¿Cómo extraer datos forenses de tu ANDROID?

En este artículo, os voy a hablar de la utilización de los programas que se utilizan en el día a día en la informática forense y la exanimación para el análisis de los dispositivos móviles que ejecutan el sistema operativo Android.

INTRODUCCIÓN

La mayoría de los dispositivos móviles en el mundo ejecutan el sistema operativo Android. Durante la exanimación de los dispositivos móviles que ejecutan el sistema operativo Android (en adelante, dispositivos móviles) expertos de informática forense se enfrentan a las siguientes dificultades:

• No hay un programa de informática forense que soporte la extracción de datos de todos los dispositivos móviles existentes en el mundo.
• Hay un gran número de programas diseñados para el sistema operativo Android, en los cuales los datos podrían ser potencialmente interesantes para los investigadores de pruebas de penetración. Hasta el momento, no existe un programa de apoyo de análisis forense de los registros y los datos de todos esos programas.
• El tiempo, cuando los investigadores estaban interesados en los datos de una libreta de teléfonos, llamadas, mensajes SMS que fueron extraídos por el experto de pruebas de penetración, ha pasado. Ahora también están interesados en la historia de los recursos de la red (datos de navegadores), la historia de los programas de intercambio de mensajes cortos, los archivos eliminados (archivos gráficos, vídeos, bases de datos SQLite, etc.) y otra información criminalística valiosa acuerdo una encuesta de empresas de pruebas de penetración.
• Los delincuentes a menudo eliminan los archivos de la memoria de sus dispositivos móviles, tratando de ocultar información sobre el crimen cometido.
• Los laboratorios de informática forense y subdivisiones de pruebas de penetración que examinan no pueden permitirse el lujo de comprar paquetes de software especializado, debido al alto costo. 

SOLUCIÓN PARA ESTO

EXTRACCIÓN DE DATOS FÍSICOS DE LOS DISPOSITIVOS MÓVILES

Teniendo en cuenta el hecho de que los investigadores también están interesados en los archivos borrados que se encuentran en la memoria de los dispositivos móviles, los expertos de informática forense tienen que hacer la extracción de datos físicos de la memoria del dispositivo móvil. Eso significa que los expertos de análisis forense tienen que obtener una copia completa del dispositivo examinado. Un experto de análisis forense puede hacer un volcado de memoria física utilizando los métodos siguientes:

• Extracción de los datos directamente de los chips de memoria del dispositivo móvil utilizando el método de Chip-off. Según alguna empresa de pruebas de penetración, este método es el más difícil de extracción de datos, pero a veces es la única manera de extraer los datos desde el dispositivo.
• La extracción de datos desde la memoria del dispositivo móvil utilizando la interfaz JTAG de depuración. Este método permite extraer datos de los dispositivos que tengan insignificantes daños en hardware y software.
• Extracción de los datos de a través de programas especializados (por ejemplo,Oxygen Forensic Suit) y complejos hardware-software (.XRY (Micro Systemation), UFED (CellebriteForensics), Secure View 3.
• Creación de copia de la memoria del dispositivo móvil manualmente.

Métodos combinados según expertos de informática forense y pruebas de penetración.

EXTRACCIÓN DE DATOS LÓGICOS DE LOS DISPOSITIVOS MÓVILES

No importa qué método los expertos análisis forense utilicen para obtener la copia de memoria del dispositivo móvil, al final un experto de análisis forense va a recibir un archivo (o varios archivos), los cuales tienen que ser examinados de alguna manera y que necesita extraer los datos necesarios.

En este caso, la tarea del experto de análisis forense es la extracción solamente de datos lógicos que se encuentran en la copia de la memoria de un dispositivo móvil que ejecuta el sistema operativo Android, se puede montar una imagen recibida en FTK Imager o UFS Explorer. Según expertos de pruebas de penetración, las copias de memoria de los dispositivos móviles que ejecutan el sistema operativo Android por lo general contienen un gran número de particiones lógicas. Los datos del usuario en dispositivos móviles están en la partición lógica, que se nombra USERDATA. De esta partición, puedes extraer datos tales como bases de datos, vídeos, archivos gráficos, archivos de audio, etc.

Particiones lógicas en Android. Ejemplo.

LA DESCODIFICACIÓN DE LA BASE DE DATOS SQLIT

Como regla general, las bases de datos SQLite extraídas de la memoria de copia del dispositivo móvil son de sumo interés para los expertos de análisis forense. En primer lugar, está conectado con el hecho de que la información criminalística valiosa se almacena en este formato. Según expertos de pruebas de penetración, en bases de datos SQLite se almacenan los datos siguientes: una agenda de teléfonos, llamadas, mensajes SMS, mensajes MMS, diccionarios, los datos de los dispositivos móviles de los navegadores web, registros de sistema del dispositivo móvil y etc.

Algunos investigadores proponen utilizar dos programas para decodificar los archivos de bases de datos SQLite: DCode v4.02a, SQLite Database Browser 2.0b1. En caso de que nosotros usemos la combinación de estos programas, todavía hay un problema en la recuperación y el análisis de los archivos borrados.

Una de las herramientas que solucionan este problema Oxygen Forensic SQLite Viewer.

RECUPERACIÓN DE DATOS Y ARCHIVOS BORRADOS

La recuperación de los datos y los archivos borrados de los dispositivos móviles es un proceso complicado. No es común, pero la mayor parte de los programas de análisis forense no son compatibles con el sistema de archivos YAFFS2. Por eso el experto de informática forense puede encontrarse a sí mismo en una situación en que su programa no es capaz de recuperar algo de la descarga de memoria del dispositivo móvil durante el examen de copia física de los dispositivos móviles que ejecutan el sistema operativo Android. 

Como muestra de una experiencia de análisis forense práctica, es difícil recuperar vídeos borrados y archivos de gran tamaño de esas copias.

UFS Explorer, R-Studio mostró los mejores resultados en la esfera de la recuperación de datos borrados de dispositivos móviles que ejecutan el sistema operativo Android.

Para la recuperación de datos borrados y los archivos de dispositivos móviles que ejecutan el sistema operativo Android los cuales contienen archivos de YAFFS2, se recomienda utilizar los siguientes programas: Encase Forensic version 7, The Sleuth Kit o Belkasoft Evidence Center.

Al igual que en los sistemas operativos Microsoft Windows, en el sistema operativo Android hay archivos que son thumbnails bases y que contienen imágenes en miniatura de los archivos gráficos y de vídeo, creados por el usuario (incluyendo archivos borrados). En el sistema operativo Microsoft Windowss thumbnails bases tiene nombres: Thumbs.DB o thumbcache_xxx.db (donde xxx es el tamaño de la imagen en miniatura en la base). En el sistema operativo Android no hay un nombre unificado de tales bases según expertos de pruebas de penetración . Además, vale la pena señalar que estas bases se pueden encontrar como en el almacenamiento interno al igual que en la tarjeta de memoria instalada en el dispositivo móvil. Para buscar thumbnails bases nosotros utilizamos Thumbnail Expert Forensic. Por regla general, este tipo de archivos permiten recibir información criminalística valiosa, si las principales evidencias son archivos gráficos (fotos) o videos que fueron tomados por el dispositivo móvil examinado.

CONCLUSIÓN

La combinación de los programas tradicionales para el análisis de los dispositivos móviles y los programas tradicionales que se utilizan en forense cibernética da los mejores resultados de análisis de copia de los dispositivos móviles que ejecutan el sistema operativo Android.

Lo que no debes hacer en Whatsapp. INFOGRAFÍA

Comprobando la seguridad de nuestro router con Router Check

Mantener la seguridad de nuestro router lo más elevada posible es fundamental para evitar que piratas informáticos puedan acceder a nuestra red local, robar información y comprometer nuestros ordenadores. Aunque por lo general los routers suelen venir protegidos frente a este tipo de amenazas siempre es recomendable comprobarlo manualmente para asegurarnos de que no hay ninguna brecha de seguridad que pueda permitir el acceso no autorizado de un pirata informático a nuestra red.

Para comprobar la seguridad de nuestro router vamos a utilizar una app para Android llamada RouterCheck. Esta aplicación es muy sencilla de utilizar, se distribuye de forma totalmente gratuita y sin publicidad y nos va a permitir analizar los diferentes elementos de nuestro router de forma automática y nos mostrará información sobre aquellos puntos que puedan ser vulnerables a un posible ataque.

Podemos descargar esta aplicación de forma gratuita desde la Play Store.


Una vez descargada e instalada la aplicación en nuestro smartphone la ejecutamos. Lo primero que veremos será una sencilla interfaz gráfica como la siguiente.

Como podemos ver en la interfaz del programa tenemos varios botones. El que más nos interesa es el primero llamado “Check My Router”. Pulsamos sobre él y nos aparecerá un mensaje en el que nos pide que nos aseguremos de que tenemos permisos del dueño de la red para ejecutar el test.

Si lo tenemos aceptamos la ventana y comentarán las pruebas.

Esperamos a que finalice el proceso (tarda pocos minutos) y una vez termine podremos ver un resumen con los resultados del análisis.

Aquí podemos ver todos los aspectos que se han comprobado y si alguno de ellos es vulnerable a posibles ataques (de color rojo) o es seguro (de color verde).

Si pulsamos sobre una entrada cualquiera podremos ver un resumen de ella donde nos explicará qué ha hecho el programa, qué puede pasar si es vulnerable y cómo proteger dicho apartado correctamente.

Con esta sencilla aplicación vamos a poder comprobar si nuestro router es vulnerable a algún fallo de seguridad conocido que pueda permitir a piratas informáticos atacar nuestro sistema o, de lo contrario, si estamos protegidos ante posibles ataques que buscan explotar fallos de seguridad en el propio router.

Fuente: Adslzone

Vulnerabilidad de suplantación de identidad en SAMBA

Importancia: 4 - Alta

Fecha de publicación: 08/07/2016

Recursos afectados

Todas las versiones de SAMBA entre la 4.0.0 y la 4.4.4.

Descripción

SAMBA ha publicado una vulnerabilidad que permite deshabilitar la firma del cliente sobre SMB2/3 mediante un ataque "man in the middle".

Solución

Aplicar los parches disponibles en https://www.samba.org/samba/security
Mitigación:

• Configurar "client ipc max protocol = NT1".
• Si "client signing" esta configurado a "mandatory"/"required", habría que quitar la comfiguracion explicita de "client max protocol", que por defecto esta "NT1".

Estos cambios deben ser revertidos una vez que se aplican los parches de seguridad.

Detalle

Un atacante puede rebajar la firma requerida para una conexión SMB2/3 del cliente, mediante la inyección de los flags SMB2_SESSION_FLAG_IS_GUEST or SMB2_SESSION_FLAG_IS_NULL.
Mediante esta técnica, un atacante puede hacerse pasar por un servidor conectado a través de Samba y devolver contenido malicioso.

Referencias

• Client side SMB2/3 required signing can be downgraded 

Audita tu red con Wireless Network Watcher

Doy comienzo a una serie de tutoriales para proteger nuestras redes WiFi, estos serán publicados contínuamente siempre y cuando vea que son del interés de los lectores. Ya me entendéis; dar me gusta a la página en Facebook (Dale aquí) y followers en Twitter (Dale aquí). Si veo que los seguidores crecen es síntoma de que os interesan los tutos. Si veo que no tiene aceptación lo dejaré y seguiré con otra cosa. Os recuerdo que este blog está hecho para acercar a los usuarios noveles el mundo de la seguridad informática, por mero amor al arte, de manera altruista y sin ningún ánimo de lucro, por lo que todas vuestras muestras de agradecimiento son enormemente valoradas y bien recibidas, motivándome a seguir publicando articulos para vosotros.

Bien, dicho esto os propongo auditar vuestras redes domésticas. Pero, ¿en qué consite auditar una red?. 

Se trata de evaluar y comprobar cuál es la arquitectura de tu WLAN siguiendo la metodología internacionalmente reconocida: OSSTMM WIRELESS.

Los puntos más importantes a tener en cuenta para que la auditoría cumpla con su función de conseguir un informe favorable para la seguridad de tus redes son:

• Evaluar el hardware, firmware y sus actualizaciones.
• Evaluar el perímetro de seguridad, comprobando que la señal no es alcanzada fuera de tu círculo doméstico.
• Verificar que no existen interferencias con otros dispositivos inalámbricos o electrónicos en las frecuencias en las que operan.
• Verificar la posibilidad de capturar y obtener información desde los dispositivos wireless.
• Verificar el cifrado en uso.
• Analizar vulnerabilidades de la infraestructura WLAN, en búsqueda de fallos que permitan hacerse con el control de la misma o que puedan provocar indisponibilidad en el servicio

Si el informe no es favorable se deben corregir los defectos para que la red WiFi con la que trabajamos no se convierta en el punto de mira de algún hacker que pueda robar datos de carácter personal, y de nuestros clientes como de nuestros empleados si es una red corporativa.

Podríamos decir que realizando una auditoría de este tipo le aportamos un valor añadido a nuestra empresa: por un lado conseguiremos tapar un posible agujero que vulnera la seguridad de la información que manejamos y, por otro, fidelizaremos a nuestros clientes ofreciéndoles un alto grado de confianza.

Las redes inalámbricas son muy fáciles de explotar. Un usuario con pocos conocimientos puede explotar en poco tiempo una red y obtener las contraseñas más débiles o por defecto que vienen en la mayoría de los dispositivos inalámbricos (routers).

Wireless Network Watcher es un programa más diseñado específicamente para analizar la red y mostrar todos los dispositivos que se encuentran conectados a esta. Este programa no ofrece muchas funciones adicionales como puede ser el caso de otros programas similares, sin embargo, es una opción muy recomendada para todos aquellos usuarios sin conocimientos avanzados de redes que no quieren utilizar un programa complicado que les cause problemas con las diferentes opciones.

Wireless Network Watcher se puede descargar de forma totalmente gratuita desde su página web principal. Podemos elegir si queremos descargar el instalador del programa o la versión portable según nuestros gustos y nuestras necesidades.

Una vez descargado (en mi caso la versión portable que no necesita instalación) lo descomprimimos y veremos 3 archivos. Para comenzar a utilizar Wireless Network Watcher debemos ejecutar el archivo exe.

Una vez se inicie el programa automáticamente analizará toda nuestra red y nos mostrará todos los dispositivos que este detecte.

Podemos obtener más información sobre cualquiera de los dispositivos haciendo doble click sobre él. Los principales datos que obtendremos sobre este son:

• Dirección IP
• Nombre del dispositivo
• Dirección MAC
• Fabricante
• Número de veces detectado
• Primera vez visto en la red
• Activo

Para volver a analizar simplemente debemos pulsar la tecla F5 y volverá a cargar todos los resultados. En caso de que alguno de los dispositivos detectados no concuerde con los que tenemos nosotros conectados debemos tomar las medidas necesarias para evitar que dicho dispositivo siga conectándose y utilizando nuestra red sin permiso.

Como podemos ver, una herramienta muy sencilla pero que cumple perfectamente con su función.

Fuente: Adslzone

¿Qué es una conexión VPN, para qué sirve y qué ventajas tiene?

Las conexiones VPN no son ni mucho menos un invento nuevo, pero es ahora cuando están empezando a coger tracción entre el gran público. Mientras que tradicionalmente su uso era más común en el entorno empresarial, la gran versatilidad de este tipo de conexiones y sus múltiples usos las hacen cada vez más populares.

¿Pero qué es una VPN y qué ventajas te aporta? Precisamente esa versatilidad de la que hablábamos es la misma que crea alguna que otra confusión al respecto, pues cada vez más se relaciona a las conexiones VPN con "el mal" (con grandes comillas), pues algunas de sus aplicaciones incluyen el salto de los bloqueos geográficos, un mayor anonimato en la Red o incluso el bloqueo de la publicidad.

Una primera aproximación a las redes VPN las podéis ver en el siguiente video, OS RECOMIENDO QUE LO VEÁIS ANTES DE SEGUIR CON LAS EXPLICACIONES.

Empecemos por lo básico. VPN son las siglas de Virtual Private Network, o red privada virtual que, a diferencia de otras palabras informáticas más crípticas como DNS o HTTP, sí nos dan pistas bastante precisas sobre en qué consisten.

La palabra clave aquí es virtual, pues es esta propiedad la que genera la necesidad de la VPN en sí, así como la que permite a las conexiones VPN ofrecerte los múltiples usos que veremos más adelante.

Para conectarse a Internet, tu móvil, PC, televisión y demás dispositivos generalmente se comunican con el router o módem que conecta tu casa con tu proveedor de Internet, ya sea mediante cable o inalámbricamente. Los componentes son distintos si estás usando la conexión de datos de tu móvil (que incluye su propio módem y habla con la antena de telefonía) pero la esencia es la misma: tu dispositivo se conecta a otro, que le conecta a Internet.

Lo más normal es que no tengas uno, sino varios dispositivos conectados al mismo router: móviles, ordenadores, consolas... En este caso cada uno tendrá asignada una dirección IP local, que no es visible desde Internet. Esto es una red local, un conjunto de dispositivos conectados de tal modo que puedan compartir archivos e impresoras sin necesidad de pasar por Internet.

Una conexión VPN lo que te permite es crear una red local sin necesidad que sus integrantes estén físicamente conectados entre sí, sino a través de Internet. Es el componente "virtual" del que hablábamos antes. Obtienes las ventajas de la red local (y alguna extra), con una mayor flexibilidad, pues la conexión es a través de Internet y puede por ejemplo ser de una punta del mundo a la otra.

Mediante VPN, el portátil se puede unir a la Red corporativa como si estuviera allí

Sin embargo, es otra peculiaridad de las conexiones VPN la que las está volviendo tan de moda hoy en día: los túneles de datos. Normalmente, mientras usas Internet tu dispositivo se pone en contacto con tu proveedor de Internet, que es el que conecta con los distintos servicios web para ofrecerte, por ejemplo, los vídeos de YouTube.

Cuando te conectas a una conexión VPN, esto cambia. Todo tu tráfico de red sigue yendo desde tu dispositivo a tu proveedor de Internet, pero de ahí se dirige directo al servidor VPN, desde donde partirá al destino. Idealmente la conexión está cifrada, de modo que tu proveedor de Internet realmente no sabe a qué estás accediendo. A efectos prácticos, tu dirección IP es la del servidor VPN: en muchos aspectos es como si estuvieras físicamente ahí, conectándote a Internet.

En vez de conectarte a Internet directamente, lo haces a través de un servidor VPN

Para qué sirven las conexiones VPN

Seguro que con las explicaciones anteriores ya te has imaginado unas cuantas situaciones en las que las conexiones VPN podrían ser útiles. Es un secreto a voces que son especialmente importantes en el entorno corporativo, pero sus usos no acaban ni mucho menos ahí. Estos son los principales usos de las conexiones VPN.

1. Teletrabajo

El uso más obvio de una conexión VPN es la interconectividad en redes que no están físicamente conectadas, como es el caso de trabajadores que están en ese momento fuera de la oficina o empresas con sucursales en varias ciudades que necesitan acceder a una única red privada.

Desde el punto de vista de la seguridad, permitir el acceso indiscriminado a la red propia de una empresa desde Internet es poco menos que una locura. Aunque el acceso esté protegido con una contraseña, podría ser capturada en un punto de acceso WiFi público o avistada por un observador malintencionado.

Por el contrario, el riesgo disminuye si el trabajador y la empresa se conectan mediante una conexión VPN. El acceso está protegido, la conexión está previsiblemente cifrada y el trabajador tiene el mismo acceso que si estuviera presencialmente ahí.

2. Evitar censura y bloqueos geográficos de contenido

Con el apogeo de Internet y la picaresca tanto de los proveedores de contenidos como de los usuarios, se han ido popularizando otros usos más lúdicos de las conexiones VPN, muchos de ellos relacionados con un concepto muy sencillo: falsear dónde estás.

Al conectarte con VPN, tu dispositivo se comunica con el servidor VPN, y es éste el que habla con Internet. Si tú estás en China y el servidor VPN está en Estados Unidos, generalmente los servidores web creerán que estás navegando desde este país, dejándote acceder a los contenidos disponibles solo allí, como podría ser Netflix.

De igual modo, esta misma lógica se puede usar para acceder a aquellos contenidos que estuvieran censurados o bloqueados en tu país, pero no allí donde se encuentra el servidor VPN. Así es como millones de ciudadanos chinos logran conectarse a Facebook y otras 3.000 webs bloqueadas en el país.

3. Capa extra de seguridad

Aunque no es estrictamente necesario, sí es común que las conexiones VPN vengan acompañadas de un cifrado de los paquetes que se transmiten con ellas, por lo que es normal oir la recomendación de que, si necesitas conectarte a un punto de acceso Wi-Fi público, al menos te conectes con una VPN.

Iniciar sesión en tus cuentas bancarias mientras estás conectado a una red WiFi pública en la que no confías probablemente no sea la mejor idea del mundo, pues es relativamente sencillo para un ladrón capturar los paquetes sin cifrar y hacerse con tus cuentas de usuario. Aquí es donde entra la capa extra de seguridad que puedes conseguir mediante una conexión VPN, pues los paquetes se enviarían cifrados, de modo que aquel que está escuchando probablemente no podría hacer nada con ellos.

No obstante, hay letra pequeña en esto, pues mientras estás desconfiando de la red pública Wi-Fi, estás poniendo toda tu fé en el servidor de VPN, que puede de igual modo capturar todo tu tráfico, guardar registros de lo que haces o incluso vender tu ancho de banda al mejor postor. Una VPN es tan segura y útil como su proveedor. Si no confías en tu VPN, no la uses, pues en vez de tener una capa de seguridad adicional, tendrás al enemigo en casa y mirando absolutamente todo lo que haces en Internet.

4. Descargas P2P

Otro uso común de las conexiones VPN se encuentra en las descargas P2P, lo cual en estos tiempos generalmente es sinónimo de descargar desde BitTorrent. Antes de que me pongas un parche en el ojo, una pata de palo y me obligues a pasar por la quilla, las conexiones VPN también tienen usos en la descarga P2P aunque bajes torrents completamente legales.

Desgraciadamente es cada vez común que los proveedores de Internet decidan meter las narices en cómo enviamos y recibimos los ceros y unos en la Red, y aunque les encanta que visitemos páginas web normales, que descarguemos no les hace tanta gracia: demasiado tráfico, y además probablemente te estás descargando algo ilegal.

Algunos proveedores bloquean por completo las descargas P2P, mientras que otros simplemente la boicotean para que funcione mal y te rindas por ti mismo. Igual que puedes usar una conexión VPN para evitar la censura de tu país, también puedes en ocasiones evitar que tu proveedor de Internet boicotee tus descargas P2P.

Ventajas de las conexiones VPN

Ahora que ya sabemos qué es una conexión VPN y para qué sirve, es hora de resumir una lista de las ventajas e inconvenientes que te supone el uso de esta tecnología. Primero, la parte positiva:

• Funciona en todas las aplicaciones, pues enruta todo el tráfico de Internet, a diferencia de los servidores proxy, que solo puedes usar en el navegador web y un puñado de aplicaciones más que te dejan configurar las opciones de conexión avanzadas.
• Se conecta y desconecta fácilmente. Una vez configurado, puedes activar y desactivar la conexión a tu antojo.
• Seguridad adicional en puntos de acceso WiFi, siempre y cuando la conexión esté cifrada, claro
• Falseo de tu ubicación, como ya hemos visto en el apartado anterior, una conexión VPN es un modo eficaz de evitar la censura o acceder a contenido limitado a cierta región.
• Tu proveedor de Internet no puede saber a qué te dedicas en Internet. ¿No te apetece que tu proveedor de Internet sepa que te pasas horas viendo vídeos de gatitos en YouTube? Con una VPN no sabrán a que te dedicas, pero ojo, que sí lo sabrá la compañía que gestiona el VPN.

Cosas que debes tener en cuenta

Hasta ahora todo muy bonito, usar conexiones VPN parece estar lleno de ventajas: más seguridad, privacidad mejorada, salto de los bloqueos geográficos... Antes de que te lances a comprar un servicio de VPN o registrarte en uno gratuito, hay unos cuantos apartados que debes tener en cuenta:

• El precio. Aunque hay servicios VPN gratuitos, obviamente no puedes esperar mucho de ellos, pues con frecuencia estarán muy limitados, serán muy lentos o no sean muy de fiar. Hay algunas excepciones, no obstante. 
• La velocidad se resiente. La diferencia entre conectarte a Internet directamente o que tus datos tracen una ruta que atraviesa medio mundo puede ser abrumadora. Si tu servidor VPN está muy lejos, experimentarás mucha latencia a la hora de navegar por la red. Además de latencia, es normal que la velocidad de descarga y subida máxima estén limitadas. 
• Su seguridad no es infalible. Esto ya lo he dicho varias veces, pero nunca está de más repetirlo. Solo porque el icono de la conexión tenga un candado no quiere decir que la conexión sea segura, especiamente si estamos hablando de conexiones VPN basadas en el protocolo PPTP. 
• No siempre pueden falsear tu ubicación. Especialmente en el móvil, cada vez hay más tecnologías por las cuales se puede triangular y aproximar tu ubicación más allá de tu dirección IP. No te proporcionan anonimato. Usar una VPN no supone que la navegación sea anónima. La combinación ganadora para un mayor anonimato, si hacemos caso a Edward Snowden, es usar a la vez una conexión VPN y Tor.

Usa VPN de terceros... o crea tu propio servidor

Lo más normal y rápido para empezar a saborear las ventajas de las conexiones VPN es registrarse en una de las múltiples empresas que ofrecen servicios de VPN. Pagas una cuota mensual que puede ir desde un par de euros hasta más de 10 euros y obtienes las credenciales para iniciar sesión en su servicio y con frecuencia un cliente VPN oficial propio que te facilita mucho las cosas.

Sin embargo, si quieres un control total y absoluto de tu conexión o no te fías de nadie, puedes seguir la filosofía de "si quieres algo bien hecho, debes hacerlo tú mismo". El problema con esto es que es raro que tengas acceso a un PC en otro país con el cual puedas disfrutar de algunas de las ventajas que comentábamos antes (evitar censura, bloqueos geográficos).

Hay algunas excepciones, como los trota-mundos que viajan con frecuencia e instalando un VPN en su PC en casa encuentran pueden seguir accediendo a sus archivos allá donde estén, disfrutando también de los servicios que solo estuvieran disponibles en su país, como pueden ser Netflix o Spotify.

Si quieres crear tu propio servidor VPN, tanto si es en un PC tuyo con Windows como en un servidor remoto bajo tu control, OpenVPN es probablemente tu mejor opción. Estás avisado de antemano que instalar un servidor VPN no es tan sencillo como pulsar Siguiente - Siguiente - Siguiente

Estas guías pueden serte de utilidad:

• Guía oficial de cómo instalar OpenVPN en Windows fácilmente (en inglés)
• Cómo crear y configurar un servidor VPN
• Conéctate a cualquier a cualquier red de forma segura
• Cómo instalar un servidor VPN en Mac (en inglés)

Cómo conectar a un servidor VPN

Hoy en día todo sistema operativo en su versión más o menos actual te permite conectarte a una conexión VPN sin necesidad de instalar nada adicional. Todo lo que necesitas son los datos de acceso del proveedor de VPN (o de tu empresa, si es el caso), como la dirección del servidor, el tipo de VPN y tus credenciales de usuario.

En Windows

En Windows es posible conectarse con una red VPN sin instalar nada adicional desde allá por Windows XP, pero el soporte para los distintos tipos de cifrado es más básico cuanto más antigua sea tu versión de Windows.

Para conectarte a una red VPN en Windows 7, sigue estos pasos:

•     Abre el Centro de Redes y Recursos Compartidos
•     Pulsa Crear una nueva conexión.
•     Elige Conectar a una red de trabajo
•     Rellena la información del servidor, tipo de VPN y tus credenciales de usuario

En Windows 10 también puedes usar el siguiente modo con la Interfaz Moderna:

•     Abre las opciones del PC
•     Ve a Redes e Internet
•     Abre el apartado VPN
•     Pulsa Añadir una conexión VPN
•     Rellena la información de servidor, tipo de VPN y credenciales de usuario

En Mac

El soporte para conexiones VPN no podía faltar en Mac OSX. Para conectarte a una conexión VPN en tu Mac, sigue estos pasos:

•     Abre Preferencias del sistema y haz clic en Red
•     Pulsa Añadir (+) en la parte inferior de la lista de servicios a redes
•     Selecciona VPN en el menú desplegable Interfaz
•     Rellena el resto de ajustes como el tipo de conexión y los ajustes de autenticación

En Linux

Para conectarte a un servidor VPN desde Linux necesitarás tener instalado el paquete network-manager-vpnc, que no viene por ejemplo instalado por defecto en Ubuntu. Para instalarlo puedes recurrir al gestor de software específico de tu distribución o la línea de comandos:

$ sudo apt-get install network-manager-vpnc

Después, sigue estos pasos:

•     En Ubuntu, haz clic en el icono de red (las dos flechas) en la barra superior
•     Elige Conexiones VPN - Configurar VPN en el menú desplegable
•     Pulsa añadir (o importar, si tienes un archivo de configuración)
•    Sigue las instrucciones en pantalla para rellenar el resto de información como el tipo de cifrado y tus credenciales de usuario.

En Android

También Android cuenta con su propio cliente de VPN, aunque el modo para acceder a él puede variar ligeramente según la versión de Android que tengas instalada y las modificaciones en los menús que haya hecho tu fabricante. Generalmente, lo encontrarás aquí:

•     Ve a Ajustes
•     Abre el apartado de Redes inalámbricas, conexiones de Red o similares
•     Generalmente, las conexiones VPN se encuentran en el apartado Otros o Más Redes.
•     Toca en el apartado VPN y pulsa el botón Más (+) para crear la conexión
•     Rellena el nombre, tipo de VPN, dirección del servidor y cifrado

En iOS

En iOS, el proceso es algo más sencillo. Para conectarte a un servidor VPN desde tu iPhone o iPad, sigue estos pasos:

•     Abre los Ajustes
•     Ve al apartado General
•     Haz scroll hasta llegar al apartado VPN
•     Toca Añadir configuración VPN
•     Elige la pestaña del tipo de VPN de tu servidor, y rellena los datos del servidor y nombre de usuario

10 medidas a seguir para protegerte del espionaje en Internet

A continuación te detallo 10 pasos que puedes tomar para hacer tus equipos mucho más seguros. No es una lista completa, y tampoco estarás del todo a salvo del espionaje. Pero cualquiera de estos pasos te hará algo más seguro que la media. Y pondrá las cosas mucho más difíciles a tus atacantes. 

1) Utiliza cifrado de principio a fin (end-to-end)

La herramienta más sencilla para conseguir este cifrado de principio a fin (end-to-end) es la mensajería OTR (off-the-record), que añade a los programas de mensajería capacidades instantáneas de cifrado (puedes utilizarlo además sobre clientes existentes como Google Hangout o Facebook chat). Una vez lo hayas instalado, echa un vistazo al programa PGP para evitar que tu email sea también espiado. Es un poco complicado de utilizar al principio, pero es efectivo.

2) Cifra todas tus comunicaciones posibles

Incluso si no puedes cifrar de principio tus comunicaciones, siempre puedes cifrar gran parte de tu tráfico en Internet. Si utilizas el plug-in para Chrome o Firefox HTTPS Everywhere de la EFF, puedes maximizar la cantidad de datos que proteges forzando a las páginas a cifrar webs siempre que sea posible. Utiliza una VPN cuando estás en una red en la que no confías, como la de un cifercafé.

 

 

3) Cifra tu disco duro

Las últimas versiones de Windows, Mac OS X, iOS y Android tienen funciones para cifrar tu almacenamiento local. Sin ellas, cualquiera con acceso físico a tu ordenador, tableta o smartphone, puede copiar sus contenidos en unos minutos, incluso si no tienen tu contraseña.

 

 

4) Contraseñas potentes, guardadas de forma segura

Las contraseñas hoy en día tienen que ser ridículamente largas para estar a salvo de ataques. Eso incluye las contraseñas de emails, las de desbloqueo de equipos o las de servicios web. Si no es aconsejable re-utilizar contraseñas ni utilizarlas cortas, ¿cómo acordarse de todas? Utiliza un gestor de contraseñas, siempre como último recurso ya que no soy partidario de ellos. Comulgo más con la idea de escribirlas en un papel y guardarlas en tu cartera, es más seguro que re-utilizar contraseñas cortas y fáciles de recordar.

 

5) Utiliza Tor

Un documento filtrado de la agencia de inteligencia GCHQ de Reino Unido demuestra cómo algunas agencias están preocupadas por Tor. Se trata de un programa en software libre que protege tu identidad online mezclando tus datos a través de una red global de servidores voluntarios.

 

 

 

6) Activa la autenticación en dos pasos

Gmail, Twitter, Dropbox... todos la tienen. La autenticación en dos pasos, con la que tecleas una contraseña más un número de confirmación que te llega a tu móvil (diferente cada vez), ayuda a protegerte de ataques a los servicios web y de almacenamiento en la nube. Cuando esté disponible, actívala. Si no está disponible, dile a la compañía que utilizas que la quieres.

7) No hagas clic en documentos adjuntos

La forma más sencilla de infectar con malware tu equipo es a través del email o de webs comprometidas. Los navegadores son cada vez mejores para protegerte de las páginas más peligrosas, pero los archivos enviados por email o descargados en Internet pueden tomar control de tu ordenador por completo. Haz que te envíen la información en texto; cuando alguien te envíe un documento adjunto, asegúrate que es realmente de la persona que te lo remite.

 

 

8) Mantén el software actualizado, utiliza programas anti-virus

En general, siempre será mejor que las compañías traten de reparar y mejorar el software a través de actualizaciones, que los atacantes puedan aprovechar antiguos agujeros de seguridad. Sobre los anti-virus: tal vez no sean todo lo efectivos que deberían, pero es una capa adicional de protección.

 

 

 

9) Guarda tu información secreta de forma extra-segura

Piensa en tus datos y toma las medidas necesarias para cifrar y guardar de forma extra-segura tu información más privada y confidencial. Puedes utilizar TrueCrypt para cifrar de forma separada una memoria USB. Incluso tal vez quieras mantener tus datos más confidenciales en un netbook barato que jamás conectes a Internet y solo utilices para editar o leer documentos.

 

 

 

10 ) Sé un aliado

Si te has molestado lo suficiente para haber leído hasta aquí, necesitamos tu ayuda. Para poner en aprietos al sistema de espionaje, tienes que enseñar a otros lo que has aprendido y explicarles por qué es importante. Instala OTR, Tor y otros programas a tus amigos que estén preocupados por el tema y explícales cómo utilizarlos. Comparte este artículo; explícales cuál es el impacto real de las revelaciones sobre la NSA. Pídeles que firmen campañas como Stop Watching Us. Tienen que dejar de espiarnos; y nosotros tenemos que empezar a ponerles las cosas mucho más difíciles para que no se salgan con la suya.

Fuente: Gizmodo

Múltiples vulnerabilidades en productos Symantec

 

Importancia: 4 - Alta

Fecha de publicación: 01/07/2016

Recursos afectados

Los productos afectados por las vulnerabilidades en Symantec Decomposer son:

• Advanced Threat Protection (ATP)
• Symantec Data Center Security:Server (SDCS:S) versiones 6.0, 6.0MP1, 6.5, 6.5MP1, 6.6, 6.6MP1
• Symantec Web Security .Cloud
• Email Security Server .Cloud (ESS)
• Symantec Web Gateway
• Symantec Endpoint Protection (SEP) versión 12.1.6 MP4 y anteriores
• Symantec Endpoint Protection para Mac (SEP para Mac) versión 12.1.6 MP4 y anteriores
• Symantec Endpoint Protection para Linux (SEP para Linux) versión 12.1.6 MP4 y anteriores
• Symantec Protection Engine (SPE) versiones 7.0.5 y anteriores, 7.5.4 y anteriores, 7.8.0
• Symantec Protection para SharePoint Servers (SPSS) versiones 6.0.6 y anteriores
• Symantec Mail Security para Microsoft Exchange (SMSMSE) versión 7.5.4 y anteriores
• Symantec Mail Security para Domino (SMSDOM) versión 8.1.3 y anteriores
• CSAPI versión 10.0.4 y anteriores
• Symantec Message Gateway (SMG) versión 10.6.1-3 y anteriores
• Symantec Message Gateway para Service Providers (SMG-SP) versiones 10.5 y 10.6
• Norton Product Family, Norton AntiVirus,Norton Security, Norton Security with Backup, Norton Internet Security y Norton 360 anteriores a 22.7
• Norton Security para Mac anterior a v 13.0.2
• Norton Power Eraser (NPE) anterior a v 5.1
• Norton Bootable Removal Tool (NBRT) anterior a 2016.1

Los productos afectados con vulnerabilides de elevación de privilegios:

• Symantec Endpoint Protection Manager y cliente versión 12.1

Descripción

Múltiples vulnerabilidades que afectan a varios productos Symantec permiten denegación de servicio, ejecución de código o escalada de privilegios.

Solución

Para los sistemas afectados por las vulnerabilidades en Symantec Decomposer Engine existen acciones y parches dependiendo del producto. Se puede consultar cada caso siguiendo los enlaces correspondientes de la sección "Referencias".

En el caso de Symantec Endpoint Protection Manager, actualizar a versión 12.1-RU6-MP5.

Detalle

Las vulnerabilidades de desbordamiento de enteros, corrupción de memoria y desbordamiento de búfer afectan al módulo Symantec Decomposer utilizado en múltiples productos. La explotación de estas vulnerabilidades permiten la ejecución de código de forma arbitraria o realizar denegaciones de servicio.
Symantec Endpoint Protection Manager es susceptible a diversas vulnerabilidades destacando la evasión de autenticación lo que permite la elevación de privilegios.

Referencias

• Symantec Decomposer Engine Multiple Parsing Vulnerabilities 
• Symantec Endpoint Protection Manager Multiple Security Issues 

Usuarios de ANDROID: LevelDropper rootea el dispositivo sin tu permiso

No es un tipo de amenaza común , pero sí que es verdad que hoy en día si se quiere infectar este tipo de dispositivos con cierta garantía es la única forma. Expertos en seguridad han detectado una aplicación con el nombre de LevelDropper disponible en la Google Play Store que rootea el dispositivo sin el consentimiento del usuario.

Es la segunda vez en el día de hoy que tenemos que informar de un incidente que tiene como protagonista la tienda de aplicaciones del gigante de Internet. Los propietarios de la misma buscan que la amenaza consiga hacerse con los permisos de administrador para así proceder a la instalación de otras aplicaciones para por ejemplo proceder al robo de credenciales.

Por este motivo se desaconseja encarecidamente el rooteo de los terminales, ya que esto junto a la descarga de aplicaciones desde tiendas no oficiales puede ser una combinación fatal para la seguridad del equipo y de los datos almacenados.

Hay que decir que la aplicación como tal no procede a esta tarea, sino que recurre a otras herramientas para llevar a cabo esta tarea.

Evidentemente en algún momento el usuario debe ofrecer su consentimiento a la instalación, algo que sucede en la mayoría de los casos y que está provocado por la falta de interés de los usuarios por la información ofrecida en los pop-ups del sistema operativo Android.

Tal y como ya hemos indicado, alguna tendría que ser la finalidad de este rooteo. Expertos en seguridad han comprobado que se lleva a cabo la instalación de aplicaciones no deseadas por el usuario, sobre todo adware que dificulta y mucho la utilización del terminal móvil. El mejor consejo que se ha ofrecido es restablecer el dispositivo a valores de fábrica, ya que realizar el borrado de forma manual puede ofrecer resultados ineficientes.

Fuente: SectorX

DESMENTIDO: el virus en la base de datos de iTunes no es cierto, es PHISHING, CUIDADO.

Últimamente se están registrando varias quejas de muchos usuarios que denuncian una campaña de phishing por parte de un grupo de hackers que se hacen pasar por Apple. El phishing, que como ya sabréis intenta tomar datos de los usuarios engañándoles al hacerse pasar por empresas prestigiosas, ahora ha tomado la forma de iTunes.

Un correo electrónico enviado a miles de usuarios advierte que hay un virus en la base de datos de iTunes y que por tanto, es necesario cambiar la contraseña y ofrecer los datos personales otra vez con el fin de que no se cierre la cuenta de Apple. 

“Estimado cliente de Apple, le informamos de que un virus se ha detectado en nuestra base de datos de iTunes por lo que, para que no pierda su cuenta de iTunes, y garantizarle un uso eficiente de su tienda de Apple, por favor vuelva a validar sus datos con nosotros para asegurar su cuenta de iTunes de forma permanente. Esta es la segunda vez que desde el administrador se le está enviando este mensaje y si no valida su cuenta de iTunes después de recibir este mensaje, se cerrará de forma permanente en las próximas 72 horas. Por favor siga el enlace seguro a continuación para limpiar y volver a validar su cuenta de iTunes”. 

Esto es un resumen traducido del mail que han recibido muchísimos usuarios.

WEB falsa de Apple

Era de prever que muchísimos usuarios, a la vista de las faltas ortográficas del mail y de la poca seriedad de este, se dieran cuenta del engaño. Pero muchos, asustados por la posibilidad de que su cuenta de iTunes se cierre se han lanzado a pinchar en el enlace. Este lleva a una página donde, pongamos la buena contraseña o no, nos dará acceso a otra, también muy parecida a la de Apple, donde deberemos poner nuestros datos personales y de pago. Esta es la parte peligrosa del phishing, nosotros mismo estamos dando a los hackers todos nuestro datos sin que ellos tengan que hacer nada.

Muchas veces con ver la dirección de la web se puede saber que es una página falsa, sin embargo, aconsejan que lo mejor en estos casos es utilizar un gestor de contraseñas que detecta cuándo esa página no pertenece a la empresa en donde queremos introducir los datos. Ya sabéis que no soy partidario de los gestores de contraseñas.

Por todo ello, aunque en principio no debería engañar a mucha gente, siempre es bueno recordar este tipo de campañas de phishing para que tomemos todas las precauciones posibles al respecto. Las grandes compañías nunca nos van a pedir que demos nuestros datos personales a través de correos electrónicos. Y si es a través de la web, hay que asegurarse muy bien de que se trata de la página verdadera, algo que tampoco es muy complicado observando el redireccionamiento y que estamos bajo un protocolo HTTPS. Y más sencillo: aplicad la lógica.

Fuente: Softzone