Fallas en la doble autenticación de paypal

Existe una vulnerabilidad en la forma en como PayPal maneja algunas peticiones de clientes móviles. Esto permite a los atacantes evitar el mecanismo de autenticación doble y transferir dinero de alguna víctima a la cuenta que el atacante quiera.

La falla radica en la forma en la que fluye el proceso de autenticación en los dispositivos móviles iOS y Android, el error se encuentra del lado del servidor. Investigadores de Duo Security desarrollaron una aplicación móvil como prueba de concepto que puede explotar la vulnerabilidad. Se advirtió a PayPal del problema desde marzo y han estado trabajando en corregirlo. Sin embargo, no se planea liberar un parche completo sino hasta julio.

Zach Lanier, investigador en seguridad de DuoSecurity, escribió su explicación sobre la vulnerabilidad y sus efectos:

«El Atacante sólo necesita el usuario y contraseña de la víctima para acceder a una cuenta que está protegida por seguridad de dos factores y enviar dinero. La protección ofrecida por el mecanismo de seguridad de dos factores puede ser evadido y esencialmente anulado».

«Mientras la app móvil de PayPal aun no soporta la autenticación doble, es posible engañar a la aplicación para que ignore la bandera de autenticación doble de la cuenta, permitiendo al atacante ingresar a la cuenta sin la segunda autenticación».

PayPal brinda a sus usuarios la opción de usar autenticación doble de distintas maneras. En esta autenticación se generan contraseñas de un sólo uso durante la sesión. Este sistema puede ser utilizado en el soporte web de PayPal pero no en la aplicación móvil.

La vulnerabilidad puede ser explotada al crear una aplicación que engaña a la API de PayPal, ésta cree que la aplicación móvil se está conectando a una cuenta con autenticación simple, ignorando por completo la autenticación doble.

La aplicación que se creó se comunica con dos API distintas de PayPal. La primera se encarga de la autenticación y la segunda se encarga de la transferencia del dinero. Mientras se investigaba la vulnerabilidad, los investigadores de Duo notaron que cuando los servidores de PayPal responden a una petición POST desde la aplicación móvil, utilizando la autenticación doble, se desplegaba un mensaje de error y se enviaba al usuario a la pantalla de login. Pero cuando la respuesta del servidor era modificada colocando el campo de autenticación doble en la aplicación, se le permitía al usuario entrar.

vía threatpost

Un inseguro apreton de manos.

La función de seguridad que resguarda la confidencialidad de tu comunicación web (el mismo software de criptografía afectado recientemente por la falla Heartbleed) tiene más problemas.

Y a esta nueva vulnerabilidad podemos llamarla handshake bug o “la falla del apretón de manos”.

Los ordenadores y servidores web entablan conversaciones seguras entre sí en un proceso conocido como handshake. Pero esta semana, los investigadores de seguridad descubrieron un problema en la forma en que ‘se dan la mano’ o establecen esa conexión. La falla permite que un hacker que opera entre el usuario y un sitio web -por ejemplo, alguien conectado a la misma red pública WiFi- fisgonee tu sesión de Internet.

Esta falla no es tan devastadora como Heartbleed. Los únicos navegadores importantes a los que afecta son los del sistema operativo móvil Android de Google. Y para que un hacker explote esa grieta, tú y el sitio web deben estar ejecutando versiones vulnerables del software de encriptación, conocido como OpenSSL.

Aunque no es tan grave, es otra llamada de atención que delata que tu seguridad en Internet depende de un puñado de personas sin sueldo. La Fundación OpenSSL es un pequeño equipo de programadores informáticos que apenas recientemente comenzaron a recibir apoyo financiero adicional de muchas empresas que usan ese software.

La Fundación Linux dijo que OpenSSL ha recibido alrededor de la mitad de los 5.4 millones de dólares que hasta la fecha han donado las empresas a la Core Infrastructure Initiative, una iniciativa que busca mejorar la seguridad en Internet.

De hecho, muchos expertos dicen que la única razón por la que pudo detectarse la falla Handshake es porque, después de Heartbleed, más voluntarios están peinando exhaustivamente el código informático OpenSSL. El mundo puede darle las gracias a Masashi Kikuchi, un experto en software de seguridad de la pequeña consultora japonesa Lepidum, que decidió revisar el código personalmente.

vía cnnexpansion

WINDOWS XP, APARENTEMENTE MÁS SEGURO QUE WINDOWS 7 Y 8

Árticulo sumamente interesante.

Los ordenadores que utilizan Windows 7 o Windows Vista se vieron más afectados por las infecciones de malware durante el cuarto trimestre de 2013 que Windows XP. Aún así, los expertos aseguran que no significa que el sistema operativo sea más seguro que las versiones más recientes de Windows.

Las cifras aportadas por Microsoft en su último Security Intelligence Report muestran que el número de máquinas con Windows Vista infectadas por malware pasaron del 5,3 por cada mil máquinas al 32,4 del tercer al cuarto trimestre de 2013; en el mismo periodo, los ordenadores con Windows 7 infectados pasaron del 4,9 por mil al 25,9 por mil; en cuanto a Windows XP, las infecciones se incrementaron desde el 9,5 por mil al 24,2; también crecieron el número de máquinas infectadas con Windows 8, desde el 2,1 por mil al 17,3; respecto a Windows 8.1, es la versión de Windows menos infectada con sólo un 0,8 por mil de los ordenadores infectados con malware.

Microsoft ha explicado también en su informe que durante el último trimestre del año pasado se detectó un incremento del malware debido a la influencia del troyano Win32/Rotbrow, y que espera que las cifras vuelvan a la normalidad durante este año.

Para los que creen que las cifran demuestras que Windows XP pueda ser más seguro y estable que sus sucesores, el experto de seguridad Graham Cluley, dice que no es el caso. “La verdad es que, si se configura correctamente, Windows 7 ofrecer mejor seguridad que Windows XP”.

Como ejemplo Cluley pone que las versiones más modernas de Windows pueden aprovecharse de Microsoft EMET (Enhanced Mitigation Experience Toolkit), una utilidad capaz de bloquear el malware que explota las vulnerabilidades de Día Cero.

Al final, debido a la enorme popularidad de Windows XP, Microsoft ha acordado ofrecer un nivel de ciberseguridad básico para el sistema operativo hasta julio de 2015. Este nivel básico de soporte incluye formas de malware para Microsoft Security Essentials, System Center Endpoint Protection, Forefront Client Security, Forefront Endpoint Protection y Windows Intune.

Vía channelbiz

Incluso Apple tiene vulnerabilidades

Crea algo bonito, lujoso y cobra por sus actualizaciones, esta parece ser la presima de Apple y nos vende estos dispositivos, como seguros, como improbable que un virus entre a ellos, pero inclusive apple tiene vulnerabilidades.

La vulnerabilidad afecta los correos electrónicos en varias versiones del sistema operativo de Apple

 

Al parecer iOS, el sistema operativo móvil de Apple, ha encontrado una nueva vulnerabilidad en la cual se puede acceder a los correos electrónicos y que afecta a las versiones más recientes que van desde la 7, hasta la 7.1.1.

De acuerdo con el medio ABC.es, Andreas Kurtz, investigador de seguridad, indicó que el sistema no encripta los archivos adjuntos de un e-mail, algo que la misma empresa afirma que sí hace.

El experimento que realizó se llevó a cabo en un iPhone 4, iPhone 5 y en un iPad 2 conectados a una computadora. Después de un breve proceso informático logró navegar en la partición de datos entre los archivos guardados y descubrió que los adjuntos no tienen ninguna protección.

En el artículo se menciona que Kurtz reportó el problema un día después que se lanzara la actualización iOs 7.1.1, que se supone, solventaba problemas de seguridad.

Sin embargo, se dice que acceder a los archivos no es sencillo para cualquiera ya que el ladrón necesita poseer el equipo y hacer un bypass con Jailbreak para lograr desbloquear el móvil, algo que necesita ciertos conocimientos de informática.

Kurtz relata en su blog que informó estos hallazgos a Apple. «Respondieron que eran conscientes de este problema, pero no mencionaron ninguna fecha para una solución».

«Teniendo en cuenta el largo tiempo que iOS 7 ha estado disponible y por la sensibilidad de los adjuntos de un correo electrónico, que muchas empresas comparten en sus dispositivos (fundamentalmente dependen de la protección de datos), me esperaba un parche a corto plazo. Por desgracia, incluso iOS 7.1.1 no remedia el problema, dejando a los usuarios en riesgo de robo de datos».

Como solución temporal, los usuarios interesados ​​pueden deshabilitar la sincronización de correo (por lo menos en los dispositivos donde el ROM de arranque es explotable), finaliza.

Vía: el universal

México blanco de ataques

En los próximos años México atraerá más ataques cibernéticos debido a la llegada de centros de datos de grandes firmas tecnológicas y a su crecimiento económico, dijo Derek Manky, estratega global de Seguridad de la compañía de seguridad informática Fortinet.

«El arribo de centros de datos de grandes firmas tecnológicas y crecimiento económico podrían acelerar la ocurrencia de delitos informáticos. Petróleos Mexicanos, por ejemplo, están conectados a las redes comunes, lo cual las deja en situación de vulnerabilidad ante los ataques», explicó el experto, según recoge el diario Excelsior.

Los hackers continuarán atacando con phishing y ransomware, un código que secuestra los programas de la computadora y los libera hasta que la víctima paga un «rescate», pero también se prevén más intrusiones a sistemas de manejo remoto que controlan la infraestructura crítica, como SCADA, dijo Derek Manky, estratega global de Seguridad de la compañía de seguridad informática Fortinet.

Vulnerabilidades que deben ser eliminadas

«En Scada hay muchos hoyos de seguridad que se pueden explotar y afectar e impactar la infraestructura de un país, ya sea en gas, electricidad o agua», agregó el experto, al sugerir que estas vulnerabilidades deben ser eliminadas tanto por el sector público como por el privado.

Quienes manejan SCADA y sistemas de control industrial «piensan que no tienen ningún problema, pero incluso si están protegidos con redes privadas virtuales que estén encriptadas, los hackers están volteando a ver a las interfaces humanas (HMI, por sus siglas en inglés) y a los portales web», dijo Manky.

Vía eleconomistaamerica

México y Perú: los países de Latinoamérica más afectados por malware de 64 bits

México ocupa el séptimo lugar y Perú el octavo en el ranking mundial de los diez países con más detecciones de códigos maliciosos diseñados para plataformas Windows de 64 bits.

Si se consideran solo países de América Latina, México lidera la posición seguido de Perú y Argentina. Las plataformas de 64 bits no son nuevas. De hecho, en 2005 Microsoft ya ofrecía una edición de Windows XP diseñada para funcionar en procesadores cuyo set de instrucciones es x86-64.

Pese a esto, en aquellos tiempos era una tecnología poco adoptada por los usuarios, por ende, no formaba parte de los blancos importantes de los cibercriminales. Tal situación ha ido cambiando con el tiempo y es cada vez más frecuente observar computadoras que incluyen un sistema operativo de 64 bits de forma predeterminada.

De acuerdo a estadísticas publicadas por Microsoft, en junio de 2010 el 46% de las instalaciones de Windows 7 fueron de 64 bits a nivel global. Asimismo, Gartner predice que para 2014 un 75% de los computadores corporativos utilizarán alguna edición de 64 bits de Windows.

Las cifras citadas anteriormente resultan lógicas considerando que la principal ventaja de esta arquitectura es la posibilidad de utilizar más de 4 GB de RAM, algo que los sistemas de 32 bits no pueden manejar de forma óptima. Asimismo, algunos programas de cifrado (encriptación), edición de videos, entre otros, funcionan mejor en arquitecturas de 64 bits.

Con respecto a la seguridad, las ediciones de 64 bits de Windows incluyen características adicionales de protección como Kernel Patch Protection (PatchGuard) que resguarda el núcleo de Windows de programas o códigos maliciosos que lo intentan parchear. Asimismo, todos los drivers deberán estar digitalmente firmados por una entidad certificadora de confianza para que funcionen. Esta última característica impide que los rootkits de 32 bits afecten a ediciones de Windows de 64 bits.Pese a esto y a que la mayoría de las aplicaciones (también malware) de 32 bits sí funcionan en Windows x64, los cibercriminales están desarrollando más códigos maliciosos diseñados específicamente para Windows x64 como ZeroAccess (Sirefef), Olmarik, y otros. Los motivos son poder evitar tales mecanismos de protección, lograr ocultarse en el sistema para dificultar el proceso de desinfección, entre otros.

México y Perú encabezan detecciones de familias “Win64″ en Latinoamérica

considerando que las plataformas de 64 bits son cada vez más populares a nivel mundial, la cantidad de familias y firmas “Win64” han aumentado acordemente.En esta línea y considerando todo lo que va de 2013, México y Perú son los países de la región que registran las tasas más altas de detecciones de códigos maliciosos para Windows x64. Considerando solamente las naciones de América Latina, México posee el 23,9% de las detecciones de malware x64. Le sigue muy de cerca Perú con el 23,7% y más atrás Argentina con el 9,2%.En lo que atañe a los códigos maliciosos para 64 bits más detectados en México y Perú, destacan las familias Win64/Sirefef y Win64/Conedex.

Sirefef es un troyano de puerta trasera utilizado por atacantes para robar información de la víctima. La amenaza también posibilita que un tercero manipule procesos del equipo, abra puertos, ejecute archivos, etc. Por su parte Conedex también es un troyano que se caracteriza por permitir la realización de acciones maliciosas.

Hackers se apoderan del control de las Smart TV

El año pasado investigadores de seguridad de la consultora ReVuln publicaron un vídeo en Internet en el que mostraban la manara para obtener el control de un Smart TV o televisión inteligente. Ahora, un par de hackers anunciaron que encontraron agujeros de seguridad en los últimos televisores inteligentes de Samsung a través de los cuales pueden explotar las características de los mismos de forma remota.

El resultado de este hackeo se dio a conocer en en el marco de la conferencia anual de seguridad Black Hat, la cual reúne año tras año a los referentes del sector tecnológico, quienes brindan primicias y novedades en términos de amenazas y vulnerabilidades.

Aaron Grattafiori y Josh Yavor inyectaron un código malicioso en los equipos mediante el navegador web. Gracias a ello fueron capaces a encender cámaras, utilizar aplicaciones instaladas tipo Facebook o Skype, y acceder a archivos varios, publicóMashable.

De acuerdo con Yavor y Grattafiori, durante el mes de enero comunicaron a Samsung para avisar que habían encontrado agujeros de seguridad en el sistema de sus televisores más modernos, el Smart Hub.

Los hackers afirmaron que el Smart Hub en teoría funcionaba igual que en smartphones por lo que si el usuario accedía a sitios en la red poco fiables o descargaba una aplicación comprometida, un hacker malicioso podía obtener el control remoto total del televisor, incluyendo el de su cámara.

Por su parte, Samsung declaró que los agujeros de seguridad ya habían sido parchados, pero en palabras de los dos investigadores “eso no significa que en el futuro no se descubran otros”. Algo que seguramente ocurrirá.

La razón por la que el optimismo de los especialistas es limitado se debe principalmente a que el mercado de las televisiones inteligentes está teniendo un gran ritmo de crecimiento y también debido a que corren softwares complejos que no están optimizados con medidas de seguridad pertinentes por parte de los fabricantes.

De acuerdo con estudios de mercado, durante 2012 se vendieron aproximadamente 67 millones de unidades de Smart TV en el mundo, y se espera que este año esa cifra aumente hasta los 85 millones de aparatos.

El panorama de estas posibilidades por parte de terceros puede parecer a una película de espionaje. Sin embargo, la idea de estar vigilado por un desconocido, incluso estando en en el propio hogar, resuena debido los recientes escándalos de espionaje en el mundo digital que han venido ocurriendo en los últimos meses.

De esta manera, los investigadores en Black Hat comentaron una serie de sencillas recomendaciones para prevenir una invasión a la intimidad propiciada por un televisor inteligente con la capacidad de monitorear todas las actividades en el interior de un hogar.

A los fabricantes se le recomendó, obviamente, desarrollar mejores protocolos de seguridad y actualizar constantemente esta plataforma; sin embargo la mayor responsabilidad recae sobre el propietario, ya que en él radica mantenerse al tanto de estas estrategias de hackeo.

Por lo tanto, la opción más viable, en este caso, es un asunto de sentido común en el que mantener siempre actualizado el sistema operativo del televisor y evitar descargar aplicaciones o acceder a sitios poco confiables es la tónica a seguir para evitar sorpresas.

La protección contra los hackers requiere una constante actualización a la que comúnmente un usuario normal no obedece. Sin embargo, tener en cuenta las mínimas precauciones puede ayudar a frenar la vigilancia por medio de la televisión, aunque –finalmente–, si todo falla “siempre queda la opción de colocar un adhesivo sobre la cámara (de la Smart TV)”, concluye bromeando Josh Yavor.

Vía: antenasanluis.mx

Un nuevo troyano para Android convierte al 99% de los dispositivos en vulnerables

El equipo de la compañía de seguridad Bluebox ha encontrado una nueva vulnerabilidad para dispositivos Android que convierte aplicaciones legítimas en troyanos,pasando totalmente desapercibido por la tienda de aplicaciones, el teléfono o el usuario. Esta vulnerabilidad afecta a cualquier dispositivos Android lanzado al mercado en los últimos cuatro años y en función del tipo de aplicación, un ‘hacker’ puede explotar la vulnerabilidad de cualquier cosa, desde el robo de datos a la creación de una red de ‘bots’ móviles.

 

Los ataques maliciosos a dispositivos Android se han convertido ya en un clásico. Aplicaciones falsas que insertan ‘malware’ en el dispositivo o que intentan realizar ataques de ‘phishing’ está a la orden del día. Sin embargo una nueva amenaza, que pasa desapercibida a ojos de los usuarios, puede acabar radicalmente con el terminal Android.

 

Según asegura la compañía de seguridad Bluebox Security en su último informe, una nueva vulnerabilidad descubierta para Android convierte cualquier aplicación instalada de forma legítima en el terminal en un troyano. Mientras que el riesgo para los usuarios y las empresas es grande, este riesgo se agrava si se tienen en cuenta las aplicaciones desarrolladas por los fabricantes de dispositivos como HTC, Samsung, Motorola o LG, o de terceros que trabajan en cooperación con el fabricante del dispositivo, ya que se otorgan privilegios elevados especiales dentro de Android, específicamente el acceso UID de sistema.

 

El informe explica cómo funciona esta nueva vulnerabilidad. La vulnerabilidad implica diferencias en cómo las aplicaciones de Android son criptográficamente verificados y fijas, lo que permite la modificación del código del APK sin romper la firma criptográfica.

 

Todas las aplicaciones Android contienen firmas criptográficas, que utiliza Android para determinar si la aplicación es legítima y verificar que la aplicación no ha sido alterada o modificada. Esta vulnerabilidad hace que sea posible cambiar el código de una aplicación sin afectar a la firma criptográfica de la aplicación, en esencia lo que permite a un autor malicioso engañe a Android creyendo que la aplicación no cambia incluso si se ha sido.

 

Los detalles de Android ‘bug’ de seguridad 8219321 se dieron a conocer de manera responsable a través de la estrecha relación de Bluebox Security con Google en febrero de 2013.

 

«Todo depende de la capacidad de los fabricantes de dispositivos para producir y lanzar actualizaciones de ‘firmware’ para los dispositivos móviles y que los usuarios las instalen. La disponibilidad de estas actualizaciones varía ampliamente dependiendo del fabricante y el modelo de que se trate», afirma la compañía de seguridad.

 

 

 

vía europapress

 

Hackeo en Opera expone a usuarios de Windows

El fabricante del navegador Opera cree que unos cuantos miles de usuarios de Windows pudieron haber sido engañados en la instalación de un troyano firmado con un certificado robado de Opera.

La firma dijo que se trataba de un el ataque dirigido que se detuvo y se contuvo sobre la infraestructura de red interna de la compañía el 19 de junio.

A pesar de que Opera le restó importancia a la violación, alegando que había sido de  «poco impacto», mencionó que los atacantes fueron capaces de obtener al menos un certificado de firma  de código viejo y vencido, que Opera usaba para firmar algunos malware.

«Esto les ha permitido distribuir software malicioso que engaña a los usuarios haciéndose pasar por Opera Software o por nuestro navegador», señaló Opera.

«Es posible que unos pocos miles de usuarios Windows que estaban usando Opera el 19 de junio, automáticamente hayan recibido e instalado el software malicioso.»

Opera dijo que  para reforzar la seguridad, impulsaría una nueva versión con un nuevo certificado de firma de código y recomendó a los usuarios actualizarla tan pronto como sea posible.

El blogger de seguridad de Graham Cluley cuestionó los informes de la compañía sobre el ataque.

«No se puede más que cuestionar la forma en que Opera ha enfentado este incidente , titulando a su anuncio oficial:Se detiene violación de seguridad» dijo Cluley. «Y cabe preguntarse el por qué Opera hizo publico el error una semana después de haber sido descubierto».

Opera declaró que había limpiado su sistema y no había ninguna evidencia de datos de usuarios que sean comprometidos.

«Estamos trabajando con las autoridades competentes para investigar el ataque y cualquier fuente potencial de mayor alcance», confirmó la firma.

Vía seguridad-unam

Adobe corrige falla crítica en ColdFusion

Adobe prepara un parche para una vulnerabilidad crítica en su servidor de aplicaciones web ColdFusion, el cual ahora se utiliza en ataques. La vulnerabilidad afecta varias versiones de ColdFusion en Windows, Unix y OS X.

Para recuperar archivos de servidores afectados, un atacante remoto puede utilizar la falla que Adobe planea corregir el 14 de mayo. Existe un exploit público disponible para esta vulnerabilidad, por lo que el parche tiene una prioridad alta para las empresas que utilizan ColdFusion.

“Hay reportes de que un exploit se encuentra disponible públicamente para esta vulnerabilidad. Los clientes de ColdFusion, que restringieron el acceso público a los directorios CFIDE/administrator, CFIDE/adminapi and CFIDE/gettingstarted (como se indica en la Guía ColdFusion 9 Lockdown y la Guía ColdFusion 10 Lockdown), estan mitigando este problema”, dijo Adobe en su aviso.

La compañía recomendó a los clientes que ejecutan versiones vulnerables de ColdFusion, que incluyen 10, 9, 9.02 y 9.01, seguir las recomendaciones en las guías mencionadas, para ayudar a instalar medidas de mitigación que evitan la explotación de esta vulnerabilidad.

Vía Threat Post