iPhone vulnerable a ataques WiFi

Estándar

Ahora tienes otra buena razón para actualizar tu iPhone al recientemente lanzado iOS 11, si es que aún tenías dudas de actualizarte, ya que existe una vulnerabilidad de seguridad en iOS 10 y anteriores, para el cual existe un exploit públicamente disponible.

Gal Beniamini, un investigador de seguridad con Google Project Zero, descubrió una vulnerabilidad de seguridad (CVE-2017-11120) en el iPhone de Apple y otros dispositivos que utilizan chips de Broadcom Wi-Fi y que resulta fácil de explotar.

Esta falla es similar a la que Beniamini descubrió en el Broadcom WiFi SoC (System-on-Chip) en abril y la vulnerabilidad BroadPwn revelada por Nitay Artenstein, un investigador de Exodus Intelligence, en julio. Todas estas vulnerabilidades permiten tomar de forma remota el control de los smartphones a través de redes Wi-Fi.

La vulnerabilidad recientemente descubierta, que Apple corrigió con su importante actualización de iOS publicada el 19 de septiembre, podría permitir a los hackers tomar el control del iPhone de la víctima de forma remota. Todo lo que necesitan es la dirección MAC del iPhone o la ID del puerto de red. Lo cuál es fácil de conseguir ya que la muchos de los routers que ofrecen accesso WiFi público pueden ser fácilmente vulnerados, es por ello que esta vulnerabilidad es considera una seria amenaza para los usuarios del iPhone.

Beniamini informó en privado de esta vulnerabilidad tanto al fabricante del chip WiFi que es Broadcom como también en el sistema de gestion de errores de Google Chromium el 23 de agosto. Ahora, luego de la liberación pública de iOS 11, Beniamini publicó un exploit de prueba de concepto (PoC) para dicha vulnerabilidad, para demostrar los riesgos que esta falla podría representar en los usuarios del iPhone.

Beniamini dice que el problema existe en los chips de Broadcom que ejecutan la versión de firmware BCM4355C0, que no sólo es utilizada por los iPhones sino que también es utilizada por un gran número de otros dispositivos, incluidos los teléfonos inteligentes Android, el Apple TV y muchos televisores inteligentes.

Una vez que su exploit se ejecuta, Beniamini fue capaz de insertar una puerta trasera en el firmware del chip de Broadcom, lo que le permitió leer y escribir a distancia comandos para el firmware, lo que a su vez permite un control remoto fácil sobre el chip Wi-Fi.

Los investigadores probaron su exploit sólo contra el firmware de Wi-Fi en iOS 10.2, pero creen que el exploit también debería funcionar en todas las versiones de iOS hasta 10.3.3.

Ya que no hay manera de averiguar si tu dispositivo está ejecutando la versión de firmware afectada (BCM4355C0), se recomienda a los usuarios actualizar iPhones a iOS 11. Apple también ha solucionado el problema en la versión más reciente de tvOS.

Además, Google ha parchado esta vulnerabilidad en los dispositivos Nexus y Pixel a principios de septiembre. Sin embargo, los usuarios de smartphone Android de otros fabricantes, deben esperar a que estos envien las actualizaciones a sus dispositivos.

Detectado primer malware de Android que usa Dirty COW para ganar privilegios de root

Estándar

Casi un año después de la divulgación de la vulnerabilidad DirtyCOW que afectó al kernel de Linux, los ciberdelincuentes han comenzado a explotar dicha vulnerabilidad contra los usuarios de Android, según han advertido investigadores de seguridad.

Dirty COW estuvo presente en una sección del kernel de Linux, una parte de prácticamente todas las distribuciones de Linux usaron, las distribuciones afectadas incluían a las populares RedHat, CentOS, Debian y Ubuntu y fue explotado activamente debido a su naturaleza.

La vulnerabilidad permite que un atacante local sin privilegios de root, obtenga acceso de superusuario a través de un problema con la condición de carrera, se desarrollaron varios scripts de prueba de concepto que permitía acceder a privilegios de root e incluso habían scripts que permitían el ataque remoto a través de Exim (un popular servidor de correo electrónico).

Sin embargo, no ha sido sino hasta ahora que un grupo de investigadores de seguridad de Trend Micro publicaron en el blog de la empresa que la vulnerabilidad de escalamiento de privilegios (CVE-2016-5195), conocida como Dirty COW, ha sido explotada activamente por una muestra de malware de ZNIU, detectada como AndroidOS_ZNIU.

De acuerdo a los investigadores de Trend Micro, esta es la primera vez que observan un ejemplo de malware que contiene dicha vulnerabilidad para comprometer dispositivos móviles.

El malware detectado utiliza la vulnerabilidad DirtyCOW para ganar acceso de root en los dispositivos Android a través del mecanismo de copia en escritura (COW) en el núcleo Linux que está presente en Android e instalar una puerta trasera que puede ser utilizado por los atacantes para recopilar datos o generar beneficio a los hackers través del clásico mecanismo de forzar llamadas a un número de teléfono premium que cobra por minuto las llamadas entrantes.

Los investigadores de Trend Micro detectaron el malware de ZNIU en más de 1,200 aplicaciones Android, algunas de las cuales se disfrazaban de pornografía y aplicaciones de juegos gratuitas, junto con sitios web de host que contenían rootkits maliciosos que explotan la vulnerabilidad DirtyCOW.

Mientras que la vulnerabilidad DirtyCOW afecta todas las versiones del sistema operativo de Android, la explotación de la misma por parte de ZNIU afecta solamente a los dispositivos Android con la arquitectura ARM/X86 de 64 bits. Sin embargo, el exploit reciente puede utilizarse para eludir SELinux y plantar puertas traseras.

Aquí está cómo explota la DirtyCOW ZNIU en un dispositivo Android:

ZNIU cadena de infección

ZNIU cadena de infección

Una vez descargada e instalada la aplicación de malware, ZNIU se comunica con su servidor de Comando y Control (C&C) para comprobar si hay actualizaciones de código, mientras que la vulnerabilidad DirtyCOW proporciona escalamiento de privilegios locales para obtener acceso de root en el dispositivo y plantar una puerta trasera para posibles ataques de control remoto en el futuro.

El malware también recolecta la información del carrier (proveedor del servicio móvil) del usuario e intenta enviar pagos a través de mensajes SMS premium que fueron dirigidos a una compañía de fachada en China.

Una vez que la transacción SMS ha terminado, el malware también elimina los mensajes del dispositivo con el fin de borrar la evidencia de que el equipo ha sido comprometido.

Los investigadores descubrieron que el malware ya ha infectado a más de 5,000 usuarios de Android en 40 países en las últimas semanas, con la mayoría de las víctimas localizadas en China e India, mientras que también se han detectado aunque de manera minoritaria víctimas en pasies como: Estados Unidos, Japón, Canadá, Alemania e Indonesia.

Google ha lanzado una actualización para Android que entre otras fallas corrige oficialmente la vulnerabilidad DirtyCOW. El gigante de la tecnología también confirmó que Play Protect ahora protege a los usuarios de Android contra este malware.

La forma más sencilla de evitar que nuestro equipo se vea infectado por este malware u otros similares que aparezcan en el futuro es evitar descargar aplicaciones de fuentes de terceros y descargar siempre nuestras aplicaciones desde la tienda oficial de Google Play.

Un bug en el nuevo Apple macOS High Sierra permite a los hackers robar passwords en texto plano

Estándar

Apple lanzó el pasado lunes 25 de Setiembre, una nueva versión de su sistema operativo macOS, denominado High Sierra 10.13, pocas horas antes de que un ex-hacker de la NSA revelara públicamente los detalles de una vulnerabilidad crítica que afecta a High Sierra así como a todas las versiones anteriores de macOS.

Patrick Wardle, un ex-hacker de la NSA y ahora jefe de investigación de la firma de seguridad Synack, encontró e hizo pública por twitter una vulnerabilidad crítica de día cero en macOS que podría permitir que cualquier aplicación instalada robe nombres de usuario y contraseñas de texto de las cuentas en almacenadas en el Keychain del Sistema Operativo.

El Keychain del macOS es un sistema de gestión de contraseñas integrado que ayuda a los usuarios de Apple a almacenar de forma segura contraseñas para aplicaciones, servidores, sitios web, claves criptográficas y números de tarjetas de crédito, a los que sólo se puede acceder mediante una contraseña maestra definida por el usuario.

Normalmente, ninguna aplicación puede acceder al contenido del llavero a menos que el usuario introduzca la contraseña maestra. Sin embargo Wardle dice:

Descubrí una falla en la que el código malicioso no privilegiado (o aplicaciones) podía acceder mediante programación al Keychain y descargar todos estos datos … incluyendo sus contraseñas en texto plano.

Wardle publicó también un video de prueba de concepto de su logro, demostrando cómo el hack se puede utilizar para acceder a cada contraseña en texto plano en el Keychain, sin requerir que el usuario ingrese la contraseña maestra. Aquí el video que publicó en Vimeo:

El video muestra claramente cómo una aplicación malintencionada instalada, ya sea que esta este firmada o no, permite a un atacante robar remotamente todas las contraseñas almacenadas en el Keychain y el Sistema Operativo no notifica al usuario del ataque.

Wardle afirmó que informó sobre el problema a Apple el mes pasado e hizo la revelación pública cuando la compañía planeaba liberar High Sierra sin corregir la vulnerabilidad, que no sólo afecta a la versión más reciente, sino también a versiones anteriores de macOS.

A principios de este mes Patrick reveló otra falla en la extensión de núcleo SKEL (Secure Kernel Extension Loading) de macOS High Sierra, que podría permitir a un atacante remoto ejecutar cualquier código haciendo uso de esta extensión que tiene nivel kernel sin requerir la aprobación del usuario.

Otro clavo más al ataud del mito de que los productos de Apple son más seguros que Windows o Linux.

Google compra parte de la división de smartphones de HTC

Estándar

El día de hoy en el portal de noticias tecnológicas ArsTechnica, se detalla la adquisión de Google de parte de la división de smartphones de HTC, según se detalla en dicho artículo la compra de Google es oficial y hace referencia a un comunicado de Google en su blog.

El acuerdo alcanzado por ambas compañías no es justo lo que esperábamos. Google no está comprando HTC directamente, como lo hizo con Motorola. En cambio, Google y HTC han firmado un acuerdo para enviar a algunos de los empleados de la división de smarphones de HTC a Google, mientras que HTC recibe una infusión de efectivo de U.S.$ 1,100 millones. El acuerdo también incluye una licencia no exclusiva de la propiedad intelectual de HTC.

El acuerdo fue anunciado por el vicepresidente de hardware de Google y el ex-director general de Motorola, Rick Osterloh. En el blog de Google, Osterloh dijo: “Con este acuerdo, un equipo de talentos de HTC se unirá a Google como parte de la organización del hardware. Estos futuros compañeros de Google son gente increíble con la que ya hemos estado trabajando estrechamente en la línea de teléfonos inteligentes Pixel, estamos muy contentos de ver lo que podemos hacer juntos como un equipo“.

Con este acuerdo HTC obtiene una infusión de efectivo de U.S.$ 1,100 millones, que utilizará para seguir compitiendo en los mercados de smartphones y Realidad Virtual. En un comunicado de prensa, la compañía dice que la venta del equipo que desarrolló el Pixel le dará “una cartera de productos más aerodinámica, mayor eficiencia operativa y flexibilidad financiera“.

Definitivamente ha sido una sorpresa cómo se ha cerrado este acuerdo, ya que ayer no se negociaban acciones de HTC en previsión al acuerdo con Google, debido a eso muchos pensamos que sería una adquisión clásica. En este caso, no ha sido así. Google sólo compró una parte de la división de smarphone de HTC y la propiedad intelectual (patentes) desarrollados por esta división a cambio de una importante suma de dinero. ¿Por qué no sólo contrató a estos ingenieros de manera independiente?, después de todo es común en estas empresas de alta tecnología robarse empleados entre ellas.

Sólo el tiempo nos dirá si Google tuvo razón o no en hacer este negocio.

Viacom deja datos y claves sensibles en un servidor de Amazon mal configurado

Estándar

Viacom, la popular empresa de entretenimiento y medios de comunicación que posee las conocidas marcas Paramount Pictures, Comedy Central, MTV, Nickelodeon y cientos de otras propiedades mediáticas, ha expuesto las claves que permiten el acceso a toda su infraestructura en un servidor Amazon S3 no seguro.

Un investigador de la empresa de ciberseguridad UpGuard, con sede en California ha descubierto recientemente en un contenedor del servicio de storage en la nube S3 de Amazon, aproximadamente un gigabyte de credenciales y archivos de configuración para el backend de docenas de propiedades de Viacom.

Estas credenciales expuestas descubiertas por el investigador de UpGuard, Chris Vickery, hubieran sido suficientes para que los hackers destruyeran la infraestructura interna de Viacom y su presencia en Internet, permitiéndoles acceder a los servidores de nube pertenecientes a MTV, Paramount Pictures y Nickelodeon.

Entre los datos expuestos en la filtración se encontraba la clave maestra de Viacom para su cuenta de Amazon Web Services (AWS) y las credenciales necesarias para construir y mantener servidores Viacom a través de sus numerosas filiales y decenas de marcas.

En otras palabras, la clave de acceso y clave secreta para la cuenta de AWS de la compañía habría permitido a los piratas informáticos comprometer los servidores, el almacenamiento y las bases de datos de Viacom bajo la cuenta de AWS. Aquí una captura de pantalla publicada por UpGuard en dónde muestra uno de los archivos de configuración en dónde se podía leer las claves de acceso en texto plano:

De acuerdo con el análisis realizado por UpGuard, una serie de instancias de nube utilizadas en la cadena de herramientas de TI de Viacom, que incluyen tecnologías como Docker, Splunk, New Relic y Jenkins, podrían haber sido comprometidas de esta manera.

Además de estas fugas dañinas, el servidor desprotegido también contenía claves de descifrado GPG, que se pueden utilizar para desbloquear datos confidenciales. Sin embargo, el servidor no contiene ninguna información de clientes o empleados afortunadamente.

Aunque no está claro si algún ciberdelincuente ha podido explotar este error para acceder a archivos importantes pertenecientes a Viacom o alguna de sus filiales, el gigante de los medios dijo que no hay evidencia de que alguien haya comprometido sus datos.

Todas las credenciales han sido cambiadas después de que UpGuard contactara con ejecutivos de Viacom en privado y el servidor ya ha sido configurado apropiadamente para mantener estos datos seguros.

Esta no es la primera vez que Vickery ha descubierto información confidencial de una empresa almacenada en un contenedor AWS S3 no protegido.

Vickery ha rastreado previamente muchos conjuntos de datos expuestos en Internet, incluyendo datos personales de más de 14 millones de clientes de Verizon, una caché de 60.000 documentos del ejército estadounidense, información de más de 191 millones de registros de votantes de los Estados Unidos y 13 millones de usuarios MacKeeper.

Muchas veces no es necesario explotar una vulnerabilidad de día cero para tomar control de un servidor o acceder a datos importantes, muchas veces sólo hace falta saber buscar en el lugar apropiado y confiar en la incapacidad de muchos departamentos de TI.

Troyanos por todos lados

Estándar

Se conoce como troyano a un programa malicioso que se esconde dentro de otro que parece inofensivo e incluso es atractivo por su utilidad. Esto hace referencia a la famosa historia de la Iliada en la cuál Ulises construye un caballo de madera que es dejado a las puertas de la ciudad de Troya como una muestra de que los griegos se rendían y marchaban. Los troyanos atraídos por lo impresionante de la estatua y creyendo en su victoria lo introducen dentro de su ciudad dónde celebran su victoria, en esa noche los griegos ocultos dentro del caballo aprovechan para abrir la puerta de la ciudad y permitir el ingreso del ejercito griego que acaba con Troya hasta volverla cenizas.

Lo mismo al parecer ha ocurrido en dos ocasiones durante los últimos meses, el primer caso es el de unas librerías del repositorio oficial de Python PyPI y el segundo caso es el del reconocido programa de optimización de Windows CCleaner que fue reemplazado por una copia con malware en su interior y ha infectado a más de 2 millones de usuarios.

El repositorio oficial para el lenguaje de programación Python, que es ampliamente utilizado ha sido contaminado con paquetes de código modificados, advirtió una autoridad de seguridad informática en Eslovaquia. La autoridad también dijo que los paquetes han sido descargados por desarrolladores de forma involuntaria y que dichos paquetes modificados fueron incorporados al software durante los últimos tres meses.

Se enviaron varios paquetes de código al repositorio oficial Python Package Index, a menudo abreviado como PyPI, y posteriormente se incorporaron al software varias veces desde junio hasta este mes, dijo la Autoridad Nacional de Seguridad de Eslovaquia en un comunicado publicado el jueves de la semana pasada. Las personas que lo hicieron que aún no han podido ser identificadas, además les asignaron nombres a estos paquetes que se parecían mucho a otros utilizados en los paquetes que se encuentran en la biblioteca estándar de Python. Los paquetes contenían exactamente el mismo código que las bibliotecas de upstream excepto un script de instalación, que fue cambiado para incluir un código malicioso (pero relativamente benigno).

Los funcionarios de la autoridad eslovaca dijeron que recientemente notificaron a los administradores de PyPI de dicha actividad maliciosa y ya todos los paquetes identificados fueron retirados inmediatamente. La eliminación de las bibliotecas infectadas, sin embargo, no hace nada para purgarlos de los servidores que los cuales ya hayan sido instalados. La autoridad aconsejó a los desarrolladores y administradores de servidores comprobar si alguno de sus servidores está confiando en los paquetes contaminados. El aviso proporcionó los comandos específicos que se pueden utilizar para realizar la comprobación. En caso de que se encuentren paquetes infectados, los administradores deben eliminarlos inmediatamente y reemplazarlos con el paquete auténticos.

El otro caso de troyano que ha afectado a un gran número de usuarios es la aplicación CCleaner, que si alguien la descargó en su computadora entre el 15 de agosto y el 12 de septiembre de este año desde su sitio web oficial, debe inmediatamente tomar acciones ya que dicha computadora ha sido comprometida.

CCleaner es una aplicación bastante popular en el sistema operativo Windows con más de 2 mil millones de descargas a la fecha. Esta aplicación fue creada por la firma Piriform y recientemente fue adquirida por Avast, que permite a los usuarios limpiar su sistema para optimizar y mejorar el rendimiento.

Investigadores de seguridad de Cisco Talos descubrieron que los servidores de descarga utilizados por Avast para permitir a los usuarios descargar la aplicación se vieron comprometidos por algunos hackers desconocidos, que sustituyeron la versión original del software por una maliciosa y la distribuyeron a millones de usuarios durante un mes.

Este incidente es otro ejemplo de ataque a la cadena de suministro. A principios de este año, los servidores de actualización de una compañía ucraniana llamada MeDoc también fueron comprometidos de la misma manera para distribuir el ransomware Petya, que causó estragos en todo el mundo.

Avast y Piriform han confirmado que la versión de 32 bits de Windows de CCleaner v5.33.6162 y la CCleaner Cloud v1.07.3191 fueron afectados por el malware.

Las versiones maliciosas de CCleaner fueron detectadas el 13 de septiembre. Estas versiones troyanizadas de CCleaner contiene una carga útil de malware en varias etapas que roba datos de equipos infectados y los envía a los servidores de comando y control remoto del atacante.

Además, los hackers que a la fecha no han podido ser identificados, firmaron los ejecutables de instalación troyanizados utilizando una firma digital válida emitida a Piriform por Symantec y utilizaron Algoritmo de Generación de Dominio (DGA), de modo que si el servidor de los atacantes cayera, la DGA podría generar nuevos dominios para recibir y enviar información robada.

Piriform estima que hasta el 3 por ciento de su base de usuarios (aproximadamente 2,27 millones de personas) fueron afectados por la instalación maliciosa.

Se recomienda a los usuarios afectados que actualicen su software de CCleaner a la versión 5.34 o superior, con el fin de proteger sus equipos de ser comprometidos aún más.

La historia del hackeo de Equifax y cómo está repercute en Latinoamérica

Estándar

La masiva violación de datos de la empresa de calificación crediticia Equifax que expuso los datos altamente sensibles de 143 millones de personas en Estados Unidos, Canadá y Reino Unido fue causada por la explotación de una falla en el framework Apache Struts, que Apache corrigió dos meses antes del incidente de seguridad, confirmó Equifax.

La agencia de calificación crediticia Equifax es otro ejemplo de que las compañías que son víctimas de ataques cibernéticos masivos debido a no parchar una vulnerabilidad crítica a tiempo, ya que los parches fueron emitidos por la fundación Apache meses antes de que ocurriera el hackeo de Equifax.

La vulnerabilidad de Apache Struts2, que ha recibido el código  CVE-2017-5638 fue aprovechada por los ciberdelincuentes para ganar acceso a los servidores de Equifax, esta vulnerabilidad fue revelada y parchada por Apache el 6 de marzo del presente año con el lanzamiento de Apache Struts versión 2.3.32 o 2.5.10.1.

Esta falla es independiente de la recientemente divulgada CVE-2017-9805, otra vulnerabilidad de Apache Struts2 que fue remendada a principios de este mes, que era un error de programación que se manifiesta debido a la forma en que el plugin Struts REST maneja los mensajes XML mientras los deserializa y se corrigió en la versión de Struts 2.5 .13.

Inmediatamente después de la divulgación de la vulnerabilidad, los hackers comenzaron a explotar activamente la falla para instalar aplicaciones deshonestas en los servidores web afectados después de que un programa de prueba de concepto (PoC) se hizo pública en un sitio web chino.

A pesar de que los parches estaban disponibles y había pruebas de que la falla ya estaba siendo activamente explotada por los hackers, Equifax no había remendado sus aplicaciones web contra el error, lo que resultó en el robo de los datos personales de casi la mitad de la población de los EE.UU.

Lo que queda claro en este caso en particular la ineptitud del departamento a cargo en Equifax, ya que incluso estas laxas prácticas de seguridad se han detectado en la filiar argentina de Equifax llamada Veraz. En un post titulado “Ayuda! Equifax tiene mis datos!“, se reporta la espeluznante historia del sistema de administración de la disputas usados por los empleados de Veraz, que tenía como usuario “admin” y la clave del mismo era “admin”. No sólo eso, sino que si se conocía el nombre de algún trabajador de la empresa, lo cuál no era difícil de averiguar ya que en su página de LinkedIn aparecía la lista de sus empleados, los login era el apellido o nombre del trabajador y el password era exactamente el mismo.

Aquí una traducción de la parte más aterradora del pésimo estado de la seguridad en la filial de Equifax en Argentina:

No tomo mucho tiempo para que descubran que un portal en línea diseñado para permitir que los empleados de Equifax en Argentina manejar las disputas del informe de crédito de los consumidores en ese país estaba abierto, protegido por quizás la combinación de la contraseña más fácil de adivinar: “admin/admin”

[…]

Una vez dentro del portal, los investigadores descubrieron que podían ver los nombres de más de 100 empleados de Equifax en Argentina, así como su identificación de empleado y dirección de correo electrónico. La página “lista de usuarios” también incluía un botón que cualquier persona autenticada con el nombre de usuario y contraseña “admin/admin” podría usar para agregar, modificar o eliminar cuentas de usuario en el sistema. Una búsqueda en “Equifax Veraz” en Linkedin indica que la unidad tiene actualmente aproximadamente 111 empleados en Argentina.

[…]

Cada expediente del empleado incluyó un username de la compañía en texto llano y una contraseña correspondiente que fue ofuscada por una serie de puntos.

[…]

Sin embargo, todo lo que se necesitaba hacer para ver dicha contraseña era hacer clic con el botón derecho del ratón en la página de perfil del empleado y seleccionar “ver fuente”, una función que muestra el código HTML sin procesar que constituye el sitio Web. Dentro de ese código HTML estaba la contraseña del empleado en texto plano.

Una revisión de esas cuentas muestra que todas las contraseñas de los empleados eran las mismas que el nombre de usuario de cada usuario. Peor aún, el nombre de usuario de cada empleado parece ser nada más que su apellido o una combinación de su primer nombre y apellido. En otras palabras, si conocía el apellido de un empleado de Equifax Argentina, también podría elaborar su contraseña para este portal de disputa de crédito con bastante facilidad.

Lo más preocupante es que Equifax tiene presencia en varios países de Latinoamérica incluyendo el Perú, dónde la empresa es conocida como Infocorp. Así que este no es un problema que los peruanos consideremos que no nos afecte, por el contrario la globalización una vez más prueba que es una autopista de dos vías, en la cuál no solamente pueden llegar capitales que ayuden a desarrollar el país, sino también los problemas de robo de identidad que tanto afectan al primer mundo.

Me pregunto si no será a través de vulnerabilidades de este tipo que ciberdelincuentes pueden robar con total impunidad. Por ejemplo en los casos descritos en los reportajes de Panorama y Punto Final de hace pocas semanas, tal vez los casos reportados no es un error o abuso del banco, sino un incompetente manejo de la seguridad en la infraestructura tecnológica que permite que ciberdelincuentes roben a los clientes de la institución:

 

 

El subsistema Linux presente en Windows 10 abre la puerta a una nueva familia de virus

Estándar

En un reciente post en el blog de seguridad informática The Hacker News, se comenta una nueva técnica de ataque a computadoras que usan el sistema operativo Windows y que es virtualmente indetectable por los antivirus actuales y para ello hacen uso del Sistema Linux que actualmente se ofrce en Windows.

Como todos recordaremos el año pasado, Microsoft sorprendió a todos anunciando la llegada del Windows Subsystem para Linux (WSL) en Windows 10, que trae el shell de línea de comandos de Linux a Windows, permitiendo a los usuarios ejecutar aplicaciones nativas de Linux en el sistema Windows sin necesitar de la virtualización.

Sin embargo, los investigadores de seguridad de la firma de seguridad Check Point Software Technologies han descubierto un posible grave problema de seguridad con la función WSL que podría permitir que las familias de malware diseñadas para Linux atacar a equipos Windows.

Los investigadores diseñaron una nueva técnica de ataque, llamada “Bashware“, que se aprovecha de la función incorporada de WSL de Windows, que ahora que ha culminado su etapa de prueabas beta, está programada para llegar con la actualización de Windows 10 Fall Creators en octubre de este año.

Según los investigadores de CheckPoint, la técnica de ataque de Bashware podría ser incluso muy simple o incluso formar parte de una conocida familia de malware de Linux, pero debido al hecho de que las soluciones de seguridad para Windows no están diseñadas para detectar dichas amenazas, estas podrían infectar fácilmente un la parte Windows del sistema.

Este nuevo ataque podría permitir a un atacante ocultar cualquier malware de Linux incluso a las soluciones de seguridad más comunes, incluyendo la próxima generación de software antivirus, incluyendo a herramientas de inspección de malware, solución anti-ransomware y otras herramientas de seguridad.

¿Pero por qué? Los investigadores sostienen que los software de seguridad existentes para sistemas Windows aún no han sido modificados para supervisar los procesos ejecutables dentro del Subsistema Linux que se ejecutan bajo el sistema operativo Windows.

Con el fin de ejecutar una aplicación de destino en el entorno Linux este está aislado, Microsoft introdujo los famosos “Pico procesos”, que son contenedores que permiten la ejecución de binarios ELF dentro del sistema operativo Windows.

Durante sus pruebas, los investigadores de Check Point pudieron probar la técnica del ataque de Bashware en la mayoría de los principales antivirus y productos de seguridad del mercado y superar con éxito a todos ellos.

La razón es como comentamos líneas arriva a que ningún producto de seguridad supervisa los procesos de Pico, incluso cuando Microsoft ya proporciona un API para ello.

Sí, es cierto que para ejecutar un ataque Bashware se requiere acceso de administrador en los equipos de destino, pero obtener privilegios de administrador en una PC con Windows a través de ataques de phishing o de credenciales de administrador robadas no es una tarea difícil para un atacante motivado.

Por otro lado, también es cierto que la necesidad de hace uso de estos ataques adicionales también podrían alertar a los antivirus, deteniendo el ataque antes de que el ataque real de Bashware pueda ser ejecutado para ocultar el malware.

Dado que WSL no está activado de forma predeterminada y los usuarios deben activar manualmente el modo de desarrollo en sus sistemas informáticos para poder utilizarlo y reiniciar el sistema, los riesgos planteados por la característica se ven atenuados en cierta medida.

Sin embargo, los investigadores de Check Point dicen que es un hecho poco conocido que el modo de desarrollador puede habilitarse modificando unas cuantas claves del registro, lo que puede hacerse de manera silenciosa como un porceso ejecutado en modo background por los atacantes con los privilegios correctos.

La técnica de ataque de Bashware automatiza los procedimientos requeridos cargando silenciosamente los componentes WSL, habilitando el modo de desarrollador, descargando y extrayendo el sistema de archivos Linux de los servidores de Microsoft y ejecutando programas maliciosos.

¿Qué es lo interesante del Bashware? Los hackers que utilizan la técnica el Bashware no están obligados a escribir programas de malware para Linux para ejecutarlos a través de WSL en equipos Windows.

Este esfuerzo adicional se ahorra con la técnica Bashware que instala un programa llamado Wine (una capa de compatibilidad de Windows dentro de Linux) dentro del entorno descargado de Ubuntu para el espacio del usuario y luego lanzar un malware conocidos del sistema operativo Windows haciendo uso de Wine.

El malware se inicia en Windows como un proceso Pico, que lo ocultará del software de seguridad instalado en el PC.

La técnica de ataque recién descubierta no aprovecha un error en la implementación del WSL o una vulnerabilidad de día cero, sino que se debe a la falta de interés o la falta de sensibilización de muchos proveedores de software de seguridad hacia el nuevo Subsistema de Linux.

Dado que el shell de Linux ya está disponible para los usuarios de Windows, los investigadores creen que Bashware puede afectar potencialmente a cualquiera de los 400 millones de PC que actualmente ejecutan Windows 10 en todo el mundo.

Los investigadores de Check Point dijeron que su compañía ya había actualizado sus soluciones de seguridad para combatir este tipo de ataques y están instando a otros proveedores de soluciones de seguridad a modificar y actualizar sus soluciones anti-virus y de seguridad.

Cómo la IA y el Machine Learning están a punto de revolucionar el diseño web y la generación de contenido

Estándar

Los seres humanos siempre hemos tenido una especial fascinación con la inteligencia artificial. Existen libros e innumerables películas sobre robots que se apoderan del mundo. Pero es posible que las máquinas asuman trabajos que se han pensado exclusivos de humanos como puede ser el diseño web y la creación contenidos y que pogan a muchos de nosotros fuera del mercado laboral.

¿Es eso realmente una posibilidad? ¿Deben las personas que se dedican a esta sector temer por sus trabajos?

Bueno, no tal vez por el momento. Pero hay algunas incursiones fascinantes en el uso de la Inteligencia Artificial y Machine Learning que intentan mejora el diseño web y la creación de contenidos. Y en este post, voy a mostrarles algunas de estas posibilidades y las herramientas que ya existen en este sector.

En este post, te daré una introducción rápida a la Inteligencia Artificial y el Machine Learning. Entonces, comentaré algunos de los plugins de WordPress y otras herramientas de diseño que utilizan inteligencia artificial para mejorar este popular CMS.

¿Qué son la Inteligencia Artificial y el Machine Learning?

Desde un nivel alto de abstracción, la Inteligencia Artificial es un concepto bastante sencillo. Es sólo la idea de que una máquina pueda completar las tareas de una manera “inteligente”. Es decir, es un sistema informático que puede manejar una tarea que previamente habría requerido un ser humano.

El Machine Learning, por otro lado, es un subconjunto de la Inteligencia Artificial donde las máquinas “aprenden” cuando están expuestas a nuevos datos. Aunque no es el único ejemplo de Inteligencia Artificial, el Machine Learning es uno de los enfoques más populares en este momento.

Mientras que un enfoque tradicional podría implicar la programación de un conjunto de “reglas” que la máquina siempre sigue, el Machine Learning utiliza algoritmos que le permiten a las máquinas “aprender sobre la marcha”, por así decirlo. Y eso es lo que hace que el aprendizaje automático sea tan interesante.

La revolución digital de estos últimos años ha hecho posible por ejemplo que una máquina puede analizar decenas de millones de imágenes y aprender de ellas. ¿Un humano? Físicamente no podría hacerlo.

¿Qué puede hacer la Inteligencia Artificial y el Machine Learning ahora o en el futuro cercano?

Existen actualmente algunas herramientas y complementos destinados a facilitar la creación de contenido y diseño de websites, estas herramientas se pueden dividir dos categorías:

  • Plugins de WordPress que dependen de la IA
  • Herramientas externas de diseño o de contenido que utilizan AI

Primero, discutamos los plugins de WordPress que hacen uso de la Inteligencia Artificial y Machine Learning. La Inteligencia Artificial en plugins de WordPress es todavía una industria relativamente nueva. Estamos empezando a ver estos plugins aparecer con cada vez más frecuencia. Pero hasta ahora, su uso no está muy extendido y las aplicaciones de los mismos es limitada. Sin embargo, hay algunas opciones interesantes que se pueden considerar para nuestros websites basados en WordPress en este momento.

Sólo tengamos en cuenta que estos plugins son bastante nuevos, además de que en este post no estamos listando todos los que existen. Por lo tanto estos plugins, no tienen la larga historia y la comunidad que otros plugins más populares. Así que proceda con cuidado cuando los use en su website. Todos los plugins listados aquí usan las funciones principales de WordPress con lo cual deberían de funcionar con cualquier tema de WordPress.

Dentro de estos plugins tenemos:

Aimojo

Es uno de los mejores ejemplos del uso de la Inteligencia Artificial y los plugins de WordPress, este es un plugin created by Prefent. De la descripción del plugin sabemos esto:

Mediante el uso de métodos de dimensionamiento de características/etiquetas con patente pendiente de Affinitomics Cloud, el complemento crea construcciones de AI a partir de páginas, publicaciones y tipos de publicaciones personalizadas. Estas construcciones se utilizan para permitir que la información se autoorganice en función del valor contextual. Esto hace que las listas de enlaces y los menús contextuales y dinámicos, haciendo a los sitios más pegajosos y los visitantes más propensos a convertir. Aplicado a las búsquedas (Google CSE), Affinitomics mejora los resultados hasta en 9x [9 veces], imponiendo el contexto y reduciendo masivamente el ruido.

Esta herramienta agrega taxonomías de aprendizaje automático a su contenido de WordPress que le permite a Aimojo organizar mejor tu contenido. ¿Los resultados? Mejores resultados de búsqueda y menús contextuales.

Básicamente, se está utilizando el aprendizaje de la máquina para mejorar la relevancia y la usabilidad de las diferentes piezas de contenido en tu sitio web.

Aimojo es un plugin reciente (apenas 1 año) y por lo tanto tiene una tasa baja de instalación activa, por lo que se puede decir que todavía es un proyecto activo.

Kindred Posts

Este es otro plugin que utiliza Inteligencia Artificial para mejorar la navegación en tu sitio web.
Te da un widget que muestra las publicaciones recomendadas. Bueno, un widget de mensajes recomendados … ¿qué tiene de especial esto?

Bueno, no es sólo algo estático. Kindred Posts usa inteligencia artificial para aprender cómo los visitantes de su sitio web lo usan y recomendar contenido basado en los intereses personales del visitante.

Una vez más, no es muy popular. Pero es otro método de mejorar la usabilidad y navegación de WordPress a través de la Inteligencia Artificial.

Watsonfinds

Este es un innovador plugin para ayudarte a mejorar el contenido real de tu sitio. Funciona analizando el texto de tu sitio web a través del popular motor de Inteligencia Artificial IBM Watson para medir la probable respuesta emocional en los lectores.

A través de la inteligencia artificial, Watsonfinds puede decirte si su contenido generará alguna de las siguiente respuestas emocionales de tus lectores:

  • Alegría
  • Tristeza
  • Enfado
  • Asco
  • Miedo

Mediante la aplicación de estos conocimientos, puede ayudarte a modificar tu texto para obtener la respuesta emocional que le gustaría tener, al menos en teoría.

MyCurator

Si Ud. no tiene tiempo para crear contenido y desea que su blog utilice feeds externos para producir contenido de manera “semi-automática”, pues en ese caso este es el plugin que necesita, de acuerdo a descripción de los autores del mismo:

¿Está luchando para encontrar tiempo para crear contenido? ¡Comienza con lo que haces ya, revisar artículos en tu industria o nicho! MyCurator los entregará a tu sitio WordPress donde los podrás revisar fácilmente. Con un solo clic, el artículo estrará en tu editor de WordPress con un extracto, una imagen y una atribución listos para publicar. Solo agrega un párrafo para decirle a tus lectores algo sobre el artículo y ya has creado contenido para su sitio!

Después de darle un poco de entrenamiento, el módulo Cloud AI de MyCurator puede ir a través de un feed de artículos y clasificarlos en función de su relevancia para tu sitio web.

Es como una mini versión para WordPress del Facebook Machine Learning news feed.

Como mecionamos anteriormente también existen herramientas de Inteligencia Artificial y Machine Learning que pueden ayudar al diseño, pero en este caso mencionaremos herramientas que no se limitan a WordPress:

Colormind

Este plugin es un generador de esquema de color para diseñadores. Esa no es la parte interesante. sino esta:

Colormind utiliza el aprendizaje profundo y la inteligencia artificial para “aprender estilos de color de fotografías, películas y arte popular”. Sí, Colormind está utilizando las obras creadas por artistas populares para ayudarle a generar esquemas de colores exitosos para tus diseños.

Adobe Sensei

No hay mejor manera de definir Adobe Sensei que como lo hace su propio creador:

Adobe Sensei es la inteligencia que cambiará la forma de hacer negocios y la forma en que los clientes experimentan tu negocio. Utiliza la Inteligencia Artificial (IA) y el Machine Learning para ayudarle a descubrir oportunidades que están ocultas, hacer rápidos los procesos tediosos y mostrarte qué información de datos importa y cuándo importa. Adobe Sensei se basa en nuestros enormes volúmenes de contenido y activos de datos y nuestras décadas de experiencia en creatividad, marketing y gestión de documentos. En pocas palabras, Adobe Sensei ayuda a su empresa a trabajar de manera más inteligente y rápida.

Sensei es la incursión de Adobe en el mundo del Machine Learning y el diseño web. A diferencia de las otras opciones, en realidad es más un conjunto de tecnologías que una herramienta específica.

Es decir, Adobe parece estar tomando piezas de Sensei y las integra en sus otras herramientas. Adobe Sensei puede ayudar con todo, desde hacer automáticamente tus selfies menos embarazosos a sugerirte mensajes específicos que resonarán con tu público.

Dado que muchos diseñadores web probablemente ya están usando Adobe Creative Cloud, las posibilidades de mejora de la productividad que Sensei puede ofrecer deben ser motivo de celebración.

Desafortunadamente, no todas las partes de Adobe Sensei son públicas todavía. Pero Adobe tiene varios lanzamientos de productos programados en este 2017, por lo que esta tecnología pronto podría ser integrada en los núevos productos.

Firedrop

Es una chatbot que utiliza una Inteligencia Artificial para ayudarte a crear tu web site de manera conversacional, como si estuviera chateando con un diseñador web. La Inteligecia Artificial se llama Sacha y sólo debes pedirlo lo que desees y este desarrollador web virtual ira creando tu web site mientras hablas con él, no más arrastrar y pegar diseños o navegar a través de confusos menus llenos de opciones. Sólo pidele a Sacha lo que desees y tu diseño se irá ajustando a lo que describas. Por el momento el único lenguaje que entiende Sacha es el inglés pero pronto estará disponible en otros idiomas.

Aquí un video de cómo es que funciona Sacha:

 

The Grid

Este es otro chatbot que diseña web sites haciendo uso de la Inteligencia Artificial y el Machine Learning, en este caso la Inteligencia Artificial se llama Molly. La forma cómo describe su producto esta empresa es realmente sorprendente y un indicativo de que estamos a puertas de entrar a una nueva era en el diseño web:

Ella es joven, está aprendiendo, pero ya ha diseñado cientos de miles de páginas web, incluyendo esta. Está experimentando24/7, averiguando qué funciona y qué no.

Ella es extravagante, pero nunca te asustará, nunca cobrará de más, nunca fallará en una fecha de entrega, nunca se asustará de tus demandas por un logo más grande.

Mirando hacia atrás 3 meses a partir de ahora ella habrá realizado más decisiones de diseño que estrellas en nuestra galaxia. Un par de años a partir de ahora y … Sólo tendrás que averiguarlo.

Una funcionalidad importante de este producto es que tiene Apps tanto para iOS como para Android y permite que diseñes tu website desde tu smartphone sólo conversando con Molly.

Aquí un video de cómo funciona Molly:

 

 

Los asistentes de voz como Alexa, Siri o Cortana pueden ser hackeados usando ultrasonido

Estándar

Seis científicos de la Universidad Zhejiang en China han descubierto que podrían utilizar frecuencias de ultrasonido, inaudibles para los humanos, para enviar comandos a un software de reconocimiento de voz y tomar el control del dispositivos ya sea este un smartphone, un parlante inteligente como el Amazon Echo o incluso un automóvil que use comandos de voz.

Los investigadores llamaron a su experimento DolphinAttack, porque el escenario de ataque se inspiró en cómo los delfines se comunican entre sí usando sonidos inaudibles.

Según el equipo de investigadores, un atacante puede tomar comandos de voz normales, convertir la señal a frecuencias de ultrasonido y utilizar un dispositivo barato de $ 3 fabricado con equipos electrónicos disponibles para enviar los comandos a dispositivos electrónicos cercanos que ejecutan software de asistente de voz.

El equipo de investigación dice que ha probado con éxito su ataque a siete populares productos de software de reconocimiento de voz como Alexa, Cortana, Google Now, Huawei HiVoice, Samsung S Voice y Siri.

También probaron el ataque a 16 plataformas o dispositivos que usan este software, como teléfonos inteligentes, computadoras, asistentes caseros inteligentes e incluso el asistente de voz instalado en algunos modelos de coches inteligentes de Audi.

Los investigadores han declarado que los ataques probados incluyen el lanzamiento de Facetime en el iPhones, la reproducción de música en un Amazon Echo y la manipulación del sistema de navegación en un automóvil Audi. Los investigadores han publicado un video en YouTube explicando cómo funcion su ataque:

 

 

Según los investigadores, también se pueden realizar otros ataques más intrusivos a los demostrados, como instruir al navegador del usuario para visitar sitios web maliciosos, instalar malware, suscribir usuarios a números premium, iniciar llamadas telefónicas y escuchar conversaciones de usuarios y mucho más.

Los investigadores dicen que su plataforma portátil de ataque puede transmitir señales en frecuencias de 23 kHz, 25 kHz, 33 kHz, 40 kHz y 48 kHz. El equipo de ataque puede trabajar a distancias de hasta 1.75 metros. Lo cuál es una limitante de este tipo de ataque.

El equipo de investigación recomienda que los fabricantes de software de reconocimiento de voz incluyan un límite superior a las frecuencias que los dispositivos escuchan por comandos y parchen su software para ignorar todo comando que tiene una frecuencia de más de 20 kHz, ya que la voz humana no llega más alla de esa frecuencia.

En la práctica, esta recomendación puede ser ignorada, ya que algunos de estos fabricantes de software también están involucrados en la publicidad en línea y podría estar interesado en el uso de señales de ultrasonidos para rastrear a los usuarios.

Más detalles técnicos sobre DolphinAttack están disponibles en un trabajo de investigación titulado “DolphinAttack: Inaudible Voice Commands” que los investigadores presentarán en la conferencia de la ACM Conference on Computer and Communications Security que tendrá lugar en Dallas, Estados Unidos, a finales del mes de octubre.