2018-06-21

Google Chrome penalizará las webs que no sean HTTPS

Esta nueva interfaz de Chrome ayudará a los usuarios a comprender que no todos los sitios HTTP son seguros.


Google Chrome se ha centrado en la seguridad que ofrecen sus páginas webs y ya penaliza a las páginas que no usan HTTPS en sus resultados de búsqueda. La próxima novedad llegará con la actualización Chrome 68 en julio, con la que intentara disuadirnos de navegar en páginas con HTTP sin cifrar, y empezará a marcar todos los sitios HTTP como “no seguros” en la barra de direcciones.

Si bien Chrome ya nos avisaba cuando utilizábamos una web poco segura, ahora el mensaje aparecerá siempre que dicha web utilice el protocolo HTTP sin cifrar, lo cual afectará a la gran mayoría de páginas de internet, eso si, no tanto a las que visitamos normalmente.

El protocolo HTTPS ha crecido tanto que hoy en día más del 68% del tráfico de Chrome en Android y Windows se hace sobre SSL/TLS. La cifra es tal, que 81 de los 100 sitios web con más tráfico de Internet utilizan HTTPS por defecto.

Esta nueva interfaz de Chrome ayudará a los usuarios a comprender que no todos los sitios HTTP son seguros.

Según publicaba Chromium en su blog, el uso del protocolo seguro de transferencia de hipertexto en la web ha mejorado a medida que han evolucionado los indicadores de seguridad de Chrome. Es por eso que los usuarios deben esperar que una web, por defecto, sea segura. Y como eso debe ser la normalidad, solo deberían recibir avisos cuando haya problemas.

Fuente | CSO ComputerWorld

2018-06-20

Están intentando robar las tarjetas de crédito almacenadas en instalaciones de Magento

Los datos almacenados por las tiendas electrónicas se han convertido en algo muy codiciado por hackers y cibercriminales, que buscan debilidades y fallos de seguridad en ese tipo de CMS para hacerse, sobre todo, con los datos de pago y las contraseñas de los usuarios.


Eso es lo que está pasando con Magento, e-commerce que según la empresa de ciberseguridad Sucuri está captando la atención de hackers que intentar robar datos como tarjetas de crédito y credenciales de PayPal. Siendo más concretos, hay un agente que se dedica a infectar sitios web Magento con un ladrón de tarjetas de crédito.

Uno de los métodos empleados por los hackers para conseguir los datos mencionados en el párrafo anterior consiste en añadir código adicional en la instalación del CMS. Los investigadores de Sucuri han descubierto una función sospechosa llamada “patch()” en el fichero “includes/config.php”, que nunca debe ser modificado de forma directa por el usuario por cuestiones de seguridad. Las invocaciones a la mencionada función se dedican a escribir contenido obtenido de fuentes externas en archivos específicos relacionados con el proceso de pago o el control de los usuarios.

/app/code/core/Mage/Payment/Model/Method/Cc.php
/app/code/core/Mage/Payment/Model/Method/Abstract.php
/app/code/core/Mage/Customer/controllers/AccountController.php
/app/code/core/Mage/Customer/controllers/AddressController.php
/app/code/core/Mage/Admin/Model/Session.php
/app/code/core/Mage/Admin/Model/Config.php
/app/code/core/Mage/Checkout/Model/Type/Onepage.php
/app/code/core/Mage/Checkout/Model/Type/Abstract.php

Los atacantes recurren a distintas vías para esconder enlaces externos de forma que no sean fáciles de detectar para las personas que carecen de los conocimientos necesarios. El código malicioso introducido ofusca enlaces externos de manera que una simple decodificación de reemplazo de variables en conjunto con la función base64 puede hacerlos legibles.

Un ejemplo de esto sería lo siguiente. Este es el código legítimo:

$link_a = $link.'YTGgAnrv'

Que pasaría a ser este otro, apuntando a Pastebin:

$link_a = 'hxxp://pastebin[.]com/raw/YTGgAnrv';

Esto quiere decir que el código malicioso ejecutado por el CMS atacado procede de Pastebin, una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general. Los expertos de Sucuri informan que se está usando este método para mantener un perfil bajo en los ataques y hacer su detección más difícil. Para dificultar la detección, los hackers incluyen la invocación “error_reporting(0);” para evitar el reporte de errores y así exponer la infección.

El código alojado en Pastebin forma parte del proceso de robo de información comprometedora como las tarjetas de crédito o las contraseñas de los usuarios, datos que luego son enviados a dominios externos para su procesamiento o venta.

Los expertos de Sucuri recomiendan verificar el fichero “/includes/config.php” lo antes posible, algo a lo que hay sumar la comprobación de otros malware que puedan estar afectando a la instalación de Magento y que pueden incluir puertas traseras.

Fuente | Muy Seguridad

2018-06-19

Debian 8 ya se ha quedado sin soporte

Debian 8 ha sido una de las versiones de esta distribución Linux más apreciada por los usuarios y los administradores de sistemas. Esta distro fue lanzada en abril de 2015 y, como las demás versiones, contaba con un soporte de 3 años, soporte que este mismo fin de semana ha llegado ya a su fin, por lo que es urgente que, si seguimos utilizando esta distribución, actualicemos cuanto antes a la versión actual Debian 9.
 

A partir de hoy, la mítica versión de Debian 8 ha llegado al final de su ciclo de vida, por lo que esta distribución Linux dejará de recibir actualizaciones de seguridad periódicas.

Esto significa que, a partir de hoy, esta distribución está totalmente abandonada, y los distintos fallos (de estabilidad o rendimiento), así como los fallos de seguridad que se puedan descubrir para esta distro no serán solucionados. Eso sí, si por algún motivo algún usuario no puede actualizar, esta distro seguirá siendo mantenida por el equipo de Debian LTS, equipo que ha estado actualizando Debian 7 hasta el pasado 31 de mayo y que seguirá lanzando parches para los fallos más críticos hasta el 30 de junio de 2020.

De todas formas, esto no es recomendable dado que este grupo de desarrolladores no corrigen todos los fallos de seguridad (ni lanzan más actualizaciones de mantenimiento), sino que solo lanzan parches para las vulnerabilidades más críticas.

  Escitorio de Debian

Cómo actualizar de Debian 8 a Debian 9 para seguir recibiendo soporte y actualizaciones de seguridad

La versión más reciente de Debian que aún recibe actualizaciones de seguridad es Debian 9.4. Aunque si queremos podemos descargar la imagen ISO de forma totalmente gratuita para realizar una instalación limpia de esta distribución Linux en nuestro sistema, si ya tenemos instalada y configurada una versión anterior y no queremos volver a pasar por esto siempre podemos actualizar nuestro Debian 8 al nuevo Debian 9.4 para, además de aprovecharnos de las mejoras que llegaron con esta distro (que no son pocas) poder seguir recibiendo actualizaciones de seguridad. Lo primero que debemos hacer es comprobar nuestro sistema para buscar y eliminar paquetes obsoletos que puedan dar problemas en la actualización. Para ello abriremos un terminal y ejecutaremos:

  • aptitude search ‘~o’
Una vez eliminados los paquetes ya obsoletos, lo siguiente será actualizar la distribución. Para ello, desde la misma terminal, simplemente ejecutamos los siguientes comandos para actualizar los repositorios, las aplicaciones instaladas y, por último, los paquetes de la distro.

  • apt-get update
  • apt-get upgrade
  • apt-get dist-upgrade

Una vez finalice el proceso ya tendremos nuestra distribución actualizada, aunque antes de dar el proceso de actualización por acabado debemos ejecutarlos siguientes comandos para asegurarnos de que tenemos todos los paquetes instalados (para que no haya conflictos) y para cambiar los repositorios de software de Jessie a Stretch:

  • dpkg -C
  • sed -i ‘s/jessie/stretch/g’ /etc/apt/sources.list
  • apt-get update
Ahora sí podemos reiniciar ya nuestro ordenador para que, cuando vuelva a arrancar, estemos utilizando ya el nuevo Debian 9. Esta versión tendrá soporte básico hasta 2020, y un soporte extendido de dos años más, hasta 2022.

Fuente | RedesZone

2018-06-18

Detectados contenedores maliciosos distribuidos a través de Docker Hub

544.74 Monero, lo que al cambio son unos 67.863€ a la hora de escribir este artículo. Es la cantidad que el atacante detrás de la cuenta de Docker Hub "docker123321" ha sido capaz de minar a lo largo de un año a través de imágenes maliciosas distribuidas a sistemas expuestos y, lo que es peor, usando la propia plataforma de Docker.



Durante el último año, investigadores de varias empresas (Kromtech, Fortinet y Sysdig) han estado siguiendo de cerca este caso, hasta que finalmente el pasado 10 de mayo Docker Hub cerró la cuenta maliciosa. Detrás deja un total de 17 imágenes Docker maliciosas que habían sido descargadas en más de 5 millones de ocasiones.

Linea de tiempo del ataque. Obtenida de Kromtech Security Center.

¿Cómo funciona Docker Hub?

Para explicar qué es Docker Hub, primero tenemos que ver algunos conceptos básicos de Docker. Sabemos que se basa en la ejecución de contenedores que aíslan, o al menos lo intentan, un proceso particular del sistema operativo base (ojo, no se trata de virtualización). La especificación de estos contenedores corre a cargo de las llamadas imágenes, que son plantillas donde se define qué hace exactamente un contenedor. En definitiva, un contenedor es una instancia en ejecución de una imagen. 

Aunque se puede construir una imagen desde cero, lo ideal es basarse en otra ya definida  y personalizarla. Por ejemplo, se puede crear una imagen que ejecute Apache 2 basándose en una imagen del sistema operativo Debian, instalando paquetes y configuraciones, ya sea a mano o a través de un Dockerfile. Este fichero contiene un conjunto de directivas que va a definir exactamente como queremos que se comporte el contenedor que genera esa imagen. Se pueden definir, entre otras, la imagen en la que se basa, los puertos que queremos que el contenedor abra, los paquetes que va a tener instalados o el comando que va a ejecutar. 

Una vez configurada y construida la nueva imagen, se pueden distribuir utilizando repositorios. Docker Hub es el repositorio oficial y, de hecho, está totalmente integrado en el motor Docker. Hagamos una prueba y ejecutemos 'sudo docker run -ti hello-world':



La ejecución de este contenedor nos dice exactamente qué ocurre entre bambalinas: en resumen, se busca la imagen local del contenedor que queremos ejecutar. De no existir, se busca automáticamente en Docker Hub, se descarga y se ejecuta.

¿Y quién puede publicar imágenes en Docker Hub? Cualquiera
, siempre que tengamos una cuenta cuya creación es gratuita. De hecho, es el principal distribuidor de imágenes para Docker.


Medidas de seguridad en Docker Hub

Existen con ciertos "peros". Por un lado, desde Docker 1.8 se implementa el firmado de imágenes, que nos permite asegurar que la imagen que estamos descargando es precisamente la que queremos. Sin embargo, esta medida debe configurarse en el cliente y no está activada por defecto.

En segundo lugar, hasta hace poco se realizaban análisis automatizados de seguridad para las imágenes subidas a Docker Hub, aunque solo estuvo disponible para los contenedores propios. Desde hace unos meses la funcionalidad no está disponible. En la descarga, ahora mismo, no hay ningún sistema ni señal que te indique si la imagen que descargas puede tener un comportamiento malicioso o no.

Pero los usuarios de Docker no ejecutan una imagen desde Docker Hub así como así...


No deberían. Al final, es como ejecutar un proceso desconocido en nuestro equipo y, lo que es peor, con permisos de superusuario y acceso a nuestro sistema base. Por ejemplo, una de las imágenes maliciosas que se han encontrado montaba como volumen el directorio '/etc' del sistema base y añadía entradas en el fichero crontab para ganar persistencia. Pero por supuesto, un usuario sin experiencia podría encontrar una imagen que se promete interesante y ejecutarla sin una revisión de lo que hace en realidad. 


Más allá de las posibles estrategias de ingeniería social, lo que sí señalan los investigadores mencionados es que existen gran cantidad de sistemas Docker y Kubernetes (una plataforma de orquestación para Docker) que presentan fallos de configuración y están totalmente expuestos, permitiendo que reciban comandos de administración externos.


En resumen, ¿qué ha ocurrido?

Un señor con no muy buenas intenciones ha creado un repositorio en Docker Hub y ha ido publicando varias tandas de imágenes maliciosas, algunas para minar criptomonedas, a lo largo de un año.


Aunque la distribución en este caso concreto no está clara, los investigadores manejan datos de otros ataques en los que se buscaban sistemas Docker y Kubernetes expuestos a Internet (a través de escaneos automatizados y/o mediante plataformas como Shodan) y con una configuración de autenticación pobre. Una vez localizados, se les lanzaba automáticamente comandos de gestión que permitieran la descarga desde Docker Hub de las imágenes maliciosas en el sistema.


Detalle de uno de los scripts utilizados para desplegar los contenedores maliciosos. Obtenida de Kromtech Security Center.

Los contenedores se hacían pasar por sistemas como Tomcat o MySQL para pasar desapercibidos. Además de aquellos que minan Monero, otros contenedores publicados buscaban tomar el control de la máquina base a través de la apertura de shells inversas o añadiendo las claves de acceso SSH del atacante a las permitidas para el usuario root.


Con este esquema, el usuario "docker123321" ha conseguido más de 5 millones de descargas de sus contenedores, minando un total de 544.74 Monero a lo largo de un año. Después de varias notificaciones de particulares y empresas de seguridad, el usuario ha sido finalmente eliminado.

Fuente | una-al-dia

2018-05-22

Microsoft bloquea Flash en Office 365 para que sea más seguro

Hemos visto progresivamente cómo ha ido desapareciendo Flash de diferentes plataformas con el paso del tiempo. Hoy nos hacemos eco de la reciente noticia de Microsoft que acaba de anunciar la intención de bloquear el contenido Flash en Office 365. Eso sí, no va a ser de forma inmediata. Todavía quedan unos meses para que llegue ya que está previsto para enero de 2019. Tampoco afectará a todos los contenidos.


Office 365 bloqueará Flash


El bloqueo se aplicará a clientes de Office 365. No afectará, por tanto, a aquellos usuarios que cuenten con Office 2010, Office 2013 o la versión Office 2016. Así lo ha confirmado la compañía.

Esto significa que Office 365 evitará que el contenido de Flash, Shockwave o Silverlight se reproduzca en documentos de Office. Se trata de un bloqueo completo. Sin embargo únicamente se bloquean los contenidos de Flash, Shockwave y Silverlight integrados con la función “Insertar objeto”, pero no los incorporados a través de “Insertar vídeo en línea”.

Estas dos funciones, “Insertar objeto” e “Insertar vídeo en línea”, se diferencian en que el primero utiliza la tecnología OLE (enlace e incrustación de objetos, en sus siglas en inglés) y el segundo integra contenido utilizando para ello una función de Internet Explorer.

Las razones del bloqueo de Flash en Office 365 son variadas. Desde Microsoft explican que los ciberdelincuentes han abusado continuamente de este mecanismo para introducir malware. Además, aseguran que los clientes de Office 365 realmente utilizan muy poco esta función.

Desde la compañía también han informado de que esta decisión estaba tomada después de que Adobe anunciara el final de Flash para el año 2020. Microsoft dejó de soportar Silverlight en 2016, y la fecha final de soporte para clientes empresariales está programada para el 2021.

Eso sí, para aquellas compañías que necesiten incrustar o ver contenido en Flash o que esté basado en Silverlight en Office 365, podrán acceder a una página de soporte donde encontrarán información para poder reactivar estas funciones. La idea es que no afecte a los usuarios.

El uso de Flash ha bajado mucho


Como sabemos, el uso de Flash ha disminuido notablemente en los últimos años. Si tiramos de datos concretos, Google Chrome afirmó recientemente que en 2014 el número de usuarios que cargaban al menos una página en Flash cada día era del 80%. En la actualidad, en 2018, esta cifra se ha reducido enormemente hasta representar únicamente un 8%. La tendencia es que siga bajando.

En definitiva, Microsoft va a eliminar Flash en Office 365 entre otras razones para aumentar la seguridad de los usuarios. Una manera añadida de evitar posibles ataques de malware dirigidos a sus clientes. En artículos anteriores hemos visto casos de vulnerabilidades de Flash que afectaban a los usuarios.

Una de las mejores formas de evitar ser víctimas de este tipo de ataques es tener actualizados nuestros sistemas y programas. Con los parches de seguridad pueden corregirse algunas vulnerabilidades y evitar ser explotadas por parte de los ciberdelincuentes.

Fuente | RedesZone

2018-05-21

Un grupo de 'hackers' crea aplicaciones en Google Play para rastrear desertores

Según advierte la compañía McAfee, el grupo de hackers Sun Team estaría detrás de la propagación de 'malware' en aplicaciones de Google Play para rastrear a desertores de Corea del Norte y sus contactos.


Investigadores de la compañía McAfee Labs han descubierto que un completo escuadrón de hackers de Corea del Norte habría utilizado aplicaciones con malware en la Google Play Store para localizar a desertores que abandonaron Corea del Norte. Una vez que el malware es descargado y se instala en los dispositivos, procede con la copia de contactos, fotos y mensajes de texto del dispositivo de la víctima y los envía al grupo de piratas informáticos de Corea del Norte. Se trata de tres aplicaciones infectadas, dos de ellas relacionadas con la seguridad del dispositivo, las cuales se denominan AppLockFree y Fast AppLock, y una tercera que ofrece información relacionada con los ingredientes de la comida.

Los medios surcoreanos ya informaron el pasado mes de enero a los piratas informáticos que utilizaban la aplicación de mensajería KakaoTalk y falsas cuentas de Facebook para enviar objetivos a los enlaces URL Goo.gl de Google, los cuales llevaron a las víctimas a aplicaciones de cebos que podrían ser de interés para desertores y periodistas norcoreanos. Estos incluyen "Ore por Corea del Norte" y una aplicación de atención médica llamada "Asistente de Sangre".

Los analistas de la compañía McAfee que investigan los informes que descubrieron una carpeta en las cuentas de Dropbox y Yandex llamada "Sun Team Folder", lo que les lleva a la llamada del grupo "Sun Team". Después de que el ataque fuese descubierto, se alentó a los aspirantes a desertores a instalar solo aplicaciones de Android de Google Play.

Según McAfee , el mismo grupo ahora habría actuado valiéndose de la tienda de aplicaciones Google Play para engañar a las víctimas para que instalaran aplicaciones maliciosas. Los atacantes todavía usan cuentas falsas de Facebook para propagar enlaces, pero en lugar de llevar a las víctimas a un sitio web al azar, las víctimas se dirigen a una parte oficial de Google Play.

La pasada semana, nos hacíamos eco de la noticia que la red social Facebook, habría eliminado más de 583 millones de cuentas identificadas como falsas de su plataforma a lo largo del primer trimestre del año. Facebook dice que 200 aplicaciones también fueron suspendidas tras el informe que revela que 3 millones de usuarios se vieron afectados por otra aplicación de captura de información. La técnica explota una función diseñada para ayudar a los desarrolladores de Android a lanzar aplicaciones beta en Google Play para que los usuarios puedan indicar sus comentarios.

Google eliminó las aplicaciones tras recibir una notificación de McAfee. Si bien, cada una de las tres aplicaciones solo tenía 100 descargas, los desertores de Corea del Norte que instalaron las aplicaciones maliciosas habrían enviado automáticamente solicitudes de instalación a sus contactos, lo que podría brindar al atacante una idea de sus conexiones.

Enlace | CSO Computer World

2018-04-30

Inscripciones abiertas para el evento h4ck3d 2018

Los días 15 y 16 de Mayo del 2018, vamos a estar celebrando h4ck3d Security Conference 2018.

Figura 1: evento h4ck3d 2018

Un evento sobre Ciberseguridad, organizado por la empresa Securetia y la Universidad de Palermo.

Vamos a tener varias exposiciones de gran nivel. La participación es totalmente gratuita, simplemente requiere la inscripción en la web del evento, la cual es la siguiente:

https://www.h4ck3d.org

h4ck3d 2018


Día 1 (Martes 15 de Mayo)

10:00 | Registración y Apertura del Evento


10:30 | Ciberseguridad - Una Visión Estratégica

Expositores: Enrique LarrieuLet / Héctor Calderazzi

11:20 | Break


11:35 | Gestión de la Seguridad en 2018 ¿Drama o Comedia?

Expositor: Marcela Meyorin Lorenzo

12:25 | Panel de Ciberseguridad en Instituciones Financieras

Panelistas: Diego Esteve / Pablo Sarubbi / Claudio Colace

13:30 | Almuerzo


14:30 | Firma Digital - Uso y Alcances Legales

Expositor: Gerardo Dionofrio

15:20 | Servicios de Ciberseguridad de Alto Rendimiento

Expositor: Fabian Martinez Portantier

16:00 | Break


16:15 | El Desafío de Entrenar Especialistas para un CSIRT

Expositor: Juan Bosoms

17:00 | Security StrateSHIT - Si No Cambiamos, Nos Cambian

Panelistas: Oscar Schmitz / Ulises Kandiko / Daniel Piazza / Pablo Huerta / Mario Cammisa

18:00 | Cierre Día 1


Día 2 (Miércoles 16 de Mayo)

10:00 | Registración y Apertura Día 2


10:30 | Forzando Brutalmente MD5

Expositor: Carlos Pantelides

11:20 | Break


11:20 | Blockchain - Problemática Latente

Expositor: Javier Vallejos Martínez

12:25 | Abusando de Tecnologías Operacionales

Expositores: Ezequiel Fernandez / Bertin Jose

13:15 | Almuerzo


14:15 | Exominería de Criptomonedas

Expositor: Eric Balderrama

15:05 | HTTP CSP: Errores Comunes y Lecciones Aprendidas

Expositor: Maximiliano Soler

15:45 | Break


16:00 | De Zombies a Granjas de Minería: Radiografía de Ataques Digitales

Expositora: Denise Giusto

16:50 | Demo de Herramientas de Seguridad

Expositores: Varios

17:45 | Cierre del Evento y Sorteos


No dejen de inscribirse y participar de este interesante evento de capacitación y de entender un poco más como estamos enfrentando la ciberseguridad.

Saludos!

Informes e Inscripciones | h4ck3d Security Conference 2018

2018-04-24

Recibir un ataque, es una cuestión de tiempo

Recibir un ataque en algún servicio expuesto en Internet sobre sobre un servidor al cuál tenemos acceso, es solo una cuestión de tiempo.


Independientemente de cuál sea el servicio o incluso done se encuentre alojado, por A o por B, hoy o mañana, va a ser atacado, quizás por algún ciberdelincuente o quizás por alguna herramienta (robot) pero lo cierto es que intentarán buscar más información o apoderarse del error.

La imagen que les compartí, no corresponde a ningún Honeypot, es una web en WordPress con algunas visitas diarias y que gracias al uso de la herramienta goaccess nos permite visualizar el archivo Log de Apache2 mucho más intuitivo.

Si fueron observadores, notaron que existen varias peticiones con resultado 404 buscando algunos archivos muy interesante.

Recuerden: Su servicio puede ser muy popular, alcanzar muchas visitas, o algo simple y solo con algunas visualizaciones. Pero lo cierto es que recibir un ataque, es una cuestión de tiempo.

Saludos.

2018-04-16

Administrando #Docker con Portainer.io

Estás iniciando en #Docker y te resulta muy complicado? A todos, de alguna u otra manera pasamos por esto. Nuevas plataformas, nuevas tecnologías, muchos comandos en la consola, y aunque muchas veces no parezca, claro que es complejo y complicado de entender a la primera.

Navegando un poco por la web, encontré una excelente herramienta de Administración y Despliegue para Docker llamado Portainer.io

Figura 1: Administrando Docker con Portainer.io

Portainer.io es un Dashboard Web que permite realizar la administración, monitoreo y despliegue para contenedores Docker con la facilidad de no tener que recordad la secuencia de comandos para cada actividad.

Portainer.io se encuentra publicado en Docker Hub y está disponible para que comencemos a trabajar de la siguiente forma:

$ docker volume create portainer_data

$ docker run -d -p 9000:9000 -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer

De esta manera, lo que hacemos es descargar la imagen desde Docker Hub y habilitar el puerto 9000 para ingresar a su administración.

Una vez allí, vamos a encontrar los estados de cada contenedor, sus archivos Logs en tiempo real, un acceso directo a su consola de administración.

Ademas, desde Portainer.io es posible realizar la administración de las redes, imagenes, volúmenes y una colección de templates disponibles para realizar el despliegue de forma simple.

Figura 2: Administración de Templates en Portainer.io

No dejen de probar esta excelente herramienta de administración para iniciar rápidamente en el universo Docker.

Saludos!

Enlace | Portainer.io

2018-03-29

Secure Podcast

Desde hace un par de semanas, unos grandes amigos dieron inicio un interesante proyecto que hoy les quiero compartir. Se trata de Secure Podcast, un podcast en español sobre Infosec.

Secure Podcast

¿Por qué un Podcast?


Un día nos reunimos con la idea de compartir un momento y charlar. Nos gustaba la idea poder seguir compartiendo pero dejando una huella. Aqui podrás escuchar novedades, temas de interés, opiniones de especialistas y divagues.

Ya se encuentran los dos primeros episodios, y dentro de un par de días van a estar publicando el siguiente, y así un episodio nuevo cada 15 días, con excelentes invitados, muy buena onda y toda la información sobre lo acontecido en la Seguridad Informática.

Les envío un gran saludo a mis grandes amigos Emiliano Piscitelli @emilianox, Maxi Soler @maxisoler y Diego Bruno @BlackMantisSeg y éxitos para este proyecto.

No dejen de seguirlo en las Redes Sociales (Facebook y Twitter) y en su Canal de Telegram!

Enlace | Secure Podcast

2018-03-28

TLS 1.3 es el nuevo estándar para Internet

TLS 1.3 es la nueva versión de este protocolo criptográfico cuya principal finalidad es permitirnos establecer conexiones seguras a través de Internet. La versión actual de TLS (protocolo sucesor del SSL) es la 1.2, versión definida en 2008 y que, hasta la fecha, ha estado protegiendo nuestras comunicaciones. Sin embargo, esta nueva versión 1.3, que hasta ahora no es más que un borrador, ya está un paso más cerca de convertirse en el nuevo estándar de Internet, y es que acaba de recibir la aprobación de la IETF.

TLS 1.3 es el nuevo estándar para Internt

La IETF (Internet Engineering Task Force) es una organización encargada de aprobar los nuevos estándares de Internet. Tras 4 años de desarrollo, y un total de 28 borradores publicados, finalmente esta organización ha decidido que el desarrollo de TLS 1.3 ya está finalizado, y que será este último borrador el que pasará a formar parte del nuevo estándar de Internet.

En comparación con TLS 1.2, algunas de las novedades que se han establecido con este nuevo estándar de seguridad para Internet son:


  • Modo 0-RTT.
  • Se elimina la hora GMT.
  • Soporte ECC sin curvas elípticas.
  • Un nuevo handshake con el fin de ofrecernos un modo 1-RTT.
  • Se eliminan los grupos DHE.
  • Eliminado el soporte para compresión de datos, intercambio de claves RSA y DH y todos los sistemas de cifrado que no sean AEAD.
  • TLS 1.3 será un protocolo con mucha más seguridad y mucha menos latencia que sus predecesores
  • Sin duda, las principales novedades de este nuevo estándar es que elimina todo tipo de algoritmos inseguros, como el MD5 y SHA-224, a favor de nuevos algoritmos mucho más seguros e imposibles de romper hoy en día como ChaCha20, Poly1305, Ed25519, x25519 y x448). Además, las negociaciones para establecer las conexiones son mucho más rápidas y seguras gracias a las nuevas funciones como TLS False Start y Zero Round Trip Time (0-RTT).


Además, una función importante es que esta versión es invulnerable a los ataques que intentan forzar el uso de una versión inferior de TLS (a fin de poder aprovecharse de las debilidades de ella), acabando definitivamente con este vector de ataque.

TLS 1.3 no tendrá una puerta trasera, aunque sí se ha intentado incluirla
El sector financiero, las grandes empresas de Internet y los gobiernos han estado intentando incluir una puerta trasera en este nuevo estándar que les permitiera descifrar el tráfico cifrado en caso de querer controlar las comunicaciones. Sin embargo, la IETF ha sido clara en su propósito, y ha analizado todos los aspectos del borrador a conciencia para garantizar que esto no ocurría.

Cómo utilizar ya mismo las conexiones TLS 1.3 en nuestros navegadores web
Aunque aún menos del 1% de los servidores es compatible con este nuevo estándar de seguridad, los principales navegadores y sistemas operativos modernos sí que lo soportan desde hace ya algún tiempo, aunque no es una opción que venga activada por defecto, al menos de momento.

Si queremos empezar a utilizar este nuevo estándar os recomendamos leer el siguiente artículo donde explicamos cómo habilitar el protocolo TLS 1.3 en Google Chrome y Firefox. Otras aplicaciones directamente relacionadas con la seguridad, como OpenSSL 1.1.1, también han implementado ya el uso de este nuevo protocolo seguro.

Fuente | RedesZone

2018-02-06

Nuevo #WordPress 4.9.3, actualización de mantenimiento

Ya se encuentra disponible una nueva versión de mantenimiento WordPress 4.9.3.

Figura 1: WordPress 4.9.3

Esta versión de mantenimiento soluciona 34 fallos de la versión 4.9, incluyendo soluciones a los registros de cambios del Personalizador, widgets, el editor visual, y compatibilidad con PHP 7.2. Para ver la lista de cambios consulta la lista de tickets y el registro de cambios.

Es muy importante llevar adelante y ejecutar esta actualización, para evitar cualquier tipo de problemas.

Por otro lado, para aprender a implementar diferentes esquemas de mantenimiento y actualización, no se olviden que se encuentra disponible mi libro "Máxima Seguridad en WordPress" publicado por la editorial 0xWORD.


Además, se encuentra el curso virtual de Seguridad en Entornos WordPress HCSWP para no perderse ningún detalle, con videos prácticos y mucha documentación.


Saludos!

Fuente | WordPress en español

2018-02-05

#OWASP Top 10 en español por @SeguInfo

Luego de haberse publicado la RC1 en junio de 2017, la RC2 en noviembre y la versión final en inglés en noviembre, finalmente llevaron a una actualización en la metodología de recopilación de datos, y finalmente se ha lanzado la versión de OWASP Top 10 en Español.

Figura 1: OWASP Top 10 - Español

Esta importante actualización agrega varios tipos de vulnerabilidades nuevas, incluidos dos problemas seleccionados por la comunidad. Los comentarios de la comunidad generaron la mayor recopilación de datos de la historia de OWASP y permitió la preparación de un nuevo estándar de seguridad de aplicaciones.

El Top 10 de OWASP 2017 se basa principalmente en más de 40 presentaciones de datos de firmas especializadas en seguridad de aplicaciones y una encuesta de la industria que fue completada por 515 personas. Estos datos abarcan vulnerabilidades recopiladas de cientos de organizaciones y
más de 100.000 aplicaciones y APIs del mundo real. Los 10 elementos principales se seleccionaron y priorizaron de acuerdo con estos datos de prevalencia, en combinación con estimaciones consensuadas de explotabilidad, detectabilidad e impacto.

Mi saludos de agradecimientos a Cristian Borghello y a Gerardo Canedo de OWASP Uruguay que participaron en la traducción oficial al español de OWASP Top 10.

Fuente | Segu-Info

2018-02-02

Comprometidos los paquetes oficiales del popular sistema de foros #phpBB

El pasado 26 de enero un atacante desconocido comprometió el sitio oficial del popular sistema de foros phpBB, suplantando dos paquetes oficiales por otros que contenían ficheros maliciosos. En concreto han sido suplantadas las versiones phpBB 3.2.2 y el parche para actualizar de la versión 3.2.1 a la 3.2.2.

Comprometidos los paquetes oficiales del popular sistema de foros phpBB

Los enlaces a los archivos fraudulentos sólo estuvieron activos durante tres horas. En este tiempo casi 500 personas descargaron el paquete comprometido.

El equipo de phpBB todavía está investigando los vectores de ataque, pero ha declarado que ni el dominio oficial phpBB.com ni la aplicación fueron explotados en el ataque.

El código malicioso cargaba código JavaScript desde una infraestructura remota que actualmente se encuentra en control del equipo de phpBB, por lo que la amenaza ya se encuentra neutralizada.

Como medida preventiva ante este tipo de ataques recomendamos siempre comparar las sumas SHA o MD5 de los ficheros descargados con las publicadas en el sitio oficial.

Enlace | Hispasec una-al-dia

2018-01-30

Nueva campaña de KeyLogger en #WordPress

Una nueva campaña de malware ha sido descubierta, la cual está infectando a sitios web con WordPress instalando un KeyLogger que además está siendo aprovechado para minar #Bitcoins.


El malware ha sido descubierto por el investigador de seguridad de Sucuri, Denis Sinegubko, el cual tiene sospechas que esta nueva campaña pueda estar ligada a la campaña que sufrió este CMS en diciembre de 2017, en la cual se afectó a unos 5500 sitios web. El motivo de esta sospecha es debido a que en los dos ataque realizados se utilizó este keylogger de criptomoneda como método de ataque, un malware llamado “cloudflare[.]solutions”, aunque hay que aclarar que este malware no tiene nada que ver con la empresa Cloudflare.

El nombre de este malware es debido a que los scripts utilizados utilizaban los recursos de este dominio, actualmente inactivo, aunque esta nueva versión ya tiene nuevos dominios registrados como cdjs[.]online, cdns[.]ws y msdns[.]online.

El ataque se realiza en sitios WordPress con una seguridad débil, por medio de la injección de scripts en base de datos (en tabla "wp_posts") o en el archivo "functions.php".

Como medida de limpieza, se recomienda eliminar el código malicioso de los ficheros de temas "functions.php", revisar las tablas "wp_posts" y cambiar todas las contraseñas del sitio web.

Fuente | una-al-dia Hispasec

2018-01-29

Regresando al día a día

Luego de un excelente año de trabajo, no está nada mal una vacaciones por un par de semanas. Creo que si uno tendría la posibilidad de descansar por más tiempo sin duda lo pediría, pero lo cierto es que es momento de regresar al día a día.


En estas vacaciones, tuve la suerte de conocer los lugares más icónicos de Ciudad de Buenos Aires - Argentina.-  y tengo que recomendarles a todos que no dejen de pasar y conocerlos que muchos de ellos son excelente. Jardín Japones, Obelisco, Puerto Madero, Palermo, Belgrano, Plaza de Mayo, etc.

Regresando al día a día


Tengo un par de ideas, que me gustaría compartirlas en el tiempo para continuar movilizando el Blog, escribiendo varias review de herramientas, recursos, recomendaciones y noticias de las que le dedico varias horas al día.

Por lo pronto aquellas personas que están interesadas en aprender como pueden mejorar la seguridad de sus proyectos en WordPress, recuerden que pueden conseguir mi libro "Máxima Seguridad en WordPress" publicado por la editorial 0xWORD.


Además pueden apuntarse al Curso virtual de Seguridad en Entornos WordPress HCSWP en The Security Sentinel donde también van a poder aprovechar las recomendaciones que tengo para darles en la administración y gestión de la seguridad de sus proyectos en WordPress.


Saludos!

2018-01-11

#WhatsApp hoy es noticia por un problema de Privacidad

Hoy se dió a conocer una vulnerabilidad que afecta la seguridad de los grupos de chats privados de WhatsApp.


El informe fue presentado por expertos de la Universidad Ruhr de Bochum y señala que es posible incorporarse o incorporar a un tercero en un chat grupal. A pesar de que el error también puede ser aplicado a Signal o Threema, en WhatsApp el asunto parece ser más serio.

Si bien el cifrado E2EE posibilita que nadie pueda ver las conversaciones que se mantienen por la aplicación, incluyendo a los mismos desarrolladores y trabajadores de WhatsApp, el fallo cambia parcialmente esta realidad.

El ataque aprovecha un error en la forma en que WhatsApp maneja los chats grupales, y permite que cualquiera que controle los servidores de WhatsApp, pueda insertar nuevos participantes en un grupo. Al mismo tiempo, un atacante que tenga acceso al grupo podría bloquear selectivamente lo que quisiera, cerrando la posibilidad de alertas entre los miembros (dentro del grupo).

Nótese que, según lo informado, sólo es posible accediendo a los servidores de WhatsApp. Evidentemente, se podría pensar que no es una situación de riesgo, pero es necesario considerar que cualquier trabajador de la aplicación con acceso podría llevar a cabo este método. Es más, conociéndose el error, entra la posibilidad que organismos externos exijan acceso al contenido de los usuarios.

Sin dudas para WhatsApp un inicio de año 2018 no tan favorable para la firma.

Enlace | Fayerwayer

2018-01-10

Protocolo de Red IPv6 por @lwayar

Hoy les quería compartir una presentación de mi gran amigo Luis Tomás Wayar @lwayar sobre el Protocolo de Red IPv6 que hace un par de años presentó en la Universidad Nacional de Jujuy - UNJU




Protocolo de Red IPv6


En esta presentación van a encontrar una introducción a los conceptos que emergen en IPv6, por medio de diferentes ejemplos, Luis nos muestra diferentes direcciones IPv6.

Finalmente, en los dos últimos puntos propone un plan de migración de IPv4 a IPv6 y presenta diferentes casos de estudios para acompañar este proceso de transformación.


Saludos!

Entradas populares