DIFÍCIL DE DETECTAR ataque Phishing que afecta a Chrome, Firefox y Opera

DIFÍCIL DE DETECTAR ataque Phishing que afecta a Chrome, Firefox y Opera

Actualizamos la información de esta publicación (24/04/2017)

Google publica la versión de Chrome 58 y corrige esta vulnerabilidad

Google anuncia una nueva versión de su navegador en la que corrige esta vulnerabilidad. La nueva versión es Chrome 58

Os dejamos los pasos para actualizar nuestro navegador a la siguiente versión:

1. Abrimos Google Chrome.

2. En la parte superior derecha pulsamos sobre el icono  

3. Y nos dirigimos a Ayuda > Información de Google Chrome.

Google Chrome 58 corrige vulnerabilidad

4. Automáticamente empezará a descargar la nueva versión.

5. Una vez finalizada reiniciamos el navegador.

6. Y ya tenemos instalada la nueva versión donde se corrige esta vulnerabilidad.

Hasta aquí nuestra actualización para esta publicación. Esperamos que sea de utilidad y os recordamos que lo compartas, si te ha gustado. 🙂


Un investigador de seguridad informática chino ha descubierto un nuevo ataque phishing muy difícil de detectar.

El ataque hace uso de una vulnerabilidad conocida en los navegadores Chrome, Opera y Firefox que permite utilizar dominios falsos como sitios Web legítimos, como Apple, Amazon o Google lo que puede llevar al robo de las credenciales de acceso a la cuenta, los datos de la tarjeta de crédito, etc.

Este investigador (Xudong Zheng) ha creado una página Web demo donde muestra la vulnerabilidad.

Si abrimos el enlace anterior con cualquiera de los navegadores mostrados, podemos ver que aparece el dominio legítimo Apple.com y asegurado mediante certificado SSL (HTTPS) pero la Web que se muestra no es la Web de Apple. Esto es así, por que los caracteres se han sustituido por caracteres Unicode.

Este ataque se conoce desde el 2001 y se le llama ataque homógrafo (homograph attack)

Con los caracteres Unicode se puede representar alfabetos como el griego, cirílico y armenio en los nombres de dominio internacionalizados y hay letras que tienen el mismo aspecto que las letras latinas, por ejemplo, la “a” latina con el código (U + 0430) puede ser sustituida por una “a” cirílica con el código (U + 0041). Las dos letras son tratadas de diferente forma por los navegadores, pero aparentemente son la misma letra.

Por defecto, muchos navegadores web utilizan la llamada codificación Punycode (código púny) para representar los caracteres Unicode en la URL para defenderse de los ataques de phishing homógrafos.

De acuerdo con Zheng, el vacío legal se basa en el hecho de que, si alguien elige todos los caracteres de un nombre de dominio de un único conjunto de caracteres del idioma extranjero, de forma aparente es igual que el dominio de destino, entonces los navegadores lo muestran en el mismo idioma en lugar de mostrarlo en el formato Punycode.

Esto le permitió registrar el dominio xn--80ak6aa92e.com, el cual aparece como Apple.com en todos los navegadores vulnerables.

Las distintas compañías ya están buscando una solución, habrá que esperar unos días para actualizar nuestros navegadores, mientras tanto mucho cuidado con este ataque.

Podéis ampliar esta información desde el artículo original (en inglés)

Telefónica abre el primer CPD de Europa con certificación TIER IV: Alcalá Datacenter

Telefónica abre el primer CPD de Europa con certificación TIER IV: Alcalá Datacenter

Hace unos meses tuvimos la suerte de visitar el CPD (Centro de Proceso de Datos) que tiene Telefónica en Alcalá de Henares, este CPD es donde se guarda y procesa la información de grandes empresas u organizaciones. Mediante servidores ubicados en varias salas se almacenan y tratan los datos.

Este CPD tiene concedida la certificación TIER IV Gold, la cual garantiza un 99,995 % de disponibilidad, entre muchas otras cosas. Es el primer Data Center en conseguir esta certificación en Europa y de los pocos en tenerlo del mundo.

Sobre seguridad

Lo primero que vimos y sufrimos fueron las exhaustivas medidas de seguridad que hay para acceder a él. Como, por ejemplo:

  • No permiten realizar ninguna fotografía y controlan cualquier dispositivo electrónico con el que quieras acceder.
  • Antes de entrar y antes de salir te hacen pasar por una báscula para comprobar que tu peso es el mismo
  • Todas las puertas tienen cerradura y las que no la tienen se accede mediante control por huella digital, tarjeta de identificación o código de seguridad.
  • Tanto en exteriores como en interiores hay que llevar la tarjeta identificativa como visitante en todo momento visible

Cuentan con generadores auxiliares eléctricos que podrían mantener el suministro del CPD durante más de 30 horas, mientras se restablece el suministro en caso de apagón eléctrico. Nos contaron que su próximo nivel sería tener su propia central eléctrica, la cual estaba ya proyectada.

Han usado un sistema de ventilación llamado Free Cooling Directo que aprovecha perfectamente el aire exterior, filtrándolo previamente, para mantener la temperatura de las salas. Comentaron que es el mismo sistema que se utiliza en los Data Centers de Facebook.

En temas de seguridad, recuerda que tenemos tres post muy elaborados sobre “qué sabe internet sobre ti” y puedes acceder desde este enlace.

Servicios que encontramos

Los servicios que se ofrecen en este Data Center son de cloud computing, hosting, disaster recovery, etc. Con administración por parte de telefónica, puesta en marcha o autogestionado por el cliente.

Fases del proyecto

De momento únicamente han construido una de las 5 fases en las que se compone el proyecto. Esperamos volver a visitarlo cuando lo completen en unos años.

Sin duda, ha sido toda una experiencia y aprendizaje para el departamento de sistemas de Extra Software la visita al primer CPD de Europa con certificación TIER IV.

 

 

¿Consciente de qué datos tuyos están en internet?

¿Consciente de qué datos tuyos están en internet?

Qué sabe internet sobre mí III parte

Tercera parte de la serie de artículos “Qué sabe internet sobre mí?”, aportados por José Arroyo, con el objetivo de informarte sobre diferentes maneras de descubrir que datos tuyos pueden estar públicos en internet sin que seas conscientes de que están ahí. En la primera parte te hablamos de fugas de información (especialmente tus datos personales). Continuando con la misma dinámica compartimos un laboratorio práctico mostrándote más técnicas para que puedas verificar que información tuya anda suelta por internet.

¿Pueden averiguar las descargas que hago?

Las descargas realizadas por el protocolo BitTorrent pueden ser públicas en Internet, este protocolo utiliza un sistema p2p para el intercambio de archivos, de forma que, tu ordenador se convierte también en la fuente del fichero que estés descargando para servirlo a otros usuarios. Toda la organización y las conexiones las controla un servidor que se conoce como tracker.
Al registrarse todas las conexiones en el tracker, a no ser que utilices un tracker privado, cualquiera puede saber lo que se está descargando desde una dirección IP.
En esta web puedes consultar las descargas de torrents que se han hecho desde una dirección IP.
Introduciendo tu dirección IP y pulsando en “FIND IP” te devuelve un listado con las descargas, el nombre del fichero descargado, la fecha de inicio y finalización de la descarga y el tamaño del fichero. Puedes consultar tu dirección IP desde aquí

torrent

 

Esta Web también tiene una funcionalidad que nos permite compartir un enlace en las redes sociales y ver que torrents se han descargado desde las direcciones IP de las personas que abran ese enlace. Lo podemos encontrar en este enlace.

¿Qué implica que alguien pueda ver las descargas que hacemos?

Pueden hacer un perfil de nosotros en función de nuestros gustos e intentar que caigamos en alguna trampa utilizando “ingeniería social“.

Se puede saber si algún empleado está realizando descargas en la empresa.

Si desde una IP se están descargando cosas ilegales

La imaginación no tiene límites…

Obtener tus datos personales a través de la Web de hacienda – hacienda somos todos 🙂

Para solicitar cita previa en la Web de la Agencia Tributaria, únicamente necesitamos para acceder, nuestro DNI y el primer apellido 🙁

Los datos de acceso que pide la Agencia Tributaria para solicitar una cita previa, si conocemos a la persona, son relativamente fáciles de conseguir. En caso de que no la conozcamos podemos hacer búsquedas en Google (Los parámetros utilizados en otros navegadores diferentes a Google, pueden variar) utilizando un poco de hacking en buscadores por si estos datos estuvieran públicos en la red. Un ejemplo de consulta puede ser la siguiente:

filetype:xls intext:dni site:*.es

 

filetype:xml Con este parámetro le estamos pidiendo a Google que busque solo los documentos con esta extensión.

intext:dni Le estamos pidiendo a Google que busque en documentos xml que además aparezca la palabra dni dentro de su contenido.

site:*.es Le estamos pidiendo a Google que solo busque en dominios acabados en .es, en páginas españolas.

 

De esta forma obtenemos listados de personas donde aparece su nombre y apellidos y además su DNI

¿Qué podemos hacer con estos datos?

Pues por ejemplo saber la sede de la Agencia Tributaria que queda más cerca de su casa, nuestro nombre completo, preparar un ataque de ingeniería social…

 

¡¡LABORATORIO!!

¡Enséñame tu imagen y te digo dónde estás!

De todos es sabido que al publicar una imagen se deben borrar los metadatos que esta contenga los cuales nos pueden mostrar entre otras cosas, las coordenadas desde donde se hizo la imagen.

Pero, aunque eliminemos los metadatos de una imagen, utilizando un servicio de imágenes como el de Google Image, podemos hacer una comparativa de imágenes e intentar descubrir donde se ha realizado.

Gracias a la capacidad de identificación de Google Image podemos saber si una imagen está siendo usada en un sitio Web, las imágenes parecidas, las modificaciones de la propia imagen, etc.

Vamos a hacer la prueba. Subimos una imagen a Google. Abajo, la imagen de una fuente del retiro que hemos encontrado en internet.

 

  1. Subimos la imagen y hacemos la búsqueda de la “fuente”.
  2. En este apartado aparecen las páginas que coinciden con la palabra buscada, en este caso Google ha añadido la palabra fuente a la búsqueda, ya que la imagen ya había sido publicada.
  3. Google nos muestra en este apartado diferentes imágenes de la misma fuente o de otras muy similares.
  4. Aquí nos muestra la coincidencia exacta del lugar donde se ha hecho la fotografía, lo que se muestra es la Fuente de la Alcachofa en el Retiro Madrileño que coincide con la fuente que aparece en nuestra foto. Aparecen distintos artículos relacionados con esta fuente.

 

Te ví por Leakedin…

En la segunda parte de esta serie de artículos vimos como el servicio https://hesidohackeado.com buscaba si nuestra dirección de correo electrónico aparecía en alguna lista de cuentas hackeadas y por lo tanto nuestra recomendación era, y sigue siendo, cambiar la contraseña de los servicios en los que aparezcamos listados usando contraseñas seguras.

Leakedin es un servicio que permite seguir éstas fugas de datos por RSS o twitter que se van subiendo a Pastebin, no confundir con Linkedin que es una red social para profesionales.

Lo que hace Leakedin es analizar lo que se va publicando en Pastebin sobre fugas de información y lo va categorizando.

Por ejemplo podemos ver fugas de información sobre accesos a distintas cuentas:

http://www.leakedin.com/tag/simple-password/

 

Fugas de información de tarjetas de crédito:

http://www.leakedin.com/tag/mastercard-credit-card/

 

Fugas de información de bases de datos:

http://www.leakedin.com/tag/mysql-table-with-passwords/

 

Fugas de información de cuentas de correo:

http://www.leakedin.com/tag/emailpassword-dump/

 

Y así, muchas más…

 

Realmente, lo potente de este servicio, es que podemos seguir añadiendo el RSS http://feeds.feedburner.com/Leakedin a nuestro lector de noticias favorito y cada vez que se añada una nueva entrada nos llegará un aviso.

Aquí terminamos esta tercera parte sobre la serie de publicaciones ¿qué sabe Internet sobre mí? Si te ha gustado compártelo para que la gente de tu entorno tenga en cuenta también que en Internet vamos dejando muchos datos que seguramente no queremos que sean públicos. 🙂

(Laboratorio práctico) ¿Qué sabe Internet sobre mí? II Parte

(Laboratorio práctico) ¿Qué sabe Internet sobre mí? II Parte

En ¿Qué sabe internet sobre mí? I Parte vimos las fugas de información sobre datos personales que pueden estar públicos en Internet. Siguiendo la misma dinámica os mostramos otras técnicas para ver qué información nuestra está suelta por Internet. Así que… ¡vamos a ello!

¿Tu ISP revela información sobre ti a través del router?

Hay un buscador especializado en el internet de las cosas (IoT) llamado Shodan, desde el que podemos localizar casi cualquier tipo de dispositivo, incluidos los routers, cámaras de videovigilancia, discos duros multimedia, etc.

Para realizar la siguiente prueba de concepto tenemos que crearnos una cuenta en https://www.shodan.io/ e iniciar sesión. Una vez hecho, realizamos la siguiente búsqueda:

country:ES arroyo

BUSQUEDAS-EN-SHODAN

Búsquedas en la App SHODAN

Como podemos observar se nos muestran en primer lugar varios routers de la marca Ubiquiti con el nombre completo de la persona propietaria, su dirección IP, el nombre de su ISP o proveedor de servicios de Internet. Si seguimos indagando en algunos casos se nos muestra también la dirección de titular.

¿Te pueden localizar por tu MAC?

La MAC o dirección MAC es un identificador único de 48 bits que se le asigna a tu tarjeta de red a través de la cual se conecta nuestro ordenador a Internet.

En el caso de conexiones Wifi es fácil saber que MAC está asignada a un punto de acceso y localizar a través de la API de Google Maps donde está exactamente.

La URL utilizada es la siguiente:

https://maps.googleapis.com/maps/api/browserlocation/json?browser=firefox&sensor=true&wifi=mac:XX-XX-XX-XX-XX-XX|ss:-XX

Api-Google

Ejemplo de una Api de Google, para este caso.

De esta forma obtendríamos las coordenadas del punto de acceso Wifi.

El peligro de saber tu nombre de usuario

Si alguien por casualidad supiera el nombre de usuario que usas en un servicio de Internet, con una simple búsqueda podría saber si ese nombre de usuario se está usando en otros servicios. Una pequeña lista de las herramientas que se pueden utilizar:

Para probarlo hemos buscado en http://checkusernames.com/ la palabra username y podemos ver que está siendo usado en varios servicios como nombre de usuario.

check-username

Ejemplo de una búsqueda de usuario en la App Checkusernames

¿He sido hackeado?

Muchos tipos de malwares usados para interceptar o robar cuentas a los usuarios sube a una web los ficheros con las cuentas que ha ido “robando” y este fichero es indexado por Google. De este modo si hacemos la consulta correcta podemos obtener toda esta información. Por ejemplo, con la siguiente consulta (dork), en Google, obtenemos listados de cuentas de Facebook u otros servicios que han sido robadas o hackeadas:

 

  • allintext:email OR mail +*gmail.com filetype:txt password www.facebook.com -from
fichero-hackeado

Forma, en este caso, de un fichero hackeado

Para saber si hemos sido hackeados o nuestros datos están en alguna de estas listas hay servicios online que podemos utilizar para comprobarlo, como https://hesidohackeado.com. Simplemente ponemos nuestra dirección de correo electrónico y pulsando en el botón comprobar sabremos si nuestro correo aparece en alguna de estas listas. Si nuestro correo apareciera como hackeado, debemos cambiar nuestra contraseña en el servicio afectado. Recordar no repetir la misma contraseña en varios servicios ya que si la descubren en uno, pueden acceder a los demás. También es recomendable utilizar contraseñas seguras.

Nos vigilan…

Cada día hay más cámaras de videovigilancia conectadas en las ciudades y en un futuro habrá más, ¿se convertirá el mundo en un gran hermano a nivel global?

Os dejo una Web donde podréis ver cámaras Web conectadas en distintas ciudades en tiempo real: http://www.skylinewebcams.com/

Y aquí las de España: http://www.skylinewebcams.com/es/webcam/espana.html

Sugerimos la siguiente lectura de una serie de artículos:

No hace falta que tú lo hagas

Y para terminar no olvides que pueden saber dónde vives a través de las fotos que subes de tu gato

 

Si te ha gustado no olvides compartirlo 😉

*** Este artículo ha sido una aportación de José Arroyo, administrador de sistemas y experto en seguridad informática en Extra Software.

Cómo detectar si formas parte de una botnet

Cómo detectar si formas parte de una botnet

Hace algunas semanas te contamos sobre el ataque DDos que sufrió DynDNS a través de una botnet formada por dispositivos de “Internet de las cosas (IoT)”.

Ahora, vamos a ver cómo podemos conocer si nuestra IP forma parte de alguna botnet.

Y cómo detectar si formo parte de una botnet: Ordenadores

Iniciamos accediendo al servicio que ha creado la Oficina de Seguridad del Internauta que nos permite consultar si nuestra IP está listada en alguna de estas redes.

servicio-antibotnet
Es muy sencillo de utilizar, sólo tenemos que pulsar en el botón que pone “Chequea tu conexión”, aceptar las condiciones y volver a pulsar el botón.

Chequea conexión

Y automáticamente nos informará si en nuestra red hay algún equipo infectado:
botnets-check

También disponemos de un plugin antibonet para el navegador, que si lo añadimos revisa de forma periódica nuestra conexión con el servicio antibotnet y nos informa si hay alguna amenaza.

Móviles

Para los dispositivos móviles Android esta la herramienta CONAN Mobile que revisa nuestra conexión. La podemos descargar a través de Google Play.

Detectar si formo parte de una botnet

Es muy sencilla de instalar y es un complemento perfecto para el antivirus que tengamos instalado. Una vez realizada la instalación, nos aparece un botón para que analicemos el dispositivo y entre otras cosas nos hace el checkeo antibotnet.

Puede que hayas formado parte de algún ataque de los últimos años sin saberlo. Ahora ya sabes cómo detectar si formo parte de una botnet y comprobar si un dispositivo de tu red forma parte de una botnet.

Si te ha gustado el artículo recuerda compartirlo 😉