19 de abril de 2015

MICROSOFT. Anuncio de acuerdo con Cyanogen para competir contra Android

Microsoft ha decidido plantar batalla a Google en el campo de los sistemas móviles y para ello ha llegado a un acuerdo con el rival de Android conocido como Cyanogen.
Microsoft ha firmado una alianza estrátegica con Cyanogen que permitirá llevar a esa plataforma basada en Android las aplicaciones y servicios de la empresa de Satya Nadella.
Hablar de Cyanogen es hacerlo de una versión modificada de Android que prescinde de la tienda Play Store y tampoco lleva otros servicios de Google, y goza de cierta popularidad en países como China y aquellos en los que tienen relevancia las tiendas de aplicaciones propiedad de terceros.
Con este acuerdo, Cyanogen podrá incluir en los móviles que lleven su plataforma aplicaciones de productividad de Microsoft como Skype, Office, Bing y Outlook, que serán desarrolladas expresamente por la empresa de Redmond para ese sistema operativo alternativo.
En Cyanogen han explicado que las aplicaciones de Microsoft no tendrán porque venir necesariamente instaladas por defecto en sus teléfonos móviles, pero en cualquier caso los usuarios siempre podrán eliminarlas sin problemas, recogen en Mashable.
Con este movimiento Microsoft espera restar cuota de mercado a Android y lograr que sus apps se expandan en mercados muy lucrativos como China.
Por último, también hay que recordar que Microsoft participó en la última ronda de financiación que celebró la startup Cyanogen, en la que logró recaudar hasta 70 millones de dólares.
Fuente: Silicon News.es

CIBERCENSURA. China cambia de estategia .

China instala un gran cañón en su cibermuralla y cambia la estrategia de censura de modo defensivo a modo ataque.
Hasta hace poco, la estrategia de China en Internet era meramente defensiva: la Gran Cibermuralla impide el acceso a páginas en las que el Gobierno considera que se almacena contenido inadecuado, un cajón de sastre en el que caben desde periódicos de información general como EL PAÍS hasta portales de pornografía, y filtra el resto de webs en busca de palabras clave y de direcciones IP prohibidas para determinar si existe peligro. En caso afirmativo, rompe la conexión del usuario con la página web. Es un sistema muy efectivo para mantener a la población china libre de cualquier influencia política o social procedente del exterior, y también ha propiciado el auge de empresas de Internet chinas en detrimento de las extranjeras a las que han copiado en muchas ocasiones. Pero el muro no está exento de fisuras.
Una amplia comunidad de expatriados, empresarios, e incluso académicos paga por saltar la Cibermuralla
La más grande es la que abren las redes virtuales privadas (VPN en sus siglas en inglés), que se crean gracias a una tecnología que permite conectarse a servidores fuera de China para acceder a la Red sin las restricciones que impone Pekín. Además, este sistema, que también utilizan muchas empresas de todo el mundo por razones de seguridad, enmascara la dirección IP del usuario y hace que sea más complicado seguirle el rastro por el ciberespacio. Diferentes empresas ofrecen este tipo de servicios en China, donde una amplia comunidad de expatriados, empresarios, e incluso académicos pagan por saltar la Cibermuralla.
No obstante, después de haber hecho la vista gorda durante años, en 2014, Pekín advirtió de que este software es ilegal y comenzó a bloquear los servidores de las VPN, una medida que no solo dificulta el establecimiento de las redes privadas sino que complica también transacciones empresariales legítimas. 
Y ahora ha decidido atajar también otro de los grandes quebraderos de cabeza de los censores: las páginas que sirven de espejo para otras que están bloqueadas. Reproducen el contenido de las primeras y lo alojan en dominios que no están vetados por las Autoridades, de forma que los internautas chinos pueden acceder a ellas sin problema. O, mejor dicho, podían. Porque, según el detallado informe publicado el pasado día 10 por Citizen Lab, un instituto de la Universidad de Toronto, China ha desarrollado durante el último año un sistema ofensivo que puede cambiar por completo el funcionamiento de la Red en el mundo: es el Gran Cañón.
El sistema sirve para atacar a páginas web, independiente de dónde estén alojadas, y lograr así que dejen de reflejar aquellas que incomodan al gobierno chino
Se trata de un arma que sirve para atacar a páginas web, independiente de dónde estén alojadas, y lograr así que dejen de reflejar aquellas que incomodan al gobierno chino. Buen ejemplo de cómo funciona el sistema es la ofensiva que lanzó a finales de marzo contra GitHub, una biblioteca de código para programadores en la que GreatFire, una organización de expatriados chinos contra la censura, alojó varias webs espejo de medios de comunicación bloqueados en China. En un principio se creyó que se trataba de un ataque de negación de servicio (DDoS) al uso, pero el detallado análisis de Citizen Lab ha demostrado que fue algo diferente, mucho más sofisticado. El Gran Cañón se descubrió a sí mismo cuando interceptó una pequeña parte del tráfico que se genera el extranjero con destino al buscador Baidu -en torno al 1,7%- y lo redirigió a GitHub cargado con código malicioso. “Aunque la infraestructura del ataque es adyacente a la Cibermuralla china, el ataque fue lanzado desde un sistema ofensivo separado, con diferentes capacidades y diseño”, concluyen los investigadores de Citizen Lab.
Según explicó en una entrevista concedida a CNN uno de los autores del estudio, Bill Marczak, el Gran Cañón no sólo puede atacar páginas web con código maligno e incluso poner en la diana las direcciones IP de usuarios individuales; con pequeñas modificaciones, también sirve para espiar fuera de las fronteras del gigante asiático: “Cualquier petición que un ordenador haga a un servidor en China, aunque sea simplemente a través de una página que muestra publicidad que se carga desde allí, puede ser secuestrada para espiar a los usuarios si no está completamente encriptada”, dijo. El informe concluye que el Gran Cañón, similar al sistema QUANTUM de la Agencia de Seguridad Nacional estadounidense, “representa una notable escalada en el control de la información a nivel del Estado”, y añade que “supone la normalización del uso generalizado de un sistema de ataque para imponer la censura” en Internet y es “un precedente peligroso”.
Fuente: El País.com

SONY PICTURES. Critica a WikiLeaks por divulgar documentos de piratas informáticos

 Sony Pictures Entertainment, una unidad de Sony Corp, objetó el jueves que WikiLeaks divulgara en internet una base de datos de más de 30.000 documentos que fueron obtenidos por piratas informáticos en un ciberataque el año pasado.
"El ciberataque contra Sony Pictures fue un acto criminal malicioso, y nosotros condenamos con fuerza la indexación de información robada de empleados y otros datos privados y privilegiados en WikiLeaks", dijo la empresa en un comunicado.
Sony Pictures dijo que "seguirá luchando por la seguridad, protección y privacidad de nuestra compañía".
Los documentos robados por los piratas informáticos fueron presentados a los medios el año pasado. Ellos incluyen vergonzosos correos electrónicos de la entonces copresidenta Amy Pascal e información personal como sueldos y números de seguridad social de los empleados.
La divulgación de 30.287 documentos y 173.132 correos electrónicos en WikiLeaks hace que los navegantes de internet puedan acceder a la información y realizar búsquedas en ella.
WikiLeaks, un sitio de internet conocido por publicar información secreta del Gobierno de Estados Unidos, dijo que cree que los documentos pertenecen al dominio público.
"Este archivo muestra el funcionamiento interno de una influyente corporación multinacional", dijo el fundador de WikiLeaks, Julian Assange, en un comunicado. "Es noticioso y está en el centro de un conflicto geopolítico", agregó.
El Gobierno de Estados Unidos a culpado del ciberataque contra Sony a Corea del Norte, después de que el país asiático se indignó con la comedia "The Interview", que describe el asesinato ficticio del líder Kim Jong Un. Corea del Norte negó haber estado involucrada en el ataque.

Fuente: Reuters

INFORME. Hackers chinos han espiado a gobiernos y empresas del sureste asiático e India

Hackers provenientes muy probablemente de China han estado espiando a gobiernos y empresas del sureste asiático e India de forma ininterrumpida durante una década, dijeron investigadores de la empresa de seguridad en Internet, FireEye Inc.
Detalle del informe
  • En un informe publicado el lunes, FireEye dijo que las operaciones de espionaje cibernético se remontan al menos a 2005 y "se centraron en objetivos -gubernamentales y comerciales- con información política, económica y militar clave sobre la región".
  • "Este esfuerzo de desarrollo sostenido y planificado, junto con los objetivos y la misión en la región del grupo (de hackers) nos lleva a creer que esta actividad ha tenido apoyo estatal, muy probablemente del Gobierno chino", dijeron los autores del informe.
  • Bryce Boland, jefe de Tecnología para Asia Pacífico en FireEye y co-autor del informe, dijo que el proceso aún estaba en curso y los servidores de los atacantes operativos, añadiendo que su empresa seguía viendo ataques contra sus clientes, que se encontraban entre los objetivos.
  • Reuters no pudo confirmar de forma independiente ninguna de las afirmaciones realizadas en el informe.
  • China siempre ha negado las acusaciones de que utiliza Internet para espiar a gobiernos, organizaciones y empresas. Ni el Ministerio de Asuntos Exteriores ni el regulador internet chino respondieron de inmediato a las solicitudes por escrito para hacer comentarios sobre el informe divulgado por FireEye el lunes.
  • China ha sido acusada con anterioridad de tener en el punto de mira a países del sur y el sureste de Asia. En 2011, investigadores de McAfee anunciaron una campaña denominada Shady Rat (rata sospechosa) que atacó a gobiernos e instituciones de Asia, entre otros objetivos.
  • Los esfuerzos de los diez miembros de la Asociación de Naciones del Sudeste Asiático (ASEAN) para levantar defensas cibernéticas han sido esporádicos, "ha salido muy poco de este discurso", dijo Miguel Gómez, investigador de la Universidad De La Salle en Filipinas.
  • El problema no es nuevo: Singapur ha informado de sofisticados ataques de ciber-espionaje contra funcionarios de varios ministerios que se remontan a 2004.
INADVERTIDO
  • La campaña descrita por FireEye difiere de otras operaciones similares sobre todo por su escala y su longevidad, dijo Boland.
  • Este señaló que el grupo parecía incluir al menos dos desarrolladores de software. El informe no ofreció otros indicios del posible tamaño del grupo o su sede.
  • El grupo estuvo sin ser detectado durante tanto tiempo que fue capaz de reutilizar métodos y software malicioso (malware) que datan de 2005, y desarrolló su propio sistema para gestionar y dar prioridad a los ataques, incluso organizando turnos para hacer frente a la carga de trabajo y a los diferentes idiomas de sus objetivos, dijo Boland a Reuters.
  • Los atacantes no se centraban únicamente en los gobiernos, sino en la propia ASEAN, así como en empresas y en periodistas interesados ​​en China. Otros objetivos incluyeron compañías indias o basadas ​​en el sureste asiático en sectores como la construcción, la energía, el transporte, las telecomunicaciones y la aviación, dice FireEye.
  • En la mayor parte de los casos trataron de acceder mediante "phishing" enviando a sus objetivos correos electrónicos fraudulentos que fingían venir de colegas y fuentes de confianza, con documentos relevantes para sus intereses.
  • Boland dijo que no era posible medir el daño causado, ya que se había producido durante mucho tiempo, pero dijo que el impacto podría ser "enorme".
  • "Sin haber sido capaces de detectarlo, no hay forma de que estas agencias puedan calcular los impactos. No saben lo que les han robado".
Fuente: Reuters

CHAT FACEBOOK. ¿ Vigilado por empresa financiada por la CIA ?

   Las conversaciones realizadas a través del chat de Facebook están siendo vigiladas por la compañía Recorded Future, financiada por la CIA, según han afirmado desde la web Bosnadev tras realizar una investigación.
   Los responsables de Bosnadev iniciaron la prueba de una aplicación, y establecieron un área no publicada en la que notaron cierta actividad inusual. El enlace a la app fue enviado a través del chat de Facebook, donde se encontraron con una lista de Protocolos(IPv6), demasiado extensa para una simple verificación en Facebook.
   Al sospechar, rastrearon el registro de las url recién creadas y enviadas a través del chat de Facebook. Al final, se encontraron con Recorder Future, una empresa que recibió financiamiento por parte de Google Ventures y la CIA.
   Este descubrimiento pone en evidencia a la red social de Mark Zuckerberg al verse vulnerada la privacidad de sus usuarios, uno de los temas más polémicos que vuelve a salir a la luz gracias a noticias como esta.
   Se terminó eso de pensar que nuestros mensajes privados están a salvo de terceras personas.
Fuente: Europa Press

NUEVO MALWARE. Contra empresas del sector energético utiliza un exploit de hace tres años

Symantec ha anunciado el descubrimiento de Trojan.Laziok, una nueva muestra de malware que durante los primeros meses del año atacó de forma dirigida a empresas del sector energético de todo el mundo.
 Desde Symantec reconocen que aunque el malware atacó a empresas energéticas de todo el mundo, se evidencia un enfoque muy dirigido contra Oriente Medio. Con objetivos vinculados a industrias petroleras y gasísticas, estaba destinado a la obtención de información de los ordenadores comprometidos. Por lo que todo indica un interés estratégico en el ataque.
 Laziok ha afectado a países como Camerún, Colombia, India, Indonesia, Kuwait, Omán, Pakistán, Qatar, Arabia Saudí, Uganda, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
 Las investigaciones de Symantec revelan que el vector de infección inicial residía en el uso de mensajes de spam desde el dominio moneytrans[.]eu, que actúa como un servidor SMTP con relay abierto. Los correos incluían un adjunto malicioso con un exploit para la vulnerabilidad CVE-2012-0158 en Office. Esta es la parte más sorprendente. De nuevo la misma vulnerabilidad, ya empleada en ataques conocidos como el OctubreRojo y que fue corregida hace por Microsoft hace tres años.
Detalle de la operativa del malware
  • Si el usuario abría el archivo adjunto, habitualmente en formato Excel, se ejecutaba el código del exploit y Trojan.Laziok iniciaba su proceso de infección.
  • El troyano se escondía en la carpeta:
 %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle escondiéndose bajo nombres de archivos populares.
  • El proceso de reconocimiento comienza recogiendo información del sistema infectado (como nombre del ordenador, software instaldo, RAM, disco duro, CPU o antivirus). Esta información se enviaba a los atacantes que en caso de encontrar un objetivo interesante para sus propósitos infectaban el sistema con malware adicional, empleando copias adaptadas de Cyberat o Zbot.
  • En esta ocasión y para variar frente a otras "ciber-armas", el uso de exploits ya anticuados sin ninguna novedad relevante hacen pensar que el origen de este ataque no es especialmente avanzado.
  • Una vez más el problema reside en una mala aplicación de los parches y actualizaciones. Por ello, los atacantes no han necesitado encontrar nuevas vulnerabilidades, ni desarrollar nuevos exploits, para realizar sus acciones.
Más información:
Fuente: Hispasec

GOOGLE. Lanza Chrome 42 que corrige 45 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 42. Se publica la versión 42.0.2311.90 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 45 nuevas vulnerabilidades.
 Según el aviso de Google entre las mejoras se incluyen nuevas APIs de extensiones, de aplicaciones y de plataforma web (Web Platform), incluyendo API Push. También numerosos cambios en la estabilidad y rendimiento. Se ha deshabilitado el soporte para plugins NPAPI (como Netscape, Java y Silverlight).
 Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 45 nuevas vulnerabilidades, solo se facilita información de 12 de ellas (cuatro de gravedad alta y las ocho restantes de importancia media).
 Las vulnerabilidades descritas están relacionadas con lecturas fuera de límites en WebGL y en Blink, escritura fuera de límites en Skia. También se solucionan vulnerabilidades por uso después de liberar memoria en IPC y en PDFium. Salto de políticas de orígenes cruzados en el analizador HTML y en Blink. Una vulnerabilidad de Tapjacking, una confusión de tipos en v8 y salto HSTS (HTTP Strict Transport Security) en WebSockets. Por último otras vulnerabilidades en OpenSearch y un salto de las medidas de SafeBrowsing. Los CVE asignados van del CVE-2015-1235 al CVE-2015-1238, CVE-2015-1240 al CVE-2015-1242 y CVE-2015-1244 al CVE-2015-1247.
 También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1249). Así como múltiples vulnerabilidades en V8 en la rama de 4.2 (actualmente 4.2.77.14).
Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 52.000 dólares en recompensas a los descubridores de los problemas.
 Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
 Cabe señalar, que en el aviso de Google también se destaca que Chrome 42, no podía ser de otra forma, es la respuesta al sentido de la vida, el universo y todo lo demás.
Más información:
Fuente: Hispasec

JAVA. Nuevas vulnerabilidades de pueden explotarse remotamente sin iniciar sesión

En los últimos boletines de Oracle ha publicado un nuevo parche de seguridad donde se han solucionado un total de 14 vulnerabilidades en su plataforma Java que pueden ser explotadas desde la red sin necesidad de iniciar sesión en los sistemas afectados. 
Un atacante puede comprometer la seguridad de un sistema afectado sin necesidad de conocer el usuario y la contraseña del mismo, es decir, simplemente explotando dicha vulnerabilidad desde la red (tanto local como externa) puede ejecutar código en el sistema sin ningún impedimento.
Prácticamente todas las versiones de Java están afectadas por esta vulnerabilidad. Todos los usuarios o empresas que tengan instalada en el sistema cualquier versión de JRE o JDK comprendida entre 5, 6, 7 y 8 deben instalar las versiones más recientes de cara a poder seguir utilizando de forma segura este software.
Debemos recordar que las versiones 5 y 6 ya no tienen soporte, por lo que los usuarios que aún las utilicen deben actualizar a JRE / JDK 8 para permanecer seguros. Igualmente pasa con los usuarios de la versión 7 del JRE o JDK, que a partir de la actualización publicada hace algunas horas ya no recibirá más soporte, teniendo que actualizar a la versión 8 más reciente para seguir recibiendo soporte.
Zona descargas
Runtime Application Self-Protection, una nueva capa de seguridad para Java
  • Debido al gran número de vulnerabilidades que aparecen en esta herramienta Oracle ha desarrollado una nueva tecnología llamada Java Container RASP (Runtime Application Self-Protection) cuyo funcionamiento se basa en utilizar una especie de “sandbox” automática para todas las aplicaciones y toda la plataforma Java de manera que se aplique una capa de protección intermedia entre la herramienta y los usuarios para evitar que estos puedan verse afectados por un fallo de seguridad.
  • Pese a ello es recomendable que tanto empresas como usuarios convencionales actualicen sus aplicaciones lo antes posible tanto por las mejoras de seguridad como para poder disfrutar de las nuevas ventajas que suelen incluirse en las nuevas versiones de Java.
Fuente: Help Net Security

TESLACRYPT. Cifra los archivos de sus víctimas a través de exploits

El ransomware, eun tipo de malware, que cifra todos los datos personales e importantes de los usuarios y pide un pago por recuperarlos o, de lo contrario, se eliminarán para siempre. Existen muchas variantes de ransomware, a cada cual más peligrosa que la anterior, pero vamos a analizar TeslaCrypt, una de las más recientes pero que mayores dolores de cabeza está causando entre sus víctimas.
TeslaCrypt es una de las amenazas más recientes que amenazan la integridad de los datos de los usuarios. Al igual que otros ransomware, este software malicioso cifra todo tipo de datos personales y de valor de sus víctimas, entre los que caben destacar las imágenes, los vídeos, las fotografías y documentos, sin embargo, TeslaCrypt también incluye en su lista de archivos a cifrar ficheros relacionados con partidas guardadas de videojuegos y archivos de iTunes que pueden ser de considerable valor para sus víctimas.
Según se ha podido ver en las últimas semanas, este malware está llegando a los usuarios a través de exploits que atacan diferentes vulnerabilidades tanto de nuestro sistema operativo como de las aplicaciones que tenemos instaladas en él (por ejemplo aprovechando un fallo de Adobe Flash Player 13.0.0.128). De esta manera el pirata informático consigue permiso de ejecución de forma remota en el sistema e instala el malware, no siendo culpa del usuario el caer víctima de este secuestro.
Cuando un usuario cae víctima de esta amenaza automáticamente se carga en su sistema una ventana similar a la de cualquier otro ransomware que indica que los archivos personales del usuario han sido cifrados y que se debe pagar un “rescate” por ellos.
El pago del rescate se debe hacer en Bitcoin para evitar que los piratas informáticos puedan ser identificados, sin embargo, esto no nos garantiza que vayamos a recibir la clave para recuperar nuestros archivos. La mejor forma de solucionar este tipo de amenazas es hacer copias de seguridad cada poco tiempo de nuestros archivos en discos que no estén conectados a nuestro ordenador de manera que si caemos víctimas de TeslaCrypt o cualquier amenaza similar podamos recuperarlos desde dichas copias sin arriesgarnos a perder también el dinero.
Fuente: Help Net Security

SNOWDEN. La contraseña perfecta son frases en lugar de palabras

 Edward Snowden en el último vídeo publicado anoche, perteneciente a la entrevista que le realizó en Rusia el comediante John Oliver el pasado domingo. En este fragmento podemos ver cómo el exagente de la CIA y la NSA nos explica cómo diseñar una contraseña más segura, dejando atrás el concepto de "palabra clave" para optar por frases mucho más complejas.
Las contraseñas siguen siendo la última línea de defensa para nuestra privacidad, y aunque muchos de nosotros nos conformamos con palabras fáciles de recordar a las que como mucho le cambiamos alguna letra por un número o le añadimos una mayúscula aquí y allá, la mayoría de ellas son como si no existieran cuando se enfrentan a un software especialmente diseñado para resolverlas.
Y es que una contraseña estándar de ocho caracteres puede ser adivinada en menos de un segundo por un ordenador, razón por la que Snowden nos aconseja que nos olvidemos de las claves tipo "unodostrescuatro", permutaciones o pequeños sloganes tipo "limpbiscuit4eva", y nos dediquemos a buscar frases complejas como "margaretthatcheris110%sexy".
Está claro que este tipo de contraseñas pueden ser un poco engorrosas y bastante difíciles de recordar cuando, por ejemplo, vamos a hacer cualquier tipo de gestión online. Pero si realmente estamos comprometidos con nuestra privacidad en la red, es la mejor manera que tenemos de protegerla. Palabra de Snowden.
Pero si vuestro celo por preservar vuestra privacidad os exige ir más allá de las simples explicaciones del exagente, recordad que hace ya algunos años os ofrecimos un especial con consejos para mejorar la seguridad de vuestras contraseñas.
Fuente: Genbeta.com

INTERNET EN AVIÓN. Potencial vulnerabilidad al alcance de cibercriminales

   Disponer de Internet en el avión y poder usarlo durante el vuelo es cada vez más demandado por los viajeros, pero en Estados Unidos, los encargados de vigilar Internet han avisado de que puede convertirse en una puerta abierta para los cibercriminales.
   La Oficina de Cuentas del Gobierno (GAO, por sus siglas en inglés) señala en un informe que las aerolíneas y la Administración de Aviación Federal (FAA) deben tratar de modernizar los aviones y el rastreo de los vuelos con tecnología basada en Internet, pues "esta interconectividad puede proveer potencialmente de accesos remotos no autorizados a los sistemas aviónicos de la aeronave", ha explicado.
   El informe subraya que la cabina de mando está conectada de forma indirecta con la cabina de pasajeros a través de una red IP compartida. El sistema, como dice, está protegido por cortafuegos, que no dejan de ser 'software' y, por tanto, son susceptibles de ser traspasados.
RESPONSABILIDAD DE LA FAA
  • La GAO ha realizado el informe en un momento en que la FAA está trabajando en la siguiente generación de sistemas de transporte aéreo, de tal forma que la Administración tiene la responsabilidad de asegurarse de la efectividad de los controles de seguridad de la información que se incorporan para proteger de las amenazas.
  • Destacada, demás, que la protección de los sistemas informativos de control de tráfico aéreo, la protección de los sistemas aviónicos usados para operar y guiar la aeronave y la clarificación del papel y la responsabilidad de la ciberseguridad entre las múltiples oficinas de la FAA son los tres grandes retos a los que se enfrenta la Administración y a los que debe dar una solución.
Fuente: Europa Press

RCS. O cómo la DEA ha monitorizado a usuarios con un spyware comprado a empresa italiana

Dicho software se llama Remote Control System o RCS (también aparece como Da Vinci y Galileo), y lo ha creado la compañía italiana Hacking Team. Su objetivo es instalarse en nuestros ordenadores y dispositivos móviles sin que nos demos cuenta y recoger todo tipo de información: SMS, mensajes en redes sociales, e incluso imágenes y grabaciones de sonido aprovechando las cámaras y micrófonos de los smartphones. El contrato de compra de ese software se formalizó en 2012.
El espionaje de calidad a los usuarios como vía de promoción para gobiernos
  • Como podéis ver en el vídeo superior, la compañía Hacking Team no se esconde. Se dedican a desarrollar software para espiar a la ciudadanía, y enfocan la venta de ese producto a los gobiernos y administraciones. Su márketing: asegurar que se pueden saltar cualquier cifrado que implementen las plataformas de software y ser a prueba de análisis de seguridad. Vamos, que lo de poner el post-it encima de la webcam cada vez es menos propio de paranoias.
  • La fuente ha hablado con un portavoz de Hacking Team, Eric Rabe, quien no ha confirmado ni denegado la existencia del contrato (descubierto con la colaboración de un grupo activista de derechos digitales londinense llamado Privacy International). Tampoco ha dejado en claro si la DEA tiene relaciones comerciales con ellos, ya que como es lógico no revelan la identidad de sus clientes.

Dos documentos oficiales confirman la búsqueda y posterior obtención de sistemas de "control remoto" por la DEA
  • Otra pieza que encaja es un documento publicado en el 2012 donde la DEA pedía fuentes con "un producto completamente funcional y operativo capaz de ofrecer un sistema de intercepción basado en control remoto de un dispositivo". Dos meses después, otro documento confirmaba un contrato con Cicom USA con una duración de cuatro años. Es decir: sigue vigente hasta agosto de este mismo 2015.
  • En el contrato figura un contratista llamado Cicom USA, sospechoso ya de haber sido el intermediario que habría facilitado las operaciones con Hacking Team y otros grupos similares.
Hacking Team no está sola
  • Esta compañía italiana no es la única que se dedica a crear spyware para los gobiernos. VUPEN en Francia, Gamma International y FinFisher en Alemania... poco a poco van apareciendo entidades que se dedican a cubrir las necesidades que un gobierno pueda tener para perseguir a criminales.
  • Y perseguir criminales está muy bien, pero no cuando el precio es la privacidad de toda la ciudadanía. Lo peligroso aquí es que mientras las agencias aseguran cumplir con las leyes a la hora de espiar a posibles delincuentes, cada vez queda más claro que en ocasiones esas leyes se pasan por alto.
  • Es por eso que cada vez se insiste más en lo que dicen desde Privacy International: hay que actualizar las leyes que regulan el uso de software para monitorizar a la población y establecer "mecanismos de vigilancia efectivos".
Fuente: Genbeta.com

GOOGLE. Indexación de discos duros privados desde hace años, pero no sin culpa

Hace tres años se descubrió que existía un modelo de webcams que transmitía por Internet sin ningún tipo de seguridad.
 ¿Cómo se consiguieron IPs de todo el mundo? 
  • Pues a través de Google, que había estado indexando todas esas cámaras de vigilancia abiertas sin que nadie lo supiera.
  • Un artículo de CSO Online, replicado por Gizmodo, ha puesto de manifiesto lo fácil que es encontrar en Google los datos personales de muchas personas que tienen un disco duro con acceso a Internet sin seguridad o un router abierto. Fotos NSFW, emails, fotocopias del pasaporte, contraseñas o la declaración de la renta... básicamente todo lo que meteríamos en un disco duro. ¿Qué está pasando en estos casos?
¿Cómo llega el disco duro de alguien a Google?
Dos opciones: bien es el disco duro de estas personas que está configurado para funcionar como una nube personal sin ningún tipo de seguridad, o bien el router de su casa tiene activado el acceso FTP sin contraseña y sin que el firewall del sistema consiga evitar a los intrusos.
A partir de aquí, son las arañas web de Google las que encuentran la dirección e indexan los archivos, dando acceso rápido a todo el que quiera través de una simple búsqueda. ¿Qué hay que buscar para encontrarlos? Por ejemplo, algo así:
  • allinurl:ftp:// rima-tde.net filetype:xls | doc | docx | jpg | jpeg | pdf
Es decir: todos los servicios ftp dentro la red IP de Telefónica que contengan archivos Excel, Word, JPG o PDF. Se trata de ir buscando en distinos hosts, el de Telefónica es un ejemplo.
¿Cómo sé que mi disco duro no está en Google?
Puedes buscarte en Google. Averigua tu hostname y abre esta dirección:
  • ftp://[hostname]
Si tienes una conexión dinámica y con el router de la operadora, no vas a encontrar nada ahí. Si en cambio tienes un router comprado por ti y quieres saber si tienes activado el acceso FTP sin querer, puedes entrar al admin de configuración y comprobarlo.
Eso en cuanto al router. Por otro lado, los modelos de disco duro con acceso a Internet que CSO se encontró abiertos en Google fueron:
  1. Seagate Personal Cloud
  2. Seagate Business NAS
  3. Western Digital My Cloud
  4. LaCie CloudBox
No quiere decir que haya que evitar estas marcas: todos permiten un acceso remoto seguro, pero estaban mal configurados. Si tienes uno, puedes consultar con el manual o contactar con la asistencia técnica del fabricante.
Fuente: Genbeta.com

CONTRAREPLICA. Facebook se defiende: ni cookies abusivas ni recopilación de datos sin permiso

La semana pasada nos hacíamos eco de un estudio encargado por la comisión de privacidad belga que decía confirmar que Facebook continuaba saltándose las leyes europeas, y violando la privacidad de sus usuarios con cookies abusivas y plugins que recopilaban información de sus usuarios mientras estos navegaban por la red.
La respuesta de la red social más grande del mundo no se ha hecho esperar, y apenas una semana después ha respondido con un escrito en el que muestran su disconformidad con algunos de los puntos del informe de la comisión belga, y en el que explican cuales son las supuestas incorrecciones que han encontrado en él.
Facebook no te espía si no quieres
  • Facebook empieza su escrito defendiéndose de las acusaciones referentes a las cookies que registran nuestros movimientos en la web, asegurando que sus cookies sólo se utilizan para recordar contraseñas, recordar factores como el lenguaje utilizado por un usuario y asegurarse de que le muestran publicidad que le resulte interesante.
  • También insisten en que respetan la decisión de los usuarios que decidan que no se rastreen las webs que visitan para recibir una publicidad más efectiva y personalizada, y que estos también pueden desactivar la opción de que sus acciones sociales se vean reflejadas en la publicidad que reciben sus amistades.
El obtener datos de gente no registrada fue culpa de un bug
  • Y aunque los de Zuckerberg sí que admiten que han tenido un bug por culpa del que obtenían datos de las acciones de personas que no tenían una cuenta en su red social, sí que puntualizan que esa no es una práctica común para ellos, y que ya están trabajando en solucionar el problema.
  • Durante el resto del texto, los responsables de Facebook aseguran que sus usuarios tienen todos los controles necesarios a su disposición para proteger su privacidad, pero no dicen nada sobre los caóticos que pueden resultar estos menús de configuración, que al final es el hecho que más le escuece tanto a los usuarios como a los miembros de la comisión belga.
Fuente: Genbeta.com


MICROSOFT. Lanza 11 boletines de seguridad

Microsoft ha publicado 11 boletines de seguridad (del MS15-032 al MS15-042), catalogados cuatro con nivel de gravedad "crítico" y el resto como "importantes" y que solucionan 25 vulnerabilidades.
Detalle de los boletines de seguridad
  1. MS15-032: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 10 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada. (CVE-2015-1652, CVE-2015-1657, CVE-2015-1659 al CVE-2015-1662 y CVE-2015-1665 al CVE-2015-1668).
  2. MS15-033: Boletín "crítico" que resuelve cinco vulnerabilidades que podrían permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2015-1641, CVE-2015-1649 al CVE-2015-1651 y CVE-2015-1639). Afecta a Microsoft Office 2007, 2010 y 2013.
  3. MS15-034: Boletín considerado "crítico" que resuelve una vulnerabilidad en HTTP.sys que podría permitir a un atacante la ejecución remota de código si envía una petición http específicamente creada (CVE-2015-1635). Afecta a Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  4. MS15-035: Destinado a corregir una vulnerabilidad "crítica" (CVE-2015-1645) en Microsoft Graphics Component que podría permitir la ejecución remota de código si un usuario abre un archivo con una imagen EMF (Enhanced Metafile) específicamente creado. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.
  5. MS15-036: Boletín considerado "importante" que resuelve dos vulnerabilidades en Microsoft SharePoint Server que podrían permitir la realización de ataques de cross-site scripting y elevar sus privilegios en los sistemas afectados (CVE-2015-1640 y CVE-2015-1653). Afecta a Microsoft SharePoint Server 2010 y 2013.
  6. MS15-037: Este boletín está calificado como "importante" y soluciona una vulnerabilidad en el Programador de Tareas que podría permitir a un atacante tomar el sus permisos en los sistemas afectados (CVE-2015-0098). Afecta a Windows Server 2008 y Windows 7.
  7. MS15-038: Boletín de carácter "importante" destinado a corregir dos vulnerabilidades (con CVE-2015-1643 y CVE-2015-1644) en Windows que podrían permitir elevar sus privilegios en los sistemas afectados. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.    
  8. MS15-039: Destinado a corregir una vulnerabilidad considerada "importante" en Microsoft XML Core Services (MSXML) que podría permitir evitar la política de mismo origen. Un atacante que aproveche esta vulnerabilidad podría lograr acceso a información confidencial del usuario, como el nombre de usuario o contraseña y archivos del disco duro (CVE-2015-1646). Afecta a Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.
  9. MS15-040: Boletín de carácter "importante" destinado a corregir una vulnerabilidad de divulgación de información sensible (con CVE-2015-1638) en Windows Server 2012 en Active Directory Federation Services (AD FS).
  10. MS15-041: Este boletín está calificado como "importante" y soluciona una vulnerabilidad en Microsoft .NET Framework que podría permitir a un atacante obtener información sensible (con CVE-2015-1648). Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
Recomendación
  • Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Fuente: Hispasec

ORACLE. Actualización crítica de abril de 2015

 En el aviso de actualizaciones de abril de 2015, Oracle ha lanzado múltiples parches de seguridad sobre varios de sus productos, resolviendo un total de 98 vulnerabilidades. Oracle publica este tipo de avisos de seguridad sobre sus productos cada tres meses, catalogada de Importancia: 5 - Crítica
Recursos afectados
  1. Oracle Database Server
  2. Oracle Fusion Applications
  3. Oracle Access Manager
  4. Oracle Exalogic Infrastructure
  5. Oracle GlassFish Server
  6. Oracle GoldenGate Monitor
  7. Oracle iPlanet Web Proxy Server
  8. Oracle iPlanet Web Server
  9. Oracle OpenSSO
  10. Oracle Outside In Technology
  11. Oracle WebCenter Portal
  12. Oracle WebCenter Sites
  13. Oracle WebLogic Server
  14. Oracle Hyperion BI+
  15. Oracle Hyperion Smart View for Office
  16. Enterprise Manager Base Platform
  17. Application Management Pack for Oracle E-Business Suite
  18. Oracle E-Business Suite
  19. Oracle Agile Engineering Data Management
  20. Oracle Demand Planning
  21. Oracle Transportation Management
  22. PeopleSoft Enterprise PeopleTools
  23. PeopleSoft Enterprise Portal Interaction Hub
  24. PeopleSoft Enterprise SCM Strategic Sourcing
  25. JD Edwards EnterpriseOne Technology
  26. Siebel Applications
  27. Oracle Commerce Guided Search/Oracle Commerce Experience Manager
  28. Oracle Commerce Platform
  29. Oracle Retail Back Office
  30. Oracle Retail Central Office
  31. Oracle Argus Safety
  32. Oracle Knowledge
  33. Oracle Java FX
  34. Oracle Java SE
  35. Oracle JRockit
  36. Cisco MDS Fiber Channel Switch
  37. Oracle VM Server for SPARC
  38. Solaris
  39. MySQL Connectors
  40. MySQL Enterprise Monitor
  41. MySQL Server
  42. MySQL Utilities
  43. SQL Trace Analyzer
Detalle de la actualización
 El boletín publicado por Oracle incluye las siguientes vulnerabilidades:
  • Cuatro vulnerabilidades afectan a Oracle Database Server. Ninguna de ellas explotable remotamente.
  • Diecisiete vulnerabilidades afectan a Oracle Fusion Middleware. Doce de ellas explotables remotamente sin autenticación. Una de ellas crítica.
  • Dos vulnerabilidades afectan a Oracle Hyperion. Una de ellas explotable remotamente sin autenticación.
  • Una vulnerabilidad afecta a Oracle Enterprise Manager Grid Control. Esta vulnerabilidad es explotable remotamente.
  • Cuatro vulnerabilidades afectan a Oracle E-Business Suite. Tres de ellas explotables remotamente sin autenticación.
  • Siete vulnerabilidades afectan a Oracle Supply Chain Products Suite. Dos de ellas explotables remotamente sin autenticación.
  • Seis vulnerabilidades afectan a Oracle PeopleSoft. Una de ellas explotable remotamente sin autenticación.
  • Una vulnerabilidad afecta a Oracle JD Edwards.
  • Una vulnerabilidad afecta a Oracle Siebel CRM. Esta vulnerabilidad es explotable remotamente sin autenticación.
  • Dos vulnerabilidades afectan a Oracle Commerce Platform. Ambas son explotables remotamente sin autenticación.
  • Dos vulnerabilidades afectan a Oracle Retail. Ambas explotables remotamente sin autenticación.
  • Una vulnerabilidad afecta a Oracle Health Sciences.
  • Una vulnerabilidad afecta a Oracle Right Now Service Cloud. Esta vulnerabilidad es explotable remotamente sin autenticación.
  • Catorce vulnerabilidades afectan a Oracle Java SE. Todas explotables remotamente sin autenticación.
  • Ocho vulnerabilidades afectan a Oracle Sun Systems. Cuatro de ellas explotables remotamente sin autenticación.
  • Veintiseis vulnerabilidades afectan a Oracle MySQL. Cuatro de ellas explotables remotamente sin autenticación.
  • Una vulnerabilidad afecta a Oracle Support Tools.
Recomendación
  • En la página Web de Oracle se pueden encontrar enlaces a las actualizaciones para cada familia de productos.
Más información
Fuente: INCIBE

ANDROID. Informe de estado de la seguridad

Google ha publicado un informe en el que resume el estado de seguridad de su plataforma móvil Android. 
Puntos más destacados del informe
  1. SELinux -En primer lugar tenemos la activación por defecto del modo "enforced" para todos los dominios en SELinux. Hasta la versión 4.4, SELinux solo se aplicaba en este modo a los dominios asociados al sistema. Este modo es el que permite a SELinux funcionar denegando los accesos a recursos si no se cumplen los requisitos adecuados.  Hasta ahora solo los procesos del sistema se beneficiaban de esta medida, estableciendo una capa extra para obstaculizar la explotación o minimizar su impacto. A partir de Android 5.0 todos los procesos pasarán por el filtro de SELinux.
  2. Cifrado de disco.- Hasta la versión 3.0 de Android, el cifrado de disco tomaba como clave el patrón o contraseña de desbloqueo de la pantalla de acceso. A partir de la versión 5.0 la contraseña del usuario es usada para obtener una clave derivada usando una implementación de 'scrypt'. Es dicha clave derivada la que se usará para cifrar el disco. Esto permite mejorar la resistencia frente a ataques de fuerza bruta sobre la clave de cifrado. Adicionalmente, en sistemas que dispongan del hardware adecuado, la clave se almacenará en un chip dedicado a almacén de claves.
  3. Perfiles de usuarios.- A partir de Android 5.0 se habilita en teléfonos inteligentes la capacidad para añadir perfiles y un modo invitado que no permite acceso a datos ni aplicaciones. Hasta ahora y desde la versión 4.2 solo los dispositivos Tablet permitían múltiples perfiles.
  4. Autenticación "mejorada".- De nuevo, solo en la versión 5.0, se permite el desbloqueo automático del terminal si se encuentra cerca de un dispositivo autorizado o se efectúa un reconocimiento positivo del rostro del usuario. Tal y como es descrito no se entiende como esto es presentado como medida de seguridad. A pesar de los avances en identificación y autenticación biométrica esta tecnología suele usarse como segundo factor. Recordemos la evasión del lector de huellas del iPhone 5s o la de reconocimiento facial que ya se empleaba en la versión Jelly Bean del propio Android.Respecto del desbloqueo por proximidad radio (NFC, Bluetooth…) entendemos que se trata de una funcionalidad que aumenta la usabilidad por comodidad del equipo pero naturalmente la moneda de cambio habitual suele ser un detrimento de la seguridad. Un desbloqueo automático suena mal, muy mal, desde el punto de vista de la seguridad. ¿Necesitas acceder al teléfono de alguien? ¿Está en una reunión? ¿Se ha dejado el teléfono y las llaves del coche sobre la mesa? ¿Necesitamos poner otra interrogativa a modo de pregunta retórica?
  5. Parches.- En total, según el equipo de seguridad de Android, se han corregido 30 parches de gravedad alta, 41 moderados y 8 de gravedad baja. Los parches de seguridad no son publicados directamente en el repositorio de código público. En vez de ello, existe una rama con acceso a esta clase de parches para los fabricantes, con el fin de que corrijan las vulnerabilidades en sus propias versiones de Android antes de que sean reveladas. Llama la atención un dato. Solo han observado una explotación "significante" de una vulnerabilidad: CVE-2014-3153. Usada para elevar privilegios en local o lo que es lo mismo, usada para rootear el dispositivo.De la misma forma comentan que no han observado explotación de vulnerabilidades asociadas a SSL y que lo poco que han visto "parece" estar vinculado a labores de investigación. Sobre FakeID, la vulnerabilidad presentada en la conferencia BlackHat USA de 2014, que permitía instalar una aplicación sin necesidad de que el usuario concediese permisos, indican que han detectado una aplicación subida a Google Play y otras 258 procedentes de fuentes de terceros que hiciesen uso de esta vulnerabilidad.
  6. Android y los fabricantes.- La relación entre fabricantes y Android (Google) es de una tensa calma. Por un lado los fabricantes introducen modificaciones y aplicaciones propias que les permite aportar diferenciación entre la competencia. Por otro lado, ese dechado de buena voluntad e individualización abre la puerta a nuevos y únicos defectos que son aprovechados como vectores por los atacantes. De manera característica los fabricantes demoran la publicación de parches, esto se traduce en una ventana de exposición larga y en cierta medida una percepción negativa de Android en su conjunto para el usuario final. Esto mismo no ocurre en la misma medida con los dispositivos administrados por Google, que suelen experimentar actualizaciones de seguridad más frecuentes. Por supuesto, siempre en el caso de que la versión de Android no esté condenada al ostracismo.El equipo de seguridad de Android mantiene una observación de este tipo de vulnerabilidades y sostiene que la mejora de operación de SELinux permitirá contener los daños del impacto en caso de explotación. Un palo en medio de mar montañosa, sin embargo no pueden hacer mucho más si el fabricante tiene el canal de actualización del sistema por el mango.
  7. Verify Apps.- Android incluía un sistema para detener y avisar al usuario de aplicaciones maliciosas. Una suerte de antivirus básico. Su ámbito se circunscribía en las aplicaciones descargadas a través de Google Play. En abril del pasado 2014 se anunció que ese ámbito estaba siendo ampliado a todas las aplicaciones, incluidas las de otros mercados. El usuario también tiene la opción de subir aplicaciones fuera de Google Play a Google para su análisis.
  8. Actualización de componentes fuera del OTA.- Interesante. Google ha habilitado un canal de actualización para que ciertos componentes pueden ser parcheados sin tener que esperar a una actualización completa del sistema a través de OTA (Over The Air). De momento solo puede efectuarse sobre una versión de SSL mantenida por Google y el infame componente WebView que podrán ser actualizados sin necesidad de esperar a un ciclo de publicación de actualizaciones. Por supuesto, a partir de Android 5.0.Google asume que ciertos componentes pueden y deben ser tratados con prioridad. Además le toman la iniciativa a los fabricantes. Los usuarios podrían ver como ciertas vulnerabilidades son corregidas sin necesidad de esperar meses o indefinidamente a que el fabricante publique un parche.
  9. Aviso a desarrolladores.- Desde el pasado mes de julio, las aplicaciones subidas a Google Play son examinadas en busca de vulnerabilidades conocidas. Evidentemente es un proceso automatizado, pero se agradece que los desarrolladores sean avisados de la supuesta presencia de errores de seguridad conocidos en sus aplicaciones a fin de que puedan corregirlos.Decir proceso automatizado y búsqueda de vulnerabilidades en el mismo párrafo es lo mismo que hablar de falsos positivos. Naturalmente se corre el riesgo de alarmar sobre algo que no existe pero es siempre preferible comprobar algo que darlo por bueno.
  10. Estadísticas de infección.- Los datos proceden de su servicio, el comentado "Verify Apps". Las aplicaciones de Google Play son escaneadas cuando son subidas y periódicamente durante el tiempo que están alojadas. Con ello, Google cuenta con datos directos de las aplicaciones alojadas en Google Play y aquellas que están instaladas en los terminales Android. Según se puede leer en el informe, Google sostiene que menos de un uno por ciento de dispositivos (entiéndase, con Verify Apps activo) contiene una PHA (Potentially Harmful Application) instalada. Es más, reduce ese porcentaje al 0,15% si se trata de dispositivos que instalan aplicaciones exclusivamente desde Google Play.Destaca la tasa por encima de la media de dispositivos Android en Rusia y China. Explicable en parte por la no presencia (Google Play fue prohibido en China) o preferencia por mercados de terceros en el ámbito nacional.El problema quizás no es ese "menos del 1%" en su imagen y sí ese "más de 90%" comparado con otras plataformas móviles.
  11. Tipos de malware.- Bajan los clásicos: spyware y los SMS senders. Mientras el malware tipo Ransomware es visto "rentable" a ojos de los desarrolladores de malware y comienza a despuntar progresivamente.
  12. Safety Net.- Por último cierra el informe los datos relativos a Safety Net. Una suerte de hookeo de ciertas API marcadas como posible "uso por abuso". Dicho sistema comprueba cómo son llamadas estas funciones y reacciona si detecta un abuso. Llama la atención el apartado de "Hombre en el medio". Desde Android 4.2 fue introducido el "Certificate pinning", a partir de la versión 4.4 el sistema avisa de aquellos certificados instalados en la CA del sistema y que son usados para efectuar capturas de comunicaciones cifradas en texto claro. Una ventanita que venimos "padeciendo" quienes hacemos auditoría de aplicaciones cuando instalamos un certificado en la CA. En la parte positiva se ven los esfuerzos y los frutos conseguidos por la inversión de seguridad. Más medidas de seguridad, menores tasas de infección. Sin embargo el malware sigue creciendo en Android, se siguen detectando más tipos de familias y técnicas de infección más avanzadas que permiten ir por debajo de la línea del radar de la detección automatizada o evadir ciertas medidas de seguridad. Lo dicho anteriormente. Android reduce la tasa de infección a ojos de los datos expuestos por el informe de Google. Ese "1%" es cada vez menos uno por ciento. Sin embargo ese "más del 90%" (que evidentemente no dice) cuando se compara con el resto de sistemas móviles pesa mucho, muchísimo.
 Más información:
Fuente: Hispasec

ADOBE. Actualizaciones de seguridad para Flash Player, ColdFusion y Flex

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 24 vulnerabilidades en Flash Player, ColdFusión y Flex.
FLASH PLAYER
  • Las vulnerabilidades afectan a las versiones de Adobe Flash Player 17.0.0.134 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.277 (y versiones 13.x anteriores) y Adobe Flash Player 11.2.202.451 (y anteriores) para Linux.
  • Esta actualización, publicada bajo el boletín APSB15-06, resuelve un total de 22 vulnerabilidades, para una de las cuales (CVE-2015-3043) Adobe reconoce la existencia de un exploit público en la actualidad.
  • La mayoría de las vulnerabilidades podrían permitir la ejecución remota de código arbitrario, incluyendo un desbordamiento de búfer, 11 errores de corrupción de memoria, un error de confusión de tipos, cuatro vulnerabilidades de uso después de liberar y una de doble liberación. También se solucionan dos vulnerabilidades de fuga de memoria que podrían permitir evitar la protección ASLR y por último un salto de medidas de seguridad podría permitir la obtención de información sensible.
  • Los CVE asociados comprenden del CVE-2015-0346 al CVE-2015-0360 y del CVE-2015-3038 al CVE-2015-3044.
 Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  1. Flash Player Desktop Runtime 17.0.0.169
  2. Flash Player Extended Support Release 13.0.0.281
  3. Flash Player para Linux 11.2.202.457
  4. Igualmente se ha publicado la versión 17.0.0.169 de Flash Player para Internet Explorer y Chrome.
COLDFUSION
  • También se han publicado actualizaciones para ColdFusion versiones 11 y 10. Estos parches están destinados a corregir un problema de validación de entradas que podría emplearse para realziar ataques de cross-site scripting (CVE-2015-0345).
 Se recomienda a los usuarios actualicen sus productos con las actualizaciones proporcionadas por Adobe:
  1. ColdFusion 11 (Update 5): http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-5.html
  2. ColdFusion 10 (Update 16):http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-16.html
ADOBE FLEX
  • Por último se ha identificado una vulnerabilidad importante (CVE-2015-1773) en la salida JavaScript de la herramienta ASDoc disponible en Adobe Flex 4 (y versiones anteriores). Este problema podría permitir a la realización de ataques de Cross-Site Scripting.
Adobe recomienda seguir los siguientes pasos:
  1. Descargar el archivo index.html disponible desde http://s.apache.org/O1l
  2. Aplicar modificaciones en el archivo index.html existente (p.ej. actualizar el título de la página)
  3. Implementar los resultados en el sitio web
Mas información:
Fuente: Hispasec

IBM DOMINO. Actualización corrige tres vulnerabilidades

IBM ha publicado una actualización destinada a solucionar tres vulnerabilidades, dos de ellas muy graves, en IBM Domino 8.5.x y 9.0.x.
Detalle de la actualización
  • El primero de los problemas, con CVE-2015-0117, reside en un error en el servidor LDAP que podría dar lugar a una corrupción de memoria que permitiría a un atacante ejecutar código arbitrario.
  • También existe un desbordamiento de búfer, con CVE-2015-0134, que podría permitir a un atacante ejecutar código arbitrario con permisos de administrador. Por último, una vulnerabilidad (con CVE-2015-0179) de elevación de privilegios en IBM Domino NSD (Notes System Diagnostics).
 IBM ha publicado las siguientes actualizaciones:
Más información:
Fuente: Hispasec

SUBVERSION. Actualización de seguridad

Apache ha publicado Subversion 1.8.13 destinada a solucionar tres vulnerabilidades que podrían permitir provocar denegaciones de servicio o falsificar contenido.
 Subversion es un sistema de control de versiones Open Source, que en la actualidad pertenece a la Apache Software Foundation. Utiliza el concepto de revisión para guardar los cambios producidos en el repositorio, además de proporcionar un entorno eficiente y muy flexible.
Detalle de la actualizacion
  • El primer problema está relacionado con el tratamiento de peticiones REPORT puede permitir a un atacante remoto consumir la memoria en servidores HTTP Subversion con repositorios FSFS (CVE-2015-0202).
  • Una segunda vulnerabilidad de denegación de servicio remota reside en mod_dav_svn y svnserve al tratar determinadas peticiones con números de revisión dinámicamente evaluados (CVE-2015-0248).
  • Por último, con CVE-2015-0251, una vulnerabilidad en servidores HTTP Subversion permiten falsificar los valores de svn:author en nuevas revisiones.
Recomendación
Fuente: Hispasec

GOOGLE CHROME . Actualización de seguridad

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) que se actualiza a la versión 41.0.2272.118 para corregir cuatro nuevas vulnerabilidades, incluyendo la presentada en el Pwn2Own.
Detalle de la actualización
  • Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado cuatro vulnerabilidades, se facilita información de dos de ellas.
  • Se corrigen una vulnerabilidad, con CVE-2015-1233, que mediante una combinación de fallos en V8, IPC y Gamepad podría permitir la ejecución remota de código fuera de la sandbox.
  • También se ha corregido la vulnerabilidad de condición de carrera en la GPU mostrada por JungHoon Lee (lokihardt) en el Pwn2Own 2015, a la que se le ha asignado el CVE-2015-1234.
Recomendación
  • Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.
Más información:
Fuente: Hispasec

MOZILLA. Lanza actualización para Firefox

Solo tres días después de publicar Firefox 37, se publica una actualización a la versión 37.0.1. En esta ocasión la Fundación Mozilla ha publicado dos boletines de seguridad que corrigen otras tantas vulnerabilidades (una crítica y otra de gravedad alta) que afectan a su navegador web.
Detalle de la actualización
  • MFSA 2015-44: Actualización crítica para solucionar una vulnerabilidad (CVE-2015-0799) en la implementación HTTP Alternative Services. Si se especifica una cabecera Alt-Svc en la respuesta HTTP/2, se puede evitar la verificación de certificado para el servidor alternativo especificado. Esto podría permitir la falsificación de un sitio web mediante la realización de ataques hombre en el medio.
  • MFSA 2015-43: Un fallo (CVE-2015-0798) en el modo lectura ("Reader mode") en Firefox para Android. El error reportado reside en que las URLs privilegiadas se pueden pasar al modo lectura y eludir las restricciones normales que impiden a las páginas web la obtención de referencias a contextos privilegiados. Si este problema se combina con otro que permita una violación de la política de mismo origen, entonces la combinación resultante podría permitir la ejecución de código arbitrario.
Recomendación
  • Las nueva versión de Firefox se encuentra disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
Más información:
Fuente: Hispasec

CROSS-SITE SCRIPTING. En Cisco Wireless LAN Controller

Cisco ha anunciado el descubrimiento de un problema en sus dispositivos Wireless LAN Controller (WLC) que potencialmente puede ser explotado para realizar ataques de tipo Cross-Site Scripting (XSS).
Detalle de la vulnerabilidad
  • El problema se debe a una validación insuficiente de las entradas suministradas por el usuario en el sistema de ayuda HTML. Un atacante remoto no autenticado podría llevar a cabo un ataque de Cross-Site Scripting convenciendo a un usuario de seguir un enlace URL malicioso. De esta forma lograría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.
  • La vulnerabilidad, con la referencia CVE-2015-0690, ha sido confirmada por Cisco. Afecta a los dispositivos con versiones de software 7.4.x, 7.6.x y 8.0.x.
Recomendación
  • Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte
Más información:
Fuente: Hispasec

APPLE. Actualización de múltiples productos : iOS, OS X, Safari, Xcode y Apple TV

Como ya es habitual Apple ha publicado de forma simultánea actualizaciones para múltiples productos. En esta ocasión incluye iOS 8.3 para sus dispositivos móviles (iPhone, iPad, iPod… ), OS X Yosemite 10.10.3 y Security Update 2015-004, Safari, Xcode 6.3 y Apple TV 7.2.
Resumen de las actualizaciones
  • Por otra parte, iOS 8.3 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir un buen número de novedades y funcionalidades además soluciona 58 nuevas vulnerabilidades de diversa índole. En una próxima  una-al-día analizaremos con mayor detalle los contenidos de esta actualización.
  • Se ha publicado OS X Yosemite v10.10.3 y Security Update 2015-004 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.2, destinado a corregir 80 nuevas vulnerabilidades. Afectan a Admin Framework, apache, ATS, Certificate Trust Policy, CFNetwork HTTPProtocol, CFNetwork Session, CFURL, CoreAnimation, FontParser, Graphics Driver, Hypervisor, ImageIO, IOHIDFamily, Kernel, LaunchServices, libnetcore, ntp, OpenLDAP, OpenSSL, Open Directory Client, PHP, QuickLook, SceneKit, Screen Sharing, Security - Code Signing, UniformTypeIdentifiers y WebKit.
  • Las actualizaciones también incluyen a Safari, el popular navegador web de Apple, que se actualiza a las versiones Safari 8.0.5, Safari 7.1.5 y Safari 6.2.5 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.2. Se solucionan 10 vulnerabilidades, la mayoría relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari.
  • Existen fallos de corrupción de memoria en WebKit que podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada. También existen problemas del propio Safari que permitirían el rastreo de usuarios por sitios web maliciosos mediante certificados de cliente, que el historial de navegación no se eliminaría completamente o la revelación del historial de navegación de los usuarios en modo de navegación privada.
  • También se actualiza Xcode (a la versión 6.3), el entorno de desarrollo de Apple que se incluye con Mac OS X. Como novedades incluye Swift 1.2 para iOS 8.3 y SDKs para OS X 10.10.3 e iOS 8.3. Además se solucionan dos vulnerabilidades en Clang y Swift.
  • Por último, Apple también ha publicado Apple TV 7.2 que soluciona 38 nuevas vulnerabilidades en la televisión de Apple.
Más información:
Fuente: Hispasec

APPLE. Lanza la versión 8.3 del iOS que soluciona casi 60 vulnerabilidades

Apple ha liberado la versión 8.3 de iOs, su sistema operativo para dispositivos móviles (iPad, iPhone e iPod). Esta nueva versión contiene correcciones para 58 vulnerabilidades de diversa índole.
Resumen de la actualización
Los problemas corregidos abarcan los identificadores desde el CVE-2015-1068 hasta CVE-2015-1126. Son los siguientes:
  1. Ejecución de código a través de 'WebKit' (del CVE-2015-1068 hasta CVE-2015-1083 y del CVE-2015-1119 hasta CVE-2015-1124), 'CFURL' (CVE-2015-1088), 'FontParser' (CVE-2015-1093), 'IOHIDFamily' (CVE-2015-1095), e 'iWork Viewer' (CVE-2015-1098). Además los fallos relacionados con los drivers de audio (CVE-2015-1086) y el Kernel (CVE-2015-1101), permitirían la ejecución de código arbitrario con permisos de 'system'.
  2. Salto de restricciones o medidas de seguridad a través del sistema de copias de seguridad (CVE-2015-1087), 'CFNetwork' (CVE-2015-1089 y CVE-2015-1091), Kernel (CVE-2015-1103 y CVE-2015-1104), 'Keyboards' (CVE-2015-1106), 'Lock Screen' (CVE-2015-1107 y CVE-2015-1108), 'Safari' (CVE-2015-1111 y CVE-2015-1112), 'Telephony' (CVE-2015-1115) y 'WebKit' (CVE-2015-1125 y CVE-2015-1126). Como nota destacar los errores relacionados con la pantalla de bloqueo ya que uno de ellos evitaría que el dispositivo eliminase su contenido al superarse los intentos de desbloqueo (de encontrarse activa dicha opción) mientras que el otro aumentaría de forma indefinida la restricción del número máximo de intentos de desbloqueo permitidos.
  3. Elevación de privilegios a través del Kernel (CVE-2015-1117).
  4. Diez errores de seguridad permitirían revelar información sensible a través de 'AppleKeyStore' (CVE-2015-1085), 'Foundation' (CVE-2015-1092), 'IOAcceleratorFamily' (CVE-2015-1094), 'IOHIDFamily' (CVE-2015-1096), 'IOMobileFramebuffer' (CVE-2015-1097), 'NetworkExtension' (CVE-2015-1109), 'Podcasts' (CVE-2015-1110), 'Sandbox Profiles' (CVE-2015-1113 y CVE-2015-1114) y 'UIKit View' (CVE-2015-1116).
  5. Varias denegaciones de servicio relacionadas con el Kernel (CVE-2015-1099, CVE-2015-1100, CVE-2015-1102 y CVE-2015-1105) y con la configuración de los perfiles por parte de 'libnetcore' (CVE-2015-1118).
  6. Una suplantación de URLs (CVE-2015-1084) en 'WebKit' permitiría hacer creer a la víctima que se encuentra en otra dirección al visitar un sitio web.
  7. Una vulnerabilidad en 'CFNetwork' podría afectar a la integridad del dispositivo y eliminar completamente el historial de navegación (CVE-2015-1090).
  8. Además Apple ha actualizado la lista de certificados raíz de confianza instalados en los dispositivos.
Recomendación
  • Esta nueva versión de iOS está disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).
Más información:
Fuente: Hispasec

NTP. Vulnerabilidades en el protocolo

Se han anunciado dos vulnerabilidades en el protocolo Network Time Protocol (NTP), que podrían permitir evitar el uso de conexiones autenticadas o provocar condiciones de denegación de servicio.
 NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.
Detalle de las vulnerabilidades
  • El primero de los problemas (con CVE-2015-1798) hace referencia a instalaciones NTP4 (versiones ntp-4.2.5p99 a ntp-4.2.8p1) que hagan uso de autenticación con clave simétrica. En esta configuración se comprueba si en el paquete recibido el Código de Autenticación de Mensaje (MAC, Message Authentication Code) es válido, pero no se comprueba si realmente está incluido. Por ello, paquetes sin un MAC son aceptados como si tuvieran un MAC válido. Esto podría permitir a un atacante MITM enviar paquetes NTP falsos que serán aceptados sin necesidad de saber la clave simétrica.
  • Por otra parte, con CVE-2015-1799, una vulnerabilidad que afecta a instalaciones NTP que utilizan autenticación con clave simétrica, incluyendo versiones xntp3.3wy a ntp-4.2.8p1. Se pueden crear condiciones de denegación de servicio cuando dos sistemas emparejados reciben paquetes en los que las marcas de tiempo de origen y de transmisión no coinciden. Un atacante podrá evitar la sincronización entre dos sistemas mediante el envío periódico de paquetes con estas características.
Recomendación
Más información:
Fuente: Hispasec