Archivo de categoría Investigación

León Ramos PorLeón Ramos

46 – Las noticias con Alina, Hiram y León

Emisión 46

  1. La app de seguimiento y prevención de contagio del gobierno Indio se vuelve código abierto
  2. El malware se disfraza de FedEx, UPS, DHL y más servicios de mensajería para hacer phishing
  3. Turla, el Grupo APT controla su malware a través de la interfaz web de GMAIL
  4. Tu servidor ASP.net con el framework Telerik podría estar infectado
  5. ¿Puede detectar la inteligencia artificial a un criminal solo por su rostro?
  6. Animal Político sufre su quinto ataque informático en este mes. ¿Ataque dirigido o solo un ataque de Carding por su falta de seguridad?

[Techcrunch] ¿Recuerdan el acuerdo entre Apple y Google para desarrollar la aplicación de rastreo de contactos? Es esta aplicación que te puede ayudar a saber si estuviste en contacto con una persona infectada con Covid-19 para que tomes tus precauciones.

Bueno, pues el gobierno de la India acaba de liberar en código libre ayer por la noche su app Android y IOS para que puedan ser evaluadas por expertos de seguridad y eliminar posibles bugs.

Con un arrasador 98% de usuarios de la aplicación montados en la plataforma Android, el gobierno de la India, busca ofrecer recompensas de hasta 1,325 dólares a expertos de seguridad que ubiquen posibles vulnerabilidades.

Sin duda ésta es una de las medidas que puede ayudar a elevar la confianza de los ciudadanos en sistemas digitales. Sólo podemos estar seguros de que algo hace lo que dice que hace cuando es completamente transparente.

Hay que destacar que 900,000 usuarios han sido notificados por medio de ésta aplicación para que tomen una prueba, y de estos, un 24% ha resultado efectivamente un contagio positivo.

¿Qué opinan ustedes? ¿Abrir el código de tus aplicaciones públicas las hace más vulnerables a ataques o mejora la seguridad de las mismas cuando más ojos se suman al control de calidad? ¿Deberían otros países y empresas optar por el camino del código abierto?


En México, se preveé que el comercio electrónico aumente un 40 por ciento anual gracias a la crisis sanitaria del coronavirus y todos los que han pedido a través de portales como Amazon, Wish, Mercado Libre, etc saben que el correo electrónico es una forma fundamental para avisar si su paquete ya se envió y está en camino. Pues al tener un alto nivel de posibilidades de ser abiertos, son un gancho ideal para propagar el malware llamado Dridex que busca obtener datos bancarios. Los correos supuestamente te entregan una factura y le piden a los usuarios que habiliten “Macros”, un comando común en las aplicaciones de Microsoft y es entonces cuando un archivo malicioso se descarga. Los hackers están evadiendo los anti-virus gracias a que modificaron el código y usan una herramienta relativamente nueva llamada “Evil Clippy”, un recurso usado por los equipos de sombrero rojo en 2019. Se cree que el primer correo con esta técnica se mandó el 20 de abril y se enfoca en usuarios generales en vez de empleados de algún empresa en específico.


Turla, el Grupo APT controla su malware a través de la interfaz web de GMAIL.
Investigadores de ESET, han emitido un reporte en el que detallan cómo Turla está operando con una nueva versión de su Malware llamado ComRAT (aka Agent.BTZ).
En las primeras versiones, ComRAT se comunicaba a través del protocolo HTTP, pero en esta v4, tiene la capacidad de recibir sus instrucciones en Gmail. Esta v4 se ha distribuido usando credenciales comprometidas o a través de otros backdoors de Turla.

Una vez instalado en un dispositivo comprometido, ComRAT roba documentos confidenciales, y aprovecha los servicios de nubes públicas como 4shared y OneDrive para filtrar los datos robados.

En un caso, Turla implementó un ejecutable .NET para interactuar con la base de datos central de MS SQL Server de la víctima que contiene los documentos de la organización, para después cifrarlos y sacarlos de la organización. También recopilaron y extrajeron información sobre la infraestructura de red de la organización, los grupos de Active Directory y las políticas de Windows.

Turla «extrae regularmente los logs de seguridad para comprender si se han detectado sus muestras de malware».

Gracias a que ESET logró descargar algunos correos electrónicos, pudo identificar la hora del envío de los mismos y aparentemente trabajan en el la zona horaria UTC+3 o UTC+4 (Rusia).

ComRAT v4 tiene varios componentes:
Un orquestador, inyectado en explorer.exe, que controla la mayoría de las funciones de ComRAT; incluida la ejecución de los comandos del backdoor.
Un módulo de comunicación (una DLL), inyectado en el navegador predeterminado por el orquestador. Se comunica con el orquestador utilizando una tubería con nombre.
Un Sistema de Archivos FAT16 Virtual, que contiene la configuración y los archivos de registro.

Instalación y persistencia
Crea una tarea programada y un valor cifrado en el registro de Windows.
Posteriormente la tarea programada mandará a llamar al registro cifrado (la contraseña se encuentra dentro del código de la tarea programada)

Ejecución.
Se extrae el payload e injecta un DLL(1) (Llamado orquestador) en explorer.exe, el cual inyecta otro DLL(2) en el navegador web. El DLL(1) se comunica con el DLL(2) que está en el navegador para establecer comunicación con el C&C.
Tambien el orquestador ejecuta comando para exfiltrar los archivos almacenados en el equipo, recabar información de la red interna, instalar otros malwares y monitorear los logs de seguridad del equipo infectado.
Para la extracción de estos archivos, monta una carpeta de un espacio en la nube a través de “net use”.

¿Cómo lo controlan via Gmail?
Lee la dirección de correo electrónico y la cookie de autenticación en el sistema de archivos virtual creado por el orquestador.
Se conecta a la interfaz web de Gmail (vista HTML básica).
Parsea el HTML de la bandeja de entrada.
Lee solo los correos electrónicos que tengan ciertos “asuntos” del correo, los cuales están almacenados en un archivo dentro del SAV llamado “subject”.
Descarga los adjuntos de los correos electrónicos.
Elimina los correos electrónicos.
Descifra cada adjunto.
Ejecuta los comandos que encuentra en los adjuntos.
Envía los resultados vía correo electrónico a direcciones de correo almacenadas en el archivo “/answer_addr”.
El operador recibe los resultados en su correo electrónico
Envía más comandos.
Arquitectura: https://www.bleepstatic.com/images/news/u/1109292/2020/ComRAT%20architecture.jpg


[zdnet] Blue mockingbird, o el grupo Sinsajo azul, está minando critpomonedas en servidores Windows. Y no, no es parte de la saga de los juegos del hambre.

Un ataque que se cree activo desde diciembre del 2019, ha sido descubierto por la firma de seguridad Red Canary. Los investigadores advierten que están atacando servidor corriendo ASP.net con framework de interface gráfica Telerik. Los atacantes explotan la vulnerabilidad CVE-2019-18935 de servidores que se encuentren expuestos de manera pública en Internet.

La meta inicial es que el malware se cargue solito cuando el sistema reinicie a través de la técnica de Juicy Potato (escalación de privilegios locales). Luego instalan un software llamado XMRRig que se encarga de minar la criptodivisa Monero.

Además, si el servidor cuenta con accesos RDPs o Samba, los atacantes los usan para llegar a las redes internas y propagar su ataque.

Red Canary comenta que no conoce la magnitud del ataque pero que sospechan que la botnet puede contar con maś de 1,000 infecciones.

La remediación consiste en realizar una actualización de software o bien, si no te encuentras en la posibilidad de relizarla, se puede optar por una prevención desde el mismo firewall.

¡Actualicen o corran con su amigo de seguridad de confianza para que les ayude a reparar los daños!


Una de las grandes promesas de las empresas de inteligencia y monitoreo es detectar a una persona con tendencias criminales.
El análisis de algunas bases de datos de criminales, de rasgos étnicos y expresiones faciales comienzan a darle forma a las herramientas de “seguridad” que prometen supuestamente alejarnos de la gente “peligrosa”.
Por ejemplo en China, el gobierno ha implementado cámaras de vigilancia que sancionan a los niños por no poner atención en clase basándose en sus movimientos oculares.
Los investigadores de esa nación Xiaolin Wu y Xi Zhang dicen tener un 85 por ciento de precisión al detectar criminales y esto se basa en un pensamiento del siglo XIX del criminólogo italiano Cesare Lombroso que considera a estas personas como subhumanos, monstruos y personas sub evolucionadas.
Además, la frenología se basa en los estudios, también del siglo XIX del fisiólogo Jean Pierre Flourens quien medía el cerebro y realacionaba su tamaño con las enfermedades cerebrales de una forma empírica. Él concluyó que los daños cerebrales eran distribuidos y no localizados, lo que posteriormente fue descartado por el ámbito de los neurólogos.
Sí debemos destacar en qué estudios se basan este tipo de aplicaciones o programas porque han sido fuertemente atacados por crear un sesgo que puede afectar a una persona al momento de ser contratada o entrar a un lugar público.

Las bases de datos que se han analizado para sacar estas conclusiones son las fotografías de los convictos y personas comunes y corrientes en lugares de trabajo.
Y cabe considerar que la presión que ejercen los policías al tomar estas fotografías puede influir significativamente en la expresión del reo, e incluso hay factores como la pobreza, depresión o abuso sexual que podrían influir en este análisis y arrojar resultados erróneos.
Es por eso que esto no debe ser usado en casos por las autoridades como pruebas fehacientes en un juicio por ejemplo o en proceso de reclutamiento


Animal Político sufre su quinto ataque informático durante el mes de mayo y el décimo en menos de un año. ¿Es realmente un ataque dirigido o solo un ataque de Carding por su falta de seguridad?

Según la nota de ARTICULO19.org, el ataque tiene las siguientes características:
Fue al sistema de suscripciones donde se procesan pagos con tarjetas.
Fueron 2,000 peticiones por minuto
intentaron pasar TDD pérdidas o robadas.

Textualmente: “Lo anterior sugiere que el objetivo del ataque era vulnerar los motores de suscripciones para consolidar un fraude, y señalar a Animal Político de cometerlo; lo que podría derivar en la suspensión y hasta cancelación de la campaña que implica una fuente de ingresos para el medio y, por tanto, para sus operaciones periodísticas.
Estos hechos se suman a la serie de ataques similares recibidos el 6, 8 y 16 de mayo, y uno más del 29 de marzo de este año; así como los recibidos en 2019, el 12 de octubre, el 12 y 21 de julio de 2019 y el 30 de junio. Es importante mencionar que la campaña de suscripciones inició el 29 de junio de 2019, un día antes del primer ataque.”

‪¿Qué es un ataque de carding? También conocido como Relleno de tarjetas y verificación de tarjetas, en el que los atacantes utilizan múltiples intentos en paralelo para autorizar credenciales de tarjetas de crédito robadas. El carding se realiza mediante bots, software utilizado para realizar operaciones automatizadas a través de Internet. El objetivo del carding es identificar qué números de tarjeta o detalles de las mismas se pueden usar para realizar compras. Además del daño causado a los propietarios de tarjetas, un ataque de tarjetas puede afectar negativamente a las empresas cuyos sitios web se utilizan para autorizar tarjetas de crédito robadas. Por lo general, las tarjetas generan devoluciones de cargo: estas son transacciones en disputa que dan como resultado que un comerciante revierta la transacción y reembolse el dinero del comprador. El carding contra un sitio web pueden conducir a un mal historial del comerciante y multas por contracargo.

Un ataque de carding generalmente sigue estos pasos:
Un atacante obtiene una lista de números de tarjeta de crédito robados, ya sea de un mercado criminal o comprometiendo un sitio web o un canal de pago. Su calidad es a menudo desconocida.
El atacante implementa un bot para realizar pequeñas compras en múltiples sitios de pago. Cada intento prueba un número de tarjeta contra los procesos de pago de un comerciante para identificar detalles válidos de la tarjeta.
La validación de la tarjeta de crédito se intenta miles de veces hasta que arroja detalles validados de la tarjeta de crédito.
Los números de tarjeta exitosos se organizan en una lista separada y se usan para otras actividades criminales, o se venden a las redes de crimen organizado.
El titular de la tarjeta a menudo no detecta el fraude de tarjetas hasta que es demasiado tarde cuando sus fondos se gastan o transfieren sin su consentimiento.

Hay varios sitios web de pasarelas de pago que pueden detectar que los bots de tarjetas están accediendo a sus sitios o si utilizan otras técnicas de fraude.

¿Cómo funciona?
Altos montos anormales en el carrito de compras.
Tamaño promedio bajo de carrito de compras
Una proporción anormalmente alta de autorizaciones de pago fallidas
Uso desproporcionado uso de los pasos para realizar el pago en el carrito de compras
Aumento de las devoluciones de cargo
Múltiples autorizaciones de pago fallidas del mismo usuario, dirección IP, agente de usuario, sesión, ID de dispositivo o huella digital

Tal vez los atacantes saben que Pajaropolitico no tiene un sistema de detección de fraudes en tarjetas robadas/clonadas y por eso son un Target.‬ Eso si, su sitio web tiene un WAF (Firewall de aplicación web) de Cloudflare. Otra opción es que su WAF está mal configurado o sin configurar y los servidores que están detrás de él son accesibles públicamente.

Artículo 19 dice que la campaña de suscripciones inició el 29 de junio de 2019, un día antes del primer ataque. El historial de los DNS de PP dicen que 21 Agosto del 2017 sus servidores estaban detrás de cloudflare.

Al día de hoy, 27 de Mayo, la sección de suscripciones en su página web contiene un mensaje: 🐦 Volveremos pronto. Consulta https://twitter.com/pajaropolitico para más información.

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

#7 – 08/04/2019, Cultura Colectiva, Agencia nacional de seguridad, Facebook

¡Estamos probando nuevo formato! ¡Dinos qué piensas!

Emisión 7:

1) Cultura colectiva deja una base de datos sin protección.
2) Se manda iniciativa para crear la Agencia Nacional de Seguridad Informática.
3) Facebook pide el password del correo electrónico de los nuevos usuarios.

Escucha el podcast:

En ivoox:

En Spotify:

En Youtube

León Ramos PorLeón Ramos

Historias del FLISOL

En este especial de FLISOL, escucharás algunas anécdotas de FLISOLes, conocerás cuándo inició el movimiento, ¿qué significa la GPL?, algunos puntos de vista en contra y recordamos a nuestro amigo Alejandro Arellano, previo organizador del FLISOL IT Toluca.

Esperemos que les agraden éstas historias y que les diviertan tanto como nos divirtieron a nosotros.

Agradecemos a:

Rafael Bonifaz por la investigación del origen de FLISOL, Rafael, te perdimos la pista desde que Elastix dejó de ser lo que era, pero se te sigue recordando de tus participaciones en el FSL Vallarta.

Por supuesto agradecemos a Alejandro Forero Cuervo como el fundador del movimiento, intentamos localizarle pero la verdad no tuvimos suerte.

Por aportar sus anécdotas, agradecemos a:

  • Irving Emmanuel González
  • Alberto Luebert
  • Agustín de la Palma
  • Irene Huízar
  • Armando Áre
  • Jucaoma de León

Escucha el podcast:

En ivoox:

En Spotify:

En Youtube

León Ramos PorLeón Ramos

#4 – 18/03/2019, Citrix, Facebook y Linux

Emisión 4

  1. Hackeo Iraní a datos sensibles de Citrix
  2. Investigación criminal vs Facebook por filtrar datos personales
  3. Linux cumple 25 años.

En ivoox:

En spotify:

En youtube:

Hiram Camarillo PorHiram Camarillo

La persecución de Facebook a los no-usuarios de su plataforma desde las apps en Android

Facebook conoce y rastrea a las personas tengan una cuenta de Fb o no, estén o no logueados, tengan un teléfono inteligente o no.
Básicamente la recolección de información se hace de muchas formas. Les doy un poco de información introductoria y al final hablaré del tema de las apps en Android.

Facebook utiliza todos los medios posibles para recolectar información. Aquí algunos ejemplos del ecosistema de recolección de información:
1. Desde la propia app de Facebook recolecta SMSs, fotos, lista de contactos, ubicación del dispositivo, ID del teléfono, etc.
2. Desde apps desarrolladas o compradas por Facebook: FB Messenger, Jibbigo, Instagram, FB Atlas, WhatsApp, Pebbles, Oculus, Onavo, ConnectU, FriendFeed, Chai Labs, Snaptu, etc.
3. Aplicaciones que integran el SDK Facebook Business Tools. Leer más

León Ramos PorLeón Ramos

Espionaje mexicano con spyware pegasus

Entrevista con dos expertos en seguridad:

Ing. Hiram Camarillo y el Ing. Alberto Rivera

Hablamos de cómo funciona el espionaje que supuestamente realizó el gobierno mexicano sobre comunicadores y personajes de la vida civil nacional.

¿Cómo funciona? ¿Qué hace? y ¿Cómo podemos evitarlo? son algunas de las preguntas que intentaremos responder.

Algunos consejos útiles para los usuarios

Herramientas para proteger tu navegación

VPN sin costo
Protonmail

10 Consejos para navegar seguro por Internet

Control Parental

Kaspersky SafeKids – Kids mode
Norton Family parental control

Rafael Sobrevilla PorRafael Sobrevilla

Robot, Actualmente, ¿Qué es un Robot y qué no es?

Robot es un término que apareció por primera vez en la novela R.U.R. (Robots Universales Rossum) del dramaturgo checo Karel Čapek, que se estrenó en 1920.1 La palabra se escribía como «robotnik»[1].

 

La palabra Robot, hace referencia a sirviente o trabajador. La autoría del término Robótica, fue desarrollado en varias novelas de Isaac Asimov donde se plantea el estudio, el diseño y la generación de inteligencia artificial, necesarios para estos tipos de dispositivos y el problema de su interacción con los seres humanos.

Este término ha tenido una evolución, en los años 60’s en la industria, se planteó a las universidades el desarrollo de manipuladores que permitieran realizar tareas complicadas y/o peligrosas para los seres humanos. Por lo que la creación de manipuladores  caracterizó a la década de los sesentas. Utilizando principios de mecánica, permitían levantar cargas más pesadas, mantenerse a una distancia segura en caso de manipulación de químicos u objetos calientes. Esto nos lleva una de las tres partes principales de un robot.

– Estructura Mecánica [3]

En la década de los 70’s, la industria solicitó a las universidades/fabricantes, que el desarrollo se orientara a la implementación de motores eléctricos e interruptores para poder controlar las estructuras de los robots industriales. El potencial de la producción en cadena, planteado por Henry Ford, al emplear manipuladores mecánicos eléctricos controlados por interruptores y por operadores dentro de las fábricas, fue alto y sigue vigente hasta en la actualidad. Los motores eléctricos, requieren mucho menos mantenimiento que los motores a combustibles fósiles, son más silencios, eficientes, fáciles de reparar y al ser controlados con interruptores versátiles, nos introduce a la segunda parte fundamental de un robot: Su sistema eléctrico de control.

– Sistema Eléctrico de Control

En los años 80’s del siglo pasado, en los manipuladores industriales, tomó importancia el uso de sensores. Con la incorporación de las mini-computadoras programables,  en las cuales se podían generar rutinas con los movimientos repetitivos que caracterizan a la producción en serie. Los problemas de desgaste en las juntas de este tipo de maquinaria, no permitían automatizar por medio de un programa de secuencias repetitivas a los manipuladores, pues las posiciones a las que tenían que llegar los elementos del manipulador, cambiaban con el tiempo, por el efecto de fricción y desgate mencionado. Por lo que los avances en el ramo de la robótica, se centran en la automatización, basada con la retroalimentación de los sensores de posición, velocidad, distancia y presencia. Estos aportes permitieron que los Manipuladores Industriales pudieran tener programaciones que con retroalimentación del mundo exterior, que asegura si las tareas se realizaban dentro de los rangos esperados, o bien, avisar que requerían un ajuste los movimientos, incluso ser ajustados automáticamente por los programas contenidos en su microcomputadora.

Actualmente la definición de robot actual es:

Dispositivo con un sistema de computo, que contiene un programa para controlar los movimientos de los actuadores mecánicos y eléctricos, utilizando la información recopilada de su medio ambiente, por medio de sus sensores, para tomar decisiones.

Partes de un robot

a) Actuadores mecánicos

b) Sistema eléctrico y Sistema electrónico

b) Con un sistema de computo, con un programa

c) Sensores, para tener una retroalimentación de su medio ambiente

Referencias

[1] https://es.wikipedia.org/wiki/Robot

[2] http://www.jotdown.es/2013/02/detroit-asi-se-hundio-el-titanic-del-capitalismo-estadounidense/

[3] http://davidentrablog.blogspot.mx/2012/12/transformaciones-del-sxix-y-su.html

León Ramos PorLeón Ramos

¿Sabes cómo te espía el gobierno en Internet?

Desde el 2013, las filtraciones realizadas por Edward Snowden sobre la vigilancia en Internet de la NSA, cambiaron la forma en la que muchas personas piensan de seguridad informática; sin embargo, no todos los informáticos han sido impactados con dicha información, el presente ensayo es un ejercicio mínimo, generador de consciencia, para divulgar lo que ha estado ocurriendo en Internet.

Me tomó cerca de tres semanas recuperar, analizar y generar un ensayo con información básica sobre los principales documentos liberados por Edward Snowden. Te invito a que te sumerjas un poco y que, o bien reafirmes, o bien descubras las prácticas de espionaje que, Edward revela sobre la NSA, pero que sin lugar a dudas, son compartidas con otras agencias de inteligencia a nivel mundial.

ObservacionesdelespionajeenInternetdelaNSAdeEEUU