FILTRACION. Volcados en Internet manuales de reactores nucleares de Corea del Sur

Un 'pirata' informático -o un grupo de ellos- que robó planos y otros datos de reactores de centrales nucleares de Corea del Sur está volcando esa información en Internet y amenazando con más "filtraciones" si no se cierran dichas plantas, informó la empresa que opera estas instalaciones.

En una cuenta de Twitter llamada 'Presidente del grupo antinuclear' han sido publicados diseños y manuales de los reactores 2 y 1, respectivamente, de las centrales de Gori y Wolsong (ambas en el sureste del país) sustraídos a la empresa Korea Hydro & Nuclear Power (KHNP).

La información incluye datos sobre los sistemas de aire acondicionado y refrigeración de estos dos reactores.

Es la cuarta filtración de este tipo desde el pasado 15 de diciembre, según explicaron representantes de KHNP citados por la agencia Yonhap, que insistieron en que la información filtrada no está relacionada con la tecnología principal de los reactores y no supone una amenaza para la seguridad de las centrales. En la primera filtración, realizada día 15, se hicieron públicos datos personales de unos 10.000 trabajadores de la empresa.

A continuación se solicitó el cierre durante tres meses a partir de navidad de las unidades de fisión 1 y 3 de Gori y de la 3 de Wolsong, y se advirtió de que "los que residen cerca de los reactores deberían mantenerse alejados en los próximos meses". "Si no veo los reactores cerrados para navidad no tendré más opción que publicar todos los datos (robados) y llevar a cabo una segunda ronda de destrucción", agrega la cuenta de Twitter.

"Puedo revelar al mundo 100.000 páginas con datos. Decís que esto no es material confidencial. Veremos si asumís vuestra responsabilidad si la información de planos originales, sistemas y programas son revelados a países que los quieren", concluye.

KHNP opera los 23 reactores nucleares comerciales de Corea del Sur, que proveen el 30% de la electricidad que consume la cuarta economía de Asia.

Fuente: El Mundo.es

VULNERABILIDAD. Unos 12 millones de 'routers' domésticos afectados

La compañía de seguridad informática Check Point informa de la detección de una vulnerabilidad crítica -aunque antigua- que afecta a al menos 12 millones de 'routers'.

Este error, que ha sido bautizado con el nombre de 'galleta de la desgracia' ('Misfortune Cookie'), "podría ser usado para tomar el control -con privilegios de administrador- de millones de 'routers' domésticos y de pymes", sostiene la compañía.

El 'software' afectado es "el programa de servidor web RomPager de AllegroSoft, que normalmente está embebido en el 'firmware' integrado en los dispositivos", afirma Check Point en una nota.

Así, la compañía ha detectado que este agujero en al menos una docena de millones de dispositivo "de diferentes modelos y fabricantes en todo el mundo", y que "podría llegar a permitir a un atacante tomar control del dispositivo y sus privilegios de administración".

Hasta 200 modelos de 'routers' sufren este agujero, de fabricantes y marcas como D-Link, Edimax, Huawei, TP-Link, ZTE, y ZyXEL,

Según Check Point, un atacante podría, a través de esta vulnerabilidad, "tomar el control de millones de routers de todo el mundo para controlar y robar datos de los dispositivos, cableados e inalámbricos, conectados a sus redes".

Es decir, ordenadores, teléfonos, impresoras, cámaras de seguridad o cualquier otro electrodoméstico conectado a la red a través de un 'router' comprometido podría terminar controlado remotamente por un posible atacante. No obstante, no se ha detectado ningún caso al respecto de momento.

Para cerrar el agujero de seguridad, es necesario instalar un parche para el 'firmware' del dispositivo. Algunos medios especializados sostienen que AllegroSoft arregló el agujero en su 'firmware' 2005, pero el código aún ha de ser corregido en millones de 'routers'. El error de programación data de 2002.

Check Point, que no ha revelado información sobre esta vulnerabilidad en profundidad por motivos obvios de seguridad, ha habilitado un sitio web de información sobre la 'galleta de la desgracia' que completa la información de este error.

Fuente: El Mundo.es

OBAMA. Ataque informático a Sony no fue un acto de guerra

El presidente de Estados Unidos, Barack Obama, dijo que no considera el ataque informático contra Sony como un acto de guerra sino como vandalismo informático, en comentarios que apuntaban a calmar la ira estadounidense por un incidente del que Washington culpa a Corea del Norte.

La prolongada disputa entre Washington y Corea del Norte, que por años se ha centrado en el programa de armas nucleares del país asiático, entró en nuevo territorio con la acusación de que Pyongyang llevó a cabo un ataque contra una de las mayores empresas de entretenimiento de Hollywood.

Obama y sus asesores están evaluando cómo castigar a Corea del Norte después de que el FBI concluyó el viernes de que Pyongyang era el responsable del ataque.

El mandatario colocó el ciberataque en el contexto de un crimen.

"No, no me parece que haya sido un acto de guerra", dijo Obama en el programa de televisión "State of the Union with Candy Crowley", que fue grabado el viernes y transmitido el domingo.

"Creo que fue un acto de vandalismo informático que fue muy costoso, muy caro. Lo tomamos muy seriamente. Responderemos en forma proporcional", agregó.

Obama dijo que una opción es volver a colocar a Corea del Norte en la lista de países que patrocinan al terrorismo, de la cual Pyongyang fue retirado hace seis años.

El domingo, Pyongyang prometió que devolvería el golpe ante cualquier represalia por parte de Estados Unidos.

Fuente: Reuters

OBAMA. 'No podemos permitir que un dictador imponga la censura a EEUU'

A preguntas de los periodistas ha hablado sobre el deshielo de las relaciones con Cuba (ha asegurado que "el cambio vendrá") y sobre el ciberataque de Corea del Norte a Sony.

"Espero que el nuevo Congreso esté dispuesto a trabajar con nosotros en el refuerzo de la ciberseguridad para evitar, en primer lugar, que estos ataques ocurran. No podemos tener una sociedad en la que algún dictador en alguna parte puedan empezar a imponer censura en EEUU. Imagínese lo que harían con información sobre el Gobierno, visto lo que ha hecho con una película", ha asegurado sobre el acoso digital a Sony. . Por otro lado, ha apuntado que retirar la película "es un error".

Además, Obama ha confirmado que el Gobierno de Corea del Norte participó en el ataque de la productora del filme 'The interview' . "Han causado un grave daño y responderemos en la misma medida", advirtió el inquilino de la Casa Blanca, que ya tiene sobre la mesa diferentes respuestas para valorar. Obama explicó que tomará una decisión "proporcionada y apropiada"

Posteriormente, el CEO de Sony Entertainment, Michael Lynton, ha respondido a las palabras de Obama sobre la decisión de retirar 'The Interview'. "El presidente, la prensa y el público se equivocan sobre lo que ha pasado. Nosotros no somos propietarios de los cines", ha dicho en un avance de la entrevista en CNN que se emitirá en la madrugada del viernes al sábado.

Fuente: El Mundo.es

APPLE. "Ofendida" por las investigaciones de la BBC de sus fabricas

   La empresa de Cupertino ha expresado recientemente su malestar por el reportaje realizado por la BBC, en el que se ponen en evidencia las pésimas condiciones laborales a las que Apple sometería a sus empleados en China.

   En el reportaje se podía observar como muchos de los trabajadores de Apple en su planta de embalado de iPhone 6, dormían en sus puestos de trabajo o expresaban su cansancio. Mientras, se ve como sus superiores los fuerzan a continuar desempeñando sus funciones en turno que se estima que duran días y noche.

   Los periodistas infiltrados en la fábrica de Pegatron -empresa encargada fabricar los diseños de Apple- afirman que se les hizo trabajar en turnos superiores a 12 horas, llegando incluso a las 16.

   Ante estas imágenes, se ha pronunciado el CEO de la compañía de Cupertino, Tim Cook ha expresado encontrarse "profundamente ofendido" en un mensaje dirigido a los 5.000 trabajadores de la compañía en Reino Unido.

   El ejecutivo senior de Apple también ha expresado en un correo electrónico a los empleados que están haciendo todo lo posible por mejorar las condiciones laborales. Después añadía: " Pero aún podemos hacer más".

   Sin embargo los autores del reportaje, explican que mandaron los resultados de sus investigaciones a Apple y que recibieron un informe no imputable de la empresa. Por estos motivos, se encuentran sorprendidos de que la empresa de Cupertino no se haya preparado para dar explicaciones.

   Esta noticia evidencia de nuevo las malas condiciones laborales de sus empleados de Apple, los cuales ya han protagonizaron varios suicidios colectivos en los ultimos años. La compañía no ha hecho declaraciones publicas sobre los reportajes.

Fuente: Europa Press

ESPAÑA. La consulta de webs yihadistas será delito en el nuevo Código Penal

El Gobierno, a través del Partido Popular, cambiará toda la regulación penal de los delitos de terrorismo. Lo hará mediante 90 enmiendas que ha presentado al Código Penal que se estudia en el Congreso, sin consulta previa al PSOE como es habitual en este asunto y para tramitarlas y aprobarlas de forma exprés. Su propuesta unilateral cambia por completo la concepción de la lucha penal contra el terrorismo al penalizar más comportamientos individuales que los de grupo organizado y al tipificar la intención de formar parte más que la comisión de hechos.

El PSOE considera que el Gobierno del PP ha roto todos los consensos en la lucha contra el terrorismo al haber presentado una propuesta de nueva regulación penal, sin consulta previa, para aprobarla en solitario en las Cortes. El Grupo Popular lo aprobará sin informes técnicos.

Dos propuestas legales polémicas de Interior

• Enmienda al Código Penal. Artículo 573 bis: “Será castigado con una pena de prisión de uno a ocho años quien consulte habitualmente uno o varios servicios de comunicación accesibles al público en línea o adquiera o tenga en su poder documentos que estén dirigidos o, por su contenido, resulten idóneos para incitar a otros o reforzar la decisión adoptada de incorporarse a una organización o grupo terrorista, a un grupo que conspirase para cometer alguno de los delitos del artículo 571 (los de terrorismo) o que hubiera iniciado preparativos para ello, o de colaborar con cualquiera de ellos o con sus fines”.
• Anteproyecto de Ley de Enjuiciamiento Criminal. “En caso de urgencia, cuando las investigaciones se realicen para la averiguación de delitos cometidos en el seno de organizaciones criminales, delitos de terrorismo, delitos contra menores o personas con capacidad modificada judicialmente y otros delitos que, en virtud de las circunstancias del caso puedan ser considerados de especial gravedad, y existan razones fundadas que hagan imprescindible la intervención de comunicaciones, el ministro del Interior podrá acordar la medida de investigación pertinente. En el plazo máximo de 24 horas lo comunicará al juez”.
• El proyecto de Código Penal ha estado bloqueado en el Congreso durante más de un año y, sin embargo, las enmiendas a este capítulo esencial se presentan ahora. Pese a ser uno de los capítulos que prevé penas más altas y que exige mayor sensibilidad para no afectar a derechos, el Gobierno ha vuelto a legislar al margen de los órganos institucionales que emiten informes preceptivos aunque no vinculantes. El Consejo General del Poder Judicial, el Consejo de Estado y el Consejo Fiscal ya emitieron informes en su momento sobre el anteproyecto que hizo el anterior ministro de Justicia, Alberto Ruiz-Gallardón, pero sin tener en cuenta, lógicamente, las 90 enmiendas que presenta ahora el Gobierno a través del PP.

Legislar sin informes técnicos

• El Gobierno de Mariano Rajoy ha utilizado reiteradamente la vía de las enmiendas a proyectos de ley en trámite en el Congreso para legislar sobre asuntos trascendentes, en ocasiones vinculados a derechos fundamentales. Evita de esta forma los informes preceptivos técnicos en los que pueden recibir sugerencias o críticas y elude también la polémica del debate y la controversia.
• Así lo hace con el capítulo de terrorismo del Código Penal, con 90 enmiendas tramitadas a toda prisa, y recientemente lo hizo con la legalización en la ley de seguridad ciudadana de las devoluciones en caliente de inmigrantes que saltan la valla de Ceuta o Melilla. En ese caso lo hizo con una enmienda que se incluyó en una disposición final en el último momento.
• También se eliminó con esta forma de legislar la Justicia universal con una enmienda a otra ley y, antes del verano, lo repitió con el aforamiento de toda la Familia Real, tras la abdicación del rey Juan Carlos.
• Hace un mes lo hizo de nuevo para matizar con una enmienda la entrada en vigor de la ley que traspone la decisión europea que ha supuesto la excarcelación de etarras. Pretendía el Gobierno frenar así las excarcelaciones y está a la espera de la decisión del Tribunal Supremo.
• En breve, enviará el Gobierno el proyecto de Ley Orgánica del Poder Judicial a las Cortes sin pedir informes técnicos porque ya los pidió hace meses para el anteproyecto de Alberto Ruiz-Gallardón que ha quedado ahora en una reforma muy parcial. Es decir, no tiene nada que ver el proyecto que remita ahora con el texto sometido en su momento a estudio técnico en el Consejo de Estado, el Consejo General del Poder Judicial y el Consejo Fiscal.
• Es legal esta forma de legislar, pero la oposición entiende que es un fraude de ley, porque omite esa exposición pública que supone garantías sobre el contenido. En la mayoría de los casos citados es aún más problemático porque se refiere a leyes que afectan a derechos fundamentales y, por tanto, serán sometidas a escrutinio futuro en recursos ante el Tribunal Constitucional, pero cuando ya estén sobradamente en vigor.

Fuente: El Pais.com

ESPAÑA. El Portal de la Transparencia grave problema de seguridad desde su inaguración

Hacienda, responsable de su mantenimiento, afirma que el problema está arreglado.

Detalles del error

• Un grave error de seguridad ha afectado al Portal de la Transparencia desde su inauguración, hace una semana. Mediante el cambio al azar de parte de la URL de un resultado de una consulta, se ha podido acceder de forma directa y fácil a la identificación de otras consultas, de forma aleatoria. Los datos de esta forma accesible incluían al menos el nombre, los apellidos, el DNI o NIF y el contenido de la consulta de dichos ciudadanos que consultan. El problema ya ha sido solventado, informa el Ministerio de Hacienda.
• El fallo, descubierto por el experto en privacidad Samuel Parra, permitía acceder, a partir de una consulta de un ciudadano, a dichos datos personales mediante el cambio de una parte de la dirección que aparece en el navegador (URL) al obtener el comprobante de la consulta, un documento PDF.
• Este portal, en línea desde el pasado día 10 de diciembre, proporciona hasta 530.000 registros accesibles de información sobre estructura de la Administración General del Estado tales como sueldos de altos cargos, catálogos de bienes inmuebles, contratos públicos y subvenciones, y además habilita a los ciudadanos para que realicen solicitudes de información de cualquier tema público. Son sus resultados los que se han visto 'desprotegidos'.
• Aunque dichas consultas están protegidas por estar verificadas mediante un certificado digital o el propio DNIe, lo cierto es que el Portal de Transparencia no verificaba los permisos para acceder a otros documentos ajenos una vez recibido el resultado de la consulta.
• Samuel Parra, miembro de la firma ePrivacidad, pudo comprobar que este error permite el acceso indiscriminado a las solicitudes de información que cualquier ciudadano haya realizado utilizando el Portal de la Transparencia del Gobierno de España.

Un error simple pero grave

• Para Parra, "la gravedad del fallo radica precisamente en su sencillez para explotarlo; no hace falta conocimientos avanzados de seguridad informática ni utilizar complicados programas informáticos, ni conocer ninguna contraseña, basta un navegador de Internet y un poco de imaginación para tener acceso a los cientos de peticiones de información que ya han presentado los ciudadanos, donde encontraremos su nombre y apellidos, su número de DNI, su correo electrónico, su domicilio (si fue facilitado) y la concreta petición de información".
• Desde el punto de vista de la protección de los datos de carácter personal, conviene recordar que la Ley Orgánica de Protección de Datos impone la obligación a aquellos sujetos responsables de los ficheros de datos de adoptar medidas de índole técnica necesarias que garanticen la seguridad de los datos y eviten su acceso no autorizado.
• "Dado que nos encontramos ante un fallo de seguridad que no supone quebrar ninguna medida de seguridad específica, ni la utilización de contraseñas ajenas, la falta de diligencia a la hora de diseñar el Portal de Transparencia resulta manifiesto", apunta Parra, y destaca: "La más básica de las auditorías de seguridad informática habría detectado el problema".
• Este periodista trató de poner en contacto con diversas instancias ministeriales desde primera hora de la mañana del miércoles. Desde Presidencia del Gobierno afirmaron que el desarrollo técnico depende del Ministerio de Hacienda y Administraciones Públicas.
• Desde Hacienda, su protocolo de actuación impidió explicar el fallo directamente al técnico encargado de la seguridad del portal. Fuentes del mismo ministerio aseguraron a medianoche del miércoles que los técnicos responsables del portal habían solucionado el problema, después de haber trabajado en la resolución de este agujero de seguridad durante toda la jornada.

Fuente: El Mundo.es

AMÉRICA LATINA. ¿Espionaje a los países de la región ?

Hace una semana, la empresa de seguridad Blue Coat ha revelado un importante APT (Advanced Persistent Threat, Amenazas Persistentes Avanzadas) que ha afectado a entidades petroleras, financieras, embajadas y gobiernos. 

Detalles del ataque

• Gracias al tipo de infección y los idiomas usados, sabemos que se ha empleado para atacar a países como Rusia, Rumania, Venezuela, Paraguay, etc. El atacante ha podido recoger datos confidenciales a través de malware diseñados para la plataforma Windows y plataformas móviles como Android, IOS, y Blackberry.
•  El ataque ha sido bautizado por Blue Coat como "The inception Framework". Kaspersky en cambio le ha dado el nombre de "Cloud Atlas", esta compañía ha destacado su gran parecido con un viejo conocido: Red October (Octubre Rojo). Realmente el formato de determinados correos de phishing empleados o de ciertas partes de código es muy semejante a aquel malware de hace dos años.
•  Sin embargo en esta ocasión lo que destaca especialmente es el uso de malware dirigido a dispositivos móviles. Nos han parecido especialmente interesantes los ataques realizados a plataformas Android, por lo que vamos a mostrar un análisis más detallado del malware empleado.

Infección

•  Los atacantes han usado el correo para llegar a sus víctimas. Abajo se muestra un ejemplo de un correo destinado al gobierno de Paraguay. Al acceder desde un móvil Android , el usuario descargaba la aplicación "WhatsAppUpdate.apk" que hacía crear al usuario que se trataba de una actualización para WhatsApp.

Análisis del malware

•  La siguiente imagen muestra la lista de permisos requeridos por la aplicación. A primera vista, vemos que el atacante está muy interesado por las comunicaciones de la victima (llamadas y registros de llamadas), los SMS recibidos, su ubicación, su calendario, su lista de contactos, los favoritos de su navegador y archivos.
•  Según la fechas de los archivos contenidos dentro del malware fue programado el 13 de octubre 2014 (hace 3 meses que está activo). Además, la aplicación parece estar desarrollada por indios, por la presencia de comentarios en hindú. ¿Los indios estarían interesados en la recogida de información confidencial de países de América Latina?
•  Además, el malware tiene un servicio para grabar las conversaciones durante las llamadas telefónicas

Recoger los comandos y enviar los datos robados

El atacante ha atacado y modificado tres blogs donde ha dispuesto un "payload" conteniendo el servidor donde recoger los comandos y enviar los datos robados. Ha infectado los 3 blogs siguientes para diseminar el payload:

• http://klarkvoplige.livejournal.com
• http://boberder.livejournal.com
• http://lindamenson.livejournal.com

 Cifrado de los datos

•  Cada vez que el malware roba datos (llamadas, etc.), los cifra antes de escribirlos en la carpeta personal de la aplicación. Es una manera de proteger los datos en caso de que se realice un análisis forense. 
• El atacante usa el algoritmo simétrico AES "PBEWITHSHA256AND128BITAES-CBC-BC" con la contraseña  "hfsdvccnbn,klkufcczdgr332hgngcbgfgjjmjj,kkl;popi,jlkl...hk,hkj,nfjy,jjjyyjhmmhfjoiligmhgjhkik,jkgmhhfttfbvvczccxzsaaaaqqznmg" y la semilla "nhnfcfafssbgf,,hlou87766gfdsfdsvd" para inicializar el algoritmo.

Conclusión

•  Ese malware avanzado está destinado a grabar las llamadas telefónicas. El malware fue enviado directamente a empleados del gobierno de Paraguay, lo que nos sugiere que existe una entidad gubernamental detrás. Para evitar ser identificado, el atacante usa por lo menos un proxy para esconderse y así no revelar su existencia, identidad y el C&C donde guarda los datos robados.

Más información:

• Blue Coat Exposes “The Inception Framework”; Very Sophisticated, Layered Malware Attack Targeted at Military, Diplomats, and Business Execs, https://www.bluecoat.com/security-blog/2014-12-09/blue-coat-exposes-%E2%80%9C-inception-framework%E2%80%9D-very-sophisticated-layered-malware
• SHA256 de la muestra analizada  21b7ab52098b8d3f90f6a36362cba6a68967ae318b07e3ac99757d2d21ba2479
• Cloud Atlas: RedOctober APT is back in style  http://securelist.com/blog/research/68083/cloud-atlas-redoctober-apt-is-back-in-style/

Fuente: Hispasec

LINUX . Actualización del kernel Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización considerada importante del kernel de Red Hat Enterprise Linux 6 y 6.6.z (cliente y servidor), que solventa ocho nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para elevar sus privilegios en los sistemas afectados y provocar condiciones de denegación de servicio.

Detalle e impacto potencial de las vulnerabilidades corregidas

•  Existen vulnerabilidades de denegación de servicio por problemas en en la implementación SCTP (CVE-2014-3673, CVE-2014-3687 y CVE-2014-3688), en el sistema de archivos UDF (CVE-2014-6410) y en la implementación de red por el tratamiento de sockets raw (CVE-2012-6657).
•  Por otra parte existen vulnerabilidades de elevación de privilegios al recuperarse de un fallo en el segmento de pila (CVE-2014-9322) y en la función parse_rock_ridge_inode_internal() de la implementación ISOFS (CVE-2014-5471, CVE-2014-5472)
•  Además se han solucionado otros fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network. 

Recomendación

• Información del uso de Red Hat Network para instalación de actualización desde https://access.redhat.com/articles/11258

Más información:

• Important: kernel security update  https://rhn.redhat.com/errata/RHSA-2014-1997.html

Fuente: Hispasec

CISCO ASA . Vulnerabilidad tipo Cross-Site Scripting

Cisco ha anunciado la existencia de una vulnerabilidad en el software Cisco de losAdaptive Security Appliances (ASA) configurados para WebVPN, que podría permitir a un atacante realizar ataques de cross-site scripting.

Detalle e Impacto de la vulnerabilidad

•  El problema reside en la validación inadecuada de las entradas en la página de autenticación del portal WebVPN de Cisco ASA que podría permitir la ejecución de código script arbitrario (cross-site scripting). Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
•  La vulnerabilidad tiene asignado el CVE-2014-8012. 

Recomendación

• Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte.

Más información:

• Cisco Adaptive Security Appliance DOM Cross-Site Scripting Vulnerability in WebVPN Portal http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8012

Fuente: Hispasec

IBM DB2 . Confirmadas diversas vulnerabilidades

Se han confirmado cuatro vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM) versiones 9.5, 9.7, 9.8, 10.1 y 10.5 sobre sistemas AIX, Linux, HP, Solaris y Windows; que podrían permitir a un atacante remoto provocar condiciones de denegación de servicio en los sistemas afectados.

Detalle e Impacto de las vulnerabilidades corregidas

•  Todos los problemas están relacionados con el tratamiento de sentencias ALTER TABLE específicamente construidas; y podrían permitir a atacantes remotos autenticados provocar la caída del servidor DB2. 
• Los CVE asociados son CVE-2014-6209, CVE-2014-6210, CVE-2014-6097 y CVE-2014-6159.

Recursos afectados

 Los problemas afectan a los siguientes productos:

• IBM DB2 Express Edition
• IBM DB2 Workgroup Server Edition
• IBM DB2 Enterprise Server Edition
• IBM DB2 Advanced Enterprise Server Edition
• IBM DB2 Advanced Workgroup Server Edition
• IBM DB2 Connect Application Server Edition
• IBM DB2 Connect Enterprise Edition
• IBM DB2 Connect Unlimited Edition for System i
• IBM DB2 Connect Unlimited Edition for System z
• IBM ha publicado las actualizaciones necesarias para corregir estos problemas en DB2 y DB2 Connect disponibles desde Fix Central.

Más información:

• Security Bulletin: IBM® DB2® LUW contains a vulnerability in which an ALTER TABLE statement on identity column may cause the DB2 server to terminate abnormally. (CVE-2014-6209) http://www.ibm.com/support/docview.wss?uid=swg21690787
• Security Bulletin: IBM® DB2® LUW contains a vulnerability in which multiple ALTER TABLE statements may cause the DB2 server to terminate abnormally. (CVE-2014-6210) http://www-01.ibm.com/support/docview.wss?uid=swg21690891
• Security Bulletin: IBM® DB2® LUW contains a vulnerability in which an ALTER TABLE statement may cause the DB2 server to terminate abnormally. (CVE-2014-6097) http://www-01.ibm.com/support/docview.wss?uid=swg21684812
• Security Bulletin: IBM® DB2® LUW contains a vulnerability in which an ALTER TABLE statement may cause the DB2 server to terminate abnormally when AUTO_REVAL is set to IMMEDIATE . (CVE-2014-6159) http://www-01.ibm.com/support/docview.wss?uid=swg21688051

Fuente: Hispasec

VULNERABILIDADES. De ejecución de código a través de clientes Torrent

Se ha anunciado una vulnerabilidad en los clientes BitTorrent y uTorrent, que podría permitir a un atacante remoto comprometer los sistemas afectados.

Detalle e Impacto de la vulnerabilidad

•  El problema, con CVE-2014-8515, reside en el tratamiento de valores de emparejamiento relacionado con WebUI, por lo que es necesario que se encuentre activa la interfaz web (WebUI). Un atacante remoto podría lograr la ejecución de código arbitrario al finalizar la descarga de un archivo torrent especialmente diseñado.

Recursos afectados

•  Se ven afectadas las versiones de BitTorrent y uTorrent anteriores a la 36802. 

Recomendación 

• Se han publicado actualizaciones que solucionan el problema por lo que se recomienda su actualización

Más información:

• BitTorrent Web Interface Remote Code Execution Vulnerability  http://www.zerodayinitiative.com/advisories/ZDI-14-418/
• 2014-12-4: Version 3.4.2 (build 36802)  http://releasenotes.utorrent.com/customer/portal/articles/1794109-2014-12-4-version-3-4-2-build-36802
• BitTorrent Client Release Notes  http://releasenotes.bittorrent.com/

Fuente: Hispasec

VULNERABILIDAD. Tipo Cross-Site Scripting en IBM WebSphere Portal

Se ha anunciado una vulnerabilidad de cross-site scripting en IBM WebSphere Portal 7.0, 8.0 y 8.5. Un atacante remoto podría emplear este problema para ejecutar código script arbitrario.

 IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

Detalle e Impacto de la vulnerabilidad

•  El problema, con CVE-2014-6093, reside en un error de validación de entradas que podría permitir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script arbitrario. 
• El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Recomendación

• IBM ha publicado una corrección para evitar este problema, disponible con la identificación PI24678  http://www-933.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Lotus&product=ibm/Lotus/Workplace+Web+Content+Management&release=All&platform=All&function=aparId&apars=PI24678

Más información:

• Security Bulletin: Fix available for Cross Site Scripting Vulnerability in IBM WebSphere Portal (CVE-2014-6093)  http://www-01.ibm.com/support/docview.wss?uid=swg21689849

Fuente: Hispasec

SCHNEIDER ELECTRICS. Vulnerabilidad de inyección de código en ProClima

La Zero Day Initiative (ZDI) de HP ha reportado varias vulnerabilidades que permiten la ejecución remota de código en el software ProClima de Schneider Electric, catalogadas con Importancia: 5 - Crítica

Recursos afectados

• Versión 6.0.1 de ProClima y anteriores.

Recomendación

• Schneider Electric ha lanzado una actualización del software ProClima, la 6.1.7, que solventa estas vulnerabilidades.
• Para la actualización de la versión es importante desinstalar la versión antigua del software.

Detalle e Impacto de la vulnerabilidad

• Mediante la explotación de estas vulnerabilidades, un atacante remoto podría ejecutar código arbitrario en el sistema afectado.
• El control MDraw30.ocx puede ser iniciado por un script malicioso causando un desbordamiento de búffer, lo que puede provocar la ejecución de código de forma remota. Del mismo modo, el control Atx45.ocx también puede ser iniciado por scripts maliciosos con idénticos resultados.
• Se han reservado los siguientes códigos para estas vulnerabilidades: CVE-2014-8513, CVE-2014-8514, CVE-2014-9188, CVE-2014-8511 y CVE-2014-8512.

Más información

• Schneider Electric ProClima Command Injection Vulnerabilities  https://ics-cert.us-cert.gov/advisories/ICSA-14-350-01

Fuente: INCIBE

INNOMINATE MGUARD. Escalada de privilegios

 Innominate Security Technologies ha identificado una vulnerabilidad que permite a un administrador con privilegios limitados conseguir privilegios root en el sistema, catalogada de Importancia: 5 - Crítica

Detalle e Impacto de la vulnerabilidad

• Esta vulnerabilidad podría ser explotada remotamente, y se dispara configurando de una forma determinada el protocolo Point-to-Point.
• Se ha reservado el identificador CVE-2014-9193 para esta vulnerabilidad.

Recursos afectados

• Innominate mGuard firmware, versión 8.1.3 y anteriores.

Recomendación

• Actualizar a firmware 7.6.6 u 8.1.4.

Más información

• Innominate mGuard Privilege Escalation Vulnerability https://ics-cert.us-cert.gov/advisories/ICSA-14-352-02

Fuente: INCIBE

HONEYWELL EXPERION PKS. Múltiples vulnerabilidades

Varios investigadores de Positive Technologies Research Team and Security Lab han identificado diferentes vulnerabilidades en la aplicación de Honeywell Experion Process Knowledge System (EPKS), catalogadas de Importancia: 5 - Crítica

Honeywell EPKs se utiliza para la automatización y control de procesos industriales y de fabricación.

Recursos afectados

• Todas las versiones Experion PKS R40x antes de Experion PKS R400.6
• Todas las versiones Experion PKS R41x antes de Experion PKS R410.6
• Todas las versiones Experion PKS R43x antes de Experion PKS R430.2

Recomendación

Honeywell recomienda a todos los clientes que ejecutan versiones de EKPS R400 actualizar a las siguientes versiones:

1. Experion Update Patch R400.6
2. Experion Update Patch R410.6
3. Experion Update Patch R430.2

 Estas actualizaciones pueden descargarse desde el servicio técnico de Honeywell en las siguientes paginas web:

• https://www.honeywellprocess.com/en-US/support/pages/request-support.aspx
• https://www.honeywellprocess.com/en-US/contact-us/pages/default.aspx

Detalle e impacto de las vulnerebilidades

• Estas vulnerabilidades podrían permitir a atacantes remotos no autenticados ejecutar código arbitrario en un sistema vulnerable.
• Entre las vulnerabilidades más importantes, se han detectado múltiples vulnerabilidades de desbordamiento de búfer basado en memoria dinámica en varios módulos de EPKs (confd.exe, dual_onsrv.exe, hscodbcn.exe y ripsd.exe), lo que podría conducir a la posible ejecución remota de código o denegación de servicio.
• También se han detectado vulnerabilidades de desbordamiento de búfer basado en pila en varios módulos (confd.exe, hscodbcn.exe y pscdasrv.exe), lo que podría permitir a la ejecución de código remoto, corrupción de memoria dinámica, o la denegación de servicio.
• Se ha detectado otra vulnerabilidad importante en el modulo dual_onsrv.exe que permitiría la escritura de memoria arbitraria, pudiendo tener como consecuencia la ejecución remota de código o denegación de servicio.
• Los códigos CVE reservados para las vulnerabilidades detectadas son: CVE-2014-9187, CVE-2014-9189, CVE-2014-5435, CVE-2014-5436, CVE-2014-9186.

Más información

• ICSA-14-352-01: Honeywell Experion PKS Vulnerabilities https://ics-cert.us-cert.gov/advisories/ICSA-14-352-01

Fuente: INCIBE

MÓVILES Y CÁMARAS. Lo más deseado del año del 2014

Hoy en día se puede decir lo mismo de la imagen que de un buen perfume. Lo mejor de ambos mundos se sirve en frascos pequeños. Las cámaras compactas de lente intercambiable o las compactas avanzadas, con control manual, se han convertido en la categoría de más rápido crecimiento en el mundo de la fotografía. Lo mismo sucede con el vídeo, cada vez menos dependiente de las videocámaras convencionales y más centrado en modelos de aventura.

El sector, según la CIPA (Asociación de Cámaras y Productos de Imagen), caerá nuevamente este año en ventas, pero no por igual en todas las categorías. Los modelos más simples tienen poco que hacer ante el imparable avance de la telefonía móvil y serán los más castigados. Las réflex siguen siendo la opción preferida por el público profesional, pero son los modelos intermedios, con control manual de funciones y lente intercambiable pero de pequeño tamaño y peso, en los que se vuelcan los esfuerzos. El año se cierra con varios modelos destacados.

Cada vez más compactas

1. Retro. La tendencia de este año ha sido sin duda la vuelta a la estética de las cámaras fotográficas clásicas. Hay pocos ejemplos mejores que esta X-T1 de Fujifilm. Presumen de un interior a la última, con un visor electrónico de alta velocidad de respuesta y un sensor X-Trans de tamaño APS-C y 16 megapíxeles de resolución, en un cuerpo con líneas retro. Es capaz de disparar hasta ocho fotografías por segundo. PVP: 1.199 EUROS. www.fujifilm.es
2. Full frame. Optar por una cámara compacta no significa necesariamente sacrificar el tamaño de sensor. La gama A7 de Sony ofrece el mismo sensor Full Frame (similar al negativo de 35 mm) que se encuentra en réflex profesionales. Esta A7 II acaba de salir al mercado y tiene, además, un potente sistema de estabilización de imagen en cinco ejes. Toma instantáneas de 24 megapíxeles. PVP: 1.800 EUROS. www.sony.es
3. Aventurera. GoPro ha sellado este año una exitosa salida a bolsa con un nuevo modelo de su popular cámara de aventuras: la GoPro Hero 4, sumergible a 40 metros y 4K. PVP: 499 EUROS. www.gopro.com
4. Multiuso. Las cámaras de óptica fija también pueden ser potentes y avanzadas. Esta LX100 de Panasonic tiene un sensor 4/3", pero con una óptica 24-75 mm y con una apertura F/1.7-2,8. PVP: 899 EUROS. www.panasonic.es
5. Un digno rival para las réflex. Hay varias cámaras en el mercado que resumen las tendencias de 2014. La Olympus OM-D E-M10 destaca entre ellas: arquitectura Micro Cuatro Tercios, 16 megapíxeles de resolución, amplio catálogo de lentes compatibles y un gran visor electrónico integrado en un diseño compacto y ligero. Dispara ocho fotos por segundo e incluye conexión inalámbrica para vincularla con el móvil. PVP: 599 EUROS (cuerpo). www.olympus.es
6. Periscopio. Aunque no lo parezca, es una cámara. RE Camera es la alocada apuesta con la que HTC ha sorprendido en este 2014. Con forma de periscopio, graba vídeo 1080p capturando un ángulo de 146 grados, puede sumergirse y utilizar el móvil como visor o pantalla en la que disfrutar del resultado. También toma instantáneas de 16 megapíxeles. PVP: 169 EUROS. www.htc.es

La estrella de la electrónica

• Al 2014 se le podrá recordar como el Año del wearable, como el Año de la pantalla curva, el Año del dron o, incluso, siendo nostálgicos, de la misma forma que recordamos 2013, como un año en el que nuevamente el móvil inteligente acaparó la atención de todo el planeta.
• Y es que este año, el smartphone ha vuelto a ser la estrella de la electrónica de consumo. Se han vendido cerca de 1.200 millones de unidades, según la consultora Gartner. Hay docenas de nuevos modelos, pero una característica común a todos ellos es que la pantalla es cada vez mayor.
• El phablet ha dejado de ser una curiosidad. Este año se venderán más teléfonos de gran pantalla que PC portátiles. En 2015 se espera que las ventas superen a las de tabletas.

En todos los bolsillos

1. Densidad. En la pantalla de 5,5 pulgadas del LG G3 hay 1.440 x 2.560 píxeles, una de las mayores resoluciones del mercado. Lo más avanzado de LG para 2014 presume de cámara de 13 megapíxeles. PVP: 549 EUROS. www.lge.es
2. Con estilo propio. La compra de Nokia ha dado a Microsoft un apoyo firme para su estrategia móvil y este Lumia 830 es una de las primera pruebas. Es el teléfono ideal para disfrutar de Windows Phone. PVP: 419 EUROS. www.microsoft.com
3. La estrella. El cambio de tamaño de pantalla le ha sentado muy bien al iPhone 6, que vuelve a convertirse en el teléfono más vendido. 4,7 pulgadas y una cámara de más calidad, sobre todo con poca luz. PVP: 699 EUROS. www.apple.es
4. A lo grande. La gama Nexus de Google ha sido sinónimo de una experiencia de Android pura. La tradición continúa en este Nexus 6, un phablet enorme con una pantalla de casi seis pulgadas. PVP: 599 EUROS. www.google.com
5. Al Agua. Al Sony Xperia Z3 es fácil disntiguirlo por dos características: se pude sumergir sin ayuda de carcasas especiales (hasta un metro) y tiene una de las mejores cámaras del mercado: 20,7 megapíxeles. PVP: 699 EUROS. www.sony.es
6. Deportista. El Galaxy S5 de Samsung es el protagonista de la plataforma Android. Sumergible y con pantalla de 5,1 pulgadas, integra un pulsímetro que lo transforma en un entrenador personal. PVP: 465 EUROS. www.samsung.com

Gama media

1. Básico. La esencia de Motorola sigue siendo la misma: modelos económicos, sólidos y con un Android sin personalización. Como este Moto G. PVP: 160 EUROS. www.motorola.es
2. Marca España. La española BQ ha conseguido consolidarse como uno de los fabricantes nacionales de referencia gracias a modelos como este potente Aquaris E5. PVP: 229 EUROS. www.bq.com
3. El Milagro chino. Xiaomi es la historia de éxito que está convirtiendo a China en la protagonista del mercado de telefonía. La marca ha cerrado el año con beneficios millonarios. El Mi3 de la imagen, de cinco pulgadas y 13 megapíxeles, es su modelo más conocido. PVP: 180 EUROS. www.mi.com
4. Codiciado. Uno de los terminales más buscados de 2014 ha sido el OnePlus One, un teléfono accesible sólo mediante invitación que ha sido alabado por crítica y público. 5,5 pulgadas de pantalla, cámara de 13 pulgadas y un cuerpo de nueve milímetros. PVP: 299 EUROS. www.oneplus.net

Fuente: El Mundo.es

BLACKBERRY. Premia a los fieles al teclado físico con el lanzamiento de su dispositivo Classic

BlackBerry Ltd lanzó el miércoles su esperado dispositivo Classic, un teléfono inteligente que espera que le ayude a recuperar participación de mercado y a atraer a aquellos que aún usan versiones más antiguas de sus aparatos con teclado físico.

La firma de tecnología móvil con sede en Waterloo, Ontario, dijo que el nuevo dispositivo, que es muy parecido a los otrora muy populares aparatos Bold y Curve, tiene una pantalla más grande, una batería de mayor duración, una mayor galería de aplicaciones y un buscador tres veces más veloz que los de aparatos anteriores.

"BlackBerry Classic es la poderosa herramienta de comunicaciones que muchos usuarios de BlackBerry Bold y Curve han estado esperando", dijo el presidente ejecutivo de Blackberry, John Chen, en un comunicado.

Cuando la compañía introdujo inicialmente su nuevo sistema operacional y dispositivo BlackBerry 10 a comienzos del 2012, puso más énfasis en pantallas táctiles, lo que no gustó a muchos fans de su teclado físico.

Chen está llevando de algún modo a la compañía de vuelta a sus raíces, rescatando al teclado físico con el reciente lanzamiento de los modelos Passport y Classic, en vez de intentar competir directamente contra los aparatos con pantalla táctil de rivales dominantes, como Samsung Electronics Co Ltd y Apple Inc.

"Creemos que la estrategia actual de la compañía de mantenerse fiel a su base de usuarios del área de negocios -en industrias como salud, banca y seguros- (...) podría ayudar a transformar a la división de dispositivos móviles en un negocio estable", dijo la firma de investigación Trefis en una reciente nota a sus clientes.

Fuente: Reuters