‘Hackers’ españoles susurran órdenes a Siri sin que se enteren los humanos

 

siri-proxy-640x353

 

Dos expertos en seguridad informática han demostrado que nuestros ‘smartphones’ son capaces de escuchar comandos de voz que nuestro oído difícilmente percibe. Aplicando efectos de sonido a un “ok, Google” o un “oye, Siri” y reproduciendo el audio con cualquier altavoz, han logrado que esos sistemas de reconocimiento obedezcan a ese mensaje apenas inteligible para los humanos. Un hallazgo que demuestra los peligros para la seguridad de los asistentes virtuales: ¿y si un atacante ordena a mi móvil descargar ‘malware’ con un simple vídeo?

Juan Luis García y Diego Cordero han demostrado que Siri y "Ok Google" obedecen comandos de voz alterados
Juan Luis García y Diego Cordero en las jornadas STIC CCN-CERT (Foto: Cristina Sánchez)

Como es habitual, tienes el móvil encima de la mesa de tu oficina. Te llega una felicitación navideña a tu correo electrónico con un vídeo de YouTube. Decides abrirlo y comienza a sonar un villancico en tu ordenador. A los pocos minutos, recibes un buen número de notificaciones en Twitter: uno de tus mensajes parece haber enfadado a multitud de usuarios. Descubres con horror que se ha publicado un tuit difamatorio que tú no has escrito.

Tienes activada la verificación en dos pasos y nadie ha podido entrar en tu cuenta, así que, atónito, no encuentras explicación al suceso. Tal vez nunca llegues a descubrirlo, pero esto es lo que ha sucedido: ocultas en el villancico, había una serie de órdenes ininteligibles para ti que tu ‘smartphone’ sí ha reconocido. Solo tu móvil ha oído voces. Y las ha obedecido.

Esta escena es más verosímil de lo que imaginas. Así lo han demostrado dos expertos en seguridad de la compañía  Sidertia Solutions en las jornadas STIC CCN-CERT organizadas por el Centro Criptológico Nacional. Modificando varios archivos de audio en los que una voz enunciaba un “ok, Google” o un “oye, Siri”, han conseguido que los ayudantes virtuales de los dispositivos con Android y iOS sean capaces de atender a mandatos que el dueño del dispositivo no les ha formulado. Es más, la víctima ni siquiera ha podido percibirlos.

“El asistente de voz es capaz de reconocer esa onda que hemos podido ofuscar, camuflar o alterar para que el oído humano no tenga la percepción completa de lo que está oyendo”, explica Diego Cordero, coautor de la investigación, a HojaDeRouter.com. “Lo que queríamos era evaluar la posibilidad de ese vector de ataque que todo el mundo llevamos en nuestros dispositivos y nadie contempla”.

Engañando a Siri y a “Ok Google”

El dúo de ‘hackers’ españoles  partía de un estudio anteriorllevado a cabo por investigadores de la Universidad de Georgetown y de la Universidad de California en Berkeley. Esos expertos habían logrado convencer a “ok, Google” de que una voz, similar a la de un Darth Vader acelerado, era la de su dueño.

No fue fácil. Hicieron falta muchas horas de trabajo y unos altavoces determinados para conseguir que el archivo resultante engañara al sistema de reconocimiento de voz.

http://widget.smartycenter.com/webservice/embed/9391/1983817/640/360/0/0/0

Por su parte, los expertos españoles han demostrado que cualquiera dispondría de las herramientas necesarias para enviar comandos de voz alterados (que los humanos difícilmente podemos entender) a un iPhone, un iPad, un Apple Watch o un móvil con Android. “Nuestro objetivo es que ese sonido sea reproducible por cualquier altavoz”, puntualiza Juan Luis García Rambla, director técnico de seguridad en Sidertia Solutions y coautor de la investigación.

Aplicando efectos de sonido —por ejemplo, cambios de ritmo— en el programa gratuito de edición de audio Audacity, estos investigadores han modificado una voz sintética hasta que parece un murmullo de ultratumba. Con ella han logrado desbloquear un iPad Pro durante la ponencia e incluso ordenar al dispositivo que mandara un tuit.

Imaginaros que ese iPad que envía ese tuit no es el nuestro, que lo envía otra persona ajena y que está alrededor. Empezamos a tener problemas ya, porque los dispositivos empiezan a enviar tuits en nuestro nombre y a ver cómo demostramos que no hemos sido nosotros”, detalla Cordero.

http://widget.smartycenter.com/webservice/embed/9391/1983822/640/360/0/0/0/100/1/1

El sonido de unas campanas repicando mezclado con una metálica orden para despertar a nuestro ‘smartphone’ llevan un paso más allá el engaño. El comando pasa prácticamente desapercibido para nuestro oído, que prestará atención a las campanas, pero un móvil Samsung sí será capaz de captarlo todo.

“Lo que hemos conseguido con las campanas es simular una onda de sonido exactamente igual que ‘ok, Google’”, explica García Rambla. “Al estar los dos sonidos, aunque sean diferentes, en la misma onda y en la misma frecuencia, lo que hace es que se ofusca uno encima de otro”, añade Cordero.

http://widget.smartycenter.com/webservice/embed/9391/1983825/640/360/0/0/0/100/1/1

Estos investigadores también han logrado que el “ok, Google” quede completamente alterado tras jugar con la intensidad del sonido —se asemeja al mugido de una vaca si estos mamíferos fueran robóticos—, si bien solo han conseguido que ese tipo de ataque funcione en un estudio.

Han tenido que realizar muchas pruebas para lograr que los ejemplos de audios alterados que han mostrado durante su ponencia tuvieran el efecto deseado. De hecho, han trabajado sin conocer todos los detalles del funcionamiento de los algoritmos de reconocimiento de voz de Android y iOS, probando múltiples versiones hasta dar con la tecla. “El margen de reconocimiento es mucho más amplio de lo que pensábamos”, aseguran estos investigadores.

Una posible ‘botnet’ propagándose a través de la voz?

El hallazgo de estos ‘hackers’ españoles  contrasta con las aseveraciones de los gigantes. Apple asegura que Siri en iOS 9 reconoce mejor la voz para reducir las posibilidades de que otras personas la activen por error y Google afirma que su asistente entrena “nuestro modelo de voz” para diferenciarlo del resto de sonidos.

Sin embargo, hasta una inhumana voz alterada puede imitar los patrones de la nuestra, con los riesgos que conlleva. “No necesito infectarte el teléfono, no necesito que tú te descargues nada”, destaca Cordero. “Imagínate que estás en tu despacho, con tu ordenador delante y estás viendo un vídeo de gatitos en el que va un comando oculto”, ejemplifica. Una simple nota de audio en WhatsApp también podría servir para realizar el ataque.

Así, un tercero podría lograr que tu móvil  abriera una web que descargara contenido malicioso de forma automática. Si tenemos activada la opción “ Desbloqueo por voz” en el menú Detección de “ok, Google”, el dispositivo podrá recibir la orden incluso desde la pantalla de bloqueo.

Estos expertos en seguridad han demostrado que una voz sintética ordene a un iPad enviar un tuit
Una voz sintética puede ordenar a un iPad que envíe un tuit (Foto: Cristina Sánchez)

Aunque estos investigadores han desarrollado varias pruebas de concepto para demostrar las posibilidades del ataque, todavía no han tenido ocasión de estudiar todos los escenarios con detalle. ¿Y si se reproduce un comando en un lugar concurrido y se reclutan  todos los móviles cercanos para una red de  ‘bots’?

Teniendo en cuenta que Google permite controlar con la voz cada vez más aplicaciones —ya podemos manejar  Android Auto activando la opción “Durante la conducción” en el menú de “ok, Google”—, las posibles situaciones de peligro se multiplican.

También Siri está expandiéndose. Ya está disponible en el sistema operativo macOS Sierra, así que estos investigadores planean estudiar ahora si su particular “oye, Siri” manipulado funciona también con los ordenadores Mac. “¿Qué pasaría si se deja un portátil, llega alguien, reproduce un sonido y provoca que el equipo realice una acción sin que su dueño esté presente o se entere de lo que está pasando?”, se pregunta García Rambla.

Al mismo tiempo, estos expertos en seguridad informática trabajan para resolver una cuestión si cabe más compleja: ¿ sería posible demostrar que un ‘smartphone’ ha sido atacado mediante comandos de voz para, por ejemplo, enviar un tuit potencialmente delictivo?

“También tenemos la segunda vertiente, alguien que utiliza esto para decir ‘yo no he sido, alguien lo ha hecho por mí’”, concreta Juan Luis. “Alguien que quiera utilizar esto para dar un falso positivo y quiera ofuscar realmente la acción maliciosa que él ha cometido”. Por el momento, estos investigadores nos avanzan que algunos de los dispositivos que han estudiado no graban los comandos de voz, sino que tan solo almacenan la orden, lo que podría obstaculizar un peritaje.

Los expertos en Sidertia cuando reproducían 'Locura', un archivo de audio en el que es imposible distinguir el "Ok Google"
En el audio que han reproducido resulta imposible distinguir el “ok, Google” (Foto: Cristina Sánchez)

Respecto a las opciones para protegerse, Cordero señala que hay una medida radical que los usuarios podemos adoptar para evitar que un atacante sea tan original de cometer sus fechorías con órdenes de voz: desactivar los asistentes virtuales. “En el momento que tengas activado el reconocimiento de voz es susceptible de ser atacado”, señala.

Durante la ponencia, sugirió otra posible solución: un ‘captcha’ de voz. En ese caso, como los propios investigadores reconocen, hay una dificultad añadida: puede que los usuarios no estén dispuestos a pasar una prueba para demostrar que son humanos cada vez que quieran comunicarse con su móvil.

“Lo que está ofreciendo el mercado es un sistema que sea funcional y luego ya veremos si es seguro”, critica Juan Luis. Aunque tiene cierta lógica que estos asistentes sean fáciles de usar, si se pone cada vez más de moda controlar móviles con la voz y los dispositivos inteligentes para el hogar como Google Home o Amazon Echo conquistan nuestros hogares, tal vez los gigantes deban prestar más atención a la seguridad de sus algoritmos de reconocimiento de voz. Si no lo hacen, siempre existirá el temor a que un tercero pueda susurrarle a nuestros móviles sin que nos demos cuenta.

Como obtener informacion whois sobre un dominio desde window

whois_main

 

Whois es un protocolo TCP que nos permite consultar en una base de datos toda la información pública relacionada con cualquier dominio conectado a Internet. Esta información es útil, por ejemplo, para conocer los datos de los dueños de un dominio o la información sobre la empresa de una determinada página web. También podemos saber, por ejemplo, si el dominio está registrado o disponible para comprar.

Existen muchas páginas web que nos permiten obtener fácilmente información sobre un dominio, sin embargo para poder acceder a ellas necesitamos un navegador web. Siempre buscamos la forma más fácil, rápida y cómoda de poder hacer las cosas, y por ello en este artículo os vamos a hablar de WhoisCL y WhoisThisDomain.

WhoisCL: información Whois desde una ventana MS-DOS 

WhoisCL (Whois Command Line) es una aplicación gratuita que nos va a permitir obtener toda la información Whois pública de cualquier dominio desde una sencilla ventana de MS-DOS necesitando sólo una conexión activa a Internet.

Podemos descargar WhoisCL de forma gratuita desde el siguiente enlace. Una vez descargada debemos abrir una ventana de MS-DOS (inicio > ejecutar > cmd) y situarnos con el comando cd en la carpeta donde tenemos el ejecutable de WhoisCL.

Una vez allí simplemente debemos teclear WhoisCL seguido del dominio que queremos comprobar, por ejemplo:

El programa conectará a la lista de servidores interna y nos mostrará por pantalla la información sobre dicho dominio.

 

a1

Si no queremos utilizar la ventana de MS-DOS para esto siempre podemos optar por otra herramienta como WhoisThisDomain, con interfaz gráfica.

WhoisThisDomain, una versión WhoisCL con interfaz

Esta aplicación se trata principalmente de una interfaz gráfica para la herramienta anterior. Desde ella podemos obtener la información Whois de prácticamente cualquier página web y guardar una lista de las webs analizadas para poder consultar la información en el futuro.

Podemos descargar esta aplicación de forma gratuita desde su página web principal. Una vez descargada la ejecutamos y veremos una ventana donde nos pide introducir las webs que queremos analizar.

 

a2

Debemos introducir las páginas web separadas por comas de la siguiente manera:

Automáticamente la aplicación conectará a sus servidores y nos mostrará la información y el estado del dominio.

a3

Podemos consultar la lista de servidores que utilizan estas aplicaciones desde la web principal de Nirsoft. Ambas aplicaciones establecen comunicación a través del puerto 43, por lo que debemos asegurarnos de tenerlo abierto si queremos que las herramientas funcionen.

– See more at: http://www.redeszone.net/2015/07/07/como-obtener-informacion-whois-sobre-un-dominio-desde-windows/#sthash.tuMV0VHH.dpuf

Hardenize: herramienta online para proteger un sitio web

hardenize

Administradores de sistemas y entusiastas de Internet, muy atentos a la herramienta online Hardenize que aún se encuentra en fase de desarrollo. Hardenize es el nuevo proyecto de Ivan Ristic, el creador de SSL Labs y de ModSecurity, cuyo objetivo es proporcionar información de cómo mejorar la seguridad de tu dominio, de tu web y también del correo electrónico.

El objetivo de Hardenize es el de detectar vulnerabilidades o debilidades en la configuración de nuestro dominio, de nuestra web y de nuestro correo electrónico. Una vez que la herramienta haya detectado los posibles problemas, nos proporcionará un listado de recomendaciones para mejorar la seguridad de todos estos servicios, y también nos dará la posibilidad de desplegar nuevas configuraciones que sean mejores a las que tenemos en producción.

Para utilizar Hardenize no tendremos que darles acceso remoto a nuestros sistemas, ellos verán nuestra infraestructura como si fueran un cliente más, por lo que les permitirá realizar diferentes tipos de test de la misma forma que un usuario malintencionado podría hacerlo. El objetivo de esta herramienta es la de detectar problemas de seguridad, antes de que un cibercriminal lo descubra y se aproveche de ello. Hardenize será capaz de detectar problemas con configuraciones distribuidas (normalmente CDN), ya que monitorizan desde seis continentes diferentes.

Otras características de esta herramienta es que nos proporcionará informes centrados en información útil para nosotros, basados específicamente en objetivos para nuestros sistemas. Si por ejemplo tenemos un problema urgente como la expiración de un certificado SSL, serán capaces de notificárnoslo a través de e-mail, SMS o teléfono.

Hardenize aún se encuentra en fase Alpha, pero seguiremos el proyecto muy de cerca porque podría ser la herramienta definitiva para auditar la configuración de nuestro dominio, web y correo electrónico, centrado específicamente en los protocolos de seguridad para tener nuestra plataforma con una configuración óptima.

Si accedéis al Roadmap de Hardenize podéis ver el estado en que se encuentra la herramienta, por ejemplo aún están desarrollando DANE (tanto para web como para e-mail) y HSTS para web, dos protocolos de seguridad fundamentales para tener una seguridad óptima.

Si queréis acceder a la herramienta Hardenize que aún está en fase Alpha, deberás pedir una invitación para entrar, es posible que aún haya fallos así que deberemos tomar la información que nos proporcione con cautela.

11.000 credenciales robadas

Informe de investigación “Fuga de información de Demonforums.net”

 

El foro de difusión de técnicas de hacking y venta de DemonForums.net ha sufrido una fuga de información. Nuestro equipo de analistas de inteligencia te cuenta todos los detalles de este último caso. ¡Descárgate el informe completo!

El 2 de noviembre de 2016 Demonforums.net, el foro utilizado para difusión de técnicas de hacking y venta de credenciales robadas, sufría una fuga de información; siendo expuestos en otra página similar tanto el código fuente de la plataforma, como el volcado de su base de datos.

La información personal de más de 11.000 usuarios de la página afectada podría ser utilizada para una identificación única de los perfiles expuestos. Además, entre los ficheros del código fuente divulgado se han encontrado evidencias de una web shell, alojada en el servidor, que podría haber sido utilizada para la realización de este incidente.

Conoce en el informe completo todos los detalles de esta filtración y las recomendaciones de nuestros expertos ante este tipo de ciberataques.

» Descárgate el informe completo “Fuga de información de Demonforums.net”

Seguridad y Alta Disponibilidad 2016/2017