CyberSecurity Pulse 2017-05-1

CyberSecurity Pulse 2017-05-1

“In the middle of difficulty lies opportunity..”
Albert Einstein

Visión del analista

El FBI obtiene una autorización bajo la Regla 41 para desmantelar la botnet Kelihos

El 5 de abril, Deborah M. Smith, juez magistrado en jefe del Tribunal de Distrito de Alaska, dio luz verdad para hackear los equipos de miles de víctimas en un intento por liberarlos de la botnet llamada Kelihos. El FBI solicitó la autorización a través de un nuevo cambio de reglas de procedimiento aprobado entre preocupaciones por parte de los defensores de la privacidad ya que la actualización podría abrir una nueva puerta para el abuso del gobierno. Sin embargo, su primer uso ha aliviado temores, al menos por el momento.

CyberSecurity Pulse 2017-05-1Esta no ha sido la primera vez que el gobierno ha obtenido el permiso de un tribunal federal para acceder y limpiar los equipos infectados cualquiera que fuera su ubicación. Para desmantelar Gameover Zeus, Estados Unidos obtuvo órdenes judiciales civiles y criminales de una corte federal en Pittsburgh «autorizando medidas para redirigir la automatización de peticiones de los ordenadores víctimas para obtener instrucciones adicionales de los operadores delictivos y así sustituir a los servidores», así como «recopilar información sobre la marcación, el enrutamiento, el direccionamiento y la señal (DRAS, por sus siglas en inglés) de equipos infectados», según funcionarios del Departamento de Justicia en 2014.

En el caso de kelihos, los federales necesitaban mayor capacidad legal para liberar los ordenadores debido a la naturaleza peer-to-peer de la infección, lo cual exigía más «medidas activas», dice John Bambenek, gerente de Fidelis Cybersecurity que estuvo ayudando a la limpieza de botnet. El FBI «tuvo que infectar las máquinas», convertirlas en supernodos que distribuyen listas de conexión a otras computadoras victimizadas y luego «envenenar» a todas las computadoras para que nunca más intentaran comunicarse con los dispositivos controlados por los cibercriminales, dijo Bambenek, quien también ayudó en la operación de limpieza 2014 Gameover Zeus.

A pesar de los beneficios que les aporta a las fuerzas y los cuerpos de seguridad este tipo de medidas, no deja de haber otras posiciones más escepticas, como el caso de la Electronic Frontier Foundation. «A menudo, los federales usan la incertidumbre como una excusa, o cobertura, por no obtener una orden judicial», dijo el abogado del FEP, Andrew Crocker. Esta vez, «el gobierno ha procedido con mucha más precaución que en algunos de los otros casos». Como ejemplo señaló el uso sin autorización de Stingray que ha continuado durante muchos años hasta que el Departamento de Justicia publicó una política de uso legal en 2015. Un ejemplo, sin duda alguna, que elogiar a las fuerzas y cuerpos de seguridad por pedirle a un juez que revisara su procedimiento. Un paso muy positivo hacia la rendición de cuentas y transparencia sobre las incursiones informáticas del FBI.

» Más información en Ars Technica  

Noticias destacadas

Wikileaks filtra la herramienta Scribbles para rastrear a potenciales delatores

CyberSecurity Pulse 2017-05-1Scribbles es un software supuestamente desarrollado para incrustar etiquetas de web beacon en documentos confidenciales con el objetivo de rastrear a los denunciantes y a los espías extranjeros. Wikileaks ha filtrado la documentación de Scribbles y su código fuente, la última versión publicada de Scribbles (v1.0 RC1) es del 1 de marzo de 2016, fecha que sugiere que fue utilizada hasta al menos el año pasado. De acuerdo con documentos filtrados por Wikileaks, Scribbles es «un sistema de preprocesamiento de marca de agua de documentos para incrustar etiquetas de estilo web beacon en documentos que probablemente sean copiados por informadores, denunciantes, periodistas u otros». El software Scribbles fue escrito en lenguaje de programación C# y genera una marca de agua aleatoria que se inserta en cada documento. Desafortunadamente para los agentes de la CIA, el software Scribbles sólo funciona con Microsoft Office. De acuerdo con el manual del usuario, la herramienta de la CIA fue desarrollada para el preprocesamiento offline de documentos de Microsoft Office, lo que significa que si los documentos con marcas de agua se abren en cualquier otra aplicación como OpenOffice o LibreOffice, podrían revelar marcas de agua y las direcciones URL al usuario.

» Más información en Security Affairs
 

China lanza ataques para detener el despliegue de Corea del Sur del sistema de defensa contra misiles

CyberSecurity Pulse 2017-05-1Funcionarios del gobierno chino han sido muy optimistas en su oposición al despliegue del sistema de defensa aérea de alta altitud (THAAD) en Corea del Sur, lo que plantea preocupaciones de que los sensores sensibles del radar del sistema de misiles antibalísticos podrían ser utilizados para espionaje. Y según los investigadores de la firma de seguridad de la información FireEye, los hackers chinos han transformado la objeción a la acción dirigiéndose a las redes de la industria militar, gubernamental y de defensa de Corea del Sur con un número creciente de ciberataques. Esos ataques incluyeron un ataque de denegación de servicio contra el sitio web del Ministerio de Relaciones Exteriores de Corea del Sur que, según el gobierno surcoreano, provendría de China. El director de análisis de ciberespionaje de FireEye, John Hultquist, dijo al Wall Street Journal que FireEye había detectado una oleada de ataques contra objetivos surcoreanos desde China desde febrero, cuando Corea del Sur anunció que desplegaría THAAD en respuesta a las pruebas de misiles norcoreanos. Los intentos de espionaje se han centrado en organizaciones asociadas con el despliegue de THAAD. Ellos han incluido ataques de spear phishing que llevan archivos adjuntos con malware junto con ataques de watering hole que ponen el código malicioso para descargar en sitios web frecuentados por oficiales militares, gubernamentales y de la industria de defensa.

» Más información en Ars Technica

Noticias del resto de la semana

Aplicaciones mal diseñadas dejan millones de teléfonos en riesgo por puertos abiertos

Un grupo de investigadores de seguridad de la Universidad de Michigan ha descubierto que cientos de aplicaciones en Google Play Store podrían ser utilizadas para robar datos e incluso difundir código malicioso entre millones de dispositivos Android. El problema afecta a todas las aplicaciones que abren puertos o que utilizan procesos inseguros en los procesos de desarrollo de aplicaciones. Aunque es normal que las aplicaciones móviles abren puertos para permitir la comunicación con otras entidades, por ejemplo, para el intercambio de datos con un servicio web, esto también podría suponer un punto de entrada potencial para cibercriminales en presencia de una vulnerabilidad en el proceso de autenticación, por que permitan la eejcución remota de código o vulnerabilidades de desbordamiento de buffer.

» Más información en Security Affairs
 

Spyware que tracea la localización disponible en Google Play desde 2014

Google Play ha retirado una aplicación llamado Systema Update por contener un spyware. La aplicación que había estado disponible en la tienda de Google Play desde 2014 aseguraba que los usuarios obtuvieran las últimas actualizaciones del sistema operativo Android, pero en realidad contenía un malware conocido como SMSVova que puede rastrear la ubicación de un usuario y enviarlo a un tercero. La aplicación se había descargado entre un millón y cinco millones de veces antes de ser eliminada del mercado oficial.

» Más información en SC Magazine
 

Facebook publica los SDK del protocolo de recuperación de cuentas delegadas

Facebook ha publicado el código de una versión beta de su protocolo de recuperación de cuentas delegadas. Esta característica permitirá a aplicaciones de terceros que sus usuarios puedan restablecer sus contraseñas probando su identidad de Facebook en lugar de responder a preguntas de seguridad o recibir un enlace de restablecimiento de contraseña en un texto o correo electrónico.

» Más información en Facebook

Otras noticias

Air Force de Estados Unidos abre su programa bug bounty

» Más información en Dark Reading
 

La botnet Hajime compromete 300 000 dispositivos IoT

» Más información en The Register
 

Se filtran episodios de Netflix Show y amenazan a otras redes

» Más información en The New York Times


facebooktwitterlinkedinmail