31 de marzo de 2011

¿ PORTÁTILES DE SAMSUNG INCLUYEN SOFTWARE ESPIA ?

Un investigador asegura haber descubierto software de ‘keylogging’ instalado en dos modelos de portátiles de Samsung, que podrían utilizarse para vigilar todas las actividades que se realicen en el ordenador de manera remota.

  • Mohamed Hassan, fundador de NetSec Consulting, ha descubierto el software StarLogger en portátiles de Samsung, los modelos R525 y 540, tras hacer una exploración con un software de seguridad en los sistemas cuando los compró el mes pasado.

  • El software StarLogger arranca cuando el ordenador está encendido y lo que hace es grabar todas las pulsaciones de teclas realizadas en el ordenador; se trata de un programa difícil de detectar y que puede enviar correos electrónicos con la información recabada sin el conocimiento del usuario.

Samsung está investigando el asunto y asegura que se ha tomado “muy en serio” las afirmaciones de Hassan, sobre todo después de que el investigador lo haya contado todo en una columna publicada en NetworkWorld.com.

Fuente: Itespresso

¿UN IRANÍ DE 21 AÑOS RESPONSABLE DEL ROBO DE CERTIFICADOS SSL?

Este hacker iraní, que dice tener 21 años, ha publicado varios mensajes en diversos foros vanagloriándose de su hazaña y tratando de convencer “a algunos estúpidos” de que él es el único responsable.

La semana pasada varios servicios como Gmail, Hotmail o Skype sufrieron un ataque en el que sus certificados SSL fueron robados, ahora un hacker asegura que ha sido el único responsable y que lo ha hecho como respuesta a Stuxnet.
El ataque ha puesto en duda la seguridad del protocolo https, la versión segura del http, que permite el cifrado de los datos.
Los expertos en seguridad sospechaban que existía un grupo organizado detrás del ciberataque, y que incluso el gobierno de Irán podría tener algo que ver.
Algunas de las compañías afectadas ya han implementado soluciones para solventar este ataque, es el caso de Google con la última actualización de Chrome.

Fuente: El País

30 de marzo de 2011

ACTUALIZACIÓN DEL KERNEL DE UBUNTU

La distribución Ubuntu ha lanzado una actualización para el kernel de las versiones 10.10 y 10.04 que solventa 57 vulnerabilidades.

Códigos de las vulnerabilidades más peligrosas:

Los códigos de las vulnerabilidades más peligrosas que podrían provocar denegación de servicio y potencialmente elevar privilegios son estos:

CVE-2010-2954; CVE-2010-2960; CVE-2010-2962; CVE-2010-2963;

CVE-2010-3080;CVE-2010-3084; CVE-2010-3442; CVE-2010-3848;

CVE-2010-3865; CVE-2010-3904; CVE-2010-4527

  • Para más información visitar la siguiente URL:

http://www.ubuntu.com/usn/usn-1093-1

Recomendaciones:

Se recomienda actualizar mediante la herramienta apt-get.

Fuente: Hispasec

ROUTERS BASADOS EN LINUX AFECTADOS POR MALWARE

La empresa de seguridad Trend Micro ha descubierto un malware que afecta a routers basados en Linux, distribuido en Latinoamérica por el momento.

Los ataques a equipamiento de red son menos habituales, pero muy efectivos, porque permite a los atacantes dirigir todo el tráfico del usuario para, por ejemplo, realizar ataques DDoS o de inyección de SQL.

Detalles del malware:

  • El malware llamado ELF_TSUNAMI.R utiliza una combinación de ataques para extenderse.
  • Además de utilizar ataques de fuerza bruta contra los routers, también es capaz de explotar un fallo en el router D-Link DWL-900AP+.
  • Por otra parte, el código añade las máquinas infectadas a una botnet a través de canales IRC.
  • Se cree que el malware es una variante de una cadena de código descubierta en 2008, pero que se ha adaptado y ahora es más eficiente.

Distribución del malware y otros dispositivos afectados:

  • La empresa de seguridad Trend Micro, que es quien ha realizado el descubrimiento de ELF_TSUNAMI.R, asegura en un blog que el malware predomina en Latinoamérica, pero que está extendiéndose a otras regiones.“
  • Los ataques también funcionan contra routers de D-Link, y estamos verificando si funcionan con otros”, dicen desde Trend Micro.

Fuente: Itespresso

29 de marzo de 2011

NUEVO ANTIVIRUS PARA “ANDROID”

Trend Micro presenta una solución de seguridad ante el incremento de amenazas web y ataques cribercriminales contra la plataforma de Google para móviles.


Trend Micro ha creado una solución denominada Trend Micro Mobile Security for Android que chequea los programas descargados en los dispositivos en busca de virus y está pensado para detectar y detener los ciberataques antes de que se produzcan.

Este sistema de seguridad está orientado a operaciones de compra y banca online, especialmente.

La firma de seguridad señala que su aplicación requiere poco espacio, garantizando la movilidad del usuario, y está específicamente diseñada para dispositivos que usan el sistema operativo de Google.

Por algo Trend Micro es la única empresa que utiliza inteligencia de seguridad basada en la nube para proteger de la actuación de códigos maliciosos a los Android.

Fuente: Eweek Europe

EL SITIO WEB DE LA “NASA” VULNERABLE A LOS CIBERATAQUES

Alonso Vidales, experto en seguridad informática, descubrió una vulnerabilidad básica en el sitio web oficial de la NASA,

"El pasado mes de septiembre descubrí un 'bug' del que informé a la NASA, y que han 'parcheado' de forma bastante cutre en los comentarios, pero que persiste en la página", comenta Alonso.

Detalle de la vulnerabilidad:

  • Es una vulnerabilidad XSS (Cross Site Scripting), que consiste en la posibilidad de introducir y ejecutar código de 'scripting' (como JavaScript) en un sitio web ajeno a través, por ejemplo, de un formulario.
  • "Si se mete un 'tag stript' en lugar del nombre y los apellidos en la página, en lugar de mostrar la cuenta de este nombre se mostrará el 'tag script' con lo que se permitirá inyectar código JavaScript desde cualquier otra página".

Fuente: El mundo

DISTRIBUYEN MALWARE A TRAVÉS DE PUBLICIDAD DE “Spotify“

Spotify retira un anuncio de su plataforma que ofrecía un antivirus gratuito, que lo que en realidad hacía era instalar malware en los equipos con S.O. Windows.


La infección se iniciaba con la reproducción del exploit que descargaba el falso programa.
“Yo no había pinchado en ningún anuncio, parece que se descargó al mismo tiempo que la primera imagen del anuncio apareció en Spotify”, explica uno de los usuarios infectados, “el virus comenzó a aparecer en mi escritorio, me decía que tenía un fallo crítico en el disco duro y que tenía que reiniciarlo”.

Al parecer, los usuarios potencialmente afectados son los que disponen de una cuenta gratuita y se conectan a través de un ordenador Windows.

Según las primeras investigaciones, el malware ha afectado principalmente a usuarios de Reino Unido y Suecia, aunque no se descarta que haya más países implicados.

Fuente: BBC

EMPRESA CHINA, INSTALA MALWARE EN MÓVILES

La aplicación de malware "Feiliu" desinstala otros productos antivirus y hace que los teléfonos funcionen con lentitud y muestren fallos.

Sophos advierte de la existencia de informes que afirman la supuesta colaboración entre la empresa de seguridad móvil en China NetQin y creadores de aplicaciones de malware.

Modus operandi:

Cuando los usuarios afectados instalan de nuevo la aplicación de NetQin, se reporta la infección y se informa al usuario de que si paga una cantidad de dinero (dos Yuan) puede eliminar la aplicación que daña su dispositivo.

Fuente: Sophos

“Google” PARCHEA 6 VULNERABILIDADES DEL NAVEGADOR “ Chrome”

Google informó del lanzamiento de la actualización de la versión 10.0.648.204 del navegador Chrome que incluye parches de seguridad para seis vulnerabilidades calificadas como “de alto riesgo”.

Esta nueva versión de Chrome añade también soporte para el administrador de contraseñas del navegador en Linux y mejora el rendimiento y la estabilidad.

Además, la última actualización de Chrome incluye dos nuevos certificados SSL (Security Sockets Layer) para protegerse de los ataques de los cibercriminales .

Fuente: Google.

“MYSQL” ATACADA POR MEDIO DE INYECCIÓN SQL

MySQL ha sufrido un ciberataque a través de inyección SQL por medio del cual han accesado a las bases de datos y robado información personal de los usuarios.

MySQL, ofrece software de bases de datos y soluciones empresariales, pero tiene otra vulnerabilidad XSS conocida desde enero y aún no solucionada, informaron expertos en seguridad.

Según algunos expertos en seguridad los ataques fueron dirgidos hacia las siguientes sitios:

MySQL.com, MySQL.fr, MySQL.de y MySQL.it a través de una inyección SQL.

Los atacantes conseguieron:

  • nombres de usuario, direcciones de correo y contraseñas de MySQL que han sido publicados en pastebin.com.
  • Además, han robado otros datos de clientes y partners, que también han sido publicados en la red.
SUN, empresa responsable de MySQL, también fue atacada, robando direcciones de correo electrónico de varios de sus sistemas, aunque no las contraseñas.

Fuente: Sophos

25 de marzo de 2011

EN IRAN, OCULTAR LA IDENTIDAD CON “TOR” YA NO ES POSIBLE

La herramienta para ocultar la identidad 'online' Tor (The Onion Router) ya no es suficiente para escapar del control de los gobiernos.

  • Tor es una herramienta que oculta la dirección IP y encripta los mensajes enviados, ya sean mensajes instantáneos o correos electrónicos.
Primeramente, Tor fue creado por los investigadores del ejército de EEUU para uso militar, pero después su código fue liberado y ahora es de dominio público.

Según el equipo de desarrollo de Tor, Irán ha logrado crear un mecanismo para saber quién está detrás de cada mensaje enviado a la Red utilizando esta herramienta para ocultar la identidad en línea.

Parace ser que la ciberpolicía iraní está empleando tecnología DPI (Inspección Profunda de Paquetes) para 'leer' el tráfico de Internet cuando se transmite según publicó The Wall Street Journal afirmando que Siemens y Nokia habían contribuido a dotar al país asiático de la tecnología un año antes.

Fuente: UPI

LA COMISIÓN EUROPEA SUFRE UN CIBERATAQUE “GRAVE”

La Comisión Europea informó que sus sistemas informáticos sufrieron un ataque calificado como “grave” en vísperas de la cumbre en que debatirían el conflicto en Libia, la crisis económica y la energía nuclear.

  • El portavoz de la Comisión añadió que en este caso el ciberataque ha sido muy grave y les ha obligado a tomar medidas para evitar la divulgación de información no autorizada.
“Todo el personal fue advertido de que el acceso remoto a los correos electrónicos ya no era operativo“, ha señalado el portavoz.

  • También han cerrado de forma temporal el acceso a la intranet y las páginas web de los organismos europeos, en particular la del Servicio Europeo de Acción Exterior, que al parecer ha sido uno de los blancos prioritarios del ataque.
“Estamos tomando medidas urgentes para enfrentarnos al ataque”, según ha confirmado el portavoz de la comisión de seguridad de la CE, Antony Gravili.

Las autoridades europeas han iniciado una investigación para esclarecer los objetivos del ataque e identificar a sus responsables.

Fuente: Hispasec

ATAQUE A “CERTIFICADOS SSL” DE “Yahoo!, Google y Microsoft” DESDE IRAN

Comodo, empresa emisora de certificados SSL, explicó el ataque que permitió a cibercriminales obtener los certificados digitales de páginas de Yahoo!, Google ó Microsoft.


La intrusión fue hecha a través de la cuenta de un distribuidor, cuya identidad no fue divulgada, encargado de comprobar las solicitudes de firmas de los certificados, conocidas bajo las siglas CSR, y después envía esas peticiones a los sistemas de Comodo.
  • Después del robo de credenciales de distribuidor, los atacantes obtuvieron los CSRs de importantes dominios como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com ó addons.mozilla.org.
  • El origen de los atacantes, que consiguieron 9 CSRs, la compañía ha confirmado que provenían de Irán (Teherán) .
La filtración ya está corregida, porque los certificados fueron anulados a las pocas horas de producirse del incidente, y se avisó a Google, Microsoft y Mozilla para que metieran los números de serie de los certificados en una lista negra de sus navegadores.

Fuente: H-online

23 de marzo de 2011

ACTUALIZACIÓN DE SEGURIDAD PARA “Apple Mac OS X”

Apple ha lanzado una actualización para Mac OS X 10.6 que solventa 53 vulnerabilidades.

Las vulnerabilidades podrían permitir a un atacante local o remoto:
  1. Acceder a información sensible,
  2. Evitar restricciones de seguridad,
  3. Provocar condiciones de denegación de servicio
  4. Llegar a comprometer los sistemas afectados.

Versiones afectadas:

  • La actualización nombrada como actualización de seguridad 2011-00; corrige 53 fallos en los siguientes componentes y servicios:
  • AirPort,Apache, AppleScript, ATS, bzip2, CarbonCore, ClamAV, CoreText, File Quarantine, HFS, ImageIO, Image RAW, Installer, Kerberos, Kernel, Libinfo, libxml, Mailman, PHP, QuickLook, QuickTime, Ruby, Samba, Subversion, Terminal y X11.

Recomendaciones:

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

http://support.apple.com/downloads/

Fuente: Hispasec

22 de marzo de 2011

REVELACIÓN DE INFORMACIÓN EN EL “Kernel Linux 2.6.x”

Se han publicado tres vulnerabilidades en el kernel de Linux que podrían ser aprovechadas para revelar información sensible a un atacante.

Las vulnerabilidades han sido nombradas como:

  1. CVE-2011-1170, localizada en el fichero 'net/ipv4/netfilter/arp_tables.c', podría permitir a un atacante local acceder a información del sistema.
  2. CVE-2011-1171, localizada en el fichero 'net/ipv4/netfilter/ip_tables.c', podría permitir a un atacante local acceder a información del sistema.
  3. CVE-2011-1172, localizada en el fichero 'net/ipv4/netfilter/arp_tables.c', podría permitir a un atacante local acceder a información del sistema.
El problema radica en los tres casos, en que no se comprueba la terminación "\x00" de las cadenas de las estructuras de datos, por lo que la solución propuesta, común a las tres vulnerabilidades consiste en el forzado de dicha terminación en las cadenas de texto de las estructuras.

Se observa en las lineas introducidas del parche:

tmp.name[sizeof(tmp.name)-1] = 0;

rev.name[sizeof(rev.name)-1] = 0;

Hay que destacar que para poder explotar esta vulnerabilidad, es necesario que la funcionalidad CAP_NET_ADMIN se encuentre habilitada.

Sirve para administrar interfaces de red, modificar las tablas de ruta, establecer el modo promiscuo, etc.

Fuente: Hispasec

RIM” REFUERZA SU SEGURIDAD CON “BlackBerry Protect”

Research In Motion informó del lanzamiento de la versión beta de BlackBerry Protect, que es una aplicación gratuita que proporciona nuevas funciones de seguridad como el bloqueo remoto a estos dispositivos.

Características de BlackBerry Protect :

  • La aplicación permite a los usuarios de BlackBerry la realización de copias de seguridad, con una frecuencia configurable.
  • Las copias de seguridad se realizan a través del sistema Over The Air (OTA) e incluye la lista de contactos, mensajes de texto, entradas del calendario, notas, tareas y marcadores del navegador.
  • Además la aplicación permite realizar acciones de forma remota, para en caso que el teléfono fuese robado ó extraviado, el usuario pueda bloquearlo o borrar su información personal.
  • También permite localizar el dispositivo perdido en un mapa a través de estaciones base y GPS o mostrar en la pantalla un mensaje por si alguna persona encuentra la BlackBerry perdida.
  • Así mismo, se podrá activar el volumen de tono alto de forma remota, para esas ocasiones en las que el terminal está escondido por la casa y el usuario necesita “auto llamarse”.
  • La administración a través de BlackBerry Protect una vez instalado está basada en autenticación mediante el sistema BlackBerry ID y los usuarios podrán acceder a un servicio web para llevar a cabo las distintas acciones. RIM también ofrece asistencia con operador.

Fuente: Blackberry

ACTUALIZACIÓN DE “Adobe” PARA “Flash Player”

Adobe Systems ha publicado una actualización de seguridad para una vulnerabilidad crítica descubierta en Flash Player que podría permitir a ciberdelincuentes tomar el control remoto de los equipos.

  • La nueva versión Adobe Flash Player 10.2.153.1 soluciona este fallo que afectaba a las versiones 10.2.152.33 y anteriores para Windows, Mac, Linux y Solaris, así como a las versiones 10.1.106.16 y anteriores para Android.
  • Adobe ha aprovechado esta actualización para parchear otra vulnerabilidad también crítica en el componente authplay.dll de Adobe Reader y Acrobat X (10.0.1) y versiones anteriores 10.x 9.x para Windows y Mac.

Recomendaciones:

  • Desde la compañía recomiendan a todos los usuarios que actualicen Flash Player con la nueva versión para evitar ser víctimas de este fallo, que podría provocar el bloqueo del sistema o el secuestro del equipo.
  • Google se anticipó cuando lanzó la versión 10.0.648.134 de Chrome, que ya tenía la actualización de esta vulnerabilidad.
Fuente: Adobe

FALLO DE SEGURIDAD PERMITE FILTRACIÓN DE DATOS DE "play.com"

La empresa encargada del marketing de Play.com fue atacada filtrándose correos electrónicos y nombres de usuarios de la tienda 'online'.

Aviso de la compañía:

Play.com están enviando un correo electrónico a todos sus clientes para advertirles que estos datos podrían haber sido robados, advirtiendo al mismo tiempo que los detalles de las tarjetas de crédito no se vieron comprometidos, segú asegura The Guardian.

Recomendaciones y garantías de seguridad:

  • Para evitar que sus clientes sean víctimas de casos de 'phising' debido a esto, la compañía explica que nunca pide información como contraseñas o datos financieros a través de correos electrónicos.
  • Asimismo, piden a los clientes que si reciben algún correo sospechoso se lo reenvíen para que puedan investigar.
  • La compañía también ha explicado que su base de datos se encuentra en un servidor interno que no está conectado a Internet.

Fuente: The Guardian

21 de marzo de 2011

“ANDROID” YA TIENE CIFRADO DE DATOS

WhisperCore es el nombre del sistema de cifrado de datos diseñado para ser utilizado en dispositivos móviles basados en Google Android.

Descripción del producto:

  • Whisper Systems ha lanzado la beta pública del sistema de cifrado de datos para el sistema operativo Google Android, que ya tenían dispositivos basados en BlackBerry y Symbian.
  • Aún se encuentra en fase beta, pero la compañía Whisper Systems, creadora de este sistema, asegura que pronto llegará la realización final.
  • El Nexus S es el primer terminal compatible con WhisperCore, pero pronto se extenderá a otros modelos

Detalles técnicos del producto:

  • El producto utiliza cifrado AES (Advanced Encryption Standard) de 256 bit y solicita una palabra que utilizará como clave para cifrar los datos almacenados en el dispositivo.
  • El proceso de cifrado de datos en los dispositivos móviles aumenta notablemente la seguridad ya que, mientras los datos borrados se pueden recuperar fácilmente, este proceso requiere de la palabra clave para poder hacerlo.

Fuente: Cnet

20 de marzo de 2011

DETECTADOS CORREOS MALICIOSOS QUE SIMULAN SER DE “Twitter”

Se han detectado una serie de correos electrónicos que simulan proceder de Twitter y que con la excusa de confirmar la cuenta de correo, enlazan a páginas Web maliciosas.

Detalle de las páginas web maliciosas:

Estas páginas Web (se han detectado varias, aunque de momento todas están alojadas en el mismo servidor) aprovechan dos vulnerabilidades:

  1. una de JAVA (CVE-2010-0886)
  2. y otra de Microsoft Windows Help and Support Center (CVE-2010-1885) para descargar en el equipo afectado software malicioso

Recursos afectados:

  • Todos los usuarios que reciban el correo electrónico indicado.

Soluciones recomendadas:

  1. Tener actualizado todo el software instalado: Sistema operativo, Navegadores, Software de protección y de uso generalizado, en este caso concreto se utilizan dos vulnerabilidades del año 2010 que ya han sido solucionadas, pero si no tenemos actualizado el software, nuestro sistema es vulnerable.
  2. Ignorar correos electrónicos que provengan de desconocidos.
  3. Comprobar en todos los correos electrónicos, que los enlaces realmente apuntan a la dirección que tienen que apuntar.

Fuente: Inteco

ACTUALIZACIÓN DE “CHROME” CORRIGE FALLO EN “FLASH”

Google lanza actualización para Chrome que corrige una vulnerabilidad crítica en Flash Player descubierta esta semana adelantándose incluso a Adobe.

Detalles técnicos de la vulnerabilidad y versiones afectadas:

  • El agujero de seguridad ha sido explotado por los ciberdelincuentes a través de un archivo malicioso .sfw embebido en una hoja de cálculo de Microsoft Excel, según informó Adobe.
  • La vulnerabilidad podría permitir a los ciberdelincuentes incluso tomar el control del equipo de forma remota.
  • La vulnerabilidad afecta a las versiones de Flash Player 10.2.152.33 y anteriores para Windows, Mac, Linux y Solaris, así como a las versiones 10.1.106.16 y anteriores para Android.
Además, el fallo de seguridad también podría afectar a Reader y a Acrobat, aunque de momento no detectaron ataques en estas plataformas según la compañía.

Recomendaciones y detalles de la actualización:
  • Google ha lanzado la versión 10.0.648.134 de Chrome que permite a sus usuarios estar protegidos antes de que llegue el parche de Adobe.
  • La actualización de Chrome cuenta con Flash Player 10.2.154.25, que incluye un parche que soluciona el problema de seguridad.
Adobe anunció que la próxima semana lanzaría un parche para solventar esta vulnerabilidad

Fuente: Hispasec

MICROSOFT CIERRA LA RED DE SPAM MÁS GRANDE DEL MUNDO

Una orden judicial tramitada por la compañía permitió que se allanaran las instalaciones del hosting en Kansas, Scranton, Denver, Dallas, Chicago, Seattle y Columbus.

  • Según informó Microsoft, los servidores estaban siendo utilizados como centro de control de la red botnet.
  • Además de difusión de spam vía correo electrónico, Rustock era capaz de obtener contraseñas o de realizar ataques de denegación de servicio.
  • La compañía de seguridad Symantec, publicó que el botnet Rustock era el responsable de casi la mitad del spam del mundo y según Microsoft controlaba más de un millón de computadores

Fuente: Blogs de Microsoft

18 de marzo de 2011

INYECCIÓN SQL EN “JOOMLA 1.6”

Publicada una vulnerabilidad de inyección SQL que afecta a la rama 1.6.0 del popular gestor de contenidos Joomla. La vulnerabilidad ha sido descubierta por Aung Khant que forma parte de 'YGN Ethical Hacker Group'.

  • Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web.
  • El fallo fue notificado a Joomla el pasado 24 de enero y a principios de marzo fue publicada la actualización que corrige el fallo de seguridad, ( la versión 1.6.1).

Recomendaciones a los usuarios de Joomla:

  • Actualización del gestor de contenidos.
  • Además deberán actualizar todos los componentes que tengan instalados junto a su gestor de contenidos siempre que corresponda o lo indiquen los fabricantes.

Fuente: Hispasec

ROBAN INFORMACIÓN A LA EMPRESA DE SEGURIDAD “RSA“

Art Coviello, director ejecutivo de RSA, explica en una carta abierta a los clientes de la compañía que sus sistemas de seguridad identificaron un "ciberataque extremadamente sofisticado en progreso" contra RSA.

Detalles del ciberataque:

  • Parte de la información robada está "específicamente relacionada" con los protocolos de autentificación SecurID de la empresa.
  • Por el momento, están "seguros" de que la información extraída no permite un ataque directo a ninguno de sus clientes".
  • No obstante, alertan de que podría ser utilizada para reducir la efectividad del sistema actual de autentificación en dos factores como parte de un ataque más amplio.

Comentarios al respecto:

  • Según explica Whitfield Diffie, especialista en seguridad informática, al New York Times, la ''llave maestra', un número utilizado en el algoritmo de encriptación, podría haber sido robado.
  • Si este hubiera sido el caso, explica Diffie, podría utilizarse el código para duplicar las tarjetas y llaves que proporciona RSA, de modo que se podría obtener acceso a las redes y los sistemas informáticos de las empresas.

Fuente: New York Times

16 de marzo de 2011

“Twitter” AÑADE LA CONEXIÓN SEGURA PERMANENTE

Los usuarios de Twitter tienen una nueva opción en la configuración de su perfil para usar permanentemente la conexión segura (HTTPS).

La pestaña “Always use HTTPS” (Usar siempre HTTPS) permite acceder de forma permanente a la red social a través de este protocolo de seguridad, empleado en sitios financieros por ejemplo.

  • La función está disponible en las versiones para ordenador, iPhone e iPad.
  • Twitter no descarta que en el futuro esta configuración venga por defecto, mientras tanto el usuario debe configurarla manualmente.

Fuente: Blog de Twitter

ACTUALIZACIÓN PARA “Adobe Flash Player”

Adobe ha lanzado una actualización de seguridad que soluciona 13 vulnerabilidades críticas en Adobe Flash Player versión 10.1.102.64 (y anteriores) para Windows, Macintosh, Linux y Solaris.

  • De las 13 trece vulnerabilidades corregidas por Adobe, 12 han sido puntuadas con un 9.3 como puntuación CVSS, debido a que podrían permitir la ejecuciónde código arbitrario a los ciberdelincuentes.

La última vulnerabilidad es del tipo, "elevación de privilegios".

Recomendaciones:

Los usuarios de Adobe Flash Player de todas las plataformas afectadas deberán actualizarse a la versión 10.2.152.26, disponible desde:

http://www.adobe.com/go/getflash

Fuente: Adobe

14 de marzo de 2011

LAS CLAVES “WPA” DEL ROUTER “Zyxel” DE “MoviStar” AL DESCUBIERTO

La empresa Seguridadwirelesst ha publicado los detalles de cómo se generan las claves WPA por defecto para los routers Zyxel distribuidos por MoviStar.

  • Esta incidencia es la continuación de la publicación de los detalles de generación de claves de los routers Comtrend, también de MoviStar y Jazztel a principios de febrero. Ahora, además, han revelado cómo se realizó el descubrimiento.
  • Ni MoviStar, ni Jazztel ni Comtrend ni Zyxel se han pronunciado oficialmente sobre estos descubrimientos.
Recomendaciones:

Es recomendable a la vista de las informaciones publicadas modificar la clave por defecto del cifrado WPA del router, siguiendo alguno de los siguientes métodos:

  1. Por medio panel de configuración del router
  2. O a través del CD que lo suele acompañar.

Fuente: Hispasec

12 de marzo de 2011

ESCALADO DE PRIVILEGIOS EN “.NET Runtime Optimization Service”

Se ha publicado un nuevo 0-day para Windows 2003 R2, XP SP3 y Windows 7, aunque no se descartan otras versiones, para obtener privilegios de NT AUTHORITY\SYSTEM.

Detalle:

Un usuario local podría sustituir el fichero mscorsvw.exe (componente del Common Language Runtime el cual forma parte del Microsoft® .NET Framework) por otro que se ejecutaría con privilegios de SYSTEM al iniciarse el servicio para escalar privilegios.

Recomendación:

  • Se recomienda desactivar el servicio o modificar los permisos del fichero c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

Fuente: Inteco

APPLE CORRIGE 59 VULNERABILIDADES

Apple ha publicado actualizaciones para iOS, AppleTV y Safari que corrige 59 vulnerabilidades, para el sistema operativo iOS (usado por sus terminales iPod touch, iPhone e iPad).

  • Las vulnerabilidades podrían permitir revelación de información sensible, ejecución de código Javascript e inyección de código HTML, denegaciones de servicio y ejecuciones de código arbitrario por un atacante remoto.
  • La actualización ha corregido principalmente el componente WebKit, sobre el que se han solucionado 52 fallos de seguridad.
WebKit es el motor de renderizado HTML de código abierto utilizado, entre otros, por el navegador web Safari.

Recomendación:

  • Se recomienda actualizar a las versiones iOS 4.3, Safari 5.04 y Apple TV 4.2.

Fuente: Hispasec

10 de marzo de 2011

ACTUALIZACIÓN PARA “Red Hat Enterprise Linux 6”

Red Hat ha lanzado una actualización del paquete "ibcgroup" para la versión 6 de su producto Enterprise Linux.

  • La actualización corrige 2 vulnerabilidades que podrían permitir a un atacante local escalar privilegios y causar una denegación de servicio.
"libcgroup" es un paquete que provee herramientas y librerías para el control y monitorización de grupos de control".

Recomendación

  • Dada su importancia, se recomienda su actualización inmediata.
  • Actualización disponible por medio de Red Hat Network.
Fuente: Red Hat

9 de marzo de 2011

LANZADOS LOS BOLETÍNES DE SEGURIDAD DE MICROSOFT DE MARZO

Microsoft publicó los boletines de seguridad del mes de Marzo de 2011 que solucionan diversos fallos de seguridad. Esta actualización consta de tres boletines, uno de ellos catalogado como crítico y los otros dos como importantes.

Las actualizaciones solucionan un total de 4 vulnerabilidades, tres de ellas en Microsoft Windows y la otra en Microsoft Office.

Versiones afectadas:

  • Windows XP.
  • Windows 7
  • Windows Vista
  • Windows Server 2008 R2.
  • Microsoft Office.

Recomendación:

  • Instalar la actualización publicada en el resumen del boletín de seguridad de Microsoft de Diciembre .
  • En el boletín de seguridad se trata todo lo relativo a la actualización, por lo que se recomienda a los administradores consultarlo y probarlo para evitar posibles efectos adversos.
  • En muchos casos, siempre que se encuentre activado el servicio, las actualizaciones se realizarán de forma automática.

Fuente: Hispasec

GOOGLE LANZA LA ACTUALIZACIÓN 10.0.648.127 DE “Google Chrome”

La nueva versión, para todas las plataformas corrige 25 vulnerabilidades, la mayor parte de criticidad alta. Además introduce otras mejoras de seguridad como la ejecución de Adobe Flash en una sandbox en Windows.

Entre otras cosas, las vulnerabilidades pueden producir:

  • La caída o cuelgue del navegador.
  • La posible ejecución de código malicioso.

Versiones afectadas

Todas las plataformas que tengan instalada una versión anterior del navegador.

Recomendación

Instalar las actualizaciones:

  1. En caso de que no se haya actualizado su navegador automáticamente, puede hacerlo desde la opción "Acerca de Google Chrome" del menú de herramientas, seleccionando la opción Actualizar.
  2. También es posible instalar la última versión del navegador de Google descargándolo de su página Web.

Fuente: Inteco

ACTUALIZACIÓN DE JAVA PARA “Mac OS X”

Apple ha publicado una actualización de seguridad para Java en Mac OS OS X 10.5.8 9 y Mac OS X 10.6.6 que soluciona múltiples vulnerabilidades.

  • Estas vulnerabilidades podrían permitir ejecutar código fuera de la sandbox, con los permisos del usuario actual, cuando el usuario accede a un contenido Java manipulado en este sentido. Lo cual implica que la importancia de esta actualización es muy alta.

Versiones afectadas

  • Sistemas Mac OS X 10.5 y 10.6 con versiones previas de Java instaladas.
  • Las actualizaciones de seguridad Java 1.6.0_24 y 1.5.0_28 que solucionan múltiples problemas de seguridad en las anteriores versiones de Java 1.6.0_22 y 1.5.0_26 respectivamente.

Recomendación

Instalar la actualización.

Se puede instalar de dos formas posibles:

  1. Desde [Preferencias del sistema >> Actualización de Software].
  2. O desde la página de descarga de software de Apple.
Fuente : Cert Inteco


8 de marzo de 2011

EL ELÍSEO Y EL MINISTERIO DE EXTERIORES FRANCES VÍCTIMAS DE UN 'CIBERATAQUE'

El ministro de economía francés, François Boran, confirmó que los ordenadores de su gabinete fueron víctimas de un ataque informático masivo en diciembre.

  • Parece ser que el ataque buscaba obtener información confidencial sobre el G-20 (grupo de paises con las economías más importantes del mundo). Se desconoce la procedencia de los ciberataques, aunque se rumorea del posible origen chino.
  • El ciberataque a gran escala contra Ministerio francés de Economía, y en particular a funcionarios encargados de la presidencia francesa del G20, también afectó al ministerio de Exteriores y al propio Elíseo, según informó el diario Libération.
  • El ministro francés, explicó que los “hackers” lograron entrar en los buzones de correos y servidores de sus sistemas y desde el ministerio tardaron semanas en descubrir a los atacantes y bloquearlos, pero según el dirigente francés no se llegó a manipular o sustraer información fiscal.

Fuente: www.elmundo.es

ACTUALIZACIÓN DE SUBVERSION PARA “Debian Linux”

Debian ha lanzado una actualización del paquete subversion que corrige una vulnerabilidad que podría permitir a un ciberdelincuente provocar denegación de servicio haciendo que la aplicación deje de responder.

Subversion es un popular sistema de control de versiones con licencia Apache.
  • La vulnerabilidad solo puede ser explotada cuando subversion funciona a través del servidor Apache HTTPD cuando los usuarios no autenticados tienen acceso de lectura.
  • El fallo fue notificado por Philip Martin de la empresa WANdisco y tiene asignado el CVE-2011-0715.

Fuente: Hispasec

LISTA DE LAS APLICACIONES WEB MÁS PELIGROSAS

Según el equipo de investigación de WatchGuard el rápido crecimiento de las amenazas en los entornos corporativos está en las aplicaciones para medios sociales basadas en la web.

Estas aplicaciones pueden comprometer seriamente la seguridad de la red, exponer información sensible y mermar la productividad de los empleados.

Las aplicaciones con más riesgos son:

Facebook:

  • Es sin duda el medio social más peligroso actualmente, en gran medida debido a su popularidad.
  • Con más de 500 millones de usuarios, Facebook ofrece grandes posibilidades para la ciberdelincuencia.

Twitter:

  • Los 140 caracteres de los mensajes cortos de Twitter ofrecen nuevas vulnerabilidades como los “acortadores" de URLs, que permiten a los hackers esconder links maliciosos.
  • Además Twitter sufre muchas vulnerabilidades relacionadas con la API y la Web 2.0 que permiten a los usuarios atacar e incluso propagar gusanos entre sus usuarios.

YouTube:

  • Como es uno de los sitios de vídeos online más populares, los hackers crean páginas web maliciosas enmascaradas como páginas de vídeo de YouTube.
  • Además, los atacantes usan el spam en la sección de comentarios de vídeos de YouTube con links maliciosos.

LinkedIn:

  • Tiene más peso que otros medios sociales dada su orientación profesional y de negocio.
  • El atractivo para los atacantes reside en que los usuarios aprovechan LinkedIn para entablar relaciones de negocio o entrar en procesos de selección de puestos de trabajo, tienden a publicar información más confidencial y potencialmente sensible en esta red social.

4chan:

  • Es un conocido mural de imágenes, un medio social donde los usuarios envían imágenes y comentarios.
  • 4chan se ha visto envuelto en varios ataques de Internet atribuidos a “anonymous", que es el único nombre de usuario que todos los usuarios de esta red pueden obtener.
  • Muchos hackers utilizan 4chan para distribuir su malware a través de los foros de 4chan.

Chatroulette:

  • Es un sitio con gran potencial que permite a los usuarios que tengan una webcam conectarse y chatear con gente al azar.
  • La naturaleza de este sistema webcam anónimo le convierte en un objetivo potencial para los ciberdelincuentes.

Fuente: WatchGuard.

6 de marzo de 2011

LOS “PDF” MALICIOSOS EN VANGUARDIA DE LA CIBERDELINCUENCIA

Los archivos PDF maliciosos son el vector de ataque de elección por parte de los atacantes, según un informe publicado por MessageLabs de Symantec.

Los PDF maliciosos superan a los archivos de tipo, multimedia, de ayuda, HTML y ejecutables, en la distribución malware utilizados en ataques dirigidos:
  • En 2009, aproximadamente el 52,6% de los ataques dirigidos utilizan exploits PDF, en comparación con el 65,0% en 2010, un aumento del 12,4%.
  • De mantenerse la tendencia, a mediados de 2011, el 76% del malware dirigido podría ser utilizado para ataques basados en PDF.

En resumen, el informe señala que:

  • Los ataques dirigidos basados en PDF continuarán.
  • Se prevé que empeore a medida que los autores de malware sigan innovando en la entrega, la construcción y la ofuscación de las técnicas necesarias para este tipo de malware.

Recomendaciones:

Como siempre, el medio más eficaz de protección es:

  1. Ser consciente de los riesgos
  2. Proteger el equipo con antivirus y actualizarle debidamente.
  3. Tener precaución cuando se trata de cualquier contenido adjunto en un mensaje de correo electrónico.

Fuente: ZDNet

DESCUBIERTAS UNAS 40 VULNERABILIDADES EN EL “kernel de Ubuntu 10.04 LTS”

Descubiertas cerca de 40 fallos de seguridad en el kernel de Linux Ubuntu 10.04 (Lucid Lynx), versión LTS (Long Time Support) de esta distribución de GNU/Linux. Kubuntu, Edubuntu y Xubuntu con la misma numeración, están afectadas también.

Las vulnerabidades están relacionadas con :

  • La forma en que el “Common Internet File System” (CIFS) valida los paquetes ICPM (Internet Control Message Protocol), haciendo posible un ataque de denegación de servicio (DOS).
  • Fallo de seguridad en NFSv4 (Network File System v4) que permitirían a un atacante obtener privilegios administrativos.
  • En total se han detectado nueve vulnerabilidades que otorgan privilegios de root y 14 que conducen a la denegación de servicio.
  • Otros están relacionados con la comprobación incorrecta de privilegios de archivo y la restricción de “solo-lectura” que, en un entorno multi-usuario puede afectar, entre otras cuestiones, a la privacidad.
Enlace a la lista completa de vulnerabilidades publicada por Ubuntu en: http://www.ubuntu.com/usn/usn-1083-1

Recomendaciones:

Ya existen parches para solventar estas vulnerabilidades y simplemente hay que actualizar.

Fuente: ZDNet

4 de marzo de 2011

ATACAN UNA LISTA DE CORREO DE DISTRIBUIDORES DE LINUX

La lista de correo “Vendor-Sec”, para distribuidores de sistemas operativos en código abierto de Linux o BSD, ha sido atacado por un ciberdelincuente, que habría tenido acceso a parte de su información.

Parece ser que el cibercriminal podría haber accedido a cientos de emails que contenían información sobre exploits que afectaban a vulnerabilidades de los sistemas, y que todavía no habían sido corregidas.

  • Markus Meissner, administrador de Vendor-Sec, ha explicado que el “cracker” entró en el servidor de la lista de correos y al ser descubierto destruyó su instalación.
  • Se desconoce el daño exacto y la información que pudo sustraer de la lista, pero la consecuencia del ataque ha sido el cierre de Vendor-Sec.

Fuente : H-Online

ATACADAS UNAS 40 WEBS DEL GOBIERNO DE COREA DEL SUR

A las 10:00 de la mañana, hora local, unos 40 sitios web del Gobierno de Corea del Sur sufrieron un ataque DDoS

La Comisión de Comunicaciones coreana explicó en un comunicado que había decretado el tercer mayor nivel de alerta contra ciberataques y que había aumentado la monitorización de los principales sitios web, según informó Bloomberg.

Algunos de los sitio web afectados por el ataque son el de la Oficina Presidencial y el de la Agencia Nacional de Seguridad.

Corea sufrió ataques similares procedentes de Corea del Norte en 2009.

Fuente: Bloomberg

“WordPress” SUFRE UN GRAN ATAQUE “DdoS”

La plataforma de blogs WordPress es víctima de un gran ataque de denegación de servicio, que según las averiguaciones previas, podría estar motivado por temas políticos.

WordPress reconoció sufrir un "enorme ataque de denegación de servicio":

  • Para hacerse idea de las dimensiones del ataque, basta decir que el ataque está enviando “múltiples gigabits por segundo y decenas de millones de paquetes por segundo”, por lo que la vuelta a la normalidad les “está resultando bastante difícil”.
  • “Los posts han sido desactivados, volveremos a colgar todo de nuevo tan pronto como sea posible”, ése es el mensaje que se han encontrado los usuarios afectados por el ataque DDoS dirigido contra WordPress, uno de los principales sistemas de blogging del mundo.
  • Los ataques han sido dirigidos contra los centros de datos que WordPress posee en Chicago, San Antonio y Dallas, por lo que la mayor parte de los afectados se encuentran en Estados Unidos, algunos de ellos blogs informativos muy destacados como TechCrunch, donde han experimentado problemas para acceder al servicio.
  • Según las últimas informaciones facilitadas por la plataforma de blogs, el ataque ya ha remitido y poco a poco se está reinstaurando el servicio, aunque reconocen que les está costando mucho reinstaurar la normalidad y no descartan nuevos ataques en los próximos días.

Fuente: Techcrunch

3 de marzo de 2011

ACTUALIZACIÓN PARA “Red Hat Enterprise Linux 5”

Red Hat ha lanzado una actualización del kernel para la versión 5 de su gama Enterprise Linux Server y Desktop.

Detalles técnicos:

La actualización corrige tres fallos de seguridad que podrían permitir a un atacante provocar una denegación de servicio y obtener información sensible.
Los códigos CVE asignados a las vulnerabilidades corregidas son:
  1. CVE-2010-4249
  2. CVE-2010-4251
  3. CVE-2010-4655

Adicionalmente la actualización corrige múltiples fallos y aporta mejoras no relacionadas con la seguridad.

Recomendaciones:

  • La actualización disponible a través de Red Hat Network, recomendable ejecutarla a la mayor brevedad de tiempo.

Fuente: Hispasec

ACTUALIZACIÓN PARA EL NAVEGADOR CHROME

Google ha lanzado una actualización para su navegador Chrome que soluciona 19 vulnerabilidades, de las cuales 16 fueron calificadas de importancia alta y tres de importancia media, pero ninguna fue calificada como crítica.

Coste de Invesgación de vulnerabilidades:

  • El coste para Google ha supuesto unos 14.000 dólares, que pagará a los investigadores que informaron de las vulnerabilidades según el programa de recompensas de la compañía.
  • Dicho programa ya ha rebasado los 100.000 dólares desde su comienzo.

Recomendaciones:

La versión actualizada de Chrome (versión 9.0.597.107) puede descargarse desde la página del producto o puede ser actualizada desde el mismo navegador, lo cual resulta de lo más aconsejable realizar lo antes posible.
Fuente: Hispasec

1 de marzo de 2011

FALSA PÁGINA DE YOUTUBE DISTRIBUYE TROYANO

Localizada falsa página de YouTube utilizada por ciberdelincuentes para distribuir una copia del malware Trojan.Downloader.Java.C.

Según Bidefender, el malware descargado permite enviar mensajes con links maliciosos a través del chat de Facebook, registrar las conversaciones de mensajería instantánea o redirigir a páginas webs infectadas las búsquedas realizadas en Google y Bing, entre otras acciones.

Modus operandi:

  • Los usuarios son llevados hasta esta página mediante la promesa de ver supuestos vídeos interesantes. Cuando llegan a ella, no sospechan porque es exactamente igual que la página de YouTube. La única diferencia es que se les pide que instalen un complemento de Java para poder ver los vídeos.
  • Si se instala ese complemento, los usuarios estarán introduciendo en su equipo una copia del troyano Downloader.Java.C, un ejemplar de malware especializado en descargar otros virus en el equipo.

Fuente: BitDefender.

ACTUALIZACIÓN DE SAMBA PARA “Debian Linux”

Debian ha publicado una actualización de samba que soluciona una vulnerabilidad que podría permitir a un atacante causar una denegación de servicio.

  • El fallo ha sido descubierto por Volker Lendecke de SerNet y tiene asignado el CVE-2011-0719.
  • Samba es una implementación del protocolo SMB/CIFS para sistemas Unix para poder compartir archivos e impresoras con sistemas Microsoft Windows o aquellos que también tengan instalado Samba.
Detalles de la vulnerabilidad:
  • La vulnerabilidad se debe a una falta de comprobación en los límites del valor asignado a los descriptores de archivo usados por la macro FD_SET.
  • Esta falta de comprobación provoca una corrupción de la pila cuando son usados valores fuera de rango.

Recomendaciones :

  • Se recomienda actualizar los paquetes samba.
Fuente: Hispasec

ACTUALIZACION DEL MOTOR DEL ANTIVIRUS DE “MICROSOFT”

Microsoft corrigió un fallo en su software antispyware y antivirus que podría permitir que un atacante autenticado en el sistema local ganara privilegios en el LocalSystem.

La vulnerabilidad calificada como “importante” para Windows Live OneCare, Microsoft Security Essentials, Windows Defender, Microsoft Malicious Software Removal tool, Forefront Client Security, y Forefront Endpoint Protection 2010.

Detalle de la vulnerabilidad:

  • La actualización corrige una vulnerabilidad que podría permitir la elevación de privilegios si el Microsoft Malware Protection Engine explora un sistema después de que un atacante con credenciales válidas haya creado una clave de registro especialmente manipulada.
  • Un atacante capaz de explotar con éxito la vulnerabilidad podría conseguir los mismos derechos de usuario que la cuenta LocalSystem.
  • Desde Microsoft aseguran que la vulnerabilidad no puede ser explotada por “usuarios anónimos”.
  • También afirma que las estaciones de trabajo y los terminal servers son los más afectados por la vulnerabilidad.

Recomendaciones:

  • La solución para esta vulnerabilidad de escalada de privilegios está incluida en una actualización para el Microsoft Malware Protection Engine.
  • Según la compañía, como las actualizaciones para la protección del malware se aplican automáticamente, la mayoría de los usuarios y administradores no necesitan hacer nada.

Fuente: Itesspreso