LATEST ARTICLES

noviembre 8th 2016

El troyano bancario TrickBot azota a Europa

Número de lecturas: 797
{lang: 'es-419'}

TrickBot no es un troyano nuevo, ya lleva un tiempo con nosotros.
Y aunque comenzó teniendo como objetivo a bancos australianos, en
relativamente poco tiempo, se han hallado evidencias que apuntan a
bancos de la Unión Europea, incluyendo bancos irlandeses, británicos
y alemanes.

A pesar de tener diferente código, TrickBot guarda similitudes con Dyreza (también conocido simplemente como Dyre). Otro viejo conocido responsable de decenas de millones de dólares robados, Entre los bancos afectados, se encuentran:
* Ulsterbank
* Banco de Escocia
* Co-OperativeBank
* RBSIdigital
* LloydsBank
* Barclays Wealth
* NationWide
* TSB
* HSBC
* Coutts
* Bankleumim
* Barclays
* TDCommercialBanking
* ASB
* Suncorpbank
* Commbank
* St George
* Banksa
* Banco de Belmourne
* BankWest
* Westpac
* ANZ
* PNBank
* CitiBank
* CIBC
* Commerzbank
* NAB

Como curiosidades de TrickBot cabe destacar que en vez de usar SHA256, utiliza la CryptoAPI de Microsoft. A diferencia de otros troyanos, no usa comandos desde el bot directamente sino que emplea un programador de
tareas (taskscheluder) a través de COM, de esta forma logra una mayor persistencia. Pero para la comunicación suele usar SSL.

Destaca también la utilización de routers comprometidos para mantener la infraestructura el máximo tiempo posible. Tiene un diseño modular que le facilita la realización de sus diversas actividades maliciosas. Por ejemplo, incluye un modulo llamado GetSystemInfo, que se encarga de guardar la información de todo el sistema infectado para enviarla remotamente. Otro módulo reseñable es InjectDLL que se inyecta en los navegadores para observar que paginas se visitan.

A pesar de no haber golpeado aún a bancos españoles, es posible que tras haber mutado en poco tiempo desde Australia hacia Europa, pueda acabar afectando a entidades españolas.

Como siempre, ante este tipo de amenazas, se recomienda mantener los Antivirus actualizados, así como evitar abrir e-mails adjuntos de desconocidos.

Fuente:

unaaldia.hispasec.com

octubre 28th 2016

10 errores típicos en las auditorías de seguridad

Número de lecturas: 625
{lang: 'es-419'}

En la actualidad los servicios de auditorías de seguridad ya se encuentran completamente instaurados en muchos procesos corporativos y, afortunadamente, en normativas que exigen a determinadas empresas realizarlas en forma periódica. De este modo, este peculiar segmento de la seguridad informática sigue creciendo y captando nuevos profesionales que se dedican a poner en jaque la seguridad de los sistemas adoptando distintas perspectivas.

Sin embargo, como en toda práctica, podrían cometerse algunos errores que podrían poner en riesgo la calidad de los trabajos. A lo largo de este post, haremos un top 10 de las problemáticas o errores más habituales a las cuales comúnmente se enfrentan las personas que realizan auditorías. Si eres nuevo en el mundo del pentesting, te serán muy útiles; en caso de ser un especialista veterano, seguramente te habrás topado más de una vez con un dolor de cabeza ligado a algunas de las situaciones que detallaré a continuación.

Los ítems no están ordenados por criticidad, sino que consultando con varios colegas fueron los puntos que mayor cantidad de coincidencias tuvieron.

1) Confundir el alcance

Es común que los auditores se encuentren trabajando en múltiples proyectos y, a pesar de que esto puede ser apasionante, puede ocasionar que se olviden agregar a las pruebas algunos equipos e inclusive sistemas. También puede ser el propio cliente quien excluya del pedido de análisis un equipo o sistema, por lo que el alcance se debe definir claramente entre ambas parte.

De lo contrario, cometer este error puede ocasionar pérdida de tiempo y recursos en la investigación.

2) Mala ejecución de las herramientas

Este error puede generar resultados imprevistos, como el cierre inesperado de una aplicación, que haría perder toda la información capturada. Por eso, habilitar las opciones de autoguardado es muy importante.

Además, lanzar herramientas sin parametrizarlas correctamente (out of the box) podría impactar en la performance o dejando fuera de servicio tanto al sistema objetivo como el propio.

3) Actualización de las aplicaciones utilizadas durante el análisis

De manera correcta, las herramientas son actualizadas periódicamente; sin embargo en muchas ocasiones una actualización que no haya finalizado de manera apropiada podría dejar inutilizable la aplicación. Es por esto que hacer una actualización en medio de una auditoría podría dejarnos con un reporte por la mitad.

Desde ya, es imprescindible tener las aplicaciones actualizadas, pero lo recomendable es hacerlo antes o después del estudio de campo.

4) Perder excesivo tiempo en busca de la explotación de una vulnerabilidad

Como sabrán, explotar una vulnerabilidad y obtener acceso remoto se siente como haber ganado el desafío. Sin embargo, muchas veces puede ser frustrante no lograrlo. En este caso te recomiendo no centrarte en solo un árbol sino mirar todo el bosque. Es decir, no te detengas demasiado en una falla en particular.

En muchas ocasiones hay más de un vector de ataque y no tanto tiempo para realizar las auditorías, por lo cual no debes centrarte solamente en una vulnerabilidad.

5) No salir de la zona de confort

Es lógico que te sientas cómodo con las herramientas que utilizas siempre, pero incorporar algunas nuevas o inclusive parámetros ignorados te hará encontrar diferentes vectores de intrusión que sumarán una mayor calidad a tus auditorías. No conocer bien las herramientas o ser inexperto en su uso se traducirá en una gran cantidad de horas del proyecto dedicadas a la investigación personal de cómo hacer las cosas.

Investigar con anterioridad acerca de todas las posibles opciones y las nuevas aplicaciones te mantendrá informado y actualizado, lo cual es un requisito fundamental para dedicarte a esta rama de la Seguridad Informática.

6) No evidenciar

Frecuentemente sucede que se dan las condiciones en las cuales podemos obtener el acceso remoto o escalar privilegios en determinado sistema, pero al intentar repetirlo para evidenciar la hazaña en una segunda instancia no se consigue. Como consecuencia, no se puede volcar este resultado en un reporte. No almacenar evidencia correctamente, teniendo solo logs parciales de lo realizado, no alcanzará para armar un reporte de manera efectiva.

7) Incluir directamente la salida de las herramientas en el reporte

A menudo visualizamos reportes de auditorías en donde simplemente se ha copiado y pegado de manera cruda y sin personalizar los resultados obtenidos en una herramienta. En muchas ocasiones lo vemos inclusive en otro idioma y, más allá de que a nivel técnico sea comprensible, es poco profesional, sin valor agregado y habla del poco tratamiento o validación que se le ha dado al resultado.

8) No asegurar la persistencia

Asegurar la comunicación entre el atacante y el objetivo es primordial, pero en ocasiones suele ser tentador intentar escalar privilegios sin antes asegurar la comunicación por medio de la persistencia. Podría pasar que no puedas volver a acceder al sitio al cual querías escalar; por lo tanto, antes de subir un nivel, es recomendable asegurar el acceso.

9) Hacer un reporte desordenado

Estaríamos de acuerdo en que generar el reporte es el proceso menos divertido. Sin embargo debemos entender que al fin y al cabo es nuestro producto final.

En este sentido, ser desprolijo o poco ordenado en los entregables se traduce en una baja calidad de auditoría, lo que ocasionará que el cliente dedique una gran cantidad de horas a tratar de entender lo que se le reporta, o que el auditor las dedique a explicarle todo al cliente.

Para ahorrar ese tiempo, mejor elaborar un informe prolijo y ordenado.

10) No dar referencias

Esta parte de la auditoría es una de las más importantes, principalmente porque podrá ayudar a mitigar el impacto de las vulnerabilidades encontradas, y permite sumar valor agregado al reporte. Sin lugar a dudas, no ayudar a arreglar malas configuraciones o no corregir vulnerabilidades mediante actualizaciones sería un gran error, tanto técnica como comercialmente.

Conclusión

Si bien el pentesting es una apasionante tarea, se debe estar preparado de forma adecuada antes de iniciar un proyecto, tanto con las herramientas técnicas como con las psicológicas, necesarias para tratar con un cliente enfadado por una intrusión en sus sistemas.

Además, se deben respetar ciertos protocolos, como ir vestido de manera formal si la empresa donde se desempeña el cliente tiene ese estilo (por ejemplo, una financiera). De lo contrario, se podría generar una incidencia negativa o despertar sospechas acerca de la seriedad del trabajo realizado.

A lo largo del post desarrollamos algunas de las tantas problemáticas con las cuales la gente de servicios de seguridad o los encargados de IT deben enfrentarse periódicamente.

Fuente:

welivesecurity.com

octubre 28th 2016

10 gadgets que todo hacker ético necesita en su arsenal de herramientas

Número de lecturas: 690
{lang: 'es-419'}

En algunas ocasiones, en las auditorías de seguridad, es posible encontrarse frente a un escenario en el cual todo se gestiona correctamente, lo que significa que los parches de seguridad, las políticas, la segmentación de redes, el antivirus y la concientización a los usuarios, entre otros muchos cuidados, estén bien aplicados. Es entonces cuando, para continuar el análisis desde la perspectiva de investigador o consultor de seguridad, la Ingeniería Social y algunas otras herramientas como las que veremos a lo largo del post comienzan a tener un valor más importante, siendo quizá las únicas que permitirán penetrar al sistema objetivo.

Se trata de hardware mayormente diseñado para proyectos o investigaciones de seguridad. A continuación, te presentamos las 10 herramientas que todo hacker ético necesita.

#1 Raspberry Pi 3

Raspberry Pi 3 Model B

Raspberry Pi 3 Model B. Fuente: raspberrypi.org

Estamos ante la tercera generación de estas computadoras de bajo presupuesto, que pueden ser utilizadas con múltiples fines. Un clásico ejemplo en auditorías de seguridad es utilizar una Raspberry Pi con sus baterías apropiadas, una distribución como Kali Linux y aplicaciones como FruityWifi, que se convertirán en la navaja suiza del pentesting.

#2 WiFi Pineapple*

Este conjunto de herramientas para pruebas de penetración inalámbrica es muy útil para distintos tipos de ataques, como ejemplo el clásico Man-In-The-Middle. Mediante una interfaz web intuitiva, permite la conexión con cualquier dispositivo como smartphones o tablets. Se destaca su facilidad de uso, el manejo del flujo de trabajo, la información detallada que brinda y la posibilidad que brinda de emular distintos ataques avanzados, que están siempre a un par de clics de distancia.

Como plataforma, la WiFi piña permite numerosos módulos que se van desarrollando en la comunidad y que añaden características que amplían sus funcionalidades. Afortunadamente, estos módulos se instalan de forma gratuita directamente desde la interfaz web en cuestión de segundos.

Fuente: WiFi Pineapple

#3 Placa de Red Alfa*

Un clásico en cuanto a las placas de Wi-Fi utilizadas para la inyección de paquetes. Se destacan por la calidad de sus materiales, además de utilizar chipsets que permiten ponerlas en modo monitor, lo cual es un requisito para las auditorías inalámbricas.

#4 Rubber Ducky*

Este pendrive “especial” es un dispositivo que funciona como un teclado programado con forma de USB. Al conectarse a un equipo, comienza a escribir en él de forma automatizada para lanzar programas y herramientas que bien pueden estar en el equipo víctima o cargados en la memoria Micro SD que lleva incluida, para sacar información.

Si viste la serie Mr. Robot, recordarás que en la segunda temporada el Rubber Ducky es un aliado fundamental para Angela y la ayuda a obtener las credenciales de acceso de un ejecutivo de E Corp.

#5 Lan-turtle*

Este tipo de herramienta de administración de sistemas y pruebas de penetración proporciona acceso remoto de forma sigilosa, ya que permanece conectado a un puerto USB en forma encubierta. Además, permite la recolección de información de la red y tiene capacidad de ejecutar Man-In-The-Middle.

LAN Turtle

Fuente: LAN Turtle

#6 HackRF One

Esta herramienta implementa un potente sistema de SDR (Software Defined Radio o radio definida por software), es decir, en sencia es un dispositivo de comunicación por radio que implementa el uso de software en lugar del típicamente implementado hardware. De esta forma, es capaz de manejar todo tipo de señales de radio comprendidas entre 10 MHz y 6 GHz desde un mismo periférico, conectable al ordenador a través de un puerto USB.

#7 Ubertooth One

Este dispositivo basa su fuente en una plataforma de desarrollo de código abierto de 2,4 GHz adecuada para la experimentación en Bluetooth, de modo que se podrán apreciar los distintos aspectos en las nuevas tecnologías inalámbricas de este tipo.

#8 Proxmark3-kit

El Proxmark III es un dispositivo desarrollado por Jonathan Westhues que tiene capacidad de leer casi cualquier etiqueta RFID (identificación por radiofrecuencia), así como de reproducirlas o sniffearlas. Además, se puede manejar de modo autónomo, es decir, sin la necesidad de una PC mediante el uso de baterías.

#9 Lock picks (ganzúas)

Estas herramientas son los eslabones principales en materia de lockpicking, es decir, el arte de abrir una cerradura o dispositivo de seguridad física mediante el análisis o manipulación de sus componentes, lógicamente, sin tener la llave original. Existe un gran número de tamaños y formatos o kits, que en muchos casos ayudarán a poner en jaque a la seguridad física.

#10 Teclado keylogger

Un antiguo clásico en la captura de teclas. Este dispositivo se puede conectar vía USB o PS/2 y permite la conexión sigilosa entre el teclado y la PC, capturando todas las teclas utilizadas. Por supuesto, suele ser indetectable para la mayoría de sistemas de seguridad.

Si bien aún estamos lejos de la Navidad, quizá puedas darte el gusto de auto regalarte algunos de estos dispositivos, los cuales sin lugar a dudas te acompañarán en muchas horas de prueba. Pero, en tu próximo pentest, podrían ser la puerta de entrada a un objetivo que parecía impenetrable.

Por otra parte, si tienes en mente visitar el stand ESET en Ekoparty security Conference 2016, encontrarás varios desafíos que te permitirán ganarte algunos de los dispositivos de este listado, los que están marcados con un asterisco (*).

Si crees que hemos olvidado alguno, puedes contarnos en la sección de comentarios cuál es y por qué debería estar en este top 10.

Fuente:

welivesecurity.com

octubre 28th 2016

10 cosas que debes saber sobre los ataques DDoS a la IoT del 21 de octubre

Número de lecturas: 950
{lang: 'es-419'}

El viernes 21 de octubre, una serie de ataques de Denegación de Servicio Distribuido (DDoS) causó una interrupción generalizada de la actividad de Internet en los Estados Unidos. Como los ataques estaban dirigidos al Sistema de Nombres de Dominio (DNS), el servicio encargado de asegurar que los pedidos de información por Internet se entreguen a la dirección correcta, muchasactividades cotidianas (como hacer compras online, interactuar en redes sociales y escuchar música) quedaron interrumpidas por ciertos períodos de tiempo. Aunque la longitud de dichas interrupciones fue variable, en algunos casos se extendió por varias horas.

A continuación mencionamos 10 cosas que debes saber sobre los ataques de DDoS a la IoT (Internet de las Cosas), y otros ataques similares.

#1

Los atacantes del 21/10 dirigieron grandes cantidades de tráfico falso a los servidores de destino, en este caso, a los servidores de la empresa Dyn, uno de los proveedores más importantes de servicios de DNS para empresas. Esto impidió que algunos sitios web importantes pudieran suministrar un servicio estable; entre ellos se incluyen Twitter, Pinterest, Reddit, GitHub, Etsy, Tumblr, Spotify, PayPal, Verizon, Comcast y la red de Playstation. Pero más allá de estos sitios de alto perfil, se estima que miles de operaciones online de particulares quedaron interrumpidas.

#2

Los ataques del 21/10 fueron posibles debido al gran número de dispositivos digitales conectados a Internet sin protección, tales como routers domésticos y cámaras de vigilancia. Los atacantes hicieron uso de miles de estos dispositivos, que previamente habían sido infectados con código malicioso para formar una botnet.

El software que utilizaron para desplazarse por Internet en busca de dispositivos sin protección está disponible gratuitamente. A pesar de que muchos de estos dispositivos no son computadoras potentes, aún así son capaces de generar grandes cantidades de tráfico falso para desbordar servidores específicos, sobre todo si se emplea un gran número de dispositivos a la vez.

#3

El hecho de que estos dispositivos se usaran con la contraseña predeterminada (por defecto) hizo posible su infección, que luego llevó a los ataques de DDoS. Dado que las contraseñas predeterminadas para la mayoría de los dispositivos son prácticamente de conocimiento público, cualquiera que conecte un dispositivo de este tipo a Internet sin haber cambiado primero la contraseña predeterminada está en efecto permitiendo que se lleven a cabo ataques como los presenciados el 21 de octubre, por más que lo hagan sin darse cuenta.

Una investigación reciente de ESET sugiere que al menos 15% de los routers domésticos no están protegidos (y el número total de routers hogareños en Internet probablemente alcanza los varios cientos de millones).

#4

El aprovechamiento de los dispositivos digitales sin protección conectados a Internet por parte de código malicioso puede perturbar gravemente la vida cotidiana y la actividad económica en los Estados Unidos. Por ejemplo, se estima que se perdieron ingresos por varios millones de dólaresen ventas online interrumpidas. Muchas empresas se vieron obligadas a desviar recursos para evaluar el impacto de los ataques en sus clientes y empleados, y responder en consecuencia.

#5

Existen personas que están dispuestas y son capaces de perturbar gravemente la vida cotidianay la actividad económica en los Estados Unidos mediante el uso de código malicioso. O bien no les importa que sus acciones perjudiquen a decenas de miles de empresas y a cientos de millones de consumidores, o justamente están tratando de causar ese tipo de impacto de manera intencional. No obstante, independientemente de los motivos y las intenciones de los atacantes, el efecto negativo sobre las víctimas es el mismo.

#6

Para reducir la probabilidad de futuros ataques de esta naturaleza, entre otras cosas es necesario disuadir a quienes abusan de los dispositivos digitales conectados a Internet para sus propios fines, y a la vez reducir el número de dispositivos desprotegidos que se pueden utilizar indebidamente.

#7

La reducción de la cantidad de dispositivos digitales desprotegidos conectados a Internet que se pueden utilizar indebidamente es un objetivo alcanzable, con el que muchos miembros de la sociedad pueden contribuir. Principalmente, recomendamos seguir estos cinco consejos para proteger los routers domésticos; además, existen cuatro acciones importantes recomendadas por US CERT a raíz de los últimos ataques:

  • Comprueba que todas las contraseñas predeterminadas se hayan cambiado por contraseñas fuertes. Es muy fácil encontrar en Internet los nombres de usuario y las contraseñas por defecto para la mayoría de los dispositivos, por lo que si se dejan, son extremadamente vulnerables.
  • Actualiza los dispositivos de la IoT con los parches de seguridad correspondientes apenas estén disponibles.
  • Desactiva la configuración automática Universal Plug and Play (UPnP) en los routers al menos que sea absolutamente necesaria.
  • Compra los dispositivos de la IoT en empresas conocidas, que tengan una reputación de ofrecer dispositivos seguros.

#8

La infección de routers con código malicioso no es algo nuevo, como lo demuestra claramente esta investigación de ESET, publicada en mayo de 2015. El consejo de cambiar la contraseña predeterminada de los routers domésticos y otros dispositivos conectados a Internet tampoco es nuevo y ya se ha reiterado en muchas ocasiones. En 2014, WeLiveSecurity destacó el descubrimiento de 73.000 cámaras de seguridad que usaban contraseñas predeterminadas.

#9

Lo que sí es nuevo es la escala masiva de los ataques DDoS que se pudieron llevar a cabo gracias a la gran cantidad de dispositivos desprotegidos conectados a Internet: la vasta Internet de las Cosas. Esto no es un buen augurio para la IoT, que ya ha recibido muchas críticas de los defensores de la privacidad, a quienes les preocupa la seguridad de la información de identificación personal que manejan estos dispositivos conectados. De hecho, una encuesta reciente reveló que el 40% de los estadounidenses no creen que los dispositivos de la IoT sean seguros, y más de la mitad de los encuestados contestó que desistieron de comprar un dispositivo de la IoT por miedo a la falta de seguridad cibernética.

#10

¿Qué conclusión podemos sacar de los ataques de DDoS a la IoT del 21/10? Creo que la siguiente: se nos ha mostrado lo vulnerable que es Internet, que ya constituye una parte integral de la infraestructura crítica de los Estados Unidos y de muchos otros países, frente al abuso perjudicial de dispositivos realizado a escala, por personas cuya identidad no es posible determinar en forma directa. Hasta que se tomen medidas para este tipo de vulnerabilidad, se proyectará una gran sombra sobre el futuro de la tecnología conectada, un futuro en el que ya se han invertido mucha esperanza y recursos masivos.

Fuente:

welivesecurity.com