El nuevo Android P incluye varias mejoras de seguridad

El nuevo Android P incluye varias mejoras de seguridad

El nuevo Android P incluye varias mejoras de seguridad

Publicado: 27 de julio de 2018 por 
Última actualización: 28 de julio de 2018

De acuerdo con el desarrollador de Android  , Visión general del programa, la próxima versión principal de Android, Android 9.0 o P, llegará pronto. Sus planes muestran una versión final dentro de los próximos tres meses (Q3 2018).

Se acerca el final del programa Android P beta, con la primera versión del candidato creada y lanzada en julio. Como compañía de seguridad, simplemente no podemos evitar observar de cerca qué tipo de actualizaciones de seguridad se incluirán en la última versión de Android.

No vamos a escribir sobre las nuevas funciones  de Android P, sino que centraremos nuestra atención en las mejoras de seguridad. Android P presenta una serie de actualizaciones que mejoran la seguridad de sus aplicaciones y los dispositivos que las ejecutan.

Autenticación de huella digital mejorada

Por nuestra propia seguridad, la mayoría de los dispositivos (y muchas aplicaciones) tienen un mecanismo de autenticación. El nuevo sistema operativo Android P proporciona una mejor autenticación basada en datos biométricos . En Android 8.1, hubo  dos nuevas métricas  que ayudaron a su sistema biométrico a repeler ataques: Índice de aceptación de paro (SAR) y Tasa de aceptación de impostores (IAR). Junto con un nuevo modelo que divide la seguridad biométrica en débil y fuerte, la autenticación biométrica se vuelve más confiable y confiable en Android P.

Android P también promete ofrecer una apariencia, sensación y ubicación estandarizadas para el diálogo que solicita una huella digital. Esto aumenta la confianza del usuario de que están interactuando con una fuente confiable. Los desarrolladores de aplicaciones pueden activar el nuevo diálogo de huellas digitales del sistema utilizando una nueva API BiometricPrompt , y se recomienda cambiar al nuevo diálogo del sistema lo antes posible. La propia plataforma selecciona un biométrico apropiado para autenticarse; por lo tanto, los desarrolladores no necesitan implementar esta lógica por sí mismos.

Los mecanismos de autenticación biométrica son cada vez más populares y tienen mucho potencial, pero solo si se diseñan de forma segura, se miden con precisión y se implementan correctamente.

Signature Scheme v3

Android P impulsa el soporte para APK Signature Scheme v3. La principal diferencia con v2 es el soporte de rotación de teclas. La rotación de claves será útil para los desarrolladores, ya que este esquema tiene ApkSignerLineage incluido. Como dice el comité de revisión :

“El linaje del firmante contiene un historial de firmas de certificados con cada antepasado que certifica la validez de su descendiente. Cada descendiente adicional representa una nueva identidad que puede firmar un APK. De esta manera, el linaje contiene una prueba de rotación mediante la cual el APK que lo contiene puede demostrar, a otras partes, su capacidad para confiar en su certificado de firma actual, como si estuviera firmado por uno de los anteriores.Cada certificado de firma también mantiene indicadores que describen cómo el propio APK desea confiar en los certificados antiguos, si es que lo hace, cuando se encuentra “.

Esto le da la oportunidad de firmar fácilmente con un nuevo certificado. Simplemente vincula los archivos APK a aquellos con los que ahora están firmados.

Aunque el Esquema v3 se enciende por defecto, tenga en cuenta que aún puede usar un certificado de firma anterior.

HTTP Secure ( HTTPS ) por defecto

Hoy en día, muchas aplicaciones aún transmiten información de los usuarios sin encriptar, lo que hace que los datos personales sean vulnerables a los piratas informáticos. Las personas afectadas por el potencial de incumplimiento o invasión a la privacidad pueden sentirse más seguras al saber que sus transmisiones en Android P estarán seguras por defecto.

En Android P, los desarrolladores de terceros deberán habilitar HTTPS (era opcional en Android 8.0) para sus aplicaciones. Sin embargo, aún pueden ignorar los consejos y especificar ciertos dominios que generarán tráfico no encriptado.

Confirmación protegida

Existe una API de confirmación protegida en todos los dispositivos lanzados con Android P. Con esta API, las aplicaciones pueden usar la   clase ConfirmationPrompt para mostrar las solicitudes de confirmación al usuario y pedirles que aprueben una breve declaración. Esta declaración permite que la aplicación confirme que el usuario desea completar una transacción delicada, como hacer un pago de factura.

Inmediatamente después de la aceptación de la declaración, su aplicación recibe una firma criptográfica, protegida por un código de autenticación de mensaje hash con clave (HMAC). La firma es producida por el entorno de ejecución de confianza (TEE). Esto protege la visualización del diálogo de confirmación, así como la entrada del usuario. La firma indica, con alta confianza, que el usuario ha visto la declaración y la ha aceptado.

Módulo de seguridad de hardware

Aquí hay una actualización adicional que beneficia a todos: los dispositivos con Android P soportarán un StrongBox Keymaster. El módulo contiene su propia CPU, almacenamiento seguro y un verdadero generador de números aleatorios. También protege contra la manipulación indebida de paquetes y la descarga no autorizada de aplicaciones.

Para soportar las implementaciones de StrongBox, Android P usa un subconjunto de algoritmos y tamaños de clave, tales como:

  • RSA 2048
  • AES 128 y 256
  • ECDSA P-256
  • HMAC-SHA256 (admite tamaños de clave entre 8 bytes y 64 bytes, inclusive)
  • Triple DES 168

Política de antecedentes de periféricos

Con Android P, las aplicaciones no podrán acceder al micrófono, la cámara o los sensores de su teléfono inteligente. Los usuarios reciben una notificación cuando las aplicaciones intentan acceder a estos en segundo plano. Al intentarlo, el micrófono informará el audio vacío, las cámaras se desconectarán (causando un error si la aplicación intenta usarlas), y todos los sensores detendrán los eventos.

Actualización de cifrado de datos de respaldo

No es un secreto que Android hace copias de seguridad de los datos de su dispositivo. Los usuarios pueden restaurar los datos después de iniciar sesión en su cuenta de Google desde otro dispositivo. Comenzando con Android P, comenzará a usar un   método secreto del lado del cliente para su encriptación. Esto significa que el cifrado se realizará localmente en el dispositivo, mientras que antes, una copia de seguridad de su dispositivo se cifraba directamente en el servidor.

Debido a esta nueva medida de privacidad, los usuarios necesitarán el PIN, patrón o contraseña del dispositivo para restaurar los datos de las copias de seguridad realizadas por su dispositivo.

Envolviendo cosas

Todas estas mejoras significan una sola cosa: a los delincuentes les resultará mucho más difícil acceder a sus datos cuando no deberían poder hacerlo. Con las cantidades masivas de violaciones en los últimos dos años, esto debería ser un alivio para los consumidores, que simplemente quieren usar sus teléfonos sin temor a que la privacidad se vea comprometida.

Minero ‘Hidden Bee’ entregado a través de kit de herramientas de descarga drive-by download mejorado

Minero 'Hidden Bee' entregado a través de kit de herramientas de descarga drive-by mejorado

Minero ‘Hidden Bee’ entregado a través de kit de herramientas de descarga drive-by mejorado

Publicado: 26 de julio de 2018 por 
Última actualización: 27 de julio de 2018

Esta publicación del blog fue escrita por  @hasherezade  y  Jérôme Segura .

Recientemente detectamos un ataque de descarga drive-by tratando de explotar CVE-2018-4878 , una vulnerabilidad en Flash Player, en una secuencia que no coincidía con ninguno de los patrones de kits de exploits que actualmente rastreamos. Tras la investigación, descubrimos algo nuevo para nosotros, pero es parte de un marco de explotación existente mencionado a fines de 2017 por la empresa china de seguridad Qihoo360. En ese momento, la carga útil parecía ser un troyano que empujaba adware. ( Nota: el 26 de julio, nuestros colegas de TrendMicro publicaron una publicación de blog que lo llamó el kit de explotación de Underminer ).

Desde la última documentación, ha habido cambios en los exploits que se utilizan, aunque el método de distribución es similar. Un aspecto interesante que no vemos mucho en estos días es el uso del cifrado para empaquetar exploits sobre la marcha, que requiere una clave del servidor backend para descifrarlos y ejecutarlos.

La carga útil servida en esta campaña también es fuera de lo común porque no es un archivo PE estándar. En cambio, se trata de un formato ejecutable personalizado de varias etapas, que actúa también como un descargador para recuperar los scripts LUA utilizados por los actores de la amenaza que están detrás de la   botnet minera Hidden Bee . Este fue quizás el primer caso de un bootkit que se usa para esclavizar máquinas que extraen criptomonedas.

Visión general de la campaña

Los atacantes están aprovechando la publicidad maliciosa en sitios para adultos para redirigir a sus víctimas a la página de inicio del kit de explotación. Creemos que esta campaña se dirige principalmente a los países asiáticos en función de los anuncios que se sirven y nuestros propios datos de telemetría. Un servidor que pretende ser un servicio de citas en línea contiene un iframe malicioso responsable de las fases de explotación e infección.

Tráfico play-by-play

IE explotar

Con algunas excepciones, los kits de exploits suelen ofuscar su página de destino y sus exploits. Pero aquí los actores de la amenaza van más allá usando cifrado y requiriendo un intercambio de claves con el servidor back-end para descifrar y ejecutar el exploit. En el pasado, los kits de exploits Angler , Nuclear y Astrum han abusado del protocolo de intercambio de claves Diffie-Hellman de forma similar para evitar que los analistas vuelvan a reproducir el tráfico malicioso.

La ejecución del código malicioso comienza desde una página web con un bloque encriptado incrustado. Este bloque está codificado y cifrado en Base64 con uno de dos algoritmos: RC4 o Rabbit .

Después de ser descifrado, el bloque se ejecuta. Puede encontrar la versión decodificada de Java Script que se está ejecutando aquí . Como puede ver en el script, genera una clave de sesión aleatoria y luego la encripta con la clave RSA pública del atacante:

La clave cifrada se transfiere a la siguiente función y se convierte a formato JSON para realizar una solicitud POST a la URL codificada:

Esto es lo que podemos ver si observamos el tráfico entre el cliente y el servidor (el cliente envía la “clave” encriptada y el servidor responde con el “valor”):

Lado del servidor

  • Con la clave RSA privada de los atacantes, el servidor descifra la clave de sesión aprobada.
  • Lo usa para encriptar el contenido del exploit con un algoritmo simétrico elegido (Rabbit o RC4).
  • Devuelve el contenido cifrado al cliente.

Gracias al hecho de que el cliente todavía tiene una versión no encriptada de la clave en la memoria, puede descifrar y ejecutar el exploit. Sin embargo, los investigadores que solo tienen capturado el tráfico no pueden recuperar la clave de sesión original y es imposible reproducir el exploit. Afortunadamente, logramos capturar el exploit durante el análisis dinámico.

Creemos que el exploit descifrado es CVE-2018-8174,  ya que una de nuestras máquinas de prueba parcheadas contra CVE-2016-0189 fue explotada con éxito.

Flash exploit

Este nuevo exploit de Flash ( CVE-2018-4878 ) no formaba parte del kit de herramientas de exploit en el momento en que Qihoo lo documentó, y parece ser una adición más reciente para mejorar sus capacidades. El Shellcode incrustado en el exploit es un descargador para la próxima etapa.

Tras una explotación exitosa, recuperará su carga útil en la siguiente URL:

Este archivo, dado el .wasm de extensión, pretende ser un módulo de Web Assembler. Pero, de hecho, es algo completamente diferente, que parece ser un formato ejecutable personalizado o un archivo PE modificado y sin encabezado.

Comienza a partir de los nombres de las DLL que se necesitarán durante la ejecución:

Como puede ver, carga Cabinet.dll que se utiliza para desempaquetar archivos contenedores. En secciones posteriores, vimos las API y cadenas que se utilizan para la comunicación a través del protocolo HTTP. También encontramos referencias a “dllhost.exe” y “bin / i386 / core.sdb”.

Es fácil adivinar que este módulo descargará algo y se ejecutará a través de dllhost.exe.

Otra cadena interesante es un contenido codificado en Base64:

El contenido decodificado apunta a más URL:

http://103.35.72.223/git/wiki.asp?id=530475f52527a9ae1813d529653e9501
http://103.35.72.223/git/glfw.wasm
http://103.35.72.223/rt/lsv3i06rrmcu491c3tv82uf228.wasm

Al observar el tráfico capturado por Fiddler, descubrimos que, de hecho, esas URL están siendo consultadas:

Las solicitudes provienen de dllhost.exe, por lo que significa que el ejecutable anterior se inyectó allí.

El archivo glfw.wasm  no tiene nada en común con Web Assembly. Es, de hecho, un archivo Cabinet, que contiene contenido empaquetado en la ruta interna bin / i386 / core.sdb. Mirando hacia adentro, encontramos el mismo formato ejecutable personalizado, comenzando desde nombres de DLL:

Entonces, el tráfico HTTP se detiene. Este fue otro aspecto interesante de esta amenaza, porque los actores de la amenaza quizás intenten ocultar el tráfico pretendiendo usar el protocolo SLTP para recuperar la carga real, que se puede ver en las cadenas extraídas del archivo del gabinete dentro del núcleo. sdb :

INSTALL_SOURCE
& sid =% u
INSTALL_SID
INSTALL_CID
sltp: //setup.gohub [.] en línea: 1108 / setup.bin? id = 128
ntdll.dll
ZwQueryInformationProcess
Numero de volumen
SCSIDISK
os =% d & ar =% d
kernel32.dll
IsWow64Process
RtlGetNtVersionNumbers
% 02x
& sz =
sltp

Ese nombre de host se resuelve en 67.198.208 [.] 110:

Pinging setup.gohub.online [67.198.208.110] con 32 bytes de datos:
Respuesta de 67.198.208.110: bytes = 32 tiempo = 76ms TTL = 51

El tráfico de red TCP encriptado de nuestra máquina de espacio aislado muestra cómo se recupera la carga binaria:

Todo este proceso de recuperación y recuperación de cargas útiles es bastante complejo, especialmente a la luz del propósito de esta campaña drive-by. Los hosts infectados reciben instrucciones para extraer criptomonedas:

Lo que es único de este minero es que logra la persistencia mediante el uso de un bootkit, como se describe aquí . Los hosts infectados tendrán su registro de arranque maestro modificado para iniciar el minero cada vez que arranque el sistema operativo.

Un ataque sofisticado para una simple carga útil

Este ataque es interesante en muchos niveles por su uso de diferentes tecnologías tanto en la parte de entrega de exploits como en la forma en que se empaqueta la carga útil. De acuerdo con nuestra telemetría, creemos que también se enfoca en unos pocos países asiáticos seleccionados, lo que tiene sentido al considerar su carga útil.

También muestra que los actores de amenazas no han renunciado completamente a los kits de exploits, a pesar de una tendencia a la baja notoria en los últimos años.

Proteccion

Malwarebytes detecta los exploits de IE y Flash, lo que provoca que la cadena de infección se detenga desde el principio.

Indicadores de compromiso

Sitio de citas inyectado

144.202.87 [.] 106

Kit de herramientas de explotación

103.35.72 [.] 223

52he3kf2g2rr6l5s1as2u0198k.wasm

087FD1F1932CDC1949B6BBBD56C7689636DD47043C2F0B6002C9AFB979D0C1DD

glfw.wasm

CCD77AC6FE0C49B4F71552274764CCDDCBA9994DF33CC1240174BCAB11B52313

Payload URL e IP

setup.gohub [.] en línea: 1108 / setup.bin? id = 128
67.198.208 [.] 110

Miner Proxy

133.130.101 [.] 254

EXTENSION PARA EL NAVEGADOR DE MALWAREBYTES

Introduciendo: Malwarebytes Browser Extension

Introduciendo: Malwarebytes Browser Extension

Publicado: 26 de julio de 2018 por 

¿Estás cansado de todo el contenido no deseado que ofrece la red mundial, te guste o no? Es nuestro privilegio presentarle la Extensión del navegador Malwarebytes (BETA). O mejor dicho, las extensiones del navegador Malwarebytes, porque tenemos una para Firefox y otra para Chrome.

Introducción

Malwarebytes Browser Extension ofrece una experiencia de navegación web más segura y rápida. Bloquea sitios web maliciosos y filtra el contenido no deseado (lo que da como resultado tiempos de carga de la página web hasta tres veces más rápidos). El filtrado no se basa en las definiciones, por lo que las extensiones pueden bloquear las estafas de soporte técnico falsas previamente no identificadas y sus tácticas.

¿Qué hará por tu experiencia de navegación? Evita que las ventanas emergentes, los secuestradores del navegador y los casilleros del navegador lo acosen e interrumpan su navegación. También bloquea los enlaces clickbait y el contenido de noticias falsas, detiene a los mineros de criptomonedas en el navegador y le da otro contenido malicioso al inicio. Todo esto al tiempo que se basan en patrones de comportamiento de amenaza en lugar de en investigadores que tienen que rastrear, identificar el malware y agregarlo a una base de datos de amenazas conocidas. (Todavía necesitamos que esos investigadores mejoren nuestros productos. Se trata de un método diferente y más rápido).

Hablando de patrones de comportamiento, nuestra extensión de navegador es la primera que identifica de manera heurística y bloquea las páginas de “navegador-locker” de estafas de soporte técnico , lo que asusta a los usuarios a llamar a estafadores de soporte de tecnología falsa. Por lo tanto, también lo protege de las tácticas de ingeniería social no deseadas .

¿Por qué debería usarlo?

Aquí es donde Malwarebytes Browser Extension puede ayudarlo:

  • Protección contra estafadores de soporte técnico: Bloquea los secuestradores del navegador y los casilleros del navegador, que son utilizados por estafadores para llevar a las víctimas a llamar a los centros que usan tácticas intimidatorias para vender soporte técnico costoso (que no necesitas).
  • Tiempos de carga de la página web más rápidos: los sitios web populares descargan una gran cantidad de contenido no deseado en segundo plano. Al filtrar los clickbait y los anuncios, Malwarebytes Browser Extension BETA puede acelerar el tiempo de carga de su página web, lo que le permite ahorrar cordura y ancho de banda.
  • Evita las visitas a páginas maliciosas: lo protege de visitas inadvertidas a sitios web maliciosos que alojan contenido malicioso, roban su identidad (phishing), cargan mineros de Bitcoin en segundo plano, lo que ralentiza su computadora, y una larga lista de otros comportamientos desagradables que pueden experiencia en línea menos que estelar.
  • Mantiene su privacidad en privado: Bloquea los rastreadores de anuncios de terceros que lo siguen a través de Internet y lo dirigen a usted con los mismos anuncios una y otra vez.

Y estas son las características que tiene para ofrecer:

  • Protección contra malware: bloquea programas maliciosos o códigos que pueden dañar su sistema.
  • Protección contra estafas: bloquea las estafas en línea, incluidas las estafas de asistencia técnica, los casilleros del navegador y el phishing.
  • Protección de publicidad / seguimiento: bloquea los anuncios de terceros y los rastreadores de anuncios de terceros que supervisan su actividad en línea. La cantidad de anuncios / rastreadores bloqueados para un sitio web aparecerá junto al logotipo de Malwarebytes en su navegador.
  • Protección Clickbait: bloquea contenido y sitios web que a menudo muestran un comportamiento de valor cuestionable.
  • Protección de programa potencialmente no deseado (PUP): bloquea la descarga de programas potencialmente no deseados, incluidas barras de herramientas y ventanas emergentes.

Descargar e instalar

Cromo

La extensión de Chrome se puede descargar desde la tienda web de Google  .

Extensiones del navegador Malwarebytes en la tienda web

Instalar la extensión es bastante fácil. Simplemente siga las instrucciones cuando haga clic en “AGREGAR A CROMO” en la tienda web.

Confirma que quieres agregar la extensión de Chrome

Confirma que quieres agregar la extensión de Chrome

 

Y debería ver este aviso cuando se complete la instalación.

Y debería ver este aviso cuando se complete la instalación.

Para verificar dos veces si la instalación fue exitosa, puede verificar en Configuración (use el icono que se parece a tres puntos verticales)> Más Herramientas> Extensiones. Usted debe encontrar esta entrada:

extensión de Chrome instalada

Firefox

La extensión de Firefox se puede descargar de la página oficial de Complementos de Firefox . En la página Complementos, haga clic en el botón “+ Añadir a Firefox” y siga las instrucciones.

descargando complemento de Firefox

Haga clic en "Agregar" para confirmar que desea instalar el complemento de Firefox.

Haga clic en “Agregar” para confirmar que desea instalar el complemento de Firefox.

Y deberías ver esta confirmación:confirmación complemento de Firefox

Para verificar dos veces si la instalación fue exitosa, puede marcar debajo del ícono Menú (también conocido como hamburguesa, que se ve como tres barras horizontales). Busque “Complementos” y debería encontrar esta entrada:

Extensiones de navegador Malwarebytes Complemento de Firefox

Sintonia FINA

Tanto en Chrome como en Firefox, puede realizar ajustes en la configuración de Malwarebytes Browser Extension para obtener un control más detallado. Para llegar al menú de configuración, haga clic en el logotipo azul de Malwarebytes en la barra de menú de los navegadores. Esto le mostrará el estado de protección actual y dos enlaces adicionales.

Estado de protección de las extensiones del navegador Malwarebytes

Para habilitar o deshabilitar características de protección individuales, haga clic en el enlace “Configuración” en ese aviso. Esto le mostrará un menú:

Configuración de Malwarebytes Browser Extensions

Aquí, también puede encontrar información acerca de qué protege cada modo de protección.

En la pestaña “Permitir lista”, puede permitir dominios individuales e IP manualmente (en caso de que bloqueemos algo que no desea que se bloquee). Puede eliminarlos de la lista también, si cambia de opinión.

lista permitida

En la pestaña “Acerca de”, puede verificar la información de la versión y, lo que es más importante, permitir que la telemetría de la Extensión del navegador se nos envíe de forma anónima. Esto ayudará a los investigadores que mencioné anteriormente a evaluar si un dominio o IP debería estar bloqueado permanentemente.

telemetría

Funcionalidad

Cuando las extensiones del navegador bloquean un sitio, le mostrarán una advertencia similar a esta:

Bloque de extensiones del navegador Malwarebytes

Los peligros se clasifican de acuerdo con los principales riesgos con los que se puede encontrar un navegador web:

Adware 
Comprometida 
Exploit 
Fraude 
Secuestro 
Malvertising 
malware 
PUP 
Pharma 
phishing 
ransomware 
Riskware 
spam 
spyware 
troyano 
gusano

La página “bloqueada” ofrecerá una breve explicación de estos riesgos en el menú desplegable superior.

Pero, es un BETA

Por qué, sí, lo es! Entonces, lo estás usando bajo tu propio riesgo. Baste decir que ambas extensiones se han descargado miles de veces, y la mayoría de las quejas hasta ahora han sido sobre falsos positivos . Todos estos han sido analizados, y algunos han llevado a cambios en el software. A nivel personal, los falsos positivos son fáciles de resolver, ya que las extensiones le ofrecen la opción de visitar el sitio bloqueado de todos modos. En comparación con los daños potenciales que se producen al visitar un sitio malicioso, esto parece una patata pequeña. También es posible desactivar algunas de las características si las encuentra demasiado agresivas para su gusto.

¡Esperamos poder anunciar pronto la versión oficial completa de Malwarebytes Browser Extension!

¡Dale un giro a las extensiones del navegador Malwarebytes y mantente a salvo allí!

Troyanos: ¿Cuál es el verdadero problema?

Troyanos: ¿Cuál es el verdadero problema?

Troyanos: ¿Cuál es el verdadero problema?

Publicado: 25 de julio de 2018 por 
Última actualización: 24 de julio de 2018

Los griegos ficticios que se esconden en su legendario caballo de Troya probablemente se emocionarán al saber que la página Wiki predeterminada para Troyano es, de hecho, su gran cosa del caballo de madera (frente a infecciones informáticas o negocios dudosos).

Lo siento, ficticios guerreros griegos antiguos. No es que no creemos que seas un gran problema, esa película con Brad Pitt fue al menos un 6 sobre 10. Es solo que en este punto en el tiempo, los troyanos que más nos preocupan son los pequeños que se cuelan en tu PC al amparo de la oscuridad y luego arrasan con Troy.

Y por Troy me refiero a nuestras PC.

El término “troyano”, tal como lo entendemos, cobró vida en la década de 1970, utilizado en un informe de la USAF sobre vulnerabilidades en computadoras  [PDF]. La aplicación de dicho caballo de Troya digital es bastante sencilla: un programa de computadora, que pretende ser algo que no es, se instala y ejecuta en el sistema de destino. Por ejemplo, una víctima podría abrir un archivo llamado dolphin.exe y cree que está viendo un juego divertido llamado Dolphin. Pero en realidad, toda su información personal se está recolectando de forma encubierta y se envía de vuelta a la base.

La sala de la vergüenza troyana

Los primeros troyanos de gran nombre que muchos de nosotros en el área de TI podemos recordar datan de finales de la década de 1990 y principios de la de 2000. Eso incluye a  Netbus , Bifrost y Sub7 , aunque la mayor parte del botín de cibercrimen fue para el notorio Zeus en 2007. Después de eso, los troyanos estaban en el negocio, con DarkComet , el  kit de exploits de Blackhole , que (por ejemplo) empujaría Java o Carberp. Trojans y Koobface (un anagrama de Facebook), que normalmente pretenden ser un video como cebo para instalar un gusano.

La mayoría de estos han ido hace mucho tiempo al gran potrero de madera en el cielo, pero Zeus continúa perdurando en virtud de tener su código filtrado en 2011 , formando los bloques de construcción para muchos, muchos ataques de troyanos desde entonces .

Ingeniería social en su máxima expresión

Adecuadamente, la ingeniería social juega un papel importante en los procedimientos de Troya. Un chasquido de presión social, o incluso simplemente un “¡eh, esto es genial!” Es a menudo suficiente para hacer que alguien comprometa su computadora personal con sus propias manos.

¡Has ganado esta cosa gratis! ¡Haga clic aquí y eche un vistazo!

Espera, ¿los hackers llevan regalos ahora? Aunque no hay antiguos guerreros troyanos que ofrezcan estructuras de madera imponentes, puedes apostar que habrá una gran variedad de trucos de confianza en exhibición. Es posible que obtenga una calcomanía portátil fresca o un par de calcetines con la marca de la novedad en un evento. O bien, puede obtener esto:

Correo electrónico : Hola, ¡mira este adorable delfín! Ejecute este archivo dolphin.exe, ¡es genial! 
Redes sociales : ¡Participa en nuestros sorteos para ganar un adorable delfín! Asegúrese de ejecutar dolphin.exe para tener una oportunidad de ganar. 
Mensajería instantánea : adorables webcams de delfines. ¡Solo $ 4.99 por mes! Descargue este dolphincam.exe para comenzar. 
Memoria USB sospechosamente abandonada : Wow, has encontrado mi memoria USB sospechosamente abandonada. ¡Camino a seguir! Si quieres devolver mis adorables fotos de delfines, ejecuta adorabledolphinphotos.exe para ver mi dirección.

A pesar de la variación en los métodos de ataque descritos anteriormente, todos usan ejecutables disfrazados de archivos inofensivos (troyanos). Los tipos de troyanos varían enormemente y abarcan todo, desde archivos desarrollados por el gobierno hasta personas en foros que elaboran sus propias versiones especiales de elaboración casera. A continuación, enumeramos las principales categorías de troyanos.

Tipos de troyanos

Financiero

Existe una gran cantidad de troyanos con motivación financiera, que por lo general se duplican con los registradores de pulsaciones para tratar de filtrar la información bancaria en línea . Algunos pueden tratar de fisgonear conexiones mediante la realización de ataques man-in-the-middle , o eliminar una página de inicio de sesión de banco falso en la PC para que la víctima entregue sus credenciales. Otros toman un enfoque alternativo y simplemente escanean la PC en busca de cualquier cosa que se parezca a los datos de inicio de sesión almacenados en un archivo de texto, o las contraseñas inseguras guardadas en un navegador.

Botnets

Backdoor el sistema, y ​​el cielo es el límite. Sin embargo, las botnets son un viejo favorito de los autores de malware, y eliminar algunos archivos que pueden tomar comandos de un servidor Command & Control es justo lo que ordenó el médico. Una vez etiquetado en una red de bots, la potencia de su máquina como un nodo rebelde se amplifica muchas veces, junto con sus hermanos comprometidos. En situaciones en las que los atacantes no están particularmente interesados ​​en su información personal, pueden usarlo para unirse al ataque de Denegación de Servicio Distribuido (DDoS) .

Ransomware

El omnipresente ransomware a menudo se sirve a las posibles víctimas disfrazadas como algo más para encerrar a la PC objetivo y luego exigir un rescate. Podría ser entregado a través de malspam o campañas de phishing y spearphishing , que engañó a los usuarios para que abrieran correos electrónicos de fuentes poco confiables.

Recopilación de datos generales / manipulación del sistema

La intención detrás del uso de un troyano puede ser intentar obtener detalles de la tarjeta, o información personal, o descargar archivos de malware adicionales, o incluso simplemente sentarse silenciosamente en segundo plano y monitorear toda la actividad por razones que solo conocen los atacantes. Realmente depende del atacante, y como resultado, la definición de “Troyano” a veces puede ser turbia.

Por ejemplo, los cuentagotas y los descargadores son dos tipos de troyanos que hacen exactamente lo que sugieren sus nombres: agregar archivos incorrectos adicionales al sistema. ¿Pero cuál es la motivación para agregar más archivos malos? Tal vez solo quieran vigilar las cosas para una fecha posterior, instalando una herramienta de administración remota que mantenga abierta una puerta trasera y recopile datos nuevos a medida que avanza en su negocio. Tal vez algunos de sus hábitos de navegación activen otro ataque de ingeniería social, que los atacantes ahora pueden hacer fácilmente con el acceso a su sistema. O tal vez los datos recopilados en usted se venden a otras organizaciones con fines de comercialización, y ahora no puede dejar de recibir correo no deseado.

Esto no es en absoluto una lista exhaustiva, sino solo un ejemplo del tipo de travesuras que los troyanos pueden causar y crear.

Caballo de regalo, boca, no mires

Independientemente de la intención, convertir tu PC en una puerta de acceso de acceso abierto para delfines troyanos, por ejemplo, caballos, es una mala idea. Incluso si el troyano inicial se elimina de la computadora (suponiendo que no se haya eliminado automáticamente), a menudo no hay forma de saber qué más se ha colocado a bordo.

A diferencia de otras formas de ataque, los troyanos  nunca pasan de moda . Hace solo unas semanas, los archivos falsos de Fortnite estaban causando olas en Androidland, prometiendo puntos de juego gratuitos pero ofreciendo descargas no relacionadas en su lugar. La ingeniería social nunca desaparecerá, y vestir un archivo deshonesto en un envase atractivo contribuye en gran medida a comprometer un sistema.

Siéntase libre de leer nuestras numerosas publicaciones de ingeniería social, ya que eso le dará una gran ventaja contra su adversario. Y si los antiguos griegos hubieran practicado una mejor deducción y uso del sentido común, estás en medio de la guerra. ¿Por qué invitar a una estructura de madera gigante dentro de tus paredes? – seguramente habrían vencido a los astutos troyanos.

5 formas de encontrar y corregir vulnerabilidades de código abierto

5 formas de encontrar y corregir vulnerabilidades de código abierto

5 formas de encontrar y corregir vulnerabilidades de código abierto

Publicado: 17 de julio de 2018 por 
Última actualización: 16 de julio de 2018

Invitado por  Limor Wainstein

Un descubrimiento reciente de la ejecución subrepticia del código cryptomining por una aplicación de espacio aislado, montando a cuestas sobre el ecosistema de software de código abierto (OSS), plantea preguntas pertinentes sobre la seguridad del código fuente abierto y sus dependencias. Los programadores a menudo usan OSS como un desempate para crear su software, y eso incluye autores de malware.

La aplicación fraudulenta, que se descubrió que estaba minando clientes el 11 de mayo, se entregó a través de Snapstore , el nuevo ecosistema de aplicaciones de distribución cruzada y espacio aislado iniciado y promovido por Canonical, los desarrolladores de Ubuntu. En los seguimientos de ese incidente, Canonical dijo:

Es imposible que un repositorio a gran escala acepte solo software después de que cada archivo individual haya sido revisado en detalle. Eso es cierto tanto si el código fuente está disponible como si no, ya que ninguna institución puede permitirse revisar cientos de miles de líneas de código fuente entrantes todos los días.

Como señaló Canonical, revisar y analizar las dependencias de código abierto no es una tarea fácil. Pero es importante para los programadores que quieren asegurarse de que su software no esté infiltrado por los malos actores, ya sea para obtener criptomonedas o para llevar a cabo negocios aún más nefastos.

¿Por qué necesita proteger sus bibliotecas de código abierto?

Los desarrolladores dependen en gran medida del software de código abierto, y las organizaciones tienden a utilizar bibliotecas populares gratuitas. Sin embargo, de acuerdo con el Informe de Confianza en Ciberseguridad 2016  de Barkley , solo el 22 por ciento de las organizaciones tienen un marco para identificar y analizar regularmente los diversos componentes integrados en sus aplicaciones. Con el crecimiento en el uso de código fuente abierto, la exposición al riesgo se expande también.

Nuevas vulnerabilidades se desenterran constantemente en diferentes códigos de fuente abierta y, preocupantemente, una cantidad de proyectos tienen pocos o ningún mecanismo para identificar y solucionar esos problemas. Según una encuesta reciente de Snyk sobre proveedores de código abierto, el 44 por ciento nunca se ha sometido a una auditoría de seguridad de ningún tipo, mientras que solo el 17 por ciento puede afirmar tener un alto nivel de conocimientos de seguridad.

Además, no existe un procedimiento operativo estándar para documentar la seguridad en proyectos de código abierto. Entre los 400,000 mejores repositorios públicamente disponibles en GitHub, solo el 2.4 por ciento tiene una forma de documentación de seguridad implementada.

Dado que una dependencia de código abierto puede estar muy implementada en varias aplicaciones web, un error o vulnerabilidad abrirá todos  esos proyectos a riesgos de seguridad. Para mejorar la  seguridad de sus componentes de código abierto ,  recomendamos las siguientes cinco prácticas recomendadas para revisar las dependencias, encontrar vulnerabilidades y aplicar parches a los componentes de código abierto vulnerables una vez encontrados.

1. Establezca normas y estándares de seguridad estrictos antes de usar una dependencia

Una buena forma de mejorar la seguridad de sus componentes de código abierto es crear y aplicar políticas que exijan que los desarrolladores las utilicen para demostrar que no tienen vulnerabilidades conocidas.

Muchos desarrolladores aún desconocen en gran parte los riesgos que presentan los diferentes componentes de código abierto. Es de suma importancia ayudarlos a comprender que las vulnerabilidades traídas de los componentes de código abierto a la aplicación ponen en riesgo toda la aplicación, si no la organización como un todo.

Al crear y aplicar políticas que requieren que el equipo de seguridad apruebe los componentes de código abierto o que los desarrolladores demuestren la seguridad de la herramienta, automáticamente se mejora la seguridad de la aplicación, solo haciendo que los desarrolladores conozcan esos riesgos.

2. Mantenga un registro de las actualizaciones de seguridad para las dependencias

Otro aspecto crucial para la seguridad de los componentes de código abierto es tener un inventario actualizado de las bibliotecas de código abierto de su organización, tanto en desarrollo como en producción. Hay un número bastante grande de organizaciones que no tienen información actualizada sobre qué componentes de código abierto están actualmente en uso en sus aplicaciones. Esto plantea una importante amenaza de seguridad.

Muchas de las aplicaciones patentadas populares contienen componentes indirectos de código abierto que podrían no estar en desarrollo activo. La mayoría de estos componentes de código abierto permanecen sin parchear y se vuelven inseguros con el tiempo. Esto se debe generalmente a que los desarrolladores gastan sus recursos en asegurar y mejorar los componentes internos. Sin embargo, ignorar las actualizaciones de seguridad para sus componentes de OSS puede abrir brechas que pasarán desapercibidas.

Un buen lugar para comenzar a rectificar esto es inspeccionando los equipos de desarrollo de la organización sobre qué componentes de código abierto usan y la última vez que se actualizaron. Esto proporciona una ventana para evaluar la actualización del equipo de desarrollo con la seguridad del componente de fuente abierta, así como una lista de proyectos en uso.

Si su organización cuenta con la infraestructura necesaria, también puede crear un repositorio central de componentes de código abierto donde se puedan administrar las actualizaciones de seguridad y las licencias. Al igual que en cualquier otro proceso de seguridad, administrar un componente de código abierto no es un esfuerzo de una sola vez. Es un proceso continuo mientras la aplicación esté en despliegue. Revisa, enjuaga y repite.

Al garantizar que se sigan sus políticas en las bibliotecas de código abierto, y al monitorear cómo se están utilizando, así como al administrar su inventario, su programa de seguridad general de la aplicación debería ser una buena opción.

3. Pon a prueba tus componentes y dependencias

Probablemente el método más seguro para mejorar y garantizar la seguridad de su código fuente abierto, y en el proceso su aplicación general, es probar la seguridad de los componentes de código abierto que se utilizan en su organización una vez que se han identificado.

El análisis de fuente abierta es tan importante como el código de propiedad. Esto no solo se debe a que el código podría contener vulnerabilidades de seguridad desconocidas, sino también porque sus dependencias y funciones pueden diferir entre diferentes casos de uso. Esto podría significar que un componente puede estar seguro en una aplicación, pero que se considera inseguro cuando se usa en una aplicación diferente. En casos como este, solo las pruebas y la revisión del código pueden identificar estos problemas.

4. Cree herramientas internas en lugar de bibliotecas no compatibles (caducadas)

Para las bibliotecas expiradas, o las bibliotecas que ya no tienen sistemas de mantenimiento de desarrollador activos, es mejor construir sus propias herramientas internas que pueda usar para verificar y solucionar vulnerabilidades activamente. Aunque el costo inicial y el tiempo invertido podrían disuadir a algunas organizaciones y equipos de desarrollo, a largo plazo, la funcionalidad de una herramienta interna puede ser un activo para los desarrolladores.

También puede considerar devolver su esfuerzo interno a la comunidad, fortaleciendo el ecosistema de código abierto. Esto alentará a más desarrolladores a enviar parches y revisiones y, por lo tanto, a mejorar la seguridad general de la biblioteca. Además de eso, se ganará el respeto de los desarrolladores de código abierto, lo que lo ayudará a crecer como individuo y como negocio. Por ejemplo, en los últimos años, Microsoft lanzó toneladas de bibliotecas bajo una licencia de código abierto que les ayudó a ganarse la confianza de los desarrolladores y usuarios de OSS.

5. Use herramientas de seguridad para verificar vulnerabilidades de seguridad

A lo largo de los años se han desarrollado varias herramientas comerciales y de código abierto para abordar el problema de la identificación de vulnerabilidades de seguridad en componentes de código abierto. Cada herramienta o servicio aborda el problema de forma un poco diferente.

Proyecto de seguridad de nodo (NSP)

El NSP es ampliamente conocido por su trabajo en módulos Node.js y dependencias de NPM. La última versión de npm integra NSP para implementar el script de auditoría npm. Comprueba si existen vulnerabilidades conocidas en los módulos de nodo y las dependencias relacionadas, y ofrece soporte para reparar esas vulnerabilidades.

RetireJS

RetireJS es un comprobador de dependencias de código abierto específico para JavaScript. Su única propuesta de venta (USP) es su facilidad de uso. RetireJS contiene múltiples componentes, incluido un escáner de línea de comandos, así como complementos para Chrome, Firefox, Grunt, Gulp, ZAP y Burp.

OSSIndex

OSSIndex es una herramienta que admite varias tecnologías diferentes. Efectivamente cubre los ecosistemas JavaScript, .NET / C # y Java. También proporciona vulnerabilidad de API de forma gratuita.

Verificación de dependencia

Dependency-check es compatible con Java, .NET y JavaScript, además de Ruby. Extrae su información de vulnerabilidad del NIST NVD.

Herramientas comerciales

Además de las herramientas gratuitas, hay algunas herramientas comerciales que puede usar para ayudar a encontrar vulnerabilidades en su código de código abierto. Los populares incluyen:

  • Hakiri: una herramienta comercial que proporciona comprobaciones de dependencia para proyectos GitHub basados ​​en Rub-y y Rails a través del análisis de código estático
  • Snyk: un servicio comercial que se centra en las dependencias JavaScript npm
  • WhiteSource: actualmente es compatible con Ruby, NPM, PHP, Python y Bower
  • SRC: CLR: Source Clear viene con una carga de complementos para varios IDE, sistemas de implementación y repositorios de origen, así como también una interfaz de línea de comando

Los componentes de código abierto generalmente son seguros cuando hay una gran cantidad de personas revisando el código. Sin embargo, hacer que el código fuente esté disponible o que muchos usuarios observen el código fuente no garantiza que todos los problemas de seguridad se hayan encontrado y solucionado. Es por eso que es importante integrar políticas de seguridad estándar de la industria en su aplicación.

En esta publicación, hemos cubierto algunas de las mejores formas posibles de proteger sus componentes de código abierto contra vulnerabilidades y otros ataques de seguridad. Entonces, ¿qué piensas sobre la seguridad de los componentes de código abierto? Compártalos en los comentarios a continuación.

Tácticas y técnicas de cibercrimen Segundo trimestre 2018

Tácticas y técnicas de cibercrimen Q2 2018

Tácticas y técnicas de cibercrimen Q2 2018

Publicado: 17 de julio de 2018 por 
Última actualización: 16 de julio de 2018

Un trimestre generalmente lento refleja una calma general en el delito cibernético, retomando donde quedó Q1 con cryptominers que siguen dominando, ransomware que continúa evolucionando a través de la experimentación, y exploits haciendo un regreso pequeño pero significativo.

En casi todas las categorías de malware para las detecciones de empresas y consumidores, vimos una disminución en el volumen, lo que corrobora nuestro sentimiento general de “Dang, ha sido un poco callado de aquí” desde el comienzo del nuevo año. Sin embargo, nuestro malestar relativo estuvo puntuado, con algunos desarrollos interesantes pasando de Q1 a Q2. De qué amenaza carecían los actores en cantidad compensada en calidad.

Las dos principales detecciones de consumidor de Malwarebytes continúan siendo adware y cryptomining, respectivamente, mientras que los mineros se hicieron cargo del número uno para las detecciones de negocios en Q2. El software espía, que tuvo un sólido Q1 para las empresas, bajó un 40 por ciento hasta el número cinco, mientras que los troyanos bancarios se mantuvieron estables en la posición número dos, a pesar de caer en las detecciones en casi un 50 por ciento. Mientras tanto, las puertas traseras se dispararon tanto en el lado de los consumidores como en el de las empresas, y las detecciones de los consumidores aumentaron en un 442 por ciento.

Los nuevos desarrollos en ransomware y cryptomining impulsaron el mercado, ya que los ataques Q2 generalmente mostraron más sofisticación que sus contrapartes de Q1. La introducción del complejo malware VPNFilter, que dejó caer ataques de varias etapas contra cientos de miles de usuarios desprevenidos de pequeñas oficinas y consumidores, sacudió a la adormecida industria de seguridad cibernética. Si bien los brotes de 2017, como WannaCry y NotPetya, no han sido igualados en términos de volumen de distribución e impacto, VPNFilter, SamSam y otras campañas tan complicadas muestran que 2018 podría ser el año de ataques dirigidos de mayor nivel.

Entonces, ¿cómo sacamos estas conclusiones? Como ya hicimos en los últimos informes trimestrales, combinamos inteligencia y estadísticas recopiladas de abril a junio de 2018 de nuestros equipos de Inteligencia, Investigación y Ciencia de Datos con telemetría de nuestros productos para consumidores y empresas, que se implementan en millones de máquinas. . Esto es lo que aprendimos sobre el delito cibernético en el segundo trimestre de 2018.

  • Cryptomining todavía está caliente, pero comienza a disminuir
  • GandCrab el rey ransomware variante
  • Adware aumentó un 19% respecto del último trimestre para los consumidores
  • VPNFilter debuta con más de 500,000 detecciones
  • Las hazañas en aumento
  • Estafadores dirigidos cada vez más a PII (información de identificación personal)

Para obtener más información sobre lo anterior, así como obtener una visión detallada de las estadísticas de detección y predicciones para el próximo trimestre. Descargar el:

 Informe de Técnicas y Tácticas Cibercrimenras para el Q2 2018

Una guía: cómo mantenerse a salvo en la venta de primer día de Amazon

Una guía: cómo mantenerse a salvo en la venta de primer día de Amazon

Una guía: cómo mantenerse a salvo en la venta de primer día de Amazon

Publicado: 15 de julio de 2018 por 

¡Tarjeta bancaria, cheque!

Lista de compras: ¡consultar!

Lumbar respaldo almohada almohada- !

Audífonos con cancelación de ruido . ¡Verifique!

Y, por supuesto, ¡café !

Si eres un comprador de Amazon, ¡ya sabes que Prime Day está cerca!

Y con eso, queremos decir “mañana”.

Si usted es uno de los muchos que tiene miedo de despedirse del fin de semana, este es probablemente el lunes del año que espera.

Es cierto que Amazon Prime Day no es su evento habitual de compras de Acción de Gracias, pero se ha vuelto tan masivo tan rápidamente que justifica una consecuencia no deseada: captar la atención de los actores de amenazas en línea.

Un gran problema

Amazon lanzó Prime Day en 2015 durante el vigésimo aniversario de la compañía. Y estaban intensificando su juego desde entonces.

Hasta la fecha, Prime Day 2017 es aclamado como el mayor evento de compras en la historia de la compañía , superando sus ingresos de 2016 Black Friday y Cyber ​​Monday.

Los pedidos realizados a través de dispositivos móviles también se dispararon, gracias a la aplicación de Amazon que muchos usuarios han descargado e instalado solo para Prime Day. Por supuesto, el aumento general de las ventas también se traduce en mayores ganancias para las pequeñas empresas de todo el mundo . En caso de que no lo sepa, una gran parte de los vendedores en Amazon son pequeñas empresas .

No será una sorpresa esperar que el Prime Day 2018 sea más grande que el año pasado, y los cibercriminales pueden contar con esto.

Su lista de recordatorios de seguridad de Amazon Prime Day: qué hacer y qué no hacer

Los lectores habituales del blog Malwarebytes Labs saben que Amazon se ha utilizado en varias campañas de amenazas para los usuarios objetivo. En 2015-2016, hemos documentado algunos correos electrónicos no deseados que circulaban por la web con el logotipo de Amazon, y sus artimañas iban desde solicitar a los usuarios confirmar la información de sus cuentas ,  completar una encuesta a cambio de una pequeña fortuna y  canjear pronto. -to-be-expired $ 100 Crédito de Amazon Prime .

Luego, en 2017, Mark Jones (escribiendo para Kim Komando) informó acerca de un correo electrónico de phishing que Kim recibió casi un mes después de la finalización de Prime Day. El correo electrónico ofrece a los destinatarios un bono de $ 50 como bonificación por revisar un producto que compraron recientemente en Prime Day, según la publicación. Al hacer clic en el enlace del cuerpo del correo electrónico se redirige a una página de inicio de sesión de Amazon falsa.

Más correos electrónicos falsos de Amazon podrían materializarse a partir de ahora. Pero estos no deberían interferir con el hecho de que alguien use o pruebe los servicios de Amazon por primera vez, o de cualquier sitio de comercio electrónico, para el caso. Estos sitios no solo nos brindan la comodidad y el confort para comprar mientras permanecen en la cama y en pijama, sino que también tienen selecciones que no podemos encontrar en las tiendas de ladrillo y cemento de la ciudad.

Si le gusta comprar en Amazon, protéjase protegiendo las credenciales de su cuenta y las transacciones de compra. A continuación, encontrará una lista de qué hacer y qué no hacer, que debe tener a mano junto con su lista de compras.

Hacer…

… descargue solo la aplicación legítima de Amazon de las tiendas de aplicaciones Google Play y Apple , que puede encontrar aquí y aquí , respectivamente. Al hacerlo, evitará confundirse sobre qué aplicación instalar, ya que hay variantes de ellas, y en qué confiar, ya que puede haber imitadores. Los actores de amenazas dirigidos a usuarios en dispositivos móviles se han vuelto más astutos con sus tácticas, la última es el uso de Unicode, lo que permite que las aplicaciones falsas que operan con nombres famosos pasen por escaneos de seguridad.


Leer:  Phony WhatsApp usó Unicode para deslizarse bajo el radar de Google


… configura la autenticación de dos factores (si aún no lo has hecho). Esto es para mayor seguridad, por supuesto. Si usted es el tipo de comprador que se toma su tiempo, puede resultarle bastante molesto volver a ingresar su número de acreditación y autenticación varias veces, pero tener esto habilitado vale la pena.

… use su tarjeta de crédito al pagar las compras tanto como pueda. Esto se debe a que las tarjetas de crédito están aseguradas por el banco, pero no por las tarjetas de débito. Aunque existe un tipo de protección al consumidor llamada devolución de cargo, no es una protección legal. Esto significa que su proveedor de la tarjeta puede o no otorgarle a uno una devolución de cargo, dependiendo del caso.

… mira los correos electrónicos supuestamente originados en Amazon con un ojo crítico . Es un mecanismo de prevención que todos deberíamos practicar al manejar correos electrónicos, ya que al hacerlo le ahorrará mucho dolor de cabeza y combate de incendios a largo plazo.

… familiarizarse con la forma de informar correos electrónicos y páginas de phishing a Amazon . ¿Por qué? Debido a que los compradores compañeros pueden no ser lo suficientemente rápidos como para lucir el correo electrónico falso que acaba de ver. Amazon tiene una guía práctica sobre usuarios que caminan a través del proceso de informes en esta página de Ayuda y Servicio al Cliente .

… compre artículos de vendedores en los que confíe o con los que se sienta cómodo .Al igual que cualquier otro sitio de comercio electrónico, Amazon también tiene malos vendedores. Y con eso, nos referimos a aquellos que (1) se hacen pasar por compañías legítimas robando su marca y la vitrina de productos que venden, (2) pretenden vender productos pero nunca los envían e intentan escaparse con su dinero, o (3) venderle productos falsificados o imitación. Si no sabe en qué vendedor confiar, eche un vistazo a la página de Amazon del proveedor de terceros y vea cuándo se ha creado el perfil. Por lo general, las estafas generalmente son las que acaban de lanzarse y de repente ofrecen páginas sobre páginas de una variedad de productos de la industria, que a menudo son solo imágenes aleatorias robadas de varios vendedores reales. También,

No …

… reutilizar contraseñas. Si la contraseña de la cuenta de Amazon que está utilizando ahora es la misma que su contraseña de Twitter, por ejemplo, es hora de cambiar eso. Simplemente le facilita a los delincuentes el acceso a dos o más de sus cuentas en línea.

… habilitar macros. El correo electrónico de Amazon te ha convencido de que es real. Usted abre el archivo adjunto. Te pide que enciendas las macros. Creo que deberías considerar parar en este punto porque hacer lo que te dice podría abrir dos escenarios posibles: uno, nada sucederá; dos, acaba de obtener su computadora infectada con malware. Piensa sobre esto.

… cae por las estafas de tarjetas de regalo de Amazon. Raramente leemos sobre esto, pero sucede. Por lo general, los vendedores cuestionables le pedirían a los posibles compradores que paguen un artículo fuera de Amazon en forma de tarjetas de regalo. Si un vendedor repentinamente le pregunta esto, desactive la conversación y repórtelos a Amazon inmediatamente.

… usa Wi-Fi público para comprar. Solo estás exponiéndote a los ataques de MitM . Es mejor comprar en casa o (sabemos que lo hace) en el trabajo durante su tiempo de descanso.

Si hacemos un punto para abordar nuestros (potenciales) problemas de seguridad primero y tomar notas mentales del resto en nuestra lista, entonces Prime Day 2018 no debería ser tan estresante. Quizás.

¿Entonces, Qué esperas? ¡Listo, listo, compra!

Otras publicaciones relacionadas con Amazon que podría interesarte leer:

Cuando tres no son una multitud: explican los ataques del Hombre en el Medio (MitM)

Cuando tres no son una multitud: explican los ataques del Hombre en el Medio (MitM)

Cuando tres no son una multitud: explican los ataques del Hombre en el Medio (MitM)

Publicado: 12 de julio de 2018 por 

Atrás quedaron los días en que las escuchas son solo cosas de espías y chismes de la ciudad. De hecho, ha evolucionado para convertirse en el pasatiempo favorito de todos . Gracias a Internet, ahora es más fácil, ahora que nunca, pasar inadvertido y atrapar información jugosa que presionar la oreja contra la pared de su vecino.

Si bien podemos perdonar y olvidar fácilmente a los oyentes que se encuentran lo suficientemente cerca de nuestro vecindario cuando estamos teniendo conversaciones en público, el espionaje digital, por otro lado, eleva la bandera roja de privacidad a nuevas alturas. Y esto puede hacerse rápidamente aprovechando dos cosas: una, nuestra inclinación para conectarnos a redes Wi-Fi (ya sean inseguras o no, ya sean de uso público o privado); y dos, la explotación de esa red Wi-Fi. Basta con decir que el espionaje digital no es ni debe considerarse un pasatiempo, especialmente si tienes las habilidades y los medios para hacerlo.

Y cuando se trata de escuchar en línea, el término que inmediatamente viene a la mente es man-in-the-middle , esencialmente un escenario en el que una tercera persona se ubica en el medio de dos partes comunicándose entre sí. Una tercera rueda, por así decirlo. Sin embargo, esta persona o entidad no es vista por las dos partes. De hecho, ni siquiera saben que están en compañía de una tercera rueda.

Si bien sabemos que escuchar a escondidas es generalmente un ejercicio pasivo: la persona C asume el papel de oyente-observador y no se involucra con la persona A y la persona B mientras chatean: los ataques de MitM son todo lo contrario. Además de fisgonear, se requiere controlar la conversación; por lo tanto, el contacto con los objetivos es inevitable. Esto hace que un ataque MitM sea un ejercicio activo. Y tal actividad interferente exige inventiva, atención, paciencia, astucia y la voluntad de participar tan profundamente como sea necesario para alcanzar su objetivo.

Los ataques de MitM pueden ser agresivos, siempre subrepticios e invasivos.

Por no mencionar preocupante y espeluznante. ¿Cómo pueden los actores de amenazas hacer esto, y por qué incluso hacerlo?

Los ataques MitM implican el uso indebido de una red para explotar transacciones, conversaciones y transferencias de datos sobre la marcha. Los actores de amenazas pueden hacer esto aprovechando las debilidades de una red o de cualquiera de sus elementos, como el software (navegador, VoIP, etc.).

Muchas organizaciones practican lo que son esencialmente tácticas de MitM, ya sea que afirmen que lo saben o no, para que puedan controlar a sus empleados. Algunos lo hacen con fines publicitarios, como en el caso de Superfish , una pieza de software preinstalada en los productos de consumo de Lenovo.

Los gobiernos también son conocidos como operadores de ataques MitM para espiar de manera proactiva a sus ciudadanos, eludir las medidas de seguridad de las tecnologías , espiar a los países enemigos para robar información clasificada y robar dinero de instituciones financieras basadas en otros países para financiar sus proyectos .

Además, hemos visto que MitM utilizó en gran parte el modus operandi de un grupo delictivo para robar esencialmente a los clientes de empresas europeas privadas a las que apuntaban. Lo hicieron infiltrándose en las redes objetivo para obtener acceso a las cuentas de correo electrónico, monitoreando las solicitudes de pago de estas compañías y luego poniéndose en medio de la conversación por suplantación de identidad, instruyendo a los clientes a enviar pagos a las cuentas bancarias que controla el grupo criminal.

¿Bloquea todo o nada para evitar el fraude ICO?

¿Bloquea todo o nada para evitar el fraude ICO?

¿Bloquea todo o nada para evitar el fraude ICO?

Publicado: 12 de julio de 2018 por 

En Malwarebytes, creemos que hemos llegado a un punto en el que debemos preguntar a nuestros clientes cómo proceder con el tema de las estafas de ICO. Pedir su opinión puede parecer extraño para algunos de ustedes, pero Malwarebytes proviene de una comunidad de ayuda mutua y confianza. Si no lo sabía, leer cómo se involucró nuestro CEO en el negocio antimalware es una buena forma de familiarizarse con los pilares sobre los que se basa esta compañía.

Para explicar en qué necesitamos su ayuda, necesitaremos explicarles un poco sobre los antecedentes, así que tengan paciencia con nosotros.

¿Qué es un ICO?

ICO es la abreviatura de Initial Coin Offering, que es, de hecho, un método de crowdfunding, utilizado para muchos proyectos relacionados con la criptografía. Los fundadores de una nueva compañía ofrecen acciones de su propio producto blockchain para la venta a cambio de criptomonedas establecidas como Bitcoin, Ether o Monero. Con los fondos reúnen el capital para poner en marcha su empresa. Una vez que la empresa tenga éxito, las “monedas” compradas por los inversionistas valdrán más de lo que compraron.

Así es como debe ser, pero lo que vemos una y otra vez es que las personas que iniciaron el crowdfunding, se apropian de las inversiones y nunca se sabrá de ellas. O los veremos en otro momento, con un nombre diferente, repitiendo el mismo procedimiento. Algunos de estos impostores usan plantillas que reutilizan para cada ICO falso. Estas plantillas son para:

  • Creando una cuenta en el blockchain de Ethereum
  • El script de paquete para la cadena de bloques
  • Los sitios para promocionar su nuevo producto
  • Campañas publicitarias para que la gente visite ese sitio
  • Cuentas en foros relacionados con bitcoins para promocionar el ICO
  • Los libros blancos que explican los objetivos y las metas

Para poner esto en perspectiva, también podría ser bueno mencionar que un estudio reciente mostró que solo el 8% de las OIC lograron comerciar en un intercambio. Por lo tanto, incluso si solo consideramos que el 80% de ellos es una estafa, las posibilidades de que los inversores pierdan su dinero son mucho mayores.

¿Cómo detectar ICO que podría ser fraudulento?

Existen algunos métodos que puede usar para decidir si un ICO vale su dinero duramente ganado:

  • ¿La gente detrás de ICO realmente existe?
  • ¿El plan que tienen tiene sentido?
  • ¿El modelo de ganancias es realista?
  • ¿El equipo detrás del ICO responde preguntas sobre sus planes?
  • ¿Qué tan lejos están en el desarrollo de su moneda, tienen billeteras seguras, etc.?
  • ¿Establecen que los participantes de EE. UU. Deben ser inversores acreditados?

El problema a mano

Hemos estado viendo muchas ICO que no son más que estafas. Y nos gustaría proteger a nuestros clientes contra ellos. Pero, si esperamos hasta que podamos demostrar que son una estafa, probablemente sea demasiado tarde y los ladrones se hayan escapado con las inversiones. Entonces tendríamos que ser más proactivos.

¿Estamos solos en esta batalla? Ciertamente no lo somos.

¿Qué es lo que te pedimos?

Háganos saber en la sección de comentarios debajo de esta publicación si cree que deberíamos bloquear los anuncios de ICO, todos los sitios relacionados con ICO, o déjelo en manos de nuestros clientes para decidir por sí mismos.

Tenga en cuenta que los usuarios de nuestras extensiones de Chrome o Firefox pueden ver algunos de los sitios bloqueados. Esto se debe a que las extensiones se basan en el comportamiento y es posible que hayan detectado una estafa para usted.

Abuso interno de la IoT: ¿qué podemos hacer para detenerlo?

Abuso interno de la IoT: ¿qué podemos hacer para detenerlo?

Abuso interno de la IoT: ¿qué podemos hacer para detenerlo?

Publicado: 11 de julio de 2018 por 
Última actualización: 10 de julio de 2018

Hace unos 40 años, la película de ciencia ficción / terror Demon Seed contó la historia de una mujer encarcelada lentamente por una inteligencia artificial, que invadió el sistema de hogar inteligente que su esposo había diseñado para administrarlo. La AI cerró puertas, ventanas, apagó las comunicaciones e incluso puso una versión sintetizada de ella en la pantalla en la puerta principal para asegurar a los visitantes que estaba “bien”.

La realidad, por supuesto, es que ella era todo menos eso. Ha habido un sinfín de obras de ficción en las que la tecnología inteligente que micromaneó el entorno hogareño se ha vuelto deshonesta . Lamentablemente, esas obras de ficción se desangran en la realidad.

En 2018, de repente tenemos el equivalente en el mundo real en hogares y detrás de puertas cerradas. Hablaremos sobre los problemas actuales momentáneamente, pero primero echemos un vistazo cómo llegamos aquí echando un vistazo atrás hace unos 15 años.

Robo de contraseñas y spyware de PC

Durante años, un subconjunto de socios abusivos con conocimientos técnicos ha colocado spyware en computadoras o dispositivos móviles, contraseñas robadas y, en general, ha guardado pestañas en su otra mitad. Esto a menudo puede conducir a la violencia, y como resultado, muchas estrategias para defenderse contra esto se han elaborado a lo largo de los años. Efectivamente me involucré en la seguridad debido a un caso de abuso relacionado con la tecnología , y di muchas charlas sobre este tema desde 2006  junto a representantes de NNEDV (Red Nacional para Terminar con la Violencia Doméstica).

El spyware para el consumidor es un gran problema , y los gigantes tecnológicos como Google están financiando programas diseñados para ayudar a los cónyuges abusados ​​a salir de escenarios de abuso tecnológico.

La ola móvil y el control social

Después de que el spyware basado en PC se convirtió en una herramienta para los abusadores, se produjo un aumento en el “control coercitivo”, el acto de exigir revisar correos electrónicos, mensajes de texto, mensajes directos y más enviados a teléfonos móviles. Los socios abusivos que exigen ver mensajes SMS siempre han sido una cosa, pero llevar toda tu existencia en línea y tirarla a un dispositivo de bolsillo siempre aumentaría las apuestas para la gente.

El control coercitivo es un problema tan serio que el Reino Unido tiene leyes específicas contra él , y el acto se convirtió en un crimen en 2015. Si lo declaran culpable, puede esperar ver un máximo de cinco años de prisión o una multa, o ambos en el peor de los casos. De la descripción del control coercitivo:

El comportamiento coercitivo o de control no se relaciona con un solo incidente, es un patrón intencional de incidentes que ocurren con el tiempo para que un individuo ejerza poder, control o coacción sobre otro.

Mantenga el “patrón determinado de incidentes que ocurren con el tiempo para que un individuo ejerza poder o control” en la descripción a medida que pasamos a la siguiente sección sobre el abuso del Internet de las cosas (IoT), porque es relevante.

Internet de las cosas: control total

Un concentrador de control de Internet of Things podría ser un complejo servicio de nube remota que alimenta una multitud de dispositivos, pero para la mayoría de las personas, es un dispositivo que se instala en el hogar y ayuda a encender y controlar electrodomésticos y otros sistemas, generalmente con algún nivel de acceso a Internet y la posibilidad de control adicional a través de un teléfono inteligente. Podría estar a cargo de cámaras de seguridad o sensores de movimiento, o podría ser el paquete completo: calefacción y refrigeración, iluminación, ventanas, cerraduras de puertas, alarmas contra incendios, hornos, temperatura del agua, prácticamente cualquier cosa que se te ocurra.

Los socios abusivos no han tardado en aprovechar esta funcionalidad recién incorporada, con numerosos relatos de ellos que hacen la vida imposible para sus seres queridos, efectivamente atrapados en una reelaboración 24/7 de una casa distópica de ciencia ficción.

Su crueldad solo está limitada por lo que no pueden enganchar a la red general. Encerrar al cónyuge en su lugar de residencia y luego encender el fuego, abanicarlo, encender y apagar luces, deshabilitar servicios, grabar conversaciones, activar alarmas de seguridad ruidosas; el compañero abusado está casi enteramente a su merced.

Hay todo tipo de implicaciones extrañas generadas por este tipo de abuso de tecnologías e individuos en el mundo real. ¿Qué sucede si alguien tiene una reacción adversa al cambio de temperatura severo? ¿Un ataque epiléptico debido a las luces que parpadean rápidamente? ¿Qué tal si alguien apaga las alarmas de humo o la tecnología de respuesta de emergencia de la policía y luego el lugar se incendia o alguien irrumpe?

Alguien podría ser responsable de una muerte, pero ¿cómo lo resolvería la policía, y mucho menos saber dónde echar la culpa?

Por supuesto, esas son situaciones en las que los cónyuges aún viven juntos. También hay escenarios en los que la pareja se ha separado, pero el abusador aún tiene acceso a la tecnología de IoT, y ellos comienzan a jugar con sus vidas de forma remota. Uno es un enfoque algo más directo que el otro, pero ninguno es particularmente bueno para la persona que lo recibe.

Un reto desalentador

Desafortunadamente, este es un hueso duro de roer. En términos generales, los consejos dados a los sobrevivientes de abuso doméstico tienden a errar por el lado de la extrema precaución, porque si el abusador nota la más mínima irregularidad, buscarán represalias. Con computadoras y más formas “tradicionales” de skullduggery basadas en tecnología, generalmente hay algunas partes de margen de maniobra.

Por ejemplo, un compañero abusado puede tener un dispositivo móvil, que está inmediatamente fuera del alcance del abusador en el momento en que salen, suponiendo que no lo hayan manipulado. En el escritorio, la navegación en modo incógnito es útil, al igual que los sitios web de abuso doméstico que ofrecen sugerencias y  botones de cierre rápido en caso de que el abusador esté cerca.

Sin embargo, incluso entonces, existe el riesgo: el abusador puede conservar los registros de la red o usar software de vigilancia, y los intentos de “ocultar” los datos de navegación pueden levantar sospechas. De hecho, este es un ejemplo donde los sitios web que se mueven lentamente hacia los HTTP son beneficiosos, porque un abusador no puede ver los datos del sitio web. Aun así, es posible que aún vean las URL y vuelvan al punto de partida.

Con IoT, todo es mucho más difícil en situaciones de abuso doméstico.

Una gran cantidad de tecnología de IoT es increíblemente insegura porque la funcionalidad es donde está; seguridad, no tanto. Es por eso que usted ve tantas historias sobre webcams  transmitidas a través de Internet, o juguetes que hacen cosas raras , o la tostadora ocasionalmente conectada a Internet.

En comparación, los centros principales que controlan todo en el hogar suelen estar bastante bloqueados, especialmente si son una marca conocida como Alexa o Nest.

En estas situaciones, cuanto más bloqueado esté el dispositivo, más difícil será sugerir soluciones de evasión para las personas amenazadas. Difícilmente pueden saltar y comenzar clandestinamente a manipular la tecnología sin previo aviso; francamente, la gente tiende a darse cuenta si un dispositivo físico no actúa de manera mucho más rápida que su pieza encubierta de spyware diseñada para tomar correos electrónicos de una computadora portátil.

Todo tipo de cosas extrañas pueden salir mal con algún spyware comprado. Tal vez haya un servidor al que necesite llamar, pero el servidor está desconectado temporalmente o se ha apagado. Tal vez la conexión a Internet es un poco escamosa, y no está enviando datos a la base. ¿Qué pasa si el codificador no era bueno y algo al azar comenzó a desmoronarse? Hay tantas variables involucradas que muchos abusadores podrían no saber qué hacer al respecto.

Sin embargo, se espera que un poco estándar de IoT comercial funcione de cierta manera y cuando de repente no lo haga. El abusador lo sabrá.

Abordando el problema

A pesar de los desafíos, hay algunas cosas que podemos hacer para al menos obtener un punto de apoyo contra los atacantes nacionales.

1) Mantenga un registro: con la advertencia estándar de que hacer una acción X puede atraer la atención Y, un registro es un pilar de los casos de abuso. Prácticamente todos los que han experimentado este abuso y lo hablan públicamente dirán lo mismo: sean conscientes de lo obvio que es su registro . Un libro puede funcionar para algunos, el texto ofuscado en el código puede funcionar para otros (aunque podría atraer un interés injustificado si se descubriera). Puede ser más fácil esconder un libro que mantenerlo alejado de su computadora portátil.

Por supuesto, adaptarse a la situación en cuestión; si ya no vives con la pareja abusiva, es probable que no lean tu diario en papel guardado en un armario. ¿Qué tal una aplicación móvil? Hay herramientas en las que puede detallar información que no se guarda en el dispositivo a través de programas diseñados para parecerse a aplicaciones meteorológicas . Si puede construir una imagen de cada vez que la calefacción se vuelve insoportable, o las luces entran en sobremarcha, o las alarmas comienzan a zumbar, estos son datos valiosos para la aplicación de la ley.

2) La correlación es una cosa maravillosa. Muchos de los dispositivos más populares mantendrán estadísticas detalladas de uso. Nest, por ejemplo, “recopila estadísticas de uso del dispositivo” (2.1, Privacidad del usuario) como se menciona en este documento de Black Hat [PDF]. Si alguien eventualmente va a la policía con sus registros, y la policía puede obtener estadísticas de uso para (digamos) fluctuaciones extremas de temperatura, o puertas cerradas, o bombillas que se vuelven locas, entonces las cosas rápidamente parecen problemáticas para el abusador.

Este sería especialmente el caso donde las estadísticas registradas en el dispositivo coinciden con lo que haya escrito en su diario físico o guardado en su aplicación móvil segura.

3) Este es un problema bastante nuevo que ha salido a la luz, y la mayoría de las discusiones al respecto en círculos tecnológicos están llenas de gente de tecnología que dice: “No tenía idea de que esto fuera una cosa hasta ahora”. Si hay un refugio local para cónyuges abusados ​​y usted es bueno con esta área de tecnología / seguridad / privacidad, es posible que desee aparecer y ver si hay algo que pueda hacer para ayudar a transmitir información útil. Es probable que no tengan a nadie en el personal que pueda ayudar con este caso particular. Cuanto más compartimos entre nosotros, más podremos apoyar a los socios abusados ​​para superar sus situaciones.

4) Si ha escapado de un cónyuge abusivo pero ha traído tecnología con usted, no hay garantía de que no haya sido completamente comprometida. ¿Ustedes dos tienen acceso de administrador a los dispositivos? ¿Has cambiado la (s) contraseña (s) desde que te mudaste? ¿Qué tipo de información se revela en la consola de administración? ¿Menciona las direcciones IP utilizadas, quizás la ubicación geográfica, o tal vez una nueva dirección de correo electrónico que utilizó para configurar las cosas de nuevo? Si ha estado experimentando cosas extrañas en su hogar desde que volvió a enchufar todo, y se parecen al tipo de engaño enumerado anteriormente, es muy posible que el socio abusivo todavía no sirva para nada.

Hemos detectado al menos un ejemplo en el que una organización ha realizado un trabajo de depuración de IoT . La idea de “hacerles fantasmas”, que mantiene al menos un dispositivo comprometido en funcionamiento para hacer que el abusador piense que todo está bien, es interesante, pero potencialmente no sin riesgos. Si es posible, nuestro consejo es destruir todas las piezas de tecnología que se hayan traído para el viaje. IoT es algo tan complejo de configurar, con tantas partes móviles, que es imposible decir con certeza que todo ha sido exorcizado tecnológicamente.

Sin solución rápida

Sería genial si hubiera algún tipo de solución mágica tecnológica que pudiera solucionar este problema, pero como verás después de indagar sobre el tema “IoT scrub job”, muchos profesionales de seguridad recién están comenzando a entender este tipo. del asalto digitalizado, así como las mejores formas de combatirlo. Al igual que con todo el abuso doméstico, la precaución es clave, y no debemos apresurarnos a dar consejos que potencialmente podrían poner a alguien en mayor peligro. Frustrante, una sorprendente cantidad de los mejores resultados en los motores de búsqueda para ayudar con estos tipos de ataques da como resultado 404 páginas de error o sitios web que simplemente ya no existen.

Claramente, todos necesitamos mejorar nuestro juego en círculos tecnológicos y ver qué podemos hacer para poner fuera de combate este espectáculo de terror habilitado para IoT antes de que pierda el control. A medida que IoT continúa integrándose en la vida cotidiana de las personas, de maneras que no pueden ser fácilmente arrancadas después, el potencial de daño masivo a los miembros más vulnerables de la sociedad nos está mirando a la cara. Tenemos que estar a la altura del desafío.