Blog de Orlando Alonzo

Comentarios sobre tecnología, redes sociales y cosas como desarrollo de software, libros y películas.

Tag: malware (page 2 of 7)

Android 4.2 implementa Bouncer para detectar malware en aplicaciones de terceros

Android Bouncer (tomado de talkandroid.com)

Hace poco salió a la luz Android 4.2, y algunas características más glamorosas como el soporte de Miracast y otras acapararon la atención, pero hay algunas que son bastante interesantes, en particular una ligada a la seguridad de la plataforma: de vuelta en febrero Google implementó en la tienda Play una tecnología llamada Bouncer, la cual tiene la finalidad de detectar aplicaciones con malware tanto confirmado como sospechoso, antes que lleguen a tu teléfono. Ahora en vez que sólo sea del lado de los servidores de Google, lleva la tecnología de Bouncer a las instalaciones que se hagan por sideloading, es decir, aplicaciones de terceros que metas a tu teléfono. El servicio es “opt-in“, es decir, tienes que aceptarlo para que entre en funciones; la primera vez que quieras meter una app de terceros, te encontrarás una verificación que te permitirá que se escaneen las apps de ahora en adelante o bien que no se haga. Si aceptas, todo pasa tras bambalinas: el sistema de seguridad manda la firma del APK para que sea verificada por los servidores de Google, y de ser benigna la instalación continúa como si nada; pero si es maligna el sistema bien podría impedirte instalarla, o si es sospechosa pero no ha evidencia de daño alguno, se te dará la opción de instalarla si así lo deseas.

Me parece una excelente idea en estas épocas donde se le hecha tanta tierra a Android sobre los problemas de seguridad, pero muchas veces de manera risible o cuestionable. Aún así, las aplicaciones en Google Play ya son más de 700,000, así que cualquier control de seguridad extra es bienvenido.

Miles de aplicaciones en Google Play con problemas de implementación SSL/TLS

Android caja fuerte

Más problemas de seguridad en la tierra de Android: de acuerdo con investigadores miles de aplicaciones tendrían serios problemas en cuanto a la forma que implementan SSL/TLS, lo que las haría vulnerables a un tipo de ataque conocido como “persona en medio” que permitiría a su vez que se roben credenciales de bancos, tarjetas de crédito y más información. Para los que no sepan que son, TLS/SSL son protocolos de encriptación que proveen de seguridad en comunicaciones vía Internet. Los investigadores antes mencionados hicieron un estudio detallado de 13,500 de las apps gratuitas más populares en Google Play, tratando de determinar que tan bien estaba su implementación SSL/TLS. Tristemente, el resultado de su investigación fue encontrar más de 1,000 apps con problemas de implementación SSL. Peor aún, los investigadores pudieron obtener datos a través de estas aplicaciones sin problemas: datos como tarjetas de crédito, cuentas de banco, credenciales de PayPal y credenciales de redes sociales. Esto por supuesto que no son buenas noticias para nadie, en particular para los que somos usuarios de Android.

Pero, ¿de quién es la culpa? para ser sincero, SSL no es precisamente lo más fácil de implementar del mundo. Pero también está el tema de los desarrolladores incompetentes, y más aún de porqué Google no ha implementado controles más estrictos en Google Play para tratar de evitar estos problemas. Es decir, investigadores lo pueden hacer, ¿porqué Google no? entre tanto esto se soluciona, los que deseen pueden leer el paper publicado al respecto, donde se indican varias lecciones tanto para desarrolladores, así como para usuarios. Como dije antes, esto sigue una nefasta cadena de problemas de seguridad respecto a los cuales Google no ha hecho gran cosa.

FBI, Android y un poco de FUD

Teléfono con llave (tomado de RedOrbit.com)

El Internet Crime Complaint Center (Centro de Quejas de Crímenes por Internet o IC3 por sus siglas en inglés), una rama del FBI, emitió un boletín donde advierten sobre el malware en Android, así como también ofrecen consejos sobre que hacer para proteger tu dispositivo. La cosa es que la primera parte, donde hablan de las aplicaciones que usan como ejemplo, se refieren a LoofZon y FinFisher, dos aplicaciones que ya no son novedad y de las cuales se ha escrito bastante. En el caso de ambas aplicaciones, los métodos para contraer una infección no son precisamente automáticos, requieren de pasar por un proceso de phishing, descarga y posiblemente hasta de aprobación de instalación. En pocas palabras, al menos en esta primera parte del comunicado, me parece que es FUD del FBI, y que debieran investigar amenazas un poco más recientes.

Ahora, las recomendaciones para proteger tu dispositivo valen la pena reproducirlas aquí:

  • Cuando compres un smartphone, aprende que características tiene, incluyendo las que estén habilitadas por default; apaga las que no se usen para minimizar los puntos de entrada de un ataque.
  • Si tu teléfono tiene encriptación, puede usarse para proteger los datos en caso de pérdida o robo.
  • Aprovecha la comunidad alrededor de la tienda de aplicaciones y lee las críticas de otros usuarios sobre la aplicación que pretendas descargar.
  • Revisa y entiende los permisos que le darás a las aplicaciones que descargues.
  • Bloquea con PIN tu dispositivo, en conjunto con bloqueo automático de pantalla con una duración corta.
  • Obtén protección antimalware para tu dispositivo.
  • Se conciente de las aplicaciones que usan la geolocalización; esto puede usarse para fines normales o para fines nocivos, dependiendo de quién lo use. Yo en lo personal evito cualquier información geográfica.
  • Cuidado con el jailbreak: si bien permiten nuevos límites a tu dispositivo, permite control no regulado sobre instalación de aplicaciones y como se usa el dispositivo.
  • No te conectes a redes inalámbricas desconocidas.
  • Este es importante y muchos no se acuerdan cuando hace falta: si vas a vender tu dispositivo, no te olvides de limpiar tus datos personales, los teléfonos con Android tienen una función específica para esto.
  • Mantén actualizado tu teléfono y las aplicaciones.
  • Cuidado con las tiendas de aplicaciones de terceros; la oficial es la Google Play, fuera de eso sólo hay algunas que son verdaderamente confiables. Investiga hasta el cansancio cuando te encuentres una nueva.

Como puedes ver, muchas son de sentido común, pero igual muchas veces se pasan por alto.

Oracle libera parche para Java, y se encuentran nuevas vulnerabilidades

Java Evil Edition

Java no tiene descanso en estos días: primero se descubre una vulnerabilidad bastante peligrosa cuyo mejor remedio es desinstalarlo por completo; luego Oracle rompe su ciclo de actualizaciones y libera un parche para esta vulnerabilidad, sólo para crear más vulnerabilidades, pues investigadores de seguridad encontraron que podían explotar esta para ejecutar código arbitrario en sistemas que tengan actualizado el runtime de esta plataforma. No se sabe mucho de estas vulnerabilidades, excepto que logran “salirse” de la caja de arena de Java y pueden ejecutar código; la empresa que encontró las vulnerabilidades se mantendrá callada respecto a las mismas mientras Oracle corrige el problema. Al menos en este caso las vulnerabilidades encontradas son pruebas de concepto y no están en uso actualmente, pero tampoco podemos confiar en que nadie las encontrará.

El consejo sigue siendo el mismo hasta que se termine esta contingencia de Java: si no tienes alguna aplicación que dependa del runtime en tu máquina, mejor dile adiós y desinstálalo; de lo contrario, lo puedes desactivar mientras Oracle libera un parche sin errores.

Es momento de deshabilitar Java en tu PC, para siempre

Java = muerte segura

Investigadores encontraron una nueva vulnerabilidad en Java (específicamente en Java Runtime Environment o JRE) que permite que los atacantes ejecuten código arbitrario en sistemas clientes, y esta vulnerabilidad ya está siendo utilizada; desafortunadamente, la siguiente iteración en el ciclo de actualizaciones de Oracle no es precisamente pronto, así que un parche para esta vulnerabilidad puede tardar en aparecer. Esta vulnerabilidad ataca a JRE 1.7 o superior, y puede ser explotado bajo Windows, Linux o Mac, bajo cualquier navegador de los de primera línea (Internet Explorer, Chrome, FireFox, Opera y Safari). Detalles más, detalles menos, saben que, realmente no importa: lo que sí importa es que Java del lado de los clientes (en sus computadoras pues) es una tecnología muerta, sólo sirve para aprender el lenguaje como tal y ya. De resto, es un desastre esperando a suceder. Hoy en día la web depende cada vez menos de Java (del lado del cliente, ojo, del lado de los servidores es otra realidad), y honestamente ya no sirve de nada tenerlo instalado. A título personal les digo que lo mejor sería desinstalarlo, pero cuando menos deberían deshabilitarlo mientras sale un parche oficial. Les dejo los pasos para desinstalarlo o deshabilitarlo en varias aplicaciones:

Para desinstalar Java completamente en Windows

  1. Clic en Inicio / Panel de Control.
  2. Clic en Programas y Características.
  3. Haz una búsqueda por Java, JDK, JRE y elimina todo lo que aparezca.

Listo, tu PC está libre de esa peste.

Para deshabilitar el complemento para Chrome

  1. En la barra de direcciones, teclear ‘chrome://plugins‘ (sin apóstrofes)
  2. Encuentra Java en la lista que se te muestra en la pantalla y haz clic en “Deshabilitar”

Para deshabilitar el complemento para Internet Explorer

  1. Haz clic en el botón “Herramientas” (el que parece un engrane)
  2. Haz clic en “Admnistrar complementos”
  3. En la lista que se te muestra encuentra el plugin de Java y luego haz clic en el botón ‘Deshabilitar’ ubicado abajo y a la derecha

Para deshabilitar el complemento para FireFox

  1. Clic en menú principal (la barra naranja arriba a la izquierda)
  2. Clic en ‘Complementos’
  3. Localiza todo lo que diga Java, y haz clic en su botón de ‘Deshabilitar’ correspondiente

Y baja VirtualBox para que hagas tu máquina virtual con el sistema operativo que quieras y con Java para poder seguir jugando Minecraft jejeje…

Computadoras infectadas con DNS Changer se quedarán sin Internet el 9 de julio, y que hacer al respecto

 Calavera digital (tomado de Mashable)

DNS Changer es un malware que apareció hace más o menos un año, cuando unos hackers infectaron más de medio millón de computadoras alrededor del mundo a través de un engaño con anuncios en línea, intento que el FBI de los Estados Unidos detuvo a finales del año pasado. El malware sobreescribe información de DNS de la máquina para reenviar datos sensibles como números de tarjetas de crédito y demás a servidores que pertenecían a los hackers. Sin embargo, una vez que tiraron todo el teatro, el mismo FBI se percató que no podía simplemente apagar los servidores maliciosos usados para controlar las computadoras infectadas, pues los infectados, al no tener bien su DNS, perderían acceso a Internet. Así que el FBI creó una red de seguridad, contratando a una empresa de seguridad para que instalara nuevos servidores que reemplazarían a los de los hackers de modo que los usuarios no se quedaran sin Internet. Sin embargo, esa “red de protección” se apagará este 9 de julio, por lo cual las computadoras que todavía estén infectadas muy seguramente perderán la habilidad de navegar por Internet. Cabe aclarar que todo esto no pasaría si se le hubiera hecho caso a tiempo a las advertencias que mostraban sitios como FaceBook o Google al detectar que las computadoras del usuario estaban infectadas, pero para variar muchos ignoraron las advertencias, e incluso muchos usuarios siguen sin protección de ningún tipo.

Pero bueno, ¿que hacer al respecto? lo primero es correr una prueba rápida para saber si una PC está infectada; visita el sitio http://www.dns-ok.us/, y si ves unas figuras sobre un fondo verde, todo está bien; si el recuadro es rojo, entonces tienes un problema: visita el sitio http://www.dcwg.org/fix/ para obtener una lista de herramientas de varios vendedores para reparar el problema. Como siempre, mantén actualizado tu antivirus, y si no tienes uno, investiga bien las opciones disponibles e instala uno tan pronto puedas.

Fuente: Yahoo News

Nuevo malware Flame es el más sofisticado hasta ahora

Diagrama de ataque de Flame (tomado de artículo de Kaspersky)

La empresa Kaspersky encontró lo que parece ser un nuevo malware llamado Flame, completamente distinto a todo lo que se conoce hasta ahora y al que llaman “el arma cibernética más compleja jamás liberada.” (hey, son una empresa que fabrica un antivirus, que querían que dijeran). Tristemente, Flame al parecer tiene exclusividad para Windows.Este malware Flame tiene varias características en común con los anteriores Duqu y Stuxnet, este último que se usó para sabotear controles industriales ligados al controversial programa nuclear de Irán; al igual que estos dos últimos, se cree que Flame forma parte de las guerras cibernéticas que se libran en Oriente Medio. Pero vamos de regreso a Flame: la complejidad de este viene debido a varias características que tiene, como por ejemplo el hecho de que es un conjunto de herramientas (es modular), donde cada herramienta tiene una tarea en particular, llámese husmear en el tráfico de la red, capturar pantallas, grabar conversaciones desde el micrófono de la computadora comprometida, interceptar el teclado y muchos otros más: toda esta información queda a disposición de varios servidores de los atacantes, los cuales si lo desean pueden integrar más módulos para hacer más eficiente a Flame; de acuerdo con Kaspersky, hay unos 20 módulos identificados, aunque se desconoce el propósito de todos.

Otra característica atípica de Flame es su gran tamaño: los componentes de Flame pueden llegar a sumar 20 MB entre ellos, y tan solo uno tiene tamaño de 6 MB. También hace uso de una máquina virtual de Lua, un lenguaje que es una extraña opción para este tipo de malware. Y también usa bases de datos locales cortesía de SQLite, con varias consultas empotradas directamente en el software, así como diversos métodos de encriptación, algoritmos de compresión, manipulación a través de scripts de Windows Management Instrumentation (WMI), manipulación del micrófono, uso de dispositivos BlueTooth (incluso como balizas o un punto de distribución, y muchas otras joyas.

¿Qué es lo que hace Flame?

Básicamente, robar información a través de muchos canales: graba audio y lo almacena en formato comprimido, tiene la habilidad de capturar pantallas, incluso captura pantallas de aplicaciones “interesantes” como mensajeros instantáneos. Toda esta información se envía a los servidores de los atacantes a través de canales SSL. Cabe aclarar que todo esto es preliminar y aún se está analizando…lo cual por cierto puede tardar algo: Kaspersky tardó meses en analizar el código de Stuxnet, y sólo eran 500 KB.

Continue reading

Malware para impresoras: “Imprímeme si te atreves” (Chaos Communications Congress 28C3 2011) (vídeo)

Hace un par de meses se dió a conocer una vulnerabilidad en impresoras HP que permitía que a través de un documento malicioso se podía modificar el firmware de las impresoras de modo que se le plantara malware. Inicialmente se reportó que el fallo permitía que las impresoras se incendiaran, pero no fue más que un malentendido. Sin embargo, al pensar en la cantidad de impresoras que produce HP, pues tenemos un problema de seguridad potencialmente nefasto. Lo que ves arriba es la presentación que se dió durante el Chaos Communications Congress 2011, titulada “Print me if you dare” (“Imprímeme si te atreves” ), donde Ang Cui explica como descubrió la vulnerabilidad. Algunas partes pudieran ser técnicas para algunos (aparte de que está en inglés), pero es por demás extremadamente interesante. Les recomiendo que lo vean, pues es un excelente ejemplo de lo que se puede hacer con ingeniería inversa. Los demos que muestra son muy interesantes además de perturbadores: una impresora comprometida que duplica los trabajos de impresión enviándolos a una portátil, y en otro usar una impresora comprometida para escanear una red buscando PC’s vulnerables para infectarla y convertirla en un proxy y salir a través del firewall.

Regresando al problema, ¿qué se puede hacer con esta vulnerabilidad? imagina que con imprimir un documento, te puedas hacer del control de una red; como tu punto de ataque es una impresora, seguramente pasas por alto el firewall y otras herramientas que podrían detectarte; en pocas palabras, es un ataque letal. Cui le dió a HP un mes para que arreglaran el problema antes que lo diera a conocer, y HP ya tiene firmware que no permite este problema de seguridad. Sin embargo, actualizar el firmware de la impresora es, de acuerdo con mi experiencia, lo último en la cadena de necesidades de muchos usuarios. El mismo Cui le pide a todos los que tengan una impresora HP que actualicen sus firmwares, de modo que no vayan a padecer este problema. Vale la pena mencionar que sólo ha probado con impresoras HP, aunque cree que muchas otras padecen del mismo mal. Como dije, bastante impresionante el descubrimiento de Cui, así como perturbador.

Fuente: Boing Boing

Older posts Newer posts