Noticias

Brasileño descubre un error que permite ataques DDoS extremos

Oracle acaba de publicar una actualización de seguridad para evitar que más de 2 millones de servidores que utilizan el servicio RPCBIND sufran posibles tipo DDoS amplificados

Gráfico ataque DDoS

  • Hay 2.6 millones de servidores usando el servicio RPCBIND
  • La falla en los servidores RPCBIND de Orcale permitiría ataques DDoS de hasta 69 GB por segundo

La falla que permite esta exploración fue descubierta por el investigador brasileño Mauricio Corrêa, fundador de la empresa gaúcha de seguridad XLabs Security.

Una exploración de este fallo tiene el potencial de causar grandes problemas en Internet, asegura Mauricio. “Una prueba de concepto (POC) hecha en sólo un servidor de XLabs generó un tráfico de 69 gigabits por segundo”, dijo a Cibersecurity.net.br.

En el primer día de este descubrimiento, el buscador Shodan indicaba la existencia de casi 2.6 millones de servidores usando el servicio RPCBIND. La multiplicación de ese exploit en un parque de 2,6 millones de servidores lleva a una conclusión aterradora.

¿Qué es la utilidad RPCBIND?

RPCBIND es el software que proporciona a los programas-clientes la información que necesitan sobre los programas de servidores disponibles en una red. Se ejecuta en el puerto 111 y responde con direcciones universales de los programas de servidor, para que los programas cliente puedan solicitar datos a través de RPC (llamadas de procedimiento remoto).

Estas direcciones se forman por el conjunto IP del servidor más puerto. Desde su lanzamiento, el RPCBIND recibe actualizaciones que cubren varias fallas, entre ellas las de seguridad. Esta, sin embargo, es el más grave descubrimiento hasta ahora.

El descubrimiento de la falta comenzó el 11 de junio de este año. En aquel día, una de las WAFs (web application firewalls) instalada en el SOC (seguridad de operaciones de seguridad) de XLabs detectó un patrón anormal de tráfico en la red que llamó la atención de Mauricio.

Los datos mostraban que había un ataque DDoS en marcha, venido de la puerta 111 de varios servidores, todos de otros países. “Decidimos entonces abrir un servidor con la puerta 111 expuesta en Internet, con las mismas características de aquellos que nos atacaban y seguimos monitoreando ese servidor durante semanas.

“Acabamos descubriendo que él estaba recibiendo peticiones para generar ataques”, explicó. Después de un análisis más profundo del asunto, fue posible reproducir el ataque en laboratorio. “Al analizar en el Shodan los servidores expuestos, se confirmó la extensión del problema”, añade Mauricio.

El problema descubierto por Mauricio es peor que el Memcrashed, detectado en febrero de este año. En este tipo de ataque distribuido de denegación de servicio (DDoS), existe una amplificación del tráfico con el uso de memcached, un servicio que no requiere autenticación, pero que ha estado muy expuesto en Internet por administradores de sistemas inexpertos. El servicio gira en el puerto UDP 11211 y su explotación por cibercriminales ya generó tráfico de 260GB según mediciones de la empresa Cloudflare.

Después de elaborar la POC (prueba de concepto), Mauricio informó el problema del área de seguridad de Oracle, ya que el RPCBIND es una solución originaria de Sun, que fue adquirida por la empresa en 2010. Envió la información para que los expertos de la empresa pudieran confirmar y evaluar el problema. La vulnerabilidad entró en el catálogo general y ganó el código CVE-2018-3172.

La versión original del post está disponible en el blog del autor: Paulo Brito.

 

leer más
EditorialBrasileño descubre un error que permite ataques DDoS extremos

35 millones de registros de votantes a la venta en popular foro de hacking

Investigadores descubrieron que hasta 35 millones de registros de votantes de 19 estados de los EEUU se han puesto a la venta en popular foro de hacking

Imagen de pantalla del foro donde se vende la base electoral

  • Descubren registro a la venta de 35 millones de votantes de EEUU
  • 19 son los estados afectados, con Kansas y Oregon los principales afectados al momento
  • Precio de las bases de datos varía de los US$150 a los US$12,500

Investigadores de Anomali Labs e Intel 471 dijeron el lunes que descubrieron en comunicaciones de la dark web una gran cantidad de bases de datos de votantes a la venta, incluida valiosa información de identificación personal e historial de votación.

Esto representa la primera indicación de los datos de registro de votantes de 2018 a la venta en un foro de piratería, dijeron los investigadores. El descubrimiento se produce semanas antes de las elecciones de mediados de noviembre en Estados Unidos.

“Con las elecciones intermedias de noviembre de 2018 a solo cuatro semanas, los actores maliciosos podrían utilizar la disponibilidad y la vigencia de los registros de votantes, si se combinan con otros datos violados, para interrumpir el proceso electoral o perseguir el robo de identidad a gran escala”, informaron los investigadores en Anomali Labs en un correo el lunes.

“Dados los reclamos de proveedores ilícitos de actualizaciones semanales de los registros de votantes y la alta reputación del foro de piratas informáticos, evaluamos con una confianza moderada que él o ella pudieron tener acceso permanente a la base de datos y/o contacto con funcionarios gubernamentales en cada estado”. La declaración abre la posibilidad de un involucramiento entre agentes oficiales de gobierno y piratas informáticos anónimos.

Los investigadores no publicaron cuál era el nombre del foro de piratería, ni la línea de tiempo de las ventas.

La investigación afecta a 19 estados e incluye 23 millones de registros en solo tres de los 19 estados, dijeron los investigadores. Los estados afectados incluyen: Georgia, Idaho, Iowa, Kansas, Kentucky, Louisiana, Minnesota, Mississippi, Montana, Nuevo México, Oregon, Carolina del Sur, Dakota del Sur, Tennessee, Texas, Utah, Virginia Occidental, Wisconsin y Wyoming.

No se proporcionaron recuentos de registros para los 16 estados restantes, pero sí incluían precios para cada estado. El grupo de investigación dijo que cada lista de votantes varía de US$150 a US$12,500, según el estado. Estos precios podrían estar relacionados con el número de registros de votantes por base de datos.

Los registros contienen datos de cada votante que incluyen su nombre completo, números de teléfono, direcciones físicas, historial de votación y otros datos de votación no especificados.

“Estimamos que todo el contenido de la divulgación podría superar los 35 millones de registros”, dijo el equipo de investigación. “Los investigadores han revisado una muestra de los registros de la base de datos y han determinado que los datos son válidos con un alto grado de confianza”.

Crowdfunding para compra de votos

Además, los investigadores dijeron que a las pocas horas del anuncio inicial, un “actor de alto perfil” organizó una campaña de financiación colectiva, también conocida como crowdfunding, para comprar cada una de las bases de datos de registro de los votantes.

“Según el actor, las bases de datos compradas se pondrían a disposición de todos los miembros registrados del foro de hackers, con acceso anticipado a los donantes del proyecto”, dijeron los investigadores.

Hasta ahora, de las 19 bases de datos disponibles, Kansas ha sido adquirida y publicada como parte de esa campaña de financiamiento colectivo, y Oregon está a la cabeza como el segundo estado que se publicará.

Las preocupaciones en torno a los datos de los votantes en los Estados Unidos han seguido en su apogeo a medida que se acercan las elecciones de Noviembre.

leer más
Isaul Carballar35 millones de registros de votantes a la venta en popular foro de hacking

Rusia está en guerra cibernética contra Holanda, confirma ministra Holandesa

La ministra de Defensa de Holanda, Ank Bijleveld, confirmó este domingo que Rusia y Holanda se encuentran en una guerra cibernética

Imagen exterior de la sede en la Haya de la Organización para la prohibición de armas químicas

  • Hace unos meses Holanda detectó una van Rusa con equipo de hackeo cerca de las instalaciones de la Organización para la Prohibición de las Armas Químicas
  • Rusia niega hackeo e indica que se trata de un ejercicio de rutina
  • Ministra de Defensa Holandesa confirma que Rusia y Holanda están en guerra cibernética

Hace pocos meses supimos que Reino Unido acusaba a Rusia de una guerra cibernética. En Abril Holanda, expulsó a cuatro funcionarios militares rusos cuando preparaban un ataque contra la red de de la Organización para la Prohibición de las Armas Químicas (OPCW por sus siglas en inglés), con sede en La Haya.

De acuerdo a las autoridades Danesas, agentes rusos habían colocado un vehículo repleto de equipos electrónicos en el estacionamiento de un hotel cerca de la sede de la OPCW para hackear su sistema informático.

Lo que sucedió es realmente peligroso“, dijo la Sra. Bijleveld el domingo por la mañana durante una transmisión en el canal de televisión público Dutch NPO 1.

Ante la pregunta de un periodista sobre si la situación actual entre los Países Bajos y Rusia puede calificarse de “guerra cibernética“, la ministro respondió: “Sí, este es el caso“.

Moscú ha negado firmemente que quería hackear a la OPCW, y dijo el lunes que la expulsión de los cuatro hombres fue un “malentendido“. El jefe de la diplomacia rusa, Sergei Lavrov, se refirió a un “viaje de rutina“, sin dar más detalles.

Las personas tratan de interferir de varias maneras en nuestra vida cotidiana, para influir en nuestra democracia“, dijo la ministra.

Necesitamos deshacernos de la ingenuidad en esta área y tomar medidas“, agregó. “Por eso fue importante hacer público el intento de hackeo de los agentes rusos“, explicó la ministro.

Este intento ha tenido lugar en el momento en que la OPCW continúa investigando el envenenamiento de Sergei Skripal en Londres y atribuido a agentes del GRU, la inteligencia militar rusa. Moscú ha negado firmemente cualquier participación.

OPCW también estaba investigando un supuesto ataque químico en Duma, Siria, atribuido a las fuerzas gubernamentales sirias apoyadas por Moscú, según occidente.

La ministro holandés de Defensa ha indicado que su ministerio ha reservado un presupuesto mayor para la seguridad cibernética como resultado de estos eventos.

Estamos invirtiendo más en servicios de inteligencia para poder ver lo que está sucediendo y actuar si es necesario“- Ank Bijleveld

Ank Bijleveld también ofreció a la OTAN “cibersoldados” holandeses, una propuesta que está siendo “activamente” examinada de acuerdo con la ministro.

Al momento, la ministra de Defensa confirma que efectivamente Holanda se encuentra en una guerra de información contra Rusia.

 

 

leer más
Isaul CarballarRusia está en guerra cibernética contra Holanda, confirma ministra Holandesa

Las contraseñas más comunes de 2017

Desde ‘123456’ hasta ‘iloveyou’: las contraseñas más comunes y fáciles de adivinar de 2017

Contraseña 123456

  • Un estudio reveló los patrones en la creación de contraseñas
  • La mayoría de las personas aún usas contraseñas fáciles de adivinar
  • Pocos usan un administrador de contraseñas

Las historias sobre hackeos están constantemente en los titulares, pero parece que la mayoría de las personas todavía no toman en serio esta ciber amenaza

Dashlane (compañía de ciberseguridad) ha revelado los resultados de un estudio de patrones de contraseñas más comunes de 2017. Te sorprenderá saber que la mayoría son inquietantemente fáciles de adivinar.

El estudio, realizado por investigadores del departamento de Ciencias Computacionales en Virginia Tech, analizó más de 61 millones de contraseñas.

El análisis reveló patrones que surgen a partir de la disposición de teclas en los teclados, sobretodo por elegir letras y números según su disposición en el teclado. Además de nombre comunes como marcas y frases populares.

“Es muy difícil para los humanos memorizar contraseñas únicas para las más de 150 cuentas que la persona promedio tiene”. Dijo uno de los investigadores. “Inevitablemente, las personas las reutilizan o las modifican ligeramente, lo que es una práctica peligrosa. Este peligro ha sido amplificado por las violaciones masivas de datos que han proporcionado a los atacantes herramientas más efectivas para adivinar y hackear contraseñas.”

Los patrones más comunes en contraseñas

Uno de los patrones más comunes en la elección de contraseñas son las claves corridas. Las contraseñas que surgen a partir de elegir letras cercanas en el teclado. Algunos de los ejemplos más obvios son: 123456, qwerty, aunque también hay otros como 1q2w3e4r, 1qaz2wsx, 1qazxsw2zaq12wsx!qaz2wsx1qaz@wsx.

Estas contraseñas se componen de teclas en el lado izquierdo de los teclados estándar. Esto significa que los usuarios pueden simplemente usar el meñique o el dedo anular de la mano izquierda para escribir su contraseña completa.

Por muy conveniente que sea esto, por unos segundos de ahorro no vale la pena perder la información financiera y/o personal crítica debido a un hackeo.

Cabe mencionar que el estudio fue realizado en los EEUU, por lo que predomina el uso de palabras en el idioma inglés.

Algunos de los otros ejemplos de patrones en la selección de contraseñas incluyen frases relacionadas con sentimientos u obscenidades, entre las que se incluyen:

  1. iloveyou
  2. f*ckyou
  3. a**hole
  4. f*ckoff
  5. iloveme
  6. trustno1
  7. beautiful
  8. ihateyou
  9. bullsh*t
  10. lovelove

El estudio también incluye las principales marcas usadas por los usuarios, entre las que se incluyen:

  1. myspace *sufrió un hackeo importante en 2016
  2. mustang
  3. linkedin *sufrió un hackeo importante en 2016
  4. ferrari
  5. playboy
  6. mercedes
  7. cocacola
  8. snickers
  9. corvette
  10. skittles

Las diez contraseñas más frecuentes de la cultura pop fueron:

  1. superman
  2. pokemon
  3. slipknot
  4. starwars
  5. metallica
  6. nirvana
  7. blink182
  8. spiderman
  9. greenday
  10. rockstar 

Equipos de futbol:

  1. liverpool
  2. chelsea
  3. arsenal
  4. barcelona
  5. manchester

Se comprobó que a pesar de todos los hackeos que día a día se suceden, las personas siguen utilizando contraseñas fácilmente vulnerables como las mencionadas.

Los 7 consejos para mantener tus contraseñas seguras

  1. No compartas tu contraseña con nadie
  2. Usa una contraseña única para cada cuenta en línea
  3. Genera contraseñas que excedan el mínimo de 8 caracteres
  4. Crea contraseñas con una combinación de mayúsculas y minúsculas, números y símbolos especiales
  5. Evita usar contraseñas que contengan frases comunes, jerga, lugares o nombres
  6. Usa un administrador de contraseñas para ayudar a generar, almacenar y administrar sus contraseñas
  7. Nunca uses una conexión Wi-Fi no segura

 

Imagen publicada en: Dashlane
leer más
Isaul CarballarLas contraseñas más comunes de 2017

Kanye West revela accidentalmente su contraseña al mundo

Durante una reunión con el presidente Trump, Kanye introdujo su contraseña en el iPhone, ignorando la cámara detrás de él

El rapero Kanye West habla durante una reunión con el presidente Donald Trump en la Oficina Oval de la Casa Blanca

  • Kanye West se reune con el presidente Donald Trump en la casa blanca
  • Hablaron de aviones de hidrógeno, temas sociales, Superman y Corea del Norte
  • El rapero no se dió cuenta de la cámara detrás de él que registró el momento en que ingresó su contraseña 000000

Es una de las personas más famosas del mundo, sobretodo por sus críticas y comentarios sociales, políticos y culturales, por lo que cualquiera pensaría que Kanye West tomaría en serio su seguridad personal.

Kanye West y Donald Trump tuvieron una bizarra reunión televisiva en la Oficina Oval de la Casa Blanca el jueves de la semana pasada. La reunión provocó muchas críticas y comentarios en la red.

Kanye expresó una serie de ideas divergentes entre las que cabe mencionar aviones de hidrógeno, salud mental, y temas sociales, políticos y más. Incluso llegó a exclamar: “¡Hiciste una capa de Superman para mí“, y que Trump “detuvo” la guerra en la región de Corea del Norte.

Pero quizá lo que más sorprendió al mundo de la seguridad internacional fue que el rapero parece tener una contraseña de iPhone increíblemente obvia, que por desgracia ha revelado al mundo.

Durante una reunión con el presidente Trump, Kanye introdujo su contraseña en el iPhone, siendo aparentemente ignorante a la cámara detrás de él.

Su código de acceso parece ser 000000, un código que incluso los hackers más adeptos podrían adivinar en un instante.

Si tomas en serio tu seguridad digital, no te aconsejamos que sigas el ejemplo de Kanye y elijas un código de acceso tan fácil de adivinar.

Estos son nuestros consejos principales para hacer que tus contraseñas y claves de acceso sean lo más seguras posible:

  • Usa una contraseña única para cada cuenta en línea
  • Genera contraseñas que excedan el mínimo de 8 caracteres
  • Crea contraseñas con una mezcla de mayúsculas y minúsculas, números y símbolos especiales
  • Evita usar contraseñas que contengan frases comunes, jerga, lugares o nombres
  • Usa un administrador de contraseñas para ayudar a generar, almacenar y administrar sus contraseñas

 

Crédito de la imagen: Indian Express
leer más
PatyKanye West revela accidentalmente su contraseña al mundo

Facebook corrige cantidad de usuarios afectados en mayor hackeo de su historia

El gigante de los medios sociales finalmente detalló la profundidad de la información personal a la que accedieron los hackers

  • El número final de hackeados se redujo a 30 millones de cuentas.
  • El robo de información del 50% de las cuentas incluyó: números de teléfono, direcciones de correo electrónico, género, estado de relación, últimos 10 lugares en los que se registraron y las 15 búsquedas más recientes.
  • La investigación sigue en curso y no se hace público aún quién realizó el hackeo.

Facebook Inc. indico que menos usuarios de los que inicialmente pensaban estaban expuestos a piratas informáticos. Hace dos semanas Facebook reconoció la brecha de seguridad más grande en el mundo de las redes sociales. Por primera vez la compañía detalló la cantidad de información personal a la que se accedió.

En un blog publicado el viernes, Facebook dijo que 30 millones de usuarios habían robado sus tokens de acceso, en comparación con la estimación original de 50 millones. Los tokens son claves digitales que mantienen a las personas conectadas al sitio de redes sociales.

La compañía dijo que los hackers “explotaron una vulnerabilidad” en su código de computadora entre julio de 2017 y septiembre de 2018. Facebook descubrió el ataque el 25 de septiembre y lo detuvo dos días después.

Ahora sabemos que menos personas se vieron afectadas de lo que pensábamos originalmente“, dijo Guy Rosen, vicepresidente de gestión de productos, en la publicación del blog.

De los 30 millones involucrados, Facebook dijo que 14 millones fueron los más afectados. Tuvieron acceso a sus nombres e información de contacto, incluidos los números de teléfono y las direcciones de correo electrónico, junto con datos como su género y estado de relación, así como los últimos 10 lugares en los que se registraron y las 15 búsquedas más recientes. Otros quince millones tuvieron acceso a sus nombres y contactos. Los atacantes no obtuvieron ninguna información de los millones de usuarios restantes que fueron vulnerables a la violación de la seguridad.

En algunos casos, es posible que los mensajes privados de los usuarios se vieran comprometidos si actuaran como administradores en cualquiera de las páginas dirigidas, dijo el Sr. Rosen. Dijo que la violación no afectó sus otras unidades negocio: WhatsApp, Instagram, Facebook Messenger, Workplace, Pages ni cuentas de pagos, apps de terceros (third-party apps), o cuentas de publicistas o desarrolladores.

En una llamada con reporteros el viernes, Rosen se negó a decir quién pudo haber estado detrás del ataque. Dijo que la compañía está trabajando con la Oficina Federal de Investigaciones (FBI por sus siglas en Inglés) y que la agencia ha pedido a Facebook que no discuta la identidad de los perpetradores.

Facebook también se negó a dar un desglose geográfico de los usuarios que fueron afectados.

¿Cómo saber si tu Facebook fue hackeado?

Mucha gente ha preguntado cómo saber si fuiste hackedo en Facebook. En realidad el problema parece más grande de lo que suena, pero por eso te explicaré que pasaría.

Si fuiste hackeado en Facebook, seguramente a estas alturas o en las próximas semanas recibirás un email de Facebook indicándote que debes cambiar tu contraseña. Adicionalmente, puedes verificarlo por ti mismo visitando su Help Center.

Verás una pantalla como esta.

Al final de la página deberías ver un mensaje similar.

Lo anterior quiere decir:

¿Mi cuenta de Facebook está afectada por este problema de seguridad?

Según lo que hemos aprendido hasta ahora, su cuenta de Facebook no se ha visto afectada por este incidente de seguridad. Si descubrimos que más cuentas de Facebook se vieron afectadas, restableceremos sus tokens de acceso y notificaremos esas cuentas.

leer más
Isaul CarballarFacebook corrige cantidad de usuarios afectados en mayor hackeo de su historia

“Casi todos” los sistemas de armas de ciberseguridad son vulnerables en EEUU

El Departamento de Defensa de EEUU recién comienza a entender la escala de su vulnerabilidad

Simulación de los sistemas de seguridad de un avión Stealth

  • Una inspección de rutina detectó que casi todos los sistemas de defensa son vulnerables a ciberataques
  • En muchos casos los sistemas podían ser menos vulnerables con ciber higiene básica como contraseñas más fuertes o comunicaciones encriptadas
  • Hay una carencia importante de profesionales en el sector para atender la creciente demanda de ciber guerreros

De acuerdo con un nuevo reporte de la Oficina de Responsabilidad del Gobierno de los EEUU (U.S. GAO por sus siglas en inglés ‘United States Government Accountability Office’), “casi todos” los sistemas de armas que fueron desarrollados por el ejército estadounidense desde el 2012 hasta el 2017 son vulnerables a los ataques cibernéticos.

En pruebas recientes de ciberseguridad de los principales sistemas de armas que está desarrollando el Departamento de Defensa de los EEUU (DOD), los evaluadores, desempeñando el papel del adversario pudieron tomar el control de los sistemas con relativa facilidad y operar en gran medida sin ser detectados.

En un caso, a un equipo de prueba de dos personas le llevó solo una hora obtener acceso inicial a un sistema de armas y un día para obtener el control total del sistema que estaban probando“, indica el informe.

En algunos casos, los “sistemas de armas utilizaban software comercial o de código abierto, pero no cambiaron la contraseña predeterminada cuando se instaló el software, lo que permitió a los equipos de prueba buscar la contraseña en Internet y obtener privilegios de administrador“.

Más conectados (e inseguros) que nunca

El arsenal del DOD está más computarizado e inter conectado que nunca, por lo que no es sorprendente que haya más oportunidades de ataques. Sin embargo, hasta hace relativamente poco, el Departamento de Defensa no hacía de la seguridad cibernética de las armas una prioridad. En los últimos años, el DOD ha tomado algunas medidas para mejorar esta situación, entre las que cabe mencionar el actualizar sus políticas y aumentar las simulaciones de guerra cibernética.

En las pruebas operativas, el DOD rutinariamente encontró vulnerabilidades cibernéticas de misión crítica en los sistemas que estaban en desarrollo. Los funcionarios del programa que se reunieron con la GAO creyeron que sus sistemas eran seguros y descartaron algunos resultados de las pruebas como poco realistas.

Utilizando herramientas y técnicas relativamente simples, los evaluadores pudieron tomar el control de los sistemas y operar en gran medida sin ser detectados, debido en parte a problemas básicos como la mala gestión de las contraseñas y las comunicaciones sin cifrar.

Además, las vulnerabilidades de las que DOD está consciente probablemente representan una fracción de las vulnerabilidades totales debido a las limitaciones de las pruebas. Por ejemplo, no todos los programas han sido probados y las pruebas no reflejan la gama completa de amenazas.

El DOD ha tomado recientemente varios pasos para mejorar la ciberseguridad de los sistemas de armas, incluida la publicación y revisión de políticas y orientación para incorporar mejor las consideraciones de ciberseguridad.

El DOD, según órdenes del Congreso, también ha comenzado iniciativas para comprender mejor y abordar las vulnerabilidades cibernéticas. Sin embargo, el DOD enfrenta barreras que podrían limitar la efectividad de estos pasos, como los desafíos de la fuerza laboral de ciberseguridad y las dificultades para compartir información y lecciones sobre vulnerabilidades.

Para abordar estos desafíos y mejorar el estado de la ciberseguridad de los sistemas de armas, es esencial que el DOD mantenga su impulso en el desarrollo e implementación de iniciativas clave. GAO planea continuar evaluando aspectos clave de los esfuerzos de ciberseguridad de los sistemas de armas del DOD.

¿Porqué se hizo este estudio?

EEUU planea gastar alrededor de $1.66 billones de dólares (equivalente al PIB de Canadá) para mejorar sus principales sistemas de armas. Los adversarios potenciales han desarrollado capacidades avanzadas de ciberespionaje y ciberataque dirigidas a los sistemas de defensa de los EEUU. La ciberseguridad, el proceso de protección de la información y los sistemas de información, puede reducir la probabilidad de que los atacantes puedan acceder a nuestros sistemas y limitar el daño si lo hacen.

Se le pidió a la GAO que revisara el estado de la ciberseguridad de los sistemas de armas del DOD. Dicho informe abordó (1) los factores que contribuyen al estado actual de la ciberseguridad de los sistemas de armas del DOD, (2) las vulnerabilidades en las armas que están en desarrollo, y (3) los pasos que el DOD está tomando para desarrollar sistemas de armas más cibernéticos.

leer más
Isaul Carballar“Casi todos” los sistemas de armas de ciberseguridad son vulnerables en EEUU

Mastercard, Amex, WorldPay y otros celebran primeros juegos de guerra cibernética

Industria de procesadores de pago realiza sus primeros “juegos de guerra” cibernética

Tarjeta Mastercard frente a teclado de computadora

  • Simulación simultánea de guerra cibernética entre los principales entes bancarios internacionales
  • Los resultados muestran disfunciones conceptuales incluyendo la definición de una crisis e involucrar al gobierno
  • Las empresas buscarán una forma sistémica de compartir información sobre amenazas futuras

Las compañías de pagos globales celebraron sus primeros juegos de ciberguerra conjuntos para probar la preparación de sus sistemas frente a ataques simultáneos, demostrando las diferencias en sus niveles de defensa, incluyendo la forma de definir una crisis.

Mastercard, American Express,JPMorgan Chase, WorldPay y Fidelity National Information Services son unos de los 18 procesadores de pagos de EEUU y el Reino Unido que participaron en la simulación. Los juegos se llevaron a cabo el viernes en el centro de pruebas de IBM en Cambridge, Massachusetts. A continuación reportamos algunos de los hallazgos que fueron compartidos con Bloomberg News.

Las empresas financieras han liderado el gasto en seguridad cibernética, ya que los ataques de alto perfil que exponen los datos de los clientes y el robo de fondos aumentaron la presión sobre la industria. A los ejecutivos y reguladores les preocupa que un ataque sistémico a los sistemas informáticos del sistema financiero pueda perturbar la economía global, por lo que la cooperación entre la industria y las agencias gubernamentales está aumentando.

Pusimos a los competidores juntos en una misma sala, quienes inicialmente se rehusaban a hacerlo“, dijo Rob Johnston, ejecutivo de seguridad de la información y uno de los organizadores de los juegos. “Pero se dieron cuenta muy rápido de lo valioso que es estar juntos. Cuando hay múltiples brechas en un ataque organizado, es mejor coordinar una respuesta“.

Los participantes descubrieron que cada uno tenía diferentes definiciones de lo que es una crisis a raíz de violaciones de información, así como diferentes enfoques sobre cómo llegar a la aplicación de la ley. Acordar una definición común y la simplificación de la cooperación con las agencias gubernamentales serán los objetivos para la industria de pagos, según Johnston. También dijo que el sector buscará una forma más formal de compartir información sobre las amenazas.

Algunas de las firmas de pagos son miembros del Centro de Análisis e Intercambio de Información de Servicios Financieros, conocido como FS-ISAC, un foro para bancos, corredores de bolsa y compañías de seguros para compartir información sobre amenazas. Los bancos y firmas de corretaje han estado celebrando juegos de guerra cibernética regularmente desde 2011, probando la preparación de los mercados de capitales en los Estados Unidos frente a  los ciber ataques.

 

Crédito de imagen de portada: The Telegraph
leer más
Isaul CarballarMastercard, Amex, WorldPay y otros celebran primeros juegos de guerra cibernética

Google+ cierra tras vulnerabilidad en medio millón de cuentas

Google+ descubre vulnerabilidad en más de medio millón de cuentas afectadas, decidieron no revelarlo

  • La red social para individuos cerrará definitivamente por baja participación y fallas en seguridad.
  • Google no pudo verificar el mal uso de los datos de más de 500,000 cuentas.
  • Google mantendrá abierta una versión de Google+ para empresas.

Google ha anunciado que cerrará la versión para consumidores de Google+ debido a problemas de seguridad (distintos a los recientemente reportados en Facebook) así como la baja participación de los usuarios en su intento fallido del ‘Facebook’ de Google. Además, está anunciando la introducción de nuevos permisos de cuenta de Google más específicos, nuevos límites para aplicaciones de terceros que buscan permisos para acceder a los datos de los usuarios de Gmail y Android.

Ben Smith, miembro de Google y vicepresidente de ingeniería, mencionó que los “desafíos significativos para crear y mantener un Google+ exitoso que cumpla con las expectativas de los consumidores” así como el bajo uso y compromiso de los usuarios son la razón detrás de la decisión de cerrar Google+.

El 90 por ciento de las sesiones de usuario de Google+ son menos de cinco segundos“, añadió.

Al mismo tiempo, Smith compartió detalles sobre una vulnerabilidad de seguridad que encontraron en una de las APIs de Google+, que podría haber permitido a aplicaciones de terceros acceder a campos privados en el perfil de los usuarios.

Descubrimos e inmediatamente solucionamos este error en marzo de 2018. Creemos que ocurrió después del lanzamiento como resultado de la interacción de la API con un cambio posterior en el código de Google+“, dijo.

Como no encontraron pruebas de que ningún desarrollador estuviera al tanto de este error o abusara de la API, y era imposible saber cuántos o qué usuarios estaban potencialmente afectados, la Oficina de Protección de Datos y Privacidad de la compañía decidió no informar a los usuarios ni hacer pública la información al respecto, ya que, después de tomar en consideración todos los factores, sentían que no estaban obligados por ley.

Google indicó en su blog oficial que “…no podemos confirmar que usuarios fueron afectados por este error. Sin embargo, realizamos un análisis detallado durante las dos semanas previas a parchar el error y, a partir de ese análisis, detectamos los perfiles de hasta 500,000 cuentas de Google+ que se vieron potencialmente afectados. Nuestro análisis mostró que hasta 438 aplicaciones pueden haber utilizado esta API.”

Control de Daños

La publicación de Google se supo un día después de que el Wall Street Journal publicara un memorandum interno de Google. En dicho memorándum se habla sobre la no divulgación al público de dicho hallazgo, debido a que no se pudo comprobar el mal uso ni afectación de los usuarios.

La incapacidad para evaluar y cuantificar a los usuarios afectados no está exenta de divulgación. Aunque una vulnerabilidad de seguridad en sí misma no activa automáticamente la obligación de divulgarlo, en este caso parece que Google tiene dudas razonables de que la falla podría haber sido explotada. Una aclaración adicional de Google y los detalles técnicos del incidente sin duda serían útiles para restablecer la confianza entre los usuarios actualmente abandonados en la oscuridad.”, expresó Ilia Kolochenko, CEO de la empresa de seguridad web High-Tech Bridge.

“Es importante que los consumidores se den cuenta de que conectar aplicaciones mediante plataformas de redes sociales solo aumenta la cantidad de información importante que podría ser vulnerada, así como también incrementa los vectores de ataque que los hackers pueden aprovechar”, agregó.

A diferencia de lo que otros medios señalaron, Google+ no fue hackeado. Incluso, Google+ seguirá existiendo como una red social corporativa con nuevas características diseñadas específicamente para empresas. Informó la empresa. Google anunció de forma simultánea el lanzamiento del proyecto ‘Project Strobe’ con el cual busca proteger la privacidad de los usuarios.

 

leer más
Isaul CarballarGoogle+ cierra tras vulnerabilidad en medio millón de cuentas

Hackers vinculados a Rusia atacaron a los gobiernos de Europa y Sudamérica

Hackers Rusos están de regreso y con nuevas prioridades

Oso grizzly con máscara de AnnonymousAPT28, uno de los grupos de hackers y cibercriminales más activos en la historia reciente, está de regreso y con nuevas prioridades. El grupo está vinculado directamente con el gobierno Ruso según el Departamento de Seguridad Nacional (DHS). Al grupo APT28 (también conocido como Fancy Bear, Pawn Storm, Grizzly Steppe, Sofacy Group, Sednit y STRONTIUM) se le atribuye el hackeo de las elecciones de 2016 en los Estados Unidos, en particular de las oficinas del Comité Nacional Demócrata (DNC por sus siglas en inglés Democratic National Commitee).

El foco de APT28 o Fancy Bear está ahora en la obtención de datos de inteligencia geopolítica y espionaje cibernético. Sus nuevos objetivos incluyen operaciones en Europa y Sudamérica. Según un informe recientemente publicado por la firma de ciberseguridad Symantec.

Breve Historia de APT28

APT28 ha estado activo por lo menos desde enero del 2007, pero recibió una gran atención pública durante 2016, cuando estuvo implicado en una serie de ataques cibernéticos en el período previo a la elección presidencial de EEUU.

Uno de los mayores ataques del grupo fue en la primavera de 2016, cuando el grupo APT28 envió correos electrónicos de phishing a objetivos políticos, incluidos miembros del Comité Nacional Demócrata (DNC). Estos correos electrónicos fueron diseñados para engañar a los destinatarios para que supuestamente cambien sus contraseñas de correo electrónico en un dominio de correo electrónico falso. El grupo de ataque luego usó estas credenciales robadas para obtener acceso a la red DNC, instalar malware, moverse a través de la red y robar datos, incluido un montón de correos electrónicos. La información comprometida se filtró más tarde en línea.

Estos ataques electorales señalaron un cambio de tácticas por parte de APT28, alejándose de su anterior recopilación de inteligencia de bajo perfil hacia una actividad más abierta, que aparentemente pretendía desestabilizar e interrumpir a las organizaciones y países víctimas. A partir de este momento, desviando el curso de las elecciones en los EEUU y posiblemente cambiando el curso de la historia.

El grupo también fue responsable del ataque de 2016 a la Agencia Mundial Antidopaje (WADA) y de la filtración de información confidencial sobre pruebas de drogas o antidoping. En consonancia con su cambio a tácticas más abiertas, el grupo pareció tomar el crédito público por el ataque, filtrando la información en un sitio web con el nombre de ‘Fancy Bears’, un nombre en clave de la industria que ya era ampliamente utilizado por el grupo.

Fancy Bear contraataca

Fancy Bear, o APT28, ha estado activo al menos desde 2007 y se ha enfocado en gobiernos, militares y organizaciones de seguridad en todo el mundo. Según los expertos de Symantec, desde el 2017 y continuando durante el 2018, el grupo APT28 está de regresó con objetivos de inteligencia secreta en Europa y América del Sur.

Algunos de los objetivos del grupo APT28 incluyen:

  • Una organización internacional muy conocida,
  • Objetivos militares en Europa,
  • Gobiernos en Europa,
  • Un gobierno de un país sudamericano,
  • Una embajada perteneciente a un país de Europa del Este.

¿Cuáles son las herramientas de ataque de Fancy Bear/APT28?

APT28 utiliza una serie de herramientas para comprometer a sus objetivos. El malware principal del grupo es Sofacy, que tiene dos componentes principales. Trojan.Sofacy (también conocido como Seduploader) realiza un reconocimiento básico en una computadora infectada y puede descargar más malware. Backdoor.SofacyX (también conocido como X-Agent) es un malware de segunda etapa, capaz de robar información de la computadora infectada. También existe una versión para Mac del troyano (OSX.Sofacy).

APT28 ha continuado desarrollando sus herramientas en los últimos dos años. Por ejemplo, Trojan.Shunnael (también conocido como X-Tunnel), el malware utilizado para mantener el acceso a las redes infectadas utilizando un túnel cifrado, se sometió a una reescritura en .NET.

Además de esto, el grupo también comenzó a usar un rootkit UEFI (Interfaz de firmware extensible unificada) conocido como Lojax. Debido a que el rootkit reside dentro de la memoria flash de una computadora, permite a los atacantes mantener una presencia persistente en una máquina comprometida incluso si se reemplaza el disco duro o se reinstala el sistema operativo. Los productos de Symantec bloquean los intentos de instalar Lojax con el nombre de detección Trojan.Lojax.

Vínculos con otros grupos

Los investigadores de Symantec también destacaron los posibles enlaces a otras operaciones de espionaje, incluido el Earworm que ha estado activo desde al menos mayo de 2016 y está involucrado en operaciones de recopilación de inteligencia contra objetivos militares en Europa, Asia Central y Asia Oriental.

El grupo Earworm llevó a cabo campañas de phishing dirigidas a entregar el descargador Trojan.Zekapab y el Backdoor.Zekapab.

Los expertos notaron cierta superposición con las infraestructuras de comando y control utilizadas por Earworm y APT28.

“Durante 2016, Symantec observó cierta superposición entre la infraestructura de comando y control (C&C) utilizada por Earworm y la infraestructura C&C utilizada por Grizzly Steppe (el nombre de código del gobierno de EEUU para denominar a APT28 y actores relacionados), lo que implica una posible conexión entre Earworm y APT28. Sin embargo, Earworm también parece realizar operaciones separadas de APT28 y, por lo tanto, Symantec las rastrea como un grupo distinto.” Indica el reporte

Sin Motivos Para Detenerse

Aunque las campañas recientes ven al grupo APT28 regresar a las operaciones de recopilación de inteligencia secreta en Europa y América del Sur, no son evidentes sus objetivos a largo plazo.

Ahora está claro que luego de haber estado implicado en los ataques a las elecciones presidenciales de EEUU a fines de 2016, la publicidad resultante no logró intimidar al grupo APT28 y continúan organizando nuevos ataques con sus herramientas existentes“, afirmó Symantec en su sitio.

La implicación es sorprendente: el mundo sabe quiénes son estos intrusos y cómo operan, pero seguirán enfocándose (y probablemente infiltrándose) en los sistemas de todo el mundo. Todavía no hay motivos evidentes que logren detener a estos grupos.

 

Crédito de la imagen de portada: NYMag
leer más
Isaul CarballarHackers vinculados a Rusia atacaron a los gobiernos de Europa y Sudamérica