Las técnicas de ciberataques han cambiado mucho durante los últimos años. Seguro que algunos de los que estáis leyendo este artículo recuerda cuando múltiples cuentas de Hotmail empezaron a recibir los primeros mensajes de advance-fee scam. Una modalidad en particular se hizo muy famosa, pues consistía en un mensaje de un supuesto príncipe nigeriano concediéndote, tras intentar venderte una historia increíble, una fortuna de 1M$ a cambio de una módica cantidad de dinero. A raíz de los incidentes ocurridos durante los últimos meses, como el escándalo de Facebook con Cambridge Analytica, son cada vez más los ojos que miran con una preocupación creciente todo lo relacionado con la privacidad del usuario y la protección de los datos personales del mismo. Por ello, la ciberseguridad está dejando de ser la desconocida que era antaño, adquiriendo la notoriedad e importancia que deben tener en un mundo cada vez más conectado.
Mostrando entradas con la etiqueta DDOS. Mostrar todas las entradas
Mostrando entradas con la etiqueta DDOS. Mostrar todas las entradas
lunes, 20 de agosto de 2018
Guía de seguridad para tu Secure Summer! (Parte 1)
Las técnicas de ciberataques han cambiado mucho durante los últimos años. Seguro que algunos de los que estáis leyendo este artículo recuerda cuando múltiples cuentas de Hotmail empezaron a recibir los primeros mensajes de advance-fee scam. Una modalidad en particular se hizo muy famosa, pues consistía en un mensaje de un supuesto príncipe nigeriano concediéndote, tras intentar venderte una historia increíble, una fortuna de 1M$ a cambio de una módica cantidad de dinero. A raíz de los incidentes ocurridos durante los últimos meses, como el escándalo de Facebook con Cambridge Analytica, son cada vez más los ojos que miran con una preocupación creciente todo lo relacionado con la privacidad del usuario y la protección de los datos personales del mismo. Por ello, la ciberseguridad está dejando de ser la desconocida que era antaño, adquiriendo la notoriedad e importancia que deben tener en un mundo cada vez más conectado.
viernes, 6 de abril de 2018
ElevenPaths Talks: Temporada 4. Un poco DDoS y herramientas para detener el ataque
Sin ir más lejos, el pasado 1 de marzo, se registró el ataque más potente hasta la fecha, alcanzando aproximadamente 1.35 Terabytes por segundo contra los servidores de Github, explotando una vulnerabilidad sobre más de 100.000 servidores memcache. La buena noticia es que Github salió airoso del ataque, estando tan solo unos pocos minutos inoperativos.
 |
| Figura 1: ElevenPaths Talks |
La sesión comenzará a las 17.30, hora española. El talk dura unos 40 minutos. Se publicarán en nuestro la web de ElevenPaths Talks. Si te perdiste algún capítulo de la primera, de la segunda o de la tercera temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!
miércoles, 8 de marzo de 2017
Eleven Paths Talks: La red bajo ataque
Se hará hincapié en el uso de protocolos como NTP y DNS para llevar a cabo ataques de amplificación, los cuales pueden provocar que grandes cantidades de bits golpeen servidores, teniendo un factor de amplificación enorme. A finales de 2016, uno de estos ataques a través del uso de dispositivos IoT que habían sido secuestrados, hizo reflexionar a la sociedad sobre la facilidad de ejecutar ataques a nivel de red y la fragilidad con la que nos encontramos en las infraestructuras desplegadas. Si consideramos que, incluso, en muchos de los nuevos despliegues con nuevos protocolos sobre nuevas arquitecturas ya se conocen vulnerabilidades que podrían afectar a los servicios brindados. En este webinar se hablará de diferentes tipos de ataques de red, cómo las botnets afectan a estos esquemas y, sobre todo, cuáles son las soluciones más comunes de protección para estos casos.
 |
| Figura 1: Eleven Paths Talks Temporada 3 |
La sesión comenzará a las 15.30, hora española. Los talks durarán unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y un invitado especial y 10 minutos sobre consejos y herramientas. Recordar que las sesiones se llevarán a cabo a través de la plataforma GoToWebinar. Posteriormente, y como siempre, se publicarán en nuestro canal de Youtube. No pierdas la ocasión y registrate para el webcast. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!
martes, 1 de noviembre de 2016
HomeKit y el DDoS de Mirai: Apple lo pone difícil
El pasado viernes 21 de Octubre sucedió uno de los ataques más grandes que Internet ha visto. Una DDoS que afectó a muchos usuarios de Netflix, Twitter, WhatsApp, entre otros. Esta denegación de servicio distribuida venía, en gran parte, de una botnet del IoT. En el artículo de hoy vamos a centrarnos en el análisis desde el punto de vista de Apple y su protocolo HomeKit. La empresa Dyn, que fue la empresa atacada, fue incapaz de proporcionar una fuente del ataque, la información publicada posteriormente por la empresa Flashpoint revela que los ataques dirigidos venían de un malware denominado Mirai.
Mirai busca en Internet dispositivos IoT que tengan el usuario administrador y contraseña por defecto. Una vez descubierto se infecta con malware y se añade a la botnet. Además, DVR y cámaras con direcciones IP pudieron ser añadidas a la botnet, debido a vulnerabilidades conocidas. El problema radica en que los usuarios no pueden cambiar las contraseñas por defecto de forma factible, o que el firmware de los elementos es difícilmente actualizable, lo que hace que queden expuestos a vulnerabilidades en el tiempo que no se puedan solucionar de forma sencilla. Aquí es dónde Apple habla del HomeKit. Apple incorporó un cifrado extremo a extremo, protección wireless y ofuscación del acceso remoto. Es relativamente más difícil que un dispositivo HomeKit MFI fuera parte de una botnet como la de Mirai.
 |
| Figura 1: HomeKit |
El HomeKit utiliza la infraestructura de iCloud y el modelo iOS para la sincronización de datos de forma segura, o al menos más que lo visto hasta el momento en el mundo IoT. En el documento que Apple publicó respecto a la seguridad en iOS 9.3, se puede ver un apartado del HomeKit. En esta parte podemos ver: identidad con clave pública para cada dispositivo iOS, comunicación cifrada punto a punto, almacenamiento cifrado de datos local, etcétera. Mínimas y poderosas medidas de seguridad en comparación con passwords por defecto de los dispositivos IoT.
Cuando un iPhone se comunica con un accesorio HomeKit, son los dos dispositivos los que se autentican entre sí. La identidad única de HomeKit es almacenada en el llavero y sincronizado con otros dispositivo a través de iCloud. Merece la pena echar un ojo a estas características de seguridad, teniendo en cuenta que Apple ha hecho que algunos fabricantes que quieren integrarse con el HomeKit, retrasen su fecha de salida, debido a la integración con el HomeKit y la seguridad por defecto que ofrece, que como hemos visto no ocurre en gran parte del Internet of Things.
Cuando un iPhone se comunica con un accesorio HomeKit, son los dos dispositivos los que se autentican entre sí. La identidad única de HomeKit es almacenada en el llavero y sincronizado con otros dispositivo a través de iCloud. Merece la pena echar un ojo a estas características de seguridad, teniendo en cuenta que Apple ha hecho que algunos fabricantes que quieren integrarse con el HomeKit, retrasen su fecha de salida, debido a la integración con el HomeKit y la seguridad por defecto que ofrece, que como hemos visto no ocurre en gran parte del Internet of Things.
sábado, 7 de marzo de 2015
iOS con solo un 1% de tasa de malware en el 2014 según Motive Security Labs de Alcatel-Lucent
 |
| Informe sobre malware en dispositivos |
Y las conclusiones no invitan para nada al optimismo, aunque esto siempre es debatible. Lo que es cierto es que el crecimiento del malware de dispositivos móviles sigue en aumento, y todo hace indicar que esto no se reducirá. Para empezar, se estima que casi dieciséis millones de dispositivos móviles han sido comprometidos con algún tipo de malware, con un ratio de infección de 0.68%. La situación reviste gravedad, porque en muchos casos los atacantes no se limitan al mero robo de información personal del usuario del dispositivo en cuestión: la creación de botnets para realizar ataques DDoS es otro de sus objetivos.
 |
| Figura 1: Crecimiento de ejemplos de malware según el informe |
El informe revela que el número de infecciones por malware en dispositivos portátiles sigue creciendo año a año. Además, en su afán de hacer una investigación lo más exhaustiva posible, los expertos de Motive Security Labs han analizado todas las plataformas, revelando que la exposición de dispositivos Windows y Android es casi idéntica. La baja tasa de infección de dispositivos iOS, apenas un 1%, podría alterarse de cara al próximo informe debido al elevado número de amenazas que han aparecido en 2014.
¿Y cuál es el motivo de este preocupante aumento del número de infecciones? Como casi siempre, el eslabón débil de la cadena es el usuario final. Ya sea por desconocimiento de los riesgos a los que está expuesto, ya por malas costumbres, lo cierto es que un usuario rara vez toma todas las precauciones que debería para proteger su privacidad en la red. Por ejemplo, el informe evidencia que muchos consumidores tienen cierta reticencia a realizar compras online por miedo al robo de datos bancarios, cuando los atacantes muestran especial predilección por vulnerar cajas registradoras y terminales en comercios ya que estos les reportan más beneficios.
 |
| Figura 2: Dispositivos Android y Windows infectados |
A tenor de los resultados del informe, está claro que las amenazas son cada vez más complejas y más peligrosas. Si bien el número de amenazas de alto nivel como los troyanos bancarios y rootkits no ha aumentado respecto a años anteriores, sí lo han hecho el spyware móvil y los ataques de denegación de servicio desde terminales móviles. Por último, en el informe se presentan algunas cifras relativas a redes locales privadas, de las que se dice que aproximadamente un 14% sufre algún tipo de infección. Las cifras hablan por sí solas. La situación es preocupante, y para mitigar el alcance de estas amenazas está claro que tanto proveedores como usuarios han de trabajar juntos. Es necesario concienciar a los usuarios de que han de tomar parte activa en la protección de sus datos.
martes, 7 de octubre de 2014
Kaiten: ShellShock para distribuir malware en Mac OS X
Algunos delincuentes están explotando la vulnerabilidad de ShellShock para infectar numerosos sistemas, incluyendo a los OS X de Apple. Kaiten en un software que permite realizar denegación de servicio distribuida. Investigadores de la empresa Trend Micro han informado que descubrieron la campaña de distribución a través de un blog, advirtiendo que tiene el potencial para causar ataques DDoS a gran escala. Los investigadores indicaron que habían encontrado unos payloads que les llamaron la atención. Identificaron el fichero troj_bashkai.sm el cual es un código que permite descargar el malware Kaiten. Este malware no es nuevo y es controlado por IRC, pero ha llamado la atención los diferentes usos que se está haciendo de esta vulnerabilidad.
También indicaron que, por lo general, los sistemas infectados convierten a las máquinas infectadas en bots otorgando el control y permitiendo utilizar la potencia de la red para DDoS. El fichero encontrado está dirigido a sistemas operativos Mac OS X, por lo que queda claro que los atacantes están ampliando miras en lo que a plataformas se refiere. Para la gente de Trend Micro la amenaza es doble ya que Apple ha dicho a sus usuarios que ellos son seguros por defecto.
 |
| Figura 1: Por ahora, Kaiten ha sido detectado solo en Mac OS X de Colombia |
Es cierto que Apple ha lanzado parches de seguridad para solventar el problema de ShellShock para OS X Mavericks, OS X Lion y OS X Mountain Lion. Los investigadores añadieron que los administradores TI deben estar atentos para mitigar los posibles ataques que puedan sufrir sus usuarios.
El funcionamiento es sencillo, se conecta a http://www.computer-services.name/b.c. se descarga el código fuente de Kaiten, el cual es compilado con gcc. Esto significa que una vez que se accede a la dirección no se descarga un binario de inmediato y sí código fuente que posteriormente se compilará. Esta forma de actuar podría verse como una técnica de evasión de algunos sistemas de seguridad, tanto de red como antimalware.
El funcionamiento es sencillo, se conecta a http://www.computer-services.name/b.c. se descarga el código fuente de Kaiten, el cual es compilado con gcc. Esto significa que una vez que se accede a la dirección no se descarga un binario de inmediato y sí código fuente que posteriormente se compilará. Esta forma de actuar podría verse como una técnica de evasión de algunos sistemas de seguridad, tanto de red como antimalware.
domingo, 9 de febrero de 2014
Malware para OS X: Nueva botnet multiplataforma en Java
Desde el laboratorio de Kaspersky han hecho público el análisis de una pieza de malware que había llegado a sus servidores y que ha resultado ser un ser el cliente de una botnet multiplatafarma escrita en Java y que funciona en sistemas Microsoft Windows, Mac OS X, y Linux. Para infectar los equipos este malware utiliza el bug CVE-2013-2465 que permite a un atacante conseguir ejecución remota en las víctimas que tengan una versión de la rama Java 6 con la Update 45 o anteriores y en la rama Java 7 con Update 21 o anteriores.
El bot tiene el código ofuscado con Zelix Klassmaster, una solución especializada en Java que obliga a los analistas a descifrar el código antes de poder analizar el malware. Una vez analizado se puede ver cómo el código está pensado para las plataformas Windows, Linux y Mac OS X, usando diferentes puntos de anclaje para conseguir la persistencia al reinicio.
 |
| Figura 1: Configuración del bot como un launchd en Mac OS X |
- Windows: Usa clave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Mac OS X: Configura un servicio launchd
- Linux: Configura una entrada en los daemons de inicio en /etc/init.d/
El bot se controla mediante el protocolo IRC, para lo que el malware lleva implementado completamente PircBot, una impelementación Open Source del API de IRC, y que permite enviar comandos a los bots.
 |
| Figura 2: Conexión del bot al C&C mediante IRC |
La principal función de esta botnet es la de realizar ataques de Denegación de Servicio Distribuida (DDoS) a servicios HTTP y UDP, para lo que desde el C&C se realiza mediante comandos IRC la configuración de los parámetros necesarios para el ataque.
 |
| Figura 3: Configuración de un ataque de Flood UDP desde el C&C al bot |
La distribución de este bot no parece muy extendida, pero es importante tener en cuenta que los creadores de malware que utilizan Java están pensando en todo momento en arquitecturas que funcionen sobre sistemas Mac OS X, y que es fundamental tener actualizar la plataforma Java a la última versión.
Suscribirse a:
Entradas (Atom)
Entrada destacada
Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google
La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...
Entradas populares
-
Hoy cerramos el telón. Hoy podemos decir adiós con la cabeza muy alta. Hoy podemos decir que durante 9 años, 4 meses y 26 días o lo que e... -
Si has perdido tu teléfono móvil iPhone o has sido víctima de un robo y no has sido capaz de localizarlo con los servicios de Find My iPhon... -
A finales de 1988, Andy Hertzfeld , uno de los creadores del mítico Apple Macintosh , escribió un pequeño artículo en la revista MacWeek... -
Desde la presentación de Apple en la WWDC de este año han sido muchos los rumores acerca de las posibles fechas de lanzamiento del nuevo bu... -
Nos acercamos al final de diciembre y con el año nuevo a la vuelta de la esquina en Seguridad Apple no nos hemos cogido vacaciones para tra... -
Uno de los responsables involucrados en un intento de blackmail contra Apple , acusado por amenazar a la compañía con eliminar hasta 319 mi... -
Nos encontramos a mediados de noviembre y a pesar del frio en Seguridad Apple continuamos trabajando para traeros algunas de las mejores n... -
Para felicitaros este día de Navidad , queremos contaros una pequeña historia de nuestro personaje favorito, Steve Wozniak . Todo comie... -
Existe un ordenador Apple que, aunque no es ni de lejos de lo más cotizados en el mundo del coleccionismo, es uno de los más deseados. E... -
Muchos de los usuarios de iPhone y iPad utilizamos a diario Face ID como medio de autenticación. Este método de seguridad es posibleme...