WhatsApp es un coladero: sus servidores permiten distribuir virus, contenido ilegal y datos robados con total impunidad

(Tomado de lainformacion.com)

  • Cualquiera puede alojar archivos sin control en los servidores del chat más popular del mundo.
  • Los ciberdelincuentes podrían aprovechar la falta de seguridad para distribuir virus, crear páginas falsas o compartir archivos ilegales. Y, lo peor, se irían de rositas.

WhatsApp pone un circo y le crecen los enanos. Por si fueran pocos los usuarios que se plantean cambiar de chat tras la polémica por el pago, dos investigadores españoles acaban de hacer público un nuevo fallo que deja al descubierto los enormes agujeros de seguridad del servicio de mensajería instantánea más utilizado del planeta.

Click!

Uno de ellos es Pablo San Emeterio, experto en seguridad de Optenet que ya el pasado noviembre dio a conocer una vulnerabilidad que permitía interceptar comunicaciones, espiar los mensajes de los usuarios, ver sus fotos y vídeos e incluso suplantar su identidad. La repercusión que tuvo su trabajo provocó que, más de un mes después, WhatsApp actualizase su aplicación y enmendase sus errores.

No fue suficiente. Juan Garrido, ingeniero de InnoTec/Entelgy, decidió sumar fuerzas con San Emeterio y, gracias a la aportación de este ‘hacker’ del sevillano barrio de Triana, han vuelto a sacar los colores a la multinacional estadounidense. Sus conclusiones, presentadas ayer durante la primera edición de las Jornadas de Seguridad y Ciberdefensa de la Universidad de Alcalá de Henares (Ciberseg), son demoledoras. En palabras llanas, WhatsApp tiene abiertas de par en par las puertas de sus servidores y cualquiera puede entrar y salir sin pedir permiso ni dejar huellas.

“De manera anónima puedes utilizar la infraestructura de WhatsApp para subir lo que tú quieras y sin límite”, explican. Virus, páginas web falsas, archivos ilegales, documentos secretos… Lo que sea. Se puede hacer en cinco minutos desde cualquier ordenador, gratis, y sin necesidad de averiguar contraseñas, pasar noches en vela escribiendo código o utilizar complejas técnicas de ‘hacking’. Además, es prácticamente imposible cazar al delincuente. “Es tan sencillo hacerlo que nadie puede negarnos que se esté haciendo ya”, afirma Garrido.

Pablo San Emeterio y Juan Garrido en la Universidad de Alcalá de Henares  –Foto: David G. Ortiz

WhatsApp, una ‘nube’ negra

Cualquiera que haya utilizado alguna vez WhatsApp sabe que, además de mensajes de texto, es posible enviar archivos a nuestros contactos. Concretamente fotografías, vídeos, audios, tarjetas de contacto y coordenadas GPS. ¿Has probado alguna vez a enviar un documento de texto, un PDF o un archivo ejecutable? No se puede. Tampoco es posible enviar ficheros de más de 10 MB.

Pero estas son restricciones que se aplican del lado del cliente, en su dispositivo, y que no existen en los servidores donde se almacenan los archivos. Lo mismo sucede con el proceso por el cual se comprueban las credenciales (nombre de usuario y contraseña). Por tanto, lo único que se necesita para subir cualquier tipo de fichero a los servidores de WhatsApp de forma anónima es un sistema que permita comunicarse con la plataforma sin necesidad de utilizar la ‘app’, que es donde se encuentran todos los obstáculos.

Este sistema existe y más adelante explicaremos cómo funciona. De momento, quedémonos con que el servidor de WhatsApp permite subir archivos de cualquier tamaño y tipo (incluidos los ejecutables) desde un ordenador y sin identificarse. Si sumamos a esto que la plataforma no dispone de antivirus y que los contenidos se borran automáticamente en un plazo de 15 días, tenemos el caldo de cultivo perfecto para que al rey de chats le brote una infraestructura criminal en toda regla en su propia casa.

En la mente del atacante

San Emeterio y Garrido no se llevan un duro de esto, ni tienen una cruzada contra WhatsApp, ni pretenden dar pistas a los cibercriminales. Lo único que buscan al desvelar los fallos del servicio es que sus responsables los corrijan y, así, el usuario esté más protegido. Por eso tratan de adelantarse a los posibles usos delictivos que un ‘hacker’ sin escrúpulos podría encontrar.

En Ciberseg han ejemplificado unos cuantos. Por ejemplo, el público asistente, en su mayoría estudiantes de ingeniería, ha podido ver cómo un virus de lo más convencional (Citadel, incluido en la base de firmas de la gran mayoría de antivirus comerciales) se albergaba en los servidores de WhatsApp sin ningún impedimento y generaba una URL que el atacante podría usar para distribuirlo. Tres cuartos de lo mismo sucedería con contenidos ilegales, como por ejemplo una canción, un libro o una película con derechos de autor o, lo que es infinitamente peor, pornografía infantil.

 

En un segundo ejemplo, el hipotético cibercriminal alojaba en los servidores del chat una imitación de la web de una conocida entidad bancaria. Con la URL que se generaba, podía llevar a cabo la estafa conocida como ‘phising’: hacer creer al usuario que se trata de la auténtica página del banco para que introduzca su contraseña, robarla y acceder a su dinero.

Después, en un tercer ejemplo, exponían como la brecha de seguridad de WhatsApp podría facilitar enormemente el espionaje industrial. A día de hoy, el trabajador de una gran empresa tiene muy complicado robar documentos confidenciales sin ser descubierto. Si los imprimiese, los guardase en un pendrive o los enviase por correo, podrían pillarle. Sin embargo, sirviéndose de esta vulnerabilidad, podría trocear el archivo, subirlo a los servidores de WhatsApp y hacerlo pasar por una imagen que le ha enviado uno de sus contactos.

Todo esto es cuando menos inquietante, y eso que solo se trata de una pequeña muestra de los múltiples usos maliciosos que pueden pasar por la cabeza de un ciberdelincuente.

Con total impunidad

Lo que más preocupa, y lo que convierte a WhatsApp en un auténtico paraíso pirata, es que todos estos delitos podrían cometerse impunemente. Hasta ahora, cuando un cibercriminal quería distribuir un virus o llevar a cabo una estafa mediante ‘phising’, tenía que buscarse la vida para encontrar un servidor. Normalmente lo ‘hackeaba’, pero ya no es necesario. Puede utilizar una plataforma que no levanta grandes sospechas, de forma sencilla, gratuita y prácticamente sin riesgo. Al menos hasta que los responsables del chat decidan tomar cartas en el asunto.

Durante una investigación, lo máximo que las fuerzas de seguridad podrían averiguar, si es que WhatsApp accediera a proporcionárselo, sería la dirección IP desde la que se ha subido el archivo. Solo con eso, poco o nada se puede hacer para llegar hasta la identidad del atacante, que puede recurrir a infinidad de estrategias para camuflarse: utilizar proxys encadenados para que el archivo ‘pase’ por distintos países antes de llegar a su destino, conectarse desde redes públicas (por ejemplo, las de una universidad o una biblioteca), navegar de forma anónima mediante herramientas como Tor…

Además, como ya hemos indicado, todos los archivos que se almacenan en los servidores de WhatsApp se borran automáticamente a los 15 días. Los que comparte un usuario desde la ‘app’ en su móvil, los que se suben directamente desde un ordenador, los legales, los ilegales… Todos. En otras palabras, no solo es muy difícil encontrar al autor del delito sino que el propio chat se encarga de eliminar las pruebas.

¿Y cómo se suben archivos desde el ordenador?

Como decíamos, nada de esto podría hacerse desde la aplicación que un usuario convencional utiliza para conectarse a WhatsApp. Para evitar las restricciones, es necesario emplear otro sistema que se comunique directamente con el servidor. Pablo y Juan utilizan una API extraoficial conocida como Yowsup.

Una API es una librería de código (funciones, procedimientos, métodos) que una empresa pone a disposición de los programadores para que sus aplicaciones puedan comunicarse con la suya. Por ejemplo, la API de Facebook permite que haya un botón para compartir este artículo y la de Twitter hace posible que existan gestores de terceros como Echofon o Hootsuite.

Como los fundadores de WhatsApp decidieron no publicar su propia API, los ingenieros no podían crear aplicaciones capaces de interactuar con el chat y tuvieron que recurrir a la ingeniería inversa. Estudiaron el protocolo que seguía la ‘app’ para enviar y recibir mensajes y lo reprodujeron. Así nacieron Yowsup y WhatsAPI, las bibliotecas de código que San Emeterio y Garrido han utilizado en sus investigaciones.

Pueden arruinarte la vida

A lo mejor llegados a este punto, e incluso siendo consciente de la magnitud del problema, te preguntas en qué te afectan a ti, como usuario de WhatsApp, estás vulnerabilidades. ¿Por qué deberías preocuparte? Porque, sin demasiado esfuerzo, cualquiera te puede meter en un gigantesco aprieto.

Decíamos al principio de este reportaje que Pablo San Emeterio encontró en su día un sistema para espiar los mensajes que mandas y que te mandan, para ver tus fotos y tus vídeos e incluso para suplantar tu identidad y mantener conversaciones en tu nombre.

 

No obstante, también comentábamos que WhatsApp introdujo modificaciones para evitarlo. Concretamente cambiaron la forma en que se generan los nombres de usuario y contraseñas. Antes se formaban a partir de un identificador único (algo así como el DNI de los móviles): la dirección MAC en los dispositivos Apple o el código IMEI en los equipos con sistema operativo Android. Era lo único que un atacante necesitaba conocer además del número de teléfono de su víctima. Y era relativamente sencillo de conseguir.

Ahora es un poco más complicado. Cuando el usuario quiere conectarse al servidor, es WhatsApp quien le envía la contraseña. ¿Y ya no se puede acceder a ella? Eso parecía… Hasta que Juan Garrido descubrió que la clave quedaba registrada en una base de datos dentro del propio terminal. En iPhone ni siquiera está cifrada y en Android se podría descifrar. La única ventaja es que, en principio, si quieren espiarte o suplantarte necesitarán tener tu móvil en sus manos para poder leer el ‘password’.

Advertisements

Google ofrece su ayuda a los webmaster de páginas «hackeadas»

(Tomado de abc.es)La compañía ha publicado en ese espacio una docena de artículos y vídeos que suma 80 minutos con información y consejos relacionados con la reacción tras sufrir el «hackeo»

Google ha creado una página web específica [hacer clic aquí para ir al site] en la que facilita información a los responsables de páginas web que han sido «hackeadas». La compañía ha publicado en ese espacio una docena de artículos y vídeos que suman 80 minutos con información y consejos relacionados con la reacción tras sufrir el hackeo de una web. La seguridad en la Red depende en buena medida de los responsables de páginas web.

Mantener un control sobre la seguridad de las páginas es vital, sobre todo en un momento en el que los hackers no paran de aumentar su actividad. Google es una de las compañías más implicadas en la lucha contra los hacker y ayuda a mejorar la seguridad de Internet alertando a los usuarios al intentar acceder a una página web afectada.

En dicha web Google informa sobre formas de identificar una web infectada y detalla los pasos a seguir en dicho caso. La compañía ha explicado que es fundamental que los webmaster o responsables de cada web estén preparados para hacer frente a este tipo de problemas.

La página creada por Google cuenta actualmente con 12 artículos sobre cuestiones de seguridad web y con vídeos que suman más de 80 minutos de contenido. El objetivo es ayudar a los webmaster y hacer que Internet sea un lugar más seguro.

Como inicio, Google ha creado un resumen en el que responde a cuestiones del tipo: «¿Cómo y por qué un sitio web es ‘hackeado’? ¿Cómo recuperar la seguridad de un sitio infectados? ¿Qué pasos hay que seguir en el proceso?». Las respuestas a estas y a otras cuestiones están organizadas y clasificadas en función de su complejidad. El espacio creado por Google y sus contenidos ya está disponible para que los webmaster y los usuarios interesados accedan.

Empresas y países perdiendo sus datos (inglés)

(Tomado de blogs.hbr.com)

With China hacking the US, the US hacking China, and LinkedIn and Facebook and credit card companies and Google and who knows who else all vomiting our data all over the web, I was intrigued when a new report on data loss ran across my desk from auditing firm KPMG.

I spoke with Greg Bell, the firm’s information protection lead, to parse the data on who loses their information, and how.

datalossindustry.gif

How are you getting this data?

Bell: First, we’re only able to use information that’s made public. We looked at U.S. and non-U.S.-based sources that registered data-loss. Whether it is a state with a notification requirement, an SEC filing or an FTC filing, some of these are self-reported. So while this provides a tremendous amount of directional information, there may be inaccuracies, or there may be an active breach going that’s on still under investigation [and not reported yet]. Second, it might be that in a certain country or certain location, there’s not an imperative or pressure to release that information.

And third, we believe that some organizations have had a data breach and may not be aware of it yet. So this is not 100% accurate, but we believe this provides directional information. That’s why we’ve gone with percentages and not with total numbers.

How is the threat evolving?

There are organizations or groups causing these external factors — groups of organized criminal elements looking to rapidly monetize information; there are groups that have a social or other agendas — the term du jour is hactivist — and then we’re seeing an increase in foreign national threats.

These groups are all targeting specific organizations. Organizations have gone from being a target of opportunity to a target of choice. What used to happen was the equivalent of walking through parking lot trying every car door. [A bad guy] would scan every company’s Internet presence. But what we’re seeing today is a target of choice — specific industries, specific companies, specific purposes. And they will use multifaceted types of attacks to gain the information they want. It changes the game.

What industries are most at risk?

What we see increasingly are three key industries. Obviously, governments are huge targets of choice. Financial services — that’s where the money is. And the technology industry, for a couple of key reasons: one, there’s intellectual property there, and two, these companies may provide pathways to other [targets]. Those are the three places we’re seeing the focused targets of choice, but we have seen targeted attacks across all industries, from the Fortune 500 to very small businesses.

Selfishly, I have to ask: why are so many hackers interested in the media industry?

It’s the nature of the information, the desire for monetization. The information has value. Whether that be, I want to download and distribute the latest version of a movie, or —

Wait, you mean that level of hacking is so high because of all the people illegally downloading movies and music?

Yes, piracy. That’s most of those targets.

Eek, so we’re all hackers…not that I’ve ever illegally downloaded a song. [Nervous laughter. Awkward pause.] So what’s the lesson here for business leaders?

The key is not to take an “Oh no, the sky is falling” approach, but to factor it into their consideration of risk. It means understanding how valuable your information is: the IP that makes them unique, the operational data they rely on every day, the information that may be entrusted to them by their employees or business partners. That value is being sought after by many other organizations. Think about, “What would happen to my business if my unique manufacturing technique was stolen by a foreign government? What would happen if the operational data I use every day to make decisions got compromised, and someone was changing that data to make it look worse or better than it actually is?” Organizations just need to realize that’s a risk.

For most organizations, that discussion has been very IT-centric. But increasingly, it’s an executive management discussion and a board discussion.

datalosscountries.gif

Let’s talk about the global trends. One of your surprising findings is just how much the US is decreasing as a percentage of total hacking incidents. Do you think that gives credence to other governments’ assertions that they’ve been subjected to hacking attacks?

Well, the US has always tended to be a little more transparent. So while the chart might show that five years ago the U.S. was 75% of the global total, it might just be easier to gather that information. What we’re seeing now is that all major foreign entities are very focused on the situation. More governments are getting involved, for the purposes of intelligence, economic development, and cyber offense and cyber defense as part of the next generation of warfare. Every major country is developing that kind of capability.

So incidents [of data loss] everywhere are increasing, and people are more comfortable reporting incidents. Awareness is increasing. We’re also solving the easier problems; the low-hanging fruit, the easy security holes have been shored up. All the easy information has already been dealt with. Now they’re looking for very complicated information. Not just breaking into your website, but going after your business partners, your employees, your email account, even targeting former employees. It’s much more insidious.

So is this something you see as requiring national policies, government intervention? Or is this something individual firms will have to grapple with on their own?

I think you’re going to see an increase in national policy [in the United States] and elsewhere. That alone is not going to solve the issue. For companies that operate globally, across many borders, one country’s policy will not protect them. It’s still going to be up to the corporation to take prudent care.

So it’s sort of like how the government may provide a police force, but banks and stores still have a security guard.

Exactly. I like that metaphor.

Android obtuvo el 79% del malware en 2012

(Aporte de J.A. )En el año 2012 la cantidad de malware que atrajo Android es sorprendente, nada menos que el 79%. Además, sabemos que solo durante el último trimestre de ese año la cuota de malware en la plataforma fue de 96%. ¿Cómo lo sabemos? Gracias a un estudio publicado por la empresa F-Secure.
Autor: Meylin Paredes – 07/03/2013
Nadie quiere malware en su dispositivo, pero lamentablemente tenemos que lidiar con eso a menudo. ¿Qué terminales son los que atraen más malware? Les comento que según un estudio publicado por la empresa F-Secure, el sistema operativo móvil de Google, Android, atrajo el 79% de las amenazas de seguridad durante todo el año 2012. Cabe destacar que en el año 2011 la cuota fue de 66,7% y en 2010 solo obtuvo un 11,25%.


Es bastante alto el porcentaje de malware que obtuvo Android en 2012, ¿qué pasa con otros sistemas operativos? En la competencia tenemos a Apple y su sistema operativo móvil iOS, en esta plataforma solo aparecieron el 0,7% de las amenazas en forma de malware, una cuota bastante baja. También sabemos que Symbian obtuvo el 19% y BlackBerry OS el 0,3%, una cantidad menor a la de Apple.


No es todo, es todavía más alarmante saber que únicamente durante el último trimestre de 2012, la cuota de malware en Android fue de 96%. De cada 100 ataques a plataformas móviles, solo 4 estaban dirigidos a Symbian y cero al resto de las plataformas estudiadas por F-Secure. Tengamos en cuenta que las amenazas más frecuentes son la de los troyanos, ya que representan el 66,1% de los ataques.


Mientras tanto, los mensajes SMS son una de las fuentes más comunes de las infecciones de malware, según señala el estudio. El documento en PDF también detalla los diversos tipos de malware que se pueden encontrar en los sistemas operativos, sobre todo en Android. ¿Qué opinan de la cantidad de malware en Android?

Fuente:
http://tecnologia21.com/68019/android-obtuvo-79-malware-2012?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+tecnologia21+%28Tecnolog%C3%ADa+21%29

Nuevos sitios de phishing contra clientes de los bancos BBVA Continental y de la Nación

Hace un momento se nos ha reportado otros dos casos de phishing. Al igual que en la entrada anterior, son mensajes de correo electrónico que provienen de no-reply@publimailer.com

pishing_06.03.2013_bnEn este caso redirecciona al navegador de la víctima a http://www.<dirección_protegida&gt;.cl/https/zonasegura1.bn.com.pe/Inicio.html, donde se carga la consabida pantalla de login (falsificada) del Banco de la Nación

pishing_06.03.2013_bn_serviempleo

En el mismo servidor, pero en los directorios http://www.<directorio_protegido&gt;.cl/tlpu/jsp/pe/esp/home/index.html y http://www.<directorio_protegido&gt;.cl/vip/index.html se podrán encontrar páginas falsificadas de acceso a la banca por Internet del Banco BBVA Continental.

pishing_06.03.2013_bn_continental

Estamos haciendo las coordinaciones con CLCERT.cl para que contacte al webmaster del sitio comprometido y elimine los artefactos. Recomendamos propaguen la noticia para evitar que sus usuarios se conviertan en víctimas.

 

Nuevo phishing contra clientes del Banco de la Nación

Una colega nos informa que ha detectado un correo fraudulento (phishing), enviado por no-reply@publimailer.com y que induce a hacer click en un enlace subrepticio que es http://www.zebraholding.ru/libraries/phputf8/native/login.php

pishing_05032013_bnEn una primera impresión, zebraholding.ru es un sitio lícito de una agencia de viajes pero viendo el website más al detalle se puede apreciar que la página web frontal no está con información válida sino con texto tipo “Loren ipsum”. Podría tratarse de un sitio fachada. En uno de sus subdirectorios es donde se hace una redirección a http://henrykraft.com/zonasegura1.bn.com.pe/Inicio, donde hasta hace un momento se cargaba el falso sitio de login del Banco

pishing_05032013_bn_henrykraft

Al momento de escribir esta entrada, mozilla ya ha bloqueado el sitio como “Reported Web Forgery” (Falsificación reportada de web). Adicionalmente, hemos contactado con uscert para que éstos a su vez tomen contacto con el webmaster y elimine el artefacto.