30 de diciembre de 2011

TAMBIÉN LA TECNOLOGÍA “WPS”, VULNERABLE A ATAQUES

Los routers Wi-Fi que utilizan la tecnología WPS también son vulnerables a ataque según un desarrollador que  ha informado de la gran facilidad de acceso al sistema PIN del mismo.
Detalle del método de comprobación del sistema WPS
Según parece, el sistema alerta, tras comprobar los 4 primeros dígitos, en el caso de que el usuario esté fallando.En total son 8 dígitos los requeridos, por lo tanto se reduce significativamente la labor de descifrar la totalidad de números.
  • Esto implica, según advierte el desarrollador que ha descubierto la vulnerabilidad, que un “ataque por fuerza bruta” (que conlleva relativamente poco tiempo) sería suficiente para conocer los 8 números.
Reflexión final:
Según explica el desarrollador en su blog, el agujero de seguridad podría afectar a millones de dispositivos de todo el mundo en la medida que los modelos más recientes vienen con la tecnología activada por defecto. 
  • El aviso para desactivar y no usar WPS como método de acceso e identificación ha sido recogido ya por el CERT (Computer Emergency Readiness Team).
Más información

ZDNet
Blog (desarrollador)

Fuente: The Inquirer

28 de diciembre de 2011

TELÉFONOS “GSM” VULNERABLES ANTE UNA NUEVA ESTAFA

Una vulnerabilidad en la tecnología inalámbrica de la Red del Sistema Global de Telefonía o GSM, que se utiliza por el 80% del mercado total de telefonía móvil, podrían ser aprovechada por los ciberdelincuentes para enviar mensajes o llamadas a modo de estafa.
Detalle de la vulnerabilidad
  • Esta vulnerabilidad tiene que ver con que los comandos de red se envían con el más simple código informático. La gama de opciones para modificar los datos al azar puede mejorar la seguridad, pero los expertos consideran que la implementación de la protección ha variado dependiendo de los portadores.
  • Cada comando GSM tiene una extensión de 23 bytes. Este espacio da la posibilidad de modificar los datos para que sean más difíciles de interceptar, pero algunos que utilizan todo el espacio necesitan de una solución más sofisticada para su seguridad.
Reflexiones finales:
  • Según Karsten Hohl, responsable de los laboratorios de investigación en seguridad de Alemania, se han dado ataques similares antes dirigidos a smartphones. Pero esta nueva tendencia expone a cualquier teléfono móvil con tecnología GSM. Los ataques pueden dirigirse a “cientos de miles” de dispositivos en un breve espacio de tiempo, según Nohl.
  • Los estafadores hacen llamadas a números de teléfono desde sistemas telefónicos o móviles hackeados. Tras hacerse con el dinero deseado abandonan la actividad antes de ser descubiertos. Los usuarios identifican el problema cuando reciben las elevadas facturas telefónicas.

NUEVAS VULNERABILIDADES EN “WhatsApp”

Se ha informado de tres muevas vulnerabilidades en WhatsApp que podrían afectar a la integridad y confidencialidad de los datos y mensajes de los usuarios de esta aplicación.
  • WhatsApp Messenger ( WhatsApp  ), es un cliente de mensajería instantánea disponible para múltiples plataformas móviles como por ejemplo iOS, Android, BlackBerry OS, y Symbian.
  • La apliación permite el envío de mensajes de texto, imágenes, audio y videos, pudiendo ser compartido con los demás contactos utilizando el propio número de teléfono como ID y buscando automáticamente en la agenda a otros contactos que utilicen este programa.
Detalle de las vulnerabilidades reportadas:
  1. Pueden cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.
  2. Es vulnerable a ataques de fuerza bruta, la función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.
  3. No está cifrado el tráfico de datos a través del protocolo XMPP de WhatsApp, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.
Estas vulnerabilidades no tienen asignado ningún identificador CVE.
Recomendaciones:
  • La empresa desarrolladora ha impuesto, como medida de protección ante la segunda vulnerabilidad, una limitación de 10 intentos para introducir el código enviado.
  • Sin embargo no se ha pronunciado al respecto de las otras dos vulnerabilidades.
Más información:
SEC Consult SA-20111219-1 :: Multiple vulnerabilities in WhatsApp
http://seclists.org/fulldisclosure/2011/Dec/387
Fuente: Hispasec

27 de diciembre de 2011

“Apple” PATENTA BATERÍA CÉLULAS HIDRÓGENO QUE DURA SEMANAS

El combustible se introduciría mediante cartuchos, aunque no está muy claro como se eliminarían los desechos .
Esta patente –presentada ante la Oficina de Patentes y Marcas de EEUU– revela que las nuevas baterías estarían compuestas por células combustibles de hidrógeno, capaces de convertir el hidrógeno y el oxígeno en agua y energía eléctrica. De esta manera, la capacidad de la batería sería mucho mayor, pasando semanas para volver a recargarla.
Además, según señala Apple en su patente, estas células al ser minúsculas pueden hacer que las baterías de los dispositivos sean más pequeñas y ligeras. 
"Estas células combustibles pueden alcanzar altas densidades de energía, lo que potencialmente puede permitir el uso continuado de dispositivos electrónicos portátiles durante días o incluso semanas sin necesidad de que sean recargados", asegura Apple.
Siendo los  grandes beficiarios el medio ambiente y  los dispositivos como:  'smartphones', 'tablets' y ordenadores portátiles.
Más  información:
Oficina de Patentes y Marcas de EEUU
Fuente:  Europa Press.

NUEVA VULNERABILIDAD EN EL NAVEGADOR DE “Android “

Anunciada vulnerabilidad que afecta al navegador por defecto de Android.
Android es un sistema operativo basado en Linux y pensado especialmente para dispositivos móviles que desde 2005 está desarrollado por Google.
Detalle de la vulnerabilidad:
  • Este fallo permite a un atacante crear una web que en las propiedades contenga el certificado de otra.
  1. El fallo consiste en crear un iframe a una web segura. 
  2. Cuando el usuario intenta visualizar las propiedades de la web fraudulenta verá el certificado de la web contenida en el iframe.
Versiones afectadas:
  • Este fallo ha sido confirmado para las versiones 2.3.3, pero podría afectar a otras versiones.
Fuente: Hispasec

EXPERTO EN SEGURIDAD ACONSEJA DESINSTALAR JAVA

 "¿Necesita usted Java en su navegador? Hablando en serio, ¿de veras lo necesita? En caso contrario, desinstálelo", sugiere el experto en seguridad informática de F-Secure, Mykko Hypponen.
Hypponen se ha dedicado a combatir los códigos malignos por más de veinte años, y goza de amplio respecto en la industria informática. 
  •  Las críticas de Mikko Hyppönen, director científico de F-Secure, llegan a Java. El problema al que se refiere Hypponen es conocido de antes. A pesar de ser uno de los programas más propagados de Internet, la mayoría de los usuarios descuida las actualizaciones del mismo. 
Hypponen explica el riesgo de tener Java instalado en el PC (no JavaScript) con una reciente vulnerabilidad denominada Java Rhino.
  • "Esta vulnerabilidad no sólo es teórica. Es altamente real. La mayoría de los paquetes de explotación ya han incorporado este método, que da muy buenos resultados a cibercriminales.
  • Las estadísticas correspondientes a la herramienta de ataques cibernéticos Blackhole, que supuestamente ha sido desarrollada por delincuentes rusos, y comercializada en el mercado negro digital, muestra que Java preside las listas de las vulnerabilidades más explotadas. Java Rhino representa el 83,36% de las vulnerabilidades utilizadas para secuestrar PCs.
  • En comparación, las mencionadas vulnerabilidades de PDF representa el 12% del total.
Fuente: mikko.hypponen.com

25 de diciembre de 2011

DIFERENTES VULNERABILIDADES EN PRODUCTOS “ Websense “

Anunciadas  diversas vulnerabilidades en productos Websense, que podrían permitir a un atacante construir ataques de cross-site scripting, evitar restricciones de seguridad e incluso ejecutar código arbitrario en los sistemas afectados.
Detalles de vulnerabilidades
Tres de los problemas están relacionados con la interfaz web de administración de informes:
  1. El primero de ellos reside en un error no detallado que podría permitir eludir el mecanismo de autenticación.
  2. Otros dos de los problemas residen en el tratamiento de las entradas, que no son debidamente limpiadas y pueden permitir realizar ataques de cross-site scripting, con la consiguiente ejecución de código script arbitrario. 
Por último, existe un error del que no se han facilitado detalles que podría dar lugar a la ejecución de código arbitrario.
Versiones afectadas
Los problemas afectan a los siguientes productos: Websense Web Security Gateway, versión 7.6, Websense Web Security versión 7.6 y Websense Web Filter versión 7.6.
Solución
Es recomendable aplicar el Hotfix 12 para la version 7.6.2 o el Hotfix 24 para la version 7.6.0, disponibles desde:
https://www.websense.com/content/mywebsense-hotfixes.aspx
Fuente: websense

CRÍTICAS AL NUEVO MÉTODO DE AUTENTICACIÓN DE “Windows 8”

Kenneth Weiss, pionero en la industria de seguridad infórmatica por crear la herramienta RSA SecureID, ha criticado que Windows 8 presente un método de autenticación táctil basado en imágenes.
Básicamente, el sistema de autentificación que aplicará Microsoft es un método que permite el registro de los usuarios en un equipo cuando estos presionan sobre determinados puntos de una imagen en un orden determinado.
Kenneth Weiss, que dirige la empresa Universal Secure Registry actualmente, considera que no se puede tomar en serio el método, ya que es como un “juguete de Fisher-Price” y además no ofrece garantías de seguridad.
  • En cualquier caso, críticas al margen, conviene recordar que su adopción será optativa y los usuarios que lo deseen podrán seguir con la clásica contraseña de toda la vida.
  • Aunque el nuevo método de autentificación puede resultar útil para los usuarios de dispositivos como tabletas, ya que sería una fórmula que les permitirá ahorrar tiempo en el inicio de sus dispositivos móviles.
Fuente : ITProPortal

'Anonymous' SUSTRAE LA LISTA DE CLIENTES SECRETA DE UN INSTITUTO PRIVADO DE SEGURIDAD DE EEUU

'Anonymous', afirmó haber robado la lista "secreta" de clientes del instituto privado de seguridad estadounidense Stratfor y otra información confidencial como correos electrónicos y datos de tarjetas de crédito.
  • 'Anonymous' anunció en una cuenta de Twitter: “La base de datos de Stratfor nos pertenece", y  que agregó que la lista de clientes del instituto "no será privada ni secreta nunca más".
  • También colocó  en Twitter un enlace a lo que, según ellos, es la lista secreta de clientes de Stratfor, que incluye a organismos de las Fuerzas Armadas de EEUU y a compañías como American Express, Goldman Sachs y Morgan Stanley, entre otras muchas.
El presidente de la entidad, George Friedman confirmó que el sitio web de Stratfor fue asaltado y, que en consecuencia, "la operación de los servidores y del correo electrónico ha sido suspendida". 
  •  Y añadió:  "Tenemos razones para creer que los nombres de nuestros abonados corporativos se han colocado en otros sitios web".
  • Además, resaltó que la "confidencialidad" de la información de sus clientes "es muy importante" para Stratfor, por lo que se está trabajando con la policía en la investigación para ayudar a identificar a los responsables del ataque cibernético.
Fuente: www.elmundo.es

24 de diciembre de 2011

EL 79% DE LOS «CRACKS» PARA VIDEOJUEGOS PUEDEN TENER VIRUS

Un estudio también precisa que más del 50 por ciento de los juegos Android tiene acceso al número de teléfono de los usuarios
Los «hackers» aprovechan las copias ilegales y la modificación de las restricciones impuestas por los fabricantes de videojuegos para infectar los equipos.
  • Un estudio de la empresa de seguridad digital S2 Grupo asegura que el 79 por ciento de los «cracks» de videojuegos es sospechoso de contener algún tipo de virus.
  • El estudio también precisa que más del 50 por ciento de los juegos Android tiene acceso al número de teléfono de los usuarios y el 1 por ciento puede enviar SMS Premium de coste elevado.
Detalle de daños provocados por los "cracks":
En el caso de los juegos para «smartphones», el método más usado por los «hackers» es realizar cambios en las aplicaciones para añadirles funcionalidades.
  • Con estos cambios los «hackers» consiguen obtener datos privados o la posibilidad de enviar mensajes SMS Premium que generan un coste alto a los usuarios. Esto es lo que ocurre con Android.
  • Después del análisis de 3.387 juegos, se ha concluido que más del 50 por ciento tienen acceso al número de teléfono y al IME.
  •  Además, casi 1 de cada 4 programas tiene permisos para obtener la ubicación del usuarios y el 1 por ciento de los videojuegos requieren un permiso para enviar SMS para formalizar su instalación, algo que no debería solicitar.
El caso del iOS, aunque con alguna vulnerabilidad, es más seguro porque el Apple cuenta con un sistema de control del origen de las aplicaciones que prácticamente garantiza la inexistencia de programas maliciosos.
Fuente:  www.abc.es

DENEGACIÓN DE SERVICIO EN “ IBM Lotus Domino “

Anunciada una vulnerabilidad en IBM Lotus Domino 8, que un atacante podría utiñizar para provocar denegación de servicio (DoS). 
Detalles de la vulnerabilidad:
  • La vulnerabilidad, con CVE-2011-1393, reside en un error al procesar determinadas operaciones Notes RPC relacionadas con la autenticación, y podría provocar la caída del servidor Domino a través de paquetes específicamente creados.
Versiones afectadas:
  • La vulnerabilidad se ha confirmado en las versiones 8.0.x, 8.5, 8.5.1 y 8.5.2 Fix Pack 3 y anteriores.
Recomendaciones:
  • Se recomienda actualizar a la versión 8.5.2 Fix Pack 4 o 8.5.3.
Más información:
  • Security Advisory: Lotus Domino Denial of Service Vulnerability during Notes authentication processing (CVE-2011-1393)
http://www.ibm.com/support/docview.wss?uid=swg21575247
  • Lotus Domino Server RPC denial of service
http://xforce.iss.net/xforce/xfdb/71805
Fuente:  Hispasec

23 de diciembre de 2011

VULNERABILIDAD EN LOS DRIVERS DE “ NVIDIA 3D”

Un investigador de Microsoft Malware Protection Center (MMPC) ha descubierto una vulnerabilidad en los controladores NVIDIA Stereoscopic 3D (versiones 7.17.12.7536 y anteriores).
Detalles de la vulnerabilidad:
  • Los drivers permiten acceder a contenido 3D con tarjetas gráficas y monitores compatibles, para proporcionar una experiencia 3D en ordenadores con estas características.
  • El fallo de estos drivers, con CVE-2011-4784, ocurre por no filtrar adecuadamente los comandos recibidos  que podría aprovechar un atacante local para enviar comandos especialmente diseñados que se ejecutarían con permisos del sistema.
Solución:
Actulizar los controladores descargando la última versión desde la siguiente dirección:
http://www.nvidia.com/Download/index.aspx
Más información:
Microsoft Vulnerability Research Advisory:
http://technet.microsoft.com/en-us/security/msvr/msvr11-016
Fuente: Hispasec

22 de diciembre de 2011

HERRAMIENTA GRATUITA PARA LA DESINFECCIÓN DE "bootkits"

BitDefender, ha desarrollado una herramienta gratuita que permite eliminar bootkits de los PCs infectados.
Los bootkits son lo último en amenazas para PC y, sin duda, el tipo más peligroso de malware, ya que modifican el sistema desde el nivel más bajo.
Detalles del malware
  • Este tipo de malware se carga con el Master Boot Record, conocido como “sector cero" por ser el primer sector del disco duro. Es por ello, por lo que pueden saltarse los antivirus y también el proceso de validación introducido por Windows.
  • Además aunque el cifrado completo del disco duro ha sido considerado como el procedimiento más seguro para el almacenamiento de información confidencial, sin embargo, esa información se almacena también sin encriptar en el Master Boot Record, lo que significa que es transparente para el bootkit. De manera que el ciberdelincuente detrás de la infección tendrá acceso a esos datos.
Soluciones:
  • Es por eso que desde BitDefender se ha desarrollado una herramienta que puede detectar y eliminar todas las variantes conocidas de bootkits.
  •  La herramienta, disponible de forma gratuita en la sección de descargas de Malware City en versión para 32 y 64 Bits.
Para versiones de 32 bits.

Para versiones de 64 bits.


MOZILLA LANZA LA ULTIMA ACTUALIZACION DEL AÑO

Mozilla lanza 7 siete boletines de seguridad (del MFSA2011-53 al MFSA2011-59) antes de acabar el año, que solucionan múltiples vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey).

Según la propia clasificación de la fundación Mozilla, cinco de los boletines han sido clasificados con un impacto "crítico", uno de ellos con gravedad "alta" y un último como "moderado".

Recomendaciones:
  • Los problemas se han corregido en Firefox 9.0, Thunderbird 9.0 y SeaMonkey 2.6, disponibles desde: http://www.mozilla.org/
Más información:

MFSA 2011-53 Miscellaneous memory safety hazards (rv:9.0)

MFSA 2011-54 Potentially exploitable crash in the YARR regular expression library

MFSA 2011-55 nsSVGValue out-of-bounds access

MFSA 2011-56 Key detection without JavaScript via SVG animation

MFSA 2011-57 Crash when plugin removes itself on Mac OS X

MFSA 2011-58 Crash scaling

MFSA 2011-59 .jar not treated as executable in Firefox 3.6 on Mac

Fuente: Hispasec

21 de diciembre de 2011

ACTUALIZACIONES PARA “Adobe Reader y Acrobat “

Adobe ha publicado una actualización para corregir dos vulnerabilidades críticas en Adobe Reader 9.x y Acrobat en diferentes plataformas, que podrían permitir a un atacante provocar denegaciones de servicio y hasta tomar el control de los sistemas afectados.
Detalle de vulnerabilidades corregidas:
  1. La primera de las vulnerabilidades, con CVE-2011-2462, el fallo reside en un problema de tratamiento inadecuado de datos del tipo U3D que puede dar lugar a errores de memoria.
  2. La segunda vulnerabilidad, con CVE-2011-4369, cuyo fallo reside en un problema de corrupción de memoria en el componente PRC que podría permitir la ejecución de código arbitrario.
Versiones afectadas:
  • Adobe Reader X (10.1.1) y versiones anteriores 10.x para Windows y Macintosh
  • Adobe Reader 9.4.6 y versiones anteriores 9.x para Windows, Macintosh y UNIX
  • Adobe Acrobat X (10.1.1) y versiones anteriores 10.x para Windows y Macintosh
  • Adobe Acrobat 9.4.6 y versiones anteriores 9.x para Windows y Macintosh
  • Adobe estima que no existe un riesgo inmediato para los usuarios de Adobe Reader y Acrobat X para Windows (con Modo Protegido/Vista Protegida activo), Adobe Reader y Acrobat X (y versiones anteriores) para Macintosh, y Adobe Reader 9.x para UNIX basados en los exploits actuales y patrones de ataques históricos
Recomendaciones:
  •  Adobe solo ha publicado actualizaciones para Adobe Reader y Acrobat 9.x para Windows. Se recomienda a todos los usuarios de Adobe Reader y Acrobat 9.4.6 (y versiones 9.x anteriores) para Windows la actualización a la versión 9.4.7.
  • Los usuarios de Adobe Reader o Acrobat 9.x para Windows pueden utilizar el mecanismo de actualización incluido en el propio programa (Ayuda/Buscar actualizaciones), o descargarlas desde:
Para Adobe Acrobat 9.x para Windows
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Más información:
Security updates available for Adobe Reader and Acrobat 9.x for Windows
http://www.adobe.com/support/security/bulletins/apsb11-30.html
Fuente: Hispasec

NUEVO MALWARE SECUESTRADOR DE ARCHIVOS

BitDefender ha localizado un nuevo ejemplar de malware diseñado para bloquear, cifrándolos, los archivos que encuentre en los ordenadores que infecte.
Una vez hecho esto, muestra al usuario una web en el que se le explica cómo recuperar los archivos dañados: basta con pagar 69 dólares estadounidenses y descargarse la herramienta que permite desbloquear los archivos.
Para demostrar que la herramienta funciona, ofrecen al usuario la descarga de una versión gratuita de prueba de la misma que permite desbloquear los tres archivos que el usuario desee.
Detalle del troyano:
  • Este ejemplar de malware, detectado por BitDefender como Trojan.Crypt.VB.U, es lo suficientemente cuidadoso para no bloquear los archivos del sistema con extensiones. exe,. ini. sys. com,. bat. dll, msi. o ocx., garantizando así que el sistema siga funcionando
  • El troyano, se transmite por correo electrónico y webs infectadas. Las nuevas versiones son más eficientes que las anteriores, ya que sólo seleccionan y bloquean algunos archivos vitales de la carpeta de aplicaciones y no todos. Además, casi todas las carpetas que no son críticas son bloqueadas. 
Recomendaciones:
  • Para protegerse de este tipo de ataques, BitDefender recomienda tener instalada una solución de seguridad en el equipo y, sobre todo, desconfiar de los emails no solicitados que lleguen a su bandeja correo electrónico, no siguiendo links ni descargando archivos adjuntos que incluyan.
Fuente: http://www.malwarecity.es

NUEVA VULNERABILIDAD EN WINDOWS 7 (64-bit)

Expertos de Secunia han descubierto una vulnerabilidad en la versión de Windows 7 de 64-bit, que permite inyectar y ejecutar código malicioso en los equipos a través de Safari.
Las consecuencias del “exploit” para los usuarios no son críticas, ya que simplemente el sistema operativo se quedaría colgado con la tradicional “pantalla azul de la muerte”.
WebDevil,  el experto que descubrió el tema, explica que el origen de la vulnerabilidad se encuentra en la función NtGdiDrawStream.
  • Además, en h-online aclaran que el exploit genera un error de memoria en el archivo de sistema win32k.sys, fallo que se origina si se carga en Safari un archivo html que contiene un IFrame malicioso.
  • También  desde Secunia aseguran que de momento solo han detectado el problema en aquellos equipos que tienen la versión de 64-bit de Windows 7 y el navegador de Apple instalado.
Fuente: H-online

17 de diciembre de 2011

NUEVO ALGORITMO QUE MEJORA LAS BÚSQUEDAS EN INTERNET

Investigadores españoles de la Universidad Complutense de Madrid, crean un algoritmo cuántico para hacer búsquedas en internet similar al que utiliza Google, pero que funciona a una velocidad mucho mayor.
Estos investigadores han presentado una nueva teoría en el campo de los algoritmos de búsqueda en la web. Se trata de una “versión cuántica” de un algoritmo de búsqueda, similar al que utiliza Google, pero que funciona a una velocidad mucho mayor. Si bien por ahora solo se lo ha empleado en pequeñas redes, tiene el potencial de convertirse en el modelo a seguir para los buscadores del futuro. 
Actualmente, el algoritmo que emplea Google se basa en un sistema llamado PageRank, que proporciona un “puntaje” a cada página basado en la cantidad y “calidad” de los enlaces que se dirigen hacia ella. Cuanto más enlaces se dirijan a tu web, y cuanto mayor sea el numero de ellos que provienen de un sitio con PageRank alto, mejor será tu posición dentro del listado de resultados que arroja el buscador. 
Partiendo del enfoque de Google los científicos españoles, desarrollaron una versión cuántica del algoritmo, y publicaron los resultados en un artículo titulado «Google en una red cuántica», el pasado 9 de diciembre. 
Lo que destaca en el trabajo de estos dos españoles es la velocidad con la que el algoritmo resuelve la búsqueda y presenta los resultados. En las gráficas de rendimiento puede verse como el nuevo sistema producen resultados mucho más rápido que los algoritmos clásicos.
Sería muy complejo explicar en detalle cómo hace su magia este algoritmo cuántico, pero sus autores lo explican como una “cuantificación del protocolo de PageRank”. En sus propias palabras:
«Han existido versiones anteriores de nuestro trabajo, quizás más modestas y diseñadas para el mundo real, otras están en marcha. 
Lo que introducimos es un escenario donde lo “cuántico” es realizable fuera de la red de Internet actual aunque no hay ordenador cuántico todavía disponible. Lo que hemos encontrado es una instancia de la clase de protocolos cuánticos que superan a su contraparte clásica, que puede romper la jerarquía clásica de las páginas web en función de la topología de la red».
Fuente: www.abc.es

ACTUALIZACIÓN PARA “Google Chrome”

Google ha lanzado la versión 16.0.912.63 del navegador Chrome para todas las plataformas (Windows, Mac, Linux y Chrome Frame) que corrige 15 vulnerabilidades consideradas como: 6 gravedad alta, 7 como media y 2  de nivel bajo.

Esta versión de Chrome contiene novedades sobre versiones anteriores, que incluyen mejoras en Sync y la posibilidad de crear múltiples perfiles para una única instancia del navegador.

Errores corregidos :

Los errores encontrados afectan a diferentes componentes: en libxml; en FileWatcher, un problema de falsificación de la barra de URL; en el tratamiento de SVG, de v8 i18n y de vídeo YUV. Así como diversos problemas asociados al tratamiento de PDFs.

CVE de las vulnerabilidades:

Los CVE asignados a las vulnerabilidades son: CVE-2011-3903, CVE-2011-3905, CVE-2011-3906, CVE-2011-3907, CVE-2011-3908, CVE-2011-3909, CVE-2011-3910, CVE-2011-3911, CVE-2011-3912, CVE-2011-3913, CVE-2011-3914, CVE-2011-3915, CVE-2011-3916, CVE-2011-3917 y CVE-2011-3904.

Actualización :

Chrome se actualizará automáticamente en los equipos así configurados.

Más información:

Stable Channel Update
http://googlechromereleases.blogspot.com/2011/12/stable-channel-update.html

Fuente: Hispasec

15 de diciembre de 2011

MICROSOFT HA RECONOCIDO UN FALLO EN LA MENSAJERIA DE “Windows Phone”

El fallo ha sido descubierto por Khaled Salameh, que con el apoyo del site WinRumors, ha demostrado una vulnerabilidad en la mensajería de Windows Phone a través de un ataque de denegación de servicio.
Detalle de la vulnerabilidad
  • El ataque DDoS funciona al enviar a un teléfono Windows Phone un SMS especialmente creado para poner en jaque el sistema.
  • Este mensaje, que también podría ser enviado a través del chat de Facebook o de Windows Messenger, consigue que el dispositivo se reinicie y que deje de funcionar la mensajería.
Dispositivos  afectados:
  • En principio, este fallo afecta a todos los smartphones gobernados por el SO Windows Phone .
  • Aunque  WinRumors aseguran que el ataque no se limita a dispositivos específicos y creen que el origen del problema reside en “la forma en que el hub de mensajería de Windows Phone gestiona los mensajes”.
Respuesta oficial:
  • Microsoft  reconoce la existencia del bug: “Somos conscientes del problema y nuestros equipos de ingeniería lo están examinando”, ha señalado Greg Sullivan, responsable de producto de Windows Phone, “una vez que tengamos más detalles, tomaremos las medidas apropiadas para asegurar que los clientes están protegidos”.
Fuente: The Inquirer

Actualización del kernel de Windows contra el troyano “Duqu”

Microsoft  ha lanzado un parche incluido en los boletines de seguridad de diciembre con  boletín MS11-087 que actualiza el kernel de Windows y corrige  una vulnerabilidad crítica.
La vulnerabilidad corregida permitía  la ejecución remota de código arbitrario, pero su importancia capital radicaba en la utilización de forma activa por parte del troyano Duqu.
Detalles de la vulnerabilidad:
  • La vulnerabilidad corregida, clasificada con CVE-2011-3402, reside en el tratamiento incorrecto de un archivo de fuentes TrueType específicamente creado.
  • El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar fuentes TrueType permite que una aplicación eleve privilegios y consiga control total del sistema.
Recomendación:
La actualización puede descargarse desde http://technet.microsoft.com/es-es/security/bulletin/ms11-087  en función de la versión de Windows o a través de Windows Update.
Fuente: Hispasec

30 de noviembre de 2011

DESCUBIERTO 'software espía' PREINSTALADO EN MILLONES DE MÓVILES EN EEUU

Trevor Eckhart , desarrollador especializado en Android, ha denunciado públicamente la existencia de un programa, preinstalado de forma oculta en muchos modelos de teléfonos móviles en EEUU, que registra una gran cantidad de datos de usuarios para enviarlos a continuación a los operadores.
El experto, descubrió su funcionamiento y pudo constatar que dicho 'software' registraba una importante cantidad de datos, algunos de ellos protegidos por las leyes sobre privacidad, incluso el contenido mismo de las comunicaciones.
El software creado por CarrierIQ, compañía que proporciona datos para estadísticas a los principales operadores estadounidenses. Operadores como Verizon o Sprint utilizan sus servicios.
Según la compañía, este programa se encuentra implementado en más de 140 millones de móviles con Android, además de dispositivos Nokia y BlackBerry, y en principio no es utilizado por operadores europeos.
Eckhart, que calificó al 'software' como un auténtico 'rootkit' y demostró hasta qué punto el programa registra de forma constante prácticamente cualquier actividad que el usuario realiza con su dispositivo, sin que el usuario se dé cuenta.
La propia compañía publicó una carta en la que explica que su 'software' solo es para mejorar el funcionamiento de las redes. También niega que proporcione en tiempo real datos a sus clientes, los operadores, así como que venda esos datos a terceros.
No obstante, un vídeo publicado esta misma semana muestra cómo el programa efectivamente tiene capacidad para, entre otras cosas, registrar el contenido de los mensajes SMS, así como datos de localización geográfica e incluso la actividad en un navegador web conectado a un sitio a través de una conexión segura 'https'

Fuente: www.elmundo.es

NO HUBO CIBERATAQUE EN LA PLANTA DE AGUA DE ILINOIS EN EEUU

El mal funcionamiento de una planta de agua en el estado de Illinois fue causado, según los investigadores, por un contratista de la misma compañía de viaje por Rusia y no por ciberataque.
Según el Washington Post, que cita fuentes de la investigación federal, no se han programas maliciosos en los sistemas de la planta, instalación pública cercana a la ciudad de Springfield.
El contratista que accedió a la planta de aguas se encontraba en Rusia por motivos personales, por lo cual no se puede califir como una 'ciberintrusión' no autorizada.
La sospecha de que podría tratarse de una 'ciberintrusión' terrorista se planteó en un informe preliminar del Centro de Terrorismo e Inteligencia de Illinois, al que tuvo acceso el experto en la protección de infraestructuras frente a posibles ataques cibernéticos Joe Weiss.
Aunque, funcionarios del Departamento de Seguridad Nacional a cargo de la seguridad de los controles industriales en todo el país advirtieron desde el principio que en el informe no era demasiado creíble.

Fuente: Washington Post

29 de noviembre de 2011

EL PROTOCOLO “IPv6” EN LA DIANA DE LOS “hackers“

El protocolo IPv6, que ofrece la conocida como autoconfiguración “stateless”, ha aumentado el riesgo de las webs a ser el blanco de los cibercriminales, según los expertos.
El Protocolo para Red Distribuida (NPD) que emplea IPv6, mal gestionado, puede desembocar en un ataque procedente del router que podría conectarse a las redes empresariales y obtener el control sobre los dispositivos que estuvieran conectados en ese momento.
El problema solo afecta a aquellos que posean routers para IPv6, ya que los de IPv4 no se pueden conectar a redes que trabajen con el nuevo protocolo.
Eric Vyncke, ingeniero de Cisco explica que han observado cómo han aumentado en los últimos tiempos los bots que utilizan IPv6 para comunicarse con su bot Master.
Fuente : ITProPortal

ACTUALIZACIÓN DEL KERNEL PARA “Red Hat Enterprise Linux 6 “

Red Hat ha lanzado una actualización del kernel para toda la familia Red Hat Enterprise Linux 6 que corrige 12 vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, revelar información sensible o evitar determinadas protecciones de seguridad.
Detalle de las vulnerabilidades corregidas:
  • Los problemas corregidos se deben a errores en IPv6; en las implementaciones CIFS (Common Internet File System), FUSE (Filesystemin Userspace) y EFI GUID PartitionTable (GPT); en el driver b43; en el acceso a estadísticas I/O del subsistema taskstats y por último en la herramienta perf perteneciente a la implementación PerformanceEvents.
  • Además se han solucionado otros fallos de menor importancia.
  • La lista de CVEs relacionados son: CVE-2011-1162, CVE-2011-1577, CVE-2011-2494, CVE-2011-2699, CVE-2011-2905, CVE-2011-3188, CVE-2011-3191, CVE-2011-3353, CVE-2011-3359, CVE-2011-3363, CVE-2011-3593 y CVE-2011-4326. 
Recomendaciones:
Como siempre se recomienda la actualización de forma inmediata que se encuentra disponible desde Red Hat Network.
Más información:
Important: kernel security and bug fix update     https://rhn.redhat.com/errata/RHSA-2011-1465.html
Fuente: Hispasec

GRAVE FALLO DE SEGURIDAD EN “Facebook”

Alfredo Arias, aficionado a las redes sociales, ha decubierto este fallo que afecta al sistema de mensajes privados de Facebook  y permite enviar un texto suplantando la identidad de cualquier usuario.
Arias asegura que “es realmente sencillo” aprovechar esta vulnerabilidad y para demostrarlo explica los pasos que hay que seguir para enviar mensajes privados haciéndose pasar por otra persona creando un formulario web.
“Creo que es una vulnerabilidad importante ya que (pese a ser delito) lo sencillo que es crear un formulario o falsificar el remitente de correo”, explica Arias en su blog, “lo que se puede llegar a hacer con esto es inimaginable”.
Este apasionado de las redes sociales se ha puesto en contacto con el equipo de seguridad de Facebook para informarles del fallo aunque por el momento no ha recibido respuesta alguna.

28 de noviembre de 2011

VULNERABILIDAD EN UBUNTU

Una Vulnerabilidad detectada en el Centro de Software de Ubuntu que permitía falsificar aplicaciones, ha sido corregida recientemente
El Centro de Software de Ubunutu está encargado de  la descarga, instalación y gestión centralizada de aplicaciones por parte del usuario.
Detalles de la vulnerabilidad:
  • La vulnerabilidad (CVE-2011-3150), debida a la incorrecta validación de los certificados al realizar conexiones seguras, permitiría falsificar aplicaciones, a través de un ataque MITM (man in the middle), facilitando que un usuario descargara e instalara aplicaciones especialmente modificadas haciéndolas pasar por oficiales de Ubuntu.
  • Parece un error que consigue un efecto parecido al "Evilgrade".
Recomendaciones y versiones afectadas :
  • Las versiones afectadas son 12.04, 11.10, 11.04 y 10.10.
  • Se recomienda aplicar los parches disponibles a través del Gestor de Actualizaciones.
Más información:
USN-1270-1: Software Center vulnerability
http://www.ubuntu.com/usn/usn-1270-1/
Fuente: Hispasec

ACTUALIZACION PARA “Apache 2.x” NO CORRIGE VULNERABILIDAD TOTALEMENTE

En octubre se avisó de una vulnerabilidad en “Apache 2.x” que permitiría a un ciberdelincuente acceder a partes de la red del servidor privadas ( no accesibles al público), a través de un fallo en la directiva "RewriteRule" del módulo "mod_proxy".
El parche anterior no soluciona totalmente la vulnerabilidad encontrada (CVE-2011-3368) puesto que no se llegaron a comprobar las URI basadas en esquemas. Por tanto, se podría volver a acceder de nuevo a partes sensibles de la red interna del servidor si las reglas del proxy inverso no se encuentran bien configuradas (como ocurría con la vulnerabilidad anterior).

Más información:

[RFC] further proxy/rewrite URL validation security issue (CVE-2011-4317)
http://marc.info/?l=apache-httpd-dev&m=132205829523882&w=2

Revelación de información a través de 'mod_proxy' en Apache 2.x
http://unaaldia.hispasec.com/2011/10/revelacion-de-informacion-traves-de-en.html

Apache HTTP Server Reverse Proxy/Rewrite URL Validation Issue
https://community.qualys.com/blogs/securitylabs/2011/11/23/apache-reverse-proxy-bypass-issue

Fuente: Hispasec

25 de noviembre de 2011

INTECO AVISA DE UN VIRUS SUPLANTADOR DE LA POLICIA

El Instituto Nacional de Tecnologías de la Comunicación Español  (INTECO) avisó que un nuevo malware, del tipo ransomware,  que afecta a  sistemas windows, suplanta a la Policía Nacional, tras lo cual impone una multa de cien euros asegurando que en un rastreo de su sistema le ha encontrado contenido pedófilo.
Modus Operandi
  • El virus actúa bloqueando el ordenador y posteriormente mostrando un mensaje en el que aparece el escudo del Cuerpo Nacional de Policía y la bandera de España para engañar al usuario suplantando la identidad de un agente, ha concretado el INTECO en un comunicado.
  • El contenido del mensaje advierte de que la dirección IP del equipo ha sido detectada por la Policía en varias web de violencia de menores, así como descargando contenido pedófilo.
  • A continuación, se indica que por la infracción debe abonarse una multa de cien euros y el usuario recibe unas sencillas instrucciones para que realice el pago.
Solución propuesta por INTECO:
  1. Reiniciar el equipo
  2. Presionar F8 (antes de que aparezca la pantalla de inicio de Windows) para entrar en el menú de opciones avanzadas de Windows
  3. Seleccionar la opción: "Modo seguro" (Safe Mode)
  4. Escribir la palabra "regedit" en Inicio --> Buscar
  5. Ejecutar "regedit.exe"
  6. Ir a la clave de registro -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  7. Localizar la clave "Shell" y remplazar el valor por "Explorer.exe"
Fuente: INTECO

24 de noviembre de 2011

VULNERABILIDAD REMOTA DEL CLIENTE “iPrint de Novell”

Novell ha lanzado una actualización que solventa una vulnerabilidad en Novell iPrint Client para Windows, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.
Detalle de la vulnerabilidad:
  • El problema (con CVE-2011-3173), que fue reportado a través de TippingPoint's Zero Day Initiative (ZDI-11-309), reside en el componente nipplib.dll y permitiría a un atacante crear código HTML malicioso que al cargarlo el usuario atacado ejecutar código arbitrario en el sistema afectado. El código se ejecuta con los privilegios del usuario atacado.
Solución:
  • Se recomienda actualizar a Novell iPrint Client versión 5.72. 
http://download.novell.com/Download?buildid=bSpj4nhVEZ0~
Más información:
  • Novell iPrint Client nipplib.dll GetDriverSettings Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7009676
  • Novell iPrint Client nipplib.dll GetDriverSettings Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-11-309/
Fuente: Hispasec

22 de noviembre de 2011

SE MULTIPLICA EL MALWARE CONTRA “Androit y los Mac de Apple”

Según un estudio de Kaspersky sobre Malware en 2011, en el último trimestre  ha habido un aumento del 300% en el número de intentos de infectar los estos dispositivos con falsos programas antivirus rogue.
  
Malware para Mac de Apple 
  • Durante ese mes se descubrió una nueva versión del troyano para Mac OS X Flashfake, Trojan-Downloader.OSX.Flashfake.d, cuya función principal es descargar ficheros. 
  • Éste aparece a través de la instalación de Adobe Flash Player, aunque se ha agregado una nueva funcionalidad para OSX. En ese sentido, Apple ya agregó a estos dispositivos un sistema de protección contra programas maliciosos, denominado 'Xprotect'. 
  • Este último troyano descubierto podía dejar fuera de servicio este antivirus y por tanto, "romper" estos ficheros. Si esto ocurre, la protección no recibiría actualizaciones de Apple y la efectividad de 'Xprotect' sería completamente nula, algo que no previeron los programadores. Una vez activado en el ordenador este troyano, no solo se protege de ser eliminado, sino que también conlleva a que el sistema sea vulnerable ante otros virus que la protección integrada debería detectar.
Otras conclusiones del Estudio
  1. Además el estudio también ha revelado que el número total de malware para Android ha alcanzado el 46,9 % . Con estos datos se puede augurar que los próximos creadores de virus se dirigen hacia este sistema operativo. En ese sentido, este informe desvela que 1.916 variantes de programas maliciosos eran de Android pertenecientes a 92 familias diferentes.
  2. En cuanto a J2ME, se descubrieron 1.610 variantes en 60 familias, lo que supone un 40 por ciento del total de virus.
  3. Symbian, por su parte, ocupó el 10,7 por ciento y Windows Mobile solo el 2 por ciento de este total.
  4. Aparición del programa troyano Duqu, Los ficheros de Duqu, descubiertos en Hungría, contenían un módulo adicional, un troyano-espía, el cual tiene la capacidad de interceptar los datos que se introducen mediante el teclado, hacer capturas de pantalla, recopilar información sobre el sistema, entre otras. Por tanto, su objetivo es hacer espionaje industrial, y no sabotaje (como en el caso de Stuxnet).
Fuente: www.abc.es

VULNERABILIDAD DE “Zenprise Device Manager” PERMITE BLOQUEAR O ESPIAR REMOTAMENTE DISPOSITIVOS MOVILES.

Descubierto un fallo en Zenprise Device Manager que permitiría realizar un ataque para robar las credenciales del panel de administración.

Descripción
  • Zenprise Device Manager es una gestor de dispositivos móviles (MDM) que consta de un software que se puede utilizar para gestionar la red de dispositivos móviles de la empresa.
  • El administrador de dispositivos Zenprise interfaz web es vulnerable a los ataques (CSRF)
  • Un ataque CSRF con éxito contra un usuario administrador permite a un atacante remoto ejecutar comandos como usuario administrador en cualquier dispositivo gestionado por el Administrador de dispositivos Zenprise.
Impacto
  • Si un usuario conectado como administrador resulta engañado para visitar una URL especialmente diseñada, un atacante remoto puede ser capaz de acceder a cualquier dispositivo gestionado como administrador.
  • El atacante puede realizar cualquier acción como administrador pudiendo incluso de forma remota borrar los datos del dispositivo.
Solución
  • Aplicar una actualización.- Zenprise ha lanzado un parche para solucionar este problema. Los clientes actuales pueden encontrar más información sobre esta vulnerabilidad y el parche en el centro de los clientes Zenprise.
Referencias:

http://www.kb.cert.org/vuls/id/584363
http://www.zenprise.com/products/zenprise_device_manager/
http://www.zenpriseportal.com/patches/ZP_SecPatch_618_9995.zip
http://cwe.mitre.org/data/definitions/352.html

Fuente: www.kb.cert.org

NUEVO CHIP “Wi-Fi” QUE LLEGA A “1,5Gbps”

Rohm, fabricante japonés, informó del desarrollo de un avanzado chip que ha logrado la transmisión de datos por vía inalámbrica a una velocidad de 1,5Gbps.
La empresa de componentes japoneas asegura que esa velocidad es la más alta registrada hasta la fecha y anuncia que en el futuro se podrán alcanzar los 30 Gbps.
El experimento fue realizado en colaboración con investigadores de la universidad de Osaka y se empleó:
  1. Para la transmisión de datos, un dispositivo semiconductor que transmite los datos a través de las conocidas como ondas terahertzianas. 
  2. Para la recepción de datos, una microantena de 2cm de largo y 1 cm de alto.
Rohm espera comenzar la fabricación de los nuevos chips para dentro de tres o cuatro años y calculan que los costes de cada uno de los chip serán de varios cientos de yenes, que  teniendo en cuenta el cambio actual (cien yenes equivalen a 1,04 euros), el precio parace prometedor.

Fuente: TechCrunch

21 de noviembre de 2011

NUEVAS VERSIONES QUE ACTUALIZAN “Joomla!”

Se han lanzado las nuevas versiones de Joomla! 1.5.25 y 1.7.3, que solventa dos graves vulnerabilidades.
Joomla! es un sistema de gestión de contenidos y framework web muy popular para la realización de portales web. Cuenta con una la gran cantidad de extensiones de fácil integración que le proporcionan un gran potencial.
Detalle de vulnerabilidades: 
  • La primera vulnerabilidad corregida permitía predecir una contraseña cuando es regenerada por el sistema.
  • La segunda vulnerabilidad solucionada, afecta a las ramas 1.7.x y 1.6.x. Consistía en un “cross site scripting” provocado por un error en el filtrado de los parámetros que recibe la aplicación. Esto permite ejecutar código javascript a través de una url especialmente diseñada.
Recomendaciones.
Actualizar a las versiones 1.5.25 ó 1.7.3 que solucionan estos problemas.
Más información:

Joomla Released :
Security advisories:
Fix commit:

Fuente: Hispasec

NUEVO SUPERCHIP DE 50 NÚCLEOS DE INTEL

Knights Corner, el nuevo superchip puede generar 1 teraflop de poder de procesamiento.
Knights Corner, el primero de la serie de microprocesadores MIC de Intel,  de tamaño similar a un microprocesador convencional y con más de 50 núcleos puede generar 1 teraflop de poder de procesamiento en una estructura de 22nm. 
  •  La estructura de este nuevo microprocesador es de 22 nanómetros que Intel presentó en la SC ’11 y que promete sobrepasar la modesta cantidad de 1 TFLOPS de operaciones de punto flotante. 
  • Este sistema de procesamiento está incluido en la arquitectura MIC (many integrated core) de Intel y se encargará de tareas de alta complejidad computacional como las que corresponden a la topografía, sismografía, simulación de escenarios y todas esas actividades que estás acostumbrado a leer junto a un artículo de un superordenador. 
  • Knigths Corner, sería el primer producto manufacturado con la etiqueta de la arquitectura MIC, que promete retrocompatibilidad con x86, aun utilizando tecnología 3D Tri-gate de 22nm.
Fuente: www.abc.es

LOS MODELOS “ BlackBerry Bold 9900 y 9930” FALLAN

 Responsables de Research In Motion reconocieron un problema en BlackBerry Bold 9900 y 9930 que hace que dichos terminales dejen de funcionar después de haber estado cargando por la noche.
Por ahora se desconoce el origen de este fallo y la cantidad de usuarios que se ven afectados. 
Desde RIM sus responsables, no han querido dar más explicaciones, pero indicaron que se estaba trabajando en una solución que sería una actualización de software a la mayor brevedad posible.
Los dispositivos, BlackBerry Bold 9900 y 9930, cuentan con pantalla táctil y teclado físico QWERTY, y presumían de ser los más delgados de esta marca durante su presentación el pasado mes de agosto.
Además, lograron generar una notable expectación al contar con la nueva versión del sistema operativo BlackBerry 7.
Fuente : CrackBerry, The Verge

19 de noviembre de 2011

CIBERATAQUES EN EEUU Y NORUEGA

El FBI trabaja en un informe que afirma que 'ciberintrusos' lograron desactivar una bomba de un servicio de distribución de agua la pasada semana en el estado de Illinois (EEUU) 
El Departamento de Seguridad Nacional y el FBI están trabajando sobre el asunto, según el portavoz del primero, Peter Boogaard, quien puntualiza que "en estos momentos no hay datos creíbles o corroborables que indiquen un riesgo para la integridad de infraestructuras críticas o que exista una amenaza para la seguridad pública".
  • De confirmarse podría suponer el primer 'ciberataque' procedente del extranjero contra una infraestructura industrial en EEUU.
  • El incidente tuvo lugar el 8 de noviembre, según describe el informe del Centro de Terrorismo e Inteligencia de Illinois según cita el experto en protección de infraestructuras frente a posibles ataques cibernéticos, Joe Weiss.
  • Los atacantes obtuvieron acceso a la red interna de un servicio público de agua en una comunidad rural del oeste la capital del estado, Springfield, con unas claves robadas de una empresa que desarrolla 'software' utilizado a los sistemas de control industrial, afirma Weiss, que no explica el motivo de los atacantes.
  • Según el propio Weiss, ese mismo grupo podría haber atacado otros objetivos industriales o de infraestructura, o bien podría estar planeando volver a utilizar claves de acceso robadas de la misma compañía de desarrollo de 'software'.Weiss, que cita el informe sobre el ataque, afirma que no está claro si hay otras redes 'hackeadas' como resultado de de la vunlnerabilidad explotada del 'software' de control.
  • Además, añade el experto que el fabricante de dicho 'software' mantiene el acceso a estas redes por parte de sus clientes, para que el personal de éstos pueda ayudar a apoyar a los sistemas."
  • Una compañía tecnológica y otra de reparación de sistemas revisaron los sistemas afectados y concluyeron que el ataque había provenido de un ordenador situado en Rusia", comenta Weiss.

    La seguridad de SCADA
Grupos de expertos en seguridad cibernética aseguran que el presunto ataque pone de manifiesto el riesgo real de que los atacantes pueden entrar en lo que se conoce como Control de Supervisión y Adquisición de Datos (Supervisory Control and Data Acquisition, o SCADA). Se trata de sistemas altamente especializados que controlar infraestructuras críticas, desde instalaciones de tratamiento del agua hasta plantas de productos químicos y reactores nucleares, pasando por gasoductos, presas y control de líneas ferroviarias.

Otros ataques
  • En Noruega la Agencia Nacional de Seguridad ha reconocido que varias industrias estratégicas del país han sido víctimas de un sofisticado ciberataque que ha logrado robar información sensible y secreta sobre negociaciones en curso.
  • Las autoridades aseguran que por el momento hay infecciones y robos de datos confirmados en una decena de empresas pero sospechan que según avance la investigación se podrían descubrir muchos otros casos.
  • El modus operandi descrito por las autoridades coincide con el de Duqu, aunque aún no se ha confirmado si este malware es el causante de los males en Noruega.
Fuente: Reuters, BBC


17 de noviembre de 2011

ACTUALIZACION QUE CORRIGE VULNERABILIDAD EN SERVIDORES “DNS BIND 9 “

El ISC (Internet Systems Consortium) ha publicado un parche que corrige una vulnerabilidad 0-day de denegación de servicio en el servidor DNS BIND 9.
BIND 9 es uno de los servidores DNS más extendidos que tiene su origen en el proyecto de cuatro estudiantes de la universidad de Berkley a principio de los años 80. BIND es código libre, publicado bajo la licencia BSD.
La vulnerabilidad, hasta ahora desconocida, fue descubierta reportada por varias organizaciones independientes al ISC como un error que afectaba a las consultas recursivas.

ISC no ha publicado detalles técnicos sobre el parche aplicado e incluso se encuentra en fase de estudio sobre la naturaleza y forma del o los exploits usados en los ataques que se han observado.
  1. Sobre el parche, ISC comenta que se centra en la parte de código que procesa la consulta a la caché de la petición efectuada por el cliente.
  2. Por una parte se impide a la caché devolver datos inconsistentes (un registro no válido) y por otro lado se previene la caída del proceso 'named' (nombre del proceso de BIND) si se ha detectado una petición de registro con formato no válido.
  3. El error es explotable en remoto y no precisa de autenticación previa.
Versiones afectadas y recomendaciones:
  • La vulnerabilidad, con el CVE-2011-4313, afecta a las versiones: 9.4-ESV, 9.6-ESV, 9.7.x, 9.8.x.
  • Los parches están disponibles desde la página web del fabricante.
Más información:
BIND 9 Resolver crashes after logging an error in query.c
http://www.isc.org/software/bind/advisories/cve-2011-4313

Fuente: Hispasec

LOS ANTIVIRUS GRATUITOS PARA Android NO PROTEGEN

La organización alemana independiente AV-test.org, ha elaborado un informe que revela que casi todos los antivirus gratuitos para Android son inservibles.  
Resultados del informe:
  • De los siete productos considerados en el análisis de AV-Test.org, todos disponibles vía Android Market, ninguno pudo superar las pruebas de detección.
  • El peor de todos fue "Antivirus Free", de Creative Apps, que domina su categoría al estar instalado en casi cinco millones de unidades, según las estadísticas de la propia Google.
  • Este producto no detecto ninguna de 10 aplicaciones dañinas instaladas durante la prueba. Su antivirus manual tampoco detectó siquiera uno de los 172 archivos inactivos (es decir, aún no instalados), que contenían código maligno.
  • Las alternativas tuvieron un desempeño similar, y en el mejor de los casos lograron detectar una de diez amenazas.
  • Una excepción, que le convierte en el único producto en evitar una descalificación total por parte de AV, es "Zoner AntiVirus Free", creado por una empresa del mismo nombre. Esta aplicación detectó el 32% del código maligno en modo de detección manual, junto con 8 de 10 aplicaciones malignas cuando el usuario intentó instalarlas.
Software comercial si detecta las amenazas
  • En el informe se precisa que no es imposible detectar las amenazas para la plataforma Android. AV-Test.org probó también dos productos antivirus de actores comerciales, que obtuvieron resultados mucho mejores. Las aplicaciones para Android de Kaspersky y F-Secure detectaron y procesaron todo el malware probado en las pruebas de AV-test, que anuncia una nueva comparativa de antivirus comerciales para Android.
Conclusiones del informe: 
  1. Los resultados de las pruebas de protección en tiempo real son sorprendentemente malos.
  2. En el informe, AV-Test.org escribe que "la propagación de aplicaciones antivirus que son prácticamente inservibles ponen en peligro a quienes confían en ellas".
  3. La disponibilidad y carácter abierto de la plataforma Android aparentemente la convierte en más vulnerable al malware que otros sistemas operativos móviles.
  4. Google no analiza en un grado satisfactorio las aplicaciones ofrecidas mediante Android Market. La empresa ha sido criticada por su lentitud en eliminar aplicaciones malignas una vez detectadas. Una de las razones de lo anterior parece ser que los usuarios de Android pueden instalar aplicaciones ofrecidas por multitud de desarrolladores independientes.
Para más información descargar el documento desde la siguiente dirección.
http://www.av-test.org/fileadmin/pdf/avtest_2011-11_free_android_virus_scanner_english.pdf

Fuente: Diario Tecnológico

11 de noviembre de 2011

FALLO DE “iOS” PERMITE «APLICACIONES ESPÍA» EN “App Store”

El sistema operativo de móvil (iOS) de Apple tiene un fallo que permite a los los «hackers» introducir aplicaciones en la App Store que acceden y comparten toda la información del usuario. 
Detalles del fallo:
  • El fallo ha sido descubierto por el investigador en seguridad informática Charlie Miller que en declaraciones a Forbes, afirmó que el fallo se encuentra en la firma de código en los dispositivos móviles, la medida de seguridad que permite que sólo Apple apruebe comandos para ejecutar en un iPhone o en la memoria del iPad.
  • El fallo permite introducir aplicaciones con «malware» en el App Store sin que ni Apple ni los desarrolladores lo detecten.
Detalles del programa espía de Miller en la App Store:
  • El programa «Instastock» creado por Miller aparece en la lista de cotizaciones de bolsa que a su vez comunica con un servidor en la casa del propio experto en seguridad.
  • De este modo, al descargar o instalar la aplicación en el iPhone, iPod Touch o iPad se conecta automáticamente de manera remota y muestra toda la información del dispositivo, desde los correos electrónicos, videos, fotos hasta una manipulación del sonido y la vibración.
Fuente: www.abc.es

DETECTADAS VULNERABILIDADES EN “ Mozilla Firefox y Thunderbird “

Descubiertas vulnerabilidades en Mozilla Firefox y Thunderbird que potencialmente podrían permitir la revelación de información sensible, evadir restricciones de seguridad, realizar ataques Cross-Site Scripting, ejecutar código arbitrario, elevar privilegios y causar denegación de servicio.
Firefox y Thunderbird son productos de Mozilla.Thunderbird es un cliente de correo electrónico y Firefox es el segundo navegador web más utilizado por los internautas. 
Versiones afectadas:
  • La mayoría de las vulnerabilidades descubiertas afectan a las versiones de la 3.x hasta la 7.x de Mozilla Firefox y las versiones 3.x y de la 5.x hasta la 7.x de Thunderbird.
Recomendaciones:
  • A través de la página oficial y el FTP de Mozilla se encuentran disponibles las versiones 3.6.24 y 8.0 de Firefox así como las 3.1.6 y 8.0 de Thunderbird, que corrigen las vulnerabilidades
Más información en Mozilla Foundation Security Advisories :
http://www.mozilla.org/security/announce/2011/mfsa2011-46.html
http://www.mozilla.org/security/announce/2011/mfsa2011-47.html
http://www.mozilla.org/security/announce/2011/mfsa2011-48.html
http://www.mozilla.org/security/announce/2011/mfsa2011-49.html
http://www.mozilla.org/security/announce/2011/mfsa2011-50.html
http://www.mozilla.org/security/announce/2011/mfsa2011-51.html
http://www.mozilla.org/security/announce/2011/mfsa2011-52.html
Fuente: Hispasec

9 de noviembre de 2011

¿ NOS ESPIAN CUANDO ESCRIBIMOS “EMAIL” O “ SMS” EN LUGARES PUBLICOS?

Investigadores de la Universidad de Carolina del Norte han demostrado que es posible espiar a distancia cuando escribimos "email" y "sms".
Y ello es posible gracias al nuevo software bautizado como iSpy, capaz de identificar el texto introducido en una pantalla táctil descifrando las letras que se pulsan en función del movimiento de los dedos. De esta forma, es capaz de reproducir el mensaje que está escribiendo.
Éxito garantizado al 90%:
  • “Podemos estar en el segundo piso de un edificio y leer un teléfono que esté en la planta baja”, asegura el investigador Jan-Michael Frahm.
  • Según los responsables del experimento, la probabilidad de acierto es del 90%, ya que en algunas letras cercanas puede haber errores.
  • Además de cotillear los mensajes, iSpy podría descifrar las contraseñas que los usuarios introducen para entrar en sus cuentas e incluso en sus servicios de banca online.
Distancia de captación:
  • La distancia desde la que iSpy puede llegar a funcionar depende del tipo de cámara utilizada para grabar:
  • Con una cámara de las que normalmente se integran en los teléfonos móviles se puede espiar a una distancia de 3 metros,
  • Con una cámara réflex digital HD se podrían leer mensajes hasta desde 60 metros de distancia.
Fuente: Gizmodo, New Scientist

VULNERABILIDAD EN “PhpMyAdmin”

Se ha informado de una vulnerabilidad en PhpMyAdmin que podría permitir a un atacante con permisos para la creación de bases de datos, leer ficheros arbitrarios del servidor donde se aloja la aplicación.
La vulnerabilidad ha sido descubierta por 80sec y publicada a través de la web china de recopilación de exploits, wooyun.org
Detalles de la vulnerabilidad:
  • El fallo se localizaría en la función 'simplexml_load_string' del fichero 'libraries/import/xml.php'. Un atacante remoto autenticado podría obtener información sensible a través de un fichero XML especialmente manipulado.
  • Junto con el advisory se ha hecho pública una prueba de concepto que demuestra la vulnerabilidad. 
Sistemas y versiones afectadas:
  • El problema está confirmado en la versión 3.4.7, aunque posiblemente afecte a otras. No se ha publicado solución oficial aún.
  • Este escenario es especialmente crítico en sistemas de hosting compartido.
    Más información en:
    http://www.80sec.com/xml-entity-injection.html

    Fuente: Hispasec

    5 de noviembre de 2011

    VULNERABILIDAD EN “Apache “

    Publicada en la página web http://www.halfdog.net/ una vulnerabilidad en Apache que afecta a la versión 2.2.20 y anteriores que permitiría elevar privilegios a un atacante con cuenta en la máquina.
    Detalles de la vulnerabilidad:
    • La vulnerabilidad se encontraría en la función 'ap_pregsub' del fichero 'server/util.c' al ser llamada por el módulo 'mod-setenvif'.
    • Causaría un desbordamiento de enteros por el que un atacante local podría ejecutar código empleando para ello un fichero .htaccess especialmente manipulado.
    • Los privilegios bajo los que se ejecutaría el código serían los mismos que el servidor Apache (habitualmente "nobody", "www", etc.). En entornos de hosting compartido, esto podría ocasionar numerosos problemas.
    • Con el ataque se podrían conseguir desde ralentizar el servidor y provocar una denegación de servicio, hasta la ejecución de código con los privilegios del servidor.
    • El atacante debe tener disponer de los permisos necesarios para crear un fichero .htaccess especialmente manipulado y el módulo mod_setenvif debe estar siendo usado por Apache.
    Recomendaciones:
    Aunque no existe solución oficial por el momento podrían aplicarse dos soluciones temporales para minimizar el daño
    1. La primera de ellas sería deshabilitar el módulo implicado.
    2. La segunda pasaría por imposibilitar el uso de ficheros .htaccess en aquellos directorios en los que los usuarios tuviesen permisos de escritura empleando para ello la secuencia "AllowOverride None".
    Más información:
    Integer Overflow in Apache ap_pregsub via mod-setenvif
    http://www.halfdog.net/Security/2011/ApacheModSetEnvIfIntegerOverflow/

    Fuente: Hispasec

    MICROSOFT EXPLICA COMO PROTEGERSE DE “DUQU”

    Microsoft publicó un boletín sobre qué vulnerabilidad aprovecha Duqu y cómo protegerse. Se trata de una elevación de privilegios en el sistema, a causa de un error en el tratamiento de ciertos tipos de fuentes.
    Detalles de la vulnerabilidad:
    • El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar ciertas fuentes permite que una aplicación eleve privilegios y consiga control total del sistema. Así, Duqu podría conseguir los permisos necesarios para incrustarse en Windows.
    Recomendaciones de Microsoft:
    • El boletín de Microsoft aconseja bloquear el acceso a la librería t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través de una contramedida, para proteger a sus usuarios aconseja limitar el acceso a una de las librerías involucradas en el procesado de las fuentes incrustadas.
    • Para aplicar la contramedida, Microsoft aconseja quitar todos los permisos de acceso a la librería t2embed.dll, situada en %windir%\system32\ en versiones de 32 bits y "%windir%\syswow64\ en versiones de 64 bits.
    Modos de aplicar las contramedidas:
    1. A través del menú contextual de seguridad del archivo (en varios pasos: tomando el control, eliminando los permisos heredados y luego negando el acceso al grupo "Todos")

    2. Por medio de la línea de comandos:
    Para XP y 2003:
    cacls "%windir%\system32\t2embed.dll" /E /P todos:N
    Para 7 y Vista:
    icacls.exe "%windir%\system32\t2embed.dll" /deny todos:(F)
    teniendo en cuenta que antes hay que hacerse dueño del archivo (en Windows 7 es posible que pertenezca al usuario TrustedInstaller, que protege el archivo y lo reemplaza de una caché en caso de que no lo encuentre). Para ello, se puede hacer por línea de comandos:
    Takeown.exe /f "%windir%\system32\t2embed.dll"
    3. Otra posibilidad, es aplicar el "Fix it" de Microsoft (un programa que automáticamente realiza estos cambios). Disponible desde: http://support.microsoft.com/kb/2639658


    Más información:

    Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege
    http://technet.microsoft.com/en-us/security/advisory/2639658

    Fuente: Hispasec

    2 de noviembre de 2011

    DUQU SE CUELA EN WINDOWS POR UNA VULNERABILIDAD NO CORREGIDA

    Los expertos siguen investigando el origen y el alcance del troyano Duqu, nombrado como sucesor de Stuxnet, que habría aprovechado una vulnerabilidad de Windows para colarse en los equipos a través de un documento de Word.

    Detalle del ataque
    • Según los investigadores, este troyano ha aprovechado una vulnerabilidad día zero hasta ahora desconocida del kernel de Windows para entrar en los equipos a través de un archivo de instalación en Microsoft Word.

    • Microsoft ya está al tanto del problema y aseguran que están trabajando para lanzar una solución en el próximo boletín de seguridad.
    Paises afectados:  
    • Los expertos han trazado un mapa para reflejar el grado de expansión de Duqu, que ya ha infectado a varias compañías de Francia, Países Bajos, Suiza, Ucrania, India, Irán, Sudán y Vietnam. Además se han registrado ataques en Austria, Hungría, Indonesia, Reino Unido e Irán, aunque aún no han sido confirmados.
    • Una vez que Duqu entra en un equipo de la empresa, es capaz de propagarse hacia el resto de ordenadores a través de unidades de red compartidas o de redes peer-to-peer.
    Más información en Symantec
    http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-exploit
    Fuente: The Inquirer

    LAS “socialbotnets” BUSCAN AMIGOS EN “Facebook”

    Un grupo de investigadores ha realizado un experimento para demostrar los peligros de las llamadas “socialbots”, redes de ordenadores zombies que buscan amigos en usuarios reales de Facebook para robar sus datos.
    ¿Qué son las “socialbots”?
    • Al igual que una botnet “tradicional”, la socialbot consiste en una red de ordenadores infectados controlada por un ciberdelicuente, pero en este caso en lugar de utilizarse para enviar spam de forma masiva se usa para hacerse pasar por usuarios reales en Facebook.
    ¿Cómo actúan las “socialbots” en Facebooks ?
    • Las “socialbots” toman el control de perfiles de Facebook e imitan la forma de actuar de los miembros de esta red social.
    • Su objetivo es convencer al mayor número posible de usuarios para que acepten sus solicitudes de amistad y poder acceder a sus datos, que después serán utilizados en campañas masivas de spam y phishing.
    • Al parecer, este tipo de programas se pueden obtener en el mercado negro de la ciberdelincuencia por tan sólo 24 dólares.
    ¿Detalles y conclusiones del experimento ?
    • Los investigadores de la Universidad de Columbia crearon un total de 102 socialbots y una “botmaster” desde la que se enviaban las órdenes a los equipos infectados.
    • El experimento se prolongó durante ocho semanas, tiempo en el que las socialbots consiguieron hacer un total de 3.055 amigos en Facebook a los que robaron 46.500 direcciones de correo electrónico y 14.500 direcciones postales.
    • El sistema de detección de fraude de Facebook no se activó en ningún momento ya que sólo enviaban 25 peticiones al día para no levantar sospechas.
    Respuesta desde Facebooks.
    • Facebook ha calificado esta investigación como exagerada y poco ética.
    • En este sentido, los portavoces de la red social sostienen que su sistema antifraude no se activó porque las direcciones IP de este experimento correspondían a las de un centro universitario de confianza.
    Fuente: BBC news

    1 de noviembre de 2011

    CIBERATAQUES CONTRA EMPRESAS QUÍMICAS

    Descubierta una red china de ciberespionaje diseñada para obtener información confidencial de empresas pertenecientes de la industria química a través de un troyano denominado “Poison Ivy”.
    La red según paece, ha estado funcionando de junio a septiembre, buscando obtener información sensible sobre “patentes, fórmulas y procesos de manufactura” de empresas que fabrican compuestos y materiales químicos avanzados.
    • El origen de estos ataques se ha encontrado en China, al norte del país desde donde se habrían enviado los correos electrónicos infectados.
    • Los emails contenían un troyano llamado “Poison Ivy” camuflado bajo la apariencia de invitaciones a eventos empresariales o actualizaciones de software.
    • Según los expertos en seguridad, el objetivo de esta red de ciberespionaje eran 48 grandes empresas, la mayoría de ellas con sede en Estados Unidos y el Reino Unido.
    • De estas compañías, al menos 29 se dedican a la investigación química, mientras que el resto pertenecen al ámbito de Defensa.
    Más información en :

    Reuters
    http://www.reuters.com/article/2011/10/31/us-cyberattack-chemicals-idUSTRE79U4K920111031

    Fuente: Hispasec