CIBERTERRORISMO. Los terroristas de Paris pudieron utilizar videoconsolas para comunicarse

En primer lugar quiero transmitir mis condolencias a todos los franceses por los execrables crímenes cometidos en París por terrroristas de ISIS. 

Así se estarían comunicando en juegos en red de PS4

• La tecnología es uno de los muchos campos de batalla donde se dirime la lucha contra el terrorismo. Si bien las comunicaciones "convencionales" están monitorizadas desde hace tiempo en los ordenadores y móviles, la constante aparición de canales no tan estandarizados, facilita que se haga uso de la tecnología para coordinar acciones como la de París. Telegram también saltó a la palestra hace unos meses tras haber sido usado por un estudiante para contactar con simpatizantes del IS.

¿Cómo podría utilizarse la videoconsola PlayStation 4 dentro de ese contexto?

• Se trata de una red muy difícil de monitorizar para los servicios de inteligencia, y es prácticamente imposible llevar un seguimiento de las conversaciones que puedan tener varios jugadores en el transcurso de una partida en red con la PS4. Si en vez de estar hablando de lo bien que juegan, están planificando ataques o líneas de actuación, poco pueden hacer de momento los servicios de inteligencia.
• Los juegos en red tienen como uno de sus atractivos la comunicación entre los jugadores, ya sea a través de chat o a través de la viva voz usando accesorios que integran micrófono y auriculares. Las autoridades, eso sí, no han especificado de qué tipo de comunicación estaríamos hablando. Por ejemplo, podrían ser mensajes intercambiados a través de la PlayStation Network o incluso de conversaciones habladas en partidas cerradas de un determinado juego entre los miembros del grupo.
• A diferencia de lo que ocurre con las conversaciones que se realizan por teléfono (y donde, por ejemplo, la NSA tiene multitud de sistemas vigilando y las autoridades pueden conseguir acceso de forma sencilla), cuando hablamos de un sistema de entretenimiento o juego de videoconsola donde las comunicaciones son por IP, ya es más difícil monitorizar y detectar amenazas.
• Y no solo eso, en Forbes ofrecen varios escenarios adicionales con los que se puede producir intercambio de información entre dos jugadores sin que prácticamente nadie pueda sospechar nada: un terrorista podría, por ejemplo, deletrear algo importante con monedas en un mapa de 'Super Mario Maker' y enviárselo a otro jugador. En el 'Call of Duty', simplemente serviría con disparar balas a una pared de forma ordenada para que, juntas, formen letras. No solo estaríamos hablando de la necesidad de vigilar las conversaciones, sino también el monitorizar toda la actividad que un jugador realiza en cada juego, algo que hoy por hoy parece bastante inalcanzable.
• Además de las conversaciones in-game, los juegos online permiten más posibilidades para el intercambio de información: desde niveles de Super Mario con monedas colocadas estratégicamente hasta mensajes grabados en las paredes del Call of Duty con balas

Existen iniciativas puntuales, como la introducción de sistemas de monitorización en juegos como World of Wordcraft por parte de la NSA y la CIA, , según documentos expuestos por Edward Snowden en 2013. Pero, por el momento, no hay un sistema infalible que permita analizar las conversaciones y todos los intercambios que tengan lugar en la red PSN.

Fuente: Xataka.com

CIBERACTIVISMO. Hackers activistas luchan contra Estado Islámico en el ciberespacio

Los simpatizantes del grupo yihadista Estado Islámico, que usan las redes sociales para difundir publicidad y reclutar combatientes, están recibiendo una fuerte respuesta mediante ataques de activistas informáticos que han estado divulgando algunos sitios "offline" e infiltrándose en otros.

Miembros del colectivo de piratas informáticos Anonymous se adjudicaron esta semana la desactivación de miles de cuentas en Twitter vinculadas a Estado Islámico, en el más reciente hecho relacionado con una campaña online que busca vengar los atentados de París.

Sin embargo, otros grupos afirman que han estado haciendo esto desde hace algún tiempo. Uno de ellos, que entrega información al Gobierno de Estados Unidos, asegura haber suprimido miles de cuentas de Twitter desde enero y sus miembros se han hecho pasar por aspirantes a reclutas de grupos yihadistas para obtener información.

"Estamos jugando un papel más de inteligencia", dijo el director ejecutivo de Ghost Security Group, que pidió no ser identificado, por motivos de seguridad. El grupo es una organización de voluntarios que ha estado enviando datos al FBI y otras agencias a través del asesor de terrorismo del Congreso estadounidense Michael S. Smith II.

Smith dijo que la infiltración del grupo en algunos sitios había brindado información que puede ser usada en un juicio por el Gobierno estadounidense, y que las denuncias coordinadas a Twitter habían ayudado a eliminar cuentas de partidarios de Estado Islámico en otros lugares.

Las agencias estadounidenses "agradecen el apoyo externo. Tengo una retroalimentación constante sobre esto", dijo Smith.

El FBI se negó a hacer comentarios.

Fuente: Reuters

TELEGRAM. Cierra 80 canales secretos utilizados por el Estado Islámico

La aplicación de mensajería Telegram ha bloqueado en los últimos días, tras los atentados de París, 78 canales en 12 idiomas vinculados, supuestamente, con el autoproclamado Estado Islámico (EI) o Daesh. El grupo terrorista utiliza esta aplicación para difundir su propaganda y comunicarse entre sí. Como respuesta, el EI ha lanzado una amenaza a la tecnológica.

   El Estado Islámico ha estado usando Telegram como medio de distribución de su material de propaganda desde el pasado mes de octubre, cuando la aplicación de mensajería introdujo una nueva característica que permite a los usuarios difundir mensajes entre un número limitado de suscriptores.

   “Nos ha inquietado conocer que el Estado Islámico ha estado utilizando los canales públicos de Telegram para difundir su propaganda”, ha asegurado la compañía en un comunicado recogido por medios como Business Insider. “Como respuesta, esta semana hemos bloqueado 78 canales relacionados con el EI en 12 idiomas”, ha añadido.

   La respuesta del grupo yihadista a esta actuación por parte de Telegram no se ha hecho esperar. Según el analista de la Quilliam Foundation y experto en el EI, Charlie Winter, un canal vinculado al Daesh ha publicado un mensaje en el que se dice que “la guerra contra Telegram ha comenzado”.

Important. Major #IS user on @Telegram: "the war on Telegram has started". #IS accounts suspended. BIG policy shift. pic.twitter.com/qFY0ldi2xU— Charlie Winter (@charliewinter) noviembre 18, 2015

   Los hermanos Durov, fundadores de Telegram, han reconocido que conocían la utilización de su aplicación por parte del Estado Islámico. El pasado mes de septiembre Pavel Durov aseguraba que la privacidad tenía prioridad sobre otras “cosas malas que puedan suceder, como es el caso del terrorismo”.

   Tras los atentados de París parecen haber cambiado de opinión. Aseguran que están revisando cuidadosamente todas las alertas que han recibido a través del correo abuse@telegram.org, que han puesto a disposición de los usuarios para que puedan denunciar anónimamente cuentas que puedan tener vínculos con el terrorismo.

   Afirman que están tomando las medidas oportunas para bloquear estos canales sospechosos. Hasta ahora ya lo han hecho con 78 en 12 idiomas. Anuncian además que a lo largo de la semana pondrán a disposición del público otro método para que puedan hacer sus denuncias sobre “contenido público objetable”.

Fuente: Portal Tic

REINO UNIDO. Creará fuerza de ciberataque contra Estado Islámico y hackers

El espionaje británico está creando una fuerza ciberofensiva de elite para golpear a combatientes de Estado Islámico, hackers y potencias hostiles, anunció el martes el ministro de Finanzas de Reino Unido, George Osborne, tras advertir que los militantes quieren lanzar ataques digitales letales.

Estado Islámico está intentando desarrollar la capacidad para atacar infraestructura británica como hospitales, redes energéticas y sistemas de control de tráfico aéreo con consecuencias potencialmente letales, declaró Osborne.

En respuesta, Reino Unido subirá su gasto en ciberdefensa, simplificará las ciberestructuras estatales y construirá su propia capacidad ciberofensiva para atacar a sus adversarios.

"Nos defenderemos, pero también llevaremos la lucha hasta ellos", comentó Osborne, el segundo político británico más poderoso tras el primer ministro, David Cameron, en un discurso ante la agencia de espionaje británica GCHQ.

"Estamos construyendo nuestra propia capacidad ciberofensiva para contraatacar en el ciberespacio. Cuando hablamos de afrontar (al EI), eso significa afrontar su ciberamenaza al igual que sus pistolas, bombas y cuchillos", declaró.

Los objetivos de la nueva fuerza serán hackers individuales, bandas criminales, grupos militantes y potencias hostiles, usando un "espectro completo" de acciones, añadió.

Osborne dijo que el gasto público en ciberseguridad casi se duplicará, hasta un total de 1.900 millones de libras (2.900 millones de dólares), durante el periodo hasta 2020, precisando que la decisión de mejorar la financiación de la ciberdefensa fue tomada antes de la matanza del viernes en París.

El Estado Islámico ya estaba usando Internet para propaganda, radicalizar a la gente y planes operativos, agregó

Fuente: Reuters

ANONYMOUS. Declara la guerra al Estado Islámico tras ataques de París

 Anonymous se prepara para lanzar una ola de ataques cibernéticos contra Estado Islámico tras los atentados perpetrados en París la semana pasada que dejaron 129 muertos, dijo en un video publicado en internet el colectivo de hackers.

Un hombre con la máscara de Guy Fawkes dijo que los miembros de Estado Islámico, que se atribuyó la autoría de los atentados de París, eran "parásitos" y que Anonymous los perseguiría.

"Estos ataques no pueden quedar impunes", dijo en francés el hombre en el video.

"Vamos a lanzar la operación más grande que se haya puesto en marcha contra ustedes. Esperen muchos ataques cibernéticos. Se ha declarado la guerra. Prepárense", dijo el hombre, sin dar detalles sobre los ataques. "No perdonamos ni olvidamos".

Anonymous es una red internacional de activistas cibernéticos que ha reivindicado muchos ataques en internet.

Fuente: Reuters

GHOST SECURITY. Hackers que también luchan contra el ISIS tras los atentados de París

   Ghost Security es un colectivo hacktivista que lleva meses con una guerra 'online' declarada al ISIS, aunque su nombre no retumbe tanto como el de Anonymous. Desde enero, explican, han eliminado miles de cuentas de Twitter. Desde los atentados en París, el pasado 13 de noviembre, las visitas a su web se han multiplicado.

   “Poco después de los ataques, nuestro sitio estaba cerca de 300 visitas únicas por minuto”, explica el usuario GhostSecPl, un miembro de Ghost Sec, al medio The Daily Dot. "Las cosas están locas en estos momentos. Nuestro sitio está estallando con consejos, y nuestro grupo está buscando proactivamente las amenazas actuales”, añade.

    Ghost Security explica en su web que su misión es eliminar la presencia en línea de los grupos extremistas islámicos. Entre ellos, se refiere al Estado Islámico (ISIS), Al-Qaeda, Al-Nusra, Boko Haram y Al-Shabaab. Además, insisten, pretenden frustrar su reclutamiento y limitar su capacidad de organizar los esfuerzos terroristas internacionales como lo ocurrido en la capital francesa la pasada semana.

    Se ha convertido en una ayuda fundamental para las instituciones. El colectivo administra información a través de un contratista privado de la empresa Kronos, que sirve de intermediario entre las instituciones y Ghost Security. La organización recoge la información de las cuestas del ISIS en las redes sociales así como la filtración de los sitios web que encuentra relacionados con el tema y proporciona la información a Kronos. Ellos son los encargados de transmitirlo a los organismos pertinentes como, por ejemplo, el FBI.

   Pese a que los activistas quieren mantenerse en el anonimato y utilizan Kronos con este fin, tras los atentados de París y la urgencia que la información requería, aseguran que han interactuado directamente con la Policía para abordar “consejos sensibles” sobre los activistas y la información que poseen.

   No son los únicos que están en guerra contra el ISIS. BinarySec, otro grupo de hacktivistas, confirmó que iban a comenzar a llevar a cabo una lucha 'online' contra el grupo terrorista, como ha recogido The Guardian.

 En un comunicado, el grupo explicó que "nosotros, como colectivo pondremos fin a su reinado de terror. Ya no vamos a hacer la vista gorda a sus actos crueles e inhumanos de terrorismo hacia todas las otras religiones que no son el Islam. Hemos visto que decapita personas inocentes, secuestra y asesina hijos y lanza ataques terroristas en Francia. Esto no va a ser tolerado más tiempo”.

Fuente: Portal TIC

FACEBOOK. Activa "comprobación de seguridad" por explosiones en Nigeria tras críticas

Facebook activó su opción de "comprobación de seguridad" después de las explosiones mortales en Nigeria producidas a última hora del martes, tras las críticas de los usuarios de que la red social estaba siendo selectiva sobre la implementación de la función.

Facebook normalmente activa dicha función, que permite a los usuarios comunicar que están a salvo, después de desastres naturales, pero no en bombardeos o ataques. Sin embargo, la red social la activó después de los ataques con armas y bombas del viernes en París, lo que generó críticas por parte de algunos usuarios porque no ocurrió algo similar con los ataques suicidas en Beirut un día antes. La autoría de los ataques de París y de Beirut fue reivindicada por extremistas del grupo Estado Islámico. En un mensaje en su página de Facebook, su presidente ejecutivo, Mark Zuckerberg, dijo que la característica ahora sería utilizada con más frecuencia. "Después del ataque en París la semana pasada, hemos tomado la decisión de utilizar la 'comprobación de seguridad' para eventos trágicos como este en el futuro", dijo. La explosión del martes en un mercado de Nigeria causó la muerte de 32 personas y heridas a otras 80. Facebook dijo que decidió activar la función durante los ataques de París por el nivel de actividad generada en la red, que globalmente cuenta con 1.550 millones de usuarios. Los ciudadanos de París escribieron publicaciones para hacer saber a sus amigos y familia que estaban a salvo, dijo el sábado en un post Alex Schultz, vicepresidente de crecimiento de Facebook.

Fuente: Reuters

CIBERESPIONAJE. Alemania espió a una decena de gobiernos, (el Vaticano y España incluidos)

Los servicios de Inteligencia alemanes vigilaron los teléfonos y los correos de numerosas embajadas, entre ellas las de EEUU, Francia o Reino Unido.

Los servicios de Inteligencia alemanes (BND) han espiado sistemáticamente a los gobiernos y embajadas de una decena de países, entre ellos Estados Unidos, Francia, Reino Unido o España, así como al Vaticano y varias ONG, según ha informado este sábado el medio alemán 'Der Spiegel', que ha profundizado en las revelaciones de espionaje dadas a conocer hace tres semanas.

El BND espió, según el medio alemán, tanto al Departamento de Interior de Estados Unidos como a los Ministerios del Interior de países como Polonia, Austria, Dinamarca y Croacia, según las llamadas "listas de selectores" -término que se refiere a números de teléfono, direcciones de Internet o correos electrónicos bajo vigilancia- a los que ha tenido acceso 'Der Spiegel'.

La Inteligencia alemana también ha investigado a organizaciones no gubernamentales como Care International, Oxfam y el Comité Internacional de la Cruz Roja (CICR), así como numerosas embajadas y consulados en Alemania, como por ejemplo Estados Unidos, Francia, Reino Unido, Suecia, Portugal, Grecia, España, Italia y Austria, cuyos teléfonos y correos electrónicos se incluían, siempre según 'Der Spiegel', en estas listas.

Las misiones diplomáticas internacionales no están protegidas por el artículo 10 de la Constitución alemana, la Ley Básica, que escuda a los participantes en las telecomunicaciones alemanas de tales actos de vigilancia.

Fuente: Publico.es

FIREFOX 42. Solventa a 23 vulnerabilidades, la navegación privada y todo lo demás

Mozilla ha anunciado la publicación de la versión 42 de Firefox (y de Firefox ESR 38.4), junto con 18 boletines de seguridad destinados a solucionar 23 nuevas vulnerabilidades en el navegador.

Mozilla  acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. También publica una versión actualizada de Firefox ESR (versión de soporte extendido) destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. La novedad más destacable de esta nueva versión es la mejora del modo de navegación privada, destinado a bloquear el contenido destinado a registrar el comportamiento del usuario en su navegación.

Detalle de la vulnerabilidades ahora corregidas

•  Por otra parte, se han publicado 18 boletines de seguridad (del MSFA2015-116 al MSFA2015-133). Tres de ellos están considerados críticos, seis altos, siete moderados y dos de gravedad baja; que en total corrigen 23 nuevas vulnerabilidades en el navegador. https://youtu.be/qxrVsN9kkog
•  Las vulnerabilidades críticas podrían permitir la ejecución remota de código, residen en tres problemas (CVE-2015-7181, CVE-2015-7182 y CVE-2015-7183) de corrupción de memoria en Network Security Services (NSS) y en la librería NSPR (componente de NSS). Otras tres vulnerabilidades críticas descubiertas a través de la revisión de código, incluyendo un desbordamiento de búfer en la librería gráfica ANGLE (CVE-2015-7198), y fallos de comprobación de estado en la generación de SVG (CVE-2015-7199) y durante la manipulación de claves criptográficas (CVE-2015-7200). Y dos vulnerabilidades críticas más por problemas de tratamiento de memoria en el motor del navegador (CVE-2015-4513 y CVE-2015-4514).
•  Además, también se han corregido otras vulnerabilidades importantes como fallos en el tratamiento de applets de Java y JavaScript (CVE-2015-7196), una corrupción de memoria en libjar al tratar archivos zip específicamente creados (CVE-2015-7194), un cross-site scripting en Firefox para Android a través de intents (CVE-2015-7191), un desbordamiento de búfer en el tratamiento de elementos canvas en imágenes jpeg (CVE-2015-7189) y un salto de las políticas de mismo origen al poner espacios en blanco en las direcciones (CVE-2015-7188).

Recomendación

·         La nueva versión desde http://www.mozilla.org/es-ES/firefox/new/

·         Desde la actualización del navegador en Ayuda/Acerca de Firefox.

Más información:

·         Firefox Notes.  Version 42.0. https://www.mozilla.org/en-US/firefox/42.0/releasenotes/

·         Mozilla Foundation Security Advisories  https://www.mozilla.org/en-US/security/advisories/

·         Security Advisories for Firefox ESR https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox-esr/#firefoxesr38.4

·         Firefox Now Offers a More Private Browsing Experience  https://blog.mozilla.org/blog/2015/11/03/firefox-now-offers-a-more-private-browsing-experience/

Fuente: Hispasec

CISCO. Vulnerabilidades en sus dispositivos

Cisco ha anunciado un total de ocho vulnerabilidades en múltiples dispositivos que podrían permitir a un atacante provocar condiciones de denegación de servicio, inyectar comandos y tomar el control de los sistemas afectados. 

Recursos afectados

• Los problemas afectan a dispositivos Cisco Email Security Appliance (ESA), Cisco Content Security Management Appliance (SMA), Cisco Web Security Appliance (WSA), Cisco Email Security Appliance y Cisco Mobility Services Engine.

 Detalle e Impacto de las vulnerabilidades 

• El primero de los problemas (CVE-2015-6321) reside en la pila de red de Cisco AsyncOS, debido a un tratamiento inadecuado de paquetes TCP enviados a altas velocidades que podría permitir provocar denegaciones de servicio en dispositivos Cisco Email Security Appliance (ESA), Cisco Content Security Management Appliance (SMA) y Cisco Web Security Appliance (WSA)
•  Otras cuatro vulnerabilidades afectan a Cisco AsyncOS, dos de ellas (CVE-2015-6292 y CVE-2015-6293) podrían permitir a un atacante remoto provocar condiciones de denegación de servicio en dispositivos Cisco Web Security Appliance (WSA); mientras que las otras dos afectan a dispositivos Cisco Email Security Appliance (ESA) y podrían permitir evitar la funcionalidad anti-spam (CVE-2015-4184) o provocar denegaciones de servicio (CVE-2015-6291).
•  Por otra parte, dos vulnerabilidades afectan a Cisco Mobility Services Engine (MSE), la primera podría permitir a un usuario acceder con la cuenta por defecto “oracle" (CVE-2015-6316). Una vez más, Cisco y las cuentas por defecto con contraseñas estáticas. Y aunque la cuenta afectada no tiene permisos administrativos, la segunda vulnerabilidad podría permitir elevar los privilegios a nivel "root" (CVE-2015-4282). La combinación de ambos fallos podría permitir a un atacante remoto sin autenticar lograr permisos administrativos en los sistemas afectados.
•  Por último, una vulnerabilidad en el proceso de generación de certificados en la interfaz de administración web de los Cisco Web Security Appliance (WSA) podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios con permisos de "root".

Recomendación

• Cisco ha publicado actualizaciones para todos los dispositivos afectados, en cualquier caso recomienda revisar los avisos publicados para determinar la exposición y la versión a la que actualizar.

Más información:

• Una al día  http://unaaldia.hispasec.com/2015/11/vulnerabilidades-en-dispositivos-cisco.html

Fuente: Hispasec

ACTUALIZACION. Corregidas vulnerabilidades en OpenOffice y LibreOffice

Las suites ofimáticas de código abierto, LibreOffice y OpenOffice, se han actualizado recientemente para corregir diferentes vulnerabilidades, que podrían permitir a un atacante obtener información sensible o lograr la ejecución remota de código.

 Apache OpenOffice y LibreOffice son suites ofimáticas de código abierto y gratuitas. Ambas cuentan con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

Detalle e Impacto de las vulnerabilides

•  El primero de los problemas, con CVE-2015-4551, podría permitir a un atacante crear un documento (Writer o Calc) específicamente diseñado de forma que cuando se cargue por el usuario atacado, dará lugar a un error que permitirá insertar, a través de enlaces, documentos de forma invisible. De esta forma, si el usuario graba y devuelve el documento el atacante podrá obtener información sensible del usuario.
•  Otros fallos residen en un subdesbordamiento de entero en el tratamiento de archivos ODF (CVE-2015-5212) y un desbordamiento de entero en archivos DOC (CVE-2015-5213). Por último, una corrupción de memoria en el tratamiento de marcadores de archivos DOC (CVE-2015-5214). Estas vulnerabilidades podrían permitir a un atacante la ejecución de código arbitrario. 

Recomendación

 Para corregir estas vulnerabilidades, se han publicado Apache OpenOffice 4.1.2, y LibreOffice 4.4.6 y 5.0.0 que se encuentran disponibles para su descarga desde las páginas oficiales:

1. http://es.libreoffice.org/descarga/
2. http://www.openoffice.org/es/descargar/

Más información:

• Una al día  http://unaaldia.hispasec.com/2015/11/corregidas-vulnerabilidades-en.html

Fuente: Hispasec

CCN-CERT. Publica Informe de Medidas de Seguridad en Telefonía Móvil

El CCN ha publicado un Informe de Amenazas sobre Seguridad en Telefonía Móvil (iOS y Android) en el que ofrece las medidas más relevantes a la hora de mantener los teléfonos móviles de un modo seguro, así como la información y datos que gestionan y almacenan.

 El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como el CERT Gubernamental español. El CCN-CERT tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para el país.

 El CCN-CERT, del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI, ha publicado el "Informe de Amenazas IA-28/15 de Medidas de Seguridad en Telefonía Móvil" en el que recoge un compendio de las medidas de seguridad más relevantes incluidas en sus distintas guías CCN-STIC. Este documento atiende a criterios como la seguridad en la pantalla de bloqueo, la seguridad en las comunicaciones y seguridad en el software y aplicaciones. Asimismo, se recogen las principales recomendaciones para el mantenimiento seguro del dispositivo, como la realización de copias de seguridad periódicas o la actualización del firmware.

 El informe incluye las medidas más relevantes para dispositivos móviles con sistemas operativos iOS o Android. Para ambos sistemas se desarrollan capítulos dedicados a la pantalla de desbloqueo; comunicaciones; software y aplicaciones; y mantenimiento. Destaca además la inclusión de un anexo sobre cómo mitigar la vulnerabilidad más crítica en la historia de este último sistema operativo: Stagefright. Esta vulnerabilidad afecta a las versiones de Android comprendidas entre la 2.2 y la 5.1.1, lo que representa el 95% de estos dispositivos en septiembre de 2015.

 El Informe de Amenazas IA-28/15 de Medidas de Seguridad en Telefonía Móvil tiene 58 páginas y cubre los principales aspectos de seguridad de dispositivos iOS y Android. Un material de gran ayuda para la configuración y uso seguro de estos dispositivos.

Más información:

• Informe de Amenazas IA-28/15 de Medidas de Seguridad en Telefonía Móvil https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1165-ccn-cert-ia-28-15-medidas-de-seguridad-en-telefonia-movil/file.html

Fuente: Hispasec

VULNERABILIDAD. Descubierta en SonicWall TotalSecure TZ 100

Se ha reportado una vulnerabilidad en SonicWall TotalSecure TZ 100 que podría permitir a un atacante remoto provocar una denegación de servicio a través de paquetes especialmente manipulados.

SonicWall TotalSecure TZ 100(Dell) es una familia de firewalls inteligentes ampliamente utilizados en pequeñas y medianas empresas. Incorpora numerosas características como control de acceso, prevención de intrusiones, control de amenazas, eliminación de cuellos de botella, etc.

 La vulnerabilidad descubierta por FFRI,Inc (Japón), tiene asignada el identificador CVE-2015-7770. El problema, reside en un error de validación al procesar determinados paquetes, que podría ser aprovechado por un atacante remoto no autenticado para provocar una denegación de servicio a través de paquetes especialmente manipulados.

 Los dispositivos con versión de firmware anterior a V5.9.1.0-22o son vulnerables. Se recomienda actualizar a la última versión disponible.

Más información:

• JVNDB-2015-000176 SonicWall TotalSecure TZ 100 Series vulnerable to denial-of-service (DoS) http://jvndb.jvn.jp/en/contents/2015/JVNDB-2015-000176.html
• SonicWALL TZ Series https://support.software.dell.com/sonicwall-tz-series/100

Fuente: Hispasec

MICROSOFT. Publica doce boletines de seguridad

Microsoft publicó doce boletines de seguridad (del MS15-112 al MS15-123) correspondientes a su ciclo habitual de actualizaciones, presentando cuatro de ellos un nivel de gravedad "crítico" mientras que los ocho restantes son "importantes", solucionándose 53 vulnerabilidades en total.

Detalle de los boletines publiados

1. MS15-112: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 25 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2015-2427, CVE-2015-6064 al CVE-2015-6066, CVE-2015-6068 al CVE-2015-6082 y CVE-2015-6084 al CVE-2015-6089).
2. MS15-113: Boletín "crítico" que incluye la igualmente habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan cuatro vulnerabilidades, la más grave de ellas podría permitir la obtención de información si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2015-6064, CVE-2015-6073, CVE-2015-6078 y CVE-2015-6088).
3. MS15-114: Boletín "crítico" que resuelve una vulnerabilidad (CVE-2015-6097) en Windows Journal que podría permitir la ejecución remota de código si un usuario abre un archivo de Journal específicamente creado.
4. MS15-115: Boletín considerado "crítico" que resuelve cinco vulnerabilidades en el kernel de Windows y dos en la librería Adobe Type Manager que podrían permitir la ejecución de código remoto (CVE-2015-6100 al CVE-2015-6104, CVE-2015-6109 y CVE-2015-6113).
5. MS15-116: Destinado a corregir siete vulnerabilidades "inportantes" que podrían permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2015-2503, CVE-2015-6038, CVE-2015-6091 al CVE-2015-6094 y CVE-2015-6123).
6. MS15-117: Boletín de carácter "importante" destinada a solucionar una vulnerabilidad en Microsoft Windows NDIS que podría permitir la elevación de privilegios (CVE-2015-6098). Afecta Windows Vista, Windows Server 2008 y Windows 7.
7. MS15-118: Boletín considerado "importante" que resuelve tres vulnerabilidades en Microsoft .NET Framework: una de elevación de privilegios, otra de obtención de información sensible y otra de salto de protección ASLR (Address Space Layout Randomization) (CVE-2015-6096, CVE-2015-6099 y CVE-2015-6115).
8. MS15-119: Destinado a corregir una vulnerabilidad "importante" en Windows cuando Winsock realiza una llamada a una dirección de memoria sin verificar que dicha dirección sea válida. Un atacante podría aprovechar este problema para elevar sus privilegios en los sistemas afectados (CVE-2015-2478). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1), Windows Server 2012 y Windows 10.
9. MS15-120: Boletín de carácter "importante" destinado a corregir una vulnerabilidad de denegación de servicio en Windows cuando el servicio IPSec trata de incorrecta una negociación de cifrado (CVE-2015-6111).
10. MS15-121: Boletín considerado "importante" que soluciona una vulnerabilidad de suplantación en Windows debido a una debilidad en todas las versiones del protocolo TLS (CVE-2015-6112).
11. MS15-122: Destinado a corregir una vulnerabilidad "importante" que podría permitir a un atacante evitar la autenticación Kerberos en un sistema y descifrar las unidades protegidas por BitLocker. El ataque solo podrá realizarse si el sistema tiene BitLocker activo sin un PIN o llave USB, el sistema está unido a un dominio y el atacante tiene acceso físico al sistema (CVE-2015-6095).
12. MS15-123: Boletín "importante" que resuelve una vulnerabilidad (CVE-2015-6061) de obtención de información sensible en Skype for Business y Microsoft Lync Server.

 Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

• Una al día  http://unaaldia.hispasec.com/2015/11/microsoft-publica-doce-boletines-de.html

Fuente: Hispasec

ADOBE FLASH PLAYER. Nueva actualización

Adobe ha publicado una nueva actualización para Adobe Flash Player, que en esta ocasión soluciona 17 vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

 La mayoría de los problemas que se corrigen en este boletín (APSB15-28) permitirían la ejecución de código arbitrario aprovechando 15 vulnerabilidades de uso de memoria después de liberarla y una vulnerabilidad de confusión de tipos. Por otra parte también se soluciona un salto de medidas de seguridad que podría permitir la escritura de datos en el sistema de archivos.

 Los CVE asignados son CVE-2015-7651 al CVE-2015-7663, CVE-2015-8042 al CVE-2015-8044 y CVE-2015-8046.

Recursos afectados

 Las vulnerabilidades afectan a las versiones de Adobe Flash Player 19.0.0.226 (y anteriores) para Windows, Macintosh, y navegadores Chrome, Internet Explorer y Edge; Adobe Flash Player Extended Support Release 18.0.0.255 (y anteriores) para Windows, Macintosh; y Adobe Flash Player 11.2.202.540 (y anteriores) para Linux. También afecta a Adobe AIR.
Recomendación

 Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

1. Flash Player Desktop Runtime 19.0.0.245
2. Flash Player Extended Support Release 18.0.0.261
3. Flash Player para Linux 11.2.202.548

 Igualmente se ha publicado la versión 19.0.0.245 de Flash Player para Internet Explorer, Edge y Chrome (Windows y Macintosh).

 También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler a la versión 19.0.0.241 (Windows, Macintosh, Android e iOS).

Más información:

• Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb15-28.html

Fuente: Hispasec

MOBILE PWN2OWN. Desvela graves fallos en los Samsung Galaxy y en Chrome para Android

La edición del Mobile Pwn2Own 2015 tan solo ha dejado un par de anuncios interesantes, aunque la importancia de los problemas descubiertos no ha dejado indiferente a nadie. En esta ocasión se han encontrado problemas graves en dispositivos Samsung Galaxy S6, S6 Edge y Note 4 y en el navegador Chrome para Android.

 La última edición del MobilePwn2Own se ha desarrollado esta semana en Tokio en la conferencia PacSec 2015. Todo indica que la falta de patrocinadores (y por tanto de premios) de esta edición de la competición ha provocado una gran ausencia de participantes y de anuncios de nuevas vulnerabilidades.

 A pesar de ello, se han realizado dos anuncios bastante interesantes. En primer lugar una vulnerabilidad en los Samsung Galaxy S6, Galaxy S6 Edge y Galaxy Note 4 que podría permitir engañar a los dispositivos para conectarse a una estación base maliciosa y conseguir acceso a las llamadas y mensajes que se realicen o reciban en los dispositivos.

 El problema, descubierto por Daniel Komaromy (@kutyacica) y Nico Golde (@iamnion), reside en una vulnerabilidad de hombre en el medio en los chips Shannon, que forman el módem, transceptor RF y tracking IC, empleado en los modelos afectados. Los investigadores configuraron una estación base, requerida para conectar un teléfono móvil a la red telefónica y descubrieron que los teléfonos Samsung establecían la conexión a través de ella. Esto permitió a los investigadores interceptar llamadas y mensajes enviados y recibidos a través de la estación base.

 PWN2OWN Moblie: @kutyacica @iamnion just pwned baseband processor Samsung Edge with their SDR base station. pic.twitter.com/YE5cYAs743
 — dragosr (@dragosr) noviembre 12, 2015

Este anuncio ha sido considerado como uno de los más importantes de todas las ediciones del Pwn2Own. Irónicamente este año no hay recompensas, cuando un descubrimiento de este tipo el año pasado habría obtenido una recompensa de 150.000 dólares. Según Dragos Ruiu (@dragosr), organizador de la PacSec, este es el verdadero espíritu de la investigación en seguridad. Por ello, invitará a ambos (y sus familias) a viajar el año que viene a la conferencia CanSecWest para que puedan esquiar después de realizar una presentación técnica de su desarrollo.

 Un segundo anuncio de la Mobile Pwn2Own es una vulnerabilidad en el motor V8 de Javascript del navegador Chrome. En esta ocasión, el investigador Guang Gong de Quihoo 360, logró tomar el control de un Nexus 6 con tan solo visitar una página web con un script malicioso. Posteriormente instaló un juego sin autorización ni interacción del usuario.

 PWN2OWN Mobile: exploit loaded application APK, pwned phone without user interaction upon visiting website pic.twitter.com/yeOkytexLu
 — dragosr (@dragosr) noviembre 11, 2015

 El propio investigador ha afirmado que esta vulnerabilidad podría permitir tomar el control de cualquier Android, ya que el fallo recae en el motor V8 del navegador, que es algo independiente del dispositivo sobre el que se ejecute. De igual forma también será recompensado con un viaje al congreso canadiense, además Google recompensará de forma económica según la política de recompensas de Chrome.

Más información:

PacSec 2015 Conference https://pacsec.jp/index.html

 Dragos Ruiu.

1. https://plus.google.com/103470457057356043365/posts/D7sgXinCZwi?pid=6216136259923037282&oid=103470457057356043365
2. https://plus.google.com/103470457057356043365/posts/KLDx2YJKSg8

Fuente: Hispasec

MICROSOFT. Republica actualización por problemas en Windows 7 y Windows Server 2008

No es la primera vez que Microsoft se ve obligada a republicar una de las actualizaciones publicadas dentro de su conjunto de boletines de seguridad. En esta ocasión los problemas se han dado con el boletín MS15-115 en sistemas Windows 7 y Windows Server 2008 R2.

 Microsoft ha anunciado la revisión de la actualización 3097877 para Windows 7 y Windows Server 2008 perteneciente al boletín MS15-115, publicado el pasado martes. Este boletín estaba calificado como "crítico" y solucionaba siete vulnerabilidades en todas las versiones de Windows relacionadas con el tratamiento de fuentes, que podrían permitir la ejecución de código remoto.

 Microsoft ha indicado que republica la actualización debido a que algunos usuarios han reportado problemas con Outlook tras la instalación del parche. Según han reportado algunos usuarios Outlook se cerraba al abrir emails en html, aunque también se han reportado otro tipo de errores como pantallas negras al intentar autenticarse en el sistema y otros problemas.

"Bulletin revised to inform customers that the 3097877 update for Windows 7 and Windows Server 2008 R2 has been rereleased to correct a problem with the original update that could cause some applications to quit unexpectedly."

 No es la primera vez que algo similar ocurre con las actualizaciones de Microsoft,el año pasado este problema se dio en varias ocasiones. Aunque la compañía establece grandes controles antes de publicar un parche, resulta complejo evaluar una actualización en todas las posibles configuraciones, idiomas, versiones, etc. Esperamos, por la tranquilidad de todos, que este tipo de problemas no se vuelvan a repetir.

Más información:

• MS15-115: Description of the security update for Windows: November 10, 2015  https://support.microsoft.com/en-us/kb/3097877
• Microsoft Security Bulletin MS15-115 – Critical  Security Update for Microsoft Windows to Address Remote Code Execution (3105864)  https://technet.microsoft.com/library/security/MS15-115

Fuente: Hispasec

GOOGLE. Actualización de seguridad para su navegador Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) para corregir una nueva vulnerabilidad de gravedad alta.

 Se han corregido un problema de fuga de información sensible a través del visor pdf (CVE-2015-1302). Está nueva versión de Chrome 46.0.2490.86 también incluye la actualización del reproductor Flash Player a la versión 19.0.0.245, recientemente publicada por Adobe y que solucionaba 17 vulnerabilidades del propio reproductor.

 Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

·         Stable Channel Update http://googlechromereleases.blogspot.com.es/2015/11/stable-channel-update.html

Fuente: Hispasec

VULNERABILIDAD. Ejecución de código a través de libpng

Se ha anunciado una vulnerabilidad en libpng que podría ser aprovechada por un atacante remoto para comprometer las aplicaciones y sistemas que usen esta librería.

 El formato de imagen Portable Network Graphics o PNG se usa como una alternativa a otros formatos de imagen, como el popular GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y libpng es una librería disponible para desarrolladores de aplicaciones para soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede estar afectada.

 El fallo (con CVE-2015-8126) reside en un desbordamiento de búfer en las funciones "png_set_PLTE" y " png_get_PLTE" al procesar una imagen maliciosa. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario.

Se han publicado las versiones 1.6.19, 1.5.24, 1.4.17, 1.2.54 y 1.0.64 de la librería, disponibles desde http://libpng.sourceforge.net/

 De igual forma, en breve veremos la actualización de múltiples aplicaciones para incluir la corrección de esta vulnerabilidad.

Más información:

• CVE-2015-8126  https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8126
• libpng buffer overflow in png_set_PLTE  http://www.openwall.com/lists/oss-security/2015/11/12/2

Fuente: Hispasec

ADOBE. Actualización para productos ColdFusion, Premiere Clip y LiveCycle DS

Adobe ha publicado una actualización para algunos de sus productos menos acostumbrados a recibir actualizaciones. En esta ocasión los productos afectados son ColdFusion, LiveCycle Data Services y Premiere Clip, en total se han solucionado cinco vulnerabilidades.

 En el boletín de seguridad APSB15-29 de Adobe, se recoge una actualización para ColdFusion versiones 11 y 10. Este parche está destinado a corregir dos vulnerabilidades relacionadas con problemas de validación de entradas (CVE-2015-8052 y CVE-2015-8053) que podrían emplearse para construir ataques de cross-site scripting. También se incluye una versión actualizada de BlazeDS, que resuelve una vulnerabilidad importante de Server-Side Request Forgery (CVE-2015-5255).  

Recomendación

 Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:

1. ColdFusion 11: http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-7.html
2. ColdFusion 10: http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-18.html

 Detalle e Impacto potencial de las vulnerabilidades corregidas

• En el boletín APSB15-30 se trata una vulnerabilidad en Adobe LiveCycle DataServices, el framework destinado a simplificar el desarrollo de aplicaciones Flex y AIR. Igualmente está destinada a incluir una versión actualizada de BlazeDS para resolver una vulnerabilidad Server-Side Request Forgery (CVE-2015-5255).  
•  Adobe ha publicado versiones actualizadas de LiveCycle DataServices destinadas a solucionar la vulnerabilidad en Windows, Macintosh y Unix, disponibles desde la página del aviso de seguridad: https://helpx.adobe.com/security/products/livecycleds/apsb15-30.html
•  Por último, en el boletín APSB15-31 se recoge una actualización para Adobe Premiere Clip para iOS a la versión 1.2.1, para solucionar un problema de validación de entradas (CVE-2015-8051). https://itunes.apple.com/us/app/adobe-premiere-clip/id919399401

Más información:

• Security Update: Hotfix available for ColdFusion https://helpx.adobe.com/security/products/coldfusion/apsb15-29.html
• Security Hotfix Available for LiveCycle Data Services https://helpx.adobe.com/security/products/livecycleds/apsb15-30.html
• Security update available for Adobe Premiere Clip https://helpx.adobe.com/security/products/premiereclip/apsb15-31.html

Fuente: Hispasec

SYMANTEC. Múltiples vulnerabilidades en sus productos

Detectadas múltiples vulnerabilidades en sus productos catalogadas de Importancia: 4 - Alta . Symantec ha publicado una actualización que corrige 3 vulnerabilidades que afectan a diferentes productos. Estos fallos pueden permitir la ejecución de código con permisos de administrador en el host, o el uso inadecuado de datos no confiables para obtener permisos de administrador.

Recursos afectados

• CVE-2015-6554 y CVE-2015-6555: Symantec Endpoint Protection Manager (SEPM), versión 12.1.
• CVE-2015-1492: Symantec Endpoint Protection Clients (SEP), versión 12.1.

Detalle e Impacto de las vulnerabilidades

Las vulnerabilidades corregidas se detallan a continuación:

1. Ejecución de código con permisos de administrador en el host: aprovechando esta vulnerabilidad un atacante remoto (autenticado o no) podría obtener acceso a la consola SEPM y ejecutar código arbitrario Java en ella. Se ha reservado el identificador CVE-2015-6555.
2. Uso inadecuado de datos no confiables: aprovechando esta vulnerabilidad un atacante remoto (autenticado o no) podría igualmente obtener acceso a la consola SEPM y, dado que el servidor no procesaría correctamente datos externos, se podrían ejecutar comandos de OS con privilegios de administrador. Se ha reservado el identificador CVE-2015-6554.
3. Inserción de binario en cliente: aprovechando esta vulnerabilidad un atacante remoto con acceso al sistema podría insertar una dll manipulada en el paquete instalado en el cliente y ejecutar código con privilegios de administrador. Se ha reservado el identificador CVE-2015-1492. Se puede encontrar más información sobre esta vulnerabilidad en: Symantec Endpoint Protection (CVE-2015-1492)

Recomendación

• Symantec ha publicado actualizaciones para los productos afectados, debiéndose actualizar SEPM y SEP a la versión 12.1-RU6-MP3. En el caso concreto del CVE-2015-1492, para mitigarlo completamente hay que actualizar a RU6-MP3 uno de los extremos de la conexión cliente-servidor. Los administradores pueden elegir actualizar únicamente el servidor SEPM o el cliente.
• Los parches están disponibles en la siguiente página: Symantec File Connect https://symantec.flexnetoperations.com/

Más información

• Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Elevation of Privilege Issues http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20151109_00

Fuente: INCIBE

XEN Y CITRIX XENSERVER. Vulnerabilidad de denegación de servicio

El equipo de seguridad de Citrix ha publicado una serie de actualizaciones que corrigen una vulnerabilidad en Xen, y que por tanto afecta a algunos de sus productos, catalogada de Importancia: 3 - Media

Recursos afectados

• XenServer 6.5
• XenServer 6.2.0
• XenServer 6.1.0
• XenServer 6.0.2
• XenServer 6.0

Detalle e Impacto de las vulnerabilidades

• El fallo, que afecta a todas las versiones de Citrix XenServer 6.5 (incluida), puede ser aprovechado por un administrador del HVM guest para provocar la caída del host.
• Se ha reservado el identificador CVE-2015-5307.

Recomendación

Citrix ha publicado parches para corregir el problema:

1. Citrix XenServer 6.5 SP1: CTX202619 – https://support.citrix.com/article/CTX202619
2. Citrix XenServer 6.5: CTX202618 – https://support.citrix.com/article/CTX202618
3. Citrix XenServer 6.2 SP1: CTX202617 – https://support.citrix.com/article/CTX202617
4. Citrix XenServer 6.1: CTX202615 – https://support.citrix.com/article/CTX202615
5. Citrix XenServer 6.0.2: CTX202612 – https://support.citrix.com/article/CTX202612
6. Citrix XenServer 6.0.2 Common Criteria: CTX202613 – https://support.citrix.com/article/CTX202613
7. Citrix XenServer 6.0: CTX202611 – https://support.citrix.com/article/CTX202611
8. Las actualizaciones para Xen están disponibles en el siguiente aviso. http://xenbits.xen.org/xsa/advisory-156.html

Más información

• Advisory XSA-156  http://xenbits.xen.org/xsa/advisory-156.html
• Citrix XenServer Security Update for CVE-2015-5307 http://support.citrix.com/article/CTX202583

Fuente: INCIBE

SAP. Actualización de seguridad de noviembre de 2015

SAP ha publicado su actualización mensual que soluciona 9 vulnerabilidades en diferentes productos, catalogada de Importancia: 3 - Media

Recursos afectados

• Las vulnerabilidades afectan a diferentes productos SAP.

Detalle e impacto de las vulnerabilidades

• Aunque todavía no hay detalles públicos sobre las mismas, se trata de 2 inyecciones de código, 1 CSRF, 1 XSS, 1 recorrido de directorios y 1 divulgación de información.

Recomendación

• Se recomienda instalar las actualizaciones lo antes posible.

Más información

• SAP Security Patch Day - November 2015  http://scn.sap.com/community/security/blog/2015/11/10/sap-security-patch-day--november-2015

Fuente: INCIBE

IBM. Vulnerabilidad de denegación de servicio en WebSphere Portal

IBM ha publicado los parches correspondientes para solucionar una vulnerabilidad de denegación de servicio en IBM WebSphere Portal, catalogada de Importancia: 4 - Alta

Recursos afectados

• IBM WebSphere Portal 8.5
• IBM WebSphere Portal 8.0.0.1 (incluido Cumulative Fix CF13-CF18)

Recomendación

• Para solucionar esta vulnerabilidad se recomienda aplicar el parche PI50952. http://www.ibm.com/eserver/support/fixes/fixcentral/swg/quickorder?productid=WebSphere%20Portal&brandid=5&apar=PI50952

Detalle e Impacto de la vulnerabilidad

• Mediante el envío de peticiones maliciosas, un atacante remoto podría aprovechar esta vulnerabilidad para consumir todos los recursos de memoria causando una denegación de servicio.
• Se ha reservado el identificador CVE-2015-7419.

Más información

• Security Bulletin: Fix Available for Denial of Service Vulnerability in IBM WebSphere Portal (CVE-2015-7419) https://www-304.ibm.com/support/docview.wss?uid=swg21969906

Fuente: INCIBE

HITACHI. Actualiza solución de análisis predictivo para la seguridad pública

Hitachi Visualization Predictive Crime Analytics (PCA) aprovecha información de redes sociales y datos de Internet para identificar patrones delictivos.

Según Hitachi Data Systems (HDS) PCA es la primera herramienta de su tipo que, en tiempo real, aprovecha información de redes sociales y datos de Internet, para realizar un sofisticado análisis con el fin de tener un panorama más completo de los hechos y mejorar la seguridad pública.

El software Hitachi Visualization y sus sistemas de hardware están diseñados para ayudar a las entidades públicas y privadas a acelerar la extracción de información desde distintas fuentes de datos. Las soluciones  forman parte de la  estrategia de seguridad social enfocada al desarrollo de sociedades inteligentes más seguras, sanas y eficientes, al tiempo que ofrece mejores resultados para los negocios y sus clientes.

“La protección de las personas, bienes e infraestructura es la base para una ciudad inteligente”, comenta Ruthbea Yesner Clarke, director de investigación global de Smart cities en IDC. “Las tecnologías digitales, como la de Hitachi Data Systems, gracias al análisis en tiempo real, contribuye a iniciativas de seguridad pública para localizar, mitigar y prevenir delitos, además de hacer a nuestras ciudades lugares más seguros”.

Hitachi Visualization Suite (HVS) es una plataforma basada en la nube híbrida que integra datos capturados por sistemas de seguridad pública y sensores, con datos históricos sobre la delincuencia y contexto, redes sociales y otras fuentes. La aplicación de algoritmos de predicción espacial y temporal, ayuda a crear respuesta según el nivel de amenaza, en tiempo real, y los presenta de forma geoespacial, incluyendo mapas de calor. Así, HVS proporciona una herramienta para tener una visión crítica que mejore las capacidades de investigación y aumente la eficiencia operativa.

Los algoritmos se pueden utilizar para crear predicciones sobre dónde es probable que ocurran crímenes o saber dónde pueden ser necesarios recursos adicionales. PCA es único, ya que brinda a los usuarios una mejor comprensión de los factores de riesgo subyacentes que generan o mitiguen crimen.

La nueva versión de Video Management Platform (VMP) es una solución basada en dispositivos que ofrece la integración de datos valiosos, gestión y visualización para aplicaciones de video creados en ambientes VMware. VMP ofrece una solución llave en mano, de extremo a extremo para la gestión de video, que es altamente escalable y redundante. VMP soporta todos los principales proveedores de software de gestión de video para simplificar el almacenamiento y todos los tipos de datos de video.

Mark Jules, vicepresidente de Seguridad Pública y Visualización de datos de Hitachi Data Systems, comenta: “hoy estamos ofreciendo la posibilidad de adoptar un enfoque proactivo contra la delincuencia y el terrorismo, además de continuar innovando en torno a cómo se capturan, almacenan, transmiten y analizan los datos.”

Fuente: diarioti.com

INFORME. Brasil principal objetivo de los ciberataques en América Latina

FireEye, empresa global de seguridad avanzada de TI, que proporciona protección dinámica contra amenazas cibernéticas en tiempo real, presentó su nuevo “Reporte de Amenazas Avanzadas para América Latina”, el cual ofrece una visión general de los ataques avanzados que FireEye detectó en las redes de computadoras de Argentina, Brasil, Chile, México y Perú durante el primer semestre de 2015.

Sectores de la Industria

En términos de sectores, el de Química/Manufactura/Minería continúa siendo el más impactado por ataques en América Latina. De acuerdo al ranking de los diez sectores que más presentan infecciones por “callback” (comunicación no autorizada entre un computador víctima comprometido en una infraestructura de comando y control):

Química/Manufactura/Minería

1. Servicios Financieros
2. Energía/Infraestructura
3. Gobierno Federal
4. Bienes de consumo/Minoristas
5. Hospitales/Farmacéutico
6. Servicios/Consultoría
7. Telecomunicaciones
8. Aeroespacial/Defensa
9. Entretenimiento/Medios/Hotelería

“Es interesante destacar que los ataques contra el sector privado u organizaciones no gubernamentales -como servicios financieros, energía e infraestructura y bienes de consumo- son los mayores blancos de la región, tomando el lugar que antes tenía el sector de Gobierno (Federal, Estatal y Local). A pesar de la desaceleración de la economía en América Latina, creemos que eso indica el creciente valor de los negocios en la región para los autores de las amenazas”, señaló Freeman.

Hospedaje de infraestructura de comunicación

El reporte muestra que, con base en la cantidad de comunicaciones de comando y control, Brasil, Estados Unidos y Rusia están entre las principales naciones que se conectan con las computadoras comprometidas de América Latina.

Top 10 países que hospedan infraestructura para CnC callbacks son:

1. EUA
2. Rusia
3. Holanda
4. Alemania
5. Brasil
6. Canadá
7. Ucrania
8. Francia
9. Reino Unido
10. China

A pesar de que esas comunicaciones ofrecen una visión de dónde los cibercriminales están hospedando su infraestructura de comunicación, no necesariamente indica que ellos estén basados en esos países.

Malwares encontrados en la región

El Top 10 de las familias de malware por infección callback count encontradas en América Latina son:

1. Trojan.Kelihos
2. Malicious.URL
3. DTI.Callback
4. Backdoor.Kelihos.F
5. Malware.ZerodayCallback
6. Backoor.H-worm
7. Trojan.Necurs
8. Trojan.Rerdom.A
9. Local.Infection
10. Trojan.CryptoWall

La aparición del Trojan.CryptoWall es única entre las familias de malware comunes no asociadas con actores APT (Amenazas Avanzadas Persistentes). El CryptoWall es un ransomware bastante fácil de detectar, normalmente no se ha visto con gran impacto globalmente. Su prevalencia en América Latina muestra que los atacantes están encontrando eficacia más que suficiente en esa pieza común de ransomware para continuar usándolo para beneficio propio

El Top 5 verificado de las familias de malware de tipo APT por infección callback count:

1.  Backdoor.APT.Kaba
2. Backdoor.APT.Spynet
3. Backdoor.APT.LV
4. Backdoor.APT.Gh0stRAT
5. Backdoor.APT.XtremeRAT

Conclusiones y recomendaciones

• El reporte muestra que las organizaciones de América Latina fueron revisadas de manera creciente por amenazas avanzadas en la primera mitad de 2015. Aunque los principales malware utilizados para atacar los países no son exclusivos de la región, el uso de ellos contra otras naciones de alto valor en otras regiones, indica un aumento del valor de la información de las corporaciones latinoamericanas y los gobiernos.
• “Las empresas necesitan cerciorarse de que las herramientas de seguridad existentes estén actualizadas, pues muchos malware pueden ser fácilmente removidos con las herramientas tradicionales basadas en suscripciones. Más allá de eso, es imperativo tener un modelo de defensa que ayude a disminuir el tiempo entre la detección de un daño y su detención”, mencionó Freeman.
• Adicionalmente, el ejecutivo comentó que es tan importante contar con las herramientas de seguridad adecuadas, como alimentar la cultura de compartir información útil para todos. “Las corporaciones deben desarrollar nuevas maneras de colaborar entre sí y con grupos del sector gobierno, para compartir la experiencia e inteligencia en seguridad cibernética que posean”, completó.

Fuente: diarioti.com