2016: el año que nos hackearon peligrosamente

No sabemos si era algo que tenía que ocurrir o algo inevitable que pasara. El día D, mejor dicho, el año D estaba marcado en rojo en el calendario por "los malos" y era este 2016. Hace apenas un par de años nadie, salvo los más especializados en el tema, sabía lo que era una botnet: en octubre todo el mundo se enteró cuando Facebook se cayó, su Twitter no entraba o su correo se bloqueó. La culpa fue de una red de dispositivos zombis.
Este año ha sido el año de los grandes hackeos. Ni las grandes empresas de Internet han sabido hacerles frente. Se han dado casos sonados y trascendentales que resultaron con la pérdida total de confianza en algunas compañías, llegando incluso a ser denunciadas. Hablamos de Yahoo, por supuesto.

2016 también ha sido la fecha que dio rienda suelta a los ataques a teléfonos móviles, a ese amplio género llamado malware y al ransomware en especial, este último un troyano que secuestra el computador o cierta información y pide después un rescate.

Para terminar, hay que destacar un tema sobre todos por las consecuencias que ha tenido y las (aún) mayores implicaciones que hubiera acarreado de haberse hecho realidad. El caso Apple vs. FBI copó titulares y portadas de la muchas cabeceras extranjeras y en eldiario.es seguimos el devenir de la historia con profundo interés. Esta es nuestra selección de 2016.
1. El año del malware

Solo en 2015, Kaspersky detectó más de tres millones de paquetes de instalación malignos para móvil y 885.000 programas de malware. Hummingbad era uno de ellos y llegó a infectar hasta 10 millones de teléfonos. Como Gooligan: este malware incluso llegó a robar más de un millón de cuentas Google. Ambos tenían denominación de origen china, el mismo país que instaló un software en cerca de 700 millones de teléfonos para enviar datos al gobierno de Xi Jinping.

10 millones de dispositivos Android tienen gusano

2. El caso Apple vs. FBI

Fue uno de los temas del invierno. Desde eldiario.es seguimos la historia con el mayor interés: y es que el mundo estuvo a punto de presenciar el precedente legal que permitiese al FBI entrar a todos los iPhone. Los federales le pidieron a la compañía de la manzana mordida crear un software que se saltase la protección y las claves de bloqueo del teléfono de un terrorista, a lo que en Cupertino se negaron. Y el caso ni si quiera se resolvió en los tribunales porque el FBI se retiró antes de que el juez dictara sentencia. La agencia del gobierno finalmente tuvo que pagar un millón de dólares a una empresa misteriosa de la que nada sabemos.

Apple va a por todas en la encriptación

3. La seguridad de los bancos se tambaleó

El malware en móviles sube, el ransomwarepara bancos también. Una encuesta de IBM entre 600 negocios y 1.000 empresarios de los EEUU detectó que el 70% habían sufrido este tipo de ataques y, peor aún, habían pagado por ser rescatados. Este año hackearon la base de datos del banco de Qatar, que afectó a más de 100.000 cuentas; robaron del banco de Bangladesh 81 millones de dólares; y el año pasado, los bancos de Vietnam y Ecuador sufrieron el robo de 1,1 y 12 millones de dólares respectivamente. Ante esta situación nos preguntamos si los bancos eran seguros y hablamos con un experto en seguridad que nos contestó.

También hicimos una clasificación del tipo de hackers que pueden llegar a cometer estos delitos. Según sean buenos, malos o menos malos, se dividen por sombreros: blancos, negros y grises.

Asalto al tren del dinero virtual

4. Hackers y redes sociales

Este año han sido muchas las redes sociales que han visto cómo sus fallas de seguridad les hacían convertirse, una vez más, en un coladero. LinkedIn, Tumblr, MySpace, Google y un largo etcétera han sido hackeados. Por eso nos pusimos en contacto con varios expertos y les preguntamos qué hacen los hackers con los datos, cuántos cuestan esos datos, dónde los venden y a quién.

Dinero. Famzoo Staff / Flickr

5. Ositos de peluche o microondas zombis

Lo explicábamos en la introducción. Hasta hace muy poco, no había mucha gente capaz de explicar qué era una botnet. Tampoco habían oído hablar de ella. Fue el pasado octubre que una red de microondas, frigoríficos, webcams y más objetos conectados al Internet de las Cosas (IoT en inglés), atacaron a Netflix, Facebook, Twitter y los tumbaron. 11 horas duró el ataque que apagó a medio mundo. Podrían haber sido incluso ositos de peluche: y es que una nevera conectada a Internet quizá sea el último grito para la cocina, pero la seguridad de estos dispositivos aún está en pañales.

Los osos de Fisher Price

6. Yahoo y Gmail suspenden en seguridad

Fueron tres golpes: primero 270 millones de cuentas, luego 500, después mil. La seguridad de Yahoo viene estando en entredicho desde mayo, cuando los primeros hackeos ocurrieron. La última brecha de seguridad la hemos conocido hace poco: 1.000 millones de credenciales de Yahoo que componen el mayor robo de datos en la historia de Internet. Por el camino, 24 millones de cuentas de Gmail, 33 de Hotmail o 57 de Mail.ru, el principal proveedor de correo ruso.

.

Yahoo FREDDIE BENJAMIN / FLICKR

7. El enésimo malware: esta vez en tu router

Aunque el DNSChanger alcanzó su pico de infecciones hace cuatro años, ha vuelto a reactivarse. El virus es capaz de cambiar el DNS del router haciendo que nos redirija a sitios webs no seguros, falsos, de phising. También infecta al resto de dispositivos que estén conectados a él. Los que han reactivado el virus lo han combinado con un exploitescondido en los banners de algunos sitios webs, haciendo que nos infectemos por partida doble.

Un router KONRAD TWARDOWSKI / FLICKR

8. Penthouse no es tan privado

Si hace un año fue famoso el robo de Ashley Madison, este año toca Penthouse. Todo partió de un fallo de seguridad de la web Adult Friend Finder, que administra la página porno junto a otras. En total fueron 400 millones de cuentas, aunque "solo" se vieron afectados siete millones en Penthouse.

Adult Friend Finder

9. La nube de Dropbox no segura

Primero recomendaron cambiar las contraseñas a todos los usuarios, una semana después supimos que les habían hackeado. Dropbox también se unió al club a finales de agosto de este año con 68 millones de cuentas robadas y preparadas para ser vendidas en laDeep Web. No era la primera vez que el servicio de almacenamiento en línea tenía problemas: en 2011 se pudo acceder durante cuatro horas a cualquier cuenta de la plataforma utilizando, literalmente, cualquier contraseña.

DropBox

10. LinkedIn: muy poco profesional

Terminamos el repaso de los hackeos más importantes de este año con LinkedIn, la red profesional para buscar empleo que vio cómo en mayo, 100 millones de cuentas eran puestas a la venta en la Deep Web por el irrisorio precio de 2.000 euros. Sin embargo, el hackeo viene de largo: hace cuatro años la empresa dijo haber sufrido el robo de 6,5 millones de cuentas, dato que en 2016 confirmamos. Y es que no fueron 6,5 millones, sino 100 millones.

Mientras tanto, un niño de 10 años hackeaba Instagram y Mark Zuckerberg, el CEO de Facebook, le obsequiaba con 10.000 dólares...

LinkedIn. Foto: Ben Scholzen / Flickr

Bonus track: el hackeo al DNC

Aún hoy seguimos teniendo noticias del hackeo ruso al servidor del Comité Nacional Demócrata. Los hechos ocurrieron a finales de julio de este año y fueron filtrados por Wikipedia. Sirvieron para dos cosas. La primera: poner de manifiesto la (poca) seguridad del servidor de los demócratas y la segunda, para remover y desestabilizar la cohesión interna del partido de Hillary Clinton. Se dijo que los hackers habían intentado favorecer al ahora presidente electo de los EEUU, Donald Trump.

Donald Trump

En vacaciones aumenta el peligro para los menores

Con la llegada de las vacaciones escolares y el tiempo de asueto, los niños disponen de mucho más tiempo libre para dedicarse a sus aficiones.

 

En fechas especiales, como la Semana Santa, los niños aprovechan para “desconectar”y la mejor forma es NO DESCONECTÁNDOSE de la red, durante el tiempo de vacaciones. Los adultos tampoco tenemos que “desconectarnos” y debemos continuar en modo “Control Parental“.

Ha cambiado mucho el cuento, los padres ya no tenemos que estar en la ventana pendientes de ver con quien está jugando nuestro hijo, o si le surge el más mínimo problema. Nuestros hijos han dejado de ser tan “callejeros” como lo éramos nosotros y ahora se “entretienen” con sus computadores, consolas, tablets y smartphones en la tranquilidad de sus habitaciones y para la “equívoca” tranquilidad de los padres.

Ahora, en la era de la comunicación, nuestros hijos son especialistas en la socialización, tienen cientos de “amigos” con quien hablan y comparten confidencias en redes sociales, en medio de una partida de sus juegos online preferidos o a través de los programas de mensajería instantánea instalados en sus teléfonos móviles de última generación.

Son especialistas en el uso y disfrute de las nuevas tecnologías, tengamos en cuenta que han nacido a la par, son realmente “nativos digitales”, verdaderos expertos en “maquinitas y aparatos varios”, gozan del control absoluto de las nuevas tecnologías y de sus herramientas, ¡ellos han inventado “el internet”!

Por el contrario nosotros, los “inmigrantes digitales”, no nos enteramos “de la misa a la mitad”, no tenemos ni idea de “tuentis, facebús o jabús”. Esa es la idea que tienen nuestros hijos de nuestro conocimiento de las nuevas tecnologías, y esa es precisamente la idea que tenemos que quitarles de la cabeza. Para ello tenemos que empezar por “educarnos” nosotros mismos.

¿Tenemos razón para preocuparnos? Sí.

¿Tenemos razón para desesperarnos? No.

A modo de ejemplo: en el tema de Internet, podemos parecer turistas, y nuestros hijos autóctonos de la red. Por ello debemos familiarizarnos con todo esto tan nuevo para nosotros, y no hace falta convertirnos en expertos en la materia para proteger a nuestros hijos.

Como de costumbre no quiero ser ni parecer alarmista ni detractor de internet, al contrario, como internauta que soy, desde los principios de internet, abogo por los numerosos beneficios de la red en todos los aspectos, tanto culturales y educativos como sociales y comunicativos, pero que como se suele decir en el sabio refran “por garbanzo negro se estropea el cocido”.

¡Pues no estoy de acuerdo!, simplemente quitemos ese “garbanzo negro” de internet para que nuestros hijos puedan disfrutar de sus bondades, y nosotros de la tranquilidad de saber que nuestros hijos están seguros en la red, y para ello no necesitamos hacer ningún máster como expertos informáticos para poder protegerles, simplemente debemos acabar con la llamada “brecha digital” entre padres e hijos y ser conocedores de los peligros a los que se pueden enfrentar en el mundo “virtual” como conocemos los peligros que les acechan en el mundo real.

Los padres no siempre somos conscientes de los peligros de la Red, aunque tenemos, en ocasiones, una cierta percepción de inseguridad, se ha repetido sobre el peligro de la “falsa soledad” en internet de nuestros menores, el peligro de que nuestros hijos puedan ser víctimas de un ciberdepredador que les acose mediante las técnicas del conocido “Grooming”. O simplemente que ellos mismos sean víctimas dentro de su propio círculo o incluso los causantes del problema en los casos de “Ciberbullying” o “Sexting”, los tres peligros “ING” de los menores en la red.

Conscientes de estos tres peligros “principales” es hora de abordar otros peligros de los que no tenemos consciencia pero no por ello se convierten en menos graves.

Me refiero a las experiencias verdaderamente negativas, como por ejemplo durante la navegación, con no más de tres clicks de ratón un menor puede llegar al visionado de imágenes fuertemente pornográficas o violentas. Sólo el 45% de los padres conoce las experiencias negativas que sus hijos han sufrido en uno u otro momento en la Red. El problema es que más del 60% de los menores afirma haber tenido experiencias desagradables y negativas.

.

Muchos padres ni siquiera saben que, aunque sus hijos dediquen poco tiempo a navegar por Internet, luego dejan el computador encendido descargando contenidos, mientras que los padres permanecen totalmente ajenos al contenido que se descargan. Recordemos los “extintos” videoclubs, en ellos encontrábamos distintas secciones y temáticas, en internet pasa igual, podemos disfrutar de los mejores contenidos de animación infantil pero también de las temáticas más duras y atroces de las que jamás podríamos imaginar.

Cambiar las reglas del juego

Los peligros en Internet aumentan conforme crece la exposición de los menores a la Red sin una adecuada supervisión por parte de los adultos, como sucede durante el verano. Por otro lado, esa falta de supervisión puede además provocar que los niños hagan usos inadecuados o poco responsables de la Red. El verano es un momento ideal para cambiar las reglas del juego.

Para los especialistas, la clave del éxito está en el diálogo. Los menores deben saber que pueden confiar en los padres en todo momento, y que van a tener su apoyo. Muchos menores no les cuentan a sus padres los problemas que tienen en Internet por temor a irritarles.

El ordenador debe estar situado en una sala pública como el salón, o una habitación de uso común, aunque eso no va a garantizar que el menor acceda a Internet a través de los computadores de los amigos, o los de un cibercafé o biblioteca. Por otro lado, los padres muchas veces olvidan que el teléfono móvil es una vía de acceso a Internet cada vez más habitual, y que los riesgos que se corren con el teléfono móvil son similares a los de un computador conectado a la red. Por eso es conveniente revisar habitualmente la factura telefónica y la actividad de la cuenta de los menores, y además establecer un lugar común, por ejemplo una mesita auxiliar en el salón, donde se recarguen juntos los teléfonos de padres e hijos. Que en ningún caso se los lleven a solas a la habitación por las noches.

No se trata de prohibir Internet. Esta medida sólo trasladaría el problema a otros computadores. Es mejor explicar a los hijos por qué no deben acceder a determinadas páginas, y qué peligros les acechan si desarrollan determinadas conductas que ellos creen inocuas, por ejemplo, proporcionar información personal en las redes sociales. Hay que dejarles claro de forma razonada que si ponen muchas fotos de la casa, escriben su dirección, y dicen que se van de vacaciones, hay muchas posibilidades de que al volver no queden ni las bisagras de las puertas.

Por suerte, en esta lucha contra los peligros que amenazan a los menores en Internet, los adultos tienen a la tecnología de su parte. Todos los computadores domésticos deberían tener instalado un antivirus y un cortafuegos, porque sólo así se evita que el ordenador sea pasto de redes de ordenadores zombies que usarán la máquina para cometer todo tipo de delitos.

Se les puede explicar a los menores que no conviene que visiten ciertas páginas, pero además el acceso a esas páginas se puede bloquear desde el control de contenidos de navegador o desde un programa de control parental.

De igual manera, es posible establecer un horario de uso. Los programas de control parental permiten fijar la franja horaria en la que puede navegar el niño. Para ello cada hijo deberá tener una cuenta de acceso de usuario con privilegios limitados, ¡JAMÁS COMO ADMINISTRADOR!

Gran parte de los archivos que circulan en las redes de intercambio P2P están contaminados, incluyen programas espía, troyanos, virus y, en muchos casos, el contenido real no tiene nada que ver con el título.

En vacaciones no demos vacaciones a nuestro sentido común, no bajemos la guardia y pongamos en peligro a nuestros menores, potenciemos el uso responsable de internet y como siempre…

Informando y educando podemos hacer que internet sea un lugar más seguro

Un tema muy Interesante!!!

https://youtu.be/m0-2veOkyOY

Netflix presenta su función de Descarga de vídeos

Ya podemos bajar los vídeos de Netflix para verlos cuando no tenemos Internet.

Así lo anuncia netflix en este link, donde indican que los miembros de Netflix en todo el mundo ahora pueden descargar series y películas sin costo adicional.

El objetivo es permitir bajar el contenido que deseamos ver para que podamos verlo mientras estamos en un avión, por ejemplo, o cuando la conexión es muy lenta o muy cara. Solo tenemos que pulsar en el botón de descarga en la página de detalles de una película o serie de TV y podremos verlo más tarde sin conexión a Internet.

No todo el contenido tiene la función activada. Es cierto que muchas de las series y películas ya están disponibles para descargar, como Orange is The New Black, Narcos o The Crown, pero ya están trabajando para incluir más y más títulos.

La nueva función está incluida en todos los planes y está disponible para teléfonos y tablets en Android e iOS, aunque es necesario tener la última versión de Netflix instalada en nuestros móviles.

Touch ID y Touch Bar bajo lupa en el nuevo MacBook Pro

Parece que Apple se ha preocupado por la seguridad de la nueva interfaz, Touch Bar, del MacBook Pro. El desarrollador Steve Troughton-Smith, conocido por sus profundos exámenes de cómo funciona el sistema operativo iOS, reúne algunas de las piezas respecto a la nueva barra táctil del nuevo ordenador de Apple. La reflexión del desarrollador es que existen menos caminos para explotar, es decir, Apple tiene un procesador independiente para gestionar el Touch ID. Los sistemas iOS, watchOS y tvOSson más limitados que macOS, el cual sigue siendo más abierto a ser inspeccionado y manipulado. 

Mientras que iOS ha sufrido exploits, según informa el desarrollador, debería haber menos caminos y posibilidad de exploits que afecten a la Touch Bar, ya que éste actúa como un periférico en lugar de ejecutar aplicaciones directamente. El desarrollador también comenta que cuando Apple anunció su Touch Bar, pensó que debido a la seguridad necesaria con un chip Secure Enclave y la conexión al procesador, ésta no podría ser auto-equipada, pero se equivocó. Gracias al uso de el procesador T1, el Secure Enclave y el sensor Touch ID se encuentran perfectamente integrados. Debido a que la barra táctil se ejecuta por separado, macOS no tiene que estar en estado activo para que un usuario interactúe con Touch ID.

Figura 1: Touch Bar

¿Podría el Touch ID omitir la introducción de una contraseña en un arranque en frío? La respuesta es no. Al igual que ocurre con iOS, Apple tiene una variedad de condiciones bajo las cuales el Touch ID no puede utilizarse, y se debe introducir la contraseña para volver a habilitarlo. Uno de ellos es un reinicio o encendido. La autenticación biométrica a través de una huella dactilar en un Mac plantea los mismos problemas de seguridad que tiene para iOS. La huella digital de una persona puede utilizarse para desbloquear un Mac de igual forma que un iPhone. Apple dice que se podrá desbloquear el Mac con Touch ID, aunque aún no se habilitó la funcionalidad de forma completa. A diferencia de un dispositivo iOS, un Mac tiene sólo una delgada capa de protección a menos que esté apagado, a diferencia de iOSque está asegurado cuando duerme. Sin duda, tendremos noticias y los investigadores intentarán llevar al extremo al Touch ID y a la Touch Bar en los nuevos equipos de Apple.

Información sobre seguridad en los navegaodres Safari y Chrome en 2017

La evolución en el uso de los certificados en Internet y en cómo los navegadores interpretan estos y hacen llegar a los usuarios la información es de vital importancia para la seguridad de este. Cuando un navegador bloquea una conexión que debería ser segura, porque no lo es, es algo realmente bueno. El navegador está evitando que la información del usuario pudiera ser capturada por una tercera parte.

El cifrado web requiere que fabricantes de navegadores y sistemas operativos confíen en las CA, las cuales utilizar criptografía para que cuando un servidor web presente un certificado que le identifique, el navegador pueda verificar realmente esta información. Todo esto es parte de la red de confianza, y requiere que los navegadores, fabricantes de sistemas y CAactúen con integridad y transparencia. Algunas CA tienen problemas con la seguridad, por lo que Apple, Google y Mozilla deben eliminarlas como CA en la que confiar. Hay algunos casos de ejemplo en la historia como Comodo. En Abril de 2015, Apple no actuó rápidamente contra CCNIC, una CA China que parecía estar saltándose las políticas de seguridad. En este caso, Mozilla y Google actuaron rápidamente y quitaron la CA. Apple y Microsoft no hicieron nada. 

Figura 1: WoSign y el informe de Mozilla

Otro caso es el de septiembre de 2015. Mozilladescubrió que la CA WoSign tenía, lo que llamaron, un número de problemas técnicos y de gestión. WoSign tenía un problema que era la emisión de certificados firmados con SHA-1, el cual es un algoritmo de cifrado anticuado que las CA han acordado dejar de emitir. Esto es debido a que SHA-1 se considera roto. Existen más detalles en el infirme que Mozilla presentó sobre este caso. Tras este reporte, y los intentos pobres de WoSign por convencer a Mozilla, fueron eliminados de la lista de confianza el 21 de Octubre.

Apple siguió el ejemplo de manera pública, colocando, incluso, algunos párrafos de texto en la parte superiro de su sitio web dónde se enumeraban los certificados raíz de confianza a principios de octubre. Google y Microsoftsiguieron sus pasos. En Safari, Firefox y Chrome cuando se visita un sitio con un certificado firmado por WoSign o StartCom se genera una advertencia de seguridad. ¿Hacia dónde va esto? Cada año, los fabricantes de navegadores aumentan el tipo y naturaleza de las advertencias que muestran cuando se visita un sitio que está utilizando una seguridad ineficaz o mal configurada. 

Figura 2: Mensaje en Chrome

A partir de enero de 2017, Chrome comenzará a mostrar frases que indiquen al usuario que utilizar tráfico HTTP no es seguro y que no introduzca tarjetas de crédito o credenciales cuando se navegue por HTTP. Google planea pasar gradualmente a mostrar un triángulo de advertencia rojo y no seguro en todas las páginas sin cifrar. De forma transparente, Chrome redireccionará las solicitudes a una versión segura del sitio web si existiese.En Safari también habrá cambios. Los mensajes serán más impactantes y más claros, al estilo Chrome. El año 2017 puede ser el de la concienciación en el uso de certificados correctamente para los usuarios.

Apple Safari fue hackeado en 20 segundos

En el Pwnfest celebrado en Seúl se juntaron algunos de los mejores hackers del mundo. Estos equipos que se concentraron en la ciudad de Korea del Sur tienen como objetivo hackear los principales navegadores y software de las principales compañías tecnológicas. Por ejemplo, Google Pixel fue hackeado en menos de 60 segundos por un equipo denominado Qihoo 360.

Demostraron la posibilidad de, mediante un exploit, conseguir ejecutar código remoto sobre Pixel. Como resultado, obtuvieron 120.000 dólares por el descubrimiento. Del mismo modo, el equipo de Pangu, junto al equipo de JH de China, logró hackear el navegador de Apple Safari en un macOS Sierra. El tiempo que les llevó a estos equipos fue de 20 segundos. Resultaron los primeros en obtener acceso roota la aplicación. Pangu también fue capaz de realizar Jailbreak sobre la última versión de iOS. Al parecer, los resultados del Pwnfest han sido muy buenos para los investigadores, y mejorables para los proveedores.

Figura 1: Ganadores del reto Apple Safari
El esfuerzo llevado a cabo por los distintos equipos, les ha permitido ganar más de 100.000 dólares. En cuando a Apple, Microsofty Google se han embarcado en arreglar o solucionar estas vulnerabilidades tan pronto como sea posible, ya que potencialmente son vulnerabilidades que otros usuarios podrían aprovechar. Los detalles sobre los hackeos no se han hecho públicos, pero los propietarios de las plataformas y los vendedores han sido informado sobre ellos, ya que son vulnerabilidades potencialmente explotables si se descubren o se exponen públicamente.

Shazam no cierra el micrófono en tu macOS y lo oye todo

Han pasado 7 años desde que la aplicación Shazam llegó al mercado y sigue siendo una idea brillante. Solo con presionar un botón se puede saber el nombre de la canción que se está escuchando dónde estemos. El investigador Patrick Wardle, indicó que cuando Shazam no está en ejecución, éste sigue escuchando lo que decimos o se dice a nuestro alrededor. Esto es, claramente, algo que puede afectar a la privacidad de los usuarios. El investigador matizó que esto ocurre en los equipos Mac. 

Antes de levantar la voz al cielo, Wardle matizó sus indagaciones y afirmó que parece ser que Shazam no está haciendo nada malicioso con los datos que puede capturar, es decir, no se guardan, no se procesan o no se envían a sus servidores. Simplemente, sigue a la escucha en vez de cerrar el micrófono. Esto hace parecer que es un error de programación o de diseño de la aplicación, pero tampoco lo es. Shazamcomentó que es intencionado, para que los usuarios no tengan que esperar varios segundos para que la música que se quiere adivinar sea procesada. 

Figura 1: Shazam en Mac

La excusa de Shazam es, cuanto menos, curiosa. El jefe de producto de Shazam, Fabio Santini, explicó que era, solamente, una opción que la compañía hizo en la versión para Mac, y sólo para dicha versión. Además, Santini comentó que, incluso si alguien se hiciera con dichos datos, no podría escuchar las conversaciones personales, ya que Shazam sólo muestra algunos puntos a lo largo de la onda de audio con el objetivo de crear una huella digital o fingerprint que coincida con otras huellas en la base de datos de música de la compañía. Los puntos, no pueden ser invertidos para reconstruir el audio original. Lo que está claro, es que abre una puerta o una motivación para los investigadores, ser capaces de invertir el proceso y poder reconstruir el audio. Seguiremos atentos a esta noticia.

La Touch Bar del nuevo MacBook Pro permite saltar los anuncios de YouTube que hasta ahora no podías saltar

La semana pasada tuvimos oportunidad de conocer el nuevo MacBook Pro con Touch Bar en las oficinas de Apple en Madrid, y en breve esperamos recibir una unidad para analizar.

Mientras tanto, seguimos escuchando nuevas utilidades para la Touch Bar. La última es que podemos utilizar la barra Touch Bar para saltarnos los anuncios de YouTube.

El usuario de Reddit, RomansFiveEight, ha escrito:

En Safari, la Touch Bar muestra un control cada vez que comienza a reproducir un vídeo. Sorprendentemente, puedes utilizarla para pasar un anuncio, incluso uno de los anuncios de 30 segundos que no pueden saltarse al inicio de un vídeo, y comenzar al vídeo.

*********

No conocíamos esta utilidad de la Touch Bar, pero seguro que es muy bien recibida por los usuarios de YouTube. Lo que no sabemos es si durará mucho tiempo o si YouTube eliminará esta funcionalidad – a fin de cuentas, si YouTube no permite saltarse estos anuncios en la web, será por algo.

Winpayloads: Automatizando la generación y el uso de payloads

Winpayloads es una herramienta que nos indica en su descripción que es capaz de generar payloads indetectables para el sistema operativo Windows. La herramienta se encuentra escrita en Python y proporciona una pequeña navaja suiza de automatizaciones útiles en la ejecución del payload y la post-explotación. 

La herramienta tiene diversas posibilidades para la generación de payloads. Como se puede ver en la imagen tenemos la posibilidad de generar varios tipos de Meterpreter y una shell de tipo inversa. Lo curioso, y potente, es que durante el proceso de creación de los payload se puede añadir funciones secundarias en forma de post-explotación. Como se ve en la imagen, una Meterpreter puede ejecutar a posteriori, y de forma automática, un script que permita intentar el bypass del UAC, ejecutar persistencia en el equipo y ejecutar una serie de checks sobre la máquina y devuelvan los resultados.

Para obtener Winpayloads podemos descargarlo desde su Github. Una vez descargado, debemos ejecutar el fichero setup.sh, el cual llevará a cabo la instalación de las dependencias de la herramienta, por si hubiera alguna que no estuviera instalada. 

PoC: Meterpreter con automatización de acciones I

En este ejemplo generamos un binario siguiendo los sencillos pasos de WinPayloads. Al llegar a la opción bypassuac indicamos que sí. Esto genera un script de Powershell y un script de instrucciones de Metasploit. Este último fichero tiene la extensión “rc” y permite configurar de forma automática el binario msfconsole del framework de Metasploit.

Si observamos el fichero bypassuac.ps1 generado, podemos ver como hay un Invoke-Expression de lo obtenido mediante un objeto Net.WebClient que descarga el script de Invoke-BypassUAC desde el repositorio de PowershellEmpire. Es una forma interesante de ejecutar en memoria directamente el script en Powershell y evitar mecanismos de protección en una auditoría. 

En el caso del fichero uacbypass.rc se puede ver el contenido que WinPayloads ejecutará a través de msfconsole -r [nombre fichero RC]. Cargaremos el módulo de post-explotación windows/manage/priv_migrate SESSION=1 y ejecutaremos el módulo de post-explotación denominado windows/manage/exec_powershell SCRIPT=bypassuac.ps1 SESSION=1, siendo el atributo session el adecuado, por lo que quizá hubiera que cambiarlo. 

Como se puede ver a continuación obtenemos una primera sesión con el EXE generado con WinPayloads. Una vez se consigue la sesión, automáticamente, vemos como se ejecuta el script de Powershell y ejecuta el proceso del bypass UAC. Esto consigue devolvernos una nueva sesión, la cual está identificada como segunda sesión, en este caso, ya con privilegios.

En el caso de no utilizar el bypass UAC, se permite utilizar otros scripts como el de persistencia y el de allChecks. 

PoC: Powershell Actions!

WinPayloads dispone de un menú para Powershell y posibles acciones. En la imagen se puede ver cómo se pueden obtener una serie de Payloads inversos: ScreenWatch, Asks Creds o Invoke Mimikatz. Solo por el nombre, podemos ver que son muy ilustrativos. 

En el caso de seleccionar la opción ScreenWatch, se solicita al usuario el puerto en el que nos quedaremos a la escucha, por defecto el 4444. Una vez generado el código codificado en base64, se puede copiar y pegar sobre una máquina con acceso físico, o a través de la explotación de alguna vulnerabilidad a través de, por ejemplo, Metasploit. 

Otras opciones generan scripts preparados para ser lanzados, como Asks Creds que permite realizar un phishing sobre la máquina víctima, en el que se solicita a un usuario que introduzca sus credenciales del sistema. Otra opción es ejecutar un Mimikatz y que los resultados se nos envíen al puerto abierto. WinPayloads es una herramienta interesante que debemos llevar en nuestra mochila de pentesting. Las posibilidades son mucho más amplias, por lo que recomendamos que juegues con la herramienta y veas el potencial de ésta.

Que son los ataques DoS y DDoS

      Los ataques DDoS se están volviendo cada vez más protagonistas de los titulares de las noticias.

     Precisamente una oleada de ciberataques masivos de este tipo, contra el proveedor de Internet Dyn, dejó sin posibilidad de acceso, hace unos días, a los servicios de Twitter, WhatsApp o NetFlix, entre otros.

        Ya se considera que estos ataques son los más graves que se han sufrido en la  última década ya que afectó a más de mil millones de internautas en todo el mundo. Internautas que no pudieron acceder a algo tan cotidiano y necesario como es enviar un WhatsApp, un tuit, o ver su película o serie preferida a través de NetFlix.

     Las preguntas del millón, ¿pero qué es un ataque DDoS?, y lo más importante ¿Cómo explicar este tipo de ataque para que sea comprensible a los lectores, no técnicos, de este Blog?

Bueno, vamos a intentar traducir al “lenguaje de los humanos” que es un “ATAQUE DE DENEGACIÓN DE SERVICIOS” y un “ATAQUE DISTRIBUIDO DE DENEGACIÓN DE SERVICIOS”, que en el mundo informáticos se conocen como “DoS” (Denial of Service) y “DDoS” (Distributed Denial of Service) respectivamente.

      Existen varios tipos de ataques DoS, pero en esta entrada vamos a explicar los que desactivan los recursos de los sistemas “victimas”.

      Para explicar este tipo de ataques, y entender mejor el tema que hoy tocamos en el Blog, tenemos saber primero que es lo que ocurre cuando visitamos una página web o accedemos a un servidor en Internet, que es algo tan sencillo como que un usuario conectado a Internet accede, en este caso, a un servicio Web, como vemos en la imagen.

     El Internauta, como vemos en la imagen, se conecta a Internet a través de la compañía con la que tiene contratado el servicio de Internet, y accede al servicio del que desea disfrutar (visitar una página web, enviar un correo, mantener una conversación de voz, etc.).

     Cada uno de los servicios de los que disfrutamos en Internet, están alojados en servidores. Un servidor es otro “PC” que puede estar en cualquier parte del mundo, y que permite el acceso a los Internautas para hacer uso del servicio que ofrece como ver una página web, hacer uso del correo electrónico, etc.

     Estos servicios en Internet (Servidores) tienen un ancho de banda suficiente para que sus usuarios puedan hacer usos de los servicios que ofrecen. El ancho de banda es la cantidad de datos que pueden ser transferidos desde un servidor o hacia un servidor. A mayor ancho de banda, mayor cantidad de información podrá “circular” por el servidor y al mismo tiempo, que se traduce que más usuarios pueden utilizar ese servidor.

      Para entendernos mejor, el ancho de banda es como el diámetro de un tubo, como si de una cañería de agua se tratase, a mayor diámetro mayor cantidad de datos podrán circular por el tubo de forma fluida. En caso que sea mucha información la que circule, lo hará de forma menos fluida, llegando incluso a poder obstruirse.

  Si un servicio en la red utilizase el tubo de menor diámetro, los usuarios verán ralentizada su “navegación”, al igual que si utilizase el de mayor diámetro en el caso que por el mismo circulase mayor cantidad de información de la que el tubo tiene capacidad, llegando a, en casos extremos, obstruirse.

¿Qué es un ataque de denegación de servicios (DoS)?

    Ya hemos visto que un servidor, o página web, está programado para tener un máximo de ancho de banda, esto se traduce, volviendo a la comparación con el tubo, en el que el servidor o página web que tengan un exceso de peticiones de acceso de forma simultánea, hará que toda esa información fluya al mismo tiempo por su tubo (ancho de banda). Sí estas peticiones superan el límite de conexiones permitidas puede suceder dos cosas:

1.- Que el tubo se obstruya aunque mantendrá un “hilo” muy fino para que puedan circular la información. Esto significará, en nuestro caso “informático” que la conexión de los usuarios se ralentizaría enormemente, incluso a desaparecer de forma intermitente.

2.- Que el tubo se obstruya completamente impidiendo que fluya la información por lo que el servicio (servidor, web, etc.) se desconectará de la red quedando sin conexión para los usuarios.

      Es decir, un ataque de denegación de servicios es el que ocurre cuando desde un dispositivo se lanzan muchas peticiones de acceso a un único objetivo. Estas peticiones de acceso, que superan el máximo de información que puede intercambiar el servicio, conlleva que el acceso al servidor o Web “visitados” sea vez ralentizado, llegando a producirse el cierre temporalmente dado que no puede prestar sus servicios de forma optima.

¿Qué es un ataque distribuido de denegación de servicios (DDoS)?

     Al igual que sucede en el ataque DoS, un ataque distribuido de denegación de servicios también consiste paralizar o ralentizar los servicios de un servidor. Con este tipo de ataques también se envían muchas peticiones de forma simultánea pero, a diferencia del DoS, en esta variedad se realizan desde muchos equipos distintos.

     Normalmente estos equipos forman parte de una botnet, un ejército de equipos zombies infectados por un malware que permite el control de los mismos por un ciberdelincuente, y cuyos propietarios desconocen, con toda seguridad, que sus equipos están siendo utilizados para realizar un ataque.

      En resumen, la diferencia entre un ataque DoS y un ataque DDoS no es más que desde el primer tipo de ataque se realiza desde un único dispositivo mientras que desde el ataque distribuido (DDoS) se realiza desde un número importante de dispositivos.

    Ambos ataques tienen como finalidad el paralizar el funcionamiento de la víctima (servidor, Web, servicio en la red, etc.) sobrecargando el ancho de banda utilizando todos sus recursos hasta deshabilitarlos e inhabilitarlos.Como ocurrió hace poco más de un año, tras el ataque a Dinahosting donde se aloja este Blog, por lo que permaneció fuera de servicio durante más de 10 horas junto a los cerca de 60.000 “vecinos” que comparten servidor con el Blog en Dinahosting.

      En este caso los servidores de Dinahosting, que alojaban los servicios de los usuarios afectados, sufrieron un aumento en el tráfico de más de 130 veces el habitual, como se observa en el siguiente gráfico que el propio servicio técnico del hosting anunciaba durante el ataque.

¿Qué se consigue con este tipo de ataques?

     Los ataques de denegación de servicio no tienen como finalidad el robo de información, puesto que no se accede a los datos almacenados, tampoco generan problemas de seguridad a los servicios víctimas. Pero no por ello deja de ser importante las consecuencias de este tipo de ataques.

     Para mí en particular lo más grave fue que no pude ofreceros, como blog informativo que es, los contenidos de “El Blog de Angelucho” durante el tiempo que ha durado el ataque. Para vosotros, los lectores, lo peor, o tal vez lo mejor (¡espero que no!  ), ha sido el no poder acceder a los contenidos del Blog, puesto que al intentar acceder, en vuestro navegador, solo veías el “fatídicoerror 404″, que significa “Página no encontrada“, como si no existiese, aunque realmente el problema era que, el servidor donde se aloja, tenía un problema de “aforo completo” por demasiadas solicitudes de acceso. ¡Solo eso!. Al no ser un sitio comercial el impacto es mínimo, a parte por supuesto de la molestia.

   Sin embargo, y para que os hagas una idea de la gravedad de este tipo de amenazas, entre los 60.000 afectados por el ataque, se encontraban empresas que prestaban servicios a sus clientes, y que no han podido ser atendido por estar el servidor “caído”, esto ha dañado el buen nombre de estas empresas, incluida la de Dinahosting, si bien, su servicio técnico, ha tenido un ejemplar comportamiento de información y atención al cliente durante el ataque, dignos a tener en cuenta a la hora de contratar servicios de hosting.

     Por otro lado, entre los servicios webs afectados, posiblemente se encontraban tiendas de ventas online, de mayor o menor venta, ¿pero te imaginas las pérdidas económicas que puede ocasionar este tipo de ataques a ciertos negocios? Tiendas que no han podido realizar sus ventas durante diez horas y en época navideña.

  Los ataques de denegación suelen ser utilizados como amenaza y extorsión. Para eludirlos es necesario un previo pago económico para evitar grandes pérdidas por la paralización de los servicios de determinadas grandes empresas. Incluso se lanzan como un acto de competencia desleal, para dejar un tiempo “fuera de juego” a la competencia. Pero también son lanzados como señal de protesta y/o por motivaciones políticas o ideológicas, dentro de lo que se denomina “hacktivismo”.

      Una vez más hemos intentado “traducir” algo técnico para poder hacerlo comprensible a todos vosotros, espero haberlo conseguido y que, a partir de ahora, cuando oigas en las noticias este tipo de ataques, sepas de que te están hablando.

      Estos ataques, a nuestro nivel, no podemos evitarlos, ¿o tal vez sí? Si evitamos ser alistados en un ejército zombi. (ver entrada “Zombies en la Red“)

      Lo que está claro que en Internet…

Nosotros somos nuestra mayor vulnerabilidad, pero también somos nuestro mejor antivirus

Créditos: Angelucho