Author Archive aci

Byaci

HIGHRISE: ASÍ ROBABA LA CIA DATOS DE MÓVILES SIN CONEXIÓN A INTERNET

Cada semana, Wikileaks desvela con cuentagotas las diversas herramientas de hackeo de la CIA que obtuvieron a través de una fuente anónima que se las entregó. En estas podemos ver hasta dónde llegan los intentos deciberespionaje y robo de datos en beneficio propio. La última de estas herramientas, Highrise, permite robar datos de un móvil sin conexión a Internet.

HIGHRISE: LA HERRAMIENTA DE LA CIA PARA ROBAR DATOS EN ANDROID 4.0 A 4.3

Highrise, englobada dentro del programa Vault 7, es una herramienta que puede ser calificada de malware o de herramienta de hackeo. La duda existe porque ni Wikileaks ni el manual de la CIA detallan esta vez cómo funciona exactamente la herramienta, ni cómo la usaban los operativos de la CIA. A pesar de ello, con la información publicada, se puede intentar entender cuál era el funcionamiento y el objetivo de la herramienta.

cia-smartphone-highrise

En cuanto a qué móviles estaba destinada, Highrise funcionaba en su versión 2.0(fechada en el 16 de diciembre de 2013) en móviles Android 4.0 a 4.3, lo cual tiene mérito, pues Android 4.3 llevaba lanzado en el mercado apenas 5 meses, y la última versión Android 4.4 KitKat había visto la luz justo un mes y medio antes.

Una semana antes de la fecha del manual fue lanzada Android 4.4.2, por lo que esta herramienta se encontraba bastante actualizada. Es como si ahora mismo se encontrara actualizada por tiempo de lanzamiento a Android 7.1.2 Nougat, con fecha del 4 de abril. Por tanto, podemos suponer que es muy probable que tenganversiones actualizadas para las últimas versiones de Android.

LOS DATOS SE ENVIABAN A TRAVÉS DE LOS SMS

Normalmente, los malware usan la conexión a Internet para enviar los datos robados de un dispositivo hackeado a un servidor controlado por ellos. En el caso de los móviles, también existe una vía alternativa para hacer esto: los SMS.Analizar y ordenar los datos de muchos SMS conteniendo información del móvil infectado es una tarea tediosa, y aún más cuando hay que analizar varios móviles.

smartphone-hacking-tool

Con esto en mente, la CIA creó TideCheck, una simple aplicación para Androidque hace las veces un proxy SMS entre el dispositivo infectado y el servidor que recibe la información. Según se desprende del manual, los operativos tenían que instalar la aplicación en sus móviles Android para recibir la información que estaban robando de los dispositivos infectados.

HighRise-2_0-Users_Guide

El procedimiento de uso era bastante sencillo. Una vez instalada la aplicación, solicitaba una contraseña antes de ejecutarse (la contraseña era “inshallah”, que en árabe significa “Si Alá/Dios quiere”). Una vez dentro, daba tres opciones:

  • Iniciar, para ejecutar el servicio.
  • Mostrar/Editar configuración, para configurar ajustes básicos como la URL del servidor de escucha, que debía ser HTTPS. También permitía conocer la ubicación o el estado de batería del móvil infectado.
  • Enviar mensaje, que permite a un operativo de la CIA mandar manualmente mensajes cortos al servidor de escucha para cerciorarse de que la comunicación funcionaba.

Fuente:https://www.adslzone.net/2017/07/13/highrise-asi-robaba-la-cia-datos-de-moviles-sin-conexion-internet/

Byaci

SIMULADOR DE ATAQUES DDOS GENERADOS POR BOTNET.

BoNeSi es un simulador de ataques de DDoS generados por Botnet en un entorno de prueba. Está diseñado para estudiar el efecto de los ataques DDoS, en redes y sistemas. BoNeSi genera ataques de inundación ICMP, UDP y TCP (HTTP) desde un tamaño de botnet definido (diferentes direcciones IP). BoNeSi es altamente configurable y puede configurarse: tarifas, volumen de datos, direcciones IP de origen, URLs y otros parámetros.

Hay un montón de herramientas por ahí para spoof de direcciones IP con inundación UDP e ICMP, pero para la suplantación de TCP, no hay solución. BoNeSi es la primera herramienta para simular las inundaciones HTTP-GET de las redes de bot a gran escala. BoNeSi también intenta evitar generar paquetes con patrones fácilmente identificables (que pueden ser filtrados fácilmente). El TCP Spoofing consiste en que BoNeSi snifa paquetes TCP en la interfaz de red y responde a todos los paquetes para establecer conexiones TCP. Para esta función, es necesario que todo el tráfico del servidor web de destino se enrute de vuelta al host que ejecuta BoNeSi.

Recomendamos encarecidamente que se ejecute BoNeSi en un entorno de prueba cerrado. Sin embargo, los ataques UDP e ICMP se pueden ejecutar en Internet, pero se debe tener cuidado. Los ataques HTTP-Flooding no se pueden simular en Internet, ya que las respuestas del servidor web deben volver a enviarse al host que ejecuta BoNeSi.

Los desarrolladores ponen como ejemplo de rendimiento que en un AMD Opteron con 2Ghz pudieron generar hasta 150.000 paquetes por segundo. En un más reciente AMD Phenom II X6 1100T con 3.3Ghz puede generar 300.000 pps (corriendo en 2 núcleos).

Los ataques UDP/ICMP pueden llenar fácilmente el ancho de banda y los ataques HTTP-Flooding eliminan rápidamente los servidores Web. Los desarrolladores aseguran que probaron  BoNeSi contra los sistemas de mitigación de DDoS comerciales de última generación y afirman que es posible posible atacarlos y ocultar el ataque de ser detectado.

Los atributos de los paquetes y conexiones creados pueden ser controlados por varios parámetros como la velocidad de envío o el tamaño de la carga útil. Incluye una simple pila tcp para manejar las conexiones tcp en modo promiscuo. Para un trabajo correcto, hay que asegurarse de que los paquetes de respuesta se encaminan al host en el que BoNeSi se está ejecutando. Por lo tanto BoNeSi no se puede utilizar en infraestructuras de red arbitrarias. El tipo de tráfico más avanzado que se puede generar son las solicitudes http.

Con el fin de hacer las solicitudes http más realista, hay que tener estos parámetros en cuenta:

  • Puerto de origen.
  • TTL: 3..255.
  • Opciones de tcp: pose siete opciones diferentes de vida real con diferentes longitudes y probabilidades
  • Agente de usuario para la cabecera de HTTP.

Fuente: http://www.gurudelainformatica.es/2017/07/simulador-de-ataques-ddos-generados-por.html / https://github.com/Markus-Go/bonesi

 

Byaci

OUTLAWCOUNTRY, EL MALWARE DE LA CIA PARA HACKEAR EQUIPOS LINUX

Tan solo 24 horas han pasado desde la última filtración de Wikileaks sobre las herramientas de hacking de la CIA, y el portal ya ha publicado una nueva oleada de documentos. En esta ocasión se trata del proyecto OutlawCountry y se diferencia del resto en que este malware está dirigido contra los equipos Linux. Aunque este sistema operativo es mucho más seguro que Windows, no es invulnerable y también presenta algunos problemas de seguridad.

Según explica el portal de filtraciones en un comunicado, este software malicioso permite la redirección de todo el tráfico de red saliente en el equipo de destino para dirigirlo a máquinas controladas por la Agencia Central de Inteligencia estadounidense. Linux es un sistema operativo muy utilizado en los servidores, lo que permitiría a los atacantes infiltrarse en las redes de organizaciones y empresas.

OutlawCountry está compuesto por un módulo de kernel que es capaz de crear tablas netfilter invisibles en el ordenador, lo que le permite interceptar y manipular paquetes de red a espaldas tanto del usuario como del administrador del sistema.

Los documentos que ha hecho públicos hoy Wikileaks, que se corresponden con el manual de usuario y el plan de pruebas de este software malicioso, no describen con detalle el método de instalación o la persistencia del malware. La versión OutlawCountry v1.0 contiene un módulo de kernel CentOS/RHEL 6.x de 64 bits y solo funciona con kernels determinados.

Según explican desde WikiLeaks en su entrada:

“OutlawCountry permite redireccionar todo el tráfico de red de salida en el dispositivo objetivo a ordenadores que son controlados por la CIA para propósitos de infiltración y exfiltración. El malware consta de un módulo para el kernel que crea una tabla netfilter en el sistema Linux objetivo; con el conocimiento del nombre de esa tabla, un operador puede crear reglas que tienen precedencia sobre las reglas netfilter/iptables existentes y están ocultas del usuario e incluso del administrador.”

Con esta nueva oleada de filtraciones enmarcadas en la serie #Vault7, Wikileaks ya ha sacado a la luz supuestas herramientas empleadas por la CIA para espiar todo tipo de dispositivos: televisores Samsung, ordenadores Windows, dispositivos de Apple, routers WiFi y ahora también equipos Linux. Es importante recordar que la Agencia Central de Inteligencia no se ha pronunciado sobre la veracidad de estas filtraciones, por lo que no se puede saber si son ciertas o no.

Esta nueva filtración, sería la segunda expuesta por WikiLeaks en una semana. Tan solo ayer se dio a conocer sobre ELSA, el método que la CIA utiliza para geolocalizar equipos con Windows y la semana pasada conocimos sobre BrutalKangaroo, el malware que usa la CIA para infiltrarse en ordenadores desconectados de Internet. WikiLeaks asegura que aún tiene documentación sobre otros 14 exploits utilizados por la CIA y que detallan otros métodos que la agencia utiliza para el ciberespionaje.

Fuente www.tekcrispy.com / http://computerhoy.com

Byaci

PETYA, ahora hace temblar al mundo

Hoy en día está ocurriendo un ataque de Ransomware de alcance masivo con mecanismos de auto-propagación similares a los observados durante el ataque de WannaCry. Según las primeras informaciones, una vez que este Ransomware esta en los dispositivos, genera un reinicio de sistema, el cual ocupa para encriptar los archivos. Este ataque ha afectado a muchas empresas alrededor del mundo y se han recibido los primeros reportes de empresas afectadas en Latinoamérica. El ataque utiliza una variante de Ransomware denominada “PETYA” – detectada como Ransom_PETYA.TH627.

El virus ha afectado a computadoras de empresas de varios países; Ucrania, Rusia, Reino Unido e India son las más afectados, según el diario español El País. El malware ataca a equipos con Windows, en los cuales aparece un mensaje que pide un pago de 300 dólares –en la moneda virtual bitcoin– para liberarlos.

En Ucrania, donde al parecer inició el ataque, fueron afectados el Banco Central, el metro de Kiev, la compañía estatal de energía y la red informática del gobierno ucranio, informó el viceprimer ministro de Ucrania, Pavlo Rozenkoe.

Como en el ataque anterior, los equipos infectados con Petya Ransomware han sufrido un cifrado de sus archivos y resulta imposible acceder al sistema operativo, puesto que lo único que se muestra es un mensaje, tal como adelantan en Teknautas:“Si puedes leer este texto, tus archivos ya no están disponibles, ya que han sido encriptados. Quizá estás ocupado buscando la forma de recuperarlos, pero no pierdas el tiempo: nadie podrá hacerlo sin nuestro servicio de desencriptación”.

Ver imagen en Twitter

De momento lo único que se conoce es que, según AFP, el origen del ataque parece estar en Rusia y Ucrania, aunque no hay evidencias físicas que apunten a una autoría real dentro de sus fronteras. Se espera que en la próximas horas el ataque de la vuelta al mundo y afecte a más países y empresas, tal como sucedió con el WannaCry.

En estos instantes, INCIBE apunta un nivel de alerta en España sobre el 49%, un indice que se establece sobre los eventos registrados en el Modelo de Inteligencia en Ciberseguridad de INCIBE atendiendo al número y tipo de activos o recursos comprometidos y a la tipología de los ataques para las últimas 24 horas:

La nueva versión del ransomware fue compilada al parecer el pasado 18 de junio, y solicita un rescate, para recuperar acceso al ordenador. En el anterior ataque de WannaCry de mayo, los atacantes no desbloquearon ninguno de los ordenadores infectados, aunque de momento hay seis personas que han ingresado el dinero correspondiente a la dirección del atacante. ( ya son 13 pagos los realizados, equivalentes a casi 4.000 dólares).

Petya, a diferencia de WannaCry, lo que hace es cifrar el MFT (Master File Table) del disco duro, dejando el MBR (Master Boot Record) inoperable, e impidiendo el acceso al sistema a través de cifrar información sobre los nombres de archivos, tamaños y localización de los mismos en el disco duro. Además, Petya reempalza el MBR con su propio código malicioso con la nota del rescate.

 

Fuente forbes.com.mx; theguardian.com

Byaci

Filtrado masivo de Windows 10 builds y de código fuente

Microsoft está poniendo un especial cuidado en todo lo relacionado con el trabajo que está llevando a cabo en la última versión de su sistema operativo por excelencia, Windows 10, ya que lo quiere convertir en una plataforma universal, aunque podría haber recibido un duro revés estas últimas horas.

Y es que, por lo que se acaba de saber, la firma con sede en Redmond ha sido víctima de una filtración masiva a Internet desde uno de sus propios servidores por medio de la cual se han hecho públicos un total de 32 TB de datos correspondientes al código fuente, compilaciones y herramientas internas de la propia compañía referentes al mencionado Windows 10, todo ello descargable on-line por cualquiera; vamos, todo un tesoro para algunos.

Todo hace indicar que todo ello ha salido directamente de uno de los servidores internos de Microsoft, hecho que por lo que se está comenzando a saber, se produjo en el pasado mes de marzo de este año. Entre la enorme cantidad de datos filtrados se incluye el código fuente de los controladores de hardware básicos de Windows 10, además del código PnP, USB y WiFi de los sistemas de los de Redmond, o incluso código de kernel OneCore específico para dispositivos ARM.

Cabe mencionar que también se incluyen nuevas versiones aún en periodo de desarrollo para el mismo sistema operativo y Windows Server 2016, versiones de ARM de 64 bits sin lanzar por el momento y versiones múltiples de Microsoft Windows 10 Mobile Adaptation Kit.

Se filtran 32 TB de Builds y demás datos de Windows 10

Seguridad en Windows 10

Con todo y con ello esta filtración podría convertirse en un duro contratiempo para la propia Microsoft, ya que todo ello podría dar pie a que determinados ciberatacantes se pusiesen en marcha de manera mucho más efectiva a buscar posibles exploits y vulnerabilidades de acceso en el código fuente del sistema, todo ello de primera mano y así acceder a Windows 10 de diferentes maneras.

Uno de los mayores inconvenientes ante los que se enfrenta la firma con sede en Redmond es la actual situación que aún está patente con lo sucedido relativo a la seguridad de Windows tras las filtraciones que propiciaron el ataque masivo a nivel mundial por medio del ransomware WannaCry. Sin embargo ahora ya solo queda esperar el impacto a nivel de seguridad y privacidad por si el malware para el sistema operativo se ve incrementado de manera importante en los próximos meses, esperemos que no sea así.

Además entre el material filtrado también encontramos el Microsoft Shared Source Kit, que incluye código fuente para drivers a nivel de hardware para Windows 10 como el sistema plug-and play, drivers de almacenamiento, controladoras de usb y Wi-Fi..

microsoft leak32tb windows 10 builds

Según la propia Microsoft, este Kit solo está disponible para clientes cualificados, empresas, gobiernos y partners por motivos de referencia y depuración. Esto sumado a los comentarios y símbolos en el código hacen pensar que el robo de información pudiera no ser a la propia Microsoft sino a uno de sus partners.

Por último también podemos encontrar entre los archivos el Windows 10 Mobile Adaptation Kit que como su propio nombre indica es el kit de desarrolladores para la ejecución de Windows 10 en dispositivos móviles. Vamos toda una colección de software variado para investigar.

microsoft leak32tb windows10 mobile adaptation kit

Sin embargo de todo esto se ha eliminado el “Archivo Beta”, el cual está diseñado para estar disponible tan solo para clientes cualificados, empresas, gobiernos y socios dedicados a la depuración del software.

 

 

Fuente > MSPowerUser

Byaci

AQUATONE – una herramienta de recoconimientos de nombres de dominio

AQUATONE del alemán Michael Henriksen es un conjunto de herramientas escritas en Ruby para realizar reconocimientos de nombres de dominio. Puede descubrir subdominios usando fuentes abiertas o mediante fuerza bruta usando un diccionario. Después del descubrimiento de subdominios, AQUATONE puede escanear los hosts para identificar puertos web comunes. Además puede reunir y consolidar en un informe los encabezados HTTP, cuerpos HTML y capturas de pantalla para un análisis rápido de la superficie de ataque.

La instalación es muy sencilla, sólo tenemos que descargar o clonar el repositorio en Github:

$ git clone https://github.com/michenriksen/aquatone.git

Instalar las gemas:

$ gem install aquatone

Y añadir nuestras keys de las APIs de Shodan y Virustotal:

$ aquatone-discover –set-key shodan o1hyw8pv59vSVjrZU3Qaz6ZQqgM91ihQ
$ aquatone-discover –set-key virustotal 132d0h354bd538656ek435876567b1g757945342347654as548f3264a8724g19

Luego, para mayor flexibilidad, AQUATONE se divide en tres comandos, según queramos o no descubrir subdominios, escanear los hosts y/o obtener información de los servicios (gathering), cada una representando distintas fases que vemos a continuación:

Fase 1: descubrimiento (aquatone-discover)

Lo primero que hace AQUATONE es consultar los DNS con la autoridad para el dominio objetivo. De esta manera se asegura que la información obtenida está actualizada. Luego hace una prueba rápida para ver si el dominio de destino está configurado para ser un dominio wildcard, si lo es, identificará las posibles respuestas wildcard y las filtrará. Posteriormente, procede a preguntar a cada módulo de para recopilar los subdominios:

– Diccionario brute force (ver diccionario aquí)
DNSDB.orghttp://dnsdb.org/
Informe de Transparencia de Google
HackerTarget
Netcraft
Shodan (requiere clave de API)
ThreatCrowd
VirusTotal (requiere clave de API)

El comando básico es el siguiente:

$ aquatone-discover –domain example.com

Por defecto tirará 5 hilos, si queremos aumentar el número para que vaya más rápido podemos usar el parámetro –threads:

$ aquatone-discover –domain example.com –threads 25

Si por el contrario no queremos hacer mucho ruido podemos espaciar cada consulta DNS cada el número de segundos que especifiquemos con –sleep y un retardo variable con –jitter para evadir posibles IDS:

$ aquatone-discover –domain example.com –sleep 5 –jitter 30

AQUATONE descubre los servidores DNS que resuelven los nombres de dominio objetivo y reparte las consultas entre ellos. Si las consultas hacia estos DNS fallan por defecto realizará las consultas a los DNS de Google para maximizar los resultados. Podemos especificar también otros DNS de “reserva” con:

$ aquatone-discover –domain example.com –fallback-nameservers 87.98.175.85,5.9.49.12

Una vez finalizado el descubrimiento de dominios y subdominios los resultados se almacenarán en el fichero hosts.txt y hosts.json para facilitar el parseo.

Fase 2: escaneo (aquatone-scan)

La etapa de escaneo es donde AQUATONE enumera los servicios web/puertos TCP abiertos en los hosts descubiertos anteriormente:

$ aquatone-scan –domain example.com

De forma predeterminada, aquatone-scan buscará en cada host presente en el fichero hosts.json los siguientes puertos TCP: 80, 443, 8000, 8080 y 8443. Estos son puertos muy comunes para servicios web y proporcionan una cobertura razonable, pero si queremos especificar nuestra propia lista de puertos, podemos utilizar la opción –ports:

$ aquatone-scan –domain example.com –ports 80,443,3000,8080

En lugar de una lista de puertos separados por comas, también podemos especificar algunos alias predefinidos:

– small: 80, 443
– medium: 80, 443, 8000, 8080, 8443 (same as default)
– large: 80, 81, 443, 591, 2082, 2095, 2096, 3000, 8000, 8001, 8008, 8080, 8083, 8443, 8834, 8888, 55672
– huge: 80, 81, 300, 443, 591, 593, 832, 981, 1010, 1311, 2082, 2095, 2096, 2480, 3000, 3128, 3333, 4243, 4567, 4711, 4712, 4993, 5000, 5104, 5108, 5280, 5281, 5800, 6543, 7000, 7396, 7474, 8000, 8001, 8008, 8014, 8042, 8069, 8080, 8081, 8083, 8088, 8090, 8091, 8118, 8123, 8172, 8222, 8243, 8280, 8281, 8333, 8337, 8443, 8500, 8834, 8880, 8888, 8983, 9000, 9043, 9060, 9080, 9090, 9091, 9200, 9443, 9800, 9981, 11371, 12443, 16080, 18091, 18092, 20720, 55672

Por ejemplo:

$ aquatone-scan –domain example.com –ports large

Al igual que aquatone-discover, puede hacer el escaneado más o menos agresivo con la opción –threads que acepta un número de subprocesos para escaneos de puertos concurrentes. El número predeterminado de subprocesos es 5.

$ aquatone-scan –domain example.com –threads 25

Como aquatone-scan está realizando el escaneo de puertos, obviamente puede ser detectado por IDS. Si bien tratará de reducir el riesgo de detección mediante la asignación al azar de hosts y puertos, se puede ajustar también más con las opciones –sleep y –jitter como anteriormente. Hay que tener en cuenta que el parámetro –sleep forzará los subprocesos a 1.

Fase 3: Gathering (aquatone-gather)

La etapa final es la parte de recopilación de información y análisis de los servicios web descubiertos, donde se guardan los encabezados de respuesta HTTP y los cuerpos HTML, además de tomar capturas de pantalla de las páginas web para facilitar el análisis. La captura de pantalla se realiza con la biblioteca Nightmare.js de Node.js que se instalará automáticamente si no está presente en el sistema.

Eso sí, si trabajáis con Kali u otra distro que tenga previamente Node.js tendréis que instalarlo previamente:

#  wget -qO- https://raw.githubusercontent.com/creationix/nvm/v0.31.4/install.sh | bash
# command -v nvm
# nvm install 6
# export NVM_DIR=”/root/.nvm”
# [ -s “$NVM_DIR/nvm.sh” ] && . “$NVM_DIR/nvm.sh”

Luego el último comando será:

$ aquatone-gather –domain example.com

Aquatone-gather buscará hosts.json y open_ports.txt en el directorio de AQUATONE del dominio correspondiente y solicitará una captura de pantalla de cada dirección IP para cada nombre de dominio.

Al igual que aquatone-discover y aquatone-scan, puede hacer la recopilación más o menos agresiva con la opción –threads que acepta un número de subprocesos para las solicitudes concurrentes. El número predeterminado de subprocesos es también 5.

$ aquatone-gather –domain example.com –threads 25

Fuente: https://github.com/michenriksen/aquatone

Byaci

Pegasus en México

Empieza con un SMS y puede llegar a infectar el teléfono para espiar al usuario hasta el punto de usar la cámara y el micrófono para vigilarlo. Se llama Pegasus y es un ‘software’ malicioso diseñado por una compañía de Israel para recabar información de teléfonos móviles. El programa se vende únicamente a gobiernos y su propósito central es vigilar a organizaciones criminales y terroristas.

Pero ahora Pegasus, creado por la empresa NSO Group, se encuentra en medio de un escándalo en México. Organizaciones civiles denuncian que el malware fue utilizado por el gobierno de ese país para espiar a periodistas y defensores de derechos humanos.

Las autoridades niegan el espionaje. Un vocero de la presidencia de México dice a BBC Mundo que, con base en la ley, el gobierno realiza actividades de inteligencia para combatir el crimen organizado y amenazas a la seguridad nacional. Pero eso no incluye a comunicadores y activistas, afirma.

“El gobierno de la República rechaza categóricamente que alguna de sus dependencias realice acciones de vigilancia o intervención de comunicaciones de defensores de derechos humanos, periodistas, activistas anticorrupción o de cualquier otra persona sin previa autorización judicial”, añade el vocero.

¿Cómo funciona?

La persona afectada recibe mensajes SMS con un texto y un enlace malicioso hacia alguna nota periodística o reporte especializado, sin embargo esto es un engaño. Pegasus se basa en la ingeniería social, es decir un “método para engañar o persuadir a alguien a través de canales tecnológicos o bien en persona, y que se utiliza para obtener información significativa o lograr que la víctima realice un determinado acto”, se lee en el reporte de R3D. Al hacer clic en el enlace que acompaña el texto del mensaje, se redirige a un sitio de NSO Group al mismo tiempo que se instala el  malware en el dispositivo. Éste facilitará el acceso a los archivos guardados en el teléfono como contactos, mensajes y correos electrónicos, además de que permitirá al atacante activar el micrófono o la cámara del dispositivo sin que la víctima se dé cuenta. De acuerdo con la investigación de Citizen Lab, Pegasus utiliza enlaces muy parecidos a los de sitios de noticias, redes sociales o telecomunicaciones para engañar a la persona que recibió el mensaje. Además de ser México el país en el que más dominios se encontraron, los más utilizados fueron: unonoticias.net, y0utube.com.mx, fb-accounts.com y whatsapp-app.com. Todos, enlaces que no corresponden al del sitio oficial de la red social o medio de comunicación. El director de R3D, Luis Fernando García, dijo en conferencia que los mensajes que reciben las víctimas son personalizados, es decir incluyen información de interés de la persona y muchas veces incluyen su nombre o nombre de algunos de sus familiares.

Los primeros casos en México

En 2015, el periodista mexicano Rafael Cabrera reportó a través de su cuenta de Twitter los mensajes que le había llegado y los cuales tenían todas las características que distinguen a Pegasus.

Casi un año después, dos activistas y un científico que habían impulsado el impuesto a bebidas azucaradas en México reportaron haber sido víctimas de un ataque a través de Pegasus. Según R3D, “se han documentado diversos indicios de la adquisición de equipo de NSO Group para parte de distintas instancias del gobierno de México, tales como la Secretaría de la Defensa Nacional, la Procuraduría General de la República y el Centro de Investigación y Seguridad Nacional”.

Y en el más reciente reporte hecho por la organización se señalan a periodistas como Carmen Aristegui, Carlos Loret de Mola o Salvador Camarena como algunos de los afectados.

¿Es legal?

De acuerdo con el reporte publicado hoy, en México “no existe regulación específica de herramientas altamente intrusivas de vigilancia como el software malicioso Pegasus” y señala que la intervención de comunicaciones privadas se puede dar sólo con la autorización de un juez federal siempre y cuando el caso sea una amenaza a la seguridad nacional, según el artículo 5 de la Ley de Seguridad Nacional.

Por si fuera poco, la Constitución marca la prohibición de la intervención de comunicaciones “cuando se trate de cuestiones de carácter electoral, fiscal, mercantil, civil, laboral o administrativo, así como en el caso de las comunicaciones del detenido con su defensor”

Fuente: milenio.com

Byaci

CHERRYBLOSSOM, EL SOFTWARE CON EL QUE LA CIA HACKEA TU ROUTER

La CIA podría estar hackeando tu router usando CherryBlossom. Así lo ha afirmado en las últimas horas el portal de filtraciones WikiLeaks, donde ha publicado una serie de documentos clasificados pertenecientes al proyecto Vault 7 en los cuales asegura que la agencia de seguridad estadounidense ha estado desarrollando un proyecto bautizado con este nombre. CherryBlossom tendría como finalidad última monitorizar el tráfico y la actividad en Internet de determinados objetivos de interés a través de routers WiFi particulares y puntos de acceso (APs).

En colaboración con el Instituto de Investigación de Stanford (SRI International), un organismo estadounidense sin ánimo de lucro, la CIA ha utilizado CherryBlossom para sus prácticas de espionaje forzando a estos dispositivos a espiar a usuarios concretos de viviendas privadas, espacios públicos como bares, hoteles, aeropuertos o empresas. Hace un tiempo te contamos cómo se espía en las redes WiFi públicas.

Según explica WikiLeaks en su web, los dispositivos de red inalámbrica “son ideales para ataques Man-in-the-Middle” a través de los cuales podían monitorizar, controlar y manipular sin dificultad el tráfico de Internet de los usuarios conectados a esa red. Esta alteración en el flujo de los datos entre el usuario y los servicios de Internet permitía al dispositivo infectado transmitir contenido malicioso para forzar vulnerabilidades en las aplicaciones o el sistema operativo del ordenador del objetivo.

En otras palabras, la CIA ha estado hackeando tu router a través del software CherryBlossom sin que te dieras cuenta. Y de una manera bastante sencilla, puesto que estos aparatos ofrecen la posibilidad de actualizar el firmware, lo que aprovechaban para introducir este malware por vía inalámbrica y de forma remota. Nunca está demás volver a revisar la configuración y proteger tu WiFi doméstico en siete pasos.

Al ser infectado, el dispositivo se convierte en un FlyTrap – como vemos en la imagen de abajo incluida en este manual- que se conecta a un servidor C&C a través de Internet y es capaz de interpretar cualquier tipo de información que circulase a través del router, saltándose cualquier tipo de medida de seguridad existente y sin que el usuario fuese consciente de que sus movimientos estaban siendo monitorizados.

¿Para qué querría la CIA hacker tu router usando CherryBlossom? Dentro de las tareas que podía hacer este software se encuentra el escaneo de direcciones de correo electrónico, nombres de usuario de chats, direcciones MAC y números VoIP. También podía copiar todo el tráfico de red del objetivo o redirigir su navegador de Internet.

En la información filtrada por WikiLeaks no aparece el código fuente de CherryBlossom, ni situaciones concretas ni el número de veces en las cuales la Agencia Central de Inteligencia ha empleado esta herramienta para obtener información concreta, pero todo apunta a que miles de usuarios han sido monitorizados.

http://computerhoy.com

Byaci

REALITY LEIGH WINNER, LA DESCUIDADA JOVEN QUE DESTAPÓ EL ESCÁNDALO DE LAS ELECCIONES DE EE.UU.

El FBI ha detenido a Reality Leigh Winner por filtrar Secretos de Estado. Al parecer, esta persona hizo llegar a los medios datos que daban fuertes indicios de que Rusia intentó hackear las elecciones estadounidenses en las que Donald Trump fue elegido presidente.

Según Business Insider, Winner habría sido contratada en primera instancia por Pluribus International Corporation, una empresa dedicada a prestar servicios de inteligencia, para colaborar con la NSA como trabajadora independiente. A Winner se le concedió la máxima autorización de seguridad según el Departamento de Justicia, que supuestamente habría aprovechado para enviar la información a The Intercept.

El agente especial Justin Garrick escribió la declaración jurada del arresto, en la que podemos leer cosas como que a la NSA se la llama “Agencia del Gobierno de Estados Unidos”. A The Intercept se lo nombra como “Medio de Comunicación”:

La Agencia del Gobierno de Estados Unidos examinó el documento compartido por el Medio de Comunicación y determinó que las páginas del informe de inteligencia estaban dobladas y/o arrugadas, lo que sugiere que habían sido impresas y llevadas en mano desde un lugar seguro.

La Agencia del Gobierno de Estados Unidos condujo una auditoría interna para determinar quién accedió al informe de inteligencia desde su publicación. La Agencia del Gobierno de Estados Unidos determinó que seis indivíduos imprimieron este informe. WINNER era uno de estos seis individuos. Una auditoría más extensa de los ordenadores de oficina de las seis personas reveló que WINNER tenía contactos a través del correo electrónico con el Medio de Comunicación. La auditoría no reveló que ninguno de los otros individuos tuviese contacto con el Medio de Comunicación.

Dejando de lado los errores de Winner, que no permitencompararla con Snowden, de nuevo tenemos ante nosotros un caso muy similar al de Chelsea Manning y el ya citado Edward Snowden: empleados descontentos con la Administración que deciden tomarse la justicia por su mano.

En este caso no ha salido bien, aunque en otros la historia ha sido muy distinta: hasta donde sabemos Edward Snowden sigue en Rusia y Chelsea Manning ya es libre. Lo cierto es que Winner ha cometido errores muy graves que hicieron que en pocas horas el gobierno estadounidense la tuviera bajo custodia, y que pueda ser condenada hasta a 10 años de prisión.

Y sin embargo, la gran pregunta que hay en el aire es ¿quién es Reality Leigh Winner? Eso es lo que vamos a intentar esclarecer.

ANTI-TRUMP, ATLETA, LINGÜISTA Y MÁS

En las últimas horas medios como Mashable han dejado entrever algunos detalles de la vida de Winner. Gracias a estos detalles sabemos que es una opositora frontal a Donald Trump. Contra el presidente de EE.UU. se ha manifestado muchas veces en sus redes sociales, especialmente en su cuenta de Twitter. Resulta interesante también echar un vistazo a su número personas a las que sigue. Sólo sigue a 50 cuentas, entre las que se pueden encontrar a Edward Snowden, WikiLeaks y Anonymous.

En otros medios como Mediaite se hace énfasis en que Reality Leigh Winner apenas hablaba de su trabajo con su familia. De acuerdo con unas declaraciones de la madre de la detenida realizadas al medio, de lo que más hablaba su hija era “de sus mascotas, cocina vegana y entrenar”. De momento no se han revelado más detalles sobre su vida privada.

Su madre tampoco la tiene por una activista política, aunque sí dice que tiene “opiniones fuertes y apasionadas” (según se recoge en un artículo en The Daily Beast) en lo que respecta a sus creencias personales. También cabe destacar que Winner trabajó en el ejército estadounidense (concretamente en las Fuerzas Aéreas) y que estudió farsi entre otros idiomas.

Por lo demás, la familia de Reality Leigh Winner dice que las acusaciones del Departamento de Justicia “son muy vagas” y no concretan nada. Desde su entorno nadie sabe qué ha podido filtrar (ni a quién) para que la reacción haya tenido este calibre. La filtradora tiene una vista en los tribunales el próximo jueves, donde se decidirá su futuro.

EL RUIDO Y LA FURIA DEL CASO WINNER

Cómo no podía ser de otra manera, Internet ha estallado con el caso de esta nueva filtradora. Aunque como decíamos más arriba Leigh ha cometido muchos errores que han derivado en una detención muy rápida, ya tiene un buen número de seguidores y detractores.

Uno de los primeros en mostrar su apoyo a Reality Leigh Winner ha sido el propio Julian Assange a través de su cuenta de Twitter:

Ver imagen en Twitter

Ver imagen en Twitter

No muy alejado del entorno de Assange, en la cuenta de WikiLeaks, se han publicado dos tuits muy interesantes. El primero habla de unaconspiración para detener a Winner, ya que uno de los periodistas de The Intercept habría dado a las agencias gubernamentales los datos de la filtradora:

Ver imagen en TwitterVer imagen en TwitterVer imagen en Twitter

Teniendo en cuenta que la reveladora de secretos cometió errores garrafales, es difícil tragarse la teoría de la conspiración aunque hay quienes sí la ven lógica. El segundo tuit es la petición de orden de registro que el FBI habría solicitado para buscar información sobre la filtración:

En Reddit, concretamente en /r/MarchAgainstTrump, se ha publicado un extenso hilo en el que se acusa a la Administración Trump de encarcelar a Reality Leigh Winner. Sin embargo, y aunque Trump no es santo de mi devoción, cabe destacar que fue la Administración Obama la que endureció las represalias contra los filtradores.

Por supuesto, no todo han sido laureles. También ha habido quienes han aprovechado el momento para escupir bilis contra Winner:

A nivel de medios de comunicación, periodistas de todo el mundo han buceado por sus redes sociales para intentar dar con más detalles acerca de esta reveladora de secretos. Más allá de lo que ya os hemos contado, no se ha sabido mucho:

Byaci

EsteemAudit, el nuevo exploit de la NSA que pone en peligro tu PC como WannaCry

Parece que poco a poco va pasando la oleada de ataques a la que buena parte del globo se ha visto expuesta estas últimas semanas, pero ahora desde determinados sectores ya se empieza a hablar de una segunda oleada de de ataques cibernéticos a nivel global y masivo.

Una de las principales razones de todo ello es que el ya desgraciadamente conocido por muchos, protocolo de Windows SMB (Server Message Block), parece ser que no era el único expuesto a las «hazañas» de “ataques día cero” creados por la NSA y que en su momento fueron expuestos en la filtración del grupo de hackers Shadow Brokers el mes pasado.

Hay que tener en cuenta que aunque Microsoft ya lanzó en su momento parches para estas vulnerabilidades relacionadas con el SMB, tanto para versiones compatibles como para versiones no compatibles del sistema, todo ello inmediatamente después del estallido del ransomware WannaCry, la misma compañía ignoró el parche para otras tres herramientas de hacking de la NSA, denominadas EnglishmanDentist, EsteemAudit y ExplodingCan.

Han pasado casi dos semanas desde que el popular malware WannaCry comenzó a propagarse, infectando a casi 300.000 equipos de 150 países de todo el mundo en tan solo 72 horas, aunque ahora mismo ya se ha ralentizado ostensiblemente. Para aquellos que no lo saben, WannaCry explotó un error del protocolo SMB de Windows que permitió a los atacantes remotos secuestrar los PCs que corren sistemas operativos Windows sin parches de seguridad.

Cómo protegerte del exploit EsteemAudit

Pues bien, EsteemAudit es otra peligrosa herramienta de hacking para Windows desarrollada por la misma NSA que fue filtrada por Shadow Brokers y que en este caso apunta al servicio RDP (puerto 3389) en máquinas con Microsoft Windows Server 2003 y Windows XP. Dado que Microsoft ya no da soporte para estas versiones del sistema operativo, la compañía no ha lanzado ningún parche de seguridad para EsteemAudit, lo que significa que en estos momentos más de 24.000 sistemas siguen siendo vulnerables y están expuestos para poder ser hackeados.

Hay que tener en cuenta que EsteemAudit también puede usarse como un malware tipo gusano, similar al ransomware WannaCry, lo que permite a los hackers propagarse en redes empresariales dejando así miles de sistemas vulnerables a ser secuestrados, espiados o a otros ataques maliciosos. De hecho los habituales autores de otros ransomware, como los que están detrás de CrySiS, Dharma o SamSam, podrían aprovecharse de todo ello infectando equipos a través del protocolo RDP y usando EsteemAudit en cualquier momento para llevar a cabo ataques generalizados, algo similar a lo que ocurrió con WannaCry.

Por lo tanto y dado que Microsoft no ha publicado ningún parche para esta vulnerabilidad en concreto, se recomienda a los usuarios de los sistemas operativos comentados y a las empresas que podrían verse afectadas, actualizar sus sistemas a las versiones superiores para protegerse de los ataques de EsteenAudit. Y es que ni EnglishmanDentist, EsteemAudit o ExplodingCan pueden afectar a los clientes que ejecutan Windows 7 o versiones más recientes del sistema de Microsoft. Cierto es que para una empresa actualizar sus sistemas de forma inmediata es tarea complicada, por lo que también es recomendable proteger el puerto RDP, ya sea deshabilitándolo o con un cortafuegos.