Noticias

Equipo de WordPress trabaja en nuevo plan para eliminar sitios inseguros

El jefe de seguridad de WordPress muestra los esfuerzos del equipo para mejorar la seguridad de casi un tercio de todos los sitios de Internet

  • Jefe de seguridad de WordPress anuncia nuevas medidas de ciberseguridad
  • Continuará el soporte a versiones anteriores, pero nuevo enfoque se centrará en poner al usuario sobre el software
  • Demuestra nueva solución para demostrar limpieza de puntaje

Puntaje Tide para mejorar ciberseguridad
La mayor batalla del equipo de seguridad de WordPress no es contra los hackers sino contra sus propios usuarios, millones de los cuales continúan administrando sitios web en versiones anteriores del famoso CMS (Sistema de Administrador de Contenidos por sus siglas en Inglés), y que regularmente no aplican las actualizaciones al núcleo del CMS, los plugins o plantillas.

Hablando en la conferencia de seguridad cibernética de DerbyCon a principios de este mes, el líder del Equipo de Seguridad de WordPress, Aaron Campbell, le dio al público una idea de cómo el equipo de WordPress ha estado abordando este problema durante los últimos años.

Describió este proceso como un cambio de enfoque. Él dice que el equipo de WordPress decidió hace unos años que, en lugar de mantener el software seguro parcheando errores, se centrarían en mantener a los usuarios seguros, tanto a través del software como de sus acciones.

Los usuarios son más importantes que el software

“La primera lección que aprendimos fue que los usuarios son más importantes que el software”, dijo Campbell frente a una audiencia en vivo.

“Hubo un par de cosas pequeñas en las que enfocarse en los usuarios nos brindó cierta claridad y se simplificó un poco”, agregó.

El problema principal fue que millones de usuarios todavía utilizan versiones anteriores de WordPress para administrar sus sitios. Esas versiones anteriores eran técnicamente seguras, pero los usuarios que ejecutaban esos sitios enfrentaban más riesgos que los usuarios que ejecutaban versiones más recientes.

Un problema difícil de responder

Después de largas discusiones internas, el equipo de WordPress decidió seguir soportando estas versiones anteriores sin especificar un término en la vida útil de dichas versiones. El motivo principal es porque muchos usuarios todavía las están usando.

Esta decisión vino con sus inconvenientes y la más grande fue la necesidad de respaldar los parches de seguridad recientes para versiones anteriores de WordPress, algunas de las cuales tienen ya cinco años.

Campbell se quejó del proceso de respaldo de parches. “¡Realmente apesta! Pero es absolutamente lo mejor para nuestros usuarios. Y dado que es ahí donde establecemos la medida de nuestro éxito, eso es lo que hacemos”.

“Estamos trabajando en posibles formas de reducir esa brecha, pero no queremos hacerlo eliminando el soporte para versiones anteriores que la gente todavía está usando”, agregó.

“En lugar de eso, estamos trabajando para descubrir formas de actualizar esas versiones automáticamente sin romper los sitios de los usuarios, y esencialmente estamos trabajando para intentar eliminar de la existencia esas versiones en Internet y hacer que la gente avance.”

“No es un problema fácil de resolver, pero estamos trabajando en ello”, dijo Campbell.

Una de las formas en que el equipo de WordPress ha estado abordando el problema de las versiones anteriores de WordPress es a través de las actualizaciones automáticas, un mecanismo introducido con WordPress 3.7, lanzado en 2013.

Las actualizaciones automáticas están activadas de forma predeterminada para todas las instalaciones nuevas y han desempeñado el papel más importante en mantener la mayor parte de la base de sitio de WordPress en las versiones más recientes, aunque algunos percentiles permanecen en las versiones anteriores de 3.xy 2.x

 

Una Industria Colaborativa

Para el resto de los usuarios, Campbell dice que el equipo de WordPress se está enfocando en la educación del usuario y las colaboraciones con la industria de la tecnología en general.

Por ejemplo, el equipo de seguridad de WordPress ha estado trabajando con Google para mostrar materiales de capacitación dentro del panel de la Consola de Búsqueda de Google, para advertir y ayudar a los usuarios a migrar a versiones anteriores de sus sitios.

El equipo de WordPress también ha creado una alerta que se muestra dentro del propio panel de WordPress. Esta alerta aparece cuando los usuarios están utilizando una versión anterior de PHP para sus sitios. La idea es que al atraer a los usuarios para que actualicen su entorno de alojamiento PHP, los usuarios también buscarán actualizar WordPress.

Pero además de centrarse en los usuarios de WordPress a las versiones recientes, el equipo de WordPress también ha trabajado para aumentar la seguridad de todo el ecosistema en su conjunto.

Campbell dice que el equipo de WordPress ha estado colaborando con los autores de los complementos más populares en su repositorio de complementos. Ha estado ayudando a estos complementos a seguir las mejores prácticas de codificación.

Esto ha producido grandes resultados, dijo Campbell, ya que los plugins más pequeños ahora han comenzado a seguir (o robar) las técnicas de codificación utilizadas por estos proyectos más grandes, e indirectamente han aumentado la seguridad de sus propios plugins.

Además, el equipo de seguridad de WordPress también ha estado trabajando con Google, XWP y algunas otras compañías en un proyecto llamado Tide que mostraría una calificación de cinco estrellas en cada plugin.

Llamada “puntuación Tide”, esta clasificación está destinada a brindar a los usuarios un indicador de la calidad y seguridad del código delplugin, y si ese código respeta las técnicas modernas de codificación.

Campbell dice que el nombre del proyecto proviene del concepto de que “elevar las aguas en todas partes levanta todos los barcos”.

 

 

Pero además de un cambio en el enfoque del software a los usuarios, el líder de seguridad de WordPress también admitió que también se necesitaban mejoras dentro del propio equipo de seguridad, que en los últimos años ha pasado por un proceso de modernización.

Uno de los temas que abordaron fue el de sus herramientas internas. Campbell dijo que el uso de sistemas obsoletos como listas de correo y canales de IRC ha llevado a muchas situaciones en las que investigadores externos informaron fallas de seguridad, pero a medida que las discusiones sobre cómo corregir el error de seguridad avanzaban dentro de la lista de correo interna, el investigador externo se mantuvo al margen del bucle.

Estos incidentes provocaron que los investigadores de seguridad concluyeran que el equipo de WordPress no se preocupa por los errores de seguridad, una opinión que a veces terminó en informes de noticias o enojadas críticas en las redes sociales.

Campbell dijo que el equipo de WordPress ha mejorado mucho con el tiempo en el manejo de informes de errores al cambiarse a herramientas más modernas como Slack, Trac o HackerOne, y al incorporar nuevas personas que quizás no eran tan buenas para corregir fallas de seguridad, pero que eran mejores en Comunicándose con investigadores externos.

Aquí el video por si te interesa.

 

WordPress es el sistema de gestión de contenido de sitios web más grande de la actualidad, con una cuota de mercado de casi el 60 por ciento entre todos los CMS, y actualmente está instalado en más del 32 por ciento de todos los sitios de Internet, según W3Techs.

 

Referencia: https://www.zdnet.com/article/wordpress-team-working-on-wiping-older-versions-from-existence-on-the-internet/

leer más
Isaul CarballarEquipo de WordPress trabaja en nuevo plan para eliminar sitios inseguros

Nuevo troyano se disfraza como popular aplicación de mensajería Telegram

Kaspersky detecta ciberespionaje a representaciones diplomáticas Asia Central y Afganistán a través de troyano denominado ‘Octopus’ que simula aplicación de mensajería ‘Telegram’

Pulpo en fondo del mar

  • Actor de lengua rusa explota popular aplicación de mensajería confidencial
  • Principales objetivos en Asia Central y Afganistán
  • Fines políticos podrían estar detrás

Investigadores en Kaspersky Lab han identificado una serie de ataques de ciberespionaje dirigidos a organizaciones diplomáticas en Asia Central.

El troyano apodado ‘Octopus’ está siendo disfrazado como una versión del popular sistema de mensajería Telegram. Una vez instalado, proporciona a sus autores acceso remoto a las máquinas de las víctimas.

Los investigadores especulan que esta última ola de ataques podría deberse en parte a la noticia de una posible prohibición de Telegram Messenger en la región.

Los autores del malware distribuyeron Octopus dentro de un archivo que suplantaba una versión alternativa de Telegram Messenger en los partidos de oposición kazajos. El lanzador estaba disfrazado con un conocido símbolo de uno de los partidos políticos de la oposición en la región, y habría ocultado el troyano en su interior.

Una vez activado, Octopus brinda a los atacantes un medio para realizar varias operaciones con datos en la computadora infectada, incluida la eliminación, los bloqueos, las modificaciones, la copia y la descarga.

De esta manera, los actores pueden espiar a sus objetivos, robar información confidencial y obtener acceso de puerta trasera a los sistemas. Según Kaspersky, existen similitudes con otra operación notoria de ciberespionaje llamada Zoo Park, en la que el malware utilizado para la amenaza persistente avanzada (APT) estaba imitando una aplicación de Telegram para espiar a las víctimas.

Al emplear los algoritmos de Kaspersky que reconocen similitudes en el código del software, los investigadores descubrieron que Octopus podría tener vínculos con DustSquad, un actor de amenaza de ciberespionaje de habla rusa detectado previamente en los antiguos países de la URSS en Asia Central, así como en Afganistán.

En los últimos dos años, los investigadores han descubierto cuatro campañas DustSquad con malware personalizado de Android y Windows dirigido a usuarios privados y entidades diplomáticas por igual.

Denis Legezo, un investigador de seguridad en Kaspersky Lab, dice que la compañía ha visto muchos delincuentes cibernéticos dirigidos a entidades diplomáticas en Asia Central en 2018.

“DustSquad ha estado trabajando en la región durante varios años y podría ser el grupo detrás de esta nueva amenaza. Aparentemente, el interés en los asuntos cibernéticos de esta región está creciendo constantemente. Recomendamos encarecidamente a los usuarios y organizaciones de la región que estén atentos a sus sistemas e instruir a los empleados a hacer lo mismo “, dice.

 

Referencias:

http://www.elfinanciero.com.mx/tech/kaspersky-detecta-ciberespionaje-a-representaciones-diplomaticas

https://www.itweb.co.za/content/O2rQGMApoYJ7d1ea

 

leer más
Isaul CarballarNuevo troyano se disfraza como popular aplicación de mensajería Telegram

Descubren nuevo error en el más reciente sistema operativo de iPhone

Nuevo bug en iOS permite acceder a todos los contactos y fotos de cualquier iPhone con sistema operativo reciente

Video de Youtube con explicación para hackear nuevo iPhone

  • El bug requiere acceso físico al dispositivo
  • Consiste en una combinación de asistente de voz y Apple messages
  • Al momento no hay un parche oficial liberado

El apasionado de la seguridad, José Rodríguez, ha descubierto un nuevo error de bypass de código de acceso que podría ser explotado en el recientemente lanzado iOS 12.0.1.

Hace unas semanas, Rodríguez descubrió una vulnerabilidad de omisión de contraseña en la nueva versión 12 de iOS de Apple que podría haber sido explotada para acceder a fotos y contactos en un iPhone XS bloqueado.

Ahora, el experto descubrió una falla similar que es muy fácil de ejecutar por un atacante físico para acceder al álbum de fotos de un dispositivo bloqueado. El error le permite al atacante seleccionar fotos y enviarlas a cualquier persona que use los Mensajes de Apple.

El nuevo ataque de bypass de código de acceso funciona en todos los modelos actuales de iPhone, incluidos los dispositivos iPhone X y XS, ejecutando la última versión de iOS 12 a 12.0.1.

A la espera de un parche, es posible mitigar el problema deshabilitando Siri de la pantalla de bloqueo (Vaya a Configuración → ID de rostro y código de acceso (ID de contacto y código de acceso en iPhones con ID de contacto) y Desactive la opción Siri en “Permitir acceso cuando está bloqueado).

leer más
Isaul CarballarDescubren nuevo error en el más reciente sistema operativo de iPhone

Hackean el sistema HealthCare.gov y obtienen datos confidenciales de 75,000 usuarios

Los Centros de Servicios de Medicare y Medicaid anunciaron que hackers ingresaron a un sistema informático que interactúa con HealthCare.gov

Portal de HealthCare.gov hackeado

  • Hackers ingresaron en un sistema informático que interactúa con HealthCare.gov, portal del sistema de salud de los EEUU
  • Cibercriminales acceden a datos de 75,000 personas
  • Portal para los consumidores no sufrió hackeo

Según los Centros de Servicios de Medicare y Medicaid, los cibercriminales accedieron a datos personales de unas 75,000 personas.

“Las autoridades dijeron que el sistema hackeado se cerró y los técnicos están trabajando para restaurarlo antes de que comience la temporada de inscripción el 1 de noviembre para la cobertura de atención médica bajo la Ley de Atención Asequible”, informó Associated Press.

“El sistema que fue hackeado es utilizado por agentes de seguros y corredores para inscribir directamente a los clientes. Todos los demás sistemas de registro están funcionando “.

En los EEUU, La ley de atención médica de Barack Obama aseguró la cobertura privada para aproximadamente 10 millones de personas que, para acceder al servicio público, tienen que proporcionar una amplia información personal, incluidos números de Seguro Social, ingresos y ciudadanía o estado legal de inmigración.

A partir del 1 de noviembre, las personas pueden iniciar sesión en HealthCare.gov, completar una solicitud e inscribirse en un plan de salud de 2019 Marketplace.

Un portavoz de los Centros de Medicare y Medicaid declaró que “no pasó nada” en el sitio web HealthCare.gov que es utilizado por el público en general.

“Esto se refiere al portal de agentes y corredores, que no es accesible para el público en general”, dijo.

La policía está investigando el incidente y notificó a los clientes afectados que recibirán protección crediticia gratuita.

¿Qué es HealthCare.gov?

Healthcare.gov es un portal web que permite comparar las pólizas de seguros en los EEUU de una forma completa y fácil de entender. El portal fue el resultado y herramienta que permite la existencia y mantenimiento del Obamacare en marzo de 2010.

HealthCare.gov es un sitio web del gobierno federal de los EEUU diseñado para presentar amplia información referente a la nueva legislación de atención médica. Lo hace de una manera muy personalizada. Ya sea que sea una mujer embarazada en New Jersey o una recién graduada de la universidad de New Mexico, el portal permite obtener información sobre cómo la ley afecta su situación particular.

leer más
Isaul CarballarHackean el sistema HealthCare.gov y obtienen datos confidenciales de 75,000 usuarios

Herramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

Kaspersky informa que detectó infecciones provocadas con DarkPulsar, presunto malware desarrollado por la NSA

Kaspersky Lab

  • La compañía de ciberseguridad Kaspersky anuncia que detectó malware desarrollado por la Agencia Nacional de Seguridad (NSA por sus siglas en Inglés) de los EEUU.
  • Las víctimas incluyen infraestructura en energía nuclear, telecomunicaciones, informática y aeroespacial de Rusia, Irán y Egipto
  • No está claro si las infecciones son provocadas por hackers o la misma NSA

Los malhechores están usando herramientas de hacking desarrolladas por la NSA. Las mismas fueron liberadas el público el año pasado por un grupo de hackers conocido como los Shadow Brokers. dichas herramientas se utilizaron para infectar y espiar los sistemas informáticos utilizados en las industrias aeroespacial, de energía nuclear y otras industrias de infraestructura clave.

“Encontramos alrededor de 50 víctimas, pero creemos que la cifra es mucho mayor”, dijeron los investigadores de Kaspersky Lab.

“Todas las víctimas estaban ubicadas en Rusia, Irán y Egipto, y típicamente los servidores Windows 2003/2008 eran los que estaban infectados”, dijo la compañía. “Los objetivos estaban relacionados con la energía nuclear, las telecomunicaciones, la informática, la industria aeroespacial y R&D”.

Los investigadores de Kaspersky pudieron analizar DarkPulsar porque fue una de las muchas herramientas de piratería que se descargaron en línea en la primavera de 2017.

Las herramientas de piratería fueron filtradas por un grupo de piratas informáticos conocidos como los Shadow Brokers, quienes afirmaron que los robaron del Equation Group, un nombre en clave dado por la industria de seguridad cibernética a un grupo que se cree universalmente que es la NSA.

DarkPulsar pasó casi desapercibido durante más de 18 meses, ya que el volcado de 2017 también incluía EternalBlue, el exploit que impulsó los tres brotes de ransomware del año pasado: WannaCry, NotPetya y Bad Rabbit.

Casi todos los ojos de la comunidad infosec se han centrado en EternalBlue durante el último año, y por una buena razón, ya que el exploit ahora se ha convertido en un malware básico.

Pero en los últimos meses, los investigadores de Kaspersky también han comenzado a profundizar en las otras herramientas de piratería filtradas por los Shadow Brokers el año pasado.

Los investigadores de Kaspersky también creen que la cantidad de computadoras infectadas con DarkPulsar es probablemente más grande que las 50 detecciones que encontraron.

El malware también incluía una función de eliminación automática, que los operadores de Equation Group probablemente usaban para cubrir sus huellas después de que los Shadow Brokers abandonaron sus herramientas en línea.

“Entonces, las 50 víctimas son muy probablemente sólo las que los atacantes simplemente han olvidado”, dijeron los investigadores.

En cuanto a quién está detrás de estos hacks, Kaspersky no lo dijo. No está claro si los Shadow Brokers lograron tener en sus manos el malware DarkPulsar completo, pero luego optaron por no incluir la puerta trasera real en el paquete de herramientas filtradas.

Estas 50 infecciones podrían ser fácilmente el trabajo de las operaciones de espionaje cibernético de Equation Group o el trabajo de los Shadow Brokers.

 

Referencias:

DarkPulsar

https://www.zdnet.com/article/kaspersky-says-it-detected-infections-with-darkpulsar-alleged-nsa-malware/

https://www.theregister.co.uk/2018/10/19/leaked_nsa_malware/

 

leer más
Isaul CarballarHerramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

Agencia de marketing, no hackers, detrás del ataque masivo a Facebook: Wall Street Journal

Spammers, y no hackers contratados por gobiernos, pudieron haber estado detrás del hackeo a Facebook del mes pasado que robó 30 millones de cuentas

Hackeo Facebook publicidad engañosa

  • Agencia de marketing detrás del hackeo de Facebook
  • Robaron los datos personales de 30 millones de cuentas
  • Intención del ataque era generar publicidad engañosa para descargas ilegales, entre otros

Según un reporte reciente del Wall Street Journal (WSJ), investigadores internos de Facebook sospechan que los atacantes son un grupo de spammers de Facebook e Instagram que anteriormente se hicieron pasar por una empresa de marketing digital. Su objetivo era ganar dinero a través de anuncios engañosos, y no precisamente desatar una guerra cibernética.

Aunque Facebook no ha confirmado el reporte del WSJ, siguen callados respecto a quién es el autor del ataque más grande de su historia, limitándose a citar la participación de FBI en el caso. “El FBI está investigando activamente y nos ha pedido que no discutamos quién podría estar detrás de este ataque”, dijo el vicepresidente Guy Rosen la semana pasada.

Si los spammers estaban realmente detrás del hackeo, su objetivo probable era recopilar datos de contacto para enviar anuncios. La semana pasada, Facebook reveló que los misteriosos atacantes estaban enfocados en acceder a la información de cerca de 30 millones de usuarios afectados en este ataque.

Para hackear a Facebook, los atacantes explotaron tres vulnerabilidades para robar los tokens de acceso digital de los usuarios, lo que les permitiría hacerse cargo de la cuenta de alguien.

Intención de hackers era publicidad engañosa

Desde el 14 de septiembre hasta aproximadamente el 27 de septiembre, los piratas informáticos utilizaron un proceso automatizado para esencialmente copiar los datos de cuenta en cuenta. Entre los detalles a los que se accedió se encontraban el nombre, números de teléfono y direcciones de correo electrónico. Además, los hackers tendrían acceso a 14 millones de cuentas con detalles relacionados con su ubicación, educación, trabajo y búsquedas más recientes en Facebook.

Recibir anuncios engañosos puede parecer inofensivo, pero los actores criminales pueden optar por explotar los datos robados con fines de robo de identidad, robo de cuentas de correo electrónico o esquemas de phishing. Imagina que tu bandeja de entrada de correo electrónico o tu celular son bombardeados con mensajes que te podrían redirigir a descargar malware. A su vez, quien haya robado los datos también podría decidir compartirlos con otras personas.

Ya te he explicado como saber si tu Facebook fue hackeado. Adicionalmente, la compañía está aconsejando a los usuarios que tengan cuidado con las llamadas no deseadas, los mensajes de texto y los correos electrónicos de personas que no conocen. “Si recibes un mensaje o correo electrónico que dice ser de Facebook, siempre puedes revisar correos electrónicos de seguridad recientes para confirmar si son legítimos”, indica Facebook en su blog.

leer más
Isaul CarballarAgencia de marketing, no hackers, detrás del ataque masivo a Facebook: Wall Street Journal

Ghost Squad se proclama autor del hackeo de Youtube de ayer

¿Te quedaste sin Youtube? El grupo de ciberataques “Ghost Squad” se responsabiliza por la interrupción de Youtube

Ilustración de Youtube hackeada

  • Conocido grupo de hacktivistas clama autoría del hackeo de Youtube en Twitter
  • Ghost Squad no ha mostrado evidencia de su afirmación
  • El hackeo podría estar relacionado con la censura reciente en Youtube de material que consideran controvertido

Un grupo de hacktivistas se responsabilizó por la interrupción del servicio que provocó la caída de YouTube anoche.

Los hackers de Ghost Squad se jactaron de sus hazañas en Twitter. Hasta el momento no han proporcionado ninguna prueba de que estuvieran detrás de la interrupción.

El grupo de hackers ha atacado previamente a CNN, ISIS y a los gobiernos de Afganistán e Israel, pero hasta ahora no ha proporcionado ninguna prueba de su último reclamo.

Los fanáticos de YouTube en Europa, EEUU Y sudamérica se quedaron sin poder visitar su sitio favorito después de que el popular sitio web para compartir videos dejara de funcionar durante más de una hora.

Google, empresa dueña de Youtube, fue muy escueta respecto a las causas de la interrupción en su servicio, publicando solamente en Twitter que estaban trabajando en resolver el problema. Hasta el momento, nadie más ha reclamado la autoría.

¿Qué es el Ghost Squad?

El colectivo de hackers conocido como Ghost Squad Hackers se ha hecho responsable de la desaparición momentánea de YouTube.

“Youtube fue derribado por Ghost Squad Hackers”, dijeron esta mañana a través de su cuenta de Twitter.

Lamentablemente, el grupo hacktivista no proporcionó más comentarios sobre lo que afirma haber hecho, y ningún tipo de prueba de que sus afirmaciones sean ciertas.

Aún así, tiene una historia bien documentada de ataques contra grandes organizaciones, agencias gubernamentales, el Ku Klux Klan y el Estado Islámico (también conocido como ISIS o EI), por lo que su alarde es al menos creíble.

En 2016, lanzó una campaña coordinada contra CNN y otros medios de comunicación estadounidenses, trabajando en conjunto con otros hacktivistas anónimos para lanzar ataques de denegación de servicio (DDoS por sus siglas en inglés Distributed Denial of Service) en sitios web de noticias.

En el mismo año, modificó 12 sitios web del gobierno afgano y también eliminó sitios web pertenecientes al Banco de Israel y al Primer Ministro israelí.

Actualmente, no hay ninguna indicación de por qué los hackers de Ghost Squad podrían haber querido apuntar a YouTube.

¿Cómo funciona un ataque DDoS?

A lo largo de su corta existencia, de casi tres años, su táctica preferida ha sido el ataque distribuido de denegación de servicio (DDoS). Asumiendo que sus afirmaciones son ciertas, es razonable asumir que ellos fueron quienes derribaron a YouTube anoche.

En un ataque DDoS, los piratas informáticos utilizan cientos de miles de direcciones IP para bombardear el sitio web víctima con niveles de tráfico inmanejables, lo que provoca una saturación en el hosting u hospedaje, y por ende en el servicio.

Si el nivel de tráfico es lo suficientemente alto, esto hará que el sitio web caiga, ya que no podrá procesar todas las solicitudes que reciba.

Pero suponiendo que los hackers de Ghost Squad están detrás de la interrupción, lo que es más esquivo es su motivación.

Según informes, sus ataques anteriores han sido motivados por motivos políticos, como la indignación por la producción de opio en Afganistán y el trato de Israel a los palestinos.

Sin embargo, sin proporcionar más detalles sobre su presunto ataque de YouTube, es difícil decir por qué pueden haber apuntado al popular sitio.

Posiblemente, sus motivaciones podrían girar en torno a las percepciones de que YouTube censura injustamente algunos videos. Ha habido algunas acusaciones recientes a Youtube por remover contenido que ellos consideran controvertido.

YouTube se ha negado a confirmar la causa de la interrupción del servicio al momento.

leer más
Isaul CarballarGhost Squad se proclama autor del hackeo de Youtube de ayer

Brasileño descubre un error que permite ataques DDoS extremos

Oracle acaba de publicar una actualización de seguridad para evitar que más de 2 millones de servidores que utilizan el servicio RPCBIND sufran posibles tipo DDoS amplificados

Gráfico ataque DDoS

  • Hay 2.6 millones de servidores usando el servicio RPCBIND
  • La falla en los servidores RPCBIND de Orcale permitiría ataques DDoS de hasta 69 GB por segundo

La falla que permite esta exploración fue descubierta por el investigador brasileño Mauricio Corrêa, fundador de la empresa gaúcha de seguridad XLabs Security.

Una exploración de este fallo tiene el potencial de causar grandes problemas en Internet, asegura Mauricio. “Una prueba de concepto (POC) hecha en sólo un servidor de XLabs generó un tráfico de 69 gigabits por segundo”, dijo a Cibersecurity.net.br.

En el primer día de este descubrimiento, el buscador Shodan indicaba la existencia de casi 2.6 millones de servidores usando el servicio RPCBIND. La multiplicación de ese exploit en un parque de 2,6 millones de servidores lleva a una conclusión aterradora.

¿Qué es la utilidad RPCBIND?

RPCBIND es el software que proporciona a los programas-clientes la información que necesitan sobre los programas de servidores disponibles en una red. Se ejecuta en el puerto 111 y responde con direcciones universales de los programas de servidor, para que los programas cliente puedan solicitar datos a través de RPC (llamadas de procedimiento remoto).

Estas direcciones se forman por el conjunto IP del servidor más puerto. Desde su lanzamiento, el RPCBIND recibe actualizaciones que cubren varias fallas, entre ellas las de seguridad. Esta, sin embargo, es el más grave descubrimiento hasta ahora.

El descubrimiento de la falta comenzó el 11 de junio de este año. En aquel día, una de las WAFs (web application firewalls) instalada en el SOC (seguridad de operaciones de seguridad) de XLabs detectó un patrón anormal de tráfico en la red que llamó la atención de Mauricio.

Los datos mostraban que había un ataque DDoS en marcha, venido de la puerta 111 de varios servidores, todos de otros países. “Decidimos entonces abrir un servidor con la puerta 111 expuesta en Internet, con las mismas características de aquellos que nos atacaban y seguimos monitoreando ese servidor durante semanas.

“Acabamos descubriendo que él estaba recibiendo peticiones para generar ataques”, explicó. Después de un análisis más profundo del asunto, fue posible reproducir el ataque en laboratorio. “Al analizar en el Shodan los servidores expuestos, se confirmó la extensión del problema”, añade Mauricio.

El problema descubierto por Mauricio es peor que el Memcrashed, detectado en febrero de este año. En este tipo de ataque distribuido de denegación de servicio (DDoS), existe una amplificación del tráfico con el uso de memcached, un servicio que no requiere autenticación, pero que ha estado muy expuesto en Internet por administradores de sistemas inexpertos. El servicio gira en el puerto UDP 11211 y su explotación por cibercriminales ya generó tráfico de 260GB según mediciones de la empresa Cloudflare.

Después de elaborar la POC (prueba de concepto), Mauricio informó el problema del área de seguridad de Oracle, ya que el RPCBIND es una solución originaria de Sun, que fue adquirida por la empresa en 2010. Envió la información para que los expertos de la empresa pudieran confirmar y evaluar el problema. La vulnerabilidad entró en el catálogo general y ganó el código CVE-2018-3172.

La versión original del post está disponible en el blog del autor: Paulo Brito.

 

leer más
EditorialBrasileño descubre un error que permite ataques DDoS extremos

35 millones de registros de votantes a la venta en popular foro de hacking

Investigadores descubrieron que hasta 35 millones de registros de votantes de 19 estados de los EEUU se han puesto a la venta en popular foro de hacking

Imagen de pantalla del foro donde se vende la base electoral

  • Descubren registro a la venta de 35 millones de votantes de EEUU
  • 19 son los estados afectados, con Kansas y Oregon los principales afectados al momento
  • Precio de las bases de datos varía de los US$150 a los US$12,500

Investigadores de Anomali Labs e Intel 471 dijeron el lunes que descubrieron en comunicaciones de la dark web una gran cantidad de bases de datos de votantes a la venta, incluida valiosa información de identificación personal e historial de votación.

Esto representa la primera indicación de los datos de registro de votantes de 2018 a la venta en un foro de piratería, dijeron los investigadores. El descubrimiento se produce semanas antes de las elecciones de mediados de noviembre en Estados Unidos.

“Con las elecciones intermedias de noviembre de 2018 a solo cuatro semanas, los actores maliciosos podrían utilizar la disponibilidad y la vigencia de los registros de votantes, si se combinan con otros datos violados, para interrumpir el proceso electoral o perseguir el robo de identidad a gran escala”, informaron los investigadores en Anomali Labs en un correo el lunes.

“Dados los reclamos de proveedores ilícitos de actualizaciones semanales de los registros de votantes y la alta reputación del foro de piratas informáticos, evaluamos con una confianza moderada que él o ella pudieron tener acceso permanente a la base de datos y/o contacto con funcionarios gubernamentales en cada estado”. La declaración abre la posibilidad de un involucramiento entre agentes oficiales de gobierno y piratas informáticos anónimos.

Los investigadores no publicaron cuál era el nombre del foro de piratería, ni la línea de tiempo de las ventas.

La investigación afecta a 19 estados e incluye 23 millones de registros en solo tres de los 19 estados, dijeron los investigadores. Los estados afectados incluyen: Georgia, Idaho, Iowa, Kansas, Kentucky, Louisiana, Minnesota, Mississippi, Montana, Nuevo México, Oregon, Carolina del Sur, Dakota del Sur, Tennessee, Texas, Utah, Virginia Occidental, Wisconsin y Wyoming.

No se proporcionaron recuentos de registros para los 16 estados restantes, pero sí incluían precios para cada estado. El grupo de investigación dijo que cada lista de votantes varía de US$150 a US$12,500, según el estado. Estos precios podrían estar relacionados con el número de registros de votantes por base de datos.

Los registros contienen datos de cada votante que incluyen su nombre completo, números de teléfono, direcciones físicas, historial de votación y otros datos de votación no especificados.

“Estimamos que todo el contenido de la divulgación podría superar los 35 millones de registros”, dijo el equipo de investigación. “Los investigadores han revisado una muestra de los registros de la base de datos y han determinado que los datos son válidos con un alto grado de confianza”.

Crowdfunding para compra de votos

Además, los investigadores dijeron que a las pocas horas del anuncio inicial, un “actor de alto perfil” organizó una campaña de financiación colectiva, también conocida como crowdfunding, para comprar cada una de las bases de datos de registro de los votantes.

“Según el actor, las bases de datos compradas se pondrían a disposición de todos los miembros registrados del foro de hackers, con acceso anticipado a los donantes del proyecto”, dijeron los investigadores.

Hasta ahora, de las 19 bases de datos disponibles, Kansas ha sido adquirida y publicada como parte de esa campaña de financiamiento colectivo, y Oregon está a la cabeza como el segundo estado que se publicará.

Las preocupaciones en torno a los datos de los votantes en los Estados Unidos han seguido en su apogeo a medida que se acercan las elecciones de Noviembre.

leer más
Isaul Carballar35 millones de registros de votantes a la venta en popular foro de hacking

Rusia está en guerra cibernética contra Holanda, confirma ministra Holandesa

La ministra de Defensa de Holanda, Ank Bijleveld, confirmó este domingo que Rusia y Holanda se encuentran en una guerra cibernética

Imagen exterior de la sede en la Haya de la Organización para la prohibición de armas químicas

  • Hace unos meses Holanda detectó una van Rusa con equipo de hackeo cerca de las instalaciones de la Organización para la Prohibición de las Armas Químicas
  • Rusia niega hackeo e indica que se trata de un ejercicio de rutina
  • Ministra de Defensa Holandesa confirma que Rusia y Holanda están en guerra cibernética

Hace pocos meses supimos que Reino Unido acusaba a Rusia de una guerra cibernética. En Abril Holanda, expulsó a cuatro funcionarios militares rusos cuando preparaban un ataque contra la red de de la Organización para la Prohibición de las Armas Químicas (OPCW por sus siglas en inglés), con sede en La Haya.

De acuerdo a las autoridades Danesas, agentes rusos habían colocado un vehículo repleto de equipos electrónicos en el estacionamiento de un hotel cerca de la sede de la OPCW para hackear su sistema informático.

Lo que sucedió es realmente peligroso“, dijo la Sra. Bijleveld el domingo por la mañana durante una transmisión en el canal de televisión público Dutch NPO 1.

Ante la pregunta de un periodista sobre si la situación actual entre los Países Bajos y Rusia puede calificarse de “guerra cibernética“, la ministro respondió: “Sí, este es el caso“.

Moscú ha negado firmemente que quería hackear a la OPCW, y dijo el lunes que la expulsión de los cuatro hombres fue un “malentendido“. El jefe de la diplomacia rusa, Sergei Lavrov, se refirió a un “viaje de rutina“, sin dar más detalles.

Las personas tratan de interferir de varias maneras en nuestra vida cotidiana, para influir en nuestra democracia“, dijo la ministra.

Necesitamos deshacernos de la ingenuidad en esta área y tomar medidas“, agregó. “Por eso fue importante hacer público el intento de hackeo de los agentes rusos“, explicó la ministro.

Este intento ha tenido lugar en el momento en que la OPCW continúa investigando el envenenamiento de Sergei Skripal en Londres y atribuido a agentes del GRU, la inteligencia militar rusa. Moscú ha negado firmemente cualquier participación.

OPCW también estaba investigando un supuesto ataque químico en Duma, Siria, atribuido a las fuerzas gubernamentales sirias apoyadas por Moscú, según occidente.

La ministro holandés de Defensa ha indicado que su ministerio ha reservado un presupuesto mayor para la seguridad cibernética como resultado de estos eventos.

Estamos invirtiendo más en servicios de inteligencia para poder ver lo que está sucediendo y actuar si es necesario“- Ank Bijleveld

Ank Bijleveld también ofreció a la OTAN “cibersoldados” holandeses, una propuesta que está siendo “activamente” examinada de acuerdo con la ministro.

Al momento, la ministra de Defensa confirma que efectivamente Holanda se encuentra en una guerra de información contra Rusia.

 

 

leer más
Isaul CarballarRusia está en guerra cibernética contra Holanda, confirma ministra Holandesa