viernes, 17 de abril de 2015

LA UNIÓN EUROPEA ACUSA A GOOGLE DE ABUSO DE POSICIÓN DOMINANTE

El15 de Abril, la Unión Europea ha enviado formalmente un pliego de cargos a Google, acusándole formalmente de hacer Abuso de su Posición Dominante, para favorecer sistematicamente sus productos y servicios manipulando los resultados del buscador. Algo que Google niega, por supuesto. Según las acusaciones de la Unión Europea que publica EuropaPressGoogle estaría dando prioridad a su comparador de precios en contra de servicios de la competencia con más usuarios, mejores resultados y más utilizados por los clientes del buscador.

Figura 1: Google acusado formalmente por la Unión Europea

Google siempre ha defendido que tiene una motor de búsqueda, que inicialmente presumía de ser solo una página en blanco para encontrar cosas, y que diferenciaba entre entre publicidad y resultados. El no manipular los resultados del buscador en pro de convertirlos en intencionados para vender uno u otro producto dio lugar al famoso moto "Don´t Be Evil", que parece que se saltaron hace mucho tiempo. 

Figura 2: Definición del moto de Google "Don´t be Evil"
De hecho, sin necesidad de ser un experto en la materia y sin hacer grandes estudios, supongo que todos os habréis topado con que se promocionan más los resultados de posts en Google+ públicos que posts en Facebook públicos, algo que suena extraño cuando la red social mundial por excelencia sigue siendo Facebook, quieran o no quieran. Ya la comisión dela FTC en Estados Unidos dijo algo similar en su estudio, aunque apuntando a los servicios de búsqueda de restaurantes y hoteles, y degradando en sus resultados sitios como Yelp o TrypAdvisor. Según el informe, se a dice que "Google ha hecho un daño real a usuarios y a la innovación"

Figura 3: Google ha hecho un daño real a los usuarios y a la innovación

Esta acusación formal de la Unión Europea contra Google puede llegar a costarle una multa de hasta 6.000 millones de Euros, pero además se ha comenzado a investigar también en la plataforma Android, donde hay más que sospechas de Google haya estado presionando a fabricantes de dispositivos móviles para que no saquen otros terminales con sistemas operativos distintos a Android y que en los que salgan con Android no se metan apps de la competencia, para poder pre-instalarse solo apps suyas, algo que podría llevarle también otra multa de la Unión Europea.

Figura 4: Mensaje de alerta que se forzó a sacar en Windows para elegir navegador

Hay que recordar que Google fue uno de los que se quejó de las prácticas monopolistas de Microsoft en el pasado, y uno de los que solicitó formalmente a la Unión Europea que se obligara a todos los Windows de Europa a sacar un mensaje de aviso para poder elegir otro navegador, entre ellos Google Chrome.

lunes, 13 de abril de 2015

CÓMO EL MAL USO DE LAS REDES SOCIALES PUEDE ATRAER SECUESTROS VIRTUALES, SECUESTROS REALES Y HURTOS EN CASAS

Siempre hemos advertido las consecuencias que el mal uso de las Redes Sociales puede traer. Hemos dictado talleres, cursos, conversatorio y las personas piensan "No a mi no me puede pasar" y al final son víctimas de Ciberdelincuentes. Es cuestión de cultura pienso yo, y no hay mejor sistema preventivo que nosotros mismos. Ya es hora dee que nos tomemos un poco más en serio el uso de las Redes Sociales


Durante lo que llevamos de año, una de las cosas que más se había popularizado son los famosos "Secuestros Virtuales" de personas y esta semana pasada una banda dedicada a este tipo de actividades fue detenida en Chile. Desde allí se dedicaban a hacer llamadas a personas de todo el mundo, incluida España donde se calculaba que solo en Cataluña había diariamente más de 100 secuestros virtuales o Argentina, donde las informaciones hablan de más de 700 secuestros virtuales a la semana. Es lo bueno de la era de Internet, desde Chile se puede obtener la información y llamar por teléfono a cualquier país para conseguir estafarlo.

Figura 1: Cómo un mal uso de redes sociales te puede generar problemas de seguridad
La estafa se basa en hacer creer a una determinada persona que un familiar ha sido secuestrado y se exige un pago rápido, obligando a la persona que no cuelgue la llamada, para no permitirle contrastar si ese familiar está o no está secuestrado. Por supuesto, mucha gente acaba sospechando y no paga, pero aún así consiguen un buen número de víctimas.

Atraer secuestros virtuales

Lo que hacen estas bandas de "Secuestradores Virtuales" no es más que sacar información de redes sociales para conocer toda la información necesaria. Desde el número de teléfono del objetivo hasta las relaciones familiares, y las actividades que está haciendo cada uno en cada momento. Se aprovechan de situaciones en las que una persona dice en las redes sociales irse al cien, montar en avión o estar haciendo alguna actividad que haga muy difícil que la víctima contacte con el supuesto secuestrado.


Figura 2: El falso gurú que lee la mente a la gente en la calle

El truco no es más que hacer lo que hacía el falso Gurú que leía la mente a la gente, revisar y revisar las redes sociales para convencer a la víctima de que se ha secuestrado a ese familiar, conseguir meterle en una situación de estrés y que pague impulsivamente por la liberación.

Figura 3: Número de teléfono publicado en sitios de contacto.
De ahí a WhatsApp un paso.

Para evitar esto, revisa tus opciones de privacidad en redes sociales y evita dar información personal que no deba tener todo el mundo - como el número de teléfono que publicas en sitios de contacto o en redes sociales para ligar como Badoo donde se puede acceder a demasiada información por defecto - o lo que haces en cada momento.
Atraer Secuestros reales

Las redes sociales no solo se utilizan para secuestros virtuales, y también los secuestradores, violadores o acosadores las saben utilizar. Una de las cosas que debes evitar en todo momento es hacer una publicación continuada de tus ubicaciones. Sobre todo si lo haces inconscientemente, como en el caso de las ubicaciones GPS publicadas por Twitter o los metadatos con información GPS en tus fotografías personales - como en el caso de John McAfee cuando huyó -.
Ten especial cuidado al compartir fotos de hijos o familiares en los que los metadatos muestren fechas e información GPSde actividades rutinarias, pues estás dando información a todo Internet que puede afecta a la ubicación de una persona.
Esto también es para tener cuidado en las redes sociales de deportistas, donde se guardan las rutas que se siguen de manera pública y cualquier persona puede saber dónde estás o si pasas habitualmente por una ubicación propicia para un robo o secuestro. Se consecuente con la información que subes a redes como Endomondo o Runtastic que cualquiera pueda consultar.

Atraer ladrones de casas

Por último, otro tercer gremio que también se aprovecha de las redes sociales para delinquir son los ladrones tradicionales de casas. Procura no descubrir la dirección exacta donde vives, y mucho menos andar dejando público al alcance de cualquiera cuando estás fuera de ella. Ya vimos casos como el de Please Rob Me que utilizaba la información deFourSquare para saber qué gente estaba fuera.

Figura 6: Please Rob Me

Por supuesto, lo que publiques en cualquier sitio de forma pública puede ser utilizado por los amigos de lo ajeno. Revisa laGuía para la protección de casa vacías que se publicó hace tiempo [dale una pensada a lo de apagar la WiFi sí o no] y evita decir si estás fuera, si tu casa se queda sin nadie y dónde vives, que son lo que suelen buscar los malos.

Abg. Carlos Tudares

domingo, 12 de abril de 2015

EL PRESIDENTE DE ESTADOS UNIDOS BARACK OBAMA, CONTRAATACA TRAS EL HACKEO DE LA CASA BLANCA

Traemos otro interesante artículo de Chema Alonso, el cual compartimos con ustedes

Si has estado siguiendo las noticias en los medios de comunicación durante esta semana, te habrás topado con las informaciones que hablan del hackeo de los equipos de la red de la Casa Blanca del que se han llevado datos tan singulares como la agenda de trabajo del presidente Barack Obama. Siempre según las informaciones que el gobierno de Estados Unidos ha dado, los datos no confirman que detrás del ataque esté ningún gobierno, pero sí que hay indicios suficientes como para hacer pensar que detrás de el ataque hay un equipo ruso.

Figura 1: Barack Obama contraataca tras el hackeo de la Casa Blanca
Revisando la información que se ha dado sobre cómo se ha producido el ataque parece que, una vez más, todo comienza con el robo de una cuenta de correo electrónico de una persona del Departamento de Estado de USA que utilizaron para hacer ataques de Spear Phising a empleados de la casa blanca y conseguir robar credenciales de acceso a un servidor de la Casa Blanca "Unclassified", del que conseguirían sacar todos los datos que han sido filtrados.

Spear Phishing o Spoofing de correo electrónico

El ataque de Spear Phishing, no es más que un ataque de Phishing Dirigido a unas pocas - o a una sola - persona de una organización. Es una prueba de seguridad que debes realizar en tu empresa cuando estás haciendo una fortificación de la seguridad, ya que en las grandes organizaciones siempre hay alguien que acaba siendo víctima de estos correos. El ataque de Spear Phishing lo hemos visto en muchos de los ataques a actrices en el famoso Celebgate, en la intrusión dentro de la red de Sony Pictures o en el hackeo del proveedor de DNS de la web de RSA Conference.

Figura 2: El ataque a la RSA Conference comenzó con un Spear Phising
a empleados de la empresa registradora del DNS

Para hacer un ataque de Spear Phishing, según cuentan las fuentes oficiales de este caso concreto, se utilizó una cuenta de correo electrónico "secuestrada", pero viendo las políticas anti-spoofing que tiene el dominio de state.gov es más que probable que no hubiera hecho necesario tener esa cuenta, ya que al consultar el registro SPF del dominio se puede comprobar que NO hay una política antispoofing ni por SPF ni DKIM, lo que favorece a que cualquiera pueda enviar correos electrónicos con el dominio state.gov suplantando una dirección y sea difícil para los serviciosantispam/antispoofing del receptor del correo saber si es auténtico o falso. 

Figura 3: No hay registros SPF ni DKIM en los DNS de State.gov

Una vez que se tiene la cuenta inicial, el resto del camino suele ser fácil si la empresa no tiene sistemas de seguridad internos. Sistemas IDS (Instrusion Detction Systems) de red que detecten anomalías en el tráfico de red, agentesHIDS (Host IDS) que detecten anomalías en el uso de los servidores, sistemas de DLP (Data Loss Prevention) que detecten el movimiento del flujo de la información o sistemas de autenticación fuerte en los sistemas internos de la organización y las identidades que se utilizan en múltiples Intranets, que a día de hoy sigue siendo el punto más débil de las grandes organizaciones ya que siguen contando con infinidad de sistemas internos que se basan única y exclusivamente en accesos con Usuario/Contraseña siendo el objetivo perfecto para ataques de Spear Phishing.

Por si fuera poco todo esto relativo a incidentes con la Casa Blanca, el presidente Barack Obama [junto con otros dignatarios del G20] sufrió una pérdida de datos personales al enviarse por error un correo electrónico con datos personales como el número de teléfono, el número de pasaporte y direcciones de correo personales, tal y como ha publicado The Guardian, que podrían circular ya por la red.

Corolario y Colofón con una Orden Ejecutiva del Presidente

Al presidente no le debió de gustar todo esto del ataque a la Casa Blanca, así que el día 1 de Abril del año en curso decidido firmar una Orden Ejecutiva del Presidente de los Estados Unidos para luchar contra la amenaza cibernética extranjera que amenaza la seguridad nacional y la Economía de Estados Unidos.

Figura 4: Orden Ejecutiva emitida por el Presidente Obama
I, BARACK OBAMA, President of the United States of America, find that the increasing prevalence and severity of malicious cyber-enabled activities originating from, or directed by persons located, in whole or in substantial part, outside the United States constitute an unusual and extraordinary threat to the national security, foreign policy, and economy of the United States. I hereby declare a national emergency to deal with this threat.
Por ello, como afecta a la Economía y a la Seguridad Nacional, lo declara Emergencia Nacional y emite la Orden Ejecutiva para solucionar este asunto de los ciberataques que se cuelan en sistemas del gobierno. Curioso que después de todo lo que hemos visto de la NSA con el hackeo de las embajadas de países amigos o del espionaje en la ONU o elespionaje en el G20, sea Estados Unidos el primero en defenderse contra ataques cibernéticos de otros países con esta orden ejecutiva.

PRESENTAN DEMANDA COLECTIVA CONTRA FACEBOOK POR LA PROTECCIÓN DE DATOS





Un grupo de 25.000 usuarios que acusan a Facebook de utilizar ilegalmente sus datos personales depositaron el jueves una demanda colectiva contra la red social en el tribunal civil de Viena, que tendrá que determinar ahora si es procedente. 

Max Schrems, el jurista austriaco al frente del recurso, depositó formalmente en la mañana del jueves esta demanda, seguida de cerca por los gigantes de internet. 

El proceso es uno de los más importantes hasta hoy contra la red estadounidense, que cuenta con casi 1.400 millones de usuarios activos. Los usuarios de varios países de Europa, Asia, América Latina y Australia lanzaron el recurso en agosto. 

Los 25.000 demandantes reclaman que Facebook les abone la "cantidad simbólica" de 500 euros (540 dólares) a cada uno y acusan a la red social de participar en el programa de vigilancia Prism de la NSA, la Agencia de Seguridad Nacional estadounidense. 

"Exigimos a Facebook que cese su vigilancia masiva, que tenga una política de protección de la vida privada comprensible, y que deje de recabar datos de personas que ni siquiera tienen cuentas de Facebook", dijo esta semana en una entrevista a AFP Schrems, de 27 años.

La decisión de la corte sobre la admisibilidad del recurso no se conocerá antes de al menos tres semanas, ya que la compañía estadounidense consiguió un plazo de 21 días para aportar la traducción en alemán de documentos que quiere añadir al caso. 

Para Facebook, "este asunto es improcedente tanto en forma como en el fondo", afirmaron en la mañana del jueves los abogados de la red social. "No hay ninguna base legal en Austria para un recurso colectivo de tipo estadounidense". 

"Facebook no quiere ser procesado en ningún sitio, ni en Irlanda [donde tiene la sede europea la sociedad] ni en Austria", respondieron los abogados de Max Schrems. "La realidad es que gracias a las leyes europeas, los consumidores no necesitan ir hasta California para abrir un proceso contra los gigantes de las tecnologías. Pueden hacerlo en sus países de residencia". 

En 2011, Schrems presentó a título personal un recurso ante la autoridad irlandesa de protección de la vida privada. Esta autoridad le dio la razón y solicitó a Facebook que clarificara su política en materia de protección de datos.

¿'El salvaje oeste'?

Según él, "la cuestión fundamental es: ¿tienen que respetar las reglas las compañías de internet o viven en algún lugar del salvaje oeste donde pueden hacer lo que quieran?".

El joven austríaco dice tener esperanzas sobre el recurso, después de que el Tribunal de Justicia de la Unión Europea (TJUE) decidiera, en mayo de 2014, obligar a los motores de búsqueda a respetar el "derecho al olvido" de los internautas europeos. 

Los demandantes también llevaron este caso ante TJUE, después de que las autoridades irlandesas se negaran a abrir una investigación sobre las supuestas violaciones de la privacidad de Facebook. 

La decisión del TJUE, prevista para 2016, podría tener grandes consecuencias para las compañías tecnológicas estadounidenses que operan en Europa. 


Muy interesante este artículo y desde esta tribuna estaremos haciendo seguimiento a esta demanda, de la cual podemos aprender mucho.


Abg. Carlos Tudares

jueves, 2 de abril de 2015

WHATSAPP LLAMADAS: UN PHISHING CON ESTADÍSTICAS EN TIEMPO REAL QUE DISTRIBUYE MALAWERE PARA ANDROID

Ante la llegada de las llamadas por whatsapp les recomendamos s nuestros seguidores prestar atención al siguiente artículo:


Ayer, en el blog de Eleven Paths, nuestro compañero hacía una reflexión sobre las apps para Android que venían con RATs (Remote Administration Tools), y que estaban siendo distribuidas a través de Google Play. Hoy, siguiendo con elmalware, quiero hablar por aquí de una campaña de sitios de phishing que se han publicado en múltiples dominios creados para la ocasión, como son Whatsappsite.com, WhatsAppVid.com, WhatsAppCallsInvitation.com o WhatsAppCallsInvite.com. Todos estos sitios están incitando a viralizar la inclusión de más contactos en esta falsa campaña distribuyendo un mensaje que supuestamente permite conseguir acceso a la función de WhatsApp Llamadaspara realizar llamadas gratis. Por supuesto, el objetivo de todo esto no es otro que infectar a los usuarios con apps maliciosas.

Figura 1: Campaña de phishing de WhatsApp Llamadas distribuye malware
El aspecto que tienen los sitios de la campaña, además de los que han sido infectados, es el que se puede ver a continuación. En el solo hay dos botones, para invitar y para continuar el proceso. El segundo de los botones no permite continuar si no se ha realizado antes el proceso de invitar. Si te conectas con uno de los navegadores habituales, a día de hoy el sitio sale marcado como un sitio malicioso, pero si te conectas por alguna navegador sin protección de sitiosantiphishing, no dará ninguna alerta.

Figura 2: Mensajes de Phishing utilizado en los sitios webs para distribuir el malware

Si pulsas a invitar, podrás ver que el objetivo es conseguir que se abra dentro de WhatsApp y se envíe a más contactos para que visiten, también desde WhatsApp, este mismo sitio de phishing. 

Figura 2: El hipervínculo que sale cuando se da a "Invite Now"

Para saber cómo les está yendo el negocio, los responsables de la campaña están utilizando paneles de control de estadísticas, que se pueden ver en las páginas de phishing. Esto no es muy común, pero si miras en el código fuente deWhatsAppSite.com puedes ver el siguiente script.

Figura 3: Script de estadísticas para contabilizar cuánta gente visita el sitio de phishing

Esto hace referencia a un panel de estadísticas en la web Amung.us que está disponible online, y donde se puede ver en tiempo real cómo las víctimas se conectan a los diferentes portales y el número de ellos a los que ha alcanzado la campaña.
También se puede ver por donde se ha distribuido geográficamente, con lo que se tiene una idea de cuál es el objetivo inicial de la misma y cómo va evolucionando.

Figura 5: Distribución de las víctimas en tiempo real. Muchas en Latinoamérica y España

Si tienes amigos y conocidos, avísale de que tenga mucho cuidado si le llega una de estas invitaciones. A día de hoy se está aprovechando del buzz mediático de cualquier tema para hacer este tipo de campañas de malware - y no se iba a desperdiciar el interés que despierta WhatsApp -así que hay que tener mucha prudencia con cualquier mensaje que llegue similar a estos.

COMO SABER SI UNA CONEXIÓN HTTPS ES INSEGURA (VULNERABLE A FREAK O BAR MITVZAH

Tras los últimos ataques al protocolo SSL/TLS, quise saber cómo poder ver, en cada conexión, si la suite de cifrado que se estaba utilizando era o no vulnerable tanto a FREAK, como al ataque Bar Mitzvah averiguando que suite de cifrado se estaba utilizando en cada conexión. Como sabéis, cuando se negocia una conexión SSL/TLS entre un cliente y un servidor, se negocia en el proceso de handshake la suite de cifrado a utilizar durante toda la sesión.

Figura 1: Cómo saber si una conexión HTTPS es Insegura (vulnerable a FREAK o Bar Mitvzah)

Lo habitual es que entre el servidor y el cliente se seleccione, de todas las suite de cifrado que soportan ambos, la más segura de todas, pero un enemigo, haciendo un ataque de man in the middle, podría hacer un ataque de downgrade - o de degradación - para forzar una negociación con una suite de cifrado insegura.

Cómo consultar la suite de cifrado SSL/TLS en Google Chrome

Para ver el suite de cifrado de una conexión - recordad que se negocia conexión a conexión - depende del navegador que estés utilizando. En Google Chrome es bastante sencillo, basta con hacer clic en el protocolo Https y después seleccionar la opción de conexión. En la parte alta del desplegable aparecerán los mensajes de alertas de la conexión Https y en el medio la suite de cifrado que se está utilizando en esta conexión. Dependiendo de la versión del navegador que utilices y contra qué servidor tires la conexión Https, la suite de cifrado puede variar.

Figura 2: Revisión de la Suite de Cifrado SSL/TLS en Google Chrome

Las suites de cifrado vulnerables a FREAK y Bar Mitzvah
Si en la suite de cifrado aparece la cadena EXP es que estás en medio de una conexión que utiliza uno de los algoritmos "válidos" para exportación aprobados por el gobierno de USA porque eran "suficientemente seguros". A día de hoy son totalmente vulnerables y todo servidor y/o cliente que ofrezca la posibilidad de negociar una conexión Https se consideran vulnerables. Estás ante un posible ataque de FREAK.
Figura 3: Demo de FREAK con la web de la NSA

Si en la suite de cifrado aparece la cadena RC4, entonces estás ante una conexión insegura, que puede ser atacada por los problemas de las Invariance Weakness, y por tanto podrían robarte los datos de la sesión. Estás en una sesión vulnerable al ataque de Bar Mitzvah que se presentó hace poco.

Figura 4: Con un ataque de Bar Mitzvah se pueden descifrar los 65 bytes
después del handshake. Si van cookies o passwords [o partes] se descifran
Normalmente, si aparecen esas suite de cifrado en tus conexiones es que estás bajo un ataque de man in the middle que está haciendo downgrade, porque si no normalmente no se negocian esas suites de cifrado, pero está bien que lo compruebes en conexiones muy importantes.

Cómo consultar la suite de cifrado SSL/TLS en Mozilla Firefox

Para saber que suite de cifrado se está utilizando en una conexión Https desde Mozilla Firefox, puedes hacer clic sobre el icono del candado y luego en la opción de More Information - > Security. En la parte final del panel que aparece podrás ver los detalles de la suite de cifrado negociada.

Figura 5: Detalles de la suite de cifrado en una conexión Https desde Mozilla Firefox
También - como han citado en los comentarios de este artículo - se puede usar en Mozilla Firefox el plugin Calomel SSL Validation que muestra un escudo arriba a la izquierda y permite acceder rápidamente a la información de la conexión SSL.

Figura 6: Calomel SSL Validation en https://www.google.es
En otros navegadores como Apple Safari no es tan sencillo, y tendrás que monitorizar con un analizador de tráfico comoWireshark las conexiones Https para ver qué suite de cifrado se ha negociado.

FUENTE: Un informático en el lado del mal