Infección con software de Minado de Bitcoin en WordPress – Caso de Estudio

Sabias que tu sitio web podría estar minando Bitcoin sin vos saberlo?

A diario leemos sobre la creciente ¨moda¨ de sitios web que, por opción propia, usan el minado de bitcoin con sus visitantes, para obtener réditos económicos de sus webs.
Pero existen otros casos en los que hay webs que pueden llegar a minar bitcoins sin siquiera saberlo, y esto es justamente lo que me paso hace unos días en un caso digno de estudio.
Hace unos días un cliente me avisa que al visitar su web, un portal de noticias, aparece una alerta del antivirus Avast, avisando de que la web esta infectada con un virus. También me comenta que hizo la prueba desde varias PC diferentes y en todos los casos pasaba lo mismo.

Ante dicho aviso lo primero que hice fue escanear el sitio, que es un WordPress en su ultima versión y con todo el software actualizado. No podía entender como un sitio con WordPress, con solo 2 o 3 plugins, instalados directamente desde el propio wordpress y con un theme también obtenido de la propia tienda de WordPress, podría estar infectado con un Malware
Así que escanee el sitio desde afuera con Sucuri SiteCheck  y por dentro con Malware Bytes  y con ambos el resultado fue el mismo… NADA. Aparentemente aún no detectan infecciones de software de minado de Bitcoin.
Me llamo bastante la atención, especialmente con Malware Bytes pues lo he usado en varias ocasiones y ha demostrado ser una gran herramienta de desinfección…
Además de usar estas herramientas hice una revisión del código fuente del sitio y no encontré nada extraño…

Escaneo con Malwarebytes
Resultados del escaneo con Malwarebytes libres de Minado de Bitcoin
Escaneo con Sucuri
Resultados del escaneo con Sucuri libres de Minado de Bitcoin

No fue hasta que el cliente me paso una captura de pantalla del mensaje que le ponía Avast cuando comprendí por donde venia la mano..
El mensaje que ponía Avast decia:

Amenaza Resuelta:
Hemos anulado de forma segura la conexion de coinhive.com porque estaba infectada por JS-Miner C[Trj].

Ahí comprendí que había algún tipo de código malicioso minando bitcoin en el sitio, así que chequee al momento de abrir la web el consumo de recursos del procesador y ahi estaba…. Cada vez que visitaba la web los 4 nucleos de mi procesador se ponían a tope… 🙁
Fue así que debí hacer una tarea forense de todo el sitio y con la ayuda de un amigo, mediante el inspector de código de Firefox fue que encontramos al culpable (gracias mister!).
Y como fue que un código de esas características se coló en un WordPress con todo el software actualizado? Bueno.. el culpable era un plugin que añadía un widget para mostrar el estado del tiempo… el cual estaba infectado. Desconozco si la infección es algo hecho por el programador del plugin o simplemente el es una víctima mas y fue hackeado.
El nombre del plugin culpable de todo esto es el Weather for us widget y la url del mismo es http://www.weatherfor.us/

Weather for us widget
Weather for us widget – Plugin que mina Bitcoin

Pero lo cierto es que cada vez es mas importante tener mucha precaución a la hora de instalar un plugin en nuestro wordpress…. ya que como ven.. podría venir con sorpresa!!!
Eliminado el plugin se termino el problema y el sitio volvió a quedar seguro…
Moraleja… no importa que tengas todo el software actualizado de tu wordpress y que solo uses plugins de el repositorio de WordPress.. nadie esta a salvo.

Ransomware, que es y como puedo protegerme?

Si vieron las noticias de hoy seguramente hayan visto en varios medios la noticia sobre el Cyber Ataque de Ransomware en mas de 100 países…
Mucha gente se esta preguntando que es Ransomware… puede afectarme tambien a mi? por eso es que voy a tratar de explicarlo de la manera más didáctica posible.

Que es Ransomware y que es lo que hace?

Ransomware básicamente es un software que infecta el dispositivo (en este caso computadoras personales que corren bajo Windows) y cifra/encripta todos los archivos de la máquina. O sea, los pone bajo llave y para liberar los archivos pide un rescate que se paga en Bitcoins que es un medio de pago anónimo. El equivalente en Bitcoins que están pidiendo son 300 dólares por máquina infectada. Además pone una fecha límite para la liberación de los archivos, si no se liberan antes del 15 de mayo los archivos serán borrados…

A quienes afecta?

Este ataque es dirigido contra algún país en particular? Seguramente no, simplemente liberaron el ¨Virus en Internet¨ y se infecto quien abrió archivos adjuntos infectados y que a no tenia la PC actualizada.
La principal forma de infección de este software es mediante el envío de un correo con un archivo adjunto conteniendo un archivo de Word o un archivo comprimido. Si la víctima abre dicho adjunto y no tiene actualizado su Windows se expone a infectarse y sufrir las consecuencias de una infección de este tipo.

Como puedo protegerme de Ransomware?

  1. La manera más efectiva, por el momento, es no abrir archivos adjuntos no solicitados, así vengan de contactos conocidos, pues muchas veces hay conocidos que se infectan y reenvían sin saberlo archivos infectados. De todos modos esto es una buena manera de protegerse pero no es 100% efectiva pues esta vez el método de infección es por adjuntos en el mail. Si el día de mañana el método de infección cambia también deberá cambiar el método de protección.
  2. Mantener al día nuestro sistema operativo, en especial si usamos Windows. Como es sabido por todos la mayoría de los virus que se crean son para Windows. Usar Windows indefectiblemente nos convierte en blanco de todos estos softwares maliciosos…. Los usuarios de Mac o Linux por lo general no tienen de que preocuparse.
  3. Usar un software de protección como Anti Ranson que es un software efectivo para prevenir la infección y cifrado de los archivos.

Es primordial la prevención pues una vez que te infectas y que Ransomware cifra tus archivos… solo algunas versiones de Ransomware al día de hoy se han logrado desencriptar y si tienes muchos archivos puede ser una pesadilla..

 

Puntoluz.com.uy, un eCommerce del tercer mundo.

Cuando asevero que el eCommerce en Uruguay sigue siendo de tercer mundo… realmente estoy seguro que no me equivoco.
Hoy, con un día en que a las 10 de la mañana alcanza casi los 30 grados… se convierte en un día ideal para NO SALIR DE CASA y evitar a toda costa tener que hacer cosas, que de un modo u otro se puedan hacer online. Mi máquina de cortar pelo esta vieja y ya se me perdieron algunas piezas así es que surge la idea de comprar una nueva, asi que me decido a buscar online en alguno de los fabulosos eCommerce que tenemos en Uruguay.
Es así que se me ocurre ir al sitio web de Punto Luz, casa de venta de electrodomésticos que hace años que está en el mercado y que goza de cierta calidad/seriedad.. al menos en sus locales físicos…
Hago una búsqueda, encuentro el producto que quiero, básicamente el corta pelo Philips más barato que haya, no me interesa nada más que cortarme el pelo una vez al mes. El precio es de 28 dólares y puedo pagar con tarjeta, BIEN!!!
Bueno.. no es oro todo lo que reluce. Lo primero que me pregunto es… cobraran envío? Así que me pongo a buscar información en el sitio web y NADA… pensé.. bueno, será porque estoy en la versión mobile, así que le voy a pedir a Firefox la versión Desktop.. quizás ahí me muestra la información… y… NADA. Así que decido levantarme (paso que no deberían obligarme para realizar la compra) y voila… desde LA PC tampoco encuentro información, y es porque NO LA HAY.
Bueno… si bien es lamentable, decido proseguir con el proceso de compra a ver si en algún momento del checkout me pone los precios de envío… Es ahí cuando noto que el formulario de compra, donde te pide los números de la tarjeta, CSV, etc, etc, o sea, datos sensibles, son trasmitidos SIN HTTPS, o sea, sin candado de seguridad. Lo que automáticamente la convierte en una pagina que no es segura para poner los datos de tu tarjeta.. pero eso no es todo…

puntoluz

Sigo chequeando el formulario de compra y noto que abajo cuando elegís el tipo de envío.. el envío más barato dentro de Montevideo sale $9 dólares!!! Si!! 9 dólares!! En que me mandan el cortapelo? En limousine? Sin dudas me saldría más barato mandar un Uber a recoger el paquete y que me lo traiga a casa.. no creo que salga más de 150 pesos….
Indignado con el costo de envío ya decido que no es el lugar donde voy a hacer mi compra.
Pero esto no termina acá… a modo de prueba, pues el formulario NO SEGURO me pareció que era más inseguro de lo que parecía… rellene el formulario con datos del tipo sjdfhjklshdfjshd en todos los campos. Campo de mail, de tarjeta, de teléfono, etc, etc, etc. Elijo Visa y si el proceso de compra fuera verdaderamente online, ahora el sitio debería redirigirme a la web de Visa para realizar el pago.. pero… charan! Recibo este cartel!!

puntoluz2

Esto indica que los datos de mi tarjeta fueron transmitidos de manera NO SEGURA a un destino incierto, probablemente una casilla de mail de Puntoluz, en la que una vez recibidos los datos seguramente hagan un proceso de venta manual y cuando me traigan el cortapelo me hagan firmar el voucher… TREMEEEENDO ECCOMERCE URUGUAYO…
LA MEN TA BLE.
Yo me pregunto.. invierten MILES DE DOLARES en tener locales lindos, en buenas ubicaciones (la casa central está al costado del PuntaCarretas Shopping) y cuanto les pueden haber cobrado por el eCommerce que tienen… 300 dólares? Porque si gastaron más que eso seguro los estafaron… así estamos.

El Guardián, una amenaza a la privacidad

big-brother-is-watching-you

A raíz de una nota que leí hace un par de días en El País respecto del nuevo sistema de vigilancia masiva del gobierno Uruguayo, El Guardían, leí también muchos comentarios que demuestran la preocupación que hay de la gente acerca del mál uso que se le pueda dar a dicho software con la consiguiente pérdida de privacidad de todos. Y es que si bien en la nota dice que El Guardían solo podrá ser usado con autorización de un Juez, sabemos que del dicho al hecho …. y que antecedentes de abusos en herramientas similares abundan en el mundo y Uruguay no es la excepción..
Algunos les dejo algunos ejemplos de casos que demuestran que Uruguay no está exento en estos temas:

La privacidad es necesaria, la excusa de que “soy inocente, no tengo nada que ocultar” no es válida. Pero para entender porque es no es válida, mejor darse una vuelta por este acrticulo que lo explica bien. Y aquí hay otro también muy interesante al respecto.
Recientemente leía una nota que le hicieron a Edward Snowden en donde el recomendaba algunas herramientas para mantener nuestra privacidad.

Para dispositivos móviles:

En cuanto a los servicios de almacenamiento en línea, la mejor opción de Snowden resulta ser SpiderOak (Android, iOS), ya que, según dijo, “no cuenta con la clave de encriptación para ver lo que has subido” a sus servidores, a diferencia de otros servicios, como Dropbox.

Además de los recomendados de Snowden, hay más medidas que podemos tomar para proteger nuestra privacidad.
En los dispositivos móviles también es muy importante mantener el contenido que guardamos encriptado.
Por ejemplo, si pierdes tu teléfono o te lo roban, cualquiera podrá ver los contenidos que tienes en tu tarjeta SD pues por defecto se guardan gran cantidad de datos en ella. Si encriptas el teléfono y su tarjeta ya no importa que saquen la tarjeta y la pongan en otro celular o pc para verla pues no podrán ver nada. Para activar la encriptación en Android lo puedes ver aquí y para IOS aquí.

Para computadoras:

Si quieres proteger las comunicaciones por e-mail desde tu PC puedes usar una extensión de Chrome para encriptar todos tus e-mails, aquí tienes detalles como hacerlo.
Para comunicarnos por un canal seguro a través de nuestra PC, una buena idea es usar una VPN.
Al usar una VPN todo el tráfico que sale y entra a nuestra PC esta encriptado.
Hay VPNs gratuitas y pagas. Las instrucciones de para conectarse a una VPN en general las da el propio proveedor de la VPN.
En Windows también podemos cifrar todo el contenido del disco duro y discos externos y solo podremos abrirlos desde el usuario de Windows que los haya encriptado.

Navegación Anónima.

Si lo que quieres una navegación anónima a través de la web, puedes usar Tor como Navegador. Con Tor puedes navegar de manera anónima, además Tor es el navegador que se usa para entrar en la “Deep Web” o “Web Profunda”. Si no tienes idea de que es la “Deep Web” les recomiendo esta Guía de Supervivencia en la Deep Web

En definitiva, las opciones están, en la mayoría de los casos son gratuitas, solo hace falta usarlas.

Repercusiones de la nota anterior

Bueno, me alegro que cuando uno escribe notas como la del Video porno de Chris Namús, una incoherencia tras otra,  sirvan para algo. Por ejemplo el sitio web de Subrayado corrigio el error.

Esta tarde aparecia así:

Y luego de la nota de @fedelosa y la mía lo corrigieron:

La que sigue con error es la de El País

Espero que esta solo la primera repercusión positiva que tenga la nota.

Video porno de Chris Namús, una incoherencia trás otra!

Como ya es sabido por todos, hace unos días salió a la luz un video porno (dejen de decirle íntimo!) que tiene como protagonista a la boxeadora Chris Namús y a su ex novio.
En este caso no me voy a centrar en el contenido del video, si no en la investigación y la información que levantan y publican los medios sin un chequeo mínimo de lo que publican. Antes que nada quiero dejar en claro que ni conozco en persona a Chris Namús, ni tengo ningún contacto con nadie de la investigación, ni de la policía, ni con  nada. Mi opinión se basa en base de los disparates que publican los medios, el abogado y otros actores de este circo.
Comencemos.
El tema con el video de Chris Namús YO lo vi comenzar en twitter la madrugada del Jueves 27 de Setiembre, alrededor de la 1 de la mañana. Esa misma noche vi comentarios en twitter sobre que andaba circulando vía por e-mail el video porno de una famosa Uruguaya, de hecho en el tweet se reían del atraso que suponia que el video de una Uruguaya se lo pasaban por mail. El siguiente tweet fue retwiteado por un amigo, yo ni siquiera sigo a esta persona.

Esa noche yo me fui a dormir sabiendo que habia un video porno de alguna famosa Uruguaya pero aún sin saber de quien. El Jueves de mañana temprano cuando me despierto y reviso desde el celular twitter, ahí me entero que el video es de Chris Namús. De ahí en más comencé a ver en TV todo tipo de incoherencias y disparates, por ejemplo.

Incoherencia uno:
Una de las primeras cosas graciosas que vi fue al abogado de Namus diciendo en TV que el video había sido filmado sin su consentimiento!!?
ALGUIEN QUE HAYA VISTO ESE VIDEO ENSERIO PUEDE PENSAR QUE EL MISMO HAYA SIDO FILMADO SIN SU CONSENTIMIENTO!!? no me jodan…. eso fue muy gracioso

Incoherencia dos:
También vi en subrayado (las busque en el sitio web de subrayado pero el buscador da asco, no encuentra nada) que alguien (no recuerdo quien pero creo que era alguien de la policia) de la policia comentaba que estaban atras de quien había subido el video a unsitio web de Internet…. eso me parece una estupidez. Si van a buscar a alguien tienen que ir a buscar al que sacó el video del celular o tarjeta de memoria y lo subio a su mail y comenzo a mandar a todas partes… CONTRA ESE deberían de ir.

Incoherencia tres:
En consonancia con la incoherencia  dos, el Jueves de mañana yo hice una busqueda en google del famoso video pues yo no lo había visto aún. El video alguien lo había subido a youtube pues me salio en un resultado de google, hice click en la url y obviamente lo habían bajado pues como todos sabran Youtube no permite porno (lamentablemente no tengo captura de eso). Más tarde lo subieron a un lugar que sí acepta porno. Lo más probable es que alguien que lo haya recibido por mail lo haya subido a ese sitio, que es como un youtube pero porno y claro, de ahí no lo borraron (hasta que la justicia uruguaya intervino).
Por eso con eso ratifico lo de la incoherencia dos, deberían ir contra el que comenzó a pasar el video por mail y no contra quien lo subio, subirlo pudo haber sido cualquiera de los que lo recibio por mail. Inculparlo de algo sería como inculpar a todos los que se pasaron el link del sitio web, es bastante incoherente.

Incoherencia cuatro:
Subrayado publicó hace un rato al igual que El País la noticia de la cual pongo la captura a continuación:

video porno de Chris Namus
Clic para ver grande

La url para ver la noticia  es: http://www.subrayado.com.uy/Site/noticia/17101/video-intimo-de-namus-la-investigacion-seguira-en-eeuu

Aca hay varios disparates:
1. Desde cuando un video se guarda en la tarjeta SIM!!? para los que no entendieron, la tarjeta SIM es el chip del celular que almacena nuestra línea telefónica y apenas tiene capacidad para guardar algunos contactos. NO SIRVE PARA GUARDAR VIDEOS. En todo caso puede haber perdido la tarjeta de memoria donde estaba contenido el video… pero los de el País y Subrayado seguro que si les pasaban la información diciendo que el video lo guardaba en el water de su baño seguro la subían igual textualmente 🙂

2. El titulo dice: EE.UU analizará de dónde fue subido el video de Namús. Y más adelante dice: En Uruguay no se cuenta con la tecnología necesaria para determinarlo.
Eso es otro disparate. El tema es asi: las dos maneras que tienen de comprobar si el novio de Namus subio el video desde su casa es:

1. Pedir al sitio web xvideos.com mediante orden judicial que les de la IP del usuario que subio ese video. En ese caso se fijan en Anteldata también mediante orden judicial si esa IP se corresponde con la del adsl de su casa a esa hora y listo. El procedimiento es fácil pero seguro a trabas burocráticas les lleve algún tiempo tal como dicen.

2. Mediante orden judicial Anteldata (en caso de que Anteldata sea su ISP, no nos olvidemos que tambien esta Dedicado y algún otro) podría fijarse el tráfico, logs, sitios visitados de estos días del adsl del acusado. Con esto automaticamente si bien no sabrían quien subió el video, sí podría descartar al novio ex novio de namus. Ojo, que también podría haberlo subido de algún otro lado que no fuera su casa. O sea que es mentira que en Uruguay no se cuenta con la tecnología ni que no se puede hacer nada. El video se envió de un lugar a otro. No tenemos la información del destino pero si podemos ver si salio o no desde su conexión a Internet.
Asi que bueno, yo cada vez que veo los informes me divierto un rato.
Sin dudas no va a ser un caso fácil en el que puedan encontrar el culpable. Como digo, es muy probable que hayan sido personas diferentes quienes ingresaron el video a Internet y quien lo subió al sitio web en que estaba. En este caso se deben centrar en quien lo metió en Internet.
Por otra parte si quien lo subio tenía un mínimo de conocimiento de Internet simplemente podria ir y subirlo desde algún cibercafe (alguno que no contara con cámaras de seguridad) y ahi no lo agarrarían nunca. O podría subirlo desde una Netbook desde algún wifi abierto en cualquier lado, tampoco lo agarrarian nunca.
Lo lamentable de todo esto es la falta de gente especializada en tecnología trabajando en la policía, en la prensa y en el poder judicial…. es lamentable.

Solucionar Problemas entre Firefox 13 y Shockwave Flash


Desde hace unos días en que Adobe lanzo la versión de Flash 11.3.300.257 en Firefox 13 dejaron de verse los videos y animaciónes en Flash, lo cual no es un problema menor ya que afecta a todos los sitios de videos entre ellos Youtube. Ya pasarón algunos días y ni Firefox ni Adobe lanzaron una nueva versión que solucione esto asi que no queda otra que solucionarlo uno mismo.
El problema es el “Modo protegido” del Flash Player y la solución es desactivarlo.

Los pasos para solucionar el problema son:

  • Busca el archivo mms.cfg, estará localizado en:
    • Windows 32bits: C:\windows\system32\macromed\flash
    • Windows 64bits: C:\windows\syswow64\macromed\flash
  • Ábrelo con el Block de notas. Si no lo encuentras, puedes crearlo con el Block de notas (Notepad) o bien descargarlo del siguiente enlace proporcionado por el propio Adobe, mms.cfg.zip (145 bytes) [Este archivo sólo contiene la línea que se ha de añadir, así que si lo tienes en tu equipo, no descargues este].
  • Añade la línea siguiente:
    ProtectedMode = 0
  • Dependiendo del sistema operativo puede que no te permita guardar los cambios. En ese caso, has de guardar el archivo en otra carpeta y luego copiarla al lugar donde se encuentra el archivo mms.cfg original y sobreescribirlo.

Para volver a activar el Modo protegido, se ha de hacer lo mismo pero eliminando la línea incluida.
Espero que les haya sido de utilida.
Este post fue realizado en base a información publicada en http://blogdepasm.blogspot.com.es/2012/06/problemas-mozilla-firefox-13-y.html

Como saber si nuestra contraseña fue expuesta en Linkedin

 

Desde hace un par de días ha salido en todos los medios que Linkedin fue Hackeado y se robaron 6.5 millones de contraseñas, o sea alrededor de un 5% de los 150 millones de usuarios que tiene la red de contactos profesionales habrian sido afectados. El problema de todo esto no es solo que puedan entrar a tu cuenta de Linkedin si no que mucha gente usa la misma contraseña para varios sitios web pues es imposible tener una para cada sitio que visitamos. Es por eso que es importante saber si tu contraseña esta entre las afectadas ya que de ser asi deberias cambiarla no solo en Linkedin si no en todos los sitios en donde uses la misma contraseña..
Para saber si tu cuenta esta entre las afectadas puedes hacer lo siguiente.

1. Bajar el archivo con los más de 6 millones de contraseñas, el mismo esta dando vueltas por Internet y las contraseñas están codificadas bajo SHA1

http://www.mediafire.com/?om8n1o3se1u8m74
http://www.putlocker.com/file/8DA2463354E0FD0F

2. Descomprimelo y abrelo con algún editor de texto avanzado como el Notepad++ ya que al ser tanto texto (descomprimido es un txt de 250 mb) el Notepad se atora facilmente

3. Ve a http://www.tech-faq.com/sha-1-generator e introduce tu clave de linkedin y conviertela a SHA1.

4. Copia la contraseña en SHA1 menos los 5 primeros caracteres (hay muchas de las que ya se obtuvo la contraseña y los 5 primeros caracteres fueron reemplazados con ceros) y busca esa cadena de texto en el TXT con las contraseñas con la herramienta buscar.

Festeja en caso de que no haya sido filtrada, pero si fue filtrada tendrás trabajo que hacer pues deberías cambiar esa contraseña en todos los lugares donde haya sido usada)