Etiqueta: ataques

Actualiza el plugin Yoast WordPress SEO pues se le ha encontrado una grave vulnerabilidad

Publicado el

por Juan David Quiñónez

yoast wordpress seo

Atención webmasters que se valen del plugin WordPress SEO by Yoast pues reportan varios portales que en versiones anteriores a la 1.7.4. se ha detectado una grave vulnerabilidad que puede poner en riesgo a millones de sitios web.

La falla se ha solucionado en la más reciente versión de este fantástico y popular plugin diseñado para optimizar automáticamente múltiples caracterí­sticas relacionadas al SEO (sitemaps, reescritura de tí­tulos, metadatos sociales, exclusiones de indexación, etc.) en cualquier sitio web WordPress.

En fin, dicha versión es la 1.7.4 y 1.5.3 para quienes pagan por la versión premium, así­ que si no cuentas con ella(s) se recomienda que actualices lo más pronto posible el plugin -desde el panel de WordPress o manualmente desde la galerí­a de plugins de WordPress.org– para minimizar la probabilidad de un ataque de ese tipo.

En cuanto a los detalles de la vulnerabilidad, se menciona la posibilidad de su aprovechamiento para ejecutar ataques de inyección SQL a ciegas o Blind SQL injection. Por cierto, ha sido el creador del plugin WPScan quien le ha descubierto y en la página de dicha herramienta ha publicado un extenso reporte técnico con lo conseguido -eso sí­, lo compartió tan pronto Yoast dio con la solución-.

Más información: Sitio web de Yoast | Fuente: The Hacker News

Lizard Squad (responsable de los ataques a PlayStation y Xbox) ataca la web de Malaysia Airlines

Publicado el

por Sergio Asenjo

Hace apenas unas semanas os hablamos del ataque informático por parte del grupo Lizard Squad a los servicios Xbox Live y PlayStation Network, un movimiento que dejó sin conexión multijugador a millones de jugadores distintos de todo el mundo. Ahora, este grupo se ha atribuido el ataque a la página web de la aerolí­nea Malaysia Airlines.

Al momento de escribir estas lineas, si accedemos al sitio web de la aerolí­nea este tiene el aspecto que podéis ver en la imagen que ilustra este artí­culo. Como se puede apreciar, en la parte superior de la web se muestra un mensaje con el caracterí­stico error 404 que se muestra cuando una web no está accesible, pero con la peculiaridad de que en esta ocasión leemos «404 – Plane Not Found» (404 – Avión no encontrado), una supuesta referencia al vuelo MH370 que fue declarado como desaparecido durante el pasado mes de marzo, así­ como al MH17, más recientemente derribado. Además, mientras permanecemos en la web se reproduce una canción de rap con la que se celebran logros como el ataque a Xbox Live y PlayStation Network. En la cuenta de Facebook de la aerolí­nea, esta afirma que sus servidores están intactos y no se ha producido robo de información personal de los usuarios de la web. Además, aprovechan para comunicar que el ataque DNS ha sido resuelto y que el sitio web volverá a estar operativo en unas 22 horas. A pesar de ello, el grupo ha publicado un tweet en el que afirma haber encontrado información de interés acerca de la aerolí­nea que compartirán próximamente.

Permaneceremos atentos por si se produjese alguna novedad relacionada con este asunto.

Link: Malaysia Airlines.

Obama presentarí­a una propuesta de ley que obligarí­a a las empresas a informar en 30 dí­as en caso de ataque informático

Publicado el

por Sergio Asenjo

Tras los recientes ataques a Sony, parece ser que en la Casa Blanca están decididos a hacer todo lo posible para que este tipo de situaciones afecten lo menos posible a los usuarios de los sitios web o empresas atacadas. El motivo es que, tal y como se hacen eco desde el New York Times, el presidente de los Estados Unidos estarí­a preparando un proyecto de ley con el que asegurarse de que las empresas americanas comunican con prontitud este tipo de ataques.

Tal y como ha indicado la fuente (que ha decidido permanecer en el anonimato) Obama darí­a a conocer todos los detalles acerca de este proyecto de ley durante el dí­a de hoy en su discurso para la Comisión Federal del Comercio. El objetivo de esta medida es preservar la seguridad y privacidad de los datos de los usuarios que hayan podido estar expuestos a ataques informáticos, de modo que estos puedan cambiar sus contraseñas y asegurarse de que todo está correcto. Si finalmente se aprueba esta ley, las empresas americanas afectadas por un ataque informático en el que la seguridad de los datos bancarios de los usuarios esté en juego, tendrí­an la obligación de comunicarlo en un plazo de 30 dí­as desde que se descubra la amenaza. De no hacerlo, se enfrentarí­an a posibles sanciones económicas.

Además, Obama podrí­a presentar también una propuesta de ley adicional que impedirí­a que las empresas utilicen los datos privados de los estudiantes obtenidos en las universidades y demás instituciones educativas con el objetivo de obtener un beneficio económico, medida que surgirí­a por el cada vez mayor uso de dispositivos electrónicos y conexiones a Internet en las aulas.

Fuente: The New York Times | Imagen: jamesomalley de Flickr.

Quienes atacaron Xbox Live y PS Network podrí­an estar planeando tumbar la red TOR. Aquí­ la historia

Publicado el

por Juan David Quiñónez

Tor Project Anonymity Online

Dejamos un instante la novela de The Interview para concentrarnos en la que ahora envuelve a millones de videojugadores de todo el mundo incluyendo a los nuevos dueños de Xbox One y PS4 quienes no han podido acceder a la red de sus consolas para jugar en lí­nea, respectivamente, Xbox Live y PS Network. Ambas siguen caí­das y/o con limitaciones, pero los supuestos atacantes, Lizard Squad (@LizardMafia), han afirmado que ya han detenido su ataque:

Así­ es, como se ve en el tweet, Kim Dotcom, el millonario propietario de Megaupload y su resurreción, Mega, les ha ofrecido acceso a miles de cuentas gratuitas y de por vida a este último servicio de alojamiento de archivos para que dejaran en paz, de inmediato y en un futuro, los ataques a Xbox Live y PS Network:

Sin embargo, todo indica que sus futuros ataques irí­an a parar a otra red de usuarios:

Así­ es, la misma red que permite acceder a tantos usuarios de forma privada y anónima a contenidos online, incluso ilí­citos, serí­a la siguiente ví­ctima de sus ataques:

En The Verge destacan el funcionamiento de la red TOR por relays o nodos, por lo que tratar de atacarle implicarí­a quedarse con el control de ellos, algo en el orden de los 3.000 o más relays. Pues bien, en The Verge también presentan una prueba visual, compartida por Nadim Kobeissi (@kaepora), de numerosas y recientes peticiones acompañadas del nombre LizardNSA en la red Tor:

La gente del proyecto TOR parece haberse pronunciado desestimando sus posibilidades debido al requerimiento de recurrir al control de una enorme cantidad de relays para ejecutar un ataque tipo Sybil, por lo que han eliminado las peticiones marcadas con el tí­tulo de LizardNSA (a.k.a, probablemente, Lizard Squad). A esto, el supuesto grupo atacante responde en su perfil en Twitter:

Mejor dicho, que es algo infundado y que la gente del proyecto TOR debe pedirles disculpas a menos de que deseen sufrir las consecuencias (“a ton of bricks…”).

Pero terminamos la historia con una perla: Ya que es complicado apoderarse de tantos relays aún con miles de nuevas peticiones, podrí­a estarse optando por sobornar a quienes ya los manejan ¿Y qué clase de soborno usarí­an? Cuentas ilimitadas en Mega, las mismas que Kim Dotcom les regaló para detener sus ataques a las redes de videojuegos En este enlace en Reddit mencionan este “pequeño detalle”.

La novela continúa…

Los consejos de la campaña #NoHacked de Google han sido consultados por cerca de un millón de usuarios

Publicado el

por Fco. José Hidalgo

Meses atrás, ya os comentamos acerca de la campaña #NoHacked lanzada por Google, que tení­a como objetivos la sensibilización de los usuarios ante los ataques que se producen a través de las vulnerabilidades de los sitios web y ofrecerles consejos de cómo proteger sus sitios web ante los posibles ataques que pudieran sufrir.

Pues bien, Google informa a través del Blog para Webmasters que dicha campaña, lanzada en 11 idiomas diferentes a través de diferentes ví­as sociales, ha permitido a cerca de un millón de personas la consulta de los consejos publicados, en el que cientos de usuarios también han usado la etiqueta #NoHacked para fomentar la sensibilización aportando sus propios consejos.

nohacked

Dicha información recopila algunos de los consejos obtenidos a través de la campaña, como evitar el uso de software pirateado, el uso de distintas contraseñas con cambios periódicos de las mismas, la elección de buenas compañí­as de alojamientos web o una conocida para los expertos de WordPress, el uso de un prefijo diferente al que viene por defecto en wp-config para reducir el riesgo de que las bases de datos sean hackeadas, entre otros.

Pese a la finalización de la campaña, Google anima a seguir utilizándola para compartir nuevos consejos o experiencias propias sobre la prevención y sensibilización acerca de la piraterí­a. También ofrece un enlace para aquellos usuarios que hayan sido ví­ctimas de un ataque, puedan seguir una serie de pasos para recuperar sus sitios web de una forma «rápida y sólida». En cualquier caso, también ofrece su foro de ayuda para que puedan encontrar respuestas a sus inquietudes o plantear otras nuevas.

Un grupo de hackers ha tenido acceso a las cuentas de 1.000 usuarios de StubHub

Publicado el

por Sergio Asenjo

Acaba de salir a la luz que StubHub, el sitio web de reventa de entradas del que eBay es propietario, ha sufrido un importante ataque a manos de un grupo de hackers que supuestamente habrí­an tenido acceso a las cuentas de alrededor de 1.000 usuarios.

Al menos esto es lo que han comunicado desde Reuters, afirmando que los hackers habrí­an logrado acceder a sus cuentas tras hacerse con los datos de los usuarios aprovechando brechas de seguridad de otros sitios web. Un portavoz de la compañí­a ha hecho hincapié en que los datos han sido obtenidos de otros sitios web, por lo que los hackers nunca han tenido acceso a sus sistemas. La compañí­a comenzó a detectar transacciones no autorizadas hace aproximadamente un año, momento en el cual comenzaron a investigar la situación junto con las autoridades. Ahora, cerca de un año después, el equipo de StubHub ha afirmado que han descubierto a los responsables del ataque tras una complicada operación, gracias a la cual han descubierto que habrí­a sido llevado a cabo por una enorme red de estafadores de Internet.

Se espera que a lo largo del dí­a de hoy se den más detalles acerca de la repercusión del ataque, además de anunciar las detenciones de los responsables. Sin duda, un nuevo golpe a la confianza de los usuarios de Internet.

Actualización: Tal y como se ha confirmado posteriormente, el fraude ascenderí­a hasta el millón de dólares, y ya se ha anunciado el arresto y acusación de seis personas relacionadas con los crí­menes.

Bluebox Heartbleed Scanner nos permite conocer los puntos vulnerables de nuestros dispositivos Android

Publicado el

por Fco. José Hidalgo

Bluebox Heartbleed Scanner

Quien más y quien menos, muchos usuarios hemos escuchado hablar últimamente de Heartbleed, que es el nombre que ha recibido la vulnerabilidad recientemente descubierta en la versión 1.0.1 y 1.0.1f de la librerí­a OpenSSL, implementada en muchos de los servicios de Internet que usamos actualmente. Como os comentamos recientemente, esto permitirí­a a los atacantes entrar en los servidores que usan dichas librerí­as para la obtención de los datos sensibles. Los datos que podrí­an obtener pueden ser desde nombres de usuario y contraseña, e incluso hasta datos bancarios. Lo cierto es que los expertos no se ponen de acuerdo para determinar el alcance de la gravedad de esta vulnerabilidad ni qué datos están en peligro, y también que ya hay servicios que se han puesto manos a la obra a parchear dichas librerí­as o implementar otras soluciones.

Nosotros los usuarios poco podemos hacer, y tratándose de nuestros dispositivos Android, una de esas pocas cosas que podemos hacer es instalarnos la aplicación Bluebox Heartbleed Scanner, que presentan desde Android Police y que podemos descargar gratuitamente desde Google Play. La misión de esta aplicación consiste en escanear las aplicaciones que tengamos instaladas para localizar aquellas que dispongan de las bibliotecas afectadas y si además están activadas, ofreciendo posteriormente un informe indicándonos si nuestros terminales corren el peligro de sufrir ataques. Según el citado medio, todas las versiones de AOSP desde la 4.1 en adelante contienen versiones vulnerables de OpenSSL, donde sólo Android 4.1.1 tení­a la vulnerabilidad activada, existiendo la posibilidad de que fabricantes hayan modificado sus ROMs personalizadas quitando la vulnerabilidad, «aunque es bastante improbable».

En cualquier caso, si queremos descubrir si tenemos puntos débiles en nuestros dispositivos, Bluebox Heartbleed Scanner nos ofrecerá la información que necesitamos, disponible para dispositivos Android desde la versión 2.3.3 en adelante, donde además, tenemos más información al respecto que la propia compañí­a ha publicado en su blog.

Desarrolladores lanzan nueva versión de Bitcoin para prevenir nuevos problemas en transacciones

Publicado el

por Fco. José Hidalgo

Bitcoin

¿Volverá a producirse problemas en las plataformas de transacciones de Bitcoins como la que ocurrió recientemente con Mt.Gox? La intención de los desarrolladores que contribuyen a su código es que no, pretendiéndolo evitar a través de la nueva versión que acaban de lanzar de Bitcoin Core, la 0.9.0, conteniendo cinco cambios enfocados a prevenir nuevos ataques de maleabilidad en las transacciones, basándose en la explicación oficial ofrecida por Mt.Gox ante la pérdida de Bitcoins, según informa Ars Technica y recoge VentureBeat.

El problema es que las transacciones malformadas son similares a las transacciones legí­timas, previamente procesadas, engañando a la propia aplicación de Bitcoin, cuyos registros no se sincronizan con el blockchain de Bitcoin, dejando una notable diferencia entre la ubicación real de los fondos y los registros de las transacciones.

Bitcoin Core 0.9.0 ahora posee normas más estrictas para las transacciones, de manera que las transacciones ilegí­timas o mutadas no serán transmitidas o extraí­das. Esta nueva versión también ofrecerán informes acerca de las transacciones conflictivas y de casos de doble gasto.

Para el lanzamiento, los desarrolladores dejaron una nota enfocado a los usuarios, indicándoles que si ejecutan versiones anteriores de este sotware, lo apaguen, esperando a que esté apagado por completo para proceder a la desinstalación de todas las versiones anteriores y lanzar el programa de instalación de la nueva versión. En el caso de usuarios que dispongan de la versión 0.7.2 o anterior, la primera vez que se ejecute la versión 0.9.0 reindexará todos los archivos blockchain, pudiendo tomar desde 30 minutos hasta varias horas, dependiendo de la velocidad del propio ordenador. Concretamente a los usuarios del sistema operativo Windows les recomienda la desinstalación de todas las versiones anteriores, sobre todo, si van cambiar a la versión de 64 bits.

VentureBeat indica además que Mt.Gox ha anunciado que ha encontrado una vieja billetera llena de 200.000 Bitcoins, con un valor aproximado de 116 millones de dólares.

Kickstarter ha sufrido ataques a sus sistemas esta semana

Publicado el

por Fco. José Hidalgo

Kickstarter

Ni las plataformas de crowdfunding están a salvo de los ataques a sus sistemas. Kickstarter también ha sido ví­ctima de los ataques, según informa la propia plataforma a través de un mensaje de correo electrónico a sus usuarios y a través del propio blog oficial ayer sábado por la tarde, según recoge re/code, indicando que la noche del miércoles, funcionarios judiciales se pudieron en contacto con la propia plataforma para alertarla de de que hackers habí­an solicitado y obtenido acceso no autorizado a algunos de los datos de sus clientes, según declaraciones de Yancey Strickler, CEO de la compañí­a.

Inmediatamente, la propia plataforma ha procedido a cerrar la brecha de seguridad y a reforzar todo su sistema, instando además a los usuarios a cambiar sus contraseñas incluso en aquellos sitios donde usan las mismas. De momento se desconoce la autorí­a de los ataques, el número de cuentas afectadas o el motivo por el que se tardó varios dí­as en avisar a los usuarios. En este sentido, la propia plataforma ha publicado una sección de preguntas frecuentes para ofrecer las explicaciones necesarias para los usuarios, sobre todo, ante las presiones recibidas a través de Twitter solicitando respuestas desde que se conoció la noticia.

Según la propia plataforma, se ha robado una cantidad de información personal, incluyendo nombres de usuario, direcciones de correo electrónico, direcciones fí­sicas, números de teléfono y contraseñas cifradas, aunque las mismas no han sido mostradas, pero se pueden dar casos de que personas con malas intenciones y con la suficiente potencia de cálculo hayan podido acceder a ellas y descifrarlas. En lo que respecta a las tarjetas de crédito, esta información no se ha visto comprometida, añadiendo además de que nunca almacena los números completos de las mismas, guardando únicamente los cuatro últimos dí­gitos «para compromisos a proyectos externos a los EE.UU.»

Aún quedan por responder una serie de preguntas realizadas desde re/code.

Google anuncia su escudo protector para sitios web, Project Shield, para protegerlos de ataques DDoS

Publicado el

por Fco. José Hidalgo

google shield

Hay veces en el que las informaciones que circulan libremente por Internet no son del agrado de ciertas personas o colectivos, quienes podrán tratar de silenciar dichas informaciones atacando a las páginas que las contengan a través de los llamado ataques de denegación de servicio (DDoS). No todos los responsables de sitios web tienen los recursos adecuados para proteger sus propias páginas mitigando los ataques mediante la implantación de sistemas CDN u otros recursos.

En este sentido, desde Google Ideas anuncian a través de su perfil en Google+ la apertura, mediante invitaciones, a su servicio Project Shield, enfocado a aquellos responsables de sitios web de noticias independientes, de derechos humanos, de contenidos relacionados con las elecciones, entre otros, que puedan sufrir ataques por los contenidos que ofrecen en sus publicaciones. Para ello, los responsables deberán rellenar un formulario con objeto de que puedan ser seleccionados a participar en las pruebas. Y respecto a las pruebas, Google Ideas dice que en el último año, este servicio ha sido utilizado con éxito por publicaciones como Balatarin, un blog de contenido polí­tico y social en lengua personal, o Aymta, sitio especializado en ofrecer alertas tempranas de misiles cloud a la gente de Siria.

La idea es que los responsables de sitios web puedan ofrecer libremente sus contenidos a través de la infraestructura tecnológica de Google, combinando la tecnologí­a de mitigación de Google junto con el servicio Page Speed. Desde luego que este servicio servirí­a de escudo ante los posibles ataques que puedan sufrir determinados sitios web por los contenidos que ofrecen, más en el mundo cada vez más globalizado en el que vivimos.

Enlace: Project Shield | Mapa de ataques DDoS: digitalattackmap.com

Os dejamos con el ví­deo de presentación:
Continúa leyendo «Google anuncia su escudo protector para sitios web, Project Shield, para protegerlos de ataques DDoS»