miércoles, 28 de diciembre de 2016

Cómo puedo rastrear correos electrónicos enviados desde mi cuenta personal

rastrear correos electronicos

Las grandes empresas llevan a cabo esta práctica. Obtener la información de lo que ocurre en cada correo electrónico enviado no es algo nuevo. La ubicación de un pixel en el correo electrónico (imperceptible para el usuario) permite recopilar toda la información del destinatario. Os vamos a enseñar cómo se pueden rastrear correos electrónicos enviados desde nuestra cuenta personal.

Para ello no vamos a necesitar llevar a cabo un proceso tedioso. Sin ir más lejos, cualquier servicio de mensajería que se encuentre entre los más utilizados permite añadir complementos para implementar esta funcionalidad. Yahoo! Mail, Outlook o Gmail son algunos ejemplos de servicios de correo con los que se puede llevar a cabo esta acción.

Para este artículo nos vamos a centrar en tres servicios:

Todos ellos tienen en común que ofrecen los horarios de apertura de los emails, el sistema operativo desde el que se ha producido la apertura, el navegador web y la versión utilizada y la localización aproximada. Cada servicio tiene después su propia personalización. En el caso del primero, añade un doble check al más puro estilo WhatsApp en la bandeja de salida.

Esta información es muy útil en lo que se refiere a temas comerciales. Permite la personalización de ofertas de productos en función del software utilizado y el envío de los correos electrónicos en un horario de lectura aproximado.

Aprende a detectar emails falsos y evitar infecciones malware

Aprende a detectar emails falsos y evitar infecciones malware

Algunos inconvenientes a la hora de rastrear correos electrónicos

El problema fundamental que aparece en función del servicio es que los datos aportados por la API son limitados. Esto quiere decir los responsables han tomado la decisión de cerrar el grifo de cierta información para cumplir con la política de privacidad que se ha hecho aceptar a los usuarios. Como resultado, a la hora de realizar el rastreo de los correos se obtiene poca información.

Por ejemplo, en el caso de Gmail, la información remitida se limita a la siguiente:

  • Hora de visita
  • Abierto desde Gmail

Mientras que en el caso de ProtonMail es la siguiente:

  • IP de apertura
  • Operador (al analizar la ip)
  • Hora de apertura
  • Teléfono con el que se abrió el email
  • Navegador
  • Wi-Fi o Datos (tras análisis de la ip)
  • Localización aproximada
  • Latitud
  • Longitud
  • Framework de desarrollo de la app móvil

La “fuga de datos” cambia en función del servicio utilizado, y es una situación que es susceptible a cambios.

Recomendaciones para utilizar el correo electrónico de manera segura

Recomendaciones para utilizar el correo electrónico de manera segura

Cómo implemento el rastreo de correos electrónicos

El funcionamiento es muy sencillo y no tienen ningún misterio. Se debe incluir una imagen dentro del correo electrónico. Para no llamar la atención siempre se utiliza una imagen blanca y de tamaño reducido. Al realizar la apertura del correo se produce una llamada para la carga de la imagen, quedando almacenada en los logs del servidor Apache. Será este el encargado de recopilar y almacenar la información.

Para realizar esta operación debemos subir la imagen a un servidor desde el que se pueda cargar la imagen adjunta en el correo electrónico. Esta URL se incluye en el cuerpo del correo electrónico y ya tendríamos nuestro sistema básico de rastreo de correos electrónicos. Para disponer de una mayor organización, es recomendable utilizar diferentes nombres para las imágenes.

Fuente > HoneySec

lunes, 12 de diciembre de 2016

Todo sobre Stegano y la actualidad del ransomware móvil

Bienvenido a un nuevo resumen semanal de noticias de seguridad, que incluye un análisis del exploit kit Stegano que infectaba publicidades online, consejos para padres en la era de Internet y los nuevos trucos del ransomware para Android.
Comencemos el repaso.

#1 El exploit kit Stegano se esconde en píxeles de publicidades maliciosas

Investigadores de ESET analizaron y describieron una campaña del exploit kit Stegano, que se escondía en publicidades maliciosas en webs populares como sitios de noticias. Su objetivo era aprovecharse de vulnerabilidades en Flash según la versión instalada en el sistema de la víctima.
A pesar de que está activo desde 2014, en la campaña más reciente los atacantes mejoraron sus tácticas, apuntado a países específicos. “Hemos observado dominios muy importantes, que incluyen sitios de noticias visitados por millones de personas por día, actuando como ‘referencias’ que alojan estos anuncios. Al llegar al espacio publicitario, el navegador muestra un banner ordinario al lector. Pero hay mucho más que una publicidad”, señalaron los investigadores.
Para más información sobre el funcionamiento del ataque y su impacto fuera del aspecto técnico, publicamos también una entrevista con Robert Lipovsky que lo explica en forma simple.

#2 El ransomware para Android sigue en expansión

El ransomware continúa creciendo incesantemente en múltiples plataformas, entre las que se incluyen los dispositivos móviles desde el año 2014. Como muestran nuestras detecciones, los usuarios de Android suelen ser víctimas de ataques de diversos tipos de malware de extorsión:
 
Anzahl der Android Ransomware Entdeckungen seit April 2014
 
Este año, los cibercriminales incorporaron métodos más sofisticados a sus conjuntos de herramientas; por ejemplo, esconder los payloads dentro de las aplicaciones cifrándolos para luego trasladarlos a la carpeta de activos, que se suele utilizar para guardar contenidos necesarios de la aplicación móvil. “Aunque las apps no tuvieran ninguna funcionalidad real en el exterior, en el interior tenían una herramienta de descifrado capaz de descifrar y ejecutar el ransomware”, explicó Ondrej Kubovič.

#3 Cómo ser padres en la era de Internet

David Harley, investigador de ESET, da consejos sobre seguridad infantil en una época en que ser padres requiere educación y diálogo permanente para formar parte del mundo de Internet:
Como padre, parte de tu responsabilidad es aprender lo suficiente sobre temas de seguridad para poder educar a tu hijo. En el siglo XXI, esto también incluye la ciberseguridad. Es cierto que la mayoría de la gente quiere proteger a sus hijos desde el principio, pero es igual de importante enseñarles a protegerse para los momentos en que los padres no estén presentes. Y nunca es demasiado pronto para iniciar el proceso.

#4 ¿Codificación, sinónimo de cifrado?

Son varios los conceptos de seguridad que generan confusión, sea por su sutil diferencia, por el arraigo en el subconsciente colectivo o por mitos que se van propagando entre los usuarios. Uno de ellos es que la codificación y el cifrado son lo mismo, a pesar de que están muy relacionados. Afortunadamente, Camilo Gutiérrez se dio a la tarea de aclarar la diferencia y describir cada uno
 
FUENTE: welivesecurity
 

viernes, 9 de diciembre de 2016

Técnicas de análisis forense en imágenes digitales

En días pasados se llevó a cabo la edición 2016 del Congreso Seguridad en Cómputo, organizado por la Coordinación de Seguridad de la Información/UNAM-CERT. Durante dos días, investigadores presentaron sus trabajos en diversas áreas de la seguridad para el Ciclo de Conferencias.

En su participación, José Miguel Baltazar Gálvez, especialista en seguridad del Instituto de Ecología de la UNAM, presentó su investigación denominada “Identificación de la fuente generadora de una imagen digital”, un desarrollo orientado a reconocer la marca y modelo de un dispositivo utilizado para generar una fotografía digital, durante los procesos de análisis forense

 

Desafíos en el proceso de análisis forense de imágenes digitales

El aumento en el uso de dispositivos electrónicos y sus diversas funcionalidades, ha contribuido al desarrollo del perfil técnico de analista forense digital, rol encargado de garantizar la certeza en el uso de una imagen digital que pretende utilizarse como evidencia en una investigación de carácter legal.

el análisis forense de imágenes digitales es relevante para determinar el origen y la autenticidad de una fotografía

Considerando que las imágenes pueden ser utilizadas para deslindar responsabilidades o como parte de la evidencia en un caso administrativo, civil o penal, el análisis forense de imágenes digitales adquiere relevancia para determinar el origen y la autenticidad de una fotografía, con el propósito de relacionar a un individuo con un dispositivo, lugar o evento.

Si además se considera que en la actualidad existen herramientas de manipulación de imágenes cada vez más sofisticadas, que dificultan la identificación de las características de interés, resulta útil la aplicación de este tipo de técnicas.

En este contexto, los retos que enfrenta el analista consisten principalmente el determinar el origen de la fotografía digital, conocer la marca, modelo y dispositivo específico utilizado para generar la fotografía, así como si se ha añadido, eliminado o modificado el contenido en la imagen.

Procedimiento Operativo Estándar (POE), una propuesta para el analista

El trabajo de investigación de Baltazar Gálvez se centra en el desarrollo de un procedimiento operativo estándar para la identificación de la fuente generadora de imágenes, a partir de tres técnicas: análisis de metadatos, análisis de matriz de cuantización y análisis de ruido de foto respuesta no uniforme (PRNU). Dicho procedimiento se compone de las siguientes etapas:

diagrama

  • Recomendaciones iniciales

En esta primera etapa se pretende contar con las condiciones idóneas para la identificación de información de interés. El punto de partida es la adquisición de la evidencia (imágenes con formato JPEG), de preferencia a partir de dos copias para garantizar su integridad. Además, se debe llevar a cabo la definición y manejo adecuado de la cadena de custodia, el resguardo de la evidencia y la caracterización del dispositivo móvil de estudio.

  • Definición del escenario de trabajo

La segunda etapa se enfoca a la aplicación metodológica del POE. Debido a que el propósito del procedimiento se centra en la identificación de la marca, modelo y dispositivo específico utilizado para la adquisición de una imagen digital, la organización de la información es fundamental para la obtención de resultados favorables. Por ello, se deben considerar los posibles escenarios: una imagen relacionada con un dispositivo, múltiples imágenes asociadas a un dispositivo o varias imágenes relacionadas con múltiples dispositivos.

analisis

  • Técnicas de análisis y desarrollo

Metadatos. La primera técnica de análisis es por metadatos, en la cual se extraen los datos de marca y modelo del objeto de estudio, mismos que son comparados con la información de una imagen de referencia. En este proceso el analista debe considerar otros elementos técnicos, como la versión del software utilizado, geolocalización o fecha de adquisición, de tal manera que esta información se pueda correlacionar con otros eventos. Aunque se trata de un análisis básico, es posible que la imagen haya sido alterada, incluso con la modificación de los metadatos, por lo que debe apoyarse de otras técnicas.

Análisis por matriz de cuantización o cuantificación. Para la aplicación de esta técnica también se requiere una referencia que permita llevar a cabo una comparación, pero en este caso se contabilizan y extraen las matrices de cuantización de cada imagen. También conocida como matriz de cuantificación, se trata de un conjunto de valores utilizados para la representación de dicha imagen; en este análisis son cotejados el número y contenido de cada matriz. Al igual que en el caso anterior, si existe una modificación de la imagen o los dispositivos caracterizados son de la misma marca y modelo, se requiere emplear otro tipo de análisis como PRNU.

Análisis de ruido de foto respuesta no uniforme (PRNU). El ruido de foto respuesta es una característica de cada sensor en una cámara digital. En este análisis se requiere contar con imágenes planas (bajo las mismas condiciones de luz y sin escena) con el dispositivo, que permite generar un patrón PRNU de referencia. Posteriormente, se obtiene el patrón PRNU de la imagen a analizar y se contrasta a través de un proceso de correlación. Una imagen digital adquirida con el dispositivo en cuestión obtiene un valor de correlación cercano a uno, mientras que para imágenes que no fueron obtenidas con el dispositivo analizado, los valores de correlación tienden a cero e incluso pueden ser negativos.

matriz

  • Reporte ejecutivo y técnico

La última fase del proyecto consiste en la generación de un informe ejecutivo y técnico sobre los resultados de las comparaciones, a partir del procedimiento operativo estándar. En esta última fase se plasma en un documento la información arrojada por los diferentes análisis aplicados a las imágenes de estudio.

 

Técnicas de análisis y herramientas para el analista forense digital

Como parte de su contribución, José Miguel presentó la herramienta “AnálisisJPEG” para la comparación automática de metadatos y matrices de cuantización. Al finalizar su participación, concluye que “el procedimiento y las técnicas propuestas son una herramienta de ayuda para el analista”. Por esta razón, se debe realizar un proceso de investigación minucioso para que la evidencia pueda ser utilizada como prueba en un proceso de índole legal o simplemente para deslindar responsabilidades.

Finalmente, recomienda profundizar en las técnicas existentes así como desarrollar nuevos métodos de análisis en el ámbito de las imágenes digitales. Además, destaca que las técnicas y herramientas requieren de la interpretación y correlación con otros eventos, de manera que el analista pueda emitir una conclusión contundente.

FUENTE: WeLiveSecurity

jueves, 8 de diciembre de 2016

"La mitad de la Dark Web es legal" [Estudio]

A pesar de la típica reputación de "sitio nefasto repleto de actividades ilícitas", la Dark Web o Web Oscura es en su mayoría legal, según un nuevo informe de una investigación realizada por Terbium Labs.


"Separar el hecho de la ficción: la verdad sobre la web oscura" [PDF], escrito por Clare Gollnic y Emily Wilson, dos investigadores de una empresa de inteligencia de datos en la Dark Web de Baltimore, derriba muchos mitos acerca de lo que la gente piensa sobre la web oscura y pretende desacreditar los informes anteriores que ofrecen poco más que hipótesis superficiales.

Evidentemente el estudio se basa en el análisis de contenido que detectó, la mayoría en la red Tor. Pero afirmando que evitan el sesgo de selección en su muestreo, los investigadores encontraron que el contenido legal comprende el 53.4 por ciento de todos los dominios y 54.5 por ciento de todas las URLs recogidas.


El extremismo no fue un factor predominante, representando sólo el 0.25 por ciento de la actividad detectada, y no se encontró ninguna mención sobre venta de armas de destrucción masiva en las 400 URLs que tomaron de muestra. Las páginas relacionadas con distintas técnicas de hacking y exploits supusieron el 1,3%. Por otro lado la pornografía está ampliamente extendida si bien no significa que toda ella sea ilegal.

La actividad ilícita más vista en el estudio fue la venta de drogas, presente en el 45 por ciento de todas las publicaciones ilegales, aunque sólo representaba un 12 por ciento del contenido general.


En fin, un estudio bastante interesante cuyo paper podéis descargar en:
https://terbiumlabs.com/darkwebstudy.html

martes, 6 de diciembre de 2016

El modelo de negocio del cibercrimen y su cadena de valor

El panorama de seguridad ha evolucionado a un ambiente donde gran parte de las amenazas informáticas se desarrollan con el propósito de generar ganancias económicas para sus creadores o financiadores. A partir de esta premisa, distintas modalidades de ataques o amenazas han proliferado y evolucionado para afectar a una mayor cantidad de usuarios u organizaciones.
los creadores de amenazas extienden su portafolio hacia un mercado que demanda este tipo de servicios
El “modelo de negocio” de la ciberdelincuencia se basa en la creación de una cadena de valor, ofreciendo incluso nuevas modalidades, por ejemplo el cibercrimen como servicio (cybercrime-as-a-service), es decir, la práctica de facilitar actividades ilegales a través de servicios. En otras palabras, cualquier persona podría adquirir todo lo necesario para organizar fraudes o ataques cibernéticos, independientemente de sus habilidades o conocimientos técnicos.

Servicios del cibercrimen al mejor postor

El modelo de venta de servicios representa la evolución natural de la oferta en un mercado que responde a una demanda en constante crecimiento. Esto significa que los desarrolladores de amenazas informáticas, además de obtener beneficios económicos a través de monetizar información robada o secuestrar datos, han comenzado a extender su portafolio, sus actividades y sus operaciones, hacia un mercado que demanda este tipo de servicios, ya sea para afectar empresas, industrias, usuarios, o bien, gobiernos.
  • Fraud as a Service (FaaS)
En el ámbito del cibercrimen, una de las industrias más afectadas por los fraudes es la banca. Una cantidad importante de amenazas de la era digital se ha desarrollado para generar pérdidas a los usuarios, principalmente del sistema de tarjetas de crédito y débito, aunque el fraude no se limita a únicamente a esta opción de transacciones.
Del mismo modo, la variedad de amenazas va desde el robo de tarjetas, el skimming y la Ingeniería Social hasta ataques de phishing, malware como PoS (Point of Sale) o troyanos bancarios, todos con el propósito de obtener información bancaria. En este contexto, el fraude como servicio se puede ofrecer desde la venta de herramientas para llevar a cabo skimming, hasta códigos maliciosos especialmente desarrollados para el robo de información financiera, tal como Zeus.
  • Malware as a Service (MaaS)
Por otro lado, desde algunos años los códigos maliciosos han comenzado a ser ofrecidos como un servicio, desarrollados para actividades epecíficas y de manera paralela con kits de explotación. Una vez que se infiltran en sistemas a partir de vulnerabilidades, pueden introducir malware para robar información y contraseñas, espiar las actividades de los usuarios y enviar spam, así como acceder y controlar de manera remota los equipos infectados a través de una infraestructura completa de Comando y Control (C&C).
Este mismo principio ha sido utilizado para comenzar a propagar ransomware, es decir, códigos maliciosos enfocados en secuestrar archivos o sistemas y solicitar un pago como rescate, llevando a un nuevo nivel el principio de la extorsión aplicada al ámbito digital. Kits de exploits o botnets como Betabot han comenzado a diversificar sus actividades maliciosas.
  • Ransomware as a Service (RaaS)
La idea principal del ransomware como servicio se centra en el hecho de que los desarrolladores de esta amenaza no son los encargados de propagarla, su función se limita al desarrollo de herramientas capaces de generar este tipo de malware de forma automática. De esta manera, otro grupo de personas se encarga de crearlo a partir de estas herramientas y propagarlo, independientemente de sus habilidades o conocimientos técnicos.
En este modelo de negocio, tanto los desarrolladores de las herramientas para la generación de ransomware como los encargados de esparcirlo obtienen ganancias económicas, en una relación “win-win”. Un ejemplo conocido de ransomware como servicio lo encontramos en Tox.
  • Attacks as a Service (AaaS)
En el mismo contexto, los ataques pueden ser ofrecidos como servicios. Por ejemplo, distintos ataques como denegaciones de servicio distribuidas (DDoS) pueden ser el resultado de un amplio número de equipos infectados pertenecientes a una botnet que son ofrecidos y alquilados para llevar a cabo este tipo de ataques. Además, pueden ser utilizados para propagar más códigos malicisos, enviar correos no deseados de manera masiva, o incluso ser utilizados para minar bitcoins.

El desarrollo del cibercrimen y los paradigmas de ciberseguridad

cibercrimen
 
Como se observa, se trata de todo un conjunto de amenazas informáticas que pueden interactuar para ofrecer nuevas posibilidades a la industria del cibercrimen, mismos que se encuentran disponibles para cualquier persona que cuente con los recursos suficientes para adquirirlos.
En el ámbito de la ciberseguridad, es importante recalcar que las nuevas condiciones que han venido evolucionando en los últimos años enfrentan a dos partes: los encargados de la protección de los activos más importantes en las organizaciones, frente a grupos especializados y organizados que invierten recursos como tiempo y dinero para desarrollar estos servicios de cibercrimen, en un mercado que los sigue requiriendo.
 
En este contexto, la gestión de la seguridad de la información ha pasado de pensar si la organización puede o no ser afectada, hacia un enfoque en el cual se da por hecho que la organización será atacada, solo es cuestión de tiempo para que eso suceda. Por ello, desde esta perspectiva las medidas de protección pueden resultar proactivas, es decir, idear escenarios realistas en los cuales la información u otros activos críticos pueden ser afectados, por lo que los procesos e información deben ser protegidos a través de un enfoque holístico.
 
Lo anterior también conlleva al desarrollo de estrategias de seguridad defensivas, ofensivas, reactivas y proactivas, para intentar evitar o remediar incidentes de seguridad, reduciendo los riesgos hasta un nivel aceptable, de acuerdo con la aversión o propensión al riesgo de cada organización. Además, el enfoque entiende la seguridad como un proceso transversal a las actividades esenciales del negocio y que debe ser mejorado de manera permanente.

lunes, 5 de diciembre de 2016

ESTADOS UNIDOS AUTORIZA AL FBI A HACKEAR CUALQUIER ORDENADOR DEL MUNDO

Las diferentes agencias y cuerpos de seguridad de los Estados Unidos, según ha revelado Edward Snowden en varias ocasiones y las diferentes filtraciones al respecto así lo demuestran, llevan a cabo todo tipo de prácticas de espionaje internacional. Y ahora, los tribunales han autorizado a que cualquier juez del país tengan autoridad para autorizar al FBI en el hackeo de un ordenador ubicado en cualquier parte del mundo. No sólo afecta a los ciudadanos y usuarios de ordenadores de los Estados Unidos, sino a los de cualquier país, según la histórica resolución del país americano.

Ahora el FBI podrá hackear cualquier ordenador en cualquier parte del mundo por orden judicial


En los últimos meses, las alertas han saltado cuando, después de la negativa de la firma de Cupertino a colaborar en el desbloqueo del teléfono inteligente iPhone del terrorista de San Bernardino, el FBI terminó consiguiendo su propósito por otras vías. La vulneración de los sistemas de seguridad de otras compañías de todo el mundo ha sido noticia en reiteradas ocasiones, y con su colaboración prestada al FBI o sin ella. Pero ahora, con la resolución del Tribunal Supremo de los Estados Unidos, se ha modificado la norma 41 de la Ley Federal de Procedimiento Criminal para ampliar las autorizaciones en estos términos.


La modificación sobre la legislación permitirá a cualquier juez autorizar a un agente del FBI para saltar los sistemas informáticos de seguridad de cualquier PC en todo el mundo. Uno de los horizontes más atractivos para la inteligencia de los Estados Unidos es la Deep Web, donde hasta ahora no había sido permitida la autorización para el rastreo de la identidad de usuarios en la red Tor. Y como con cualquier cambio de este tipo, los tribunales estadounidenses se ha apoyado en la lucha contra el terrorismo y la delincuencia a través de la Red.

Dentro de esta anterior, la red Tor, en las últimas semanas se ha podido conocer cómo fue descubierto un usuario con fotografías íntimas de menores. Y es que, aunque la red Tor dificulta el rastreo de la identidad más allá de las posibilidades de una red privada virtual o VPN, normalmente son las torpezas de los usuarios de la Deep Web las que terminan con detenciones tras la identificación de los sospechosos.

Ver información original al respecto en Fuente:
http://es.gizmodo.com/el-fbi-obtiene-ca ... 1789565219