VirnetX gana la apelación de patentes en el caso Apple

VirnetX (empresa dedicada al Software y a tecnología de seguridad en Internet) ha ganado otra batalla en su demanda de patentes con Apple. El Tribunal de Apelaciones del Circuito Federal de los Estados Unidos ya ha dado su veredicto sobre su apelación de patentes en el caso Apple y ha anulado las sentencias de la Junta de Apelaciones y Juicios de Patentes de la Oficina de Patentes y Marcas de los Estados Unidos que invalidaron dos patentes de VirnetX.

Las patentes (6,502,135 y 7,490,151) están relacionadas con la tecnología de comunicaciones seguras que, según VirnetX, fueron infringidas por el iPhone de Apple. Esta sentencia le da a VirnetX acerca a la compañía a recibir los 439 millones de dolares que los tribunales declararon que Apple debe.

Figura 1: Reacción de Kendall Larsen (Inglés)

El CEO y Presidente de VirnetX, Kendall Larsen, ha expresado públicamente la satisfacción sobre esta sentencia, que además, podría tener un impacto considerable contra Apple, dependiendo de lo que los tribunales permitan a VirnetX hacer. Anteriormente estas patentes no se podían usar para demandar a Apple, pero en esta ocasión se abre una vía para que VirnetX pueda volver a intentar la acción legal. Lo que si está claro, es que esta sentencia refuerza el caso de VirnetX a la hora de reclamar lo que debe Apple por la infracción de patentes y que los tribunales ya se pronunciaron.

El ramsonware sigue siendo una amenaza global

Según las predicciones de la firma de seguridad Bitdefender a lo largo de 2019 el  ransomware podría volver a encabezar la lista de posibles amenazas para los consumidores. Durante la primera mitad de este año el ramsonware perdió el primer puesto en la lista tras encabezarla durante varios años, sin embargo durante los últimos meses su impacto ha ido aumentando paulatinamente hasta este fin de año. Bitdefender atribuye esta bajada en el ranking debido al crecimiento que ha tenido el crypto-jacking durante el pasado año, una amenaza que ha ralentizado millones de equipos y los ha utilizado para minar criptomonedas.

Según el informe publicado por Bitdefender, en el que se han cubierto varias áreas entre ellas Internet of Things o los ataques a macOS el ransomware seguirá estando muy presente durante los próximos años.

“Siempre va a haber nuevas versiones de ransomware, algunas más complejas que otras y algunas difíciles de descubrir, pero no esperamos que aumente a gran escala. Al menos no tanto como el año pasado.”

Figura 1: Facebook  y el leak de Cambridge Analytica

A pesar de que se espere un incremento de ataques a sectores como el de la banca o el del internet de las cosas, también se ha previsto un descenso en los leaks de datos y credenciales (como el sucedido el pasado año con Cambridge Analytica). Esto se debe a la actualización de la GDPR que entró en vigor el pasado mes de mayo y que establece multas millonarias para las compañías que filtren este tipo de información. Las multas ascenderían hasta un 4% de los beneficios anuales de la compañía infractora, algo que se traduce a millones, incluso billones de dólares y que podría llevar varias empresas a la bancarrota.

ElevenPaths Code Talks: Wordpress in Paranoid Mode

El próximo 19 de septiembre se impartirá un nuevo CodeTalk de la segunda temporada. En esta ocasión, el webinar lo impartirá nuestro compañero Pablo González, responsable del equipo de Ideas Locas del área CDO de Telefónica. El talk estará presentado y moderado por nuestro compañero Fran Ramírez, investigador de seguridad en el departamento de Ideas Locas en el área CDO.

Se dice que uno de cada cuatro sitios en Internet es un WordPress y debemos fortificarlo lo mejor posible. Desde ElevenPaths hemos llevado a cabo durante el último año y medio un trabajo de investigación sobre cómo fortificar un sistema WordPress. Se ha desarrollado una herramienta denominada WordPress in Paranoid Mode. La idea de esta herramienta es poder proteger la base de datos de accesos no controlados. Para ello, se hace uso de Latch a nivel de trigger en la base de datos, teniendo tres modos de funcionamiento: Administración, Edición y Sólo Lectura. Conoce este nuevo modelo de protección para tu WordPress en este talk. Además, se ha creado un docker para simplificar el proceso de configuración de tu Wordpress in Paranoid Mode.

Figura 1: Code Talk for Devs

Tienes una cita con nosotros en la comunidad de ElevenPaths. Podrás visualizar el webinar y a su vez dejar todos los comentarios o dudas que te vayan surgiendo para que los expertos de ElevenPaths e incluso otros usuarios de la comunidad te respondan. Si no puedes acceder a esta hora, ¡no te preocupes! todos los webinar están disponibles en la web de ElevenPaths pasados un par de días del estreno.

CodeTalks for Devs: Las Hidden Networks y la creación de redes ocultas con los USB

El próximo 18 de abril se impartirá el segundo CodeTalk de la segunda temporada. En esta ocasión, el webinar lo impartirá Fran Ramírez, investigador de seguridad en el departamento de Ideas Locas en el área CDO. Llevamos tiempo en ElevenPaths investigando las ''Hidden Networks''. Estas redes o interconexiones entre equipos aislados que incluso están separados por diferentes subredes o en otras ubicaciones geográficas, están creadas mediante dispositivos USB que se van insertando entre diferentes máquinas dentro de una red corporativa.

Con estos dispositivos USB sería posible expandir un malware entre equipos que teóricamente no tienen ni siquiera conexión a Internet, como el famoso caso de Stuxnet. Buscando implementar este análisis de las redes ocultas, hace unos meses publicamos unos scripts en PowerShell que analizaban estas posibles redes. Ahora hemos dado un paso más y hemos creado una PoC en Python llamada “HN” (Hidden Networks) que automatiza todos los procesos de recolección de datos, tanto en local como en red (un dominio) y finalmente muestra la red oculta en forma de grafo. En este Code Talk hablaremos del funcionamiento interno de las partes más importantes de esta herramienta HN.

Figura 1: Segundo Code Talk for Devs

Tienes una cita con nosotros en la comunidad de ElevenPaths. Podrás visualizar el webinar y a su vez dejar todos los comentarios o dudas que te vayan surgiendo para que los expertos de ElevenPaths e incluso otros usuarios de la comunidad te respondan. Si no puedes acceder a esta hora, ¡no te preocupes! todos los webinar están disponibles en la web de ElevenPaths pasados un par de días del estreno.

Nueva aplicación de Cisco Connector para iOS

Hace unos días la empresa de seguridad Cisco ha anunciado la llegada de Cisco Security Connector para iOS 11, una herramienta cuyo fin es controlar la actividad de red y conocer el tráfico que generan los usuarios, aplicaciones y dispositivos de una organización. Hoy en día es común el uso de dispositivos de empresa entre los que se incluyen teléfonos y tablets, gracias a Cisco Security Connector es posible ofrecer a las empresas una mayor visibilidad y control sobre la actividad de red de sus dispositivos.

La herramienta en cuestión ya ha sido probada por algunos de los clientes de Cisco, entre ellos se encuentran Cancom y WWT, los cuales han querido destacar la Seguridad y que ofrece esta nueva herramienta. Cisco Security Connector es capaz de evitar las conexiones a sitios web maliciosos independientemente de si nos encontramos conectados a una red corporativa o pública. También ayuda a garantizar el cumplimiento de las políticas para usuarios móviles durante un análisis de incidentes.

Figura 1:Cisco Security Connector.

“El ransomware y el malware se están extendiendo a través de Internet, afectando cada vez más a los dispositivos móviles. Junto Apple, ayudamos a que las organizaciones puedan convertirse en las más conectadas, colaborativas y seguras” Ha dicho David Ulevitch, vicepresidente senior y director general de la división de seguridad de Cisco.

La aplicación se lanzó con la intención de prevenir posibles ataques y ofrecer a las empresas nuevas herramientas que permitan minimizar riesgos aprovechando las funcionalidades de seguridad de las soluciones de Cisco Umbrela y Cisco Clarity.

Warning: Nuevo ataque de Phishing de Apple

Como ya os hemos contado anteriormente en Seguridad Apple los ataques  Phishing no son nada nuevo, recientemente se ha descubierto otro nuevo ataque de este tipo cuya finalidad es sustraer los datos personales y bancarios de las víctimas. La Oficina de Seguridad Interna (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) ya ha lanzado un importante aviso en su página web con la finalidad de advertir a los usuarios de Apple y a la propia compañía. El número de atques Phishing ha incrementado exponencialmente durante los últimos años haciendo que sea de vital importancia comprobar la legitimidad de muchas de las páginas que visitamos.

En este caso el ataque sigue un modus operandi muy común, los atacantes envían un correo electrónico fraudulento que  aparenta ser un correo de Apple, en el correo se advierte a los usuarios que su cuenta ha quedado bloqueada debido a un intento de violación de la seguridad en los servidores de la compañía y que debe verificar tanto su correo como la información personal y bancaria asociada a su cuenta. En el cuerpo del mensaje también se incluye un enlace que supuestamente  te dirige a la página legítima de Apple, sin embargo al dejar apoyado el cursor sobre él podremos observar que la URL ni se parece a la de la página  de Apple.

Figura 1: Página fraudulenta que imita a Apple

Al pinchar en el enlace accedemos a una página con un aspecto idéntico a la página oficial de Apple, además esta página cuenta con un certificado de seguridad para hacer que las victimas confíen en su legitimidad. A continuación la página solicita tus credenciales, que en caso de introducirlos serán almacenados en la base de datos del atacante, después de esto te pide que introduzcas tus datos personales y los de tu tarjeta de crédito, incluyendo la fecha de caducidad y el código de seguridad. Además también te pide introducir el pin de la tarjeta, un dato que Apple jamás solicita. Tras introducir todos tus datos y enviar el formulario la web te redirige a la página de inicio de Apple, en este caso la página oficial para mitigar sospechas.

Desde Seguridad Apple os recordamos que aunque este tipo de ataques parezca sencillo de detectar el número de víctimas que son engañadas es inmenso lo que lo convierte en una de las principales amenazas de Internet. Para protegeros frente a este tipo de ataques y muchos otros os recomendamos el uso de segundos factores de autenticación.

Un email puede dar acceso total a la red interna en un bug crítico de FireEye

Investigadores del equipo de seguridad de Google denominado Project Zero han encontrado una vunerabilidad crítica en el kit de FireEye que permite a los atacantes acceder a las redes corporativas con el envío de un solo correo electrónico. La vulnerabilidad ha sido calificada como "666". El reputado investigador Tavis Ormandy describe la vulnerabilidad como un escenario de pesadilla. 

Los parches por parte de FireEye no se han hecho esperar, y han lanzado actualizaciones para NX, FX y AX que son las cajas de FireEye. Estas soluciones de monitorización de tráfico se colocan a la salida de la red corporativa. Ormandy y su compañero de Google encontrar el defecto como parte de una investigación. El exploit es muy peligroso ya que el kit es vulnerable en su estado predeterminado. Según informa FireEye están prestando apoyo, incluso a los clientes cuyos contrados han vencido. ¿Cuál es el vector de ataque? Un atacante podría enviar un correo electrónico a un usuario de la organización protegida con esta solución y tener acceso a toda la red interna. El destinatario no tendría que leer el correo electrónico, simplemente recibiéndolo sería suficiente. 

Figura 1: Esquema de los dispositivos FireEye que monitorizan tráfico

Para explicar brevemente, el detalle puede visualizarse en un artículo publicado por la gente de Project Zero, decir que una organización instala un dispositivo FireEye en su red interna y se conecta a un puerto espejo en el punto de salida. Éstos están monitorizando puertos de los equipos de la red. El dispositivo FireEye monitoriza todo el tráfico de la red de forma pasiva. El seguimiento de protocolos comunes, como HTTP, FTP, SMTP, etcétera. Si se detecta una transferencia de archivos, por ejemplo un archivo de correo adjunto o una descarga HTTP, FireEye extrae el archivo y lo analiza en busca de malware.

En principio, si el usuario recibe un correo electrónico o visita un sitio web malicioso, el dispositivo de FireEye observa el tráfico y avisa al administrador de la red. La vulnerabilidad descubierta puede ser explotada a través de la interfaz de monitoreo pasivo, es decir, un atacante solo tiene que enviar un correo electrónico a un usuario para acceder a la red. En concreto se puede acceder a un tap de la red, que es una de las máquinas más privilegiadas de la red, ya que tiene acceso a correo de empleados, contraseñas, descargas, historial de navegación, archivos adjuntos confidenciales, es decir, todo lo importante de la organización.

Figura 2: Explotación de vulnerabilidad

En algunas configuraciones, un atacante podría manipular el tráfico, o incluso, insertar puertas traseras. En los dispositivos vulnerables, se suele tener una interfaz secundaria conectada a Internet para las actalizaciones y la gestión, la cuestión es que podría ser una vía para propagar gusanos a través de Internet.

Wi-Fi Assist activado o no en iOS 9 para no gastar datos

iOS 9 es un sistema operativo que trae grandes novedades. Una de las pequeñas novedades que Apple ha metido en la nueva versión del sistema operativo es la de Wi-Fi Assist. Esta opción permite cambiar automáticamente la conexión a Internet del usuario, pasando de una conexión con mala calidad a una red Wireless al uso de datos por parte del usuario con su conexión móvil de la operadora. La opción de Wi-Fi Assist se encuentra dentro del menú Ajustes del sistema operativo. 

Esta característica está ahí para asegurarse de que siempre se obtenga las mejores velocidades para su navegación, pero hay que tener en cuenta que puede hacer que se gaste gran cantidad de datos por parte del usuario, sin que éste lo sepa. Al activar Wi-Fi Assist se cambia automaticamente la conexión activa a Internet, es decir, no se utilizan las redes Wireless. Además, este hecho no se notifica al usuario, por lo que puede quedarse sin datos disponible antes de lo normal.

Figura 1: Wi-Fi Assist

La funcionalidad tiene como objetivo lograr que los usuarios siempre tengan la mejor calidad de navegación posible, pero también puede convertirse en un problema a la hora de gestionar el volumen de datos y la tarifa de cada usuario. Por esta razón, puedes asegurarte de que la funcionalidad no está activa de la siguiente manera:

• En Ajustes ir a Datos móviles.
• En la vista de Datos móviles se puede desplazar hacia abajo hasta encontrar el switch de Wi-Fi Assist. 
• Hay que configurarlo en apagado para evitar que esta funcionalidad te gaste los datos sin darte cuenta.

Por supuesto, en muchos casos puede venir bien tener la característica activada, pero lo importante es que conozcas bien su funcionamiento y posibles consecuencias.

Robo de credenciales a los usuarios del foro MacRumors

El popular foro de noticias y rumores dedicado a dar información sobre tecnologías Apple, MacRumors, ha sufrido una intrusión y el atacante ha conseguido extraer 860106 cuentas de usuario con sus respectivo hashes de la contraseña en MD5 de los 1.8 millones de miembros registrados.

Figura 1: Confirmación del incidente de seguridad en MacForums

MacRumors lo ha anunciado públicamente y el responsable del foro Arnold Kim pide disculpas, ya que la filtración se produjo porque el atacante tuvo acceso a una cuenta de moderador y a partir de ahí fue escalando privilegios hasta llegar a poder extraer la base de datos de los usuarios, un caso parecido a lo ocurrido en los foros de Ubuntu. 

Más tarde el atacante respondió en el mismo foro donde mostraba parte de la contraseña de Arnold Kim, además de explicar cómo habían realizado el ataque, utilizando bugs conocidos de versiones antiguas de vBulletin. Se destacaba que del total de usuarios extraídos, todavía había 488429 cuentas que conservaban 3 bytes de salt, algo que solo seria cuestión de tiempo y diccionarios llegar a descifrar. En cualquier caso el atacante explicó que no iban a publicar nada porque no era "divertido".

Figura 2: Mensaje del atacante para Arnold Kim

Desde MacRumors sienten los inconvenientes y van a trabajar rápidamente para solucionar el incidente de seguridad y evitar que éste se repita, pero como se puede ver todo el mundo es objetivo de los ataques en Internet. Hace ya algún tiempo, hablábamos de otro incidente en otro foro de Apple, en este caso fue MacProgramadores, que sufrió el acoso de los spammers.

DomainTools para iOS: Información de dominios a un clic

Si eres de los que gusta tener a mano las apps en tu iPhone para consultar las cosas que usas en tu equipo como a nosotros, seguramente te apetecerá instalarte la app de Domain Tools para consultar información sobre un determinado dominio de Internet en un instante. Permite comprobar la información Whois, si el dominio está disponible o no, comprar un domino al instante, o tomar un screenshot del mismo.

Figura 1: DomainTools para iOS

La app la conocimos gracias a la reseña que se hizo en la investigación de quién estaba detrás de OSX/FlashBack, y tras probarla está ya en una carpeta junto a otras apps como la de Shodan para iOS la de Wolfram Alpha para generar passwords robustas.