CCleaner 5.33 infectado con Malware Nyetya


Ccleaner es una de las aplicaciones más completas para limpiar nuestro Windows y llevar a cabo las tareas de mantenimiento básicas. Hace escasos minutos, la empresa de seguridad Talos, de Cisco, acaba de publicar un informe en el que se revela que una de las versiones de CCleaner  ha sido comprometida y fue utilizada por delincuentes para distribuir el malware Nyetya entre los usuarios que confían en ellas.

Durante las pruebas de un nuevo software para la mitigación de exploits, los expertos de Talos detectaron una serie de avisos inesperados en el instalador legítimo de CCleaner, concretamente en la versión 5.33.



Cuando los expertos de seguridad de Talos analizaron el instalador de CCleaner, pudieron encontrar que, además de descargar este limpiador de Windows, el propio instalador descargaba Malware y un payload del tipo “Domain Generation Algorithm“, payload que, entre otras cosas, contenía las instrucciones necesarias para conectarse a un servidor C&C desde el que recibir órdenes.

Tanto CCleaner v5.33.6162 como CCleaner Cloud v1.07.3191, ambas versiones lanzadas el pasado mes de agosto, estaban comprometidas por este malware, y todos los usuarios que hayan descargado cualquiera de estas dos aplicaciones entre el 15 de agosto y el 12 de septiembre están infectados.

Recomendaciones:
 
1) Se recomienda actualizar cuanto antes a la última versión, CCleaner 5.34, la cual ha eliminado ya este malware y vuelve a ser, aparentemente, segura.
  
2) En el momento de escribir este articulo 18 de septiembre, el único antivirus capaz de detectar y eliminar la amenaza ha sido ClamWin Free Antivirus.

A todos los que instalaron CCleaner v5.33 en su ordenador se recomienda descargar ClamWin Free Antivirus y realizar un escaneo completo del sistema!
 
 
 
 
ClamWin es un antivirus Software Libre para Windows que provee una interfaz gráfica al motor ClamAV y viene con su propio instalador fácil de usar.

También hay una extensión para Firefox que utiliza ClamWin Free Antivirus para escanear virus en los ficheros descargados.
 

Como podrán ver la interfaz grafica es muy intuitiva pudiendo realizar análisis y desinfección tanto de la memoria del sistema como de discos completos. 
 
Es importante destacar que no ralentiza el ordenador y es excelente para realizar escaneo a demanda con toda la seguridad que nos brinda la licencia GPL.

Nueva y mejorada version de Telegram!


 Ya tenemos entre manos la nueva versión de Telegram. Versiones estables 4.3 si utilizas la app móvil para Android y la 1.1.20 si también empleas el cliente de escritorio. 
 
Ambas ofrecen mejoras generales interesantes, comenzando por el diseño e interfaz, además de una mayor velocidad de sincronización de mensajes.
 
Una de las novedades es la capacidad de navegación entre las nuevas menciones o respuestas a tus mensajes utilizando el nuevo botón “@”. Los grupos en los que tengas menciones o respuestas a tus mensajes sin leer, aparecerán marcados con un símbolo “@” en la lista de chats.
 
Otra de las novedades llega de los stickers. Puedes marcar stickers como “favoritos” y acceder rápidamente a ellos en el rediseñado panel de stickers. También podrás añadir un pack de stickers oficiales a tu grupo, para que todos sus integrantes puedan usarlo sin necesidad de añadirlo (sólo grupos con más de 100 miembros).
 
 
Otras mejoras de la nueva versión de Telegram son:
  • Invita a tus amigos a Telegram usando la nueva interfaz (rediseñada completamente) en el menú izquierdo.
  • Al reenviar mensajes, toca y mantén sobre los chats, en la lista de chats, para elegir múltiples destinatarios.
  • Revisa la calidad de la señal cuando estés en una llamada de Telegram con el nuevo indicador.
  • Botón para “Mostrar en el chat” añadido, al ver fotos en Multimedia.
  • Ve transmisiones de Twitch en el reproductor dentro de la app (incluyendo el modo Picture-in-Picture).
Si las versiones no se han actualizado automáticamente, ya estás tardando en hacerlo y si no usas Telegram, es una buena ocasión para comenzar desde su portal web, donde puedes descargar varias ediciones de las múltiples plataformas que soporta, Windows, Linux, Mac OS, iOS, Android y versión Web.
 
Te recordamos que tienes a tu disposición un canal público de SynuxIT en Telegram donde puedes recibir todas nuestras publicaciones, así como leerlas, aprovechando la función de navegación integrada de la aplicación.

Filtrados 28.7 millones de usuarios de Taringa (cambia tu pass!)


La base de datos de Taringa ha sido hackeada y los datos de casi 29 millones de usuarios han sido comprometidos, incluyendo nombres de usuarios, direcciones de email y las contraseñas.

Entre los datos recolectados podemos ver la lista de las 50 contraseñas más usadas por los usuarios de Taringa, y el ganador indiscutible es "123456789", usada por más de 160.000 usuarios


Más de 11.000 personas usan "contraseña" como contraseña, unos 5.000 utilizan "realmadrid". "qwerty", "mierda" y "poringa" también superan los 5.000 usuarios, desbordando creatividad e "inteligencia colectiva".

Entre la terrible elección de contraseñas por parte de los usuarios, y el obsoleto método de cifrado de los passwords que usa Taringa, además de no forzar el uso de contraseñas más fuertes, se mezcló un cóctel perfecto de malas prácticas de seguridad para dar como resultado esta brecha.

En resumen hace tiempo se conoce la incompetencia de los administradores y Directores de Taringa!, lo raro es que esto no haya sucedido antes.

Los usuarios cada vez utilizan más buscadores centrados en la privacidad


Tanto la seguridad como la privacidad de nuestros datos a la hora de navegar por Internet son elementos cada vez más importantes para la mayoría de los usuarios, más si tenemos en cuenta que con el paso del tiempo, la cantidad de información que movemos por la Red, es mayor.

A esto hay que sumarle que uno de los portales de los que de manera más habitual hacemos uso son lo buscadores, de ahí que los motores de búsqueda centrados en la privacidad están cada vez más en alza.

Hay decir que cuando Snowden reveló el programa de espionaje masivo de la NSA en 2013, muchos usuarios de Internet comenzaron a recurrir a los motores de búsqueda centrados en la privacidad. Por ello buscadores como DuckDuckGo o Startpage, dieron un salto importante en su tráfico y número de usuarios habituales.

Sin embargo la principal diferencia en este caso es que los internautas no son rastreados cuando ejecutan esas búsquedas, como sucede en Google, por ejemplo. Es por todo ello que gracias a los datos proporcionados por Alexa, una empresa que Amazon compró hace unos años y que rastrea la popularidad de los sitios web, entre otras cosas, confirman que los motores de búsqueda centrados en la privacidad cada vez tiene un mayor público.

De hecho DuckDuckGo ya ha entrado en los 400 mejores portales del año a nivel mundial, por ejemplo, mientras que hace solo un año estuvo entre los 800 mejores.

De este modo el tráfico de DuckDuckGo sigue aumentando por momentos y los sitios web registran un promedio de 16.700.000 solicitudes directas por día desde este motor, mientras que hace un año el medio de solicitudes directas era de 11.100.000.

Esto significa que las solicitudes aumentaron aproximadamente un tercio en tan solo un año. Esta es una buena noticia para los usuarios de Internet, ya que el hecho de que los motores de búsqueda centrados en la privacidad sean cada vez más solicitados, apunta a que la gente cada vez es más consciente de que mantener su privacidad y seguridad en la Red es muy importante.

La cuota de GNU/Linux en PC supera el 3% por primera vez


Septiembre arranca motores con todas las de la ley y aunque no podamos decir lo mismo de las mediciones de cuota de mercado que arrojan las principales firmas de estadística, algo que repetimos siempre debido a la falta de fiabilidad de las mismas y a lo difícil que es seguirle de manera fehaciente la pista a Linux en su conjunto, especialmente en el escritorio, tampoco podemos dejar de hacernos eco cuando los vientos nos son favorables. Y tras un año de vaivenes destacados, lo son: NetMarketShare le da a GNU/Linux más del 3% de cuota por primera vez en su historia.

En concreto, NetMarketShare eleva la cuota de uso de GNU/Linux en agosto hasta el 3,37%, el mayor porcentaje que haya obtenido nunca el sistema en esta plataforma, a la postre la principal referencia del sector actualmente. A la cabeza de la lista estaría cómo no Windows, con nada menos que el 90,7% del pastel, y entre medias macOS, que ocuparía un 5,94%. La diferencia entre Linux y Mac, pues, se acorta considerablemente.

Recordamos que esta inaudita escalada comienza en julio del año pasado, cuando NetMarketShare sitúa la cuota de GNU/Linux en el 2% por primera vez.

Un par de meses después llegaba el pico nunca visto, el 2,33%, y desde entonces hasta ahora, lo señalado, vaivenes varios que no se centran hasta el pasado mes de julio de 2017, en el que Linux marca un nuevo pico que alcanza el 2,53%. El salto en un solo mes es, por lo tanto, el más destacado al que hayamos asistido nunca.

¿Y qué dicen otros medios? StatCounter, por ejemplo, indica para agosto de 2017 un 83,53% para Windows, 11,95% para macOS, 2,15% desconocido, 1,79% para Linux y 0,56% para Chrome OS.

¿Son más o menos fiables estas cifras en relación a las de NetMarketShare? Por el muestreo que recogen ambas, diríamos que menos, pero aludimos una vez más a lo imposible de presentar datos cien por cien reales y totales.

Spambot 711 millones de correos


Un enorme spambot utilizaba más de 711 millones de correos electrónicos. Se trata del mayor ataque de phishing jamás visto en el mundo, rompiendo todos los récords existentes hasta el momento, y que además deja en evidencia las medidas de seguridad de hoy en día, la poca efectividad de los filtros antispam y de los nuevos trucos para evitar el robo de datos personales, especialmente los bancarios.

Un investigador de seguridad informática de París, Francia, cuyo seudónimo es Benkow, descubrió un servidor abierto y accesible alojado en los Países Bajos, que almacena decenas de archivos de texto que contienen un gran lote de direcciones de correo electrónico, contraseñas y servidores utilizados para enviar correos no deseados con malware.

Importante:

Para verificar si tu correo fue comprometido debes ingresar en Have I Been Pwned, esta es una herramienta creada por Hunt y que fue actualizada luego de este robo.

Allí ingresas tu correo y podrás obtener 2 resultados:

1) Si tu correo fué afectado aparecerá en rojo el siguiente texto "Oh no --pwned!" en ese caso debes cambiar las credenciales de acceso inmediatamente.

2)Si tu correo no fué afectado aparecerá en verde el siguiente texto "Good news --- no pwnage found!" 

Vulnerabilidad crítica permite espiar las redes 3G y 4G


Pese a lo que puede parecer, las redes 3G y 4G no ofrecen tanta seguridad sobre las viejas redes 2G. El reciente descubrimiento de una vulnerabilidad crítica que también permite espiar las redes 3G y 4G, ha abierto (aún más) el debate sobre el espionaje masivo a los usuarios. Además, todo indica que poco se puede hacer al respecto con este agujero de seguridad en uno de sus protocolos que permite el rastreo y espionaje de los usuarios.

Durante la celebración de la conferencia Black Hat en Las Vegas, los detalles sobre un agujero de seguridad en el cifrado de uno del protocolo que permite al dispositivo conectar con el operador móvil en 3G y 4G LTE ha salido a la luz. Esto supone un golpe de realidad para los que pensaban que estas redes añadían un nivel adicional de seguridad.


Vulnerabilidad crítica en 3G y 4G, más facilidad para el espionaje:

Ravishankar Borgaonkar y Lucca Hirschi son los responsables del hallazgo. Concretamente, han localizado un fallo en la autenticación y la clave de validación que permite a los dispositivos móviles la comunicación con la red de su operador. Esta clave se basa en un contador almacenado en el sistema telefónico del operador para verificar los dispositivos y evitar ataques.

No obstante, los investigadores han comprobado que no está protegido correctamente y se puede extraer parcialmente su información. Esto permite a un atacante la monitorización de algunos aspectos, como el momento en el que son realizadas las llamadas o enviados los mensajes de texto y el seguimiento en tiempo real de la localización del terminal.


Banda ancha móvil 3G y 4G : Tutoriales de ayuda

Eso sí, hay que dejar claro que la vulnerabilidad no permite interceptar el contenido de los mensajes o de las llamadas, únicamente acceder a datos sobre las mismas o a la ubicación del terminal. Esto abre la puerta a la utilización de nuevos dispositivos StingRay, también llamados IMSI Catcher. Estos dispositivos se pueden conseguir por solo 1.500 euros y los investigadores creen que esta vulnerabilidad ayudará a la creación de nuevos modelos.


El principal problema, más allá del espionaje, es que los propios investigadores que han descubierto el fallo de seguridad, no ven ninguna opción de solucionarlo. Además, al afectar a todo el protocolo, afecta a todos los operadores y ciudadanos del planeta. Esperan que el 5G sea capaz de cerrar estos agujeros y añada una capa de seguridad reforzada para preservar la intimidad y anonimato de los usuarios.

Microsoft soluciona 48 vulnerabilidades en sus boletines de agosto

Esta vez, son un total de 48 vulnerabilidades las solucionadas por Microsoft, de entre las cuales 25 son consideradas críticas, repartidas entre 6 productos: Windows en sus diferentes versiones, Internet Explorer, Edge, SharePoint y SQL Server y finalmente Adobe Flash Player que sin ser producto de Microsoft ya es un habitual en sus boletines.

Entre las vulnerabilidades encontradas destaca la identificada como CVE-2017-8620. Descubierta por Nicolas Joly de MSRC, este fallo está presente en todas las versiones de Windows con soporte (desde Windows 7 a Windows Server 2016) y permite la ejecución remota de código arbitrario a través del servicio Windows Search.

La vulnerabilidad es especialmente crítica teniendo en cuenta que este servicio es accesible desde varios componentes del sistema, entre ellas el menú de Inicio y el navegador de ficheros. Además, según los comentarios finales del reporte:

"Additionally, in an enterprise scenario, a remote unauthenticated attacker could remotely trigger the vulnerability through an SMB connection and then take control of a target computer."
Es decir: sería posible para un atacante remoto no autenticado explotar la vulnerabilidad a través de conexiones SMB. Por este motivo, este fallo es señalado por varios expertos como el de mayor prioridad a la hora de parchear.

Precisamente, esta vulnerabilidad junto con CVE-2017-8627 y CVE-2017-8633 son las únicas que han sido reveladas antes de que se publicara el boletín, aunque en el mismo Microsoft afirma que no se conocen casos de explotación hasta el momento.

Finalmente, un breve repaso al resto de las vulnerabilidades:
  • Dos de los problemas afectan al Subsistema de Windows para Linux, siendo el más crítico el identificado como CVE-2017-8622, cuyo impacto es elevación de privilegios.
  • Un total de 19 vulnerabilidades afectan a Microsoft Scripting Engine, siendo 17 de ellas corrupciones de memoria. 
  • Los navegadores también reciben actualizaciones: Explorer (4) y Edge (7), siendo solo 2 de ellas críticas. 
  • En el boletín se incluyen las vulnerabilidades CVE-2017-3085 y CVE-2017-3106 de Adobe Flash, que podrían permitir la ejecución remota de código. 
  • Corregidas 2 vulnerabilidades en Windows HyperV, una de ellas permitiendo la ejecución remota de código. 
  • Se corrige una vulnerabilidad XSS en Microsoft Sharepoint.
Especialmente útil cuando se tratan de reportes tan extensos (el boletín consta de 121 entradas este mes) es este script en PowerShell creado por John Lambert, empleado de Microsoft, que organiza el boletín por CVEs de forma más clara.

La maquina del Tiempo: cosas del Internet de los 90 que todos extrañamos


Hay días en que te levantas melancólico y te da por recordar cosas del pasado. Por ejemplo, de tu adolescencia, que si eres más o menos de mi quinta, te pillaría en la década de los 90.

Lo que sin duda no puedes evitar con una sonrisa son las cosas que encontrabas en Internet en aquella época, cuando tenerla en casa todavía era cosa sólo de unos pocos privilegiados, y la mayoría se conectaba en los ordenadores del instituto o desde el cibercafé del barrio. Para muchos de nosotros, los 90 fueron testigos de nuestras primeras conexiones a Internet, y eso no se olvida fácilmente.

Tu primera dirección de correo electrónico, tu primera página web personal o la primera persona que te hizo tilín en un chat dejan huella, eso es inevitable. Por eso, hoy aquí vamos a repasar todas aquellos míticos elementos que caracterizaban Internet (y todo lo que la rodeaba) en aquella década. ¿Puedes recordar alguno más?


Geocities

Geocities


¡Que levante la mano quien no tuviera una página en Geocities! Ya fuera para colgar tus poemas de adolescente-enamorado-pero-no-correspondido o para hablar de las cosas que te gustaban, casi todos teníamos una página en alguno de los "barrios" de Geocities, que estaban organizados por temática: Área 51 para ciencia ficción y fantasía, Hollywood para cine, Tokio para cosas relacionadas con Oriente, Silicon Valley para programación...

Todo esto sin olvidar sus elementos típicos como el GIF animado de "en obras" y el de la arroba girando para el email, el libro de visitas para dejar una firma, los fondos con diseños psicodélicos no aptos para epilépticos, las tablas en HTML por todas partes, y, por supuesto, el contador de visitas.
Si lo echas mucho de menos, siempre puedes probar el Geocities-izer.


Altavista


Altavista


Antes de la llegada de Google, el buscador por defecto para muchos era Altavista. Era muy rápido (bastante más que su competencia en aquella época), y tenía un diseño sencillo y minimalista que lo hacía atractivo y fácil de usar.

Tras su nacimiento en 1995 no tardó en crecer hasta los 80 millones de visitas al día, dos años después. Lo cual no deja de sorprender si tenemos en cuenta que su infraestructura contaba en total con 130 GB de RAM y 500 GB de disco duro.

Altavista era estupendo, sí, y personalmente lo usé muchísimo a finales de los 90. Pero poco después llegó Google y nos sedujo a todos.

El Messenger
Messenger


En la década de los 90, cuando hablabas del "Messenger", por supuesto no te referías a Facebook Messenger. Porque en aquella época el rey era el MSN Messenger. Lo que todos los adolescentes usaban para chatear, ligar, y lo que surgiera, aunque sin era mas utilizado para chamuyar minitas!

MSN Messenger fue en gran parte el responsable de la popularidad de Hotmail, dio lugar a un enorme mercado de plug-ins, add-ons y todo tipo de extras con los que modificar sus características o añadirle funciones nuevas, y se convirtió por momentos en una peligrosa vía de distribución de virus y malware mediante la distribución de ficheros infectados.

Eran populares los programas para generar nicknames con símbolos, robar las fotos que tus amigos habían colocado e incluso un popular programa el cual bloqueaba las cuentas de hotmail y el usuario se encontraba incapacitado de iniciar sesión en el MSN!

Con todo, me atrevería a decir que la mayoría guardamos un entrañable recuerdo de este programa.


IRC

Irc


ICQ fue el primer cliente de mensajería instantánea como tal, pero el chat en tiempo real no era algo nuevo en sí. Los 90 fueron la época dorada del IRC, la plataforma de chat por excelencia, con su universo propio de canales, servidores, arrobas, IRCops, kicks, baneos y mucho más.

Antes de la llegada de las redes sociales, era el punto de encuentro de miles de usuarios de Internet para chatear, comentar cualquier tema, ligar (o al menos intentarlo), o incluso tener encuentros con famosos (organizados por proveedores de acceso a Internet). En sus mejores años, a finales de los 90 y principios de los 2000, IRC llegó a tener 10 millones de usarios conectados simultáneamente.

Los foros

Foros


Otra cosa no, pero desde luego, vías de comunicación en Internet en los 90 teníamos unas cuantas. Si no te gustaba el IRC, ni querías usar Messenger o ICQ, siempre te quedaban los foros. Que no es que hayan desaparecido, por supuesto, pero ahora ya tienen ni de lejos la relevancia que tenían antes.

Los foros eran algo así como la antesala de las redes sociales. Toda web (o "portal", como se decía antes) que se preciara tenía su propio foro, y era el mejor sitio para conectar con otros usuarios. Los había especializados en algún tema concreto, o simplemente para dejar mensajes y pasar el rato.

Los foros, igual, que IRC, también tenía su propio código: los niveles de usuario, los mensajes privados, las normas de uso... sin olvidar la figura del moderador, siempre acechando con un ban en la mano por si alguien se portaba mal.


Kazaa (y todos los demás)

Kazaa


Con la llegad de Internet, llegaron también las descargas: música, películas... claro que, teniendo en cuenta la velocidad media de las conexiones, había que tener una paciencia infinita. Eran épocas en las que para descargar un simple MP3 tenías que esperar varios minutos - una época sin protocolo torrent y sin servicios de streaming.

La oferta para programas de descarga era amplia y variada. Napster, Audiogalaxy, LimeWire o Kazaa son nombres muy famosos de aquellos años, aunque sin duda el rey fue el eMule, alrededor del cual surgieron múltiples comunidades de usuarios para compartir contenido. El único problema: que casi tenías que ser ingeniero para aprender a configurarlo correctamente.


Internet Explorer vs. Netscape

Netscape


La llamada "guerra de los navegadores" no empezó con Firefox y Chrome, sino mucho antes: con Internet Explorer y otro navegador que puede que los más jóvenes no conozcan: Netscape.

Pero ahí donde lo veis, Netscape llegó a ser el navegador web más usado del mundo, con más de un 90% de cuota de mercado a mediados de los años 90. ¿Quién le quitó esa corona? Efectivamente, Internet Explorer. Luego llegaron Firefox, Chrome y demás, y se inició una nueva batalla en esta guerra.

De hecho, el motor en el que está basado Firefox (Gecko) era el que originalmente usaba Netscape, así que podría decirse que este navegador es su antepasado.

Clippy

Clippy


A Clippy probablemente no hay que presentarlo. Todos conocemos al infame ayudante de Microsoft Office, que aparecía nada más escribir unas pocas líneas en un documento con la intención de ayudar - ayuda que en la mayoría de los casos no era necesaria.

Clippy no era la única forma que podía adoptar el ayudante de Microsoft, pero sí la más popular. Otras eran un robot, una caricatura de Albert Einstein, otra de Shakespeare, un gato o incluso un cachorrito de perro.

Fue incluido en Microsoft Office entre las ediciones 97 y 2003, pero a pesar de su desaparición, sigue siendo objeto de chistes, parodias y memes de todo tipo.

Las postales electrónicas
Ecards

Hoy en día nos parecen un pelín horteras, pero allá por los 90 las postales electrónicas eran todo un hit. La gente las enviaba para felicitar a sus allegados, para celebrar una ocasión especial, para expresar sus sentimientos o simplemente, porque sí.

El concepto de e-card o tarjeta electrónica en sí mismo nació en 1994, y la primera web que permitía hacerlas fue The Electronic Postcard, desarrollada en el MIT Media Lab. Luego surgirían otras como Awesome Cards y Blue Mountain, que se hizo especialmente popular gracias a un acuerdo de promoción con Microsoft en Hotmail.

Hack para poder usar Windows 7 en Ryzen y Kaby Lake


Microsoft ha comenzado a bloquear las actualizaciones en plataformas de procesamiento de última generación, Kaby Lake de Intel o RYZEN de AMD, que estén ejecutando sistemas operativos fuera de Windows 10, como Windows 7 o Windows 8.1.

Microsoft argumenta que la nueva generación de procesadores incluyen nuevas capacidades y hardware que dificultan o impiden la compatibilidad con los sistemas operativos más antiguos. Aunque es comprensible que Microsoft quiera evitar “otro caso Windows XP”, no son pocos los críticos que entienden esta medida como puramente comercial para “obligar” a los usuarios a migrar a Windows 10. Y no parece que los consumidores estén por la labor de abandonar Windows 7 según los datos de cuota de mercado.

Ciertamente, Microsoft puede soportar en sus sistemas el hardware que estime conveniente, pero el problema es que Windows 7 y Windows 8.1 siguen siendo soportados oficialmente por la compañía y lo seguirán estando hasta 2020 y 2023, respectivamente.

Que un sistema operativo soportado oficialmente no pueda recibir actualizaciones por usar un procesador como un Intel Kaby Lake -que para no engañarnos es un Skylake ligeramente mejorado- es bastante incongruente con una política de servicio como la que se espera de una gran compañía como Microsoft. Por no hablar de la inseguridad que supone no servir actualizaciones en un equipo con sistema oficialmente soportado por usar un tipo de procesador que todavía se vende de forma mayoritaria.

Windows 10 necesita mejoras y novedades como las que han llegado con la última versión Creators Update. Sin embargo, la elección del cliente por un sistema u otro debería ser respetada al menos hasta la finalización del soporte oficial.


Cómo usar y actualizar Windows 7 en las últimas plataformas hardware


Así las cosas, un desarrollador creó hace tiempo una herramienta que ha ido mejorando y actualizado esta misma semana a la última versión estable, wufuc v0.7.0.62. La herramienta pesa 2 MB y es muy simple, deshabilita el mensaje de “hardware sin soporte” y permite continuar instalando actualizaciones en Windows 7 y Windows 8.1 en equipos con procesadores Kaby Lake o RYZEN.

La herramienta se encuentra alojada en GitHub, se ofrece en un paquete o en instaladores .msi para versiones de 32 y 64 bits de los sistemas, acompañando el código fuente y documentación.

Señalar que tendrás que ejecutar el parche cada vez que el archivo del sistema wuaueng.dll recibe el aviso de una actualización. Además, este cambio puede provocar errores en el comando SFC, ya que Windows verá la modificación del sistema de archivos como un problema. A pesar de ello, comentan que funciona bien y es efectivo.

Eso sí, como siempre con este tipo de hacks, úsalo bajo tu responsabilidad, evitando máquinas de producción hasta que no estés seguro que funcione en tu hardware y teniendo a punto el mecanismo de restauración del sistema por si algo falla volver a un punto anterior. Y si lo estimas conveniente prueba Windows 10 también Más allá del interés de Microsoft, Creators Update funciona realmente bien.

Ataque lateral Tempest a AES


A través de un ataque de canal lateral los investigadores Craig Ramsay y Jasper Lohuis de las empresas empresas Fox-IT y Riscure pudieron recuperar claves secretas de algoritmos criptográficos, incluyendo AES.

Con acceso físico irrestricto al dispositivo y usando mediciones de uso de energía, un par de antenas mejoras para permitir el procesamiento de señales, los investigadores mostraron cómo recuperar encubiertamente la clave de cifrado de dos implementaciones AES-256 realistas:

  • El ataque fue posible hasta una distancia de 1 metro (30 cm en condiciones realistas, "Tempest");
  • Utilizaron un equipo mínimo que entra en un bolsillo y que cuesta menos de U$S200;
  • Necesitaron sólo unos pocos minutos: 5 para un ataque a 1 metro de distancia y 50 segundos para 30 cm.
Hasta donde se sabe, esta es la primera manifestación pública de tales ataques encubiertos y a distancia. Esta demostración refuerza la necesidad real de defensa en profundidad al diseñar sistemas de alta seguridad.

El whitepaper completo de la investigación se puede descargar desde aquí [PDF].

Espías Rusos usan las redes sociales para seducir a soldados estadounidenses


El concepto de que un hombre se haga pasar por una mujer en Internet no es nuevo. Todos hemos conocido a alguien que lo ha hecho, incluso puede que lo hayamos hecho nosotros mismos. También sabemos lo que pasa cuando lo hacemos: que los moscardones y los buitres aparecen como por ensalmo.

Tampoco es nuevo (sobre todo en el cine) que la KGB envíe a una especie de femme fatale a seducir a un incorruptible agente de la CIA. Si combinamos esos dos conceptos con el mundo hipersocial e interconectado de hoy, lo que obtenemos son espías rusos contactando con soldados estadounidenses en redes sociales, tal y como informan desde The Next Web.

Según el medio hay espías rusos que se hacen pasar por mujeres para seducir a soldados estadounidenses. Pueden ponerse en contacto con ellos directamente o, tal y como apuntan desde Politico, intentar "seducirles con propaganda" mediante series de ataques de phishing diseñados para conseguir información o simpatías.

Esto demuestra que as redes sociales son un problema para las agencias de inteligencia, que están intentando atacar por todos los medios posibles. La discreción es clave, ya que actualizaciones de estado aparentemente inocuas de agentes o soldados a sus amigos pueden "revelar información sensible", de acuerdo con Politico.

También es necesario tener cuidado con lo rápido que se extiende la propaganda en la era de las redes sociales. Serena Moring, una antigua trabajadora externa del ejército estadounidense, conoce un caso de primera mano que no suena muy descabellado en plena era de las noticias falsas (y todo lo que han supuesto en redes sociales).

El caso hace alusión a una historia sin verificar de un soldado ruso que supuestamente murió combatiendo al ISIS en Siria. Todas las respuestas que la historia recibió en los comentarios y que provenían de militares señalaban, según la extrabajadora, un "vínculo de soldado a soldado".

Al parecer el Departamento de Defensa estadounidense está intentando "educar a su personal" para combatir herramientas online que han "elevado las posibilidades de usos malintencionados". Aunque los militares no serían los únicos en recibir esta clase de atenciones: sus esposas también.

Disponible el kernel Linux 4.12


Linus Torvalds, creador y lider del mantenimiento del kernel de Linux, anunció este domingo el lanzamiento de la versión 4.12. Luego de siete semanas anunciando versiones RC (Release Candidate), el finlandés ha dicho que no encontraba razones reales para retrasar más el lanzamiento.

Además de esto ha dicho que se trata de uno de los mayores lanzamientos historicamente, y que solo la versión 4.9 llegó a tener más cambios, pero el 4.12 es simplemente muy grande.

Nuevo soporte de hardware y nuevas características de seguridad

El kernel Linux 4.12 incluye soporte inicial para las gráficas AMD Radeon RX Vega, y soporte inicial para las Nvidia GeForce GTX 1000 "Pascal". También se ha añadido soportre para el controlador térmico de la Raspberry Pi's Broadcom BCM2835, y gestión de puertos USB Type-C.

También se han incluído muchas mejoras en seguridad y estabilidad para varios sistemas de archivos como XFS y EXT4, además de númerosas actualizaciones de controladores, compatibilidad con diferentes arquitecturas de hardware, mejoras en servicios de red, y muchas correcciones de bugs que lo hacen el kernel más avanzado hasta la fecha.

Este kernel pasa a ser ahora la versión principal de Linux, y Torvalds ha dicho que se ha estabilizado "bastante bien" y recomienda que vayan y lo usen. Sin embargo, no está aún recomendado para desplegar en las distribuciones, primero quienes mantienen los sistemas se debe empezar a probar en los repositorios inestables.

Como protegerse de WannaCry


En los últimos días he recibido una catarata de mensajes preguntando como protegerse de WannaCry, es comprensible dado que el ataque fue a nivel global y tuvo mucha repercusión en los medios de comunicación.

La solución mas fácil de todas es entrar en Windows Update y actualizar ya, pero hay persona que por distintos motivos no pueden hacer eso y buscan alguna forma de protegerse.

Acá doy algunos tips:

1) Usar GNU/Linux:

Como primer punto no puedo dejar de recomendar utilizar alguna distro GNU/Linux, la que gusten sea Ubuntu, Mint, Manjaro pero bueno sabemos que hay gente que si o si necesita usar un entorno Windows.

2) Desactivar protocolo SMB

Debido a que el gusano explota una vulnerabilidad en Samba SMB v1.0/CIFS, puedes desactivar este protocolo de la siguiente manera:

1) Ingresar al Panel de control
2) luego en Activar o desactivar características de Windows
3) dar click a la opción Desactivar "Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS"

También se puede crear un mutex "MsWinZonesCacheCounterMutexA" para evitar que el ransom se ejecute.

3) Aplicar Vacunas:

Estudiando el funcionamiento del malware se han logrado desarrollar 2 tipos de "vacunas" gratuitas que evitan que el malware infecte un equipo determinado.

A todo esto debemos dar una advertencia, así como los virus biológicos estas vacunas solo funcionan con el código actual, si se desarrollan nuevas versiones del malware y el código cambia la vacuna ya no será efectiva.

¿Que hago si mi equipo ya fue infectado por WannaCry? 

Lo primero es no desesperar, segundo no paguen el dinero que piden en Bitcoins ya que si lo haces además de demostrarle a los delincuentes que su sistema es efectivo, los financias. Esto puede generar nuevas olas de ataques de distintos tipos de malware con la intención de mayor recaudación.

Por ahora se ha publicado un potencial Decryptor que utiliza la clave privada del usuario para realizar el descifrado del archivo y por lo tanto intentar recuperar los archivos secuestrados por el malware.

¿Como funciona WannaCry? 

Aquí un video que explica el funcionamiento del mismo:


Por ultimo agarren una cerveza, siéntense cómodamente y beba mirando el nivel de expansión e infección global de WannaCry:


Los mantendremos actualizados!

Ataque a nivel mundial de WannaCry (Actualizado)


En las últimas horas muchos medios se han hecho eco de una oleada de infecciones con ransomware de varias compañías y organizaciones de diferentes partes del mundo. Todos los indicios indican que se trata del ransomware WannaCry, un ransomware que se vale de cifrado AES y RSA para tomar “de rehén” información contenida en el sistema infectado.

Al menos 74 países han sufrido el ataque de WannaCry, que este viernes se hizo conocido (y famoso) por ser parte de una infección a la empresa Telefónica. Este no es un ataque dirigido ni una APT y, al momento de escribir el presente, se han registrado más de 55.000 ataques en todo el mundo.


De acuerdo al Centro Criptológico Nacional de España esta amenaza se vale de la vulnerabilidad EternalBlue/DoblePulsar incluida en el boletín de seguridad MS17-010 de Microsoft, para poder infectar a otros equipos Windows que estén conectados a una misma red. Según el CCN-CERT, la explotación de esa vulnerabilidad permite la ejecución remota de comandos a través de Samba.

El boletín de seguridad MS17-010 se encuentra disponible para las siguientes plataformas:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 y R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 y R2
  • Windows 10
  • Windows Server 2016
Por otra parte, otras fuentes afirman con que esta versión del ransomware está conectado con algunas herramientas de la NSA que han sido robadas por el grupo Shadow Brokers.

Lo cierto es que, dado que este código malicioso ha infectado a importantes organizaciones en muy poco tiempo, el caso ha tomado una relevancia mayor a la que suelen tener este tipo de amenazas. La explotación de SMB se realiza a partir de la portación del exploit por parte de RiskSense-Ops.

 Ya se han publicado reglas de Yara para detectar este malware


ACTUALIZACIÓN 15/4/17

En sus versiones iniciales de este ransomware los datos podían ser descifrados, sin embargo en las versiones actuales ya no es posible porque utiliza cifrado AES-128 y afecta a 179 extensiones de archivos.

Una de las mejores formas de confirmar que se trata de un ransom genérico es verificar que sólo solicita entre USD 300 y USD 600 (0,16 bitcoin a la cotización actual) de rescate a las siguientes direcciones:

Total de dinero recaudado:  59.115 Dolares

Se recomienda actualizar los sistemas a su última versión o parchear según informa Microsoft en su actualización MS17-010. Esta planilla contiene el total de las consultas por CVE según Microsoft y son los correspondientes al MS17-010:

  • CVE-2017-0143 Crítico - Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0144 Crítico - Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0145 Crítico - Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0146 Crítico - Windows SMB Remote Code Execution Vulnerability
  • (CVE-2017-0147 Importante - Windows SMB Information Disclosure Vulnerability)
  • CVE-2017-0148 Crítico - Windows SMB Remote Code Execution Vulnerability 
  • Las máquinas con Windows 10 no son vulnerables 
Luego de la infección inicial el proceso "tasksche.exe" verifica los discos físicos y removibles disponibles y los recursos compartidos mapeados como unidad y los cifra con RSA 2048-bit.

La propagación masiva de WannaCry ha sido principalmente a través de SMB v1, lo que implica los puertos 139 y 445 abiertos. Si una sola máquina queda expuesta, luego se pone riesgo toda la red, debido a que se propagaba por sí mismo. Al momento de escribir esto, existen más de 1.500.000 equipos en esa situación.

Kaspersky y Symantec han dicho que también se utiliza SMB v2 pero, luego de la aplicación del parche en SMB v1, no se han detectado infecciones. Es decir que SMB v2 ayuda a la propagación, pero no es estrictamente necesario para la explotación.
 

Funcionamiento del gusano

El componente inicial que infecta los sistemas es un gusano que contiene y ejecuta el ransomware. Este gusano utilizando la vulnerabilidad ETERNALBLUE SMB (MS17-010). El proceso principal primero intenta conectarse al sitio web utilizado como killswitch y si la conexión tiene éxito, el binario termina su ejecución.

Después de pasar este control, lo primero que hace el gusano es comprobar el número de argumentos con los que se lanzó. Si se ejecutó con menos de dos argumentos, se instala e inicia un servicio denominado mssecsvc2.0 con el nombre "Microsoft Security Center (2.0) Service".

Cuando infecta con éxito una computadora vulnerable, el malware ejecuta el shellcode a nivel de kernel, igual que lo hace DOUBLEPULSAR, pero con ciertos ajustes para permitir la ejecución del ransomware, tanto para sistemas x86 como x64.

Si DOUBLEPULSAR ya estaba presente en el sistema (alguien lo instaló antes), lo aprovecha para instalar el ransomware. Si DOUBLEPULSAR no está presente, se intenta explotar el exploit utilizando las vulnerabilidades de SMB v1 (MS17-010 / KB4012598).

El código del ransom propiamente dicho es un archivo ZIP almacenado en la sección de recursos y protegido por contraseña ("WNcry @ 2ol7") dentro del gusano. Una vez iniciado el servicio, se extrae el archivo, se copia el binario (x86 o x64) del ransomware y se ejecuta. La rutina de cifrado de documentos y los archivos dentro del ZIP contienen las herramientas de soporte, una herramienta de descifrado y el mensaje de rescate.

WannaCrypt cifra todos los archivos que encuentra y les añade ".WNCRY" al nombre del archivo. Por ejemplo, si un archivo se llama "sample.jpg", el ransomware lo cifra y le cambia el nombre a "sample.jpg.WNCRY".

El ransomware también crea el archivo "@ Please_Read_Me @ .txt" en cada carpeta donde se cifran archivos. El archivo contiene el mismo mensaje de rescate mostrado en la imagen de fondo de pantalla. Después de completar el proceso de cifrado, el malware elimina todas las copias Shadow.



Detalles técnicos realizados por  la empresa EndGame y Cisco Talos sobre el funcionamiento de WannaCry:

Archivos relacionados:

Ante la duda de una infección conviene buscar las siguientes rutas de registros y archivos:


C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe.lnk C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "\tasksche.exe" HKLM\SOFTWARE\WanaCrypt0r\wd = "" HKCU\Control Panel\Desktop\Wallpaper: "\@WanaDecryptor@.bmp"

Otros archivos:

  • \msg  —  This folder contains the RTF describing the different instructions for the ransom-ware. Totaling 28 languages.
  • b.wnry  —  BMP image used as a background image replacement by the malware.
  • c.wnry  —  configuration file containing the target address, but also the tor communication endpoints information.
  • s.wnry  —  Tor client to communication with the above endpoints.
  • u.wnry  —  UI interface of the ransomware, containing the communications routines and password validation
  • t.wnry  — "WANACRY!" file — contains default keys
  • r.wnry  —  Q&A file used by the application containing payment instructions
  • taskdl.exe / taskse.exe
El malware también descarga la version 0.2.9.10 TOR browser.
 
Kaspersky, MalwareBytes y Mcafee han publicado un mini-análisis del malware.

Microsoft publicó actualizaciones para los sistemas discontinuados como Windows XP y Windows Server 2003 (en todos los idiomas)


Solución "casera" si no deseas actualizar:

Debido a que el gusano explota una vulnerabilidad en Samba SMB v1.0/CIFS, si no deseas (o no puedes) instalar el parche MS17-010, puedes desactivar este protocolo de la siguiente manera: Panel de control - Activar o desactivar caracteristicas de Windows - Desactivar "Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS"

También se puede crear un mutex "MsWinZonesCacheCounterMutexA" para evitar que el ransom se ejecute.

Basado en el funcionamiento del malware se han publicados 2 tipos de "vacunas" gratuitas que evitan que el malware infecte un equipo determinado. Esta solución puede ser útil para sistemas que no pueden usar antivirus y/o no se pueden actualizar.

Estas herramientas solo funcionan con las versiones actuales y podrían quedar en desuso en poco tiempo, con las versiones nuevas del malware.

Wikileaks revela cómo la CIA nos espió a través de smartphones, Smart TV y otros dispositivos



Wikileaks acaba de publicar una ingente colección de documentación que resume la actividad de la CIA durante los últimos tres años; la agencia de inteligencia cuenta con sistemas de hackeo que le han permitido obtener información privada de los usuarios de Europa y EE.UU. mientras usaban productos tecnológicos tan populares como un iPhone, un smartphone Android o un televisor inteligente.

La primera entrega publicada, títulada “Year Zero” contiene casi 9.000 archivos que han sido filtrados desde “una red aislada y de alta seguridad situada  en el Centro de Inteligencia Cibernética de la CIA en Langley, Virginia”. Así, la combinación de un “ejército” de hackers (más de 5.000, según la información de Wikileaks) junto con un arsenal de herramientas que incluyen malware, virus, troyanos y exploits “zero day” son la clave de la información recopilada por la CIA entre 2013 y 2016.



Este grupo de especialistas, conocido como EDG (Engineering Development Group), habría sido el responsable de ataques a smartphones con iOS o Android, serían capaces de obtener datos sobre geolocalización, audios, fotos o incluso información de aplicaciones consideradas como seguras, tales como WhatsApp o Telegram; no se ha roto el cifrado, sino que se obtiene información directamente desde el sistema operativo (desde capturar pantalla a las pulsaciones del teclado).
También se habla de una intrusión en el sistema operativo de las Smart TV de Samsung, que mantenía el micrófono encendido cuando el televisor estaba en reposo para captar cualquier conversación.



Además de dispositivos móviles, equipos con Windows, Mac, Linux, Solaris o dispositivos como routers, unidades de lectura de discos ópticos o cámaras de videovigilancia también serían objetivo de espionaje, siempre a través de sofisticadas técnicas hacker indetectables para la mayoría de los usuarios.

Un detalle que puede sonar anecdótico pero que sirve para entender la verdadera dimensión del asunto; entre las herramientas se incluyen un programa llamado “Pterodactyl”, diseñado para extraer información de un disquete. ¿Quién usa disquetes en 2017, se preguntará algún lector? Pues los responsables de la fuerza nuclear de EE.UU, por citar un ejemplo.




Por si la situación no os asusta lo suficiente, Wikileaks asegura que CIA ha perdido el control sobre este sofisticado sistema de hacking. Así, la colección de herramientas formada por millones de líneas de código habría sido filtrado a antiguos hackers que han trabajado para la organización y empresas contratistas del gobierno estadounidense, entre otros. Uno de ellos ha sido la fuente que ha permitido a Wikileaks publicar esta información.

Evidentemente, estamos ante una filtración que puede tener graves consecuencias. Por el momento, la CIA no se ha pronunciado pero entre la documentación revelada por Wikileaks se pueden leer extractos de texto en el que reconocen que “sería contrapoducente que se conociera esta información”.

Wikileaks, conciente de la gravedad del problema, ha explicado que han revisado los archivos que componen “Year Zero” y retirado los elementos más sensibles, como la información sobre terrorismo o ciberarmas.

Finalmente, debemos recordar que estamos ante la primera parte de una serie de filtraciones sobre la CIA, la mayor realizada hasta ahora. Ante este escenario, cualquier usuario se siente indefenso. ¿Qué responderá la CIA? ¿Tienen responsabildad las empresas que fabrican el hardware y software que utilizamos?

Archimedes, herramienta de CIA para hacer "Man-in-the-Middle"


WikiLeaks sigue publicando documentos relacionados con la serie de documentos Vault 7. Hace pocos días dieron a conocer a Archimedes, una herramienta de la CIA para hacer ataques man-in-the-middle que anteriormente fue conocida como Fulcrum.

Lo más inquietante de este asunto es no poder saber si Archimedes sigue siendo utilizado o no. Básicamente se trata de un malware que se instala en uno de los ordenadores pertenecientes a una LAN (red de área local) para redireccionar la navegación web de todos los ordenadores objetivo hacia un servidor controlado por la CIA, mientras que los afectados perciben que todo funciona con normalidad, como si no estuviesen siendo atacados mediante man-in-the-middle.

El propio manual explica de forma clara el funcionamiento de esta herramienta:

Archimedes es usado para redireccionar el tráfico de una LAN procedente un computador objetivo a través de una computadora controlada por el atacante antes de pasar por la pasarela. Esto permite a la herramienta inyectar una respuesta de servidor web falsificada que será redireccionada al navegador web objetivo en una localización arbitraria. Esta técnica es usada generalmente para redireccionar el objetivo hacia un servidor de explotación mientras ofrece la apariencia de una sesión de navegación normal.
Quizá este documento no tenga el interés ni el impacto de los primeros, pero es igualmente interesante y valioso para que la gente conozca cómo los servicios de inteligencia más poderosos han estado jugando con la privacidad en Internet a nivel mundial, además de forma aparentemente indiscriminada.

Los ataques man-in-the-middle, conocidos en castellano como ataques de intermediario, son un tipo de ataque en el cual un tercero consigue acceder a la conexión que están mantenimiento dos nodos (por ejemplo un servidor web con un navegador) pasando inadvertido por ambas partes. Esta tercera parte puede ver todos los datos transmitidos y generalmente también tiene la capacidad de modificarlos, pudiendo colar un malware en una carga de datos legítima.

Scribbles: la herramienta de la CIA para detectar futuros Snowdens


WikiLeaks ha publicado una nueva entrega de la serie de filtraciones del proyecto Vault 7, destinado a sacar a la luz documentos clasificados que demuestran los supuestos programas de espionaje electrónico de la CIA.

Se trata de un manual de usuario que describe un programa de la CIA conocido como "Scribbles". La herramienta permite a la agencia etiquetar y rastrear documentos creados con el software de Microsoft Office que sean filtrados por informantes o robados por "oficiales de Inteligencia extranjeros"



El proyecto está diseñado para permitir la inserción de etiquetas llamadas 'web beacon' en aquellos documentos que sean "susceptibles de ser robados".

Comúnmente utilizadas en análisis web, las etiquetas 'web beacons', también conocidas como 'web bugs', 'balizas web' o 'faros web', son a menudo incorporadas de forma invisible en páginas web o correos electrónicos para realizar un seguimiento de quién los lee.

Esta herramienta permitiría rastrear la actividad de los usuarios, incluido el monitoreo de cuándo y dónde se abrió un documento en particular.

De esta forma, la CIA sería capaz de ver cuando un tercero —potenciales informantes incluidos— accede a documentos confidenciales.

WikiLeaks señala que la última versión de la herramienta está fechada el 1 de marzo de 2016 —lo que indica que se utilizó hasta al menos el año pasado— y se suponía que debía permanecer clasificada hasta el 2066.

El manual del usuario del 'Scribbles' explica cómo la herramienta genera una marca de agua aleatoria para cada documento y la inserta, tras lo cual guarda todos los documentos procesados en un directorio de salida y crea un archivo de registro que identifica todas las marcas que hayan sido insertadas.

El 'Scribbles' fue probado con éxito en las versiones 1997-2016 de Microsoft Office en documentos que no estaban bloqueados, cifrados o protegidos con contraseña.

Sin embargo, la guía señala también que el programa tiene una serie de defectos.
Uno de los más significativos es que las marcas de agua solo se probaron con las aplicaciones de Microsoft Office, por lo que si el "usuario final objetivo" abría el documento con una aplicación alternativa, como OpenOffice, podría ver las marcas de agua y las URL y darse cuenta de que el documento estaba siendo rastreado.

Estados Unidos parece temer que Rusia los espíe a través del antivirus Kaspersky


Según un reporte de ABC News que cita fuentes oficiales, las autoridades estadounidenses han abierto una investigación sobre la relación de Kaspersky Lab con el gobierno ruso.

Aparentemente el Comité de Inteligencia del Senado envió un memorándum al director de inteligencia y al fiscal general alertando sobre la creciente presencia de Kaspersky en el mercado estadounidense, incluyendo en infraestructuras críticas del país donde su software de seguridad se encuentra instalado con frecuencia.

Kaspersky Lab es una compañía internacional dedicada a la seguridad informática que opera en unos 200 países. Su sede central se encuentra en Moscú, Rusia. Son los responsables del conocido antivirus Kaspersky, y no es primera vez que han sido acusados de tener relaciones con el gobierno ruso.

Parte del miedo y origen de estas acusaciones provienen del hecho de que el fundador y actual CEO de Kaspersky Lab, Eugene Kaspersky, fue educado en una Universidad patrocinada por la KGB y también trabajó para el ejercito ruso.

El reporte de ABC News también menciona que el Departamento de Seguridad Nacional de los Estados Unidos habrían emitido un reporte secreto sobre la relación de Kaspersky Lab con el gobierno Ruso que luego inició una investigación por parte del FBI.

El gobierno de los Estados Unidos cree Kaspersky y los rusos podrían usar sus productos para espiar a los ciudadanos de su país o para sabotear sus infraestructuras.

Kaspersky dice que se trata de acusaciones falsas:

Kaspersky emitió un comunicado de prensa al respecto donde afirman nunca haber tenido lazos con ningún gobierno, ni tampoco han ayudado o ayudarán a ningún gobierno con sus esfuerzos en ciberespionaje.

Además citan que en los últimos años Kaspersky Lab ha descubierto y reportado sobre múltiples campañas de ciberspionaje rusas, más que ninguna otra empresa basada en los Estados Unidos. Encuentran inaceptable que la compañía sea acusada injustamente sin tener ninguna evidencia para respaldar los alegatos.

El ciberespionaje ruso en Estados Unidos es un tema bastante caliente en la actualidad, especialmente después de que el senado del país norteamericano dijera tener pruebas sobre la intervención rusa en las últimas elecciones donde resultó victorioso Donald Trump.

Diccionario de 5000 millones de contraseñas en GitHub


Ben aka berzerk0 ha publicado un repositorio en Github que seguro hará las delicias de todo aquel que quiera hacer un ataque de fuerza bruta o, mejor dicho, de diccionario para obtener una contraseña. Efectivamente, se trata de diccionarios pero, ¿qué tienen de especial? Pues que son bastante extensos y ordena las contraseñas por uso o más probables...

Normalmente podemos encontrar algunas listas con contraseñas ordenadas por popularidad, pero el problema es que la gran mayoría de las listas, especialmente las listas más grandes, son ordenados alfabéticamente.

Evidentemente esto no es muy práctico. Si asumimos que la contraseña más común es "password" y estamos realizando un ataque de diccionario usando uno en inglés, vamos a tener que empezar con "aardvark" y pasar por "passover" para llegar a "password". "Aardvark" no parece una contraseña que elija mucha gente por lo que podríamos estar perdiendo mucho tiempo al no comenzar el ataque con la contraseña más común en nuestra lista!

Para crear los diccionarios, Ben fue a SecLists, Weakpass y Hashes.org y descargó casi todas las listas de palabras que contenían contraseñas reales. Estas listas eran enormes y terminó con más de 80GB reales, con contraseñas utilizadas y generadas por personas. Luego dividió los diccionarios entre más de 350 archivos de longitud variable, tipo de clasificación u orden, codificación de caracteres, origen y otras propiedades. Ordenó esos archivos, eliminó los duplicados de los propios archivos y juntó todos.


Si encontraba una contraseña en varios archivos, consideraba que era una aproximación de su popularidad. Si encontraba una entrada en 5 archivos, no era demasiado popular. Si una entrada se podía encontrar en 300 archivos, era muy popular.

Usando comandos de Unix, concatenó todos los archivos en un archivo gigante que contenía 4 mil millones de claves usados en distintos sitios de la web, y los ordenó por el número de apariciones en el archivo único. Con esto, pudo crear una lista de palabras muy grande clasificada por popularidad, no por orden alfabético.

El resultado: un repositorio de 24GB indispensable para cualquier cracker.

Kali Linux 2017.1 liberada

La popular distribución orientada a auditorías de seguridad Kali Linux 2017.1 ya está disponible. Esta es la primera versión del año 2017, e incorpora características muy interesantes, tanto para la realización de auditorías inalámbricas, para crackear contraseñas de manera local y también de manera remota usando Azure y AWS.

Incorporación del chipset RTL8812AU:


Este chipset Wi-Fi es uno de los más utilizados en las últimas tarjetas Wi-Fi para la realización de auditorías inalámbricas. Este chipset soporta el estándar Wi-Fi AC, y es uno de los primeros chipsets en incorporar drivers para la inyección de paquetes, algo fundamental para la realización de auditorías Wi-Fi. Un modelo de tarjeta que utiliza este chipset es Alfa Networks AWUS036ACH.

Aunque el driver necesario para que funcione correctamente no está instalado por defecto, sí lo tenemos en el repositorio oficial, por lo que simplemente con introducir los siguientes comandos ya los tenemos.

apt-get update
apt install realtek-rtl88xxau-dkms

Compatibilidad con GPU NVIDIA para crackear contraseñas:


En esta nueva versión de Kali Linux se han incorporado mejoras para la compatibilidad del hardware de las tarjetas gráficas. Utilidades como Hashcat o Pyrit utilizan la potencia de las GPU para probar miles de claves por segundo. Ahora la instalación de los drivers necesarios es más sencillo que antes, os recomendamos leer el manual para Kali de las GPU.


Compatibilidad con AWS y Azure para el crackeo de contraseñas fuera del sistema local:


Ahora Kali Linux incorpora todo lo necesario para crackear contraseñas usando los equipos de AWS y Azure, es decir, usando la "nube" tanto de Amazon como de Microsoft. En este enlace tienes todo lo necesario para saber cómo hacerlo con Kali Linux.

En esta nueva versión de Kali Linux 2017.1 se ha incorporado OpenVAS 9, la última versión de este conocido proyecto para realizar escaneos y gestión de vulnerabilidades en los sistemas informáticos.


Cómo actualizar o descargar la última versión Kali Linux 2017.1:


Si ya tenías anteriormente una versión de Kali Linux, puedes actualizar fácilmente introduciendo las siguientes órdenes en consola:

apt update
apt dist-upgrade
reboot
Si quieres hacer una instalación limpia, puedes descargar Kali Linux 2017.1 desde la página web oficial, aquí encontraréis todas las versiones disponibles tanto de 64 bits como de 32 bits. También tenemos ya las nuevas versiones de Kali preparadas para su utilización en VirtualBox y VMware, asimismo también tenemos ya para descargar las versiones para arquitectura ARM, ideal para usar esta distro en Raspberri Pi o en otros dispositivos como ODROID.

Debian 8.8 ya está entre nosotros


Debian es uno de los sistemas operativos Linux más utilizados, tanto directamente, por los usuarios que buscan estabilidad y seguridad, como indirectamente, ya que muchos sistemas operativos alternativos, como Ubuntu o SteamOS, se basan en él. Igual que cualquier otro sistema operativo, este debe actualizarse periódicamente para solucionar todo tipo de errores y fallos de seguridad y hacer que, poco a poco, este sistema sea lo más estable y fiable posible, y así es como acaba de llegar el nuevo Debian 8.8.

Este fin de semana, los responsables del desarrollo de Debian hacían pública una nueva actualización de la actual versión de Debian 8 "Jessie". Esta nueva versión sitúa el sistema operativo en la versión 8.8, la octava actualización de esta última versión, mostrando finalmente un sistema operativo maduro, estable, seguro y listo para dar el salto al próximo Debian 9, aunque todavía no hay fecha de lanzamiento para esta nueva y esperada versión.

Esta nueva actualización se centra principalmente en solucionar una serie de errores y problemas detectados en el sistema operativo, alguno de ellos de bastante gravedad, y, además, incluye un total de 90 parches de seguridad que solucionan una serie de vulnerabilidades detectadas en el sistema operativo y en varios paquetes del mismo.

En total, Debian 8.8 soluciona 158 fallos de estabilidad y seguridad respecto a la versión anterior 8.7, liberada a principios de este mismo año. Si somos usuarios de este sistema operativo, a continuación, os vamos a explicar cómo podemos actualizar a esta nueva versión.

Para actualizar simplemente:

sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade
Además, desde hace algunas horas, ya se encuentran disponibles las imágenes ISO del nuevo Debian 8.8 que nos permiten instalar esta nueva versión del sistema operativo, con todos sus parches, desde cero, las cuales se pueden descargar desde el siguiente enlace.