Author: jLeonett

La CIA está involucrada en el escándalo de contraespionaje en Alemania

La Agencia Central de Inteligencia de EE.UU. estuvo involucrada en la operación de espionaje contra Alemania que dio lugar a la supuesta contratación de un oficial de inteligencia alemán y ha levantado un nuevo escándalo en Berlín, informa Reuters.

Dos funcionarios estadounidenses dijeron a Reuters que el director de la CIA, John Brennan, ha ordenado informar a los miembros clave del Congreso de EE.UU. sobre el asunto, que amenaza con una nueva ruptura entre Washington y Alemania.

El último escándalo estalló la semana pasada, cuando la oficina del fiscal federal de Alemania, con sede en la ciudad de Karlsruhe, informó de la detención de un hombre de 31 años bajo sospecha de ser un espía. Primero los medios alemanes informaron de que el agente doble, empleado del Servicio Federal de Inteligencia de Alemania, había trabajado para Rusia, pero luego se confirmó que había trabajado para EE.UU.

Los alemanes están especulando con cómo castigar a Washington

El sospechoso admitió que había enviado a su contacto estadounidense los detalles de la investigación de la comisión parlamentaria alemana sobre el presunto espionaje realizado por EE.UU. en el país europeo divulgado por Edward Snowden.

“Los alemanes están especulando con cómo castigar a Washington: ¿Expulsar a los agentes de EE.UU.? ¿Dejar entrar a Snowden? ¿Activar una unidad de contraespionaje?”, escribe el diario alemán ‘Der Spiegel’.

Texto completo en: http://actualidad.rt.com/actualidad/view/133375-cia-alemania-snowden-espia-escandalo

NO-IP recupera los dominios “secuestrados” por Microsoft

Una semana después de la incautación de dominios del proveedor de hosting NO-IP en una operación antimalware, la compañía ha anunciado que vuelve a tener el control sobre los mismos y su funcionamiento es el habitual tras la propagación de las DNS.

El caso parte de una operación de Microsoft contra las familias de malware para Windows, Bladabindi y Jenxcus. El gigante del software consiguió una orden federal cautelar de un juez de Nevada y con ello incautó una serie de dominios gestionados por NO-IP acusados de distribución de malware y spam. 

El problema surgió cuando Microsoft no sólo bloqueó los dominios responsables de propagar el malware sino otros legítimos, algo que la compañía achacó a un “error técnico”.

NO-IP acusó a Microsoft de no ponerse en contacto con ellos previamente y de una orden judicial que perjudicó a millones de usuarios.

La incautación de dominios centrada en las redes de bots y operaciones de malware a gran escala, es una táctica que Microsoft lleva ejecutando en los últimos años. Táctica controvertida como esta última que sorprendió a investigadores de seguridad algunas de las cuales cuestionaban porqué se autoriza a Microsoft a tomar la propiedad de otras compañías.

Los dominios de NO-IP han vuelto a sus legítimos dueños y funcionan con normalidad pero será un tema polémico en el futuro.

Fuente: Muy Seguridad

He descubierto una vulnerabilidad: ¿Y ahora qué?

Imaginemos que Pepe es una persona con conocimientos de seguridad informática que, por simple curiosidad, se dedica a investigar en busca de posibles fallos de seguridad. 

Una noche, a las 3.00AM, descubre un fallo de seguridad grave en un SO para móviles que permite al atacante hacerse con el control total del teléfono. Pepe sabe perfectamente que tiene en sus manos una vulnerabilidad gravísima, para la que hasta donde él sabe no hay solución posible, lo que se denomina un0-day [1]. 

Nervioso, Pepe piensa en lo que podría hacer, y multitud de posibilidades saltan a su mente. 

Podría simplemente publicarlo en su blog de seguridad bajo lo que se denomina Full Disclosure(revelación completa) [2], y directamente dar acceso a todo el mundo a la información para que se pudiera fabricar una solución. Esto le aseguraría ser el primero en publicarla, y ganar reconocimiento como investigador (en un mundillo en el que la reputación cuenta, y mucho). 

Pero al dar la información al mismo tiempo tanto a fabricantes como a los posibles intrusos, Pepe provocaría una carrera en la que seguramente los usuarios serían los damnificados (el proceso de parchear una vulnerabilidad conlleva un proceso de control de cambios, que es por fuerza mucho más lento que el desarrollo de un exploit que solo necesita aprovecharse de la misma). 

Otra opción sería ponerse en contacto con el fabricante del SO e informarle del fallo de seguridad bajo lo que se llama Responsible Disclosure (revelación responsable) [3], dándole tiempo para que pueda preparar el parche que la resuelva antes de su publicación. De esta forma Pepe seguiría llevándose el mérito, pero no pondría en peligro a los usuarios al disponer de la solución al mismo tiempo de su publicación. 

Puede suceder que el fabricante ignore a Pepe (ya sea por falta de canales de comunicación eficaces, o por política de la empresa). En este caso Pepe podría acudir a un CERT como el del INTECO [4], que se encargaría de contactar con la empresa (y así le daría una cierta cobertura a Pepe en el caso de tener luego problemas)… o pasar a la opción anterior y revelar directamente la información en Internet. 

En el caso en el que Pepe estuviera más interesado en una ganancia económica más que de prestigio (que la fama no paga la conexión a Internet), tendría también varias opciones. 

Lo primero que podría hacer Pepe es comprobar si el fabricante ofrece algún tipo de programa de Bug Bounty (caza de fallos) [5], en los que el fabricante ofrece recompensas por encontrar fallos de seguridad que pueden ir desde camisetas exclusivas hasta dinero contante y sonante. Esta opción es interesante porque en casi todos los programas hay un “Hall of fame”, que permitiría a Pepe a su vez ganar reconocimiento por haber encontrado el fallo. 

El problema de esta opción es que casi siempre los fabricantes pagan poco. Muy poco. Si Pepe lo que quiere realmente es el dinero (y su ética personal es lo suficientemente laxa), tiene otras alternativas mucho más ventajosas. 

Pepe podría llevar su fallo de seguridad a sitios como ZDI (Zero Day Initiative) [6], que ofrecen recompensas por fallos de seguridad bajo el modelo de Responsible Disclosure. Estas empresas luego ofrecen servicios de alerta temprana (Pepe sabe que pocas empresas dan algo gratis), pero al final la vulnerabilidad se soluciona, y Pepe tiene más dinero en el bolsillo (y sobre todo, estas iniciativas son una buena opción en caso de que el fabricante no tenga un Bug Bounty en activo). 

Pero donde está el dinero de verdad es en la venta privada: Pepe podría vender su 0-day a empresas especializadas en la compra de vulnerabilidades, pero que en lugar de publicar la información la guardan y crean exploits que pueden vender de forma privada. Algunas de estas empresas como Vupen [7] tienen una política estricta de ventas (en principio solo a países “buenos”), aunque no se sabe dónde pueden acabar ni para qué pueden ser usados. Por tener tienen hasta listas de precios [8]. 

El tema es que el precio es bueno. Muy bueno. Se rumorea que se ha llegado a pagar hasta 250K$ por un 0-day muy similar al suyo, que puede ser fácilmente diez veces más de lo que el fabricante o iniciativas como ZDI podrían pagar. Eso sí, Pepe no puede decirle nunca a nadie lo que ha hecho, por la cuenta que le trae (es lo que tiene trabajar con empresas que trabajan con gobiernos que tienen agencias de tres letras). 

Podría ser que Pepe no estuviera interesado en ser “fichado” por estas empresas (nunca se sabe las vueltas que da la vida). En ese caso podría acudir a algún bróker de vulnerabilidades [9], que por una módica comisión se encargaría de hacer de intermediario con las empresas pertinentes y le ayudaría a mantener su preciado anonimato. 

Pero estos bróker no crecen debajo de las piedras (y no son especialmente accesibles). Y Pepe quiere el dinero. La última opción que le queda es venderlo en el mercado negro [10], en el que hay multitud de lugares en los que venderlo. Y en algunos de ellos le pueden pagar en preciosas e irrastreables BitCoins. Y si Pepe tiene muy pocos escrúpulos, no creo que tenga muchos problemas en venderlo en varios lugares a la vez… 

Estas son las opciones que Pepe baraja en su mente a las 3.00AM mientras toma su décimo café del día… 

Si pasamos de la ficción a la realidad, el problema existente está bastante claro: Los incentivos económicos son mucho más atractivos que el mero reconocimiento, e incluso los programas que mezclan ambos aspectos se quedan cortos en la parte económica. 

Esta oferta viene dada por la existencia de una demanda por parte de algunos gobiernos (principalmente de aquellas partes destinadas a la obtención de inteligencia), que en mi opinión han valorado erróneamente la naturaleza de doble filo de una vulnerabilidad. Si bien el estar en posesión de una vulnerabilidad nos permite poder usarla para atacar otros sistemas, nuestros propios sistemas también siguen siendo vulnerables a dichos ataques. 

Y si se realiza una evaluación de la cantidad de sistemas y del valor de la información contenida en los mismos en mi opinión se tiene más que perder guardando que publicando… 

Ante esta elección subscribo totalmente la opinión de Bruce Scheneier [11]: Todo el proceso de la investigación sobre vulnerabilidades debería estar enfocado a la mejora de la seguridad de los sistemas, el objetivo inicial para el que fue creado. 

Para ello es obligatorio reencauzar el (bastante torcido hoy) proceso, ofreciendo una serie de incentivos tanto monetarios como de reconocimiento que conviertan el hecho de hacer pública una vulnerabilidad sea siempre más atractivo que venderla. 

¿Qué nos haría falta?. Una idea sería crear algo similar a BugCrowd [12], un servicio de creación de Bug Bounties que gestiona búsquedas de vulnerabilidades, y dotándolo de procedimientos de Responsible Disclosure

Esta organización debería de ser internacional, completamente imparcial y financiada tanto por gobiernos como por las compañías de tecnología. Su principal objetivo: mejorar la seguridad de todos los elementos que componen Internet para todo el mundo, independientemente de qué país o sistema sea empleado. A vista de pájaro, un posible candidato para liderar esta iniciativa podría ser el IAB (Internet Architecture Board) [13], que tiene una distribución de miembros suficientemente variada como para compensar los diversos intereses existentes. 

El otro lado de la ecuación reside en los propios investigadores: si nadie vendiera las vulnerabilidades que encontrara, y si el resto de la comunidad repudiara a aquellos que sí que lo hacen, lograríamos de una forma sensible reducir la oferta y/o redirigirla a la iniciativa anterior. 

Cierto, el mercado negro aún seguiría actuando (y lo sigue haciendo en la situación actual), y aún tendríamos investigadores que no tendrían problemas éticos o morales en seguir vendiendo sus vulnerabilidades, pero se lograría en cierta medida retomar el control de todo el proceso. 

Lo que sí que es cierto es que la situación actual tiene unas perspectivas poco halagüeñas, y es necesario hacer algo al respecto. El cómo (y en este caso muy importante, el cuánto) es algo que tenemos que decidir entre todos. 

Referencias:

  1. Zero Day
  2. Full Disclosure
  3. Responsible Disclosure
  4. INTECO-CERT
  5. BugCrowd – List of bug bounty programs
  6. Zero day Initiative
  7. Vupen
  8. Lista de precios de vulnerabilidades
  9. The Grugq
  10. Selling exploits for bitcoins in underground market
  11. Scheneier :The Vulnerabilities Market and the Future of Security
  12. BugCrowd
  13. Internet Architecture Board

Fuente: SecurityArtWork

WhatsApp: cómo falsear mensajes y porqué no debe ser utilizado

Ver trabajar a un hacker no es lo más excitante del mundo. Sobre una mesa, dos teléfonos móviles y un ordenador portátil con la pantalla negra llena de un código ilegible para el no iniciado. Jaime Sánchez y Pablo San Emeterio, dos ingenieros informáticos expertos en ciberseguridad, han conseguido quebrar el código de WhatsApp para modificar el remitente de un mensaje; para simular que alguien envió unas líneas a nuestro teléfono móvil. La suya es una magia pequeña, pero poderosa. Una grieta en un servicio de mensajería que tiene 500 millones de usuarios, un tráfico diario de 10.000 millones de mensajes, y que acaba de ser adquirida por Facebookpor 19.000 millones de dólares (14.000 millones de euros). Usando una metáfora de un mundo que desaparece, lo que han logrado estos hackers buenos sería comparable a colarse en el sistema de Correos para poder recibir falsas cartas certificadas y atribuibles a una persona que nunca las escribió.
“Modificar el remitente de un mensaje podría tener todo tipo de implicaciones, tanto cotidianas como legales, en temas de divorcios, de extorsiones…”
“Nuestro día a día es buscar vulnerabilidades que pueden ser explotadas por delincuentes para afectar la seguridad de personas y empresas”, dice la pareja, que lleva un par de años explorando los fallos de WhatsApp. Desde entonces han descubierto cómo espiar conversaciones, han descifrado contraseñas, fabricado mensajes malignos que consiguen que un móvil deje de funcionar… Todas estas debilidades, que han hecho públicas en distintas ponencias internacionales, han sido parcheadas por la empresa con más o menos rapidez. 

Pero a su último descubrimiento aún no se ha puesto solución. “Modificar el remitente de un mensaje podría tener todo tipo de implicaciones, tanto cotidianas como legales, en temas de divorcios, de extorsiones…”, explican los expertos. “Por ejemplo, se podría presentar una denuncia por amenazas ofreciendo como prueba falsos mensajes de alguien a cuyo teléfono ni siquiera hemos tenido acceso físico”. Basta con saber su número. El teléfono que se hackea es el receptor del mensaje, que hace ver que han llegado mensajes de números que jamás enviaron nada. 

Los expertos en ciberseguridad Jaime Sánchez y Pablo San Emeterio realizaron para EL PAÍS una prueba de la grieta que han encontrado en el servicio de mensajería WhatsApp. En una situación normal, un mensaje del teléfono A al B pasa por el servidor de WhatsApp y un sistema de cuatro contraseñas lo valida al entrar y al salir. Lo que hacen Sánchez y San Emeterio es colocarse en medio. El mensaje pasa por los dominios de WhatsApp, pero antes de llegar al teléfono B, es interceptado. Los hackers teclean en su ordenador el nombre y el teléfono de la persona a la que quieren suplantar. Cuando el mensaje aterriza en el teléfono B, este no solo no lo rechaza, sino que no hay manera de saber que el remitente ha sido modificado. Y como WhatsApp no almacena datos en sus servidores, es imposible encontrar el remitente original. En un minuto, los hackers mandan tres mensajes desde el teléfono A que llegan al B como si hubiesen sido enviados de tres números distintos. El de verdad y otros dos, a los que, por razones narrativas, han bautizado como “jefe” y “expareja”, para insinuar el tipo de falsas amenazas que uno podría alegar haber recibido.

Contenido completo en fuente original El País

*