30 de diciembre de 2009

Descifrado el algoritmo que protege las llamadas del móvil

El ingeniero informático alemán Karsten Nohl ha descifrado el algoritmo utilizado para cifrar las comunicaciones del estándar GSM (Sistema Global para las Comunicaciones Móviles).

  • El anuncio fue realizado por Nohl ante 600 personas en la conferencia Chaos Communication Congress, la reunión más importante de los hackers europeos celebrada en Berlín, para demostrar que "la seguridad de GSM es insuficiente".
  • Su objetivo: "que las operadoras adopten mayores medidas de seguridad en telefonía móvil", según recoge The New York Times.
  • Nohl ha publicado el código en Internet para denunciar y alertar de la vulnerabilidad del sistema y la pérdida de eficacia del algoritmo que protege las comunicaciones GSM, desarrollado en 1988 y que todavía se utiliza para proteger la privacidad del 80% de las llamadas de móviles en el mundo.
  • La Asociación GSM considera el crackeo ilegal, resta importancia al anuncio y acusa al ingeniero de "exagerar la amenaza de seguridad".
  • Según la portavoz de la asociación, Claire Cranton "es teóricamente posible, pero prácticamente improbable".

Fuente : www.elpais.com

Vulnerabilidades DoS en Sun Java System Directory Server

Se detectaron vulnerabilidades en Sun Java System Directory Server que un atacante remoto podría aprovechar para provocar denegaciones de servicio o saltar restricciones de seguridad.

  • Se ven afectadas las versiones de Sun Java System Directory Server Enterprise Edition versiones 6.0 a la 6.3.1.
  • Se recomienda actualizar a la versión 6.3.1 y aplicar el parche 141958-01 disponible desde:

http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-141958-01-1

Fuente: Hispasec

Vulnerabilidad DoS en routers 3Com OfficeConnect

Descubierta vulnerabilidad por denegación de servicio remota en routers 3Com OfficeConnect ADSL Wireless 11g Firewall cuando maneja peticiones http específicamente construidas.

  • El problema reside en un error en el proceso del campo "Authorization" de cabeceras HTTP que podría provocar una denegación de servicio.
  • Se ha publicado un exploit público de demostración del problema.
  • Hasta el momento no existe parche oficial.

Fuente: Hispasec

Detectada una vulnerabilidad por DoS en Kerberos KDC

Se ha anunciado una vulnerabilidad por denegación de servicios en Kerberos (krb5-1.7) que podría ser empleada por atacantes remotos sin autenticar.

  • Kerberos es un protocolo de autenticación de red diseñado para ofrecer un sistema de autenticación fuerte para aplicaciones cliente/servidor utilizando criptografía de clave secreta. El Instituto Tecnológico de Massachusetts (MIT) ofrece una versión gratuita de la implementación de este protocolo.
  • Se ha confirmado que se trata de un error en la implementación de MIT krb5 (que solo afecta a krb5-1.7), y no es una vulnerabilidad del protocolo Kerberos.
  • Se ha publicado un parche para corregir este problema disponible desde: http://web.mit.edu/kerberos/advisories/2009-003-patch.txt

Fuente: Hispasec

Descubierta vulnerabilidad en servidores web de Microsoft

Ha sido descubierta una vulnerabilidad en el software ISS (Internet Information Services) de Microsoft que permite sabotear el sistema sencillamente colocando un punto y coma (;) después de un archivo con raíz .asp, .cer o .asa.

  • El problema afecta a la versión 7 de ISS. La versión más reciente, ISS 7.5, no presenta la vulnerabilidad.
  • El agujero de seguridad surge debido a la forma en que ISS gestiona el componente ";". Así, programas malignos y procesos pueden ser camuflados como archivos no ejecutables.
  • El problema fue detectado inicialmente por el experto en seguridad informática Sourosh Dalili, que lo describe en este documento (archivo PDF).

Fuente: Secunia