Muchas veces, a la hora de investigar una intrusión, se suele tener una
check-list de sitios y técnicas que han podido ser empleadas para
ocultar una backdoor por parte de un atacante para mantener el acceso.
De lo buena/mala que sea esa check-list depende el número de horas que
vas a pasar intentando localizar el 'regalo' del visitante.
Aquí ya hemos hablado alguna vez sobre cómo 'backdoorizar' un servidor apache y decíamos que algo muy común era el uso de peticiones POST en vez de GET para intentar no salir en la foto.
Otra forma de comunicarse con un backdoor que se encuentre en un
servidor web es enviando los comandos en una cookie, esta técnica se
puede ver implementada ... Continuar leyendo
Word, Excel y PowerPoint están disponibles para descargar sin costo.
Cada aplicación permite crear y editar documentos, manteniendo los
cambios en cualquier plataforma gracias a la integración con la nube
Microsoft continúa recuperando el tiempo perdido en su estrategia online. Luego de ofrecer Office para iPad, iPhone y tablets con Android, llegó el turno ahora de los móviles que utilizan la plataforma de Google.
"Microsoft
Office Mobile ofrece acceder, ver y editar los documentos de Word,
Excel y PowerPoint desde prácticamente cualquier lugar. Los documentos
tienen el mismo aspecto que los originales gracias al soporte de
gráficos y animaciones. Al hacer ediciones rápidas o agregar comentarios
a un documento, el formato y el contenido se mantienen intactos",
prometió la empresa al anunciar las aplicaciones, disponibles sin costo
para smartphones con Android 4.4 en adelante.
David Reguera de Buguroo está trabajando en el desarrollo de anticuckoo, una herramienta escrita en C/C++ para detectar y crashear el sandbox de Cuckoo: - se ha probado en la versión oficial y la de Accuvant - detecta toda clase de hooks de Cuckoo - busca datos sospechosos en memoria, sin APIs, escaneando página por página -
con el argumento "-c1" provoca un crash del sandbox. Lo hace
modificando el valor de la instrucción RET N de una API hookeada (el
HookHandler de Cuckoo sólo pasa los argumentos reales de la API y la
intrucción RET N modificada corrompe su stack)
TODO - agente y proceso de detección en python (al 70%) -
mejorar la detección comprobando los bytes correctos en los sitios
conocidos (por ejemplo las APIs nativas siempre tienen las mismas
firmas, etc.). - detección de las entradas TLS de Cuckoo
En este informe sobre amenazas McAfee Labs explora por primera vez los ataques basados en fimware. Se ofrece nuevos detalles sobre el malware de un misterioso grupo de hackers llamado Equation Group. Esta amenaza es capaz de reprogramar el fimware de los discos duros.
El análisis demuestra que el fimware reprogramado puede recargar
malware asociado cada vez que se reinicia el sistema infectado y que
persiste incluso tras reformatear el disco duro o reinstalar el sistema
operativo. Este tipo de amenaza será uno de los temas destacados durante
las conferencias Black Hat y DefCon de este año.
McAfee Labs observó durante el primer trimestre casi el doble de muestras de ransomware que en cualquier otro trimestre.
También se centra en dos caras familiares —el ransomware y los ataques a
Adobe Flash— ya que se ha observado un aumento enorme en el número de
muestras este trimestre de ambos tipos de... Continuar leyendo
Victor Eduardo Deutsch, gerente de la unidad global de servicios de seguridad en Telefónica – Movistar, explica el papel que juegan los empleados dentro de la organización a la hora de proteger la información en las grandes empresas.
Para Deutsch, el mayor número de vulnerabilidades o de ataques de ciberdelincuentes en las organizaciones se deben a errores humanos, específicamente por falta de conocimiento. Es por eso que este experto considera vital en las compañías los procesos de educación interna.
Las catástrofes se caracterizan por
suceder en el peor momento posible. Si todo va bien después de mucho
sufrir, probablemente esté por venir una catástrofe. Quienes trabajamos
mucho en una PC tenemos un comportamiento muy rutinario para poder
tragarnos mejor el tedio y el espanto de vivir ancladas a una máquina y
para poder digerir los cientos de problemas que se van dando desde que
la encendemos hasta que el sistema termina de arrancar.
Como soy usuaria de GNU/Linux es raro que tenga algún inconveniente,
pero sí sucede que el tiempo que demora en arrancar la computadora me
parece eterno. Así que suelo encenderla e irme a preparar unos mates
para que al volver esté todo esperándome. Es un comportamiento
neurótico, la máquina demora menos de 40 segundos en cargar todo el
sistema, y yo demoro bastante más en preparar el mate. El asunto es que
más de una vez me pasó que al llegar con el mate a la máquina me la
encontré muerta.
Muy buenas a todos, como muchos ya sabréis por la información publicada
en prensa en el día de ayer, desde el comité de dirección de Zink
Security hemos llegado a un acuerdo con la compañía KPMG para
integrarnos dentro de la firma con el fin de reforzar su área de
ciberseguridad y seguir ampliando sus capacidades en dicha materia.
Dentro del proceso de integración, todo el equipo y tecnologías de Zink
Security han sido ya incorporadas a la firma KPMG, donde desde la pasada
semana he tomado el papel de Senior Manager responsable de los
proyectos de ciberseguridad de KPMG España, dentro del equipo de Marc
Martínez y Fco. Javier Santos.
Es para mi un enorme placer formar parte de este nuevo equipo dentro de
la compañía liderada por John Scott, que nos permitirá seguir
expandiendo las capacidades y el alcance de las tecnologías que
comenzamos a gestar desde la jóven Zink.... Continuar leyendo
Los investigadores de la Zero Day Initiative de HP (ZDI)
normalmente no publican los detalles completos y el código de
explotación de los bugs que encuentran y reportan a los fabricantes
hasta después de que las vulnerabilidades hayan sido corregidas. Pero
esta vez han hecho un excepción y han publicado un exploit para
evadir ASLR (address space layout randomization) en todas las versiones
de Internet Explorer de 32 bits.
¿La razón? Microsoft, a pesar de haber pagado $125K a ZDI por su programa Blue Hat Bonus, no cree que esta vulnerabilidad afecte a suficientes usuarios y no tiene pensado corregirla:
"En
esta situación, la declaración de Microsoft es técnicamente correcta -
las versiones de 64 bits aprovechan más ASLR que las... Continuar leyendo
Se ha corregido un error de
validación de esquemas en WebUI (CVE-2015-1266), dos saltos de la política de
mismo origen en Blink (CVE-2015-1267 y CVE-2015-1268) y un error de normalización
en la lista precargada HSTS/HPKP (CVE-2015-1269).
Esta actualización está
disponible a través de Chrome Update automáticamente en los equipos así
configurados o a través de "Información
sobre Google Chrome" (chrome://chrome/).
Es en comparación a las posturas que toman compañías como Apple, Google,
Microsoft o Twitter respecto de los pedidos gubernamentales para
acceder a los datos de sus usuarios.
Un análisis de la Electronic Frontier Foundation (EFF), una muy
conocida organización sin fines de lucro dedicada a defender la
libertad y privacidad digitales analizó cómo hacen varios servicios
digitales para proteger la privacidad de sus usuarios.
El análisis (que puede verse en detalle, en inglés, en este link) se hizo en base a cinco criterios públicos:
seguir las prácticas recomendadas por la industria
informar a sus usuarios de los pedidos de información de los gobiernos
hacer pública su política de almacenamiento de datos de sus usuarios
informar de los pedidos de los gobiernos de eliminación de contenido
oponerse a accesos secretos que permitan el espionaje por parte del estado