Que son los ataques DoS y DDoS

      Los ataques DDoS se están volviendo cada vez más protagonistas de los titulares de las noticias.

     Precisamente una oleada de ciberataques masivos de este tipo, contra el proveedor de Internet Dyn, dejó sin posibilidad de acceso, hace unos días, a los servicios de Twitter, WhatsApp o NetFlix, entre otros.

        Ya se considera que estos ataques son los más graves que se han sufrido en la  última década ya que afectó a más de mil millones de internautas en todo el mundo. Internautas que no pudieron acceder a algo tan cotidiano y necesario como es enviar un WhatsApp, un tuit, o ver su película o serie preferida a través de NetFlix.

     Las preguntas del millón, ¿pero qué es un ataque DDoS?, y lo más importante ¿Cómo explicar este tipo de ataque para que sea comprensible a los lectores, no técnicos, de este Blog?

Bueno, vamos a intentar traducir al “lenguaje de los humanos” que es un “ATAQUE DE DENEGACIÓN DE SERVICIOS” y un “ATAQUE DISTRIBUIDO DE DENEGACIÓN DE SERVICIOS”, que en el mundo informáticos se conocen como “DoS” (Denial of Service) y “DDoS” (Distributed Denial of Service) respectivamente.

      Existen varios tipos de ataques DoS, pero en esta entrada vamos a explicar los que desactivan los recursos de los sistemas “victimas”.

      Para explicar este tipo de ataques, y entender mejor el tema que hoy tocamos en el Blog, tenemos saber primero que es lo que ocurre cuando visitamos una página web o accedemos a un servidor en Internet, que es algo tan sencillo como que un usuario conectado a Internet accede, en este caso, a un servicio Web, como vemos en la imagen.

     El Internauta, como vemos en la imagen, se conecta a Internet a través de la compañía con la que tiene contratado el servicio de Internet, y accede al servicio del que desea disfrutar (visitar una página web, enviar un correo, mantener una conversación de voz, etc.).

     Cada uno de los servicios de los que disfrutamos en Internet, están alojados en servidores. Un servidor es otro “PC” que puede estar en cualquier parte del mundo, y que permite el acceso a los Internautas para hacer uso del servicio que ofrece como ver una página web, hacer uso del correo electrónico, etc.

     Estos servicios en Internet (Servidores) tienen un ancho de banda suficiente para que sus usuarios puedan hacer usos de los servicios que ofrecen. El ancho de banda es la cantidad de datos que pueden ser transferidos desde un servidor o hacia un servidor. A mayor ancho de banda, mayor cantidad de información podrá “circular” por el servidor y al mismo tiempo, que se traduce que más usuarios pueden utilizar ese servidor.

      Para entendernos mejor, el ancho de banda es como el diámetro de un tubo, como si de una cañería de agua se tratase, a mayor diámetro mayor cantidad de datos podrán circular por el tubo de forma fluida. En caso que sea mucha información la que circule, lo hará de forma menos fluida, llegando incluso a poder obstruirse.

  Si un servicio en la red utilizase el tubo de menor diámetro, los usuarios verán ralentizada su “navegación”, al igual que si utilizase el de mayor diámetro en el caso que por el mismo circulase mayor cantidad de información de la que el tubo tiene capacidad, llegando a, en casos extremos, obstruirse.

¿Qué es un ataque de denegación de servicios (DoS)?

    Ya hemos visto que un servidor, o página web, está programado para tener un máximo de ancho de banda, esto se traduce, volviendo a la comparación con el tubo, en el que el servidor o página web que tengan un exceso de peticiones de acceso de forma simultánea, hará que toda esa información fluya al mismo tiempo por su tubo (ancho de banda). Sí estas peticiones superan el límite de conexiones permitidas puede suceder dos cosas:

1.- Que el tubo se obstruya aunque mantendrá un “hilo” muy fino para que puedan circular la información. Esto significará, en nuestro caso “informático” que la conexión de los usuarios se ralentizaría enormemente, incluso a desaparecer de forma intermitente.

2.- Que el tubo se obstruya completamente impidiendo que fluya la información por lo que el servicio (servidor, web, etc.) se desconectará de la red quedando sin conexión para los usuarios.

      Es decir, un ataque de denegación de servicios es el que ocurre cuando desde un dispositivo se lanzan muchas peticiones de acceso a un único objetivo. Estas peticiones de acceso, que superan el máximo de información que puede intercambiar el servicio, conlleva que el acceso al servidor o Web “visitados” sea vez ralentizado, llegando a producirse el cierre temporalmente dado que no puede prestar sus servicios de forma optima.

¿Qué es un ataque distribuido de denegación de servicios (DDoS)?

     Al igual que sucede en el ataque DoS, un ataque distribuido de denegación de servicios también consiste paralizar o ralentizar los servicios de un servidor. Con este tipo de ataques también se envían muchas peticiones de forma simultánea pero, a diferencia del DoS, en esta variedad se realizan desde muchos equipos distintos.

     Normalmente estos equipos forman parte de una botnet, un ejército de equipos zombies infectados por un malware que permite el control de los mismos por un ciberdelincuente, y cuyos propietarios desconocen, con toda seguridad, que sus equipos están siendo utilizados para realizar un ataque.

      En resumen, la diferencia entre un ataque DoS y un ataque DDoS no es más que desde el primer tipo de ataque se realiza desde un único dispositivo mientras que desde el ataque distribuido (DDoS) se realiza desde un número importante de dispositivos.

    Ambos ataques tienen como finalidad el paralizar el funcionamiento de la víctima (servidor, Web, servicio en la red, etc.) sobrecargando el ancho de banda utilizando todos sus recursos hasta deshabilitarlos e inhabilitarlos.Como ocurrió hace poco más de un año, tras el ataque a Dinahosting donde se aloja este Blog, por lo que permaneció fuera de servicio durante más de 10 horas junto a los cerca de 60.000 “vecinos” que comparten servidor con el Blog en Dinahosting.

      En este caso los servidores de Dinahosting, que alojaban los servicios de los usuarios afectados, sufrieron un aumento en el tráfico de más de 130 veces el habitual, como se observa en el siguiente gráfico que el propio servicio técnico del hosting anunciaba durante el ataque.

¿Qué se consigue con este tipo de ataques?

     Los ataques de denegación de servicio no tienen como finalidad el robo de información, puesto que no se accede a los datos almacenados, tampoco generan problemas de seguridad a los servicios víctimas. Pero no por ello deja de ser importante las consecuencias de este tipo de ataques.

     Para mí en particular lo más grave fue que no pude ofreceros, como blog informativo que es, los contenidos de “El Blog de Angelucho” durante el tiempo que ha durado el ataque. Para vosotros, los lectores, lo peor, o tal vez lo mejor (¡espero que no!  ), ha sido el no poder acceder a los contenidos del Blog, puesto que al intentar acceder, en vuestro navegador, solo veías el “fatídicoerror 404″, que significa “Página no encontrada“, como si no existiese, aunque realmente el problema era que, el servidor donde se aloja, tenía un problema de “aforo completo” por demasiadas solicitudes de acceso. ¡Solo eso!. Al no ser un sitio comercial el impacto es mínimo, a parte por supuesto de la molestia.

   Sin embargo, y para que os hagas una idea de la gravedad de este tipo de amenazas, entre los 60.000 afectados por el ataque, se encontraban empresas que prestaban servicios a sus clientes, y que no han podido ser atendido por estar el servidor “caído”, esto ha dañado el buen nombre de estas empresas, incluida la de Dinahosting, si bien, su servicio técnico, ha tenido un ejemplar comportamiento de información y atención al cliente durante el ataque, dignos a tener en cuenta a la hora de contratar servicios de hosting.

     Por otro lado, entre los servicios webs afectados, posiblemente se encontraban tiendas de ventas online, de mayor o menor venta, ¿pero te imaginas las pérdidas económicas que puede ocasionar este tipo de ataques a ciertos negocios? Tiendas que no han podido realizar sus ventas durante diez horas y en época navideña.

  Los ataques de denegación suelen ser utilizados como amenaza y extorsión. Para eludirlos es necesario un previo pago económico para evitar grandes pérdidas por la paralización de los servicios de determinadas grandes empresas. Incluso se lanzan como un acto de competencia desleal, para dejar un tiempo “fuera de juego” a la competencia. Pero también son lanzados como señal de protesta y/o por motivaciones políticas o ideológicas, dentro de lo que se denomina “hacktivismo”.

      Una vez más hemos intentado “traducir” algo técnico para poder hacerlo comprensible a todos vosotros, espero haberlo conseguido y que, a partir de ahora, cuando oigas en las noticias este tipo de ataques, sepas de que te están hablando.

      Estos ataques, a nuestro nivel, no podemos evitarlos, ¿o tal vez sí? Si evitamos ser alistados en un ejército zombi. (ver entrada “Zombies en la Red“)

      Lo que está claro que en Internet…

Nosotros somos nuestra mayor vulnerabilidad, pero también somos nuestro mejor antivirus

Créditos: Angelucho

Actualización para el navegador Firefox

La Fundación Mozilla ha publicado una actualización para el navegador Firefox destinada a corregir dos vulnerabilidades de gravedad alta 

El primer problema (CVE-2016-5287) reside en un uso de memoria después de liberar durante la destrucción de actor con service workers. Por otra parte, también se ha corregido otra vulnerabilidad (CVE-2016-5288) que podría permitir acceder a la información en la caché sí e10s está desactivado. Esto podría revelar las URLs visitadas y su contenido.

Para corregir estas vulnerabilidades, se ha publicado la versión Firefox 49.0.2, disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

9 Tips para proteger tu iPhone frente a ataques de hacking

Con Apple y el FBI en la lucha para hackear un iPhone la gente cada vez está más pendiente de cómo proteger sus terminales frente a posibles ataques, a continuación veremos una serie de trucos que la gente de Macworld ha plasmado en una guía y nos recomienda hacer para aumentar la seguridad de nuestros terminales iPhone o iPad frente a cualquier posible atacante. Aquí va una pequeña lista, pero como te puedes imaginar hay muchas más opciones a tener en cuenta.

El primer consejos del que hablaremos es muy sencillo, consiste en mantener nuestro iPhoneactualizado con la  última versión de iOS(incluyendo las pequeñas actualizaciones) ya que es la manera que tiene Apple para parchear brechas de seguridad que puedan ser aprovechadas por algunos hackers. Otra sugerencia para proteger tu dispositivo es la activación de Find my iPhone, esta app viene instalada por defecto en nuestros iPhonesdesde iOS9. En el caso de extraviar nuestroiPhone nos permitirá flashearlo de manera remota desde otro dispositivo con la app o desde la web, eliminando así nuestros datos o información personal. 

Lo más común a la hora de desbloquear uniPhone es encontrarnos con un pin de 4 dígitos, si este método no te parece lo suficiente seguro podrás aumentar la longitud de tu contraseña a 6 dígitos o bien usar una contraseña de alfanumérica, encontrarás esta función en la sección Touch ID y contraseña en los ajustes de seguridad.  

Figura 1: PIN de 6 digitos

Otra alternativa menos común es la activación automática del flasheo del dispositivo si se introduce mal el pin 10 veces seguidas. Esta opción es bastante segura, pero se han dado casos de gente que ha borrado todos sus datos por error (comúnmente bajo los efectos del alcohol). Para evitar perder tus datos por error puedes activar el backup de iCloud, permitiéndote conservar la información en la nube. Si recibes un enlace desconocido o extraño vía email o web no abrirlo podría evitarte unos cuantos problemas, estos links pueden ser muy parecidos links de páginas oficiales, y comúnmente son utilizados para obtener información y claves de cuentas de correo.

Otro tip muy sencillo consiste en gestionar los permisos que muchas apps solicitan, ya que hay aplicaciones que pueden funcionar correctamente sin tener permiso para utilizar el micrófono o la cámara, puedes llevar esta gestión en la sección de ajustes o por medio de algunas aplicaciones disponibles en elAppStore. Siri, el asistente personal de Applenos proporciona una alternativa para controlar el dispositivo en modo manos libres, el principal problema surge cuando se activa Siripor error desde la pantalla de bloqueo ya que en algunos casos ha logrado desbloquear el dispositivo sin utilizar la contraseña. Este problema se puede solucionar desde los ajustes.

Figura 2: Siri escuchando

Lo mismo se puede decir de la función autocompletar de Apple, esta función te permite almacenar información personal y contraseñas para no tener que introducirlos al iniciar sesión en algunas de tus cuentas, esto podría provocar que alguien con acceso a tuiPhone pudiese hacerse con tus contraseñas y códigos de seguridad. Como ya sabréis, durante los últimos años se han publicado fotos comprometidas de algunos famosos en la red, las cuales han sido obtenidas de sus cuentas de iCloud. Esto no quiere decir que el hardware de Apple sea inseguro, de hecho podemos afirmar todo lo contrario, pero nunca se está libre de peligro. 

Qué hacer si Facebook dice que tu equipo tiene malware

Mientras compartes un video en Facebook puedes ser sorprendido por un extraño mensaje alertándote de que debes activar tu antivirus, el texto que contiene el mensaje es el siguiente: “su ordenador ha sido infectado por un virus o malware, usted debería usar un antivirus para eliminar estos programas perjudiciales para su equipo y guardar su información de una manera más segura”. A continuación aparecerán dos enlaces, uno paraMicrosoft y otro para Apple, además de una ventana en la que te pedirá que verifiques que tu antivirus está en funcionamiento y que te encuentras seguro frente a malware.

Tras investigar un poco, Facebook confirmó que esta alerta  se trata de un falso positivo y es posible que no corramos ningún riesgo. El enlace para programas de Windows ayuda a la gente a utilizar programas de limpieza de  malware de compañías vinculadas conFacebook  que pueden descubrir y eliminar extensiones de navegador maliciosas. Lamentablemente estas opciones no están disponibles para Apple.

Figura 1: Mensaje encontrado en Facebook

Entonces, ¿Qué deberías hacer si aparece esta extraña advertencia y quieres investigar si realmente hay  malware en tu macOS/OSX? Un  buen primer paso es comprobar personalmente tus extensiones de navegador. En Firefox, haz clic sobre el botón de menú (botón con tres líneas en la esquina superior derecha de la pantalla), luego pulsa sobre "Extensiones". Para suprimir una extensión pulsa en "Eliminar", y luego reinicia Firefox. EnGoogle Chrome, haz clic sobre el icono de menú (botón con tres puntos en la esquina superior derecha), ve a Más Instrumentos -> Extensiones. Desde allí puedes deshacerte de cualquier extensión que no reconozcas pulsando sobre el icono de la papelera.

Los mejores programas para borrar discos externos

Borra y formatea en FAT, FAT32 o NTFS en un mismo paso

Los discos duros externos son un gran apoyo para respaldar nuestros archivos con copias de seguridad y para seguir guardando documentos, vídeos o fotografías en caso que nuestro disco principal se quede sin espacio. Además, es fácil de transportar, y nos permite compartir archivos o llevarlos encima para acceder a ellos desde cualquier otro ordenador.

Pero conectar y desconectar discos externos o memorias USB en varios equipos tiene su riesgo. Por ejemplo, puedes infectar ese disco con malwaresin darte cuenta y expandirlo en otras computadoras. Para no correr este riesgo, y para evitar que nadie recupere viejos archivos borrados en caso de perder tu disco externo, la solución más drástica pero efectiva es formatearlo.

OCULTAR PUBLICIDAD

Para borrar discos externos puedes usar las herramientas propias de tu sistema operativo. Sin embargo, en ocasiones esto no es posible, en especial en el caso de memorias o pinchos USB. Pero hay programas de terceros tan útiles o más.

HP USB Disk Storage Format Tool

Hewlett Packard, fabricante de ordenadores y periféricos, ofrece su propia herramienta de formateo para borrar discos externos. En concreto,HP USB Disk Storage Format Tool está pensada para eliminar los datos de memorias USB o flash y así volver a usarlas sin problemas.

Es muy sencilla y rápida, y permite dar formato FAT, FAT32 o NTFS, en modo normal o rápido. Además, no requiere instalación, por lo que puedes llevarla en el mismo pincho USB y copiarlo en el ordenador desde el que quieras realizar el formateo.

Tokiwa Fat32Formatter

Si necesitas algo más simple, Tokiwa Fat32Formatter es la respuesta. Como su propio nombre indica, permite borrar discos externos y darles formato FAT32. Como en el caso anterior, en modo normal o rápido.

Su particularidad es que sirve para formatear discos externos de más de 32GB en FAT32, algo que no se puede hacer en Windows por restricciones del propio sistema operativo.

WD Quick Formatter

Si simplemente quieres borrar discos externos en formato NTFS o cuentas con un disco WD (Western Digital), cuentas con una herramienta tan sencilla como la de Tokiwa.

WD Quick Formatter te permite borrar cualquier disco (de WD o de otro fabricante). Puedes darle el formato por defecto (NTFS) o hacerlo compatible con Windows XP (FAT32).

CompuApps SwissKnife

SwissKnife es otra herramienta a tener en cuenta para borrar discos externos. A pesar del diseño de su interfaz, su funcionamiento es tan simple como los programas anteriores.

Compatible con discos de hasta 2TB, permite formatear en FAT, FAT32 y NTFS, en modo normal y rápido.

FAT32 Format

Para terminar, otra herramienta especializada en formatear discos externos de más de 32GB en formato FAT32.

Como ocurre con el programa de Tokiwa o Western Digital, FAT32 Format es muy simple: eliges la unidad, le das un nombre y haces clic en Start para iniciar el borrado. Opcionalmente, puedes activar la opción Quick Formato formateo rápido.
Gentileza
: José María López

Cómo pueden los hackers convertir tu impresora en su arma

Los hackers pueden infectar los aparatos y utilizarlos para un ataque sin tu conocimiento.

En septiembre pasado, la página web de un conocido bloguero en temas de seguridad informática recibió uno de los mayores ataques jamás vistos en internet.

Pero el incidente fue eclipsado pronto por otro ataque contra una empresa francesa, que fue bombardeada con una catarata de datos a una velocidad inusitada de 1.000 gigabits por segundo.

Este tipo de ofensivas se conocen como ataques de denegación de servicio (DDoS) y buscan la caída de una página websobrecargándola con tráfico de internetproveniente de distintas fuentes.

Para ello, los hackers crean lo que se conoce como un "botnet": una enorme colección de aparatos infectados con un troyano y que pueden ser utilizados para un ciberataque sin el conocimiento del propietario.

Lo pueden hacer con computadores personales o laptops, pero recientemente también concámaras web o de CCTV, grabadores de video digital, impresoras, refrigeradores y otros aparatos inteligentes conectados a internet que cada vez más gente tiene en sus casas.

Cómo saber si te están robando el wifi y consejos para evitarlo

La utilización de aparatos domésticos en este tipo de ataques está sucediendo antes de lo que muchos esperaban.

Pero no hay que alarmarse como usuario: las consecuencias son mucho más notables para la página atacada que para el propietario del aparato.

Aun así, para no facilitarle el trabajo a los hackers, merece la pena conocer algo más sobre estos ataques masivos en la red.

La internet de las cosas se compone de dos los aparatos inteligentes conectados a la red.

¿Puedes saber si tu cámara web, grabador de video digital o impresora están atacando a alguien?

Pues no resulta fácil.

Si tu aparato está siendo utilizado para realizar un ataque cibernético, lo más probable es que se ralentice tu conexión a internet.

"Utilizan tu ancho de banda, por eso la conexión se vuelve lenta o se interrumpe. Si tu router está parpadeando muy rápido y no estás haciendo nada que consuma mucho ancho de banda, puede ser indicativo de un ataque", le dijo a BBC Mundo Candid Wueest, analista de amenazas de seguridad en la empresa especializada Symantec.

Es posible que no notes nada si solo estás navegando la red, pero el efecto puede percibirse si estás escuchando música o viendo un video en streaming, porque pueden interrumpirse, y si estás jugando online puede ser que tu sesión se retrase.

Muchos jugadores utilizan servicios de DDoS para vengarse de sus rivales en el juego.

Si sabes mucho de tecnología, podrás seguramente utilizar herramientas de software para comprobar el flujo de los paquetes de datos a través de tu red doméstica.

Pero esto pude ser complicado a no ser que sepas bien qué estás haciendo.

¿Puedo tener problemas si mi cámara web ataca a alguien?

Las consecuencias de un ataque masivo suelen ser mucho mayores para la página o servidor que son objeto de ataque que para el propietario del aparato infectado.

"Para los usuarios es solo una molestia, pero por razones éticas merece la pena limpiar tus aparatos si esto te pasa, y así dificultar que suceda", afirma Wueest.

"Limpiar" un aparato significa eliminar la infección, lo que se logra reiniciándolo y haciéndolo más seguro, cambiando la contraseña que lleva por defecto.

Para bloquear a los atacantes, lo que hay que hacer es actualizar el aparato con el último software disponible y, en su caso, limitar el acceso remoto al mismo si no se necesita.

Si un hacker ha infectado un aparato doméstico, esto significa que puede intentar atacar otros aparatos directamente desde dentro.

"Es similar a cuando utilizas tu smartphone en un punto wifi público. Cualquiera allí puede intentar atacar tu teléfono o escuchar comunicaciones que no estén encriptadas", asegura Wueest.

Así que merece la pena actuar.

¿Por qué están utilizando estos aparatos los hackers maliciosos?

En gran parte, porque son mucho más fáciles de tomar y controlar que las computadoras personales o lo servidores.

Si sufres un ataque, puede ser que tu conexión se ralentice.

Muchos de estos aparatos, que componen lo que se conoce como "la internet de las cosas" utilizan contraseñas fijas por defecto y no tienen instalado ningún software de seguridad.

Incluso mejor para los atacantes: normalmente se mantienen encendidos todo el día y son difíciles de actualizar.

En el pasado, los hackers han tenido quealquilar máquinas secuestradas.

Pero ahora pueden escanear en busca de aparatos vulnerables y crear su propio ejército de aparatos infectados para hacer un botnet.

¿Qué tipo de aparatos buscan?

Las cámaras conectadas a la web son especialmente populares, pero también se hacen escaneos en busca de grabadores de televisión digital, routers domésticos e impresoras. Todos tienen un procesador básico dentro que puede subvertirse para dirigir estos ataques.

Brian Krebs, el bloguero que sufrió el ataque masivo, recopiló una lista de aparatos que habían sido utilizados para bombardear su web con datos.

Los hackers crean "botnets" para infectar gran cantidad de aparatos y realizar sus ataques.

Muchos de las contraseñas y nombres de usuario para acceder a ellos erancombinaciones fácilmente adivinables.

La firma de seguridad Symantec ha elaborado una lista con 118 países del mundo en el que se muestra la cantidad de intentos de infectar a estos aparatos, entre ellos routers, cámaras, grabadoras en alta definición, televisores inteligentes, etcétera.

Para elaborarlo, establecieron aparatos conectados a internet y monitorearon desde dónde se producían los intentos de ataque y qué intentaban hacer los hackers una vez infectado el aparato.

Luego, ordenaron el número de intentos por país para crear un ránking.

Estos son los tres primeros países (datos desde febrero de 2015 a la actualidad):

1. China: recibe el 28,94% de los ataques

2. Estados Unidos: el 18,58%

3. Rusia: el 6,26%

De América Latina, los primeros de la lista por porcentaje de ataques son:

17. México: con el 0.98%

25. Colombia: el 0.47%

28. Argentina: el0.32%

39. Chile: el 0.18%

¿Son nuevos estos ataques?

Los primeros ataques de denegación de servicio en la red se vieron en el año 2000.

La primera ola de bombardeos con datos se produjo contra páginas de apuestas,amenazadas con ser sacadas de la red si no pagaban una tasa.

"Antes, los ataques se hacían a través de las computadoras, enviando correos infectados, etcétera", dice Wueest.

"Pero desde 2015 detectamos una nueva tendencia de ataques a través de estos dispositivos. Cada vez hay más aparatos conectados y la posibilidad de dar con ellos es muy grande", afirma.

"Si tienes un router, la probabilidad de que alguien haya intentado tomarlo es casi del 100%", explica el experto.

Las cámaras conectadas a la red están ayudando a muchos hackers a hacer sus ataques.

¿Cómo puedo evitar que secuestren mi impresora, cámara web o grabador digital de video?

Lo primero es cambiar la contraseña que trae el aparato por defecto.

Muchos aparatos conectados a la red parecen distintos, pero en realidad comparten los mismos chips y el mismo código.

Si es posible, actualiza el software que mantiene el aparato en funcionamiento.

Algunos fabricantes están empezando a lanzar actualizaciones que obligan a los propietarios a elegir contraseñas difíciles, o que cierran las grietas en el software que pueden explotar los hackers.

Sin embargo muchos de los aparatos más baratos, sobre todo las cámaras web, no pueden ser actualizados ni tampoco se pueden mejorar sus ajustes de seguridad.

En algunos casos, con solo apagarlos se elimina el código de ataque.

Aunque cuando lo vuelvas a encender, puede ser que el aparato haya sido tomado de nuevo.

Y desgraciadamente, algunos intentos de secuestrar aparatos vulnerables usan un software que opera a un nivel lógico "más bajo" que la interfaz web del aparato.

En este caso, tendrás que averiguar más en los ajustes del aparato para vaciar todas las contraseñas.

QRLJacking: Cómo te pueden robar sesiones de WhatsApp Web

La ingeniería social es una rama muy antigua de la seguridad informática. El juego del gato y del ratón en el que las víctimas deben estar espabiladas para no caer en la trampa. Hoy queremos hablar de QRLJacking, una técnica que permite, mediante los tokens QRCode, llevar a cabo ataques que pongan en ventaja al atacante. Como ejemplo se utiliza al servicio más famoso que hace uso del QRCode:WhatsApp Web. Antes de nada, decir que el artículo es totalmente educativo y divulgativo. No nos hacemos responsables de un mal uso de esta información.

Figura 1: QRLJacking. Cómo te pueden robar sesiones de WhatsApp Web
Los miembros del proyecto OWASP han publicado una herramienta denominadaQRLJacking para realizar pruebas de ataques de Spear Phishing en sitios que utilizanQRCodes como forma de autenticar a los usuarios. El esquema es sencillo de entender. En primer lugar, se debe configurar un servidor web dónde almacenar un sitio web falso con elPhishing y el código QRCode con el que se quiere engañar a la víctima. El objetivo final del ataque de Spear Phising ha de ser, de alguna forma, lograr que la víctima visite el sitio web falso y que lea el QRCode con el dispositivo móvil. A partir de dicho momento, el atacante tendrá todo lo necesario para obtener el acceso.

Figura 2: Esquema del ataque de QRLJacking
En el caso de WhatsApp, los atacantes buscan mostrar un QRCode de WhatsApp Web a la víctima y que, mediante el engaño, se pueda obtener la sesión de WhatsApp Web de la víctima, autenticada con ese QRCode para poder espiar los mensajes de WhatsApp.

PoC: Montando lo necesario

En primer lugar, se necesita bajar los ficheros de QRLJacking, lo cual puede ser llevado a cabo desde su Github. Como se indica en el propio Github, existen dos partes diferentes en la configuración del ataque: la parte Client-Sidey la parte Server-Side. La parte Server-Sidenecesita que se suba el fichero qrHandler.php a un servidor web. Este fichero es el encargado de transformar el QRCode que se capturará deWhatsApp a Base64. El fichero PHP devuelve un fichero JPG con el QRCode. 

Además, debemos utilizar la imaginación de cada uno para “convencer” al usuario con el mensaje de Spear Phishing de que el QRCodeque se le mostrará en una web preparada debe ser leído con su aplicación de WhatsApp. Para ejemplificar esto, crearemos una web dónde se informe al usuario de que hay un premio y que para participar debe leer el QRCode con la aplicación de WhatsApp.

La parte Client-Side es la parte más Javascript. Necesitamos realizar varias acciones en nuestro navegador para poder capturar elQRCode de WhatsApp y enviarlo al fichero PHPque se encuentra en la parte Server-Side, explicada anteriormente. ¿Qué hay que configurar en nuestro Firefox?

1. En primer lugar, hay que escribir en la barra de direcciones “about:config” para acceder a las configuraciones del navegador. Hay que buscar la directiva “security.csp.enable” y deshabilitarla. 

Figura 3: Deshabilitar security.csp.enable 

Esto es necesario porque la página de WhatsApp Web viene protegida por CSP y si se intenta ejecutar el plugin para inyectar código en ella y capturar el QRCode, el navegador no dejará hacerlo ya que lo impide la política de Content Security Policycon la que viene la web.

Figura 4: Login de WhatsApp Web con Headers CSP

2. Después, utilizando el add-on Greasemonkey hay que cargar el fichero WhatsAppQRJackingModule.js. Este plugin de Firefox se encarga de inyectar el código JS necesario para extraer el QR Code del sitio web de WhatsApp Web y enviarlo al fichero PHP qrHandler.php, que se encuentra en el servidor web. Luego se genera el fichero JPG con la imagen del QR Code extraído y el sitio web falso podría utilizar dicho QR Code. 

3. Por último, se debe acceder al sitio web de WhatsApp Web desde nuestro propio navegador. Se llevará a cabo todo el proceso, explicado anteriormente, y si el proceso de ingeniería social es correcto, se obtendrá la sesión de WhatsApp Web de un usuario.

PoC: Dame tu sesión de WhatsApp Web

La página de WhatsApp Web genera gráficos con datos en formato QRCode cada cierto tiempo, por lo que el código JavaScriptinyectado por el plugin va consultando continuamente para ir extrayendo el QRCodenuevo y reportarlo al servidor que lo mostrará en la página web de Phishing. A continuación, se muestra un QRCode válido en la página deWhatsApp Web. 

Figura 5: QRCode de login para WhatsApp Web
En este instante el plugin de FirefoxGreasemonkey captura el nuevo QRCode y lo envía al servidor dónde se haya configurado la parte Server-Side. Para esta prueba de concepto, el valor base64 del QRCode se envía a la dirección IP del atacante, en concreto al fichero QRHandler.php publicado en el servicio web publicado en esa dirección, que se encargará de generarar el fichero JPG con la imagen del QRCode en la web de Phsihing.

Ahora llega el momento de ver cómo un atacante puede obrar para que la víctima lea elQRCode con su móvil. Para ello, el atacante puede hacer un uso de un esquema de Spear Phishing clásico en el que se indique que se ha ganado un premio, quizá suscripción infinita aWhatsApp o llamadas ilimitadas. Esto ya cae en la imaginación de cada uno. El sitio web que se presenta a continuación refresca cada cierto tiempo el valor del QRCode. Nadie regala nada gratis, es algo que tenemos que tener siempre en la cabeza. Si nos toca un premio en Internet, desconfiemos. 

Figura 6: Página en el servidor de Phishing que actualiza el QRCode de una sesión de WhatsApp Web
Si la víctima cae en este tipo de engaño, el atacante recibe la sesión de WhatsApp en su navegador de Firefox. Es decir, en el mismo sitio dónde el plugin de Greasemonkey está inyectando el código JavaScript para capturar el QRCode original de WhatsApp Web.

Figura 7: Sesión abierta en WhatsApp Web con el QRCode escaneado en el servidor de Phishing
Este artículo solo es una PoC que nos ayuda a ver lo fácil que puede ser, en algunas ocasiones, que caigamos ante las múltiples amenazas que tiene Internet. La ingeniería social sigue avanzando y mejorando ante las nuevas tecnologías que van apareciendo, por lo que la concienciación y el buen uso de éstas es algo vital para estar un poco más seguro en la red. Los ataques de Spear Phishing pueden buscar tus datos, tus credenciales si no tienes 2FA, tus tokens OAuth como ya vimos con Sappo o que valides un QRCode. Ten cuidado.
Autor: Pablo González

Apple y la guerra del cifrado: Tim Cook elogia el cifrado extremo a extremo por ser un "seguro público"

Cuando parecía que la tormenta entre el FBI y Apple, y su posterior guerra, había pasado, elCEO de Apple decide elogiar al cifrado y lanzar un dardo hacia el que quiera entenderlo. Durante una reunión anual para el Consejo de Tecnología de Utah en Salt Lake City, Tim Cookindicó que: "El cifrado es una de las cosas que hacen fuerte la caja de seguridad pública". Su frase ha sido clara indicando que el cifrado hace que las cosas de la gente sean seguras, que es bueno para la seguridad pública. Reafirmó el compromiso inequívoco de su compañía con la intimidad, privacidad e integridad.

"Creemos que tenemos la responsabilidad de proteger a nuestros clientes. Creemos que la úica manera de proteger tanto su privacidad y su seguridad contra un ataque es el cifrado". El mensaje es claro y conciso. Históricamente,Apple ha rechazado las exigencias del gobierno para la creación de puertas traseras en los dispositivos. No es la primera vez que la empresa de Cupertino hace una exposición de este tipo a favor de la  integridad, privacidad y seguridad de sus dispositivos. 

Figura 1: Tim Cook a favor del cifrado extremo a extremo

El ex-candidato presidencial John McAfeerespaldó la reclamación de Apple, señalando que la existencia de puertas abiertas abrirían una "gran puerta" a los piratas y delincuentes, los cuales podrían acceder a la información del dispositivo con suma facilidad. Por supuesto, el debate está, de nuevo, servido. Los defensores de la privacidad están enfrentándose contra los gobierno.

A nivel mundial, el enfrentamiento entre defensores de la privacidad y agencias del gobierno ha comenzado a calentarse sobre este tema. El director del FBI anunció a principios del año que viene, la agencia comenzaría la represión del cifrado en los Estados Unidos, prohibiendo el cifrado extremo a extremo y estableciendo puertas traseras en las aplicaciones de mensajería, con el fin de hacer cumplir una nueva Ley. La guerra continúa.