La herramienta perfecta para el espionaje: el smartphone

Los smartphone son la herramienta perfecta para el espionaje, ya que disponen de todas las características necesarias para tal fín, ubicación mediante GPS, cámara para fotos y vídeo de cada vez mayor resolución y detalle, micrófono para escuchar todo lo que pasa alrededor del dispositivo..., y lo mejor: autorizado y consentido por el propietario/portador del aparato.

Un malware instalado en el teléfono puede grabar todas las comunicaciones del dispositivo, leer los emails o conseguir credenciales bancarias.
Durante las últimas tres décadas se ha trabajado intensamente para encontrar un sistema que proteja al 100% nuestros PCs, pero probablemente aún queda un largo camino por delante hasta descubrir una solución de seguridad móvil perfecta. La amplia gama de funciones de smartphones y tablets hacen que la seguridad sea a la vez compleja y necesaria. El principal problema de los dispositivos móviles es que viven en nuestros bolsos y bolsillos y que los llevamos allá donde vamos, por lo que es fácil perderlos o que nos los roben.

Los smartphones disponen de cámaras y sistemas GPS que permiten rastrear nuestra localización. Enviamos emails, hacemos llamadas y mandamos SMS con ellos. Almacenamos gran cantidad de datos económicos e información personal y solemos visitar tiendas online donde nos descargamos aplicaciones desarrolladas por desconocidos.

En los dispositivos móviles, al igual que en los ordenadores tradicionales, toda esta información se puede monitorizar e incluso robar a través de malware. Las distintas formas de penetrar en un smartphone ya superan a las que se utilizan con los ordenadores.

Por ejemplo, cargar la batería. Los smartphones tienen un puerto USB que nos permite cargarlo. El cable que utilizamos, nos sirve tanto para realizar esta función como para sincronizar datos; lo que pone en peligro la información del dispositivo. Compartir el cable conectado a un ordenador que nos sirva para cargar el teléfono con un desconocido puede hacer que nuestros datos personales peligren.

En un artículo publicado por el DailyMail el año pasado, se habla de una app desarrollada por el ejército de EEUU. Esta aplicación encendía la cámara del teléfono móvil para, posteriormente sacar y enviar imágenes y vídeos a los desarrolladores de la app.  Además, el software podía utilizar las imágenes para crear mapas del lugar. Estas funciones permiten al cibercriminal espiar a sus víctimas y reunir información para un posible robo. Aunque la mayoría de los portátiles tienen cámara también, no suelen llevarse en el bolsillo.

Existen también programas maliciosos que encienden los micrófonos de los smartphones, y activan GPS y localización, lo que convierte al dispositivo en una herramienta de vigilancia.

Un malware instalado en el teléfono puede grabar todas las comunicaciones del dispositivo, leer los emails o conseguir credenciales bancarias. Por ejemplo: podría acceder a una cuenta bancaria, dependiendo de la entidad y el portal, cambiar la contraseña, transferir todo el dinero a otra cuenta  o incluso cambiar la dirección de email asociada a la cuenta y enviar una copia de la tarjeta de crédito.

Existen muchas formas de penetrar en un teléfono, descargarse una aplicación maliciosa o pinchar en un link de phishing que facilitan que alguien pueda robar los datos. Hay otras opciones, algunas bastante inverosímiles, pero en las que los cibercriminales ya han pensado.

A medida que los sistemas operativos avanzan, las empresas tecnológicas introducen mejores controles de seguridad, por ejemplo, las funciones de Apple, “buscar mi iPhone”, o “Activation Lock”. La mayoría de los dispositivos permiten al usuario borrar los datos de su teléfono de forma remota en caso de emergencia.

Los riesgos cada vez son mayores, sin embargo aún no todos los usuarios cuentan con una solución de seguridad o protegen sus contraseñas, implementan todas las funciones de seguridad que ofrecen los sistemas operativos ni se mantienen al día sobre las últimas amenazas online.

Cuando alguien no es precavido, lo más adecuado es cifrar la información almacenada y hacer diferentes copias de seguridad. En cuanto a los más pequeños, la información que almacenan en sus smartphones debe estar controlada porque es probable que lo pierdan.

El especialista en seguridad informática Trevor Eckhart descubrió que el software utilizado en unos 150 millones de celulares llamado Carrier IQ registra toda la actividad del equipo.

Este tema también lo hemos visto en varias oportunidades, como aquella vez en que encontraron algo similar en los Iphones, pero es bueno que se siga haciendo público.

Según Trevor, “este software registra cualquier tipo de actividad, desde la geolocalización, hasta el envío de SMS y los datos de navegación por Internet, y envía esta información a su compañía desarrolladora.

El Carrier IQ está instalado en los aparatos Android, BlackBerry y Nokia que son utilizados por unos 150 millones de estadounidenses.

Eckhart advirtió los riesgos del programa en un video subido a YouTube. La empresa Carrier IQ exigió borrarlo en una carta oficial, amenazando con una demanda judicial en el caso de recibir una negativa a esta petición. Los representantes de la empresa declaran que su programa es absolutamente inofensivo y “no registra, sino más bien acumula” la información sobre el aparato telefónico.

Anonymous publica la contabilidad del PP desde 1990 hasta 2011

"Lo que debería ser público, será público". Bajo este reivindicativo epígrafe uno de los brazos de la asociación de hacktivismo Anonymous ha publicado (PDF comprimidos en ZIP) a última hora de la mañana la contabilidad del Partido Popular que hace referencia al periodo comprendido entre 1990 y 2011. No se trata de la manida contabilidad B de la que se acusa a Lapuerta y Bárcenas, sino de los tomos remitidos al Tribunal de Cuentas para su aprobación. Así, lo lógico sería no hallar entradas sospechosas en estos documentos, si bien el partido conservador se negó a entregar estos mismos documentos a la Audiencia Nacional cuando le fueron requeridos, argumentando que la ley solo le obliga a conservarlos durante cinco años.

No obstante lo publicado tiene miga. La información, firmada por el propio Bárcenas, no solo incluyen datos pormenorizados de las cuentas de Génova, sino que cuentan con anotaciones manuscritas al margen en determinadas entradas. En el segundo tomo de 1992, por ejemplo, alguien enmienda varias entradas con anotaciones en bolígrafo. Desde Génova ni confirman ni desmienten la información, aunque se ha comprobado que parte de estos datos obran en poder del juez Ruz.

Los documentos está clasificados por años y éstos a su vez en tomos, con un peso total de más de 4 gigabytes, lo que no ha espantado a los usuarios que han decargado más de un millón de veces algunos de los archivos en tan solo una hora online.

Internet responde

No es la primera vez que internet se conjura contra los casos de corrupción. En febrero, poco después de que el diario El País desvelase el escándalo de Bárcenas, el periodista Antonio Delgado promovió una iniciativa poco vista en nuestro país: detectar entre todos las anotaciones del ex tesorero del PP y reunirlas todas en una hoja de Excel. El objetivo se cumplió en tiempo récord y los hallazgos pueden ser consultados en este enlace.

En esta misma línea, diversos ciudadanos se reúnen en estos momentos en torno al hashtag #WeNeedMoreHackers y #CuentasDelPP traducir los nuevos documentos publicados de su formato original, PDF, a otro más accesible para la red. Lo que se está buscando es gente capaz de desarrollar una herramienta para analizar los datos, otros que procesen la información y le den forma de base de datos y, por último, a personas con capacidad para analizar los datos contables.

"Queremos hacer un llamamiento a todas aquellas personas que quieran colaborar en el análisis de la información. Podemos demostrar que la transparencia y la supervisión ciudadana son más efectivas que el Tribunal de Cuentas", relata la web Cuentas Claras en su página principal. El sitio, que aboga por una mayor transparencia en la relación con los partidos políticos, lamenta en el texto que el Tribunal de Cuentas publique sus informes "con cinco años de retraso" y para solucionar el problema pone a su servicio la inteligencia colectiva, una tendencia de la conocida como cibercultura que sostiene que el esfuerzo común es la más efectiva de las fórmulas de trabajo.

Actualización: la web donde se publicaron originalmente los datos contables está caída por exceso de tráfico. La información puede descargarse también desde The Pirate Bay.


Fuente: Teknautas

AVATAR: un rootkit que promete grandes novedades y con precio de oferta

Aparece en el mercado (negro) un nuevo rootkit que según sus creadores "no es detectado por los antivirus ni por los famosos antirootkit GMER o RKU".

En la carta de presentación, los creadores aclaran que el rootkit no está a la venta, solo en alquiler y a un precio promocional de lanzamiento y aclaran que todavía no funciona correctamente en sistemas x64, sólo en los sistemas basados en i386.

El tamaño del ejecutable es de 120 Kb sin empaquetar y sus 327.416 líneas de código fueron escritas en C++ y ASM.

Tiene varias novedades para los "chicos malos", por ejemplo trae un SDK para desarrollo llamado ASDK (Avatar Software Development Kit) y una biblioteca ARTL (Avatar Runtime Library) y una WinAPI, es decir, todo el paquete necesario para el desarrollador. El malware basa su supervivencia mediante el uso de exploits basados en Metasploit y 0-Days y no se guarda en disco sino que se carga directamente desde la memoria, lo que le permite saltear UAC y la lista blanca de software firmado de Windows.


Después de cargar correctamente el controlador del rootkit, Avatar ejecuta un algoritmo para infectar a los controladores del sistema con el fin de sobrevivir al reinicio del sistema. Con el fin de realizar su infección, Avatar elige al azar un driver y comprueba su nombre en una lista negra que varía para cada versión de Windows.

También en la presentación en sociedad de AVATAR recuerdan los "viejos tiempos" donde uno podía mantener una botnet muchísimo tiempo sin ser descubierto y donde las botnets crecían rápidamente al igual que la monetización de las mismas. El negocio actual esta muy complicado y los tiempos son difíciles y, en muchos casos estan al borde del rojo financiero. Melancólicamente recuerdan el cierre de botnets de gran alcance como Waledac, Coreflood, Kelihos, Rustock y Conficker... por lo que proponen un método novedoso de C&C mediante conexiones cifradas con RSA de 1024 bits lo que hace más difícil la detección. Como novedad, para método de control AVATAR no utiliza los clásicos C&C sino que utiliza un híbrido entre un C&C y Grupos de Yahoo!.

Aclaran que el bajo precio es por la falta de soporte para x64 y por su debut en el mercado y que luego irán acomodando los precios para garantizar que sólo los "profesionales" tengan acceso.

La buena noticia para nosotros, los chicos buenos, es que los antivirus ya comienzan a analizarlo en profundidad y a detectarlo y pronto el todos los antivirus lo harán.


Fuente: Segu-Info

VIRUS DE LA POLICÍA. ¿EL FIN DE UNA AMENAZA?

Cuando el pasado miércoles informamos de la captura de varios miembros de una banda de ciberdelincuentes relacionados con el popular ransomware conocido como “Virus de la Policía”, aún era poca la información proporcionada. Hoy, con los comunicados oficiales ya publicados y la importante repercusión que ha tenido la noticia tanto en medios especializados en seguridad informática como en medios generalistas de todo el mundo, podemos hacer un análisis más completo del asunto.

Con respecto a la noticia en sí, el Ministerio del Interior informó de la detención de 10 personas de diferentes nacionalidades (6 rusos, 2 ucranianos y dos georgianos) en las localidades de Benalmádena y Torremolinos, pertenecientes a la célula financiera encargada de blanquear el dinero obtenido por estas actividades delictivas.

Se informó además de la detención de otro ciudadano ruso en los Emiratos Árabes Unidos que, supuestamente, era el creador y difusor de algunas de las variantes de este malware. No obstante, esta detención se produjo realmente en diciembre del pasado año y actualmente las autoridades españolas se encuentran a la espera de conseguir su extradición.

Asimismo, se ha publicado un vídeo donde puede verse parte de la operación realizada por la Brigada de Investigación Tecnológica de la Policía Nacional.

Una vez repasada la noticia, queremos destacar la gran labor realizada por las fuerzas y cuerpos de seguridad del Estado, que han conseguido un éxito importante en la lucha contra el cibercrimen de repercusión internacional.

Ahora bien, ¿se ha terminado con esta operación con el “Virus de la policía”? Rotundamente, no. Lo que se ha conseguido es desmantelar una organización criminal que utilizaba un método de propagación de malware muy efectivo en los últimos años, pero no son, ni mucho menos, los únicos que utilizan esta técnica. El gran Sergio de los Santos, de Hispasec, lo deja bien claro en su artículo hablando sobre este tema.

Y es que, tal y como apunta Sergio, el “Virus de la Policía” no es un único malware, ni siquiera una única familia de malware. Se trata de un modelo de negocio que viene proporcionando beneficios a los ciberdelincuentes desde que se descubrió la primera variante en Alemania en 2010.

Es por eso que, a pesar del éxito de operaciones como la llevada a cabo, no se puede anunciar el fin de este tipo de amenazas, puesto que hay muchos más grupos de ciberdelincuentes que siguen propagando nuevas variantes continuamente con mayor o menor éxito. El uso de exploit kits y el aprovechamiento de vulnerabilidades en software como el de Java hace que cualquier ciberdelincuente con unos mínimos conocimientos pueda crear su propia variante y empezar a ganar dinero.

En cualquier caso, noticias como esta vienen bien para informar acerca de estas amenazas al público en general. Con esto se consigue que la gente esté más alerta y sea menos propensa a caer en las trampas preparadas por los ciberdelincuentes.

Fuente: Eset

Aplicaciones para espiar en redes sociales

El avance de las tecnologías de la información ha incrementado las capacidades para procesar datos. A continuación describimos algunas aplicaciones desarrolladas recientemente para recopilar y analizar información personal en redes sociales.

La información personal por más trivial que parezca, en grandes cantidades, puede llegar a ser muy relevante para entender el comportamiento y las tendencias de una persona, como el caso de estudio que basado en el lenguaje permite identificar al 80% de los usuarios anónimos en Internet. Apoyados en técnicas de análisis masivo de datos se han desarrollado aplicaciones que procesan millones de datos y arrojan información relevante sobre los usuarios analizados.

Uno de estos casos es una aplicación desarrollada por la multinacional Raytheon, contratista de defensa militar para los Estados Unidos. La aplicación conocida como Riot tiene entre sus capacidades hacer un seguimiento de los hábitos de las personas basados en la información pública que tienen en Internet, para llegar a predecir el comportamiento futuro. Esta aplicación, de acuerdo a un video publicado por The Guardian puede recopilar información de redes como Facebook, Twitter y Foursquare.

En resumidas cuentas utilizando Riot con unos pocos clics se puede obtener un panorama general de la vida de una persona integrando la información de las diferentes redes sociales a través de la recopilación de información de sus amigos, sus fotos e incluso los lugares visitados ubicándolos en un mapa.

Para no ir muy lejos, actualmente existen aplicaciones online que permiten hacer un análisis bastante detallado de la información personal en las redes sociales. Por ejemplo Wolfram Alpha ofrece una aplicación gratuita para analizar la información del perfil de Facebook. Después de permiterle el acceso a la información personal, arroja un reporte con información de los días y las horas en que se suele utilizar la red social para subir fotos, la distribución de los contactos y algunas de sus características, la ubicación de los amigos, las palabras más utilizadas e incluso arma un grafo con todos los contactos y los divide en grupos de acuerdo a las características sociales comunes.

Incluso existen proyectos avocados a recolectar información de millones de personas con datos de sus hábitos diarios a través de aplicaciones instaladas en los dispositivos móviles, con el objetivo de crear un perfil del ser humano utilizando técnicas de visualiazación y navegación en el campo de Big Data.

Los algoritmos y las técnicas utilizadas por estas aplicaciones para analizar los datos y obtener información relevante, son los mismos que desde hace algunos años vienen utilizando entidades financieras para hacer seguimientos de fraudes. Incluso lo utilizan organismos de seguridad para hacer seguimientos en casos buscando esclarecer hechos o para hacer monitoreos en áreas abiertas basados en el reconocimiento facial.

Más allá de que en este post mostramos iniciativas que no son maliciosas, queda en evidencia que las herramientas para hacer seguimiento de las personas a partir de su información pública existen y podrían ser utilizadas por ciberdelincuentes con fines maliciosos. Una solución de seguridad que brinde protección contra códigos maliciosos que roben información personal es fundamental para prevenir que sea obtenida y se creen perfiles de seguimiento.

Además de nuevo es importante resaltar la importancia del cuidado con la información personal al momento de compartirla en Internet, es mejor pensar dos veces antes de publicar, ya que no sabemos quien podría estar detrás de nuestros datos.

Fuente: Eset

12.000 grabadores de video expuestos en Internet

Casi por casualidad he detectado una vulnerabilidad que afecta a la web de administración de algunos grabadores de vídeo (DVR) de cámaras IP expuestos en Internet por todo el mundo. Cuatro fabricantes distintos, 20 modelos de grabadores y 127 versiones de firmware afectadas. En total, centenares de productos vulnerables y más de 12.000 dispositivos en la red, lo que equivaldría, aproximadamente, al acceso de 55.000 cámaras distintas y todo aquello que hayan grabado.

En septiembre del año pasado buscaba algún fallo que sirviera como ejemplo y que me permitiese incluirlo como parte de la historia del libro "Hacker Epico".  Cuando dí con el, no le presté demasiada atención, ya que este tipo de dispositivos suelen tener una plaga de vulnerabilidades. Ahora que ya se publicó la novela y vuelvo a tener algo más de tiempo, me dio por profundizar un poco más y explorar el impacto que tenía aquel hallazgo. Desde luego, no imagine que fuera a ser tan significativo.

Un grabador de vídeo es un sistema, como el que se muestra en la imagen, que sirve para gestionar  cámaras de vigilancia, generar alertas en base a patrones y grabar en archivos el contenido. Generalmente tienen varios canales, y en cada uno de ellos se conecta una cámara, que según el modelo varía entre 4, 6, 8, 16, etcétera.

Trozo (editado) de archivo "DVR.cfg" de ejemplo

La vulnerabilidad es muy sencilla, usando un navegador y solicitando el archivo "/DVR.cfg", puedes descargarte la configuración del sistema sin necesidad de introducir credenciales. En esta configuración se guarda sin ningún tipo de cifrado el usuario y la contraseña de acceso a su configuración y otros datos, como por ejemplo las credenciales de acceso del correo, FTP, DDNS o PPPOE.

Con estos datos, la forma más sencilla, y sin necesidad de entrar al panel de administración, de ver lo que graban las cámaras, es accediendo a su versión móvil. Para ello, tan solo hay que abrir el archivo "/iphone.html", añadiendo a la URL el usuario y la contraseña.  Por ejemplo: http://admin:admin@1.1.1.1/iphone.html. Aunque también es posible conectarse mediante el ActiveX del fabricante o utilizando un cliente RTSP.

Si se accede directamente usando el control del navegador, se visualizarán simultáneamente todas las cámaras .

Panel de control de administración de DVR (ActiveX)

Una búsqueda en shodan, con la pregunta exacta, revela que en la actualidad hay 46.889 direcciones IP con estos grabadores, de los que 12.667 son vulnerables.

Resultados de Shodan

Después de analizar todos los resultados (con un nmap, script en nmap y perl para procesar los XML), he sacado muchos más datos.  Como el número de apariciones por localización geográfica, siendo Taiwan el país donde más cacharros se han encontrado.

Grabadores de Vídeo vulnerables por país

En cuanto a las credenciales, la inmensa mayoría mantiene las que se entregan por defecto de fábrica: usuario admin, contraseña admin, así no se le olvida a nadie.

Uso de contraseñas en grabadores vulnerables

Los fabricantes afectados que he encontrado son:

• Hunt CCTV (http://www.huntcctv.com/)
• Capture CCTV (http://www.capturecctv.ca/)
• Hachi CCTV
• NoVus CCTV (http://www.novuscctv.com/)
• Well-Vision Inc (http://well-vision.com/)

Los modelos de estos fabricantes:

• DVR-04CH, DVR-04NC, DVR-08CH, DVR-08NC, DVR-16CH (HuntCCTV)
• CDR 0410VE, CDR 0820VDE (CaptureCCTV-HuntCCTV)
• DR6-704A4H, DR6-708A4H, DR6-7316A4H, DR6-7316A4HL (HuntCCTV)
• HDR-04KD, HDR-08KD (unknown-HuntCCTV)
• HV-04RD PRO, HV-08RD PRO (Hachi-HuntCCTV)
• NV-DVR1204, NV-DVR1208, NV-DVR1216 (NovusSec) 
• TW-DVR604, TW-DVR616 (Well Vision INC Solutions-HuntCCTV)

Distribución por modelos

He encontrado en total  127 firmwares distintos con la vulnerabilidad, de forma resumida:

• 1.1.10 to 1.1.92 
• 1.47 to 1.51
• 2.0.0 to 2.1.93
• 3.0.04 to 3.1.92

Toda la información ha sido reportada a HuntCCTV y tiene reservado el identificador CVE-2013-1391, pero desgraciadamente no han respondido. La vulnerabilidad también ha sido remitida al Grupo de Delitos Telemáticos de la Guardia Civil, quienes a su vez la han reportado al fabricante.

Para finalizar, mi amigo Wiredrat, con el que he compartido muchas aventuras (asíncronas), ha hecho un mapa interactivo (similar al de TrendNET, solo que con 12.000 puntos en vez de 300) que muestra la posición de los grabadores que se ven en Shodan y genera automáticamente un enlace a la configuración (donde están las credenciales) y a la versión móvil de las cámaras. Pese a que avisa en la propia web, os recuerdo que acceder tanto a la configuración como a la cámara, en la gran mayoría de países sería considerado un delito. Incluso aunque sea haga con el usuario admin y contraseña admin, que tienen la gran mayoría de ellas :-P

Mapa interactivo con grabadores vulnerables

Fuente: Security By Default

EEUU advierte del riesgo de un 11-S informático "inminente"

La secretaria de Seguridad Nacional de Estados Unidos, Janet Napolitano, ha advertido este jueves del riesgo de que se produzca de forma "inminente" un ataque informático de la magnitud de los atentados 'yihadistas' del 11 de septiembre de 2001.

Napolitano ha asegurado que hay una amenaza real de que se produzca un ataque informático contra infraestructuras clave para cualquier país, como las de suministro de agua y energía, que podría provocar los mismos estragos que la tormenta tropical 'Sandy', que a finales de 2012 recorrió el continente americano dejando decenas de muertos.

La jefa de Interior ha recordado que ya se han producido ataques informáticos contra bancos estadounidenses. "Ya hemos recibido una llamada de atención. Se están produciendo todo el tiempo y vienen de diferentes lugares, con diferentes formas, aunque cada vez más sofisticadas", ha dicho.

Por ello, ha considerado que "no deberíamos esperar a que haya un 11-S informático". "Hay cosas que podemos y debemos hacer ahora mismo para, si no prevenir, al menos mitigar los daños", ha apuntado, durante su intervención en el Centro Wilson, un 'think tank' de Washington.

A este respecto, ha instado al Congreso -paralizado por la profunda división entre demócratas y republicanos- a aprobar el proyecto de ley sobre ataques informáticos, que permitirá al Gobierno compartir información con el sector privado, que gestiona dichas infraestructuras, para evitarlos.

Se espera que el presidente estadounidense, Barack Obama, ordene la creación de un sistema destinado a ayudar a las empresas a proteger las infraestructuras que gestionan, que será voluntario y que contendrá incentivos para las compañías que decidan participar.

El sector privado se ha mostrado reacio a dicha legislación al considerar que se trata de una extralimitación del sector público con la que podría acceder a información que en estos momentos no está a su alcance.

Actualmente, el ordenamiento jurídico estadounidense no garantiza la inmunidad legal a las empresas que, voluntariamente, accedan a compartir información con el Gobierno, aunque sea por motivos de seguridad nacional.


Fuente: PortalTIC