DESCUBIERTO 'software espía' PREINSTALADO EN MILLONES DE MÓVILES EN EEUU

Trevor Eckhart , desarrollador especializado en Android, ha denunciado públicamente la existencia de un programa, preinstalado de forma oculta en muchos modelos de teléfonos móviles en EEUU, que registra una gran cantidad de datos de usuarios para enviarlos a continuación a los operadores.

El experto, descubrió su funcionamiento y pudo constatar que dicho 'software' registraba una importante cantidad de datos, algunos de ellos protegidos por las leyes sobre privacidad, incluso el contenido mismo de las comunicaciones.

El software creado por CarrierIQ, compañía que proporciona datos para estadísticas a los principales operadores estadounidenses. Operadores como Verizon o Sprint utilizan sus servicios.

Según la compañía, este programa se encuentra implementado en más de 140 millones de móviles con Android, además de dispositivos Nokia y BlackBerry, y en principio no es utilizado por operadores europeos.

Eckhart, que calificó al 'software' como un auténtico 'rootkit' y demostró hasta qué punto el programa registra de forma constante prácticamente cualquier actividad que el usuario realiza con su dispositivo, sin que el usuario se dé cuenta.

La propia compañía publicó una carta en la que explica que su 'software' solo es para mejorar el funcionamiento de las redes. También niega que proporcione en tiempo real datos a sus clientes, los operadores, así como que venda esos datos a terceros.

No obstante, un vídeo publicado esta misma semana muestra cómo el programa efectivamente tiene capacidad para, entre otras cosas, registrar el contenido de los mensajes SMS, así como datos de localización geográfica e incluso la actividad en un navegador web conectado a un sitio a través de una conexión segura 'https'

Fuente: www.elmundo.es

NO HUBO CIBERATAQUE EN LA PLANTA DE AGUA DE ILINOIS EN EEUU

El mal funcionamiento de una planta de agua en el estado de Illinois fue causado, según los investigadores, por un contratista de la misma compañía de viaje por Rusia y no por ciberataque.

Según el Washington Post, que cita fuentes de la investigación federal, no se han programas maliciosos en los sistemas de la planta, instalación pública cercana a la ciudad de Springfield.

El contratista que accedió a la planta de aguas se encontraba en Rusia por motivos personales, por lo cual no se puede califir como una 'ciberintrusión' no autorizada.

La sospecha de que podría tratarse de una 'ciberintrusión' terrorista se planteó en un informe preliminar del Centro de Terrorismo e Inteligencia de Illinois, al que tuvo acceso el experto en la protección de infraestructuras frente a posibles ataques cibernéticos Joe Weiss.

Aunque, funcionarios del Departamento de Seguridad Nacional a cargo de la seguridad de los controles industriales en todo el país advirtieron desde el principio que en el informe no era demasiado creíble.

Fuente: Washington Post

EL PROTOCOLO “IPv6” EN LA DIANA DE LOS “hackers“

El protocolo IPv6, que ofrece la conocida como autoconfiguración “stateless”, ha aumentado el riesgo de las webs a ser el blanco de los cibercriminales, según los expertos.

El Protocolo para Red Distribuida (NPD) que emplea IPv6, mal gestionado, puede desembocar en un ataque procedente del router que podría conectarse a las redes empresariales y obtener el control sobre los dispositivos que estuvieran conectados en ese momento.

El problema solo afecta a aquellos que posean routers para IPv6, ya que los de IPv4 no se pueden conectar a redes que trabajen con el nuevo protocolo.

Eric Vyncke, ingeniero de Cisco explica que han observado cómo han aumentado en los últimos tiempos los bots que utilizan IPv6 para comunicarse con su bot Master.

Fuente : ITProPortal

ACTUALIZACIÓN DEL KERNEL PARA “Red Hat Enterprise Linux 6 “

Red Hat ha lanzado una actualización del kernel para toda la familia Red Hat Enterprise Linux 6 que corrige 12 vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, revelar información sensible o evitar determinadas protecciones de seguridad.

Detalle de las vulnerabilidades corregidas:

• Los problemas corregidos se deben a errores en IPv6; en las implementaciones CIFS (Common Internet File System), FUSE (Filesystemin Userspace) y EFI GUID PartitionTable (GPT); en el driver b43; en el acceso a estadísticas I/O del subsistema taskstats y por último en la herramienta perf perteneciente a la implementación PerformanceEvents.
• Además se han solucionado otros fallos de menor importancia.
• La lista de CVEs relacionados son: CVE-2011-1162, CVE-2011-1577, CVE-2011-2494, CVE-2011-2699, CVE-2011-2905, CVE-2011-3188, CVE-2011-3191, CVE-2011-3353, CVE-2011-3359, CVE-2011-3363, CVE-2011-3593 y CVE-2011-4326. 

Recomendaciones:

Como siempre se recomienda la actualización de forma inmediata que se encuentra disponible desde Red Hat Network.

Más información:

Important: kernel security and bug fix update     https://rhn.redhat.com/errata/RHSA-2011-1465.html

Fuente: Hispasec

GRAVE FALLO DE SEGURIDAD EN “Facebook”

Alfredo Arias, aficionado a las redes sociales, ha decubierto este fallo que afecta al sistema de mensajes privados de Facebook  y permite enviar un texto suplantando la identidad de cualquier usuario.

Arias asegura que “es realmente sencillo” aprovechar esta vulnerabilidad y para demostrarlo explica los pasos que hay que seguir para enviar mensajes privados haciéndose pasar por otra persona creando un formulario web.

“Creo que es una vulnerabilidad importante ya que (pese a ser delito) lo sencillo que es crear un formulario o falsificar el remitente de correo”, explica Arias en su blog, “lo que se puede llegar a hacer con esto es inimaginable”.

Este apasionado de las redes sociales se ha puesto en contacto con el equipo de seguridad de Facebook para informarles del fallo aunque por el momento no ha recibido respuesta alguna.

Fuente: Alfredo Arias (blog), El Mundo

VULNERABILIDAD EN UBUNTU

Una Vulnerabilidad detectada en el Centro de Software de Ubuntu que permitía falsificar aplicaciones, ha sido corregida recientemente

El Centro de Software de Ubunutu está encargado de  la descarga, instalación y gestión centralizada de aplicaciones por parte del usuario.

Detalles de la vulnerabilidad:

• La vulnerabilidad (CVE-2011-3150), debida a la incorrecta validación de los certificados al realizar conexiones seguras, permitiría falsificar aplicaciones, a través de un ataque MITM (man in the middle), facilitando que un usuario descargara e instalara aplicaciones especialmente modificadas haciéndolas pasar por oficiales de Ubuntu.
• Parece un error que consigue un efecto parecido al "Evilgrade".

Recomendaciones y versiones afectadas :

• Las versiones afectadas son 12.04, 11.10, 11.04 y 10.10.
• Se recomienda aplicar los parches disponibles a través del Gestor de Actualizaciones.

Más información:

USN-1270-1: Software Center vulnerability

http://www.ubuntu.com/usn/usn-1270-1/

Fuente: Hispasec

ACTUALIZACION PARA “Apache 2.x” NO CORRIGE VULNERABILIDAD TOTALEMENTE

En octubre se avisó de una vulnerabilidad en “Apache 2.x” que permitiría a un ciberdelincuente acceder a partes de la red del servidor privadas ( no accesibles al público), a través de un fallo en la directiva "RewriteRule" del módulo "mod_proxy".

El parche anterior no soluciona totalmente la vulnerabilidad encontrada (CVE-2011-3368) puesto que no se llegaron a comprobar las URI basadas en esquemas. Por tanto, se podría volver a acceder de nuevo a partes sensibles de la red interna del servidor si las reglas del proxy inverso no se encuentran bien configuradas (como ocurría con la vulnerabilidad anterior).

Más información:

[RFC] further proxy/rewrite URL validation security issue (CVE-2011-4317)
http://marc.info/?l=apache-httpd-dev&m=132205829523882&w=2

Revelación de información a través de 'mod_proxy' en Apache 2.x
http://unaaldia.hispasec.com/2011/10/revelacion-de-informacion-traves-de-en.html

Apache HTTP Server Reverse Proxy/Rewrite URL Validation Issue
https://community.qualys.com/blogs/securitylabs/2011/11/23/apache-reverse-proxy-bypass-issue

Fuente: Hispasec

INTECO AVISA DE UN VIRUS SUPLANTADOR DE LA POLICIA

El Instituto Nacional de Tecnologías de la Comunicación Español  (INTECO) avisó que un nuevo malware, del tipo ransomware,  que afecta a  sistemas windows, suplanta a la Policía Nacional, tras lo cual impone una multa de cien euros asegurando que en un rastreo de su sistema le ha encontrado contenido pedófilo.

Modus Operandi

• El virus actúa bloqueando el ordenador y posteriormente mostrando un mensaje en el que aparece el escudo del Cuerpo Nacional de Policía y la bandera de España para engañar al usuario suplantando la identidad de un agente, ha concretado el INTECO en un comunicado.
• El contenido del mensaje advierte de que la dirección IP del equipo ha sido detectada por la Policía en varias web de violencia de menores, así como descargando contenido pedófilo.
• A continuación, se indica que por la infracción debe abonarse una multa de cien euros y el usuario recibe unas sencillas instrucciones para que realice el pago.

Solución propuesta por INTECO:

1. Reiniciar el equipo
2. Presionar F8 (antes de que aparezca la pantalla de inicio de Windows) para entrar en el menú de opciones avanzadas de Windows
3. Seleccionar la opción: "Modo seguro" (Safe Mode)
4. Escribir la palabra "regedit" en Inicio --> Buscar
5. Ejecutar "regedit.exe"
6. Ir a la clave de registro -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
7. Localizar la clave "Shell" y remplazar el valor por "Explorer.exe"

Fuente: INTECO

VULNERABILIDAD REMOTA DEL CLIENTE “iPrint de Novell”

Novell ha lanzado una actualización que solventa una vulnerabilidad en Novell iPrint Client para Windows, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

Detalle de la vulnerabilidad:

• El problema (con CVE-2011-3173), que fue reportado a través de TippingPoint's Zero Day Initiative (ZDI-11-309), reside en el componente nipplib.dll y permitiría a un atacante crear código HTML malicioso que al cargarlo el usuario atacado ejecutar código arbitrario en el sistema afectado. El código se ejecuta con los privilegios del usuario atacado.

Solución:

• Se recomienda actualizar a Novell iPrint Client versión 5.72. 

http://download.novell.com/Download?buildid=bSpj4nhVEZ0~

Más información:

• Novell iPrint Client nipplib.dll GetDriverSettings Remote Code Execution Vulnerability

http://www.novell.com/support/viewContent.do?externalId=7009676

• Novell iPrint Client nipplib.dll GetDriverSettings Remote Code Execution Vulnerability

http://www.zerodayinitiative.com/advisories/ZDI-11-309/

Fuente: Hispasec

SE MULTIPLICA EL MALWARE CONTRA “Androit y los Mac de Apple”

Según un estudio de Kaspersky sobre Malware en 2011, en el último trimestre  ha habido un aumento del 300% en el número de intentos de infectar los estos dispositivos con falsos programas antivirus rogue.

  
Malware para Mac de Apple 

• Durante ese mes se descubrió una nueva versión del troyano para Mac OS X Flashfake, Trojan-Downloader.OSX.Flashfake.d, cuya función principal es descargar ficheros. 
• Éste aparece a través de la instalación de Adobe Flash Player, aunque se ha agregado una nueva funcionalidad para OSX. En ese sentido, Apple ya agregó a estos dispositivos un sistema de protección contra programas maliciosos, denominado 'Xprotect'. 
• Este último troyano descubierto podía dejar fuera de servicio este antivirus y por tanto, "romper" estos ficheros. Si esto ocurre, la protección no recibiría actualizaciones de Apple y la efectividad de 'Xprotect' sería completamente nula, algo que no previeron los programadores. Una vez activado en el ordenador este troyano, no solo se protege de ser eliminado, sino que también conlleva a que el sistema sea vulnerable ante otros virus que la protección integrada debería detectar.

Otras conclusiones del Estudio

1. Además el estudio también ha revelado que el número total de malware para Android ha alcanzado el 46,9 % . Con estos datos se puede augurar que los próximos creadores de virus se dirigen hacia este sistema operativo. En ese sentido, este informe desvela que 1.916 variantes de programas maliciosos eran de Android pertenecientes a 92 familias diferentes.
2. En cuanto a J2ME, se descubrieron 1.610 variantes en 60 familias, lo que supone un 40 por ciento del total de virus.
3. Symbian, por su parte, ocupó el 10,7 por ciento y Windows Mobile solo el 2 por ciento de este total.
4. Aparición del programa troyano Duqu, Los ficheros de Duqu, descubiertos en Hungría, contenían un módulo adicional, un troyano-espía, el cual tiene la capacidad de interceptar los datos que se introducen mediante el teclado, hacer capturas de pantalla, recopilar información sobre el sistema, entre otras. Por tanto, su objetivo es hacer espionaje industrial, y no sabotaje (como en el caso de Stuxnet).

Fuente: www.abc.es

VULNERABILIDAD DE “Zenprise Device Manager” PERMITE BLOQUEAR O ESPIAR REMOTAMENTE DISPOSITIVOS MOVILES.

Descubierto un fallo en Zenprise Device Manager que permitiría realizar un ataque para robar las credenciales del panel de administración.

Descripción

• Zenprise Device Manager es una gestor de dispositivos móviles (MDM) que consta de un software que se puede utilizar para gestionar la red de dispositivos móviles de la empresa.
• El administrador de dispositivos Zenprise interfaz web es vulnerable a los ataques (CSRF)
• Un ataque CSRF con éxito contra un usuario administrador permite a un atacante remoto ejecutar comandos como usuario administrador en cualquier dispositivo gestionado por el Administrador de dispositivos Zenprise.

Impacto

• Si un usuario conectado como administrador resulta engañado para visitar una URL especialmente diseñada, un atacante remoto puede ser capaz de acceder a cualquier dispositivo gestionado como administrador.
• El atacante puede realizar cualquier acción como administrador pudiendo incluso de forma remota borrar los datos del dispositivo.

Solución

• Aplicar una actualización.- Zenprise ha lanzado un parche para solucionar este problema. Los clientes actuales pueden encontrar más información sobre esta vulnerabilidad y el parche en el centro de los clientes Zenprise.

Referencias:

http://www.kb.cert.org/vuls/id/584363
http://www.zenprise.com/products/zenprise_device_manager/
http://www.zenpriseportal.com/patches/ZP_SecPatch_618_9995.zip
http://cwe.mitre.org/data/definitions/352.html

Fuente: www.kb.cert.org

NUEVO CHIP “Wi-Fi” QUE LLEGA A “1,5Gbps”

Rohm, fabricante japonés, informó del desarrollo de un avanzado chip que ha logrado la transmisión de datos por vía inalámbrica a una velocidad de 1,5Gbps.

La empresa de componentes japoneas asegura que esa velocidad es la más alta registrada hasta la fecha y anuncia que en el futuro se podrán alcanzar los 30 Gbps.

El experimento fue realizado en colaboración con investigadores de la universidad de Osaka y se empleó:

1. Para la transmisión de datos, un dispositivo semiconductor que transmite los datos a través de las conocidas como ondas terahertzianas. 
2. Para la recepción de datos, una microantena de 2cm de largo y 1 cm de alto.

Rohm espera comenzar la fabricación de los nuevos chips para dentro de tres o cuatro años y calculan que los costes de cada uno de los chip serán de varios cientos de yenes, que  teniendo en cuenta el cambio actual (cien yenes equivalen a 1,04 euros), el precio parace prometedor.

Fuente: TechCrunch

NUEVAS VERSIONES QUE ACTUALIZAN “Joomla!”

Se han lanzado las nuevas versiones de Joomla! 1.5.25 y 1.7.3, que solventa dos graves vulnerabilidades.

Joomla! es un sistema de gestión de contenidos y framework web muy popular para la realización de portales web. Cuenta con una la gran cantidad de extensiones de fácil integración que le proporcionan un gran potencial.

Detalle de vulnerabilidades: 

• La primera vulnerabilidad corregida permitía predecir una contraseña cuando es regenerada por el sistema.
• La segunda vulnerabilidad solucionada, afecta a las ramas 1.7.x y 1.6.x. Consistía en un “cross site scripting” provocado por un error en el filtrado de los parámetros que recibe la aplicación. Esto permite ejecutar código javascript a través de una url especialmente diseñada.

Recomendaciones.

Actualizar a las versiones 1.5.25 ó 1.7.3 que solucionan estos problemas.

Más información:

Joomla Released :

http://www.joomla.org/announcements/release-news/5392-joomla-173-released.html

http://www.joomla.org/announcements/release-news/5393-joomla-1525-released.html

Security advisories:

http://developer.joomla.org/security/news/9-security/10-core-security/375-20111103-core-password-change

http://developer.joomla.org/security/news/373-20111101-core-xss-vulnerability

Fix commit:

https://github.com/joomla/joomla-platform/commit/19310ab37399e78637ddb6ee64903f1b8066544c

Fuente: Hispasec

NUEVO SUPERCHIP DE 50 NÚCLEOS DE INTEL

Knights Corner, el nuevo superchip puede generar 1 teraflop de poder de procesamiento.

Knights Corner, el primero de la serie de microprocesadores MIC de Intel,  de tamaño similar a un microprocesador convencional y con más de 50 núcleos puede generar 1 teraflop de poder de procesamiento en una estructura de 22nm. 

•  La estructura de este nuevo microprocesador es de 22 nanómetros que Intel presentó en la SC ’11 y que promete sobrepasar la modesta cantidad de 1 TFLOPS de operaciones de punto flotante. 
• Este sistema de procesamiento está incluido en la arquitectura MIC (many integrated core) de Intel y se encargará de tareas de alta complejidad computacional como las que corresponden a la topografía, sismografía, simulación de escenarios y todas esas actividades que estás acostumbrado a leer junto a un artículo de un superordenador. 
• Knigths Corner, sería el primer producto manufacturado con la etiqueta de la arquitectura MIC, que promete retrocompatibilidad con x86, aun utilizando tecnología 3D Tri-gate de 22nm.

Fuente: www.abc.es

LOS MODELOS “ BlackBerry Bold 9900 y 9930” FALLAN

 Responsables de Research In Motion reconocieron un problema en BlackBerry Bold 9900 y 9930 que hace que dichos terminales dejen de funcionar después de haber estado cargando por la noche.

Por ahora se desconoce el origen de este fallo y la cantidad de usuarios que se ven afectados. 

Desde RIM sus responsables, no han querido dar más explicaciones, pero indicaron que se estaba trabajando en una solución que sería una actualización de software a la mayor brevedad posible.

Los dispositivos, BlackBerry Bold 9900 y 9930, cuentan con pantalla táctil y teclado físico QWERTY, y presumían de ser los más delgados de esta marca durante su presentación el pasado mes de agosto.

Además, lograron generar una notable expectación al contar con la nueva versión del sistema operativo BlackBerry 7.

Fuente : CrackBerry, The Verge

CIBERATAQUES EN EEUU Y NORUEGA

El FBI trabaja en un informe que afirma que 'ciberintrusos' lograron desactivar una bomba de un servicio de distribución de agua la pasada semana en el estado de Illinois (EEUU) 

El Departamento de Seguridad Nacional y el FBI están trabajando sobre el asunto, según el portavoz del primero, Peter Boogaard, quien puntualiza que "en estos momentos no hay datos creíbles o corroborables que indiquen un riesgo para la integridad de infraestructuras críticas o que exista una amenaza para la seguridad pública".

• De confirmarse podría suponer el primer 'ciberataque' procedente del extranjero contra una infraestructura industrial en EEUU.
• El incidente tuvo lugar el 8 de noviembre, según describe el informe del Centro de Terrorismo e Inteligencia de Illinois según cita el experto en protección de infraestructuras frente a posibles ataques cibernéticos, Joe Weiss.
• Los atacantes obtuvieron acceso a la red interna de un servicio público de agua en una comunidad rural del oeste la capital del estado, Springfield, con unas claves robadas de una empresa que desarrolla 'software' utilizado a los sistemas de control industrial, afirma Weiss, que no explica el motivo de los atacantes.
• Según el propio Weiss, ese mismo grupo podría haber atacado otros objetivos industriales o de infraestructura, o bien podría estar planeando volver a utilizar claves de acceso robadas de la misma compañía de desarrollo de 'software'.Weiss, que cita el informe sobre el ataque, afirma que no está claro si hay otras redes 'hackeadas' como resultado de de la vunlnerabilidad explotada del 'software' de control.
• Además, añade el experto que el fabricante de dicho 'software' mantiene el acceso a estas redes por parte de sus clientes, para que el personal de éstos pueda ayudar a apoyar a los sistemas."
• Una compañía tecnológica y otra de reparación de sistemas revisaron los sistemas afectados y concluyeron que el ataque había provenido de un ordenador situado en Rusia", comenta Weiss.
  
  
  La seguridad de SCADA

Grupos de expertos en seguridad cibernética aseguran que el presunto ataque pone de manifiesto el riesgo real de que los atacantes pueden entrar en lo que se conoce como Control de Supervisión y Adquisición de Datos (Supervisory Control and Data Acquisition, o SCADA). Se trata de sistemas altamente especializados que controlar infraestructuras críticas, desde instalaciones de tratamiento del agua hasta plantas de productos químicos y reactores nucleares, pasando por gasoductos, presas y control de líneas ferroviarias.

Otros ataques

• En Noruega la Agencia Nacional de Seguridad ha reconocido que varias industrias estratégicas del país han sido víctimas de un sofisticado ciberataque que ha logrado robar información sensible y secreta sobre negociaciones en curso.
• Las autoridades aseguran que por el momento hay infecciones y robos de datos confirmados en una decena de empresas pero sospechan que según avance la investigación se podrían descubrir muchos otros casos.
• El modus operandi descrito por las autoridades coincide con el de Duqu, aunque aún no se ha confirmado si este malware es el causante de los males en Noruega.

Fuente: Reuters, BBC

ACTUALIZACION QUE CORRIGE VULNERABILIDAD EN SERVIDORES “DNS BIND 9 “

El ISC (Internet Systems Consortium) ha publicado un parche que corrige una vulnerabilidad 0-day de denegación de servicio en el servidor DNS BIND 9.

BIND 9 es uno de los servidores DNS más extendidos que tiene su origen en el proyecto de cuatro estudiantes de la universidad de Berkley a principio de los años 80. BIND es código libre, publicado bajo la licencia BSD.

La vulnerabilidad, hasta ahora desconocida, fue descubierta reportada por varias organizaciones independientes al ISC como un error que afectaba a las consultas recursivas.

ISC no ha publicado detalles técnicos sobre el parche aplicado e incluso se encuentra en fase de estudio sobre la naturaleza y forma del o los exploits usados en los ataques que se han observado.

1. Sobre el parche, ISC comenta que se centra en la parte de código que procesa la consulta a la caché de la petición efectuada por el cliente.
2. Por una parte se impide a la caché devolver datos inconsistentes (un registro no válido) y por otro lado se previene la caída del proceso 'named' (nombre del proceso de BIND) si se ha detectado una petición de registro con formato no válido.
3. El error es explotable en remoto y no precisa de autenticación previa.

Versiones afectadas y recomendaciones:

• La vulnerabilidad, con el CVE-2011-4313, afecta a las versiones: 9.4-ESV, 9.6-ESV, 9.7.x, 9.8.x.
• Los parches están disponibles desde la página web del fabricante.

Más información:
BIND 9 Resolver crashes after logging an error in query.c
http://www.isc.org/software/bind/advisories/cve-2011-4313

Fuente: Hispasec

LOS ANTIVIRUS GRATUITOS PARA Android NO PROTEGEN

La organización alemana independiente AV-test.org, ha elaborado un informe que revela que casi todos los antivirus gratuitos para Android son inservibles.  

Resultados del informe:

• De los siete productos considerados en el análisis de AV-Test.org, todos disponibles vía Android Market, ninguno pudo superar las pruebas de detección.
• El peor de todos fue "Antivirus Free", de Creative Apps, que domina su categoría al estar instalado en casi cinco millones de unidades, según las estadísticas de la propia Google.
• Este producto no detecto ninguna de 10 aplicaciones dañinas instaladas durante la prueba. Su antivirus manual tampoco detectó siquiera uno de los 172 archivos inactivos (es decir, aún no instalados), que contenían código maligno.
• Las alternativas tuvieron un desempeño similar, y en el mejor de los casos lograron detectar una de diez amenazas.
• Una excepción, que le convierte en el único producto en evitar una descalificación total por parte de AV, es "Zoner AntiVirus Free", creado por una empresa del mismo nombre. Esta aplicación detectó el 32% del código maligno en modo de detección manual, junto con 8 de 10 aplicaciones malignas cuando el usuario intentó instalarlas.

Software comercial si detecta las amenazas

• En el informe se precisa que no es imposible detectar las amenazas para la plataforma Android. AV-Test.org probó también dos productos antivirus de actores comerciales, que obtuvieron resultados mucho mejores. Las aplicaciones para Android de Kaspersky y F-Secure detectaron y procesaron todo el malware probado en las pruebas de AV-test, que anuncia una nueva comparativa de antivirus comerciales para Android.

Conclusiones del informe: 

1. Los resultados de las pruebas de protección en tiempo real son sorprendentemente malos.
2. En el informe, AV-Test.org escribe que "la propagación de aplicaciones antivirus que son prácticamente inservibles ponen en peligro a quienes confían en ellas".
3. La disponibilidad y carácter abierto de la plataforma Android aparentemente la convierte en más vulnerable al malware que otros sistemas operativos móviles.
4. Google no analiza en un grado satisfactorio las aplicaciones ofrecidas mediante Android Market. La empresa ha sido criticada por su lentitud en eliminar aplicaciones malignas una vez detectadas. Una de las razones de lo anterior parece ser que los usuarios de Android pueden instalar aplicaciones ofrecidas por multitud de desarrolladores independientes.

Para más información descargar el documento desde la siguiente dirección.
http://www.av-test.org/fileadmin/pdf/avtest_2011-11_free_android_virus_scanner_english.pdf

Fuente: Diario Tecnológico

FALLO DE “iOS” PERMITE «APLICACIONES ESPÍA» EN “App Store”

El sistema operativo de móvil (iOS) de Apple tiene un fallo que permite a los los «hackers» introducir aplicaciones en la App Store que acceden y comparten toda la información del usuario. 

Detalles del fallo:

• El fallo ha sido descubierto por el investigador en seguridad informática Charlie Miller que en declaraciones a Forbes, afirmó que el fallo se encuentra en la firma de código en los dispositivos móviles, la medida de seguridad que permite que sólo Apple apruebe comandos para ejecutar en un iPhone o en la memoria del iPad.
• El fallo permite introducir aplicaciones con «malware» en el App Store sin que ni Apple ni los desarrolladores lo detecten.

Detalles del programa espía de Miller en la App Store:

• El programa «Instastock» creado por Miller aparece en la lista de cotizaciones de bolsa que a su vez comunica con un servidor en la casa del propio experto en seguridad.
• De este modo, al descargar o instalar la aplicación en el iPhone, iPod Touch o iPad se conecta automáticamente de manera remota y muestra toda la información del dispositivo, desde los correos electrónicos, videos, fotos hasta una manipulación del sonido y la vibración.

Fuente: www.abc.es

DETECTADAS VULNERABILIDADES EN “ Mozilla Firefox y Thunderbird “

Descubiertas vulnerabilidades en Mozilla Firefox y Thunderbird que potencialmente podrían permitir la revelación de información sensible, evadir restricciones de seguridad, realizar ataques Cross-Site Scripting, ejecutar código arbitrario, elevar privilegios y causar denegación de servicio.

Firefox y Thunderbird son productos de Mozilla.Thunderbird es un cliente de correo electrónico y Firefox es el segundo navegador web más utilizado por los internautas. 

Versiones afectadas:

• La mayoría de las vulnerabilidades descubiertas afectan a las versiones de la 3.x hasta la 7.x de Mozilla Firefox y las versiones 3.x y de la 5.x hasta la 7.x de Thunderbird.

Recomendaciones:

• A través de la página oficial y el FTP de Mozilla se encuentran disponibles las versiones 3.6.24 y 8.0 de Firefox así como las 3.1.6 y 8.0 de Thunderbird, que corrigen las vulnerabilidades

Más información en Mozilla Foundation Security Advisories :

http://www.mozilla.org/security/announce/2011/mfsa2011-46.html

http://www.mozilla.org/security/announce/2011/mfsa2011-47.html

http://www.mozilla.org/security/announce/2011/mfsa2011-48.html

http://www.mozilla.org/security/announce/2011/mfsa2011-49.html

http://www.mozilla.org/security/announce/2011/mfsa2011-50.html

http://www.mozilla.org/security/announce/2011/mfsa2011-51.html

http://www.mozilla.org/security/announce/2011/mfsa2011-52.html

Fuente: Hispasec

¿ NOS ESPIAN CUANDO ESCRIBIMOS “EMAIL” O “ SMS” EN LUGARES PUBLICOS?

Investigadores de la Universidad de Carolina del Norte han demostrado que es posible espiar a distancia cuando escribimos "email" y "sms".

Y ello es posible gracias al nuevo software bautizado como iSpy, capaz de identificar el texto introducido en una pantalla táctil descifrando las letras que se pulsan en función del movimiento de los dedos. De esta forma, es capaz de reproducir el mensaje que está escribiendo.

Éxito garantizado al 90%:

• “Podemos estar en el segundo piso de un edificio y leer un teléfono que esté en la planta baja”, asegura el investigador Jan-Michael Frahm.
• Según los responsables del experimento, la probabilidad de acierto es del 90%, ya que en algunas letras cercanas puede haber errores.
• Además de cotillear los mensajes, iSpy podría descifrar las contraseñas que los usuarios introducen para entrar en sus cuentas e incluso en sus servicios de banca online.

Distancia de captación:

• La distancia desde la que iSpy puede llegar a funcionar depende del tipo de cámara utilizada para grabar:
• Con una cámara de las que normalmente se integran en los teléfonos móviles se puede espiar a una distancia de 3 metros,
• Con una cámara réflex digital HD se podrían leer mensajes hasta desde 60 metros de distancia.

Fuente: Gizmodo, New Scientist

VULNERABILIDAD EN “PhpMyAdmin”

Se ha informado de una vulnerabilidad en PhpMyAdmin que podría permitir a un atacante con permisos para la creación de bases de datos, leer ficheros arbitrarios del servidor donde se aloja la aplicación.

La vulnerabilidad ha sido descubierta por 80sec y publicada a través de la web china de recopilación de exploits, wooyun.org

Detalles de la vulnerabilidad:

• El fallo se localizaría en la función 'simplexml_load_string' del fichero 'libraries/import/xml.php'. Un atacante remoto autenticado podría obtener información sensible a través de un fichero XML especialmente manipulado.
• Junto con el advisory se ha hecho pública una prueba de concepto que demuestra la vulnerabilidad. 

Sistemas y versiones afectadas:

• El problema está confirmado en la versión 3.4.7, aunque posiblemente afecte a otras. No se ha publicado solución oficial aún.
• Este escenario es especialmente crítico en sistemas de hosting compartido.

Más información en:
http://www.80sec.com/xml-entity-injection.html

Fuente: Hispasec

VULNERABILIDAD EN “Apache “

Publicada en la página web http://www.halfdog.net/ una vulnerabilidad en Apache que afecta a la versión 2.2.20 y anteriores que permitiría elevar privilegios a un atacante con cuenta en la máquina.

Detalles de la vulnerabilidad:

• La vulnerabilidad se encontraría en la función 'ap_pregsub' del fichero 'server/util.c' al ser llamada por el módulo 'mod-setenvif'.
• Causaría un desbordamiento de enteros por el que un atacante local podría ejecutar código empleando para ello un fichero .htaccess especialmente manipulado.
• Los privilegios bajo los que se ejecutaría el código serían los mismos que el servidor Apache (habitualmente "nobody", "www", etc.). En entornos de hosting compartido, esto podría ocasionar numerosos problemas.
• Con el ataque se podrían conseguir desde ralentizar el servidor y provocar una denegación de servicio, hasta la ejecución de código con los privilegios del servidor.
• El atacante debe tener disponer de los permisos necesarios para crear un fichero .htaccess especialmente manipulado y el módulo mod_setenvif debe estar siendo usado por Apache.

Recomendaciones:

Aunque no existe solución oficial por el momento podrían aplicarse dos soluciones temporales para minimizar el daño

1. La primera de ellas sería deshabilitar el módulo implicado.
2. La segunda pasaría por imposibilitar el uso de ficheros .htaccess en aquellos directorios en los que los usuarios tuviesen permisos de escritura empleando para ello la secuencia "AllowOverride None".

Más información:

Integer Overflow in Apache ap_pregsub via mod-setenvif
http://www.halfdog.net/Security/2011/ApacheModSetEnvIfIntegerOverflow/

Fuente: Hispasec

MICROSOFT EXPLICA COMO PROTEGERSE DE “DUQU”

Microsoft publicó un boletín sobre qué vulnerabilidad aprovecha Duqu y cómo protegerse. Se trata de una elevación de privilegios en el sistema, a causa de un error en el tratamiento de ciertos tipos de fuentes.

Detalles de la vulnerabilidad:

• El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar ciertas fuentes permite que una aplicación eleve privilegios y consiga control total del sistema. Así, Duqu podría conseguir los permisos necesarios para incrustarse en Windows.

Recomendaciones de Microsoft:

• El boletín de Microsoft aconseja bloquear el acceso a la librería t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través de una contramedida, para proteger a sus usuarios aconseja limitar el acceso a una de las librerías involucradas en el procesado de las fuentes incrustadas.
• Para aplicar la contramedida, Microsoft aconseja quitar todos los permisos de acceso a la librería t2embed.dll, situada en %windir%\system32\ en versiones de 32 bits y "%windir%\syswow64\ en versiones de 64 bits.

Modos de aplicar las contramedidas:

1. A través del menú contextual de seguridad del archivo (en varios pasos: tomando el control, eliminando los permisos heredados y luego negando el acceso al grupo "Todos")

2. Por medio de la línea de comandos:

Para XP y 2003:

cacls "%windir%\system32\t2embed.dll" /E /P todos:N

Para 7 y Vista:

icacls.exe "%windir%\system32\t2embed.dll" /deny todos:(F)

teniendo en cuenta que antes hay que hacerse dueño del archivo (en Windows 7 es posible que pertenezca al usuario TrustedInstaller, que protege el archivo y lo reemplaza de una caché en caso de que no lo encuentre). Para ello, se puede hacer por línea de comandos:

Takeown.exe /f "%windir%\system32\t2embed.dll"

3. Otra posibilidad, es aplicar el "Fix it" de Microsoft (un programa que automáticamente realiza estos cambios). Disponible desde: http://support.microsoft.com/kb/2639658


Más información:

Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege
http://technet.microsoft.com/en-us/security/advisory/2639658

Fuente: Hispasec

DUQU SE CUELA EN WINDOWS POR UNA VULNERABILIDAD NO CORREGIDA

Los expertos siguen investigando el origen y el alcance del troyano Duqu, nombrado como sucesor de Stuxnet, que habría aprovechado una vulnerabilidad de Windows para colarse en los equipos a través de un documento de Word.

Detalle del ataque

• Según los investigadores, este troyano ha aprovechado una vulnerabilidad día zero hasta ahora desconocida del kernel de Windows para entrar en los equipos a través de un archivo de instalación en Microsoft Word.
  
  
• Microsoft ya está al tanto del problema y aseguran que están trabajando para lanzar una solución en el próximo boletín de seguridad.

Paises afectados:  

• Los expertos han trazado un mapa para reflejar el grado de expansión de Duqu, que ya ha infectado a varias compañías de Francia, Países Bajos, Suiza, Ucrania, India, Irán, Sudán y Vietnam. Además se han registrado ataques en Austria, Hungría, Indonesia, Reino Unido e Irán, aunque aún no han sido confirmados.
• Una vez que Duqu entra en un equipo de la empresa, es capaz de propagarse hacia el resto de ordenadores a través de unidades de red compartidas o de redes peer-to-peer.

Más información en Symantec

http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-exploit

Fuente: The Inquirer

LAS “socialbotnets” BUSCAN AMIGOS EN “Facebook”

Un grupo de investigadores ha realizado un experimento para demostrar los peligros de las llamadas “socialbots”, redes de ordenadores zombies que buscan amigos en usuarios reales de Facebook para robar sus datos.

¿Qué son las “socialbots”?

• Al igual que una botnet “tradicional”, la socialbot consiste en una red de ordenadores infectados controlada por un ciberdelicuente, pero en este caso en lugar de utilizarse para enviar spam de forma masiva se usa para hacerse pasar por usuarios reales en Facebook.

¿Cómo actúan las “socialbots” en Facebooks ?

• Las “socialbots” toman el control de perfiles de Facebook e imitan la forma de actuar de los miembros de esta red social.
• Su objetivo es convencer al mayor número posible de usuarios para que acepten sus solicitudes de amistad y poder acceder a sus datos, que después serán utilizados en campañas masivas de spam y phishing.
• Al parecer, este tipo de programas se pueden obtener en el mercado negro de la ciberdelincuencia por tan sólo 24 dólares.

¿Detalles y conclusiones del experimento ?

• Los investigadores de la Universidad de Columbia crearon un total de 102 socialbots y una “botmaster” desde la que se enviaban las órdenes a los equipos infectados.
• El experimento se prolongó durante ocho semanas, tiempo en el que las socialbots consiguieron hacer un total de 3.055 amigos en Facebook a los que robaron 46.500 direcciones de correo electrónico y 14.500 direcciones postales.
• El sistema de detección de fraude de Facebook no se activó en ningún momento ya que sólo enviaban 25 peticiones al día para no levantar sospechas.

Respuesta desde Facebooks.

• Facebook ha calificado esta investigación como exagerada y poco ética.
• En este sentido, los portavoces de la red social sostienen que su sistema antifraude no se activó porque las direcciones IP de este experimento correspondían a las de un centro universitario de confianza.

Fuente: BBC news

CIBERATAQUES CONTRA EMPRESAS QUÍMICAS

Descubierta una red china de ciberespionaje diseñada para obtener información confidencial de empresas pertenecientes de la industria química a través de un troyano denominado “Poison Ivy”.

La red según paece, ha estado funcionando de junio a septiembre, buscando obtener información sensible sobre “patentes, fórmulas y procesos de manufactura” de empresas que fabrican compuestos y materiales químicos avanzados.

• El origen de estos ataques se ha encontrado en China, al norte del país desde donde se habrían enviado los correos electrónicos infectados.
• Los emails contenían un troyano llamado “Poison Ivy” camuflado bajo la apariencia de invitaciones a eventos empresariales o actualizaciones de software.
• Según los expertos en seguridad, el objetivo de esta red de ciberespionaje eran 48 grandes empresas, la mayoría de ellas con sede en Estados Unidos y el Reino Unido.
• De estas compañías, al menos 29 se dedican a la investigación química, mientras que el resto pertenecen al ámbito de Defensa.

Más información en :

Reuters

http://www.reuters.com/article/2011/10/31/us-cyberattack-chemicals-idUSTRE79U4K920111031

Fuente: Hispasec

NUEVAS VULNERABILIDADES EN LA SUITE “ OmniTouch Instant Communication “

Investigadores de la empresa Tele-consulting, descubrieron diferentes vulnerabilidades en la suite OmniTouch de Alcatel-Lucent.

El sistema ICS de Alcatel ofrece servicios de comunicación unificados a través de diferentes medios de acceso tales como dispositivos móviles y clientes web.

Destacar las características del cliente web webICS que permitiría servicios finales al usuario tales como acceso a directorios personales y globales, redirección de llamadas...

• Es precisamente en este cliente web donde se encontrarían las vulnerabilidades descubiertas que permitirían, entre otros, ataques de cross site scripting (XSS), tanto persistentes como no, así como cross site request forgery (CSRF).
• Uno de los posibles ataques que se podrían realizar sería el cambio de la configuración del teléfono del usuario final causando una redirección de llamada a través de un XSS almacenado en la libreta de direcciones.
• Las vulnerabilidades tienen asignados los siguientes CVE: CVE-2011-4058 y CVE-2011-4059. 
• Alcatel-Lucent ha publicado un hotfix que corregiría estas vulnerabilidades.

Más información en:

• TC-SA-2011-01: Multiple vulnerabilities in OmniTouch Instant Communication Suite

http://www.tele-consulting.com/advisories/TC-SA-2011-01.txt

Fuente: Hispasec

FALLO DE SEGURIDAD EN “Facebook “ PERMITE ENVÍO DE EJECUTABLES

El investigador de seguridad Nathan Power ha descubierto un fallo en la subida de ficheros de Facebook que podría permitir el envío de cualquier tipo de fichero a través de los mensajes de la red social.

Facebook, a través de su servicio de mensajes entre sus usuarios, permite el envío de archivos adjuntos que no sean archivos ejecutables, por tanto la plataforma realiza ciertas comprobaciones sobre el fichero enviado para evitar que se trate de un binario.

• Según ha confirmado el investigador, todas las comprobaciones sobre el contenido del mensaje se limitan a analizar la extensión del nombre del fichero indicado.
• Facebook fue avisado el día 30 de septiembre, pero no respondió hasta pasado casi un mes

Más información en:

• Facebook Attach EXE Vulnerability

http://www.securitypentest.com/2011/10/facebook-attach-exe-vulnerability.html

Fuente: Hispasec