Archivo por meses: febrero 2016

La herramienta VirusTotal de Google ahora detecta firmware sospechoso.

virus total

VirusTotal es un antivirus que Google adquirió allá por el 2012, y según dicen a partir de ahora es capaz de detectar infecciones a nivel de firmware. Que un sistema operativo se infecte es algo realmente común, solamente basta con correr un antivirus, se elimina el virus, se reinicia el equipo y problema resuelto, pero cuando el malware es tan dañino que infecta al firmware de un dispositivo es más complicado. Es por eso que Google saca pecho ante su nueva característica, cuando un virus ataca al firmware es algo muy diferente porque es algo independiente del sistema operativo, es muy difícil detectarlo y mucho más eliminarlo.
La herramienta comprada por Google, VirusTotal está de estreno con un nuevo apartado que analiza el código de bajo nivel que conecta el hardware del equipo con los códigos de arranque de los sistemas operativos (software). Este tipo de ataques son los que utilizan los miembros de la NSA (Agencia de Seguridad Nacional de Estados Unidos), entrando en el firmware de los dispositivos de diversas organizaciones para introducir malware, porque es un sitio donde se puede ingresar e infectar con mucha facilidad.
“Hemos conseguido algo que los programas antivirus no son capaces de afrontar, detectar las amenazas que afectan al firmware de los usuarios”, explicaba Francisco Santos, ingeniero de la firma VirusTotal, también indicaba que otra característica del malware introducido en el firmware de los dispositivos es que a muchas veces resulta difícil de eliminar, siendo capaz de sobrevivir incluso a reinicios de sistema, inclusive sigue alojado instalando nuevamente el sistema operativo en el equipo.
El servicio que proporciona VirusTotal trabaja de la siguiente manera; es capaz de detectar el malware, y a su vez informa si los productos antivirus instalados en el equipo son capaces de detectar este tipo de amenazas a nivel de firmware, así como el tipo de malware con el que estamos tratando. La nueva característica también proporciona imágenes del firmware informando si es una muestra sospechosa, y si tiene otro tipo de archivos ejecutables en su interior. Describiendo la gran potencia de VirusTotal, Francisco Santos hace gala de la capacidad que tiene el servicio para extraer los archivos ejecutables portables del interior del firmware, para que deje de ser una fuente de comportamiento malicioso. “Los archivos ejecutables se extraen y se analizan individualmente por VirusTotal, donde se le ofrece al usuario un informe detallado del estado de cada uno de ellos”, concluye Santos.
A partir de ahora las personas podrán extraer su propio firmware y analizarlo con el servicio de Google, esto es una gran ventaja para los usuarios ya que mientras más se utilice, más registros quedaran en sus servidores haciendo una gran base de datos de varios firmware, donde los usuarios podrán contribuir a la investigación de este tipo de malware.

Hubo una baja en los ataques DDoS, pero ahora son más sofisticados.

ddos attack

Dentro del último informe trimestral de la firma de seguridad Kaspersky Lab se destaca la disminución del número de países afectados por ataques DDoS, mientras que seguían apareciendo nuevos medios de ataque utilizados por los cibercriminales. Ahora los cibercriminales no son tan constantes con estos ataques, pero si ha crecido la sofisticación con la que los planean. En el 2015, Kaspersky Lab pudo detectar el ataque DDoS basado en una botnet más largo del año, durando más de dos semanas consecutivas.
En el informe sobre ataques DDoS, se destaca que en el cuarto trimestre de 2015 fueron 69 países los que se vieron afectados por ataques DDoS asistidos por botnets, la gran parte de esos ataques, un 95%, fueron dirigidos a 10 países, la lista la encabeza China, Corea del Sur, y Estados Unidos. Los expertos en la materia explican que el mayor ataque DDoS detectado en el último trimestre del año se extendió por 371 horas, marcando una cifra record.
Los cibercriminales no se centraron en un solo tipo de ataque, sino que utilizaron diferentes tipos de bots para lograr sus objetivos, haciendo que la riqueza del ataque fuera más difícil de controlar. Al utilizar diferentes tipos de bots para sus fechorías, se hace el ataque mucho más complejo, la proporción de este tipo de ataques fue del 0.7%, mientras que en los últimos tres meses de 2015 creció hasta el 2.5%. Esto se debe a la gran popularidad del nuevo método que encontraron los cibercriminales, usando bots Linux se dieron cuenta que sus ataques iban a ser mucho más efectivos, y es así como se registró que un 54.8% de todos los ataques DDoS registrados en el cuarto trimestre fueran de este tipo.
Uno de los nuevos métodos que se han estado utilizando es el uso de nuevos medios para llevar lograr ataques DDoS reflexivos, se trata de un ataque que explota las debilidades en la configuración de un tercero para darle más incrementar su poder. El informe publicado explica que los cibercriminales enviaban tráfico de datos a los lugares seleccionados mediante los servidores DNS NetBIOS, servicios PRC de controlador de dominios conectados con un puerto dinámico y a servidores de licencias WD Sentinel. El gran control de los cibercriminales fue un punto clave para los ataques, los expertos de Kaspersky Lab lograron registrar unas 900 cámaras de circuito cerrado de televisión en todo el mundo que formaban parte de una botnet, que a su vez era una de las principales fuentes de ataque DDoS por los cibercriminales.

Desde Kaspersky Lab también se logró identificar un nuevo tipo de ataque a los recursos web inducidos por el sistema de gestión de contenidos de la plataforma de blogs, WordPress.
“Podemos ver que la complejidad y la capacidad de los ataques DDoS no han disminuido con el tiempo, pero el número de recursos atacados ha caído. Por desgracia, DDoS sigue siendo una herramienta conveniente y accesible para el cibercrimen, porque todavía hay vulnerabilidades de software que los atacantes pueden utilizar para penetrar en los servidores. También hay usuarios que no protegen sus dispositivos, y eso aumenta las posibilidades de que esos dispositivos puedan ser infectados por bots. Por nuestra parte, estamos comprometidos a proporcionar a las empresas información sobre la amenaza DDoS y a promover la lucha contra ella, porque DDoS es una amenaza que puede y debe ser combatida”, indica Evgeny Vigovsky, jefe de Kaspersky DDoS Protection en Kaspersky Lab.

Hidden Tear, un ransomware de código abierto causa estragos.

ramsomware

Si hay algo que viene en constante crecimiento es el ransomware, hace algunos años este método era desconocido para muchos, pero ha tomado cada vez más importancia para los cibercriminales por el método que utiliza y los beneficios económicos que pueden llegar a lograr en poco tiempo. En este caso hablamos de Hidden Tear, un ransomware extremadamente difícil de detectar y eliminar, su método de operar es el mismo de siempre, cifra datos en el equipo y pide una suma de dinero para dejarlos como antes, si no se llega a para el rescate los datos quedarían cifrados e inclusive los perderíamos para siempre. Pero aquí no termina todo, porque en caso de pagar, las garantías de hacernos con los datos nuevamente no son del 100%, por lo que se recomienda en primer lugar tener sumo cuidado, y en caso de caer en estas trampas dar los archivos por perdidos antes de pagar.
Este ransomware es tan complejo que no siempre volveremos a tener nuestros archivos. Todo comenzaba cuando un investigador de seguridad decidió crear una variante de este tipo de malware, pero no una común, sino que fuera con código abierto para que todos pudieran utilizarlo para investigar su funcionamiento. Su pieza recibió el nombre de Hidden Tear y la publicó en el sitio web GitHub para que las empresas de seguridad lo investigaran en busca de una solución, pero no fue así, una vez que se publica algo en la red es imposible controlar qué fin puede tener. Es así como mientras unas personas investigan en busca de soluciones, otras aprovecharon el código abierto de Hidden Tear para hacer sus propias versiones de este ransomware y atacar a otras personas. De momento es muy complicado que un antivirus detecte este ransomware y por eso los expertos se encontraban analizándolo en busca de una solución, quizás, el error más grande fue publicarlo en un sitio público al acceso de todo el mundo.
El ransomware ahora se encuentra en la red y está haciendo de las suyas, una variante de Hidden Tear, que responde al nombre de Magic, causa una pérdida irrecuperable de los datos en los equipos que infecta, debido a que las claves de cifrado fueron borradas del servidor, por lo que es imposible recuperar los archivos aunque se page el rescate. El código fuente de Hidden Tear ya fue eliminado de GitHub, pero demasiado tarde, muchos usuarios fueron capaces de descargarlo y crearon ramificaciones del proyecto, y ahora es imposible controlarlo. Si bien muchos usuarios y expertos siguen buscando una solución al problema, los cibercriminales siguen creando variantes de Hidden Tear.
Según la firma de seguridad Kaspersky Lab, en uno de sus más recientes informes a causa de este ransomware informa que, ya se pudieron detectar más de 24 tipos de variantes diferentes con base en Hidden Tear, y así seguirá en aumento en el correr de los días. Los expertos señalan que cada una de ellas funciona de una manera diferente, una cifra los datos del escritorio, otra pide al usuario que envíe la clave de cifrado manualmente mediante un correo electrónico, otras utilizan un servidor de comando para hacer el ataque más sofisticado. Lo preocupante del asunto es que en varios casos estos ransomware están causando pérdidas de datos irrecuperables, debido a una mala configuración del servidor de comando, muchas veces hecho a propósito por parte de los cibercriminales. ¿Por qué? Únicamente para hacer daño a las personas afectadas.
Su creador original, el turco Utku Sen, no sabía que su publicación iba a crear este caos, el ransomware de código abierto fue creado para aprender más sobre sus características y funcionamiento, estas variantes son cada vez más comunes en la red y su cometido era la investigación. Nunca se imaginó que algunos usuarios lo utilizarían para atacar a otras personas. Qué ingenuo.
El error más grande que cometió es haber creado un ransomware funcional y publicarlo en el sitio GitHub, Utku Sen pudo haber publicado ciertas normas de seguridad que impidieran que cualquier persona lo pudiera utilizar a su gusto. A pesar de que el proyecto original ya está retirado el sitio, el código ya se encuentra en manos de los cibercriminales. En cambio, desde el sitio web del creador hay un comunicado expresando que si algún investigador de seguridad está interesado en el código de su ransomware, puede solicitárselo mediante correo electrónico. Esperemos que esta vez sí caiga en las manos correctas, a pesar de que ya es demasiado tarde.
Las principales firmas de seguridad se tendrán que poner en marcha para buscarle una solución a este ransomware que está dando vueltas por la red. Mientras eso sucede, es recomendable ser cuidadosos con los correos electrónicos y las descargas, y como siempre, utilizar el sentido común.

Windows 10 al desnudo, envía 5.500 datos por día sin importar la privacidad.

windows 10

Uno de los puntos más preocupantes de Windows 10 es el problema que significa la privacidad para los usuarios, desde su lanzamiento fue muy cuestionado por cómo invadía la privacidad de sus usuarios enviando datos sobre su uso. Tanto fue así, que muchos usuarios tuvieron que reconfigurar el reciente sistema operativo de Windows para proteger un poco más su privacidad y no enviar tantos datos a Microsoft.
Durante los primeros meses, Windows 10 llegó a ser llamado un spyware, debido a la cantidad de privilegios que tenía sobre los datos del equipo. La noticia causó mucha incertidumbre entre los usuarios y largas charlas sobre si Windows 10 no se entrometía mucho en la privacidad de sus usuarios, inclusive deshabilitando las características que comprometían la privacidad el equipo podía seguir enviando datos a Microsoft. Las funciones de seguimiento de Windows 10 todavía seguían activas, así lo indica un reciente análisis que realizó CheesusCrust, un usuario de Voat, una comunidad libre de censura donde todos pueden expresar sus opiniones.
Es así como este usuario decidió comenzar a investigar si Windows 10 seguía enviando datos a Microsoft luego de configurar la privacidad, optó por instalar el exitoso sistema operativo en una máquina virtual, su equipo trabajaba con Linux como base y contaba con un router DD-WRT para adquirir un control más preciso sobre las conexiones entrantes y salientes. La versión que se utilizó es Windos 10 Enterprise porque le brinda al usuario un mayor control sobre el sistema. Una vez instalado Windows 10, hizo lo que todo usuario debería hacer en caso de querer proteger su privacidad, deshabilitar las características y el envío de telemetría. La máquina virtual quedó encendida toda la noche con el único fin de saber qué tipo de tráfico generaba Windows 10 configurando la privacidad al máximo.
Para sorpresa del usuario CheesusCrust, al levantarse de su descanso y verificar su equipo 8 horas después, se encontró con que el sistema operativo intentó realizar 5.500 conexiones a 93 direcciones IP diferentes, de las cuales 4.000 pertenecían a Microsoft. Y no se dio por satisfecho, 30 horas más tarde Windows 10 había ampliado su intento de realizar envíos a 113 direcciones IP no privadas, lo que supone un riesgo para la seguridad del equipo, ya que el tráfico podría ser interceptado por un cibercriminal.
Sorprendido, el usuario siguió analizando una serie de posibilidades y reinstaló Windows 10 en otra máquina virtual donde añadió una herramienta llamada DisableWinTracking, un software que evitaría el rastreo en el equipo. En esta oportunidad el sistema fue analizado por 30 horas seguidas, pero la situación no parece ser muy alentadora, el número de conexiones se había reducido a 2.758, tratando de enviar datos a 30 direcciones IP diferentes.
La cantidad de conexiones e IPs que se maneja por parte de Microsoft es bastante importante, inclusive alguna son no privadas poniendo en riesgo la seguridad, pero no obstante configurando la privacidad el equipo sigue enviando datos de usuario. Hasta aquí todo hace pensar que de poco sirve configurar la privacidad si se siguen enviando datos, según Microsoft son datos anónimos de usuario, pero la cantidad de conexiones que hace el sistema no es normal, quizás puede ser tráfico generado por actualizaciones u otras tareas del equipo.
Desde el comienzo de Windows 10 Microsoft explica que recolectan una cantidad limitada de información para ofrecer una experiencia segura y confiable. Esto incluye una identificación anónima del dispositivo, el tipo de dispositivo y los problemas de las aplicaciones, estos datos ayudan a Microsoft y sus socios a mejorar la confiabilidad en las aplicaciones. Lo que aquí expone el usuario que se ha tomado la molestia de analizar las conexiones no es simplemente envío de datos, en base a la cantidad de conexiones que hace el sistema durante 8 horas, no se está enviando solamente datos anónimos ni personales, y mucho menos con la frecuencia que intenta enviarlos.
Lo cierto es que Microsoft podría estar pensando en un futuro no muy lejano, donde los usuarios tengan más control sobre qué tipo de datos envía Windows 10 a sus servidores, como medida para callar bocas y borrar la fama de spyware que tiene el último sistema operativo de la firma ubicada en Redmond. Dos meses luego de su salida, en septiembre de 2015, Microsoft ya había hablado sobre una solución al respecto, pero hasta la fecha no ha habido novedades.
Los usuarios quieren una pronta solución al tema de la privacidad en Windows 10, se sienten invadidos con el reciente sistema operativo y exigen tener aún más control sobre qué tipos de datos se envían a sus servidores. Quizás la última movida estratégica de Microsoft para dar por finalizado el tema de la privacidad sea dejando de enviar información anónima, y permitiendo que los usuarios sean dueños de su información.
El gran defecto que posee Windows 10, y uno de los grandes motivos por los que aún muchos usuarios no se han cambiado al nuevo sistema es la privacidad. En estos años donde la privacidad de los usuarios es algo muy delicado y cada vez más programas y aplicaciones piden permisos para recabar datos de forma anónima, no se puede estar jugando con los usuarios de esta manera, las cosas tienen que ser bien claras y cada quién debe tener el control de su privacidad.
La era de la comunicación ha llegado hace varios años e Internet es utilizado por todo el mundo, cada persona tiene un dispositivo móvil en el cual contiene muchísima información delicada, es importante cuidar nuestra privacidad para evitar que los datos sean mal utilizados por terceros, el control debe estar a nuestro alcance.