
CONTENIDO ORIGINAL: https://www.securitynewspaper.com/2019/05/24/banking-malware-grew-60-this-year-how-to-protect-your-bank-accounts/
As mobile banking and online banking services grow, the threat actors’ interest in exploiting these platforms is also spreading. According to experts in data protection services, hackers have recently tried to develop banking malware capable of exploiting security vulnerabilities in the implementation of these services, increasingly widespread. We will then review some measures that can strengthen the security of the user against banking malware.
According to data collected by various cybersecurity firms, between January and March 2019, banking malware in mobile devices grew by about 60%, which represents more than 300k mobile banking users infected with some malware variant, without mentioning that these attacks are also possible by infecting desktop equipment.
The main way of infection of mobile devices is the downloading of unreliable software/applications. Although nothing guarantees absolute protection against these attacks, the main security recommendation for the user is to download applications only from trusted sources (App Store, Google Play Store, etc).
Application and system updates are also a fundamental protection measure, commented experts in data protection services. Banking malware can enter our devices by exploiting known security vulnerabilities, corrected by updates and security patches, so it is essential to keep our systems and applications always updated to their latest versions.
Finally, data protection services specialists believe that anti-malware tools and applications are a security measure at any users’ reach. In the official platforms (App Store, Google Play Store) are multiple mobile antivirus software options available, offered by trusted developers and under the highest standards of quality.
According to experts from the International Institute of Cyber Security (IICS), the protection of desktop devices applies in the same way, because the developers have also functional protection services for your PC; just enter from the official antivirus software developer platform to avoid any infection caused by entering a malicious/spoofed web page.
U.S. GOVERNMENT CHARGES 18 ACCUSATIONS AGAINST JULIAN ASSANGE FOR ESPIONAGE ACT VIOLATIONS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/05/24/u-s-government-charges-18-accusations-against-julian-assange-for-espionage-act-violations/
Cybersecurity experts reported that the U.S. Department of Justice (DOJ) presented 17 new charges against WikiLeaks founder Julian Assange for alleged violations against the U.S. Espionage Act due to the publication of classified information in the cyber activism platform.
If case of being found guilty of all charges, Assange would face a sentence of up to 175 years in prison, according to American laws. “This must be the security incident involving the most important classified information, and Assange’s role was fundamental”, said U.S. authorities.
Julian Assange was arrested in London a month ago after the Ecuadorian government decided to withdraw his political asylum; British justice subsequently sentenced him to 50 weeks in prison for infringing his parole in 2012. According to experts in cybersecurity, the U.S. government seeks the extradition of the cyber activist for the leaking of thousands of classified documents in 2010 through the WikiLeaks website.
Previously, the U.S. authorities had only accused Assange of helping Chelsea Manning, a former U.S. Army intelligence analyst, to decipher passwords and access the information. However, in these new processes, Assange is accused of having received and published diplomatic and military documents on multiple occasions, which constitutes a violation of the U.S. Espionage Act, which dates back to 1917.
This is the first time that this law, which prohibits the disclosure of classified information related to the national defense, is used against a journalist, as reported by specialists in cybersecurity.
In the indictment, the DOJ states that “Assange published classified documents in WikiLeaks in regarding to U.S. military campaigns in Iraq and Afghanistan, as well as diplomatic documents related to governments around the world, which poses a serious national security risk for us”.
According to specialists from the International Institute of Cyber Security (IICS) WikiLeaks spoke about this new decision of the DOJ, considering as “a madness that puts an end to national security journalism, protected by the first Amendment (freedom of expression)”.
NEW WAY TO COLLECT DATA THROUGH IPHONE AND GOOGLE PIXEL SENSORS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/05/24/new-way-to-collect-data-through-iphone-and-google-pixel-sensors/
Web application security courses specialists published a proof of concept for a new attack variant known as “calibration fingerprinting”, which uses sensor data from Apple devices to generate a unique fingerprint for each user of mobile equipment in the world. According to experts, this can provide the threat actors with a highly effective way to carry out data collecting and tracking activities against smartphone users.
In their proof of concept, experts have shown that data collected from the accelerometer, gyroscope, and magnetometer of smartphones can be used to generate a fingerprint in less than a second. This fingerprint will always be the same, not even restart the smartphone to its factory settings would affect it.
Experts say that the attack can be launched from any malicious website through a web browser, as well as through any mobile application, without the need for the user to grant any permission.
Deploying this attack on Apple devices is possible thanks to a security error in the iOS 12.1 operating system and earlier versions. Web application security courses experts recommend that users upgrade to the latest version of the OS available for their devices. According to the experts, it is also possible to deploy this attack against Google’s Pixel smartphones, although the company has not stated about it.
The fingerprint of a device allows websites that the user visits to detect subsequent visits of the same user, as well as some tracking functions and protecting users against some variants of identity fraud or payment card theft. Some companies use this function for targeted advertising campaigns.
A fingerprint is composed of basic data such as browser name and version, screen size, device model, etc. For privacy reasons, browsers must develop increasingly efficient measures to protect this information; Safari, for example, restricts the use of cookies and other functions such as cross-domain tracking.
Web application security courses experts found that it is possible to bypass these protection mechanisms in any iOS device version 12.2 and earlier, thanks to the “micro fabrication”, method of building motion sensors in modern smartphones.
According to the specialists from the International Institute of Cyber Security (IICS) a first measure of protection against this variant of attack can be the use of mobile browsers with emphasis on users’ privacy, where access to the device’s motion sensors could be disabled.
NEW WINDOWS ZERO-DAY VULNERABILITIES REVEALED FOR THIRD DAY IN A ROW
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/05/24/new-windows-zero-day-vulnerabilities-revealed-for-third-day-in-a-row/
A specialist in IT security audit services known under the pseudonym of SandboxEscaper has just revealed new zero-day vulnerabilities in Windows; this is the third consecutive day that the investigator reveals the discovery of new flaws in the operating system.
The investigator published in her GitHub account the code of a proof of concept for two zero-day vulnerabilities, plus a step-by-step explanation for using these exploits. The investigator has found eight zero-day vulnerabilities in the last ten months.
It is worth noting that SandboxEscaper has reported zero day flaws in the last three days, which she also published on her GitHub profile. According to IT security audit services specialists, the vulnerabilities reported are:
- A local privilege escalation vulnerability in the Windows Task Scheduler
- Escape from the sandbox for Internet Explorer
- A privilege escalation flaw in the Windows Error Reporting Service (Microsoft patched this vulnerability shortly before the investigator published her exploitation code)
As for her most recent findings, the first vulnerability is a method to bypass the security patch that the company launched for the CVE-2019-0841 flaw. This vulnerability allows users with reduced privileges to hijack higher privilege files, overwriting permissions on the targeted file.
The second reported vulnerability is targeted against the Windows Installer folder. SandboxEscaper explains that there is a very short period of time in which it is possible to hijack the repair process of Windows applications to inject files into unauthorized areas of the operating system. The vulnerability abuses the MSIEXEC/FA operation to inject malware and control the computers that hackers have previously accessed through a low-privilege account.
According to IT security audit services specialists from the International Institute of Cyber Security (IICS), these two vulnerabilities could generate serious problems for Windows system administrators, unlike the flaws previously published by SandboxEscaper, whose exploitation was considered as unlikely or highly complex. However, the IT security audit services specialist points out that the exploitation of the second vulnerability reported yesterday is also unlikely, because the window of time to exploit the vulnerable process is really reduced.
HIKVISION Y DAHUATECH, LOS FABRICANTES DE CÁMARAS DE VIGILANCIA MÁS GRANDES DEL MUNDO, HAN SIDO PROHIBIDOS POR E.U.
CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/hikvision-y-dahuatech-los-fabricantes-de-camaras-de-vigilancia-mas-grandes-del-mundo-han-sido-prohibidos-por-e-u/
Después de la decisión del gobierno de E.U. respecto a la tecnología desarrollada por fabricantes chinos, múltiples inversores de Hangzhou Hikvision Digital Technology y Zhejian Dahua Technology (los dos fabricantes de cámaras de vigilancia más grandes del mundo) decidieron deshacerse de las acciones de la compañía pues, acorde a los especialistas en ciberseguridad, temen que el impacto de esta decisión se extienda al resto de sus negocios.
El recientemente publicado proyecto de Ley de Autorización de Defensa Nacional establece que las agencias gubernamentales del gobierno de E.U. tienen prohibido comprar equipos de vigilancia fabricados por algunas compañías en China; se espera que el presidente Trump firme el proyecto de ley en los próximos días.
Acorde a especialistas en ciberseguridad, Hikvision es una compañía controlada por el gobierno chino que ha suministrado equipos de vigilancia a las Fuerzas Armadas de E.U. para monitorear distintas bases militares, además de trabajar para los cuerpos policiales de algunas ciudades como Memphis. La compañía acababa de anunciar ganancias netas de alrededor de 600 millones de dólares en el primer semestre del año.
Sin embargo, después de concocerse la decisión de E.U., las acciones de la compañía cayeron estrepitosamente, cerrando la semana con una pérdida del 14%. En cuanto a Dahua Technology, las acciones de la compañía han caído 20% desde el día que se dio a conocer la decisión de E.U., reportan expertos en ciberseguridad.
A través de un comunicado, Hikvision se pronunció al respecto: “Por sí misma, esta prohibición no tendría un gran impacto en la compañía. No obstante, debido a su ambigua redacción y metas, es posible que las agencias de E.U. hagan una interpretación más amplia de la ley, lo que podría extender el alcance de la prohibición a agencias del gobierno no federales, compañías privadas, etc”.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS), la compañía podría formar un equipo para buscar una definición más específica del proyecto de ley, así como para analizar las posibles consecuencias que esta prohibición podría generar en caso de que su interpretación se extienda a otras organizaciones más allá del gobierno federal de E.U.
“Permanecemos en contacto con nuestros clientes en E.U. y tratamos de minimizar el impacto negativo de esta decisión”, concluye el comunicado de la compañía.
¿EL GOBIERNO DE BALTIMORE DEBERÍA O NO PAGAR RESCATE DEL RANSOMWARE?
CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/el-gobierno-de-baltimore-deberia-o-no-pagar-rescate-del-ransomware/
Hace algunas semanas especialistas en seguridad en páginas web informaron sobre un ataque de ransomware contra los sistemas informáticos del gobierno de Baltimore en el que los hackers lograron comprometer algunos de los sistemas de TI de la ciudad.
Después del ciberataque el gobierno de la ciudad tenía dos opciones, invertir meses de arduo trabajo para restablecer los sistemas comprometidos, o pagar a los hackers el rescate exigido para recuperar la información.
“Por ahora no pagaremos el rescate”, declaró recientemente Bernard Young, alcalde de Baltimore. “Sin embargo, esta es una posibilidad para que los sistemas de la ciudad sean restablecidos, aunque aún no hemos decidido nada”, agregó el alcalde.
El ataque tuvo lugar el 7 de mayo pasado, reportan los expertos en seguridad en páginas web. El equipo de TI de la ciudad detectó el ransomware en sus sistemas y notificó de inmediato al FBI y desconectó sus sistemas para detener el avance de la infección. Antes de ser detectado, el ransomware ya había infectado algunos sistemas de la ciudad como el servidor de correo electrónico, bases de datos con información de multas de tránsito, así como diversos sistemas de pago de impuestos y servicios.
En la nota de rescate, los atacantes exigieron un rescate de tres Bitcoin para restablecer un sistema, o bien trece Bitcoin a cambio de recuperar todos los sistemas comprometidos. El gobierno de la ciudad no ha ofrecido más detalles sobre el incidente, alegando que el FBI mantiene una investigación en curso.
A pesar de que las autoridades no han mencionado de forma explícita a los presuntos responsables del ataque, expertos en seguridad en páginas web afirman que la ciudad fue infectada con una variante de ransomware recientemente desarrollada llamada “RobbinHood”.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS) la mayoría de las veces estos ataques son desplegados por grupos de hackers rusos o de Europa del Este, aunque también se han detectado serios ataques de ransomware perpetrados por grupos de hackers iraníes.
A pesar de que eliminar el cifrado del ransomware puede ser una labor altamente compleja, especialistas en ciberseguridad consideran que lo mejor es que la ciudad no pague el rescate, aunque esto incremente la carga de trabajo y el tiempo de recuperación. Por otra parte, ceder a las exigencias de los hackers y pagar el rescate solamente garantiza que los criminales seguirán disponiendo de los recursos necesarios para desplegar más campañas de ataque.
Cyber Security 