9 de junio de 2013

ORACLE INFORMA DEL FUTURO DE LA SEGURIDAD DE JAVA EN EL NAVEGADOR

Oracle se ha pronunciado sobre la seguridad de Java y la gestión de sus applets. Como responsable de una inmensa mayoría de las infecciones a través del navegador, es interesante conocer qué planes tiene la compañía para este producto en el futuro.

Oracle debe tomar cartas en el asunto. Desde principios de 2013 ha comenzado una estrategia para mejorar la seguridad de Java en el navegador, pero el tiempo se le echa encima. Además, Oracle es una compañía que no se caracteriza por dinamizar sus productos. Es muy conservadora y en seguridad, siempre ha supuesto un considerable desastre que les ha acarreado una fama de la que les cuesta librarse. El desarrollador jefe de Java, Nandini Ramani, ha escrito un post hablando del futuro de la seguridad en Java, sus planes y una pequeña valoración del estado del producto.

Si en 2012 se cerraron 58 vulnerabilidades, en lo que llevamos de 2013 (solo la mitad) ya se han solucionado 97. Ramani achaca este incremento a que desde la compra del producto a Sun, Java está ahora sometido a los estrictos estándares de seguridad de Oracle. De hecho explica que se están usando más "herramientas automáticas" para "abarcar más código" y evitar así que se introduzcan nuevas vulnerabilidades.

Los números no son definitivos para valorar la seguridad. Como ya se ha mencionado, Chrome en cantidad de vulnerabilidades corregidas es un desastre pero se puede considerar el navegador más seguro por otros factores. En este caso el problema es además de la cantidad, la calidad: fallos graves y muy relevantes que han sido corregidos muy tarde, que siguen siendo tremendamente explotados, que son sencillos de aprovechar por los atacantes, o que han surgido en forma de 0day. El problema no es que corrija gran cantidad de fallos (que puede considerarse algo positivo y bien visto) sino que la "calidad" de estos fallos es muy atractiva para los atacantes. De esos casi 100 fallos en 2013, se explotan activamente muy pocos, apenas media docena, que son muy efectivos entre las víctimas.

Así que a partir de octubre, Oracle publicará parches de forma coordinada con el resto de sus productos. Cuatro veces al año y cada tres meses. Esta medida va en línea con la que adoptó hace poco y en la que se propuso una nueva estrategia de numeración de sus versiones. Ramani también afirma lo que ya veníamos avisando que tendría que pasar tarde o temprano. Terminará por bloquear por defecto los applets no firmados y los autofirmados. En Java 7 u21 se introdujo algo positivo: estar firmado ya no significaba necesariamente salir de la sandbox. Así que siguen peleando en este aspecto para que la criptografía sea realmente útil en su modelo de seguridad.

También parece que van a modificar su pobre modelo de lista negra de applets. Se trata de un fichero de texto plano que se descarga con cada nueva versión. Van a dinamizarlo publicando actualizaciones diarias. Esto es curioso puesto que hasta ahora, se actualizaba muy de vez en cuando. Apenas contiene 40 bloqueados en estos momentos y la cifra no ha variado demasiado en los últimos años. Esto terminará en la activación del Online Certificate Status Protocol (OCSP) por defecto. Por último, entre otras medidas, planean un sistema de seguridad que sea más útil para un administrador, y le permita elegir durante la instalación qué nivel de seguridad proporcionar.

En el apartado de servidor, debido a la mala fama que le está otorgando el Java "de cliente" en las empresas, separarán claramente el "Server JRE" para que los administradores de servidores no tengan miedo de instalar su parte servidora debido a los problemas en el plugin (parte cliente), y reducir así el vector de ataque.

Estas son medidas lógicas, cuyas carencias ya veníamos criticando en una-al-día desde hace tiempo como fallos básicos en la seguridad en conjunto de Java y los applets. Al menos se muestra la voluntad de cambio, aunque sea tarde y en un periodo no determinado (probablemente necesite todo 2013 para realizar estos movimientos).

Más información:
Maintaining the security-worthiness of Java is Oracle’s priority

Fuente: Oracle

OJO, EL CARGADOR PUEDE HACKEAR TU iPhone

Además de no equivocarte con la tensión si viajas al extranjero en la conferencia de seguridad del mes próximo se mostrará el daño que puede causar en los smartphone de Apple un cargador convenientemente preparado para dañar.
Todos los años la conferencia Black Hat nos muestra los últimos desarrollos en materia de seguridad e intrusión.
El próximo mes de julio todo el mundo prestará atención a la exposición de los tres investigadores del Instituto Tecnológico de Georgia y un prototipo de cargador para iPhone que hará algo más que recargar la batería: instalará malware de manera invisible para el propietario del smartphone. En concreto para los que tengan la última versión del sistema operativo iOS y no tardará ni un minuto en hacerse con el control de la situación.
No será la primera vez que un cargador se emplea como método para atacar a los móviles de Apple pero sí se supone que será el primer ejemplo de un hackeo automatizado exitoso para un iPhone que no haya sufrido el famoso jailbreak, lo que supone una amenaza adicional para la seguridad de estos terminales.
Por el momento el único problema de cierta entidad que está encontrando este grupo tiene que ver con el tamaño del hardware requerido para el ataque, que supera ligeramente el espacio disponible en el interior de un cargador convencional de Apple para los iPhone pero al menos sirve para comprobar la viabilidad de este tipo de ataques, señalando una debilidad de la combinación de cargador y puerto de datos común a los dispositivos móviles actuales, así como el riesgo potencial de utilizar despreocupadamente los cargadores disponible sen ocasiones en lugares públicos, especialmente si no ves más que el cable y no puedes comprobar fehacientemente que el cargador es uno oficial.
Por el momento podemos estar tranquilos puesto que este grupo de investigadores ya han compartido con Apple la brecha de seguridad expuesta con su método por lo que es de suponer que quedará zanjada con la próxima actualización de iOS
Fuente: Forbes

FIREFOX 21 INCLUYE NUEVOS PRODUCTOS PARA ESCRITORIO Y ANDROID.


"Las redes sociales son una parte fundamental de nuestra vida digital y queremos que con Firefox te sea más fácil usar la Web de la forma que quieres", escribe Mozillla, poniendo de relieve que la versión 21 de Firefox pone el acento en la dimensión social.
Mozilla desarrolló la Social API con el fin de permitir a los proveedores de plataformas sociales que se integraran directamente en Firefox hacer la experiencia del usuario más social, personalizable y única. La Social API facilita a losproveedores de redes sociales favoritos del usuario agregar una barra lateral al navegador Firefox, o alternativamente, botones de notificación directamente en la barra de herramientas de Firefox.
El año pasado, Mozilla Lanzo incorporado en Facebookimprimación pareja como la integración social en Firefox. En esta oportunidad añade tres nuevos proveedores de plataformas sociales: Cliqz, Mixi y msnNow, que se suman a Facebook Messenger para Firefox.
“Las nuevas redes sociales integradas en Firefox te permitirán estar en contacto de forma más sencilla con amigos, familiares, o a la hora de leer noticias y eventos de interés mientras navegas por la Web. Puedes chatear con tus amigos o tener actualizaciones en tiempo real de noticias, eventos o tus redes personales”, escribe Mozilla en su blog oficial.
Los tres nuevos proveedores de redes sociales son Cliqz, Mixi (Japón) y MsnNow.

Fuente: Diarioti.com

NUEVOS BOLETINES DE SEGURIDAD DE MICROSOFT EL MARTES

Microsoft ha dado un adelanto de los boletines que serán publicados el próximo martes 11 de junio en su ciclo de actualizaciones. Serán cinco boletines y afectarán a Internet Explorer, Microsoft Windows y Microsoft Office con diferentes impactos.
  1. En esta ocasión solo uno de los boletines ha sido calificado como crítico. Soluciona fallos que podría permitir la ejecución de código remoto y afecta a Internet Explorer en versiones desde la 6 hasta la 10, dependiendo del sistema operativo. El resto de boletines ha sido marcado como importante.
  2. El segundo tratará vulnerabilidades que podrían revelar información sensible para Microsoft Windows en las versiones XP, 2003, Vista, 2008 Server, 7 y 8, pero solo en arquitecturas de 32 bits.
  3. Los boletines tercero y cuarto afectan también al sistema operativo Windows, esta vez en sus versiones Vista, Server 2008 (también R2), 7, 8, Server 2012 y RT. Solucionarán problemas que pueden dar lugar a la denegación de servicio y elevación de privilegios, respectivamente.
  4. Finalmente, una última actualización tratará vulnerabilidades que podrían desembocar en la ejecución de código remoto, esta vez en Office 2003 y 2011 para Mac.
No se sabe si estos boletines corregirán el problema de elevación de privilegios dado a conocer hace poco por Tavis Ormandy y del que existe ya prueba de concepto.
Junto con estos boletines, Microsoft también actualizará su herramienta "Microsoft Windows Malicious Software Removal Tool", disponible desde Windows Update, Microsoft Update, Windows Server Update Services y su centro de descargas.
Más información:

Fuente: Hispasec

LOS MIL USOS DEL GRAFENO


El milagro del siglo XXI parace ser el grafeno, porque entre otras cosas parece que sirve para todo.
Ahora al material cuyos inventores recibieron el premio Nobel, que sirve para hacer procesadores, células solares, recubrimientos ultrarresistentes, pantallas táctiles, altavoces de alta calidad de reproducción sonora… y le ha salido una nueva utilidad como es la de servir para generar emisiones amplificadas de luz por emisión de radiación, lo que viene siendo un láser.
Recordemos que la particularidad del grafeno es la de organizarse como una malla del grosor de un átomo a modo de lámina, y al parecer el último descubrimiento es que puede absorber la luz en un determinado rango de ondas del espectro luminoso.
A partir de ahí puede liberar la luz que absorbe en pequeños y rápidos pulsos de apenas unos femtosegundos de duración (un femtosegundo es la millonésima de la milmillonésima de un segundo), en un modo similar al que lo hacen los láseres. Empleando grafeno en lugar de los materiales habituales los científicos pueden desarrollar láseres de tamaño diminuto que no sufran las complicaciones derivadas de las elevadas temperaturas de los láseres habituales de gran intensidad.
La multiplicidad de aplicaciones que esto podría tener, el día que llegue a desarrollarse, puede ser amplísima, desde la Medicina a la monitorización de la polución o la transmisión de información.

Fuente: Engadget

EEUU ESPÍA A TRAVÉS DE LOS SERVIDORES DE APPLE, GOOGLE Y FACEBOOK


Según ha desvelado The Washington Post, el Gobierno recopila datos de usuarios de Apple, Google y otras siete tecnológicas.
  • La Agencia Nacional de Seguridad (NSA) y el FBI han accedido a los servidores de nueve empresas de Internet para extraer información útil para Inteligencia, según ha revelado este jueves el diario estadounidense The Washington Post.
  • El diario ha indicado, basándose en un documento secreto, que la NSA y el FBI se han servido para ello del programa PRISM, que se puso en marcha en los últimos años de la administración de George W.Bush y que ha seguido con la de Barack Obama. El PRISM surgió de las cenizas del programa secreto del Gobierno de Bush de órdenes de vigilancia nacional, que concluyó en 2007, después de que los medios de comunicación y de que la Corte de Inteligencia Extranjera obligaran a la Casa Blanca a cancelarlo.
  • Entonces, el Congreso aprobó dos leyes para garantizar la inmunidad a las empresas privadas que cooperaran voluntariamente con la Inteligencia, lo que permitió la creación del PRISM. Solo dos legisladores conocían su existencia, pero estaban obligados a guardar secreto.
  • En el PRISM participarían voluntariamente Microsoft, Facebook, Google, Apple, Yahoo, Skype, YouTube, AOL y PalTalk, y ha sido muy útil para el seguimiento de la Primavera Árabe y de la guerra civil siria. Además, el documento secreto apunta a que Dropbox podría sumarse "pronto".
  • El objetivo del PRISM es recabar información a través del tráfico internacional -aunque también estadounidense- que pasa por los servidores de estas compañías en correos electrónicos, fotografías, audios y vídeos para seguir la pista a un objetivo extranjero o nacional de interés para la Inteligencia.
  • Hasta la aprobación del PRISM, el Gobierno tenía que demostrar la conexión entre un "objetivo" y una "instalación" a las redes terroristas o de espionaje para acceder a la información contenida en esta "instalación".
  • Los responsables del PRISM han tratado de proteger al máximo a los participantes. "El 98 por ciento de la producción del PRISM se basa en Microsoft, Google y Yahoo. Necesitamos asegurarnos de que estas fuentes no sufran daños", reza el documento secreto.
  • Funcionarios de Inteligencia han descrito al PRISM como la herramienta más prolífica para los informes presidenciales, ya que fue mencionada hasta en 1.477 el año pasado. De hecho, "se está convirtiendo en la mayor soporte de la NSA".
  • El PRISM es heredero de una larga historia de cooperación entre la Inteligencia estadounidense y alrededor de un centenar de empresas privadas asentadas en el país norteamericano que comenzó en la década de 1970.
  • Las empresas lo desmienten
  • La mayoría de las nueve empresas citadas por The Washington Post han desmentido ya que hayan permitido a la Inteligencia estadounidenses acceder a sus servidores centrales.
  • Microsoft, que según el diario estadounidense fue el primero en sumarse al PRISM, ha asegurado que no participa voluntariamente en ninguna campaña de recolección de datos del Gobierno y que solo cumple "con solicitudes sobre cuentas o identidades específicas".
  • "No hemos proporcionado a ninguna organización gubernamental acceso directo a nuestros servidores", ha dicho el jefe de Seguridad de Facebook. "Cuando recibimos una solicitud de ese tipo, la escrutamos cuidadosamente con la legislación vigente", ha aseverado.
  • Google, en la misma línea, ha negado tajantemente que haya creado una "entrada secreta" para la Inteligencia estadounidense, subrayando que nunca ha dado semejante acceso a los datos de sus usuarios. "Nunca hemos oído hablar del PRISM", ha sostenido, por su parte, un portavoz de Apple. "No damos acceso a nuestros servidores a ninguna agencia gubernamental y cualquiera que quiera hacerlo debe traer una orden judicial", ha subrayado.
  • Yahoo, a través de un comunicado, ha dicho que se toma "muy en serio la privacidad de los usuarios". "No damos al Gobierno acceso directo a nuestros servidores, sistemas o redes", ha aclarado.

Fuente: The Washington Post