Dune!, una app muy descargada en la Play Store que roba información de los smartphones

¿Sorprendente? No. Podría decirse que ya casi a ningún usuario pilla por sorpresa. La existencia de malware en la tienda de aplicaciones del sistema operativo móvil del Gigante de Internet es algo de sobra conocido. Sin embargo, hemos tenido la oportunidad de asistir a otro capítulo dentro de esta pesadilla que desde la compañía estadounidense están lejos de poner punto y final. La aplicación señalada en esta ocasión se llama Dune!.

Podría decirse que, a grandes rasgos, nos encontramos ante la misma situación que en otros casos, salvo que esta app maliciosa parece mucho más agresiva y con varias funciones. Expertos en seguridad de la empresa Pradeo han tenido la oportunidad de analizar en un primer momento el comportamiento de este software. Como primeras conclusiones, indican que la aplicación facilita que el smartphone o tablet se pueda utilizar para llevar a cabo ataques de denegación de servicio. Pero, sobre todo, se centra en la recopilación de información, enviando cada muy poco tiempo información a un servidor ubicado en China.

Los expertos en seguridad indican que no solo son estos los problemas. Tras realizar una análisis un poco más exhaustivo, indican que la aplicación está plagada de fallos de seguridad que podrían en peligro la seguridad del terminal o tableta y la información almacenada.

El dato más preocupante es que la app habría sido descargada por un número de usuarios que supera los 5 millones.

¿Qué información puede robar?

Además de la relacionada con el propio dispositivo, como la versión del sistema operativo móvil, la localización GPS, el tipo de procesador, la memoria RAM el IMEI o el espacio de almacenamiento disponible, la aplicación Dune! también es capaz de robar imágenes y documentos. Incluso el nivel de batería es un dato que aparece en el código de la aplicación.

Tenemos que decir que, de nuevo, el problema radica en los permisos que el usuario otorga. En el momento de la instalación, el usuario acepta ofrecer permisos de administrador y que acceda a una gran cantidad de información. Por ejemplo, recopilación de la información de los contactos y la lectura y el envío de mensajes de texto. Si se trata de un juego, no es necesario que acceda a esta información.

Una vez recopilada toda esta información, se envía de forma periódica a uno de los 32 servidores localizados, una de las cifras más grandes que se han visto en lo que se refiere a malware en dispositivos móviles

Es decir, hablamos de un número que es muy superior al que generalmente se puede encontrar en una aplicación de este tipo. Los expertos en seguridad indican que cada una de ellas se encarga de comunicarse con un servidor remoto diferente. Aunque no está del todo claro, parece que cada una se encarga de enviar cierta información a su servidor. Es decir, parece que a uno se envían las imágenes, a otros los documentos, a otro diferente los contactos, … Cada información a un servidor.

Lo que está claro es que se trata de una información que puede resultar peligrosa para los usuarios, y más si hablamos de personas que trabajan en la administración pública y grandes empresas, acostumbrando a almacenar información importante en los terminales.

Fuente: https://www.redeszone.net/2017/12/18/dune-una-app-descargada-la-play-store-roba-informacion-los-smartphones/

Anuncios

OSArmor, una aplicación para detectar y bloquear procesos sospechosos

Los piratas informáticos ya no se centran solo en crear malware convencional, sino que hoy en día las amenazas informáticas con realmente complejas, tanto que incluso los antivirus del día a día, en ocasiones, no son suficientes para detectarlas, bloquearlas y poder estar seguros en la red. Por ello, algunas empresas de seguridad optan por crear aplicaciones de seguridad que, lejos de ser alternativas a estos antivirus, buscan abrirse un hueco como herramientas complementarias, ideales para reforzar la seguridad de estos antivirus, como es el caso de OSArmor.

OSArmor es una nueva aplicación de seguridad creada por NoVirusThanks para permitir a los usuarios tener todos los procesos del ordenador siempre controlados, evitando así que se pueda ejecutar malware en el equipo que pueda poner en peligro nuestra seguridad.

Prácticamente todo lo que se ejecuta en un ordenador tiene que contar con su correspondiente proceso, incluso el malware más avanzado, por lo que si tenemos controlados nuestros procesos, el malware no se podrá ejecutar en el sistema, y es aquí donde entra en juego OSArmor.

A diferencia de los antivirus convencionales, que están constantemente analizando todos los archivos del PC, o herramientas como Microsoft EMET y Malwarebytes Anti-Exploit, que buscan evitar que el malware pueda aprovecharse de una debilidad para poner en peligro todo un equipo, este software se centra en analizar los procesos y decidir si estos pueden ejecutarse, o no, en el equipo.

OSArmor

Características de OSArmor

Como ya hemos explicado, esta aplicación no busca ser una alternativa a los antivirus convencionales, ni mucho menos. OSArmor busca abrirse un hueco entre las aplicaciones de seguridad alternativas que complementan la seguridad de nuestro ordenador. Así, algunas de las medidas de seguridad que nos ofrece esta herramienta de seguridad son:

  • Protección básica contra exploits.
  • Evitar que las aplicaciones de Office ejecuten otros programas (malware, o terminales como CMD y PowerShell).
  • Mantiene procesos como los navegadores, Office o Adobe PDF controlados.
  • Bloquea el malware USB.
  • Bloquea procesos que ejecutan comandos en el terminal.
  • Protege las Shadow Copies para que, en caso de un ataque de ransomware, podamos recuperar los datos.
  • Bloquea la descarga de archivos desde procesos, bloqueando los payloads.
  • Bloquea los procesos .COM y .PIF.
  • Evita la ejecución de un gran número de procesos relacionados con malware.
  • Bloquea la ejecución de scripts remotos.

Todas las reglas son, además, personalizables, pudiendo elegir fácilmente las que queremos aplicar y las que no.

Reglas OSArmor

Además de todas estas medidas de seguridad OSArmor es una aplicación muy ligera, que prácticamente no consume recursos en nuestro sistema, y que podemos utilizar de forma totalmente gratuita, sin tener que pagar ninguna licencia por ella.

Si queremos, podemos descargar este nuevo software de seguridad desde el siguiente enlace. El programa viene sin ninguna ayuda, por lo que solo recomendamos utilizarlo si somos usuarios con algunos conocimientos avanzados ya.

Como vemos, OSArmor no está pensado para ser una alternativa a los antivirus convencionales ni para proteger nuestro sistema de los exploits, pero sí sirve perfectamente como una medida de protección adicional para nuestro equipo.

Fuente: https://www.redeszone.net/2017/12/19/osarmor-bloquear-procesos/

ZEALOT, LA CAMPAÑA QUE USA EXPLOITS DE LA NSA PARA MINAR MONERO EN EQUIPOS Y SERVIDORES WINDOWS Y LINUX

De forma similar a como ocurrió en el siglo XIX, el Bitcoin y el resto de las criptomonedas están levantando una nueva “fiebre del oro” en todo el mundo. Cada vez son más los usuarios y las empresas que optar por las criptomonedas como una fuente de ingresos y un lugar donde invertir que, si llegas en el momento idóneo, puede llegar a ser muy lucrativa. Sin embargo, las criptomonedas no siempre utilizan legalmente, y es que hay muchos usuarios malintencionados que buscan hacer uso de ellas de manera fraudulenta, de un gran número de formas diferentes.

No es la primera vez que hablamos de un uso fraudulento del minado de criptomonedas. En los últimos meses hemos podido ver cómo un gran número de webs incluían scripts intencionadamente para minar criptomonedas utilizando el hardware de sus visitantes (aunque algunas luego los quiten y lo nieguen) pudiendo tener así una fuente de ingresos alternativa para sus páginas.

Además de los scripts ocultos cada vez más frecuentes en todo tipo de páginas web, los piratas informáticos están llevando a cabo cada vez campañas más agresivas para utilizar equipos remotos para minar criptodivisas. Una de las últimas campañas utilizadas para este fin ha sido detectada recientemente por la firma de seguridad F5 Networks, y ha recibido el nombre de Zealot.

ZEALOT UTILIZA TÉCNICAS SIMILARES A LAS UTILIZADAS PARA HACKEAR EQUIFAX

Tal como explican los expertos de seguridad que han descubierto esta nueva campaña maliciosa, los piratas informáticos tras estos ataques se han aprovechado principalmente de dos vulnerabilidades, CVE-2017-5638, uno de los fallos de Apache Struts que fue utilizado hace algunos meses para el robo de datos del gigante financiero Equifax, y CVE-2017-9822, otro peligroso fallo oculto en el componente DotNetNuke del CMS de ASP.NET.

A pesar de que ambas vulnerabilidades han sido solucionadas ya hace tiempo, el número de sistemas y equipos sin actualizar es enorme, lo que ha permitido a los piratas informáticos explotarlas para instalar un payload en los equipos Windows y Linux vulnerables para poder instalar los scripts de minado.

En el caso de que el sistema afectado fuera Windows, el payload incluye los conocidos exploits de la NSA, EternalBlue y EternalSynergy, para tomar el control del sistema y, además, poder infectar otros equipos de la red local. Una vez controlado el sistema, se ejecuta un terminal PowerShell para instalar el minero de Monero y empezar a utilizar los recursos del equipo o servidor para esta tarea.

En el caso de los sistemas Linux, el payload utiliza exploits de EmpireProject para instalar el software de minado.

De momento, los piratas informáticos han logrado hacerse con 8.500 dólares en Monero, al menos en la cartera rescatada por los expertos de seguridad. De todas formas, se cree que estos piratas informáticos son los responsables de otros ataques informáticos en el pasado, ataques como el del ransomware Gang que, a través de las vulnerabilidades de Apache Strust, hicieron una caja a los piratas de más de 100.000 dólares.

La mejor forma de protegernos de estos ataques informáticos es instalando los últimos parches de seguridad de Windows y Linux en nuestros sistemas de manera que las vulnerabilidades que habitualmente utilizan los piratas informáticos para llevar a cabo sus ataques informáticos no puedan ser explotadas.

Fuente: https://www.redeszone.net/2017/12/18/zealot-exploit-nsa-monero/

PROCESSDOPPELGÄNGING: NUEVA TÉCNICA DE EVASIÓN DE ANTIVIRUS

Un equipo de investigadores de seguridad informática ha descubierto un nuevo malware de técnicas de evasión que podría ayudar a otros autores de malware a derrotar la mayoría de las soluciones de antivirus modernos y herramientas del forense

El apodado proceso Doppelgänging es un nuevo código inyectado sin archivos cuya técnica tiene ventajas en las funciones Preconstruidos de Windows y una implementación sin documentos de los procesos cargados de Windows

Los investigadores de seguridad informática de Ensilo Tal Liberman and Eugene Kogan quienes descubrieron este ataque, presentaron sus hallazgos hoy en la conferencia llevada cabo en Londres en el Black Hat 2017 Security conference.

Funciona en todas las versiones de Windows

Aparentemente el ataque proceso Doppelgänging funciona en todas las versiones modernas de sistema operativo de Microsoft Windows empezando por Windows vista hasta la versión de Windows 10.

Tal Liberman, la cabeza del equipo de investigación de EnSilo comunicó que esta invasión del malware es similar al proceso Hollowing, un método que se introdujo hace años por atacantes para vencer las capacidades de mitigación de los productos de seguridad informática.

En el proceso del Hollowing, los hackers remplazan la memoria de procesos legítimos con un código malicioso para que el segundo código se ejecute en lugar del original engañando a las herramientas de monitoreo y al antivirus haciéndoles creer que el proceso original está siendo ejecutado.

Desde que los antivirus modernos y productos de seguridad informática han sido mejorados para detectar procesos de ataque como Hollowing, el uso de esta técnica no es tan buena idea.

Por otra parte, el proceso Doppelgänging es un enfoque completamente diferente que logra lo mismo, abusando de las transacciones de NTFS de Windows y una implementación obsoleta del cargador del proceso, que originalmente fue diseñado por Windows XP, pero cargado a través de las versiones posteriores de Windows.

¿Cómo funciona el ataque del Doppelgänging?

Antes de adentrarnos en cómo esta inyección del código funciona,  necesitas entender lo que es una transacción NTFS de Windows y como un hacker puede aprovecharlo para llevar a cabo sus acciones.

La transacción NTFS es una función de Windows que trae el concepto de transacciones atómicas al archivo del sistema NTFS, permitiendo que archivos y directorios sean creados modificados renombrados y eliminados automáticamente

La transacción NTFS es un espacio apartado que permite que los desarrolladores de la aplicación de Windows, escriban las rutinas de un archivo output que están aseguradas que van a salir completamente exitosas o a fallar absolutamente, nos menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Según el investigador, ProcessDoppelgänging es un ataque sin archivos y funciona en cuatro pasos que mencionamos a continuación:

  1. Transact- procesa una ejecución legitima a la transacción NTFS y luego lo sobre-escribe con un archivo malicioso
  2. Load- crea una sección de memoria desde el archivo malicioso
  3. Rollback- reduce la transacción, (deliberadamente hace que falle), resultando en que se tengan que quitar todos los cambios en la ejecución legitima como si nunca hubieran existido
  4. Animate- trae al doppelganger (la copia) a la vida. Utiliza la vieja implementación del cargador de procesos de Windows para crear procesos con la memoria previamente creada (en el paso 2), que es maliciosa y jamás fue guardada en el disco, “haciéndola invisible para la mayoría de las herramientas de grabación tales como EDRs modernos”.

El ProcessDoppelgänging  evade la detección de la mayoría de los antivirus

Liberman comentó en The Hacker News que durante su investigación probaron el ataque en productos de seguridad informática de Windows Defender, KasperskyLabs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda, e incluso en herramientas avanzadas del forense.

Para demostrarlo, los investigadores utilizaron Mimikatz, una herramienta post-exploratoria que ayuda a extraer los accesos de los sistemas afectados, con ProcessDoppelgänging para realizar una detección antivirus.

Cuando los investigadores ejecutaron Mimikatz en un sistema operacional de Windows, Symantec antivirus solution, encontró la herramienta inmediatamente, como lo podemos ver a continuación:

Sin embargo, Mimikatzs se ejecutó sigilosamente, sin que el antivirus diera aviso alguno cuando se estuviera ejecutando usando el  ProcessDoppelgänging, mostrado en la imagen inicial de este artículo.

Liberman comentó que el ProcessDoppelgänging funciona incluso en la última versión de Windows 10, exceptuando Windows 10 Redstone y  FallCreatorsUpdate, lanzados a principios de este año.

Pero debido a un virus diferente en Windows 10 Redstome  y  FallCreatorsUpdate, usar ProcessDoppelgänging ocasiona BSOD (bluescreen of death), que colisiona las computadoras de los usuarios.

Irónicamente, el virus fue parchado por Microsoft en las actualizaciones posteriores, permitiendo que el  ProcessDoppelgänging, corra en las versiones más recientes de Windows 10 acuerdo a los expertos de seguridad informática de webimprints.

No espero que Microsoft intervenga rápidamente con un parche que pueda hacer que los softwares se apoyan en versiones implementadas inestables, pero sí que las compañías de antivirus puedan mejorar sus productos para detectar programas maliciosos  que estén utilizando ProcessDoppelgänging o ataques similares.

Esta no es la primera vez que investigadores de EnSilo han descubierto malwares de técnicas de evasión. Anteriormente descubrieron y demostraron AtomBombing technique que abusa también de unan debilidad en el diseño del sistema operativo de Windows.

En septiembre, los investigadores de EnSilo, divulgaron un error de 17 años en la programación de Microsoft Windows kernel que previene que los software de seguridad detecten malware en tiempo de ejecución cuando se baja al sistema de memoria.

OONIPROBE: UNA HERRAMIENTA QUE DETECTA VIGILANCIA DIGITAL Y CENSURA EN UN PAÍS O RED

El OONI (Open Observatory of Network Interference) es un proyecto de un  software gratis bajo “TheTor Project” que apunta a fortalecer los esfuerzos descentralizados en el aumento de la censura del internet al rededor del mundo.

Desarrollamos un software gratis y de  origen abierto, llamado ooniprobe, que puedes correrlo para examinar lo siguiente:

  • Bloqueo de sitos web
  • bloqueo de aplicaciones con mensajes instantáneos (como por ejemplo WhatsApp y Messenger de Facebook).
  • bloqueo herramientas de evasión de censura(como Tor);
  • Presencia de sistemas (“middleboxes”) en la red que puede ser la razón de la censura y/o vigilancia.
  • Velocidad y rendimiento de su red.

Al correr el software Ooniprobe, puedes recolectar data que pueda servir como evidencia de la censura del internet. ya que enseña, cómo, cuándo, dónde y quién está implementado, mencionó Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Gracias a los miles de usuarios de Ooniprobe alrededor del mundo, millones de medidas de la red han sido recolectadas de más de 100 ciudades desde el 2012. Todas las metadata de la red son publicadas en OONI Explorer, la fuente pública acerca de la censura en internet más grande a la fecha.

OONI, (Open Observatory of Network Interference), es una red de observación global cuyo objetivo es recolectar datos de excelente calidad usando metodologías abiertas, utilizando Free y Open Source Software (FL/OSS) para compartir observaciones e información acerca de varios tipos, metros y cantidades de redes manipulando en el mundo.

OOMIPROBE es el primer programa que los usuarios utilizan para indagar su red y recolectar datos para el proyecto OONI. ¿Estás interesado en realizar pruebas en tu red para encontrar si es vigilada y censurada? ¿Quieres recolectar información para compartirla con otros, para que así todos tengan mejor entendimiento del red? Si es así, por favor lee este documento; esperamos que OONIPROBE  te ayude a reunir información de tu red y te ayude con futuros proyectos.

Lee esto antes de correr el programa de OONIPROBE

Hacer uso de este programa es una actividad con un posible riesgo. esto depende en gran manera de la jurisdicción en la que estes y que tipo de prueba quieras ejecutar. es técnicamente posible para una persona que esta observando tu conexiones a internet estar al tanto del hecho de que estas ejecutando OONIPROBE. esto significa que si este tipo de pruebas es ilegal en tu país, pueden detectarlo.

además, OONIPROBE no tiene precauciones en cuanto a la protección del análisis forense de la instalación en la máquina en la que se está instalando. si el hecho de que hayas instalado o usado OONIPROBE es una obligación, favor de estar al tanto del riesgo.

OONI en 5 minutos

La más reciente versión de OONIPROBE para Debian y Ubuntu puede ser encontrada en el repositorio de paquetes en deb.torproject.org

En Debian estable (jessie):

gpg –keyserver keys.gnupg.net –recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89

gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add –

echo ‘deb http://deb.torproject.org/torproject.org jessie main’ | sudo tee /etc/apt/sources.list.d/ooniprobe.list

sudo apt-get update

sudo apt-get install ooniprobe deb.torproject.org-keyring

En pruebas de Debian:

gpg –keyserver keys.gnupg.net –recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89

gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add –

echo ‘deb http://deb.torproject.org/torproject.org testing main’ | sudo tee /etc/apt/sources.list.d/ooniprobe.list

sudo apt-get update

sudo apt-get install ooniprobe deb.torproject.org-keyring

En Debian inestable:

gpg –keyserver keys.gnupg.net –recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89

gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add –

echo ‘deb http://deb.torproject.org/torproject.org unstable main’ | sudo tee /etc/apt/sources.list.d/ooniprobe.list

sudo apt-get update

sudo apt-get install ooniprobe deb.torproject.org-keyring

En Ubuntu 16.10 (yakkety), 16.04 (xenial) or 14.04 (trusty):

gpg –keyserver keys.gnupg.net –recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89

gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add –

echo ‘deb http://deb.torproject.org/torproject.org $RELEASE main’ | sudo tee /etc/apt/sources.list.d/ooniprobe.list

sudo apt-get update

sudo apt-get install ooniprobe deb.torproject.org-keyring

NOTA: necesitarás cambiar $RELEASE  para yakkety, xenial o trusty. Esto no pasará de manera automática. Tendrás también que asegurarte de tener el “universerepository” habilitado. El “universerepository” está habilitado por default en la instalación del Ubuntu estándar, pero puede ser que no lo esté en algunas no estándar.

Instalación

macOS

Puedes instalar OONIPROBE en macOS si tienes instalado el homebrew (http://brew.sh/) con:

brew install ooniprobe

Sistema Unix (con pip)

Asegúrate de haber instalado las siguientes dependencias:

  • build-essential
  • python (>=2.7)
  • python-dev
  • pip
  • libgeoip-dev
  • libdumbnet-dev
  • libpcap-dev
  • libssl-dev
  • libffi-dev
  • tor (>=0.2.5.1 torunallthetorrelatedtests)

Dependencias opcionales:

  • obfs4proxy

En los sistemas basados en Debian, se puede generalmente realizar al ejecutar:

sudo apt-get install -y build-essential libdumbnet-devlibpcap-devlibgeoip-devlibffi-dev python-dev python-pip tor libssl-dev obfs4proxy

En seguida podrás instalar OONIPROBE ejecutando:

sudo pip install ooniprobe

o instalar OONIPROBE como usuario:

pipinstallooniprobe

Utilizar OONIPROBE

Pruebas de red son medidas que evalúan el tipo de censura que está sucediendo en el internet.

Decksson colecciones de pruebas de red de OONIPROBE con inputs especiales.

Collectores un servicio utilizado para reportar los resultados de las mediciones.

Test Helper es un servicio utilizado por un investigador para llevar acabo exitosamente las mediciones

Bouncer es un servicio utilizado para descubrir las direcciones de los ayudantes en la prueba y los recolectores (collectors).

Configurando OONIPROBE

Después de haber instalado exitosamente OONIPROBE, debes de tener acceso al UI de la red en tu máquina principal en <http://localhost:8842/> después de ejecutar:

ooniprobe -w

o iniciando el daemon.

Se te dará la configuración wizard del UI de la red en donde podrás leer los riesGos que involucra el ejecutar OONIPROBE. Posterior a haber contestado el quiz correctamente, puedes habilitar o des-habilitar las pruebas de OONIPROBE, ajustar la conexión a las medidas del collector y finalmente configurar tus ajustes de privacidad.

Por default, OONIPROBE no incluye información de identificación personal en sus resultados de las pruebas, ni crea un archivo pcap de acuerdo a los expertos de seguridad informática de webimprints. Esto se puede personalizar.

Ejecuta OONIPROBE como un servicio (systemd)

A partir de de la versión de OONIPROBE 2.0.0 no hay necesidad de cronjobs ya que los agentes de OONIPROBE son responsables de agendar los tasks.

Puedes asegurarte de que un agente de OONIPROBE esta siempre corriendo el programa mediante la instalación y habilitación del systemdunitooniprobe.service:

wget https://raw.githubusercontent.com/TheTorProject/ooni-probe/master/scripts/systemd/ooniprobe.service –directory-prefix=/etc/systemd/system

systemctl enable ooniprobe

systemctl start ooniprobe

Debes de ver un output similar si el OONIPROBE (systemd) service está activo y descargado ejecutando el estatus de systemctlooniprobe

ooniprobe.service – ooniprobe.service, network interference detection tool

Loaded: loaded (/etc/systemd/system/ooniprobe.service; enabled)

Active: active (running) since Thu 2016-10-20 09:17:42 UTC; 16s ago

Process: 311 ExecStart=/usr/local/bin/ooniprobe-agent start (code=exited, status=0/SUCCESS)

Main PID: 390 (ooniprobe-agent)

CGroup: /system.slice/ooniprobe.service

└─390 /usr/bin/python /usr/local/bin/ooniprobe-agent start

Instalando las capacidades en tu virtualenvpythonbinary

si tu distribución suporta capacidades puedes evitar necesitar e correr OONI como root:

setcapcap_net_admin,cap_net_raw+eip /path/to/your/virtualenv’s/python2

Reporte de bugs

Puedes reportar los bugs o problemas que encuentres de seguridad informática en TheTor Project issuetracker llenando la información en el componente “Ooni”

https://trac.torproject.org/projects/tor/newticket?component=Ooni.

ya sea que registres una cuenta o uses la cuenta del grupo “cypherpunks” con la contraseña “writecode”

Establece un ambiente de desarrollo

En un sistema a base de Debian un ambiente de desarrollo se puede configurar de la siguiente manera:

(requisitos previos incluyen estructuras fundamentales python-dev, y tor; para tor ver https://www.torproject.org/docs/debian.html.en):

sudo apt-get install python-pip python-virtualenvvirtualenv

sudo apt-get install libgeoip-devlibffi-devlibdumbnet-devlibssl-devlibpcap-dev

git clone https://github.com/TheTorProject/ooni-probe

cd ooni-probe

virtualenvvenv

Virtualenvvenv creará un folder en el directorio actual que contendrá los archivos ejecutables de Python, así como una copia de la biblioteca pip que se puede utilizar para instalas otros paquetes.

Para comenzar a utilizar el ambiente virtual, éste necesita estar activado:

sourcevenv/bin/activate

pip install -r requirements.txt

pip install -r requirements-dev.txt

python setup.py install

Posteriormente puedes revisar la seguridad informáticadela instalación se realiza de manera correcta:

ooniprobe -s

Esto te explicará los riesgos de OONIPROBE y se asegurará de que los hayas entendido, después te enseñará las pruebas disponibles.

Para ejecutar la unidad de pruebas, escribe:

coveragerun $(which trial) ooni

ROBOT, ASÍ ES LA VULNERABILIDAD QUE PONE EN JAQUE A PAYPAL Y FACEBOOK, ENTRE OTRAS

Tres investigadores de seguridad han descubierto una variante de un antiguo ataque criptográfico que puede aprovecharse para obtener la clave de cifrado privada necesaria para descifrar el tráfico HTTPS sensible bajo ciertas condiciones. Se denomina ROBOT, que viene de Return Of Bleichenbacher’s Oracle Threat. Este nuevo ataque es una variante del ataque Bleichenbacher sobre el algoritmo RSA descubierto hace casi dos décadas.

ATAQUE DE 19 AÑOS

En 1998, Daniel Bleichenbacher de Bell Laboratories descubrió un error en la forma en que operan los servidores TLS cuando los propietarios de los servidores elegían cifrar los intercambios de clave entre el cliente y el servidor con el algoritmo RSA.

De forma predeterminada, antes de que un cliente (navegador) y un servidor comiencen a comunicarse a través de HTTPS, el cliente elegirá una clave de sesión aleatoria que cifrará con la clave pública del servidor. Esta clave de sesión cifrada se envía al servidor, que utiliza su clave privada para descifrar el mensaje y guardar una copia de la clave de sesión que luego usará para identificar a cada cliente.

Como RSA no es un algoritmo seguro, también utiliza un sistema de relleno para agregar una capa adicional de bits aleatorios sobre la clave de sesión cifrada.

Bleichenbacher descubrió que si la clave de sesión se cifraba con el algoritmo RSA y el sistema de relleno era PKCS # 1 1.5, un atacante podría simplemente enviar una clave de sesión aleatoria al servidor TLS y preguntar si era válida. El servidor respondería con un simple “sí” o “no”.

FUERZA BRUTA

Esto, como podemos imaginar, significa que mediante un simple ataque de fuerza bruta, un atacante podría adivinar la clave de sesión y descifrar todos los mensajes HTTPS intercambiados entre el servidor TLS (HTTPS) y el cliente (navegador).

En lugar de reemplazar el inseguro algoritmo RSA, los diseñadores del estándar TLS decidieron agregar medidas para dificultar el proceso de adivinación de fuerza bruta. Hacer que fuera más difícil lograr el objetivo.

Esta fue una solución incompleta e insuficiente para el ataque original de Bleichenbacher, y desde entonces, los investigadores han publicado nuevas variantes del ataque original de Bleichenbacher en 2003, 2012, 2014 y 2015.

La investigación más reciente sobre este tema fue el ataque DROWN, que afectó a un tercio de todos los sitios HTTPS, publicado en marzo de 2016.

ROBOT

Hoy ha salido a la luz una nueva variante de Bleichenbacher llamada ROBOT. Se basa también en eludir las medidas implementadas por los creadores de TLS en 1998 y posteriores.

El problema, según los investigadores, es que el estándar TLS es muy complejo y muchos vendedores de equipos de servidores no implementan correctamente la Sección 7.4.7.1 del estándar TLS (RFC 5246), que define las medidas de ataque originales de Bleichenbacher.

El equipo de investigación que encontró e informó sobre el ataque ROBOT dice que compañías como Cisco, Citrix, F5 y Radware ofrecen productos que son vulnerables a los ataques ROBOT en ciertas configuraciones.

Esa configuración es si el propietario del servidor decide cifrar la clave de sesión TLS con el algoritmo RSA y usar el sistema de relleno PKCS # 1 1.5.

Hasta que lleguen los parches para los productos vulnerables, el equipo de investigación ROBOT y el CERT-US recomiendan que los propietarios de dispositivos vulnerables deshabiliten la clave de sesión TLS de cifrado RSA en sus dispositivos. Esto no será un problema, ya que la mayoría de los dispositivos también son compatibles con el cifrado de clave de sesión Elliptic Curve Diffie Hellman (ECDH) como una mejor solución para RSA.

El equipo de investigación de ROBOT dice que a pesar de ser una variante de un ataque de 19 años, 27 de los sitios web Alexa Top 100 son vulnerables al ataque ROBOT. Estos sitios incluyen Facebook y PayPal. El documento científico sobre el ataque ROBOT incluye un estudio de caso sobre cómo el equipo de investigación descifró el tráfico de Facebook.

Fuente:https://www.redeszone.net/2017/12/13/robot-vulnerabilidad-jaque-paypal-facebook/

7 AGUJEROS DE SEGURIDAD QUE SEGURAMENTE TU ROUTER TAMBIÉN TIENE

Aunque la seguridad se ha convertido en una de las principales preocupaciones de los usuarios, son pocos los que dedican el tiempo necesario a modificar los ajustes del router para proteger su red WiFi doméstica ante posibles ataques.

Y es que, aunque en muchas ocasiones no seamos conscientes, la mayoría de los dispositivos tiene una serie de vulnerabilidades que un intruso puede aprovechar para colarse en la red inalámbrica de manera clandestina con fines maliciosos. Si quieres mantenerte a salvo, toma nota de los 7 agujeros de seguridad que seguramente tu router también tiene y evita que sean explotados por los atacantes.

1. CAMBIA LA CONTRASEÑA Y EL NOMBRE DE TU RED

Una de las principales recomendaciones de seguridad para proteger tu red doméstica de ataques consiste en cambiar la contraseña de administrador predeterminada. Todos los routers tienen unas claves que el fabricante les asigna por defecto, y a un atacante le resulta extremadamente fácil averiguarla.

Por tanto, si todavía no lo has hecho, aquí te contamos cómo acceder al router y cambiar la configuración para cambiar la contraseña cuanto antes. Así evitarás que un intruso consiga colarse en tu conexión WiFi.

Otro ajuste recomendable es modificar el nombre de tu red (SSID). Aunque de por sí no te ayudará a mejorar la seguridad de tu red inalámbrica, te resultará útil para identificar tu conexión de manera inequívoca y evitar confusiones. Para ello, dirígete a los ajustes del router y cambia este valor por uno personalizado.

2. DIRECCIÓN DE INTERFAZ DE ADMINISTRADOR

Otro agujero de seguridad que seguramente tu router también tiene es la dirección de interfaz de administrador, ya que se puede acceder a todos de la misma manera en las rutas 192.168.1.1 o 192.168.0.1

Por ello, si conservas la contraseña predeterminada, el nombre de red asignado por la operadora y una dirección IP que se puede adivinar fácilmente, tu router corre grave peligro de ser secuestrado. Para evitar sustos, cambia la IP predeterminada en la pantalla de administración del dispositivo.

3. ACCESO REMOTO AL ROUTER

En los últimos años se ha popularizado el uso de herramientas de gestión basadas en la nube que permiten el acceso remoto al router. La gran mayoría de los usuarios no hacen uso de esta característica y puede permitir que un intruso irrumpa en tu red doméstica, por lo que lo más recomendable es que deshabilites esta opción en el router o que lo apagues por completo si vas a estar fuera de casa y nadie va a conectarse.

4. CLAVE PARA INVITADOS WPS

Los routers modernos ofrecen a los usuarios una función llamada WPS, que tiene la finalidad de permitir que los invitados accedan a la red sin necesidad de compartir la contraseña del WiFi. Se trata de una clave de ocho dígitos que se puede encontrar en la pegatina del dispositivo, y resulta válida para conectarse independientemente de la que hayas configurado para tu red.

El problema de este protocolo de conexión reside en que hackear una contraseña de ocho dígitos resulta la mar de sencillo para un hacker. Por ello, lo mejor que puedes hacer es deshabilitar el WPS a través de la consola web del router.

Router wifi

5. PROTOCOLO HNAP

HNAP (Home Network Administration Protocol) es el protocolo de administración de red doméstica, que está diseñado para que los ISP puedan administrar los routers que envían a los clientes. Este protocolo presenta un defecto masivo que pone en riesgo la seguridad de tu red WiFi, y es que con HNAP se transmite en texto plano y sin ningún tipo cifrado tanto el nombre del router como otra información privada.

Por tanto, es recomendable desactivar el protocolo HNAP, pero en ocasiones es complicado hacerlo en el router que te entrega tu operador. En estos casos, la mejor solución es cambiar el que te regalan por uno nuevo.

6. PROTOCOLO DE RED UPNP

En la mayoría de los routers antiguos está habilitado de manera predeterminada el protocolo de red UPnP (Universal Plug and Play). El problema de este protocolo es que fue diseñado para las redes de área local, no para Internet, por lo que no tiene seguridad y se trata de una de las principales vulnerabilidades del router. Lo mejor que puedes hacer es dedicar unos minutos a desactivarlo.

7. DESHABILITA EL PUERTO USB

El puerto USB que viene incluido en cada vez más modelos es otro de los principales agujeros de seguridad de los routers. Aunque este equipamiento puede resultar muy útil para conectar unidades flash y discos duros, también puede ser peligroso.

Esto es debido a que un intruso podría emplearlo para perpetrar un ataque físico, o también usarlo para espiar la información contenida en las unidades conectadas a él. Si no lo vas a utilizar, lo más recomendable es desactivarlo.

Fuente:https://computerhoy.com/noticias/software/7-agujeros-seguridad-que-seguramente-tu-router-tambien-tiene-72845