30 de septiembre de 2011

Firefox ESTUDIA DESHABILITAR EL " plug-in de Java "

Tras el descubrimiento de una vulnerabilidad SSL/TLS en Firefox que los hackers pueden explotar a través del plug-in de Java, los desarrolladores del navegador están estudiando la posibilidad de desactivarlo de forma temporal.
  • Aunque desde Mozilla piensen que la responsabilidad recae en Oracle para solucionar el problema, barajan la propuesta de lanzar una actualización que deshabilite todos los plug-ins de Java con el objetivo de proteger a los usuarios.
De optar por esta medida, los usuarios podrían tener ciertos problemas al trabajar con el videochat de facebook y otras aplicaciones corporativas que están basadas en Java, tal y como ha reconocido Johnathan Nightingale, director de Ingenieria de Facebook.
Soluciones propuestas por los responsables de Google y Microsoft:
  1. Google Chrome propone otra solución al problema como es complicar sobremanera la inyección de texto plano en su navegador con la esperanza de que los hackers no puedan llevar a buen puerto sus ataques, una medida que ya han probado con éxito y que en breve podrían implantar en las versiones estables del software.
  2. Microsoft recomiendan a los usuarios que cambien de TLS 1.0 a TLS 1.1, una medida dificíl de llevar a cabo al ser pocos los servidores compatibles con TLS 1.1, y que según Mozilla no solucionará el problema, ya que Java solo es compatible con TLS 1.0.
Fuente: The Inquirer

MOZILLA PUBLICA 10 BOLETINES DE SEGURIDAD

La Fundación Mozilla ha lanzado hasta 10 boletines de seguridad que solucionan multiples vulnerabilidades encontradas en diferentes productos de la firma.
Desde Mozilla han realizado la siguiente clasificación de los boletines publicados :
Siete de los boletines con un impacto crítico, uno con un impacto alto y dos con un impacto moderado.
Listado de los boletines clasificados como "críticos" :
  • MFSA 2011-36: Tres problemas de corrupción de memoria.
  • MFSA 2011-37: Desbordamiento de enteros al emplear expresiones JavaScript RegExp (sólo afecta a la rama 3.x).
  • MFSA 2011-40: Dos problemas de instalación de software al presionar la tecla "Intro".
  • MFSA 2011-41: Dos fallos de potencial ejecución de código a través de WebGL.
  • MFSA 2011-42: Un problema de potencial ejecución de código a través de la librería de expresiones regulares YARR.
  • MFSA 2011-43: Elevación de privilegios a través de JSSubScriptLoader.
  • MFSA 2011-44: Ejecución de código a través de ficheros .ogg.
Listado de boletines clasificados con " impacto alto" :
  • MFSA 2011-38: XSS a través de plugins y objetos "window.location"
Listado de boletines clasificados con " impacto moderado " :
  • MFSA 2011-39: Problemas de potencial inyección CRLF a través de cabeceras Location.
  • MFSA 2011-45: Captura de pulsaciones a través de "motion data".
Las vulnerabilidades clasificadas con un impacto crítico permitirían a un atacante ejecutar código e instalar software sin requerir la interacción con el usuario.

Productos afectados:
  • Los productos afectados han sido principalmente su navegador web Firefox y el cliente de correo electrónico Thunderbird.
Recomendaciones:
  • Desde Mozilla se recomienda la actualización a la última versión de dichos productos.
Fuente: Hispasec

27 de septiembre de 2011

VULNERABILIDAD DE "NetworkManager" EN "Red Hat Enterprise Linux"

Publicada una vulnerabilidad que afecta al producto NetworkManager que podría permitir un atacante local elevar privilegios en el sistema.
NetworkManager es un conjunto de utilidades destinadas a simplificar la configuración de redes WIFI, Ethernet, 3G, o bluetooth disponible para la mayoría de sistemas Linux.
Detalles de la vulnerabilidad:
  • La vulnerabilidad reportada por Matt McCutchen, se encuentra en el plug-in 'ifcfg-rh', más concretamente en el fichero 'src/settings/plugins/ifcfg-rh/shvar.c' al no realizar correctamente la validación de los datos introducidos por el usuario.
  • Un atacante local podría elevar privilegios a través de la creación de un nombre de conexión especialmente manipulado.
Los pasos a seguir para explotar la vulnerabilidad ,como usuario sin privilegios, serían los siguientes:
  1. Crear una conexión ethernet con nombre, por ejemplo, "test".
  2. Cambiar el nombre a "test\nUSERCTL=true\n/bin/bash" donde '\n' se refiere a una nueva línea introducida a través de Ctrl+Shift+U, A.
  3. Introducir el comando "usernetctl test up"
  4. Nos devuelve una shell con privilegios root.
Versiones afectadas :
  • Las versiones afectadas por esta vulnerabilidad son la NetworkManager-0.9.0-1.fc15 y anteriores.
Recomendaciones:
  • Red Hat recomienda la actualización de dicho software.
Fuente: Red Hat

LA WEB DE MySQL ATACADA

La página de software open source MySQL.com ha sido hackeada con el objetivo de infectar a los usuarios con sólo entrar en la web.

Detalles del ataque:
  • Los hackers lograron instalar un código JavaScript capaz de infectar a todos los internautas que visitaban la página de la base de datos open source MySQL que es propiedad de Oracle.
  • El malware infecta equipos Windows con navegadores desactualizados o versiones de Reader, Flash o Java sin parchear.
  • Los responsables de MySQL eliminaron el malware pero “eso no significa que limpiaran los backdoors que los atacantes dejaron en el sitio”, advierte Wayne Huang, CEO de la firma de seguridad Amorize.
Consecuencias del ataque:
  • Se desconoce el tiempo que la página ha estado infectando a los visitantes y la cantidad de usuarios que podrían haberse visto afectados pero los expertos temen que la cifra sea elevada ya que MySQL.com recibe más de 34.000 visitantes únicos cada día y registra más de 100.000 páginas vistas diariamente.
  • Tampoco se conoce el alcance exacto de las infecciones, pero Huang asegura que este tipo de malware puede ser muy difícil de eliminar ya que modofica algunos Windows .dlls (Dynamic-link libraries) para permanecer instalado en el equipo.
  • Al parecer, la página hackeada redirigía a los usuarios a un kit de exploit BlackHole que instalaba malware en el equipo de la víctima sin que esta fuera consciente y sin que fuera necesario pulsar en ninguna opción ni aceptar descarga alguna.
Fuentes: Eweek, Cnet

24 de septiembre de 2011

ACTUALIZACION DE SEGURIDAD PARA "Adobe Flash Player"

Adobe ha lanzado una actualización de seguridad que soluciona 6 vulnerabilidades críticas en Adobe Flash Player

Detalle de las vulnerabilidades:
  • Las vulnerabilidades, con identificadores CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430 y CVE-2011-2444, pueden permitir a un atacante provocar la caída del sistema e incluso llegar a tomar el control de los sistemas afectados.
  • Según confirma Adobe, al menos una de las vulnerabilidades, se está explotando activamente en ataques dirigidos a través de correos electrónicos.
  • Las vulnerabilidades están relacionadas con problemas de cross-site scripting, desbordamientos de pila en AVM (ActionScript Virtual Machine), errores lógicos y evasión de controles de seguridad.
Versiones afectadas:
  • Flash Player versión 10.3.183.7 (y anteriores) para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.186.6 (y versiones anteriores) para Android.
Recomendaciones:
  1. Adobe recomienda a los usuarios de Adobe Flash Player 10.3.183.7 (y anteriores) para Windows, Macintosh, Linux y Solaris la actualización a la versión 10.3.183.10 disponible en http://get.adobe.com/flashplayer/ ó desde la opción de actualización automática.
  2. A los usuarios de Adobe Flash Player 10.3.186.6 (y anteriores) para Android actualizar a la versión 10.3.186.7 desde Android Market: https://market.android.com/details?id=com.adobe.flashplayer&hl=en
Fuente: Hispasec

NUEVA AMENAZA PARA "Apple"

Descubierto un nuevo virus troyano diseñado para ordenadores MAC que intenta roba información de usuarios de dichos equipos.
Primero antes del verano se detectó el famoso malware MacDefender que en forma de un falso antivirus atacaba al S.O. de Apple, y ahora, se ha dado a conocer una nueva amenaza en forma de un agente malicioso del tipo Troyan Dropper, que instala malware en el equipo infectado.
Funcionamiento del troyano
  1. Las empresas F-Security y Sophos explican que una vez el Troyan Dropper se pone en funcionamiento se dedica a abrir un documento en PDF con un documento en chino mientras se instala una aplicación de malware que abrirá una puerta trasera en el “sistema”.
  2. Si se llega a activar la “puerta trasera” esta configurará una herramienta para que el malware esté siempre activo en el sistema, y se intentará conectar a un servidor remoto con el fin de poder enviar allí el nombre del usuario y la dirección del ordenador MAC.
  3. Una vez hecho esto, el servidor envía instrucciones al equipo de forma que pueda guardar o subir archivos y poder tomar capturas de la pantalla.
Advertencias
  • Desde F-Secure aseguran que aunque sus pruebas muestran que por el momento el malware no es demasiado eficaz, existe un riesgo para los ordenadores de que puedan llevar a cabo algunas acciones maliciosas.
Fuente: Cnet

22 de septiembre de 2011

Oracle ARREGLA UNA GRAVE VIULNERABILIDAD DE Apache EN "Fusion Middleware y Application Server"

Oracle soluciona una grave vulnerabilidad de denegación de servicio en servidores httpd de Apache decubierta en agosto y para ello ha publicado un parche crítico para actualizar las ediciones de Oracle Fusion Middleware y Application Server que se sirven internamente de este servidor.
La plataforma Oracle Fusion Middleware y su componente Oracle Applicaction Server ofrecen un conjunto de aplicaciones y soluciones de desarrollo, implementación y gestión integrado para empresas basados en la arquitectura SOA.
Detalles de la vulnerabilidad:
  • Recordamos que la vulnerabilidad CVE-2011-3192 ya comentada anteriormente se caracterizaba por una denegación de servicio a través del envío de peticiones Range especialmente manipuladas que originan un consumo excesivo de memoria en el módulo 'mod_deflate'.
Versiones afectadas:
  1. Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
  2. Oracle Application Server 10g Release 3, versiones 10.1.3.5.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).
  3. Oracle Application Server 10g Release 2, versión 10.1.2.3.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).
Recomendaciones:
  • Desde Oracle se recomienda encarecidamente la aplicación urgente de ésta actualización.
Fuente: Oracle

20 de septiembre de 2011

ALERTAN DE UN TROYANO BANCARIO PARA "Android"

Se trata del troyano Spitmo que logra colarse en los teléfonos y tablets Android a través de falsas páginas web que simulan ser los sites de las principales entidades bancarias.

Detalles del troyano:
  • Este troyano es una variante de SpyEye, un malware para PC conocido por su capacidad para “robar datos de operaciones bancarias online y engañar a los usuarios, haciéndoles creer que están realizando operaciones válidas", según explican los expertos en seguridad de ESET.
Funcionamiento del troyano:
  1. Cuando el usuario visita esta página falsa aparece un mensaje en el que se le insta a descargar una aplicación de seguridad con el objetivo de evitar la intercepción de mensajes.
  2. Si el internauta no se percata de que la web que está visitando no es realmente la de su banco y accede a instalar la aplicación, Spitmo tiene vía libre para introducirse en el dispositivo.
  3. Una vez que el troyano ha logrado entrar en el sistema comienza a interceptar todos los SMS que recibe el usuario, también los que le envía su entidad bancaria para verificar la identidad del usuario y recibir su autorización cuando se realizan operaciones.
  4. De esta forma, Spitmo es capaz de obtener datos personales relativos a los servicios de banca online de sus víctimas y enviarlos a servidores externos.
Fuente: Eset

VULNERABILIDAD EN "Mac OS X Lion"

Patrick Dunstan, experto en Seguridad de la Información, afirma que el sistema operativo Mac OS X Lion permite a usuarios estándar sin privilegios de “root” acceder a las “contraseñas hash” de otros usuarios.

Detalles de la vulnerabilidad:
  • Según parece, en Mac OS X las “contraseñas hash” de los usuarios se almacenan en archivos que sólo pueden ver los “usuarios root”, mientras que en la nueva versión Lion se ha modificado el método de autenticación, y presenta un agujero de seguridad que permite a los hackers acceder a esos datos a través de archivos ocultos del sistema.
  • Y una vez han obtenido esos archivos lo someten a lo que se conoce como “ataque de fuerza bruta” que les permitirá obtener la contraseña.
Versiones afectadas:
  • Por último, conviene aclarar que este problema solo afectaría a sistemas multi-usuarios donde cada usuario individual posee su propia cuenta personal.
Fuente: The Inquirer

VULNERABILIDAD EN "Skype" PERMITE ACCESO A DATOS PERSONALES

Fallo de seguridad en la aplicación del servicio de telefonía por Internet Skype para dispositivos iOS, sistema operativo de Apple, podría permitir que los ciberdelincuentes sustrajesen información personal.
  • Un miembro de la compañía de sistemas de seguridad AppSec Consulting, Phil Purviance fue quien descubrió esta vulnerabilidad en la aplicación para iOS y ha realizado un vídeo donde explica detenidamente este error.
  • La nueva versión 3.0.1 de Skype para iOS fue lanzada el pasado mes de febrero entre sus novedades destacaba la posibilidad de realizar videollamadas desde un dispositivo móvil de Apple a televisores que soporten esta tecnología.
Detalle de la vulnerabilidad y versiones afectadas:
  1. Esta vulnerabilidad está presente en las versiones de Skype para iOS 3.0.1 y anteriores.
  2. Se trata de la vulnerabilidad denominada cross-site scripting (XSS) permite a un atacante crear un código JavaScript malicioso que se ejecuta cuando el usuario ve un mensaje de texto en la ventana de chat de Skype.
  3. Este código se puede utilizar para acceder a cualquier archivo a la que la propia aplicación de Skype tiene acceso, como la libreta de direcciones del iPhone.
Recomendaciones:
  • Por otro lado, el equipo de Skype recomienda a los usuarios "mantener la precaución" y aceptar solo solicitudes de amistad de aquellas personas que son conocidas, además de "utilizar siempre el sentido común".
  • La compañía reconoce estar trabajando en solucionar el problema.
Fuente: www.elpais.com

18 de septiembre de 2011

"Android" EL SISTEMA PARA MOVILES MÁS ATACADO.

Android se ha convertido en el sistema operativo móvil preferido de los usuarios por cantidad de aplicaciones disponibles y, tambien por el catálogo de aplicaciones gratuitas. Pero también se ha convertido en el sistema preferido de los creadores de malware para móviles.

La compañía Kaspersky ha elaborado el Top 20 de programas maliciosos detectado el pasado mes de agosto y asegura que el malware para Android supone el 24% del total de programas maliciosos en plataformas móviles.

Hace poco más de un año, inicio de agosto de 2010, el equipo de Kaspersky Lab detectó el primer programa malicioso para el sistema operativo Android: el troyano SMS FakePlayer.
  • En menos de un año, la cantidad de programas maliciosos para Android ha superado la de programas maliciosos para Symbian (el primer programa malicioso para Symbian apareció en 2004).
  • Desde la aparición de SMS FakePlayer, Kaspersky Lab ha detectado 628 modificaciones de diferentes programas maliciosos para Android.
  • Del total de programas maliciosos para 'smartphones' (sin J2ME) detectados desde el 1 de agosto de 2010 hasta el 31 de agosto de 2011, el 85 por ciento corresponde a Android.
  • Hoy en día, el 99 por ciento de todos los programas maliciosos para plataformas móviles detectados por Kaspersky Lab son programas que de una forma u otra persiguen un objetivo, el lucro ilegal directo o indirecto.
El troyano Nickspy,en agosto, ha sido capaz de grabar todas las conversaciones realizadas en los móviles afectados.
  • Una de las últimas modificaciones de este troyano, que se enmascara como una aplicación de la red social Google+, puede responder a las llamadas entrantes del número de teléfono indicado por los ciberdelincuentes en el fichero de configuración del programa malicioso.
  • Cuando un teléfono infectado responde a una de estas llamadas, los delincuentes pueden escuchar todo lo que ocurre cerca del móvil infectado, incluso las charlas de su dueño. Además, el troyano se ha mostrado interesado en los SMS, conversaciones y coordenadas GPS, y posteriormente envía esa información al servidor remoto del delincuente.
El troyano ZeuS (Trojan-Spy.Win32.Zbot) ha sido la amenaza más difundida entre los usuarios de la banca por internet.
  • Por la cantidad de incidentes y los perjuicios que ha ocasionado es considerado por el equipo de Kaspersky como el "dios" de los delincuentes informáticos.
  • "Ice IX" nueva versión del troyano ZeuS, se vende por unos 450 euros, hasta los 1.350 euros. Una de las novedades más serias de Ice IX es el nuevo módulo web de administración de la botnet, que permite a los delincuentes usar hostings "legales" en lugar de los servidores a prueba de abuso (abuse servers).
Fuente: www.abc.es

17 de septiembre de 2011

SUSTITUYEN EL CLIENTE "uTorrent" POR MALWARE EN "utorrent.com"

El 13 de septiembre, los servidores de la compañía BitTorrent fueron atacados y como consecuencia los clientes P2P legítimos fueron reemplazados por malware.

BitTorrent es la empresa desarrolladora de los clientes Torrent más populares entre los usuarios de redes P2P como BitTorrent y uTorrent.
  • Durante un par de horas,el 13 de Septiembre, las versiones para Windows de los clientes torrent alojados en los servidores utorrent.com fueron reemplazados por un malware que simula ser un antivirus.
  • Después de la instalación, un programa llamado "Security Shield" lanza mensajes de alerta acerca de detecciones de virus, y solicita al usuario un pago para la desinfección del sistema.
El resultado de la instalación del malware (típico rogueware) es como sigue:
  • Se calcula que alrededor de 28.000 usuarios han descargado el programa durante ese tiempo.
  • Aunque en un principio afirmaron que bittorrent.com también había sido comprometido, parece que el software descargado desde esa web finalmente no ha sido atacado.
Según datos de VirusTotal, la primera muestra de este rogueware llega el día 13 a las 16:27 GMT, y era detectado (por firmas) por 9 de 44 motores.
  1. BitDefender....Gen:Variant.FakeAlert.88
  2. DrWeb...........Trojan.Fakealert.22515
  3. GData.............Gen:Variant.FakeAlert.88
  4. K7AntiVirus....Trojan
  5. McAfee...........FakeAlert-SecurityTool.bt
  6. Microsoft........Rogue:Win32/Winwebsec
  7. NOD32..........a variant of Win32/Kryptik.SSY
  8. Norman..........W32/FakeAV.AEQY
  9. Sophos...........Mal/FakeAV-KL
En la actualidad ya es detectado por 21 de 44 motores.

Fuente: Hispasec

TELEFONICA ESTRENA RED PARA NAVEGAR A 600 GIGAS POR SEGUNDO

Telefónica ha lanzado su Content Delivery Network (CDN) o red que tendrá una capacidad de distribución de datos por encima del medio terabyte antes de fin de año.
  • La red ya está lista en España y Argentina, donde la usan ya en fase precomercial Tuenti, Red.es, la Agencia Tributaria y el Cabildo Insular de La Palma.
  • Algunas fuentes aseguran que Google negocia con Telefónica para empezar a utilizar esta tecnología, que permitirá a la operadora no solo mejorar la calidad y capacidad de navegación sino también monetizar la porpia red ofreciendo servicios exclusivos a proveedores de contenidos como las televisiones.
  • La compañía presidida por César Alierta prevé además desplegar su CDN en Chile, Perú, Brasil, Alemania y Venezuela este mismo año.
Esta red, acerca la información que está en internet al lugar desde donde accede el usuario mediante nodos, sin tener que acudir a la fuente original, tiene ya desplegados más de 40 nodos en 10 países y se espera que a final de año cuente con 70 puntos en 11 países y 22 ciudades con una capacidad de transmisión de datos de unos 600 gigabytes por segundo.

Fuente: www.abc.es

13 de septiembre de 2011

OpenSSL 1.0.0e SOLVENTA DOS VULNERABILIDADES

Publicada la versión 1.0.0e de OpenSSL que corrige dos vulnerabilidades.
OpenSSL es un proyecto para desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3), de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.
  • La primera de las vulnerabilidades corregidas, es un error al validar CRL que permite a un atacante validar como correcto un certificado especialmente diseñado.
  • El segundo fallo de seguridad solventado es un error en 'ephemeral ECDH ciphersuites', que permite provocar una denegación de servicio a través de peticiones en un orden incorrecto.
Fuente; Hispasec

LOS SERVIDORES DE "Linux Foundation" ATACADOS DE NUEVO

Linux ha detectado brechas de seguridad en sus propios servidores probablemente relacionadas con el ataque de agosto al repositorio del núcleo.
Linux Foundation es un consorcio sin ánimo de lucro surgido en 2007 de la unión de Open Source Development Labs (OSDL) y Free Standards Group (FSG) con el objetivo de fomentar el crecimiento del sistema operativo GNU/Linux. Promociona, protege y estandariza los recursos y servicios necesarios para que el software libre pueda competir con plataformas cerradas.
  • En estos momentos y desde el día 8, al visitar los sitios web LinuxFoundation.org, Linux.com, y sus correspondientes subdominios se puede observar un mensaje que informa del mantenimiento que se está llevando a cabo.
  • Además se insta a los usuarios a cambiar las contraseñas y claves SSH que hayan utilizado en estos sitios comprometidos, así como aquellas contraseñas que sean reutilizadas en sitios ajenos a ellos por motivos de seguridad.
Fuente: Hispasec

MALWARE PARA BIOS Award DE Phoenix Technologies

La empresa china 360 de seguridad informática ha descubierto un virus que se instala en la BIOS de los ordenadores y no puede ser descubierta por los antivirus convencionales.

Detalles del malware:
  1. El agente malicioso, denominado Mebromi o BMW, afecta sólo a las BIOS Award comercializadas por Phoenix Technologies.
  2. Mebromi emplea la herramienta CBROM que le permite llegar hasta la BIOS y añadir código malicioso al MBR (Master Boot Record) del disco duro.
  3. Con esa acción logra infectar procesos de los sistemas afectados.
Sistemas operativos y procesos afectados:
  • El proceso "winlogon.exe" en Windows XP, Windows Server 2003 o Windows 2000
  • Y el proceso "wininit.exe" en Windows Vista y Windows 7.
Recomendaciones:
  • Los expertos aseguran que los consumidores pueden estar tranquilos ya que es casi imposible que se pudiera desarrollar código malicioso que funcione en varios sistemas, debido a la variedad de actualizaciones que presentan las BIOS de los fabricantes de placas base.
Fuente: h-online

11 de septiembre de 2011

VULNERABILIDAD DEL TIPO "Cross Site Scripting" EN "jQuery 1.6"

Resuelta la vulnerabilidad que permitía realizar ataques cross site scripting (XSS ) en jQuery 1.6 y que podía ser explotada en ciertos sitios que utilizaran la variable 'location.hash' en un contexto que no fuera el de Cascading Style Sheets (CSS).

Detalles de la biblioteca jQuery:
  • jQuery es una biblioteca o framework JavaScript de software libre y código abierto.
  • Es compatible con la mayoría de navegadores actuales y ofrece una serie de funcionalidades basadas en JavaScript que permite simplificar la manera de interactuar con los documentos HTML, manipular el árbol DOM, manejar eventos, desarrollar animaciones y agregar interacción con la técnica AJAX a páginas web.
Detalles de la resolución:
La solución adoptada es que sea el propio jQuery el que filtra el código HTML que pueda ser incrustado a través de la variable 'location.hash', y no delegar esta responsabilidad a todos los programadores que vayan a utilizarla.
Recomendaciones:
  • La vulnerabilidad, que era funcional en Internet Explorer, Firefox, Chrome y Opera, se ha arreglado en la versión 1.6.3 de jQuery.
  • Los usuarios del navegador Safari no se veían afectados porque este navegador se encargaba de codificar el contenido de esta variable mediante el símbolo de porcentaje '%'.
Fuente: Hispasec

CONTRASEÑA FACIL, FACIL, PARA SISTEMA ONLINE DE SUMINISTRO DE AGUA POTABLE EN OSLO

Digitando mediante Bluetooth la contraseña "0-0-0-0" desconocidos pudieron haber accedido al sistema de control y suministro de agua potable en la capital de Noruega, Oslo.
  • La información ha sido presentada en exclusiva por el periódico noruego VG, según el cual al conocerse el informe sobre la seguridad del sistema de agua potable de Oslo, éste fue inmediatamente clasificado como secreto por las autoridades.
  • El potencial de sabotaje va desde el terrorismo bioquímico a la inundación del embalse de agua potable con aguas servidas
Detalles del fallo de seguridad:
  1. Según VG, el informe revela una seguridad tan deficiente que "es casi imposible de creer".
  2. Cualquier intruso pudo haber asumido el control del suministro de agua potable de Oslo mediante un teléfono móvil y conexión Bluetooth.
  3. La contraseña para acceder al sistema era la pre-establecida por el fabricante; "0-0-0-0".
Consecuencias de un posible acto terrorista:
  1. Al tener acceso al sistema, un saboteador pudo haber interrumpido el suministro de agua, alterado la presión o, en el peor de los casos, envenenado el agua con substancias tóxicas.
  2. El potencial de daño mediante un acto terrorista es desolador.
Antecedentes del caso:
  • El tema es especialmente sensible, y por cierto inexplicable, ya que en 2004 se elaboró un informe sobre la seguridad de diversos servicios e infraestructuras básicas de Oslo, concluyéndose que el agua potable era un tema vulnerable.
  • Aún así, la autoridad responsable optó por conservar la contraseña "0-0-0-0" en un sistema de importancia crítica.
Fuente: Diario VG, Noruega.

NUEVO TROYANO SECUESTRADOR DE "PC"

El troyano “secuestra" al equipo de la víctima hasta que se introduce un código determinado. Para obtener el código, los ciberdelincuentes solicitan a la víctima 100 euros por el “rescate" .
  • “Este tipo de troyanos son muy peligrosos ya que una vez infectado el equipo, es tremendamente complicado eliminarlo de forma manual, lo que obliga a muchos usuarios a pagar el rescate o formatear la PC", comenta Luis Corrons, Director Técnico de Pandalabs.
  • Y añade: “Además, al simular proceder de Microsoft y amenazar con actuaciones de las autoridades, muchos usuarios creerán lo que dice el troyano y realizarán el pago sin dudarlo, para no buscarse problemas".
Detalles del malware:
  • PandaLabs, el laboratorio de malware de Panda Security, – The Cloud Security Company – ha descubierto un nuevo troyano del tipo ransomware que simula proceder de Microsoft.
  • El troyano, bautizado como Ransom.AN, alerta al usuario de que su copia de Windows no es legal y amenaza con inutilizar el dispositivo si no se introduce un código específico, el cual, se le facilitará al usuario tras pagar la suma de 100 euros.
Distribución y "modus operandi" del malware:
  1. Este malware, dirigido específicamente a usuarios de habla alemana, puede distribuirse de múltiples formas, siendo las más utilizadas mensajes de spam y descargas P2P.
  2. Tras alertar al usuario de que su copia de Windows no es legítima, le informa de las posibilidades de pago invitándolo a realizarlo a través de una página web maliciosa, donde se le solicitarán los datos de su tarjeta de crédito.
  3. Incluso, para incentivar el pago, Ransom.AN amenaza a la víctima comunicándole que la fiscalía ya cuenta con sus datos para tomar medidas si no se realiza el pago antes de que expire un plazo de 48 horas, tras el cual además se perdería toda la información de la PC.
Recomendaciones:
Para estar protegido de esta y otras amenazas, siempre recomendamos contar con una buena protección instalada y actualizada en el PC.
Fuente: PandaLabs

8 de septiembre de 2011

DigiNotar: TERCERA REVOCACION MASIVA EN 10 AÑOS

Hoy Microsoft ha lanzado la segunda revocación masiva de 2011 y tercera en 10 años, en forma de actualización automática , que ha mejorado en cantidad y calidad.

Marzo 2001. VeriSign
  • VeriSign, la empresa líder en emisión de certificados para Internet, en marzo de 2001 emitieron 2 certificados a un impostor que se hizo pasar por trabajador de Microsoft que hubiera permitido, por ejemplo, firmar programas o cualquier software malicioso como si fueran aplicaciones originales de Microsoft.
  • McAfee y Symantec se apresuraron en anunciar que sus antivirus cuentan con actualizaciones para detectar los certificados fraudulentos, como si de un virus se tratara.
  • Los certificados fueron revocados en la actualización de Microsoft MS01-017. El origen del fallo fue el protocolo de validación, usando la ingeniería social.
Marzo 2011. Comodo
  • Comodo reconoció que un atacante con IP de Irán se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para hacerse pasar por esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org...
  • Es la primera vez que se hizo una revocación masiva de certificados SSL y a nivel de dominios importantes.
Septiembre 2011. DigiNotar
  • Al parecer, el mismo intruso que consiguió emitir los certificados fraudulentos de Comodo, compromete por completo la compañía DigiNotar y se detectan certificados de decenas de dominios importantes.
  • La "calidad" de la revocación aumenta, y no sólo se invalidan certificados concretos por "fraudulentos" sino a la entidad entera (sus certificados raíz) por "no confiables". El atacante entró hasta el último recodo de la empresa.
Consecuencias y últimas noticias .....
  • La confianza en DigiNotar es nula y probablemente desaparezca o cambiará de nombre para intentarlo de nuevo.
  • GlobalSign, otra importante empresa certificadora, acaba de confirmar que ha sufrido una intrusión.
  • El atacante iraní que afirma ser el autor del compromiso de DigiNotar, también asegura tener acceso a otras entidades certificadoras y la posibilidad de emitir nuevos certificados falsos.
  • Aunque PKI esté concebida para sufrir este tipo de revocaciones ocasionales, el hecho de que se utilicen con tanta asiduidad merma la confianza en el modelo.
  • Los dispositivos móviles, por ejemplo, cada vez más utilizados para navegar, no es tan sencillo actualizar y revocar certificados...
Fuente: Hispasec

VULVERABILIDAD EN " Novell Cloud Manager y PlateSpin Orchestrate "

Novell Cloud Manager y PlateSpin Orchestrate tienen un fallo que podría permitir a un ciberdelincuente causar una denegación de servicio y ejecutar código arbitrario con los permisos que estuviera funcionando el servicio explotado.

Descripción de la vulnerabilidad:
  • El CVE asignado a esta vulnerabilidad es el CVE-2011-2654.
  • El fallo se encuentra en la implementación de los métodos RPC. Al no realizar una validación suficiente de los datos suministrados por el usuario, proceden a la creación de una sesión parcialmente inicializada.
  • Esta sesión parcialmente inicializada es la que permitirá, sin necesidad de ningún tipo de autenticación, realizar llamadas RPC privilegiadas en el servidor, y por lo tanto, ejecutar código arbitrario en el contexto sobre el que esté funcionando el servicio explotado. No se han dado más detalles de dicha vulnerabilidad.
Versiones afectadas :
  • Las versiones afectadas son Novell Cloud Manager 1.1.x y PlateSpin Orchestrate 2.6.0.
Recomendaciones:
  • Novell ya ha publicado un parche que solventa esta vulnerabilidad.
Fuente: Hispasec

3 de septiembre de 2011

OPERA ARREGLA UN FALLO EN SU NAVEGADOR

Opera ha lanzado una nueva versión que corrige un fallo que permitía a una página sin conexión SSL mostrarse como si estuviera protegida por ese protocolo engañando a los usuarios que accediesen a ella.

Detalles del fallo:
  • El fallo permitía que a través de una pagina web (con conexión "habitual", sin cifrar ni autenticar) especialmente manipulada que sí cargaba contenido SSL, del que se mostrada la información de seguridad en la barra de direcciones de la web principal.
  • No se ha informado de más detalles de cómo se conseguía explotar esta vulnerabilidad.
Recomendaciones:
  • La última versión del navegador soluciona este fallo junto con otra vulnerabilidad de severidad baja, descubierta y reportada por Thai Duong y Juliano Rizzo, de la que no se ha dado ningún detalle hasta la fecha.
  • Para los certificados fraudulentos emitidos por DigiNotar, no ha sido necesaria una actualización del navegador por el propio funcionamiento de Opera al comprobar las listas de revocación.
  • Se recomienda actualizar el navegador con la versión (Opera 11.51) para quedar a salvo de este tipo de fraudes.
Fuente:Hispasec