LATEST ARTICLES

septiembre 28th 2016

PENTEST: RECOLECCIÓN DE INFORMACIÓN (INFORMATION GATHERING)

Número de lecturas: 85
{lang: 'es-419'}

Una parte muy importante en un pentest es la recolección de la información, un libro importante referente en este tema lo han escrito: Borja Merino Febrero, José Miguel Holguín espero les sea de utilidad.

Download (PDF, 5.85MB)

septiembre 21st 2016

Tordow, un troyano bancario que puede robar de todo

Número de lecturas: 500
{lang: 'es-419'}

Anteriormente vimos cómo las aplicaciones publicitarias, Leech, Guerrilla y Ztorg utilizaban derechos de root. Por el contrario, los ataques con el uso de privilegios de root no son típicos del malware bancario, porque pueden robar dinero de muchas formas que no necesitan derechos elevados. Pero a principios de febrero de 2016 Kaspersky Lab detectó el troyano bancario Trojan-B anker.AndroidOS.Tordow.a, cuyos creadores decidieron que los privilegios de root serían de utilidad. Hemos hecho un seguimiento del código de este malware y encontrado que las posibilidades de Tordow superan con creces las del malware bancario detectado anteriormente, lo que les permitió a los atacantes utilizar nuevos tipos de ataques.

Penetración

Tordow da inicio a la infección instalando una aplicación popular, por ejemplo VKontakte, Pokemo Go, Telegramm, Odnoklassniki o Subway Surf. Pero en este caso no se trata de las aplicaciones originales, sino de copias difundidas fuera de la tienda oficial Google Play. Los escritores de virus descargan nuevas aplicaciones, las desmontan y les agregan nuevos códigos y archivos.

Tordow, un troyano bancario que puede robar de todo

Código agregado a la aplicación legítima

Cualquier persona que tenga conocimientos básicos de desarrollo de aplicaciones para Android puede realizar estas operaciones. El resultado es una nueva aplicación que es muy similar a la original y ejecuta las mismas funciones que la aplicación legítima, pero tiene las funciones nocivas que los delincuentes necesitan.

Principio de funcionamiento

En el caso que analizamos, el código incrustado a la aplicación legítima descifra un archivo que los delincuentes añadieron a los recursos de la aplicación y lo ejecuta.

El archivo ejecutado se conecta al servidor de los delincuentes y descarga la parte principal de Tordow, que contiene enlaces para descargar varios otros archivos: un exploit para obtener privilegios de root, nuevas versiones del malware, etc. El número de enlaces puede cambiar en función de los planes de los delincuentes. Es más, cada archivo descargado puede a su vez descargar desde el servidor nuevos componentes, descifrarlos y ejecutarlos. Como resultado, en el dispositivo infectado se descargan varios módulos del malware y su número y funciones también dependen de los deseos de los dueños de Tordow. De una forma u otra, los delincuentes obtienen la posibilidad de administrar a distancia el dispositivo mediante el envío de comandos desde el servidor de administración.

Como resultado, los ciberdelincuentes reciben un conjunto completo de funciones para robar dinero al usuario, que ya se han convertido en tradicionales para los troyanos bancarios móviles y los troyanos extorsionistas. Entre las funciones de la aplicación nociva están las siguientes:

  • envío, robo y eliminación de mensajes de texto
  • grabación, redirección y bloqueo de llamadas
  • comprobación del balance
  • robo de los contactos
  • realización de llamadas
  • modificación del servidor de administración
  • descarga y ejecución de archivos
  • instalación y eliminación de aplicaciones
  • bloqueo del dispositivo y visualización de una página web determinada por los delincuentes
  • preparación y envío a los delincuentes de la lista de archivos contenidos en el dispositivo; envío y cambio de nombre de cualquier archivo
  • reinicio del teléfono

Derechos de root

Además de descargar los módulos del troyano bancario, Tordow (dentro de la secuencia de carga de módulos) descarga también un popular paquete de exploits para obtener derechos de root, lo que proporciona al malware un nuevo vector de ataque y posibilidades únicas.

En primer lugar, el troyano instala uno de los módulos descargados en la carpeta de sistema, lo que hace que sea difícil eliminarlo.

En segundo lugar, utilizando los derechos de root, los delincuentes roban las bases de datos del navegador preconfigurado de Android y del navegador Google Chrome, si está instalado.

Tordow, un troyano bancario que puede robar de todo

Código para enviar al servidor los datos de los navegadores

Estas bases de datos contienen todos los logins y contraseñas almacenadas por el usuario en el historial del navegador, los archivos cookies y a veces hasta los datos de tarjetas de banco almacenados.

Tordow, un troyano bancario que puede robar de todo

Nombre de usuario y contraseña de un sitio en particular en la base de datos del navegador

De esta manera los atacantes pueden obtener acceso a muchas cuentas en diferentes sitios.

Y en tercer lugar, los privilegios de root le permiten robar cualquier archivo del sistema, desde fotos y documentos, hasta los archivos con los datos de las cuentas de las aplicaciones móviles.

El resultado de este tipo de ataques puede ser una gran cantidad de robos de datos críticos del usuario. Le recomendamos que no instale aplicaciones desde fuentes no oficiales y que utilice soluciones antivirus para proteger su dispositivo Android.

Fuente:

securelist.lat

septiembre 21st 2016

Google lanza Allo, un WhatsApp con inteligencia artificial

Número de lecturas: 500
{lang: 'es-419'}

El gran gigante tecnológico de nuestro tiempo tenía un asunto por resolver.Google se ha coronado ya como el genio de la lámpara de las búsquedas, como el propietario de la mayor plataforma de vídeos online, Youtube, y como la brújula y mapa de la mayoría de los móviles. También ofrece un exitoso sistema de correo, Gmail, uno de los traductores más utilizados, Translate, un gestor de documentos y un amplio espacio de almacenamiento, Drive. Además, ha intentado una fallida red social, Google +, y una novísima aplicación de videollamadas, Duo. Después de invadir los grandes espacios del usuario en Internet, solo le faltaba un servicio por cumplir: la mensajería móvil. Un flanco que soluciona a partir de este miércoles con el lanzamiento de Allo, un WhatsApp con inteligencia artificial.

Son todos los servicios de Google en un uno. Accediendo desde un solo botón: el amarillo de Allo

Esta aplicación ha sido presentada como el WhatsApp del futuro, por su complejidad, inteligencia y posibilidades. Se ha lanzado a nivel mundial de forma gratuita tanto paraAndroid como para iOS, aunque para este último sistema operativo requiere la versión 9.1. Por el momento, algunas de las principales funciones solo están disponibles en inglés, aunque la compañía ha asegurado que llegará progresivamente en otros idiomas y “muy pronto, a corto plazo” en español.

Para utilizar Allo no hace falta tener una cuenta activa en el sistema de Google, sino que es suficiente con introducir un número de móvil. Esto y un nombre son la única información que se necesita para empezar a utilizar la aplicación.

Puedes tanto hablar como escribir para comunicarte con el asistente, pero él solo responde en forma de texto

Una vez dentro, salta la primera conversación: con un robot. Se trata de un chat con Google Asistant, un nuevo asistente virtual que recuerda a Siri. ¿Eres una chica? “Soy un todo incluido”, dice el robot acompañando el texto de una carita sonriente. Incorporar este tipo de inteligencia puede tener como peligro la seguridad de la información que se envía, pero los de Mountain View han creado los llamados chats de incógnito, en los que la información va cifrada de extremo a extremo, como en WhatsApp, es decir, que no queda registrada en ningún punto ni servidor.

La revolución del asistente de Allo

El asistente es la gran revolución de Allo. No solo por sus funciones, sino porque supone la incorporación de la inteligencia artificial dentro de una aplicación que pretende ser de uso diario. Nada más entrar en el chat, el robot propone un menú de 11 opciones con todas las tareas que puede hacer por ti: reservar viajes o restaurantes, dar información del tiempo, apuntar citas, recordatorios o alarmas, hacer una selección de noticias, dar resultados deportivos, proponer juegos, poemas o vídeos, contar chistes, traducir textos o dar solución a cualquier pregunta que el usuario tenga. Estas funciones a su vez se subdividen en muchas otras, formando un abanico amplísimo de posibilidades.

Google Allo
La aplicación de Google ofrece distintas opciones de recordatorios. ALLO

El punto fuerte de la aplicación es que incorpora dentro de ella el inmenso motor de búsqueda que es Google. Así como YouTube o Google Maps. Son todos los servicios de la empresa de Mountain View en un uno. Accediendo desde un solo botón: el amarillo de Allo.

El asistente es rápido, apenas tarda un par de segundos en ofrecer una respuesta. Un poco más si la pregunta va en audio. Puedes tanto hablar como escribir, aunque el robot solo responde en forma de texto. Tiene respuestas predictivas, pero aprende conforme se va utilizando. Así, si el usuario utiliza un determinado tipo de expresiones, será las que su asistente proponga en un futuro.

Respuestas inteligentes

En un primer vistazo, el formato de las conversaciones con los usuarios es como el de cualquier app de mensajería móvil; pero, con más detalle se observan algunas diferencias: la posibilidad de ampliar o reducir un texto que se quiera mandar (manteniendo pulsado el botón de enviar y arrastrando), la incorporación de 25 stickers exclusivos (similares a los que usa Facebook Messenger) o la posibilidad de enviar fotografías garabateadas o con textos (parecido las ediciones de Snapchat e Instagram Stories, pero de momento solo funciona con Android).

Google Allo
Sugerencias de restaurantes cercanos. ALLO

A un lado de esos detalles más estéticos, la gran novedad está, una vez más, en la inteligencia artificial. Recibes un mensaje: “¿Qué planes tienes para hoy?”. “No muchos, ¿y tú?” o “Todavía no he pensado nada”, son dos ejemplos de respuestas que puedes dar sin tener que teclear nada. Este tipo de opciones inteligentes aparecen a lo largo de toda la conversación —siempre a un nivel superficial de contenido— con múltiples variaciones de pregunta y respuesta: “¿Qué tal en el trabajo?”, “¿Qué hiciste ayer?”, “¿Qué vas a hacer mañana?” o “¿Te lo estás pasando bien?”.

Google Allo

En cualquier momento del chat entre usuarios, se puede hacer uso del asistente mediante una mención: @google. Esto permite preguntarle cualquier duda que surja en la conversación entre amigos o familiares: a qué distancia se encuentra París de Nueva York, cuántos dólares son 28 euros o quién era el actor que protagonizaba Capitán América. Además, se puede pedir sugerencias de restaurantes cercanos o vuelos cercanos y reservarlos (cualquiera de los usuarios del chat) desde la propia conversación.

Otro de los aspectos más sorprendentes es el uso de esta inteligencia con las imágenes. Al recibir una imagen de otro usuario, Allo detecta qué imagen es y qué aparece en ella y propone respuestas, una función que llega después de que los de Mountain View compraran una start-up francesa que permitía a la cámara del móvil reconocer objetos hace apenas tres meses. Sabe si es Nueva York o Venecia, una comida o un animal, aunque estén garabateadas o pintadas.

Fuente:

elpais.com

septiembre 16th 2016

Fleex o cómo aprender inglés viendo Netflix

Número de lecturas: 600
{lang: 'es-419'}

Que saber idiomas resulta imprescindible para acceder a determinados puestos deTRABAJO y que el Inglés ha sido escogido como vehículo de comunicación en todo el mundo es una realidad sobradamente conocida. Una situación ha llevado también aparejada la aparición de nuevos métodos online para aprenderlo, academias varias y un largo etcétera que te puedes suponer.

Sin embargo, existen otras opciones más originales que te permitirán conocer el idioma y disfrutar al mismo tiempo. Un contexto en el que tiene cabida Fleex, una aplicación que, si bien fue alumbrada hace unos años, ahora ha incorporado una característica que nos permitirá aprender esta lengua a través de Netflix, entre otras. Pero, ¿cómo?

Así funciona Fleex

Captura De Pantalla 2016 09 03 A Las 11 43 21

Así y bajo la promesa de que, con ella “el aprendizaje de Inglés resulta divertido”, Fleex es una interesante solución a la hora de ponernos las pilas “sin morir en el intento”. Un servicio que hará las delicias de los amantes del séptimo arte y que ahora puedes usar con el popular servicio de streaming. Eso sí, únicamente en la versión web. Su funcionamiento es sencillo:

  • Para empezar a probarlo, eso sí, tendremos que registrarnos, algo que podemos hacer a través de nuestra cuenta de Facebook.
  • Seguidamente se nos pedirá que dediquemos unos instantes a configurar nuestra cuenta (es posible no hacerlo). Introducimos nuestra ocupación e idioma nativo, y seleccionamos el nivel de dificultad. Añadimos también elmotivo por el que necesitamos mejorar nuestro Inglés y el tiempo y días de la semana que le podemos dedicar.
Captura De Pantalla 2016 09 03 A Las 11 52 01
  • A continuación seremos redirigidos a nuestra página de inicio, en la que ya podremos escoger contenidos no solo de Netflix, sino también de YouTube, TED o un archivo de vídeo de nuestro dispositivo. En cuanto a esta primera y a pesar de que ya aparece en la web como una opción más para aquellos que tengan cuenta en la plataforma, no hemos podido probarla en el momento de escribir estas líneas.

No obstante, la integración, según han confirmado sus creadores al medio especializado TechCrunch ya está en funcionamiento. Una característica posible gracias al reproductor HTML de Netfilx que acepta extensiones para complementar el contenido mostrado. En todo caso, sus desarrolladores también han apuntado a la expansión internacional de Netflix como un punto clave.

Captura De Pantalla 2016 09 03 A Las 11 53 12

“Hace unos años, Netflix no estaba disponible a nivel internacional, pero ahora es bastante abierto y podemosTRABAJAR con su reproductor directamente. No es una API pero es abierto”, han comentado.

En términos generales y para que te hagas una composición de lugar de la web, cada uno de los episodios cuenta con su título y descripción en inglés pero, si pinchamos sobre ellos, se realiza una traducción simultánea. Tenemos que decir que no todos los vídeos tienen subtítulos en nuestro idioma (esto determina que podamos saltar de uno a otro), pero que se nos advierte a priori. Al empezar se nos ofrece, por otra parte, un tour guiado para que comprendamos cómo funciona Fleex y no nos perdamos ninguna característica.

Aquí se nos explica el uso que le podemos dar a los subtítulos, que podemos cambiar el nivel en el botón CC ubicado en la parte inferior derecha, junto al idioma, del reproductor, la manera de pausar el vídeo, y el uso que le podemos dar a las flechas emplazadas a derecha e izquierda y que nos permiten ir hacia delante o hacia atrás para comprobar lo que se ha dicho.

Captura De Pantalla 2016 09 03 A Las 14 19 16

Durante la visualización, además, cabe la opción de hacer clic sobre cualquier palabra para escucharla, guardarla o comprobar su significado. Ocurre lo mismo con las frases hechas.

La página también pone a nuestro alcance un registro de la exposición (en minutos) a los vídeos, las palabras en las que hemos pinchado durante la reproducción de los mismos, una sección de frases personales y un recordatorio del tiempo que has indicado estar dispuesto a dedicarle a la herramienta.

Captura De Pantalla 2016 09 03 A Las 14 23 47

En la zona superior de la misma encontrarás otras secciones con tus vídeos, vocabulario y ejercicios, mientras que en la zona inferior hallarás preguntas frecuentes de la plataforma y ayuda sobre gramática.

Por otra parte –y aunque cuenta con un periodo de prueba gratuito- tenemos que mencionar que no se trata de un servicio gratuito sino que puedes suscribirte por 6,9 euros al mes o abonar 39 euros anuales. No obstante, no funciona offline y no siempre integra subtítulos duales.

Otras herramientas similares

Captura De Pantalla 2016 09 03 A Las 11 42 59

Para acabar, no podemos dejar de comentar que esta aplicación no es única en su especie sino que existen otras alternativas como Speechyard, una plataforma muy similar a la protagonista de nuestro artículo que también nos permite aprender inglés a través del séptimo arte. En su caso, cuenta con películas –de todo tipo y para todas las edades-, escenas concretas, fragmentos de vídeo para estudiar determinadas cuestiones, etcétera.

Un contenido seleccionado de manera específica para que conocer todos los entresijos del idioma resulte ameno. Además, la web pone a nuestra disposición una serie de juegos al más puro estilo Duolingo para que podamos recordar frases y términos guardados en nuestra biblioteca, e incluye tests, tarjetas de memoria y otros recursos.

Captura De Pantalla 2016 09 03 A Las 15 13 55

OverStream y Lingus.tv son también parecidas. La segunda, no obstante, está enfocada a la enseñanza de nuestro idioma. Sus vídeos, además, son creados por ellos mismos, es decir, no se trata de películas ni similares. En OverStream sí hay más variedad, e incluso colocan la fuente del vídeo original. Eso sí, su interfaz deja que desear si lo comparamos con la herramienta que nos ocupa.

Fuente:

genbeta.com