Facebook confirma hackeo de 50 millones de usuarios

¿Facebook te sacó el día de hoy de tu sesión y tuviste que iniciar de nuevo? No eres el único. La red social fue hackeada.

Facebook no para de caer en abismos llenos de problemas, aunque Zuckerberg asegura que la prioridad de la red social es la seguridad del usuario. Eso se ha puesto repetidamente en duda, especialmente el día de hoy con una brecha masiva que afectó a por lo menos 50 millones de usuarios en todo el mundo.

¿Notaste que la mañana de hoy, Facebook cerró automáticamente tu sesión? No fuiste el único que vivió esto. De hecho se cerraron por lo menos 90 millones de cuentas, protocolo que suele seguir la red social cuando los perfiles se han visto comprometidos.

Una gran brecha de seguridad azota Facebook y a todos nosotros
El día de hoy se dio a conocer. Un ataque a la red de computadoras de Facebook expuso la información de alrededor de 50 millones de usuarios en todo el mundo. Gravísimo. Apenas esta semana, el 25 de septiembre, descubrieron el problema: alguien explotó una característica en el código de la red social; lo que les facilitó el control de estas cuentas.

En estos momentos el problema ya ha sido arreglado, o al menos eso dice el equipo de Zuckerberg. También denunciaron los hechos ante la policía. Por ahora no se sabe exactamente quiénes son los atacantes… y tampoco saben el alcance que tuvo el hackeo. Es decir, todavía no sabemos si alguien usó nuestra información con fines oscuros.

Por el momento sólo queda esperar información y sí, preferentemente cambiar tu contraseña de inmediato; ya que no se sabe exactamente qué información fue sustraída.

Fuente | Fayerwayer

Hackers se unen con un único objetivo: ayudar a encontrar personas perdidas

Por primera vez, una gran cantidad de expertos en seguridad informática colaboraran simultáneamente en la búsqueda de niños, niñas y adolescentes.

Ekoparty es uno de los eventos de seguridad informática más importantes de la región, donde expertos de todo el mundo exponen sus investigaciones. Hasta el día de su apertura ya se habían inscripto 1900 personas.


En este evento se desarrollan conferencias de expertos nacionales e internacionales y en paralelo se llevan a cabo diferentes actividades, entre los cuales se destacan mentorías, contactos con empresas, relaciones entre profesionales y desafíos.

Estos desafíos son conocidos como CTF (por Capture the Flag en inglés) y es justamente allí donde surge el CTF Social.

En el desafío en cuestión los participantes deberán utilizar técnicas de OSINT para poder aportar información que pueda ayudar en la identificación de esas personas.

OSINT, en español “inteligencia de fuentes abiertas”, es la información recopilada de fuentes disponibles públicamente para ser utilizada en un contexto de inteligencia. En la comunidad de seguridad informática, el término “abierto” se refiere a fuentes abiertas y públicamente disponibles.

Cada hallazgo que informen los equipos será analizado por colaboradores del CTF, competencia de seguridad informática, que a través de la resolución de diferentes desafíos propone ganar puntos que ayuden a cumplir el objetivo propuesto.

El Equipo ganador del CTF se determinará en base a los datos que fehacientemente puedan ser validados posteriormente.

Los organizadores del CTF son OSINT LATAM GROUP, la ONG Ideas que Transforman y Missing Children Argentina.


Más información: OSINT LATAM GROUP.
info@osintlatamgroup.com
Cel: 1557138406

Fuente | Ciberseguridad Latam

Canonical anuncia el ‘mantenimiento de seguridad extendido’ para #Ubuntu 14.04 LTS

Cuando quedan algo más de seis meses para que Ubuntu 14.04 LTS se quede sin soporte, Canonical ha anunciado la incorporación de esta versión al servicio de ‘mantenimiento de seguridad extendido‘, que otorgará al sistema al menos un año más de actualizaciones.

El Extended Security Maintenance (ESM) o mantenimiento de seguridad extendido es un nuevo servicio que la compañía estrenó el año pasado con Ubuntu 12.04 LTS para las versiones de soporte extendido (LTS), por lo que la siguiente estaba claro que sería Ubuntu 14.04 LTS Trusty Tahr, solo que en esta ocasión han dado un mayor margen de maniobra a las empresas que deseen acogerse al mismo.

Cabe recordar que las versiones LTS cuentan con cinco años de soporte garantizado de manera gratuita, pero muchas veces no es suficiente para que algunas empresas preparen la actualización hacia una versión más reciente (distribuciones como RHEL y SLE ofrecen hasta 13 años de soporte) y de ahí este ESM, un extra de pago parte del paquete de soporte corporativo Ubuntu Advantage, que también puede ser adquirido en solitario.

El estrenó de ESM parece haber sido un éxito, y es que como explican en el blog de Ubuntu, llegó en el momento adecuado: “en el último año los departamentos de TI tuvieron que lidiar con los principales problemas de seguridad y cumplimiento de TI: GDPR, Spectre, Meltdown, Stack Clash, Blueborne, Dirty Cow, SegmentSmack o FragmentSmack por nombrar algunos. En total, ESM ha proporcionado más de 120 actualizaciones, incluidas soluciones para más de 60 vulnerabilidades de prioridad alta y crítica, a los usuarios de Ubuntu 12.04″, señalan.

Ubuntu 14.04 LTS completará su ciclo de vida el próximo 30 de abril de 2019, y será entonces cuando ESM se active para esta versión. Cuánto se mantiene activo el soporte es una historia diferente, pues aunque en principio la extensión está hecha para durar un año, depende de la cantidad de clientes que estén dispuestos a pagar por el mismo el que se alargue más o menos.

En conjunto, Ubuntu Advantage está disponible a partir de 150 dólares anuales por estación de trabajo con un mínimo de 50 equipos, mientras que el precio sube hasta los 250 dólares anuales por instalación con un mínimo 10 servidores virtuales.

Xbash: un ransomware, software de minado y botnet

Sin duda alguna, los dos sistemas operativos más afectados por malware son Windows y Linux, quienes además son los dos sistemas operativos más utilizados en todo el mundo, aunque eso no significa que otros sistemas como Linux o macOS estén libres de esta amenaza. Normalmente, los piratas informáticos suelen crear sus amenazas pensando en un tipo de sistema operativo en concreto, aunque parece que poco a poco está ganando una gran popularidad entre los piratas el malware multiplataforma, amenazas informáticas que afectan por igual a distintos sistemas operativos, como es el caso del nuevo malware Xbash.

Xbash es un nuevo malware recién detectado en la red enfocado a infectar por igual sistemas Windows y Linux. Además, este malware cuenta con diferentes módulos para poder hacer prácticamente cualquier cosa con él, desde hacer que el ordenador pase a formar parte de una botnet, controlada por piratas informáticos, hasta convertirse en un completo ransomware o utilizar el hardware de las víctimas para minar criptomonedas.

Este malware además ha sido diseñado para replicarse automáticamente, evitando que un antivirus pueda eliminarlo fácilmente, además de para analizar la red y distribuirse automáticamente a cualquier ordenador vulnerable a través de la red local. A grandes rasgos, este malware utiliza la botnet para encontrar servicios Redis disponibles en la red y, si da con ellos, envía un script JavaScript, o carga un VBScript, que se encarga de copiar al sistema el software de minado de criptomonedas. Una vez termina esto, el malware recurre a una técnica, hasta ahora desconocida, por la cual analiza los equipos y servidores conectados a la misma red en busca de otros vulnerables a los que mandar este malware. Utilizando técnicas similares, también envía el ransomware al equipo para infectarlo.

Xbash hace uso de scripts en Python para instalarse con éxito tanto en Windows como en Linux, y se comunica con un servidor de control para obtener listas de IPs para escanear (en busca de otras víctimas), enviar las contraseñas detectadas y, además, enviar al servidor los resultados de los análisis llevados a cabo.

Cómo protegernos de Xbash

Aunque en un principio los piratas informáticos están atacando todo tipo de ordenadores, según el código este malware fue diseñado para atacar servidores con bases de datos MySQL, PostgreSQL y MongoDB. En un principio, el ransomware solo se activará si se detecta una base de datos en el ordenador, por lo que si no tenemos ninguna no tenemos que preocuparnos, al menos por ahora, de esto.

Debido a la complejidad de este malware multiplataforma es muy complicado encontrar una forma definitiva de protegernos de él. Como siempre, se recomienda tener nuestro sistema operativo, y todas las aplicaciones del equipo, siempre actualizadas, además de un software de seguridad en funcionamiento capaz de detectar y mitigar la amenaza antes de que sea demasiado tarde.

En caso de que notemos que nuestro ordenador funciona más lento de lo normal, es posible que estemos infectados y el software de minado esté haciendo de las suyas. En ese caso debemos desinfectar nuestro ordenador, y comprobar que los demás ordenadores de la red están limpios, para volver a estar seguros.

Fuente | RedesZone

Guía para evitar infecciones de #RANSOMWARE

En los últimos años, son cada vez más comunes los titulares del tipo "Empresa X debió pagar 'rescate' por sus datos" u "Organización Pública Y no puede prestar atención porque su información fue secuestrada".

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el malware y en particular contra el RANSOMWARE.

Este documento está destinado a ser una completa guía de Defensa en Profundidad basada en una lista de verificación, con el fin de evitar infecciones con ransomware y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ransomware, la guía está orientada en gran medida hacia dicho entorno, pero está diseñada para ser agnóstica del entorno, aunque no siempre se podrán aplicar todos los controles en todos los casos.

Esta guía se publica gracias al esfuerzo de las siguientes personas:

• Cristian Borghello - Segu-Info
• Marcelo Temperini – AsegurarTE
• Mauro Gioino – Equipo AntiRansom
• Nicolás Gustavo Bruna – SMARTFENSE
• Matías Sequeira – Equipo AntiRansom
• Maximiliano Macedo – AsegurarTE

La Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018, a través de OWASP y bajo Licencia CC.

Fuente | Segu-Info

Secuestran el tráfico de más de 7.500 routers #MikroTik

Investigadores de la empresa china 360 NetLab han descubierto un ataque sobre routers MikroTik mediante el cual robaban el tráfico generado.

MikroTik es un fabricante letón de equipos de red y software dedicado a la administración de redes. Recientemente, en el curso de una investigación, el equipo de seguridad de la empresa china 360 NetLab descubrió que una elevado número de equipos del mencionado fabricante estaba enviando tráfico hacia servidores controlados por los atacantes.

El origen del ataque parece encontrarse en una vulnerabilidad que afecta a los routers MikroTik, en concreto, un exploit hallado en la fuga de herramientas de la CIA, Vault7, publicada por WikiLeaks. Esta vulnerabilidad, con CVE-2018-14847, permite a un atacante la lectura de archivos con información sensible, lo que posibilitaría un acceso a la gestión administrativa del dispositivo.

En el contexto de la investigación, detectaron que más de 370.000 de estos dispositivos eran vulnerables al exploit comentado. De estos, alrededor de 239.000 poseían configurado un proxy socks4 de forma presumiblemente malintencionada. Finalmente, de este conjunto, 7.500 tenían su tráfico desviado a los servidores de los atacantes. En concreto, el tráfico de los puertos FTP, SMTP, POP3 e IMAP. Además, y esto parece sorprender a los investigadores, también los puertos asociados con SNMP, el UDP 161 y 162.

Según el post de 360 NetLab, en España habría 84 dispositivos afectados, 218 en Ecuador, 189 en Argentina, 122 en Colombia, 25 en Chile, 24 en México, 20 en Nicaragua y 16 en Paraguay.

La vulnerabilidad fue parcheada hace tiempo por MikroTik, por lo que se debería actualizar el sistema operativo de los routers afectados a la última versión disponible. Adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox. 

Fuente | una-al-dia