Particle/Youtube+ vendida…y troyanizada

Particle es una extensión para Chrome y Firefox que extiende la
funcionalidad de YouTube, y además es muy popular entre sus usuarios,
contando con un total de 31.187 hasta la fecha.

Imagen de Particle:

Esta extensión posee una gran cantidad de características, entre las que
destacan:

* Desactivar los 60fps
* Gestionar en qué canales quieres ver anuncios
* Bloquear canales
* Permitir reproducir videos en una ventana aparte

Y la lista continúa. Puede verse por completo en el siguiente enlace:
https://github.com/ParticleCore/Particle/wiki/Features

Imagen de funcionalidad de ventana:

El problema surge cuando, sin previo aviso, la extensión es vendida a un
tercero. La intención del autor original era desarrollar una nueva
extensión que trabajase con el nuevo diseño de YouTube, y no tenía
intención de continuar con el desarrollo de la anterior.

Sin embargo, el nuevo dueño de la extensión introdujo una versión
modificada, troyanizando la extensión y poniendo en riesgo a miles de
usuarios, que sin previo aviso se vieron afectados. Para infectarlos, se
actualizaba con una versión modificada del paquete:

https://crx.dam.io/source/crxviewer.html?crx=https://crx.dam.io/files/gobbnicjoijcfndfmmfjnfgldgcnjibl/4.1.9.0.zip

Cita del creador:
“but whatever the case could be, anything would have to be disclosed to
the users previous to any changes and anything unrelated to the
extension features (such as data collection or advertisements, for
example) will have to be opt-in by default or acceptable during
install/implementation.”

El autor original menciona que le ofrecieron poner anuncios en su
extensión o venderla, y este puso como condición que los usuarios fueran
informados previamente del cambio, como afirma en un extracto de las
comunicaciones con el comprador. Sin embargo, esta condición no fue
cumplida y quedaron troyanizados sin previo aviso.

De momento solo la versión de Chrome se ve afectada y no la de Firefox,
aunque se recomienda desinstalar inmediatamente cualquiera de ellas.

Más información:
https://github.com/ParticleCore/Particle/issues/528

Publicada la píldora formativa Thoth 47:”¿Qué es la esteganografía?”

Se ha publicado en el canal YouTube de la UPM la píldora formativa 47
del proyecto Thoth que lleva por título “¿Qué es la esteganografía?”.
Mientras la ciencia de la criptografía tiene como objetivo hacer una
comunicación ininteligible, la ciencia de la esteganografía tiene como
objetivo ocultar la propia existencia de una comunicación o información.
Si un atacante no sabe que una comunicación o información existe,
entonces no la podrá atacar. La creación de comunicaciones encubiertas
utilizando esteganografía, es tan antigua como el mismo uso de la
criptografía. En la historia hay multitud de usos en entornos militares,
servicios secretos y diplomacia.

Enlace al video:

Recuerda que todos los vídeos del proyecto Thoth cuentan con un archivo
srt original de subtítulos incluido en YouTube, muy importante para
personas con limitaciones auditivas, así como un archivo podcast mp3 que
puede descargarse desde el sitio web del proyecto, válido en este caso
tanto para personas con limitaciones visuales como para quienes deseen
realizar solamente la audición de estas lecciones.

Se puede acceder a la documentación en pdf, el podcast en mp3 y también
al vídeo de esta nueva píldora y de las 46 píldoras anteriores, desde la
página web del Proyecto Thoth, que te permite, además, una búsqueda
mediante los siguientes cinco filtros:

1) Fundamentos de seguridad
2) Criptografía clásica
3) Historia de la criptografía
4) Matemáticas en criptografía
5) Criptografía moderna.

IBM presenta mainframe para la era de Blockchain

El nuevo IBM Z no solo es capaz de ejecutar más de 12 mil millones de transacciones encriptadas por día, sino que además permite por primera vez encriptar todos los datos asociados con cualquier aplicación, servicio de Nube o base de datos, en todo momento. En esta entrevista, Pierre Marchand, Systems & Technology Group VP  para Latam de la compañía, explica cuál será el impacto de este lanzamiento en las empresas de la región.

No solo se trata de una nueva generación de servidores empresariales de IBM, que en este caso particular ha triplicado características de memoria y I/O, sino que su capacidad de cifrado de “todos los datos, en todo momento”, a cualquier escala lo ubican como el lanzamiento más significativo de la tecnología mainframe en más de una década, cuando la plataforma abrazó Linux y el software de código abierto.

Pierre Marchand, VP Sistemas de Latinoamérica de IBM,

Yendo a los números, IBM afirma que su flamante mainframe encripta datos 18 veces más rápido que la mayoría de las plataformas x86, a un 5% del costo Además, la capacidad criptográfica avanzada del sistema ahora se extiende a toda la información, las redes, los dispositivos externos o aplicaciones enteras –como el servicio IBM Cloud Blockchain– sin cambios en el software y sin impacto en el desempeño general del sistema.

La compañía también resaltó que, teniendo en cuenta que en grandes organizaciones los hackers suelen hacer blanco en las claves de cifrado, que quedan expuestas rutinariamente en la memoria a medida que se usan, IBM Z puede proteger millones de claves en un hardware “con respuesta a manipulación” que hace que las claves se auto-destruyan ante cualquier signo de intrusión y luego se reconstituyan en forma segura.

Con todo, de acuerdo con lo anunciado, las nuevas capacidades de cifrado de datos de IBM Z están diseñadas para abordar la epidemia global de violaciones de datos, un factor importante en el impacto que tendrá el cibercrimen en U$S 2 mil millones en la economía global hacia 2019.

El ejecutivo dijo que si bien las organizaciones hoy en día se muestran muy preocupadas, aseguró que el cifrado se encuentra mayormente ausente en los centros de cómputo corporativos y de nube porque las soluciones actuales en el entorno x86 reducen sustancialmente el desempeño y son demasiado complejas y costosas de administrar para el cumplimiento regulatorio. “Solo el 2% de los datos corporativos hoy se encuentra encriptado, mientras que más del 80% de los datos de dispositivos móviles lo está”, aseguró.

Centros de cómputo IBM Blockchain Cloud 

Teniendo en cuenta que casi la totalidad de los nuevos negocios nacen en la Nube, por lo que se espera que la mayoría de procesos que empiecen a adoptar Blockchain tengan esa misma procedencia, IBM incluyó en este anuncio que cualquier cliente que quiera usar la nube en sus procesos de esta tecnología, tengan o no un mainframe, van a poder tener a disposición esta capacidad inicialmente en 6 Data Center de la compañía en el mundo, incluyendo uno en Brasil.

“Es la primera vez que estamos lanzando un nuevo servidor y poniéndolo disposición en la nube para que las empresas que quieran desarrollar o probar Blockchain, y después llevarlo a su on premise Data Center, puedan hacerlo desde la nube pública de IBM en el mejor servidor para el mundo Blockchain”, destacó Marchand.

Solución para clientes de la región

A la hora de hablar del nivel de adopción esperado para esta nueva generación de mainframe, el entrevistado dijo que, por un lado, los clientes actuales, en los próximos 12 o 18 meses máximo todos deberían migrar “como siempre ocurre”.

En el otro segmento, el de nuevos clientes, Marchand aseguró  que una empresa de cualquier tamaño que tiene Oracle Data Base a través de Linux en Intel y paga las licencias por core usado, si lo pasa a Linux en mainframe consolida entre 5 y 6 cores de Intel en un IFL. “Les puede costar un poco más el hardware pero por el TCO de las licencias que dejan de pagar automáticamente tiene un ahorro importante. Es ahí donde nos estamos enfocando para captar nuevos clientes”, dijo. “Ese cambio de plataforma no implica ninguna migración ni complejidad, porque corre en Linux, es solo ‘tunearlo’ para aprovechar las características de procesamiento que tiene el mainframe”, aclaró.

De hecho, comentó que, probablemente, a pesar del contexto de una industria signada por la creciente amenaza de ciberdelincuentes, una empresa piense pasar a mainframe más por el ahorro en licencias que por cuestiones de seguridad.

A modo de cierre, Marchand aseguró que IBM viene trabajando en el entrenamiento previo para que sus partners entiendan y empiecen a dar soluciones de Blockchain, por lo que ya se encuentran 100% habilitados para mostrar ventajas del IBM Z a sus clientes.

Nuevas capacidades anunciadas

• Tres veces más memoria que el sistema z13 con 32 TB de memoria

• El triple de velocidad I/O, y procesamiento acelerado de transacciones comparado con el z13

• La capacidad de ejecutar cargas de trabajo de Java 50% más rápido que las alternativas x86.

• Tiempo de respuesta en Storage Area Network, con zHyperLink, lo cual redunda en una latencia 10 veces menor, comparada con el z13 y una reducción del tiempo de respuesta de aplicaciones a la mitad.

Como parte del anuncio, IBM también anticipó nuevo software z/OS que proporciona capacidades fundacionales para entrega de servicio de nube privada, permitiendo una transformación de un centro de costo de TI a un proveedor de servicio generador de valor.

Más información

https://www-03.ibm.com/systems/ar/z/index.html

Las 50 mejores ciudades del mundo para mujeres emprendedoras

Dell anuncia las conclusiones del Women Entrepreneur Cities (WE Cities) Index, el único índice global específico de mujeres que analiza la capacidad de una ciudad para atraer y fomentar el crecimiento de empresas que sean propiedad de mujeres. San PabloCiudad de MéxicoLima y Guadalajara, las únicas de la región.

Las conclusiones del estudio  fueron presentadas ayer en la octava conferencia anual de la red de mujeres emprendedoras de Dell, el cual califica ciudades en función del impacto de políticas, programas y características locales, además de leyes nacionales y costumbres: Nueva York, el área de la Bahía de San Francisco, Londres, Boston y Estocolmo son las cinco mejores ciudades para mujeres emprendedoras de alto potencial

“En todo el mundo, las tasas de emprendimientos de mujeres están creciendo más de un 10 % cada año. Asimismo, en muchos mercados, la probabilidad de que una mujer funde una empresa es igual o superior a la probabilidad de que lo haga un hombre. Sin embargo, existen obstáculos financieros, culturales y políticos que pueden limitar su éxito”, dijo Karen Quintos, vicepresidenta ejecutiva y directora de Atención al Cliente de Dell. “Al ofrecer una investigación que incluye datos y llamados a la acción claros a los encargados de establecer políticas y a los líderes de las ciudades, podemos mejorar de forma colectiva el panorama para las mujeres emprendedoras de alto potencial, lo que también mejora las perspectivas económicas de las ciudades; lo que es bueno para las mujeres es bueno para la economía”.

“El éxito de las mujeres emprendedoras es beneficioso para el mundo. El índice WE Cities se puede utilizar como una herramienta de diagnóstico para ayudar a garantizar que los legisladores faciliten el éxito de las mujeres emprendedoras”, afirmó Elizabeth Gore, empresaria residente en Dell. “Cada una de las ciudades de la lista puede aprender de las otras e incentivar un cambio político para atraer y respaldar a mujeres emprendedoras. El cambio se sentirá no solo en la ciudad, sino también en todo el mundo a medida que desarrollemos un ecosistema en el que todos los emprendedores puedan triunfar independientemente de su género”.

Metodología 

En función de las investigaciones sobre mujeres emprendedoras de alto potencial de los últimos cinco años de Dell, las ciudades se calificaron según cinco categorías importantes: capitaltecnologíatalentocultura y mercados. Esos pilares se organizaron en dos grupos: entorno operativo y entorno habilitador. La calificación general se basa en 72 indicadores, 45 de los cuales (casi dos tercios) tienen un componente basado en el género. Los indicadores individuales se calcularon en función de cuatro criterios: pertinencia, calidad de los datos subyacentes, singularidad en el índice y componente de género.

Las 50 ciudades se calificaron de la siguiente manera:

1. Nueva York

2. Área de la Bahía de San Francisco

3. Londres

4. Boston

5. Estocolmo

6. Los Ángeles

7. Washington, D.C.

8. Singapur

9. Toronto

10. Seattle

11. Sídney

12. París

13. Chicago

14. Minneapolis

15. Austin

16. Hong Kong

17. Melbourne

18. Atlanta

19. Ámsterdam

20. Portland (OR)

21. Berlín

22. Taipéi

23. Pittsburg

24. Tel Aviv

25. Copenhague

26. Vancouver

27. Houston

28. Johannesburgo

29. Barcelona

30. Seúl

31. Múnich

32. Miami/Ft. Lauderdale

33. Nairobi

34. Dublín

35. Varsovia

36. Belfast

37. Milán

38. Pekín

39. Tokio

40. Bangalore

41. Kuala Lumpur

42. San Pablo

43. Dubái

44. Shanghái

45. Ciudad de México

46. Lima

47. Guadalajara

48. Estambul

49. Delhi

50. Yakarta

Kaspersky Lab cumple veinte años

 

En 1989, un joven ingeniero de software descubrió que su computadora había sido atacada por el infame virus Cascade. Fascinado por el desafío, decidió detectarlo, analizarlo y crear un software que pudiera neutralizarlo. Era Eugene Kaspersky, quien dio inició así a la historia de Kaspersky Lab, un negocio que hoy cumple 20 años y emplea a más de 3.700 personas.

En 1997, Eugene y otros tres socios fundaron Kaspersky Lab. Comenzando con solo 19 personas, actualmente opera en 200 países y territorios y cuenta con 35 oficinas en 31 de ellos. Los productos y las tecnologías de la compañía brindan protección a más de 400 millones de usuarios y a más de 270.000 clientes corporativos en todo el mundo.
Hoy en día, la cartera de Kaspersky Lab abarca soluciones de seguridad de TI para ajustarse a una amplia gama de clientes, como Internet SecuritySmall Office Security y Endpoint Security for Business.

“En la celebración de su 20º aniversario, la compañía global de ciberseguridad Kaspersky Lab ha visto la misión de un hombre transformarse en una cruzada global contra el cibercrimen”, destaca el comunicado. “Con la innovación y la visión del futuro como ideas centrales, Kaspersky Lab llevará este año su lucha a nuevas alturas,presentando iniciativas como Kaspersky Security Cloud y Kaspersky OS, para empoderar a las empresas y a los consumidores a protegerse contra amenazas que se encuentran en constante evolución”.

Desde su proyecto Earth 2050, que revela cómo podría verse el futuro panorama cibernético, hasta su experimento Sound of Safety, que investiga los sonidos que las personas asocian con la sensación de seguridad, Kaspersky Lab busca adelantarse a los criminales.

“Veinte años en una empresa es bastante tiempo. Pero créanlo o no, todavía me encanta. Me encanta nuestro equipo y el trabajo que hacemos. Hemos tenido buenos y malos momentos, y entre nosotros hemos aprendido mucho”, comenta Eugene Kaspersky, CEO y cofundador de Kaspersky Lab. Durante los últimos 20 años hemos trabajado día y noche, analizando y combatiendo todo tipo de amenazas informáticas que han evolucionado en ese tiempo, y haciendo del mundo un lugar mejor. He tenido mucha suerte, mi negocio es mi pasión. Incluso, después de dos décadas todavía me mueve la curiosidad: ¿qué es eso, cómo funciona y por qué? Estoy fascinado por la tecnología y aprendo mucho de la gente que me rodea”.

“Mi objetivo es que cada persona de nuestro equipo contribuya tanto como pueda a formar parte de algo más grande. Va más allá de tener un trabajo; se trata más bien de ser un miembro activamente involucrado de la comunidad de Kaspersky Lab”, concluyó Kaspersky.

Más Información
https://eugene.kaspersky.es/2017/06/26/feliz-cumpleanos-a-nosotros-20-anos-hasta-la-fecha/
https://latam.kaspersky.com/blog/20-yo-timeline/11050/

Informe de Cisco: prevén nuevos ataques de DeOS

Así surge del Reporte de Ciberseguridad de Mitad de año (MCR) de Cisco 2017. Además, se espera un crecimiento en la escala y el impacto de las amenazas. La compañía advierte que “industrias clave necesitan mejorar las medidas de seguridad al tiempo que convergen la tecnología de la información y la operativa”.

El Informe revela la rápida evolución de las amenazas y la creciente magnitud de los ataques, llevando a los investigadores a pronosticar actividades maliciosas potenciales de “destrucción de servicios” (DeOS) que podrían eliminar las copias de seguridad y las redes de seguridad de las organizaciones, que son necesarias para restaurar los sistemas y datos después de sufrir un ataque.

Los recientes ataques como WannaCry y Nyetya han mostrado la rápida propagación y el amplio impacto de los ataques de tipo ransomware, que en realidad pueden llegar a ser más destructivos. Esto presagia lo que Cisco ha llamado ataques de “Destrucción de Servicios”, que pueden ser inmensamente más perjudiciales que los tradicionales, dejando a las empresas sin ninguna opción a recuperarse.

“Con la llegada del Internet de las Cosas, las principales industrias están realizando más operaciones en línea, aumentando sus vulnerabilidades, la escala y el impacto potencial de los ataques”, advierte Cisco.

De acuerdo con Cisco el IoT sigue ofreciendo nuevas oportunidades para que los piratas informáticos exploten las debilidades de seguridad, jugando un papel central en la habilitación de estas campañas con un impacto cada vez mayor. “La actividad reciente de IoT Botnet sugiere que algunos criminales pueden estar sentando las bases para un ataque de gran alcance y alto impacto que podría perturbar la propia Internet”, sostiene.

En este sentido, medir la efectividad de las prácticas de seguridad de frente a esos ataques es crítico. Cisco registra progreso en el tiempo de detección (TTD), la ventana de tiempo entre un sistema comprometido y el tiempo de detección de un ataque.

Cisco asegura haber disminuido el TTD desde poco más de 39 horas en noviembre de 2015, hasta llevarla a alrededor de 3.5 horas en el período de noviembre de 2016 a mayo de 2017. Estas cifras se basan en la telemetría provenientes de los equipos de la marca desplegados a nivel mundial.

 

Qué es caliente y qué no lo es

Durante la primera mitad de 2017, los investigadores de seguridad de Cisco han observado la evolución del malware e identificaron cambios en la forma en que los piratas informáticos están adaptando sus técnicas de entrega, propagación y evasión.

Específicamente, la compañía se dio cuenta que estos delincuentes obligan cada vez más a la víctima a tomar medidas para activar una amenaza, como el hecho de hacer clic en un enlace o abrir un archivo; desarrollando malware sin programas instalados completamente en la memoria. Esto genera que sean más complicados de detectar o investigar a medida que se anulan cuando un dispositivo se reinicia, y también genera obstáculos y desconfianza en la infraestructura anónima y descentralizada, como un servicio proxy Tor, para ocultar las actividades de mando y control.

Cisco ha notado una importante disminución en los kits de explosión, pero otros ataques tradicionales están resurgiendo:

El volumen de spam aumenta significativamente, ya que muchos piratas informáticos recurren a métodos comprobados en el pasado, como el correo electrónico, para distribuir malware y generar ingresos. Los investigadores de las amenazas de Cisco anticipan que el volumen del spam con los accesorios maliciosos continuará aumentando, mientras que el panorama del kit de la explotación continúa en flujo.

El spyware y el adware, que a menudo son desechados por los profesionales de seguridad por considerarlos más molestias que potenciales daños, son formas de malware que persisten y traen riesgos a la empresa. La investigación de Cisco siguió a 300 compañías durante un período de cuatro meses y encontró que tres familias predominantes del spyware infectaron el 20% de la muestra.

La evolución de ransomware, como el crecimiento de ransomware-como-servicio, facilitan a cualquier criminal llevar a cabo estos ataques, independientemente de sus habilidades.

Si bien esta amenaza ha estado ocupando los titulares durante meses y supuestamente aportó más de mil millones de dólares en 2016, desde Cisco advierten que esto puede estar distrayendo a algunas organizaciones que se enfrentan a una amenaza aún mayor. Por ejemplo, el compromiso comercial de correo electrónico (BEC), un ataque de ingeniería social en el que un correo electrónico diseñado para engañar a las organizaciones a transferir dinero al atacante, se está convirtiendo en un vector de amenazas altamente lucrativo. Entre octubre de 2013 y diciembre de 2016, US$ 5.3 mil millones fueron robados a través de BEC de acuerdo a The Internet Crime Complaint Center.

Industrias únicas que enfrentan desafíos comunes

A medida que la tecnología de la información y la tecnología operativa convergen en la Internet de las Cosas, las organizaciones están luchando para mantener la privacidad. Como parte del Estudio de Benchmark de Capacidades de Seguridad, Cisco consultó alrededor de 3,000 líderes de seguridad en 13 países y encontró que en todas las industrias, los equipos de seguridad están cada vez más abrumados por el volumen de ataques que combaten, lo que hace que muchos se vuelvan más reactivos en sus esfuerzos de protección.

Entre otros hallazgos, el informe advierte que no más de dos tercios de las organizaciones están investigando las alertas de seguridad, y en ciertas industrias, como la salud y el transporte, este número está más cerca del 50 por ciento. Incluso en las industrias más sensibles, como las finanzas y la atención sanitaria, las empresas están debilitando menos del 50 por ciento de los ataques que saben legítimos.

En la mayoría de las industrias las brechas impulsaron al menos modestas mejoras de seguridad en al menos el 90 por ciento de las organizaciones, aunque algunas industrias (como el transporte) son menos sensibles, cayendo por encima del 80 por ciento

En cuanto al sector público, de las amenazas investigadas, el 32 por ciento son identificadas como legítimas, pero sólo el 47 por ciento de esas amenazas legítimas son finalmente remediadas.

En Venta al por menor, 32 porciento dijo que había perdido ingresos debido a los ataques en el último año, con un promedio de pérdida de clientes u oportunidades de negocio que giran alrededor del 25 por ciento

En cuanto a Manufactura, 40 por ciento de los profesionales de seguridad de esta industria dijeron que no tienen una estrategia de seguridad formal, ni siguen las prácticas estandarizadas de políticas de seguridad de la información como ISO 27001 o NIST 800-53.

En Servicios, los profesionales de seguridad dijeron que los ataques dirigidos (42 por ciento) y las amenazas persistentes avanzadas, o APT (40 por ciento) eran los riesgos de seguridad más críticos para sus organizaciones.

En el Sector salud, el 37 por ciento de las organizaciones de Salud dijo que los ataques dirigidos son riesgos de alta seguridad para sus organizaciones

Consejos de Cisco
Para combatir los ataques cada vez más sofisticados de hoy en día, las organizaciones deben tomar una postura proactiva en sus esfuerzos de protección. Cisco Security recomienda:
• Mantener actualizada la infraestructura y las aplicaciones, para que los atacantes no puedan explotar las debilidades públicamente conocidas

• Combatir la complejidad a través de una defensa integrada. Limitar las inversiones aisladas.

• Involucrar a los principales líderes ejecutivos para asegurar una comprensión completa de los riesgos, las recompensas y las restricciones presupuestarias

• Examinar el entrenamiento de seguridad de los empleados con capacitación basada en funciones frente a una capacitación igual para todos.

• Equilibrar la defensa con una respuesta activa. No “ponga y olvide” los controles o procesos de seguridad.

“La complejidad continúa obstaculizando los esfuerzos de seguridad de muchas organizaciones. Es obvio que los años de invertir en productos puntuales que no pueden integrarse están creando enormes oportunidades para los atacantes, que pueden identificar fácilmente vulnerabilidades pasadas por alto o vacíos en los esfuerzos de seguridad. Para reducir eficazmente el tiempo de detección y limitar el impacto de un ataque, la industria debe pasar a un enfoque más integrado y arquitectónico que aumente la visibilidad y la capacidad de gestión, lo que permite a los equipos de seguridad cerrar las brechas “, dijo David Ulevitch, vicepresidente senior y gerente general del Grupo de Negocio de Seguridad, Cisco

Más información
Cisco 2017 Midyear Cybersecurity Report

Publicado el código fuente para Android de SLocker, el ransomware de las mil caras Recibidos x CALENDARIO x noticias@hispasec.com x Foros x

SLocker es un ransomware para Android que cifra los archivos y bloquea
la pantalla. Se caracteriza por haberse hecho pasar por distintas
fuerzas de seguridad de los estados, e incluso por el mismísimo
WannaCry, para cobrar el rescate.

Una versión de SLocker que se disfraza de WannaCry:

 

Como si de una herramienta open source cualquiera se tratase, hace unos
días se publicó en GitHub el código fuente de SLocker. El responsable,
un usuario bajo el pseudónimo fs0c1ety, Tal y como avisa en la
descripción, no es el código fuente original, sino el obtenido tras
decompilar una muestra con técnicas de ingeniería inversa. Parece ser
que este usuario le está cogiendo el gustillo a eso de decompilar
malware para Android y publicar el código fuente, como muestra otro
nuevo repositorio en su misma cuenta, esta vez decompilando GhostCtrl,
otro peligroso malware para Android que, según la versión, recopila
datos personales del terminal, secuestra funcionalidades del teléfono, o
todo a la vez.

En vez de centrarnos en el ransomware en sí, sobre el que ya hay
información en la red de sobra, vamos a centrarnos en la publicación de
su código fuente. El que publica especifica que el código fuente debe
ser usado únicamente con propósitos de investigación en seguridad
informática. Pero las palabras son sólo palabras, y el patrón es
conocido de sobra: se publica el código fuente de un malware y en los
días sucesivos florece una gran variedad de versiones de este,
compiladas usando como base el código fuente publicado. La verdad, no
podemos saber a ciencia cierta la intención de este usuario de GitHub
que pide ayuda en una issue (ticket) para compilar el malware.

Comentario en el repositorio:

El código fuente público de malware atrae principalmente a delincuentes
con perfil bajo, y no se espera un gran impacto a pesar de la
liberación. Los delincuentes más experimentados suelen preferir
programar ellos mismos el malware o comprarlo hecho a terceros con
soporte y garantía de no ser demasiado público (y por tanto demasiado
investigado y detectado). Al no ser atacantes muy sofisticados, los
medios de propagación del malware tampoco lo serán, y seguramente se
limitarán a intentar colar troyanos usando ingeniería social (haciendo
pasar el malware por una herramienta para rootear el móvil o hacer
trampas en un videojuego).

¿Cómo evitar ser infectado? El principal punto débil sigue siendo el
usuario. Una vez tienes todo software del terminal actualizado, el resto
es sentido común. No instales aplicaciones sospechosas (ni siquiera si
vienen de Google Play), ya sabes que el malware se disfraza. ¿De verdad
necesitas esa aplicación para hacer trampas en un videojuego? Te puede
costar un mal rato…

Más información:

SLocker decompiled code leaked online for free, a gift for crooks and hackers

SLocker decompiled code leaked online for free, a gift for crooks and hackers

Android Smartphones Targeted by WannaCry Lookalike
https://www.bleepingcomputer.com/news/security/android-smartphones-targeted-by-wannacry-lookalike/

Cómo saber si estamos infectados por el troyano GhostCtrl y cómo protegernos de él
https://www.softzone.es/2017/07/17/ghostctrl-nuevo-troyano-android/

Ransomware Recap: Ransomware as a Service Surge, SLocker Resurfaces
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-recap-ransomware-as-a-service-surge-slocker-resurfaces

Comenta esta noticia:
http://unaaldia.hispasec.com/2017/07/publicado-el-codigo-fuente-para-android.html#comment-form

Millones de datos de personal militar, testigos protegidos y material militar filtrados por el gobierno sueco.

El gobierno sueco ha expuesto datos sensibles de millones de ciudadanos.
Sin embargo, las consecuencias no han ido más lejos de, al cambio,
8,500$

¿Cómo comenzó todo?

En 2015, la Agencia de Transportes sueca (STA, de ahora en adelante)
llegó a un acuerdo de mantenimiento de equipos informáticos para
gestionar sus bases de datos y redes con IBM Suecia.

La STA subió su base de datos completa a servidores en la nube de IBM,
la cual contenía detalles sobre todos los vehículos del país incluyendo
aquellos correspondientes a la policía, registros militares e incluso
testigos protegidos.

Y fue esa misma base de datos es la que la agencia de transportes envió
a vendedores suscritos, y además en texto plano, sin cifrar. Al
descubrirse el error, la agencia de transportes simplemente envió un
nuevo e-mail, pidiendo a las personas suscritas que eliminarán la base
de datos completa que ellos mismos habían mandado anteriormente.

Pero el escándalo no acaba aquí. La subcontratación llevada a cabo con
IBM permitía el acceso desde fuera de Suecia a los sistemas de la STA
sin pasar por medidas de seguridad necesarias. Los administradores de
IBM en la República Checa tenían acceso a todos los datos y registros,
mientras que otra empresa en Serbia administraba las comunicaciones.

Según Rick Falkvinge, fundador de la VPN Private Internet Access, quien
hizo público el escándalo, los datos incluidos en esta filtración
incluyen:

* Capacidad de todas las carreteras y puentes.
* Nombres, fotos y direcciones de pilotos de combate de las fuerzas
aéreas..
* Nombres, fotos y direcciones de todos los incluidos en el registro
policial, los cuales se creían datos clasificados.
* Nombres, fotos y direcciones de todos los operadores de las unidades
de élite del país, el equivalente a los Navy SEAL.
* Nombres, fotos, y direcciones de todos los testigos protegidos.
* Tipo, módelo, tamaño, e incluso defectos en todos los vehículos
militares, incluyendo sus operadores.

A pesar de que la brecha se produjo en 2015, no fue descubierta hasta
2016 y acabó con la renuncia de Maria Agren, directora general de la
STA, en enero de 2017, además de una multa de 8,500$.

Lo más preocupante: La base de datos no será segura hasta este otoño,
según palabras del nuevo director general Jonas Bjelfvenstam.

Más información:
https://www.bleepingcomputer.com/news/security/biggest-data-leak-in-swedens-history-punished-with-half-a-months-paycheck/

Ejecución remota de código en el SDK Source de

El investigador privado Justin Taft (@JustTaft), perteneciente a la
firma One Up Security, ha demostrado recientemente que el motor de
juegos Source de la empresa Valve se veía afectado por una ejecución
remota de código que ha sido finalmente solucionada.

Source es el motor oficial de videojuegos utilizado por Valve para sus
diferentes títulos, como Counter Strike:GO, Teamfortress 2, Half-Life 2:
Deathmatch, etc… y también usado por terceros de manera gratuita, para
el desarrollo de mods propios.

La vulnerabilidad se debe a una falta de comprobación de límites en la
función ‘nexttoken’, al no controlar correctamente que el buffer ‘token’
pueda desbordarse. Este desbordamiento (buffer overflow) podría ser
aprovechado como se puede ver en el video publicado, para ejecutar
código arbitrario, ya que la función afectada es llamada por un una
clase (CRagdollCollisionRulesParse) encargado de cargar datos externos
de modelos Ragdoll cuando se realizan determinados eventos, por ejemplo
cuando un jugador es eliminado.

Video demostrativo de la vulnerabilidad:
http://unaaldia.hispasec.com/2017/07/ejecucion-remota-de-codigo-en-el-sdk.html

Desde Valve se han publicado las actualizaciones oportunas tanto del SDK
como del cliente Steam, aunque también existes contramedidas y/o parches
disponibles para los mods ya publicados, facilitadas por el
investigador:

Parche disponible:
https://oneupsecuritycdn-8266.kxcdn.com/static/blog/hl2-rce/nexttoken.patch

Más información:

Remote Code Execution In Source Games
https://oneupsecurity.com/research/remote-code-execution-in-source-games

Update Released for Counter-Strike: Source, Day of Defeat: Source, Half-Life Deathmatch: Source, Half-Life 2: Deathmatch, and the Source SDK 2013 Base
http://store.steampowered.com/news/30120/