Cisco también parchó tres fallas de seguridad media en sus ofertas de seguridad de red; y, emitió una solución para un error de alta gravedad en su plataforma para enrutadores de operadores móviles, StarOS.

Una gama de clientes empresariales podría verse afectada por una falla de seguridad de alta gravedad descubierta en los teléfonos VoIP de Cisco. El vendedor emitió un parche el miércoles.

Cisco también parchó hoy dos fallas de seguridad media en su plataforma de administración FireSIGHT para la seguridad de la red; y un problema de gravedad media en Web Security Appliance. Finalmente, emitió una solución para un error de alta gravedad en su plataforma para enrutadores de operador móvil, StarOS.

El más crítico de los defectos, CVE-2018-0341, permitiría la inyección de comandos y la ejecución remota de códigos en teléfonos IP, incluidos los modelos de gama más alta que tienen la funcionalidad de llamadas de video HD. El aviso dijo que gracias a la validación de entrada insuficiente, un usuario autenticado podría enviar comandos de shell especialmente diseñados a un campo de entrada de usuario específico utilizando la interfaz de usuario basada en web que se vincula a los teléfonos. Eso podría resultar en la capacidad de inyectar y ejecutar comandos de shell arbitrarios, abriendo la puerta para que los atacantes escuchen conversaciones, intercepten datos de medios sofisticados, realicen llamadas telefónicas y más.

La vulnerabilidad, encontrada internamente por el proveedor, afecta a los dispositivos de la serie IP Phone 6800, 7800 y 8800 que ejecutan una versión de firmware multiplataforma anterior a la versión 11.2 (1). Aún no se han visto exploits en la naturaleza, dijo Cisco, y el requisito de que un atacante inicie sesión en la interfaz de usuario para lanzar un ataque mitiga de alguna manera la gravedad del problema.

Cisco también envió soluciones para dos fallas de severidad media en el software del sistema Cisco FireSIGHT, que brinda administración centralizada para seguridad de red y funciones operativas para Cisco ASA con servicios FirePOWER y dispositivos de seguridad de red Cisco FirePOWER. Automáticamente agrega y correlaciona la información de amenazas cibernéticas para los usuarios comerciales.

El primer problema es una vulnerabilidad de omisión de políticas de archivos (CVE-2018-0383), que se encuentra en el motor de detección de FireSIGHT. Un atacante remoto no autenticado podría enviar una conexión FTP creada con fines malintencionados para transferir un archivo a un dispositivo afectado; ese archivo podría contener malware creado para desactivar los mecanismos de detección en el sistema o llevar a cabo otras acciones nefastas.

Más información: https://threatpost.com/cisco-patches-high-severity-bug-in-voip-phones/133905/

Saludos.

Detección y respuesta basadas en Ciberinteligencia. Parte 1: Los pilares básicos

Las operaciones de seguridad de hoy en día se asemejan a un “¿Dónde está Wally?” a escala masiva. El extenso y complejo enjambre de sistemas, alertas y ruido general, complica exponencialmente la acción de encontrar la aguja en el pajar. Y por si esto no fuera suficiente, nos encontramos con la problemática de la visibilidad: los operadores ni siquiera disponen de la imagen completa, ya que carecen de parte de la información relativa a la actividad de su infraestructura; o la “mutabilidad de Wally”: el cambio y sofisticación continua de las técnicas de los atacantes (Cybercrime as a service) dificulta aún más las posibilidades de encontrar a “nuestro Wally”.

Con la llegada de GDPR, la mayoría de organizaciones tenemos la obligación de comunicar los incidentes y su impacto asociado dentro de nuestro ecosistema y, además, asumimos el riesgo derivado de las fuertes penalizaciones económicas que prevé la nueva regulación y que exige cambios rápidos e importantes, y.

Desde ElevenPaths, hemos definido una estrategia para afrontar estos retos, construyendo una serie de productos, servicios y capacidades que ponemos a disposición de nuestros clientes para ayudarles a dar respuesta a este nuevo y complejo escenario.

En primer lugar, resolveremos el problema de visibilidad. Para ello, el mejor punto de partida es el endpoint, un campo donde verdaderamente se gana o se pierde la batalla en la mayoría de las ocasiones, siendo el lugar en el que se almacena la información de las organizaciones más anhelada por los atacantes. Son fácilmente atacables e infectables (email, web, programas, disco USB, red local, etc.), e incluso en la mayoría de ocasiones se encuentran fuera del control del IT de nuestra empresa (escenarios de movilidad, conexión a redes no confiables, uso personal, BYOD, etc.).

Actualmente, la mayoría de compañías emplean solamente antivirus tradicionales para proteger sus endpoints. Estos elementos de seguridad han llevado a cabo su función correctamente (bloquear amenazas conocidas) durante muchos años, pero en el escenario actual de sofisticación y mutación de los ataques actuales necesitan un complemento. Aquí es donde entra la nueva generación en protección de endpoint, los denominados sistemas de Endpoint Detection & Response (EDR).

Un EDR ofrece:
Visibilidad completa de lo que está ocurriendo en el endpoint: actividad sobre procesos, memoria, registro, ficheros, actividad en red, etc.
Detección post-ejecución de malware o exploits desconocidos basada en análisis de comportamiento y el empleo de técnicas de inteligencia artificial.
Capacidades de extracción de información forense completa para analizar incidentes, y acciones de respuesta manual y automática (aislar un endpoint, matar procesos/servicios, extraer un fichero o memoria del endpoint, actualización de programas, etc.).
Por tanto, el EDR debe ser, sin ninguna duda, un elemento indispensable dentro de la estrategia de defensa de cualquier organización, pero no el único. Conocer y comprender a nuestros adversarios es crucial si queremos anticipar y detectar nuevos ataques que se escapan de nuestras soluciones defensivas. En este punto entra en juego la inteligencia de amenazas que nos proporciona la información necesaria para poder perfilar y divisar a nuestro particular “Wally”.

Más información: http://blog.elevenpaths.com/2018/07/deteccion-respuesta-ciberinteligencia.html

Saludos.

Armar la vulnerabilidad de ejecución de código AppleKari WebKit (CVE-2018-4192) en el navegador web Safari desde un solo clic de una víctima desprevenida



Más información: http://blog.ret2.io/2018/07/11/pwn2own-2018-jsc-exploit/

Saludos.

¿Recuerdas Timehop, la aplicación de "nostalgia digital"?

No, ni nosotros, pero la compañía todavía tiene una base de datos de aproximadamente 21,000,000 de usuarios que le han dado permiso a la aplicación para revisar sus fotos digitales y publicaciones en las redes sociales, incluso si ya no usan activamente el servicio Timehop.

La idea es que la aplicación se convierta todos los días en un aniversario, recordándole lo que estaba haciendo en este día del año pasado, hace tres años, hace cinco años, y así sucesivamente.

La aplicación fue brevemente popular hace unos años, antes de que Facebook construyera una función similar, conocida como On This Day, en su propia red social.



La buena noticia es que una aplicación de terceros como Timehop ​​no puede funcionar sin su permiso.

La aplicación Timehop ​​debe ser autorizada por usted y provista con claves criptográficas (conocidas en la jerga como tokens de acceso) para acceder a los diversos servicios en línea desde donde desea que raspe fotos y publicaciones.

Los tokens de este tipo de acceso por usuario y por servicio son una gran idea (en particular, este sistema significa que nunca tendrá que compartir sus contraseñas reales con un tercero), siempre y cuando la compañía que tenga los tokens no permita que los ladrones se desvíen y robarlos.

La mala noticia es que Timehop ​​acaba de anunciar una violación de datos.

El 4 de julio de 2018, Timehop ​​experimentó una intrusión en la red que provocó la violación de algunos de sus datos. Nos enteramos de la infracción mientras todavía estaba en curso, y pudimos interrumpirla, pero se tomaron datos. Mientras continúa nuestra investigación sobre este incidente (y la posibilidad de que ocurran otros anteriores), estamos escribiendo para proporcionar a nuestros usuarios y socios toda la información relevante lo más rápido posible.

Timehop ​​dice que la siguiente información fue robada:

Acceda a tokens a sus redes sociales y servicios de fotos en línea. (Todos los 21,000,000 usuarios afectados)
Cualquiera o todos sus nombres de registro, dirección de correo electrónico y número de teléfono. (No todos los usuarios completaron todos estos campos. Por ejemplo, solo 4.7 millones de usuarios, menos de una cuarta parte, entregaron sus números de teléfono).
Timehop ​​ya ha invalidado todos los tokens de acceso que tenía en el archivo, desconectando de manera efectiva cada cuenta de Timehop ​​de cada servicio y evitando que se haga más daño.

Si usted es un usuario de Timehop ​​y desea que la aplicación siga funcionando, deberá volver a conectarla a los diversos servicios que elija.

La compañía dice que no hay evidencia de que ninguno de los datos robados haya sido utilizado con fines delictivos, aunque, por supuesto, cualquier dirección de correo electrónico y número de teléfono robados podrían ser objeto de abuso en el futuro, arrojados en línea gratis o vendidos a otros ladrones a su debido tiempo. curso.

Más información: https://nakedsecurity.sophos.com/2018/07/09/your-social-media-memories-may-have-been-compromised/

Saludos.

En el último Security Day, celebrado el pasado 30 de mayo, ElevenPaths anunció la adquisición de una nueva start-up del sector: Dinoflux. El “dino” es una herramienta de ciberseguridad que genera inteligencia para combatir las diferentes amenazas de malware actuales.

Hoy día nos encontramos con el ambicioso reto de reforzar los dispositivos de seguridad de nuestras infraestructuras. Mantener actualizados los IDS, IPS, firewalls, SIEM, endpoints, etc., es un objetivo primordial para que las alertas contengan la información necesaria para responder antes las amenazas de manera rápida y eficaz.



Más información: http://blog.elevenpaths.com/2018/07/elevenpaths-adquiere-dinoflux-malware-ciberseguridad.html

Saludos.

Los piratas informáticos han violado el sitio web de VSDC, una popular empresa que ofrece software gratuito de edición y conversión de audio y video.

Se han registrado tres incidentes diferentes durante los cuales los piratas informáticos modificaron los enlaces de descarga en el sitio web de VSDC con enlaces que iniciaron descargas desde los servidores operados por los atacantes.

A continuación se muestra una línea de tiempo de los hacks y los swaps de enlaces, según la firma china de seguridad Qihoo 360 Total Security, cuyos expertos detectaron los secuestros la semana pasada.

Primer hack: 18 de junio
Enlace de descarga intercambiado con: hxxp: //5.79.100.218/_files/file.php

Segundo hack: 2 de julio
Enlace de descarga intercambiado con: hxxp: //drbillbailey.us/tw/file.php

Tercer hack: 6 de julio
Enlace de descarga intercambiado con: hxxp: //drbillbailey.us/tw/file.php
Los expertos de Qihoo dijeron que el primer y el tercer secuestro fueron los que afectaron a la mayoría de los usuarios.

Usuarios infectados con tres cepas de malware diferentes
Los usuarios que descargaron el software VSDC en esos días han sido infectados con tres cepas de malware diferentes. Qihoo dice que las víctimas recibieron un archivo javascript disfrazado como software VSDC. Este archivo descargaría un script de PowerShell, que, a su vez, descargaría otros tres archivos: infostealer, keylogger y un troyano de acceso remoto (RAT).

Infostealer es capaz de recuperar contraseñas de cuenta de Telegram, contraseñas de cuenta de Steam, chats de Skype, datos de monedero Electrum, y también puede tomar capturas de pantalla de la PC de la víctima. Todos los datos recopilados se cargan en el servidor de un atacante en system-check.xyz

El keylogger no tiene nada de especial, recolecta las pulsaciones de teclas y las carga en wqaz.site.

Qihoo describe el tercer archivo como un módulo VNC que otorga al atacante control sobre la PC de un usuario infectado. Pero aunque Qihoo no identificó específicamente este malware, Ivan Korolev, un investigador de seguridad con Dr.Web, dice que el archivo era una versión de DarkVNC, una RAT menos conocida.

Más información: https://www.bleepingcomputer.com/news/security/popular-software-site-hacked-to-redirect-users-to-keylogger-infostealer-more/

Saludos.

En muchas ocasiones, necesitamos un sandbox (caja de arena) de nuestro sistema de ficheros, para poder analizar qué ficheros crea, lee o modifica una determinada aplicación o herramienta.

Esto es muy útil para poder realizar diferentes pruebas, en un entorno seguro. De esta manera, podemos analizar desde aplicaciones en las que estemos trabajando, hasta herramientas que hayamos descargado, siendo muy amplio el abanico de posibilidades que nos ofrece.

En Linux, tenemos multitud de formas de hacer esto. Una herramieta, que aún estando en estado Alpha, promete bastante, es FSSB (https://github.com/adtac/fssb). Utiliza un mecanismo bastante curioso:

Primero, intercepta las llamadas al sistema para la apertura, creación, modificación, renombrado, y borrado de ficheros.
Detiene la ejecución del binario en cuestión, crea el fichero en un contenedor (crea un directorio en /tmp por cada ejecución)
Devuelve el control al binario, haciéndole ver que, el fichero que intentaba crear, modificar, abrir, etc. es ese.
Una vez que el binario termina su ejecución, en el contenedor creado, tendremos los diferentes ficheros que ha creado la herramienta. Además, dado que los nombres son aleatorios, tendremos otro con un mapeo de los mismos.
 

Para instalarlo, en el caso de distribuciones basadas en Debian, bastará con disponer de OpenSSL en el sistema. Necesitaremos instalar libssl-dev. En otros sistemas, en principio, con instalar el paquete correspondiente para disponer de las cabeceras y demás de OpenSSL para C, debería ser suficiente.

Hecho esto, bastará clonar el repositorio y compilar el binario:


Una vez compilado, su utilización es muy sencilla. Por ejemplo:


Dispone de varias opciones, que podemos consultar con ./fssb -h:
-d <nombre_fichero> Con esta opción nos va a crear un fichero que contendrá todas las llamadas al sistema que ha realizado el binario.
-o <nombre_fichero> Para grabar la salidas del propio fssb en un fichero.
-r Elimina los ficheros temporales creados al finalizar.
-m Imprime el contenido del fichero con el mapeo realizado.

Un ejemplo de uso:

Primero creamos un archivo, por ejemplo “programa.py”, con el siguiente contenido:


Puede observarse que es un pequeño programa en python que crea un fichero llamado prueba en el directorio actual y, después, lo abre e imprime el contenido. Al ejecutar programa.py, la salida sería:


Podemos comprobar que ha creado un archivo:


Ejecutamos fssb:


Podemos comprobar que no hay ningún fichero creado:


El archivo se ha creado en un directorio temporal:


Aún le faltan muchas llamadas al sistema por implementar y portarlo a otras arquitecturas (sólo está disponible para x86_64, por ahora). Aún así, me ha resultado muy interesante la forma que han tenido de resolver el sandbox. Veamos cómo evoluciona el proyecto.

Saludos.

La mayoría de administradores de sistemas tienen una regla de oro y esta es, si funciona… no lo toques, no es lo más recomendado, pero es bastante extendida y existen muchas razones para que sea tan popular, una de las más comunes es la rotación en el mundo de IT, donde hay poco personal bien formado y los buenos profesionales son arrebatados de una empresa a otra a punta de cartera, esto genera una especie de teléfono roto donde una persona recibe el trabajo de otra, la mayoría de las veces sin mayores indicaciones y con la premisa de que funcione.

Conozco pocos profesionales que se atrevan a bloquear en su red conexiones salientes a puertos como el 80 o el 443, protocolos como el DNS o el ICMP y por eso es común que nos encontremos con escenarios idóneos para probar técnicas de bypass como la que presentaremos el día de hoy (si les llama la atención este contenido, podríamos generar otros bypass camuflando tráfico por el protocolo DNS u otros), que puede ser usada para saltarnos controles como el de portales cautivos, filtros de navegación o incluso sistemas de monitoreo.

Imagen 1: Topología de estudio.


Como se observa en la Imagen 1, la topología por utilizar consiste en:

KL Interno: Host virtualizado con Kali Linux (versión 2018.1)
KL Externo: Host virtualizado con Kali Linux (versión 2018.1)
RA: Router Cisco (IOS Versión 15.2)
RB: Router Cisco (IOS Versión 15.2)
SWA: Sin configuraciones.
SWB: Sin configuraciones.
En los hosts “KL Interno” y “KL Externo”, se descargó (imagen 2) e instaló “Hans – IP over ICMP”. A continuación, se puede observar el proceso realizado en el host “KL Interno”.

Descarga desde https://sourceforge.net/projects/hanstunnel/

Imagen 2: Descarga de Hans desde sourceforge.


Descompresión de los archivos (imagen 3).


Compilación de archivos (imagen 4).


Configuraciones Routers
Se realiza la configuración de RA e ISP (imagen 5).




ICMP (Internet Control Message Protocol)

Es utilizado para realizar notificaciones y diagnostico entre otras funciones en redes IPv4, definido en la RFC 792. El formato de los mensajes ICMP se puede observar en la imagen 6:



Los valores asignados para los campos “Tipo” y “Código”, son responsabilidad de la IANA (https://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml).

 

Ejemplo mensaje ICMP enviado desde KL Interno a RA:

En este ejemplo (imagen 7) se enviaron 5 mensajes de prueba (echo request) y se recibieron 5 respuestas (echo reply).



Se realizó la captura de estos mensajes en el segmento ubicado entre RA y KL Interno como se observa en la Imagen 8.



En la Imagen 9 se puede apreciar los 5 mensajes enviados, con sus correspondientes respuestas.



Al analizar el primer mensaje enviado, se puede observar que este corresponde a un mensaje del tipo 8 (Echo Request) – Código 0. Además, se puede observar que existe un campo de relleno donde se le agrega carga al mensaje ICMP:

Más información: https://www.dragonjar.org/creando-un-tunel-ipv4-sobre-icmp-para-bypassear-controles.xhtml

Saludos.

En este año 2018 ha aparecido un nuevo tipo de malware: los ataques Gen V: ciberamenazas que utilizan tecnología militar robada y que son masivas y multivectoriales. A la vista de este nuevo tipo de amenazas, Check Point ha querido dara conocer,en su informe Security Report 2018, las nuevas tendencias entre los ciberdelincuentes:

El futuro de las empresas está en los smartphones
Con la explosión del BYOD, los dispositivos móviles forman ya parte de las empresas de todo el mundo y, sin embargo, no están tan protegidos como deberían. En los próximos meses seguirán descubriéndose fallos en sus sistemas operativos, por lo que las organizaciones necesitan desplegar en ellos sistemas de seguridad avanzada.

El malware móvil también seguirá proliferando, especialmente los troyanos bancarios, ya que la tendencia de malware como servicio (MaaS), que facilita los ataques, sigue evolucionando y creciendo.

Además, podemos esperar ver a los ciberdelincuentes usar los smartphones y tablets para minar criptomonedas de forma ilegal. Hasta ahora, el criptojacking han afectado a los servidores web y a los PC, pero como la seguridad móvil está menos desarrollada, es probable que se convierta en el nuevo objetivo de estos ataques.

La nube, en peligro permanente
Aunque los entornos cloud son cada vez más comunes entre las empresas, siguen siendo una tecnología relativamente nueva y en constante evolución. Esto proporciona a los ciberdelincuentes una serie de backdoors mediante los que acceder a las redes corporativas.

Otra de las causas de los ataques exitosos a la nube es que se tiene un concepto erróneo sobre los niveles de protección necesarios. Además, muchas organizaciones no tienen claro quién es el responsable de la protección de la nube, dejando la puerta abierta de par en par a las brechas de seguridad.

Más información: https://globbsecurity.com/estos-son-los-ciberataques-a-tener-en-cuenta-este-verano-43434/

Saludos.

¿Qué es un bot? ¿Y un chatbot?

Bot, chatbot, talkbot, chatterbot, asistente conversacional, asistente virtual etc no son más que distintas formas de ponerle nombre a programas informáticos que se comunican con nosotros como si fueran humanos. Así, los bots pueden hacer muchas tareas, algunas buenas, como comprar entradas para un concierto, desbloquear la cuenta de un usuario, u ofrecer opciones para reservar una casa de vacaciones en unas fechas concretas;  y otras no tanto, como realizar ciberataques, o provocar una catástrofe financiera realizando operaciones bursátiles a alta velocidad.

Los bots (diminutivo de “robot”) pueden estar diseñados en cualquier lenguaje de programación y funcionar como cliente, como servidor, como agente móvil etc. Cuando se especializan en una función específica se les suele llamar “Sistemas Expertos”.

Al igual que ocurrió en su día con el desarrollo de la interfaz gráfica frente a la línea de comandos pura y dura, los bots suponen una manera de hacer accesible a cualquier usuario, herramientas y servicios que antes requerían un mayor nivel de competencia digital. Además, como veremos más adelante, son capaces de aprender de nosotros, y tomar decisiones basadas en la información que les proporcionemos.

Los chatbots o bots conversacionales son sistemas de inteligencia artificial que simulan una conversación con una persona utilizando el lenguaje natural. Por ejemplo, son capaces de mantener una conversación de mensajería instantánea de forma muy similar a como lo haría un humano. Así, si estás preparando tus vacaciones en una agencia de viajes online, muy probablemente aparezca una ventana de chat en la esquina inferior derecha ofreciéndote ayuda para resolver cualquier duda que tengas.  A tu disposición 24 horas al día, todos los días del año. Es por ello que su potencial es tan grande. Además, el chat es canal preferido por el público en general, y por los Millennials en particular.

Muchos chatbots están orientados a reemplazar las famosas FAQ (Frecuently Asked Questions) y, por tanto, aparentemente no agregan un gran valor diferencial con respecto al uso de otros canales como la página web o aplicación móvil. Pero, como veremos en este caso práctico, incluso los que realizan esta función, son muchas veces capaces de aprender y aportar valor.

Los bots no son sólo capaces de comprender e imitar el lenguaje escrito. Google Duplex, y Microsoft XiaoIce, por ejemplo, son capaces de realizar llamadas telefónicas para hacer una reserva en un restaurante, pedir una cita en el dentista,  etc como lo haría una persona. Aura, el asistente virtual de Movistar+, te hace recomendaciones en base a tus gustos y te permite ver el partido, buscar una serie, o  cambiar de canal simplemente hablando o chateando con ella. Estas tecnologías también tienen un gran campo de aplicación en entornos empresariales, pudiendo usarse para organizar reuniones de negocio, establecer llamadas de ventas, dar soporte técnico de primer nivel etc.

Más información: https://data-speaks.luca-d3.com/2018/07/como-crear-un-bot-de-forma-sencilla.html

Saludos.