15 de enero de 2014

BLACKPHONE. El primer móvil anti-espías

Las actividades de la NSA han llevado a la empresa norteamericana Silent Circle y la española Geeksphone a trabajar en un móvil más seguro.

Silent Circle y Geeksphone han anunciado este miércoles la creación de una joint venture en Suiza cuyo primer producto será Blackphone, un smartphone pensado para mantener la privacidad y la seguridad de sus usuarios. Para ello están preparando una versión modificada de Android llamada PrivatOS que permitirá realizar y recibir llamadas seguras, intercambiar mensajes de texto seguros, transferir y almacenar ficheros, y videoconferencia sin comprometer la privacidad del usuario al usar el terminal.

Entre los promotores de este proyecto destaca Phil Zimmermann, creador de PGP, el más popular sistema de cifrado y firma digital de correos electrónicos: "He empleado toda mi carrera en conseguir dispositivos móviles seguros y con Blackphone hemos logrado proveer a los usuarios de todo lo que necesitan para asegurar su privacidad y el control de sus comunicaciones, sin renunciar a las características que pueden esperar de un smartphone de alta gama".

El teléfono será presentado en el Mobile World Congress de Barcelona el 24 de febrero, momento en el cual se abrirá el periodo de reservas. Habrá que esperar hasta entonces para conocer sus características técnicas.

Más información
Fuente: Libertad digital.com

ORACLE. Actualización crítica (enero 2014)

Oracle ha lanzado una actualización que tal y como informaba en un post ayer, que soluciona 144 vulnerabilidades en una gran cantidad de productos. La actualización se la considera crítica.
Recursos afectados
  1. Oracle Database Server
  2. Oracle Fusion Middleware
  3. Oracle Hyperion
  4. Oracle E-Business Suite
  5. Oracle Supply Chain Products Suite
  6. Oracle PeopleSoft Products
  7. Oracle Siebel CRM
  8. Oracle iLearning
  9. Oracle Financial Services Software
  10. Oracle Java SE
  11. Oracle and Sun Systems Products Suite
  12. Oracle Linux and Virtualization
  13. Oracle MySQL
Detalle e Impacto potencial de las vulnerabilidades subsanadas
  • 5 vulnerabilidades afectan a Oracle Database Server, con CVSS 2.0 de entre 5.0 y 3.5, una de ellas explotable remotamente y sin autenticación.
  • 22 vulnerabilidades afectan a Oracle Fusion Middleware, con CVSS 2.0 de entre 10.0 y 1.5, 19 de ellas explotables remotamente y sin autenticación.
  • 2 vulnerabilidades afectan a Oracle Hyperion, con CVSS 2.0 de 7.1 y 5.5, ninguna explotable remotamente y sin autentiación.
  • 4 vulnerabilidades afectan a Oracle E-Business Suite, con CVSS 2.0 de entre 5.5 y 1.7, una de ellas explotable remotamente y sin autenticación.
  • 16 vulnerabilidades afectan a Oracle Supply Chain Products Suite, con CVSS 2.0 entre 5.5 y 3.5, 6 de ellas explotables remotamente y sin autenticación.
  • 17 vulnerabilidades afectan a Oracle PeopleSoft Products, con CVSS 2.0 entre 5.0 y 2.6, 10.0 de ellas explotables remotamente y sin autenticación.
  • 2 vulnerabilidades afectan a Oracle Siebel CRM, con CVSS 2.0 de 5.0 y 2.8, una de ellas explotable remotamente y sin autenticación.
  • Una vulnerabilidad afecta a Oracle iLearning, con CVSS 2.0 de 4.3, explotable remotamente y sin autenticación.
  • Una vulnerabilidad afecta a Oracle Financial Services Software, con CVSS 2.0 de 10.0, explotable remotamente y sin autenticación.
  • 36 vulnerabilidades afectan a Oracle Java SE, con CVSS 2.0 de entre 10.0 y 4.0, 34 de ellas explotables remotamente y sin autenticación.
  • 11 vulnerabilidades afectan a Oracle and Sun Systems Products Suite, con CVSS 2.0 entre 7.2 y 1.7, una de ellas explotable remotamente y sin autenticación.
  • 9 vulnerabilidades afectan a Oracle Linux and Virtualization, con CVSS 2.0 entre 6.8 y 2.4, 4 de ellas explotables remotamente y sin autenticación.
  • 18 vulnerabilidades afectan a Oracle MySQL, con CVSS 2.0 entre 10.0 y 2.6, 3 de ellas explotables remotamente y sin autenticación.
Recomendación
Fuente: Inteco

WELLINTECH Múltiples vulnerabilidades

Vulnerabilidades de ejecución de código remota y revelación de información en las aplicaciones WellinTech KingSCADA, KingAlarm&Event, y KingGraphic. El nivel de importancia asignado es crítico.
WellinTech es un fabricante mundial de software SCADA y proporciona productos y servicios SCADA. WellinTech situado en el sur de California, y tiene representación en Japón, Singapur, Taiwán y Europa. WellinTech se especializa en los campos de la automatización y de control y ofrece un potente software HMI SCADA, bases de datos Histórico Industrial y soluciones totales para el sistema de información en tiempo real.
Recursos afectados
  1. KingSCADA 3.1 y todas las versiones previas.
  2. KingAlarm&Event 2.0.2 y todas las versiones previas.
  3. KingGraphic 3.1 y todas las versiones previas.
Detalle e impacto de las vulnerabilidades detectadas
Un atacante remoto puede explotar estas vulnerabilidades con el objetivo de adquirir las credenciales de acceso a la base de datos como un usuario legítimo o ejecutar código remotamente en el contexto del proceso objetivo.
  1. Vulnerabilidad de revelación de información.- La autenticación en este servicio es realizada localmente a través de la consola KAEClientManager, pero no contra conexiones remotas. Un atacantes remoto con conocimientos del protocolo propietario puede enviar paquetes especialmente manipulados al puerto TCP 8130, con el objetivo de revelar las credenciales.
  2. Vulnerabilidad de ejecución remota de código ActiveX.- Ajustando adecuadamente la propiedad ProjectURL, es posible para un atacante descargar un archivo DLL arbitrario desde una localización remota y ejecutar el código en la DLL en el contexto del proceso objetivo.
Recomendación
WellinTech ha liberado la versión 3.5 de KingSCADA que mitiga estas vulnerabilidades. El fabricante ha proporcionado los siguientes enlaces para descargar la última versión:
  1. KingSCADA.- http://www.kingview.com/en/downloads/Downloads/1312/KingSCADA3.1.2_EN.zip
  2. KingAlarm&Event.- http://www.kingview.com/en/downloads/Downloads/1312/KingAlarm&Event3.1_EN.zip
  3. KingGraphic.- http://www.kingview.com/en/downloads/Downloads/1312/KingGraphic3.1.2_EN.zip
NCCIC/ICS-CERT alienta a los propietarios a tomar medidas defensivas adicionales para protegerse ante éste y otros riesgos:Minimizar la exposición a la red en todos los dispositivos del sistema de control.
Los dispositivos críticos no deberían conectarse directamente a Internet.Localizar redes de sistemas de control y dispositivos remotos detrás de cortafuegos, y aislarlos de la red corporativa.Cuando se requiera acceso remoto, usar métodos seguros, tal como Redes Privadas Virtuales (VPNs), reconociendo que la VPN solo es tan segura como los dispositivos conectados.
Más información
Fuente: Inteco

Vulnerabilidad en Schneider Electric ClearSCADA

Detectada una vulnerabilidad en el Schneider Electric SCADA Expert ClearSCADA que genera consumo no controlado de recursos. La vulnerabilidad le han asignado un nivel de importancia medio.
ClearSCADA es una plataforma de software abierto que proporciona características de gran alcance para la gestión remota de la infraestructura crítica. Es escalable para grandes entornos empresariales y eficaz para sistemas pequeños por igual. Los datos del campo histórico se recoge mediante servidores únicos o redundantes sobre dedicada infraestructura de comunicación de larga distancia y puso a disposición de los usuarios locales y remotos a través de clientes integrados y aplicaciones de gestión de datos de terceros.
Recursos afectados 
Los sistemas afectados son:
  1. ClearSCADA 2010 R2 (Build 71.4165),
  2. ClearSCADA 2010 R2.1 (Build 71.4325),
  3. ClearSCADA 2010 R3 (Build 72.4560),
  4. ClearSCADA 2010 R3.1 (Build 72.4644),
  5. SCADA Expert ClearSCADA 2013 R1 (Build 73.4729),
  6. SCADA Expert ClearSCADA 2013 R1.1 (Build 73.4832),
  7. SCADA Expert ClearSCADA 2013 R1.1a (Build 73.4903), and
  8. SCADA Expert ClearSCADA 2013 R1.2 (Build 73.4955).
Detalle e Impacto de la vulnerabilidad detectada.
  • Los investigadores Adam Crain y Chris Sistrunk, han identificado una vulnerabilidad de consumo de recursos sin control en el software de Schneider Electric SCADA Expert ClearSCADA.
  • La vulnerabilidad de CVE-2013-6142b y con puntuación base CVSS v2 de 4,3. puede ser explotada remotamente a través del envio de un mensajes IP manipulados generando un ataque de denegación de servicio contra el proceso DNP3. Este hecho genera un excesivo número de eventos de log que produce una degradación del servicio, pero sin producir corrupción de datos, cuelgue de drivers o la ejecución de código arbitrario.
Recomendación
  • Schneider Electric ha solucionado este problema en una nueva versión del software SCADA Expert ClearSCADA 2013 R2.
  • Los usuarios de ClearSCADA deben ponerse en contacto con la oficina local de Schneider Electric para obtener la última versión del software ClearSCADA o descargala del sitio web de Schneider Electric.
Más información
Fuente: Inteco.

WINDOWS 9. Podría llegar en abril y con muchos cambios

Windows 9 podría presentarse en abril coincidiendo con la conferencia de desarrolladores de Microsoft, según nuevas informaciones.
Desde diciembre del año pasado se especula sobre la próxima versión de Windows, la cual, al parecer, Microsoft ha bautizado a nivel interno con el nombre de Threshold. Y el periodista Paul Thurrott, experto en estos temas, ha proporcionado nuevos detalles.

Concretamente, Thurrott afirma que, según sus fuentes, los de Redmond desgranarán los planes de la compañía respecto a la próxima versión de Windows -Windows 9- durante su conferencia enfocada a desarrolladores BUILD 2014, que tendrá lugar en abril (y en la que se dice que lanzarán actualización para Windows 8.1 y Windows Phone). Eso sí, que nadie espere nada del otro mundo porque el periodista también apunta que no habrá demostración alguna debido a «una buena razón»: ni siquiera han comenzado el desarrollo del renovado Windows.

Por otro lado, comenta que, aunque en la actualidad, Microsoft utiliza el nombre en clave Threshold para referirse internamente a la próxima versión del sistema operativo de las ventanas, hay muchas probabilidades de que al final lo anuncien al público bajo el título de Windows 9 y que llegue al mercado en algún momento de abril de 2015 con el mismo nombre.

O sea, que todo indica que abandonarán la nomenclatura 8.x, de lo que, a su vez, se deduce que el sustituto de Windows 8.1 no será una mera actualización, sino una versión que introducirá cambios importantes. Cuáles y cuántos exactamente no está nada claro todavía, pero dos que se barajan son la vuelta del menú Inicio y la implementación de mejoras que permitirán al sistema operativo ejecutar aplicaciones «estilo Metro» en el escritorio junto a aplicaciones de escritorio «de las de toda la vida».

Aunque los datos procedan de fuentes de toda confianza, por el momento, solo son rumores. Y hasta abril no podremos confirmar la verosimilitud de estas informaciones, lo cual indirectamente también confirmaría que Windows 8 y su actualización 8.1 no están funcionando bien (algo que muchos mantiene desde hace tiempo como por ejemplo Thurrott, que afirma que  la desastrosa tasa de adopción de Windows 8.1 hace que solo esté presente en menos de 25 millones de ordenadores en este momento).

Más información
Fuente: Abc.es

NSA. Implantó un software en unos 100.000 ordenadores de todo el mundo

  La Agencia de Seguridad Nacional estadounidense (NSA, por sus siglas en inglés) implantó un software en casi 100.000 ordenadores de todo el mundo para poder desarrollar labores de vigilancia desde esos dispositivos y para crear una plataforma desde la que lanzar ataques cibernéticos, según ha informado en su edición digital el diario 'The New York Times', que cita documentos de esta agencia de espionaje, expertos informáticos y altos cargos gubernamentales norteamericanos.
   La mayor parte del software fue instalado por la NSA accediendo directamente a las redes de ordenadores, según el rotativo neoyorquino, que apunta que la agencia de espionaje empleó una tecnología "secreta" que le permite entre y alterar los datos de las computadoras incluso cuando no están conectadas a Internet.

   Esta tecnología, que ha empleado la NSA al menos desde 2008, se basa en un canal encubierto de ondas de radio que pueden transmitirse desde pequeños circuitos y dispositivos USB insertados en los ordenadores. En algunos casos, la información obtenida se envía a una estación de recepción del tamaño de un maletín que puede ser instalada a kilómetros de distancia de los ordenadores espiados.

   La tecnología de espionaje por radiofrecuencia, según 'The New York Times', ha permitido a la NSA superar uno de los grandes problemas de la comunidad de Inteligencia norteamericana, el acceso a ordenadores preparados para resistir ataques cibernéticos o intentos de espionaje. En la mayoría de los casos, el software de radiofrecuencia debe ser insertado directamente por un espía, por el fabricante o por un usuario que no es consciente de que pone un dispositivo de vigilancia.

   La NSA encuadra estas operaciones en sus misiones de "defensa activa" contra ataques cibernéticos lanzados por otros países. Sin embargo, cuando ciudadanos chinos han instalado software similar en ordenadores norteamericanos de empresas o agencias gubernamentales, las autoridades estadounidenses han protestado formalmente y, en algunos casos, directamente desde la Casa Blanca.

   Entre los objetivos más frecuentes de la NSA y de sus colegas del Pentágono, especialmente el Mando Cibernético de Estados Unidos, están varias unidades de las Fuerzas Armadas chinas, a las que Washington ha acusado de lanzar ataques cibernéticos contra objetivos empresariales y militares norteamericanos.

   Sin embargo, este programa de vigilancia por radiofrecuencia, bautizado con el nombre de 'Quantum', también ha permitido acceder a redes militares informáticas de Rusia, de la Policía de México y de los cárteles de la droga en Iberoamérica. También ha tenido como objetivo Arabia Saudí, India y Pakistán, según fuentes gubernamentales estadounidenses y de acuerdo con un mapa de la NSA que muestra la denominada 'red de explotación de ordenadores'.

   Siempre según el diario 'The New York Times', no hay pruebas de que la NSA haya implantado este software de transmisión vía radiofrecuencia en ordenadores situados dentro del territorio de Estados Unidos. La NSA no ha querido pronunciarse sobre el programa 'Quantum' aunque sí que ha asegurado que las acciones desarrolladas en el marco de ese proyecto no son comparables a las realizadas desde China.

   "Las actividades de la NSA están centradas y van específicamente destinadas únicamente contra objetivos de Inteligencia extrajeros válidos en respuesta a los requerimientos de Inteligencia", ha afirmado una portavoz de la agencia estadounidense, Vanee Vines, en un comunicado.

   "No utilizamos las capacidades de Inteligencia para robar secretos empresariales de firmas extranjeras en nombre de compañías estadounidenses para reforzar su competitividad internacional", ha subrayado.

   En los últimos dos meses, varias partes del programa 'Quantum' han sido desveladas por los documentos filtrados por el exanalista de la NSA Edward Snowden. Un periódico holandés publicó un mapa de las zonas en las que Estados Unidos han introducido su software de espionaje y el semanario alemán 'Der Spiegel' ha difundido el catálogo de productos informáticos de la NSA.

   'The New York Times' ha asegurado que tenía esta información en su poder cuando fue publicada, en el verano de 2012, y que aceptó no difundirla por una petición expresa de las autoridades estadounidenses en materia de Inteligencia.

Fuente:  Europa Press

Avance de parches de Oracle, hasta 144 vulnerabilidades corregidas

Oracle publicará hoy martes 14 un grupo de parches de seguridad para sus productos. En total hasta 144 vulnerabilidades serán corregidas, algunas de ellas consideradas críticas, fallos explotables remotamente sin necesidad de autenticación.
Destacamos algunos de los productos afectados:
  1. Oracle Database Server.-  El servidor de bases de datos de Oracle por excelencia recibirá 5 parches. Uno de ellos corrige una vulnerabilidad de explotación remota sin necesidad de autenticación. La gravedad de estas vulnerabilidades en su conjunto, sin embargo, no llegaría a un 5.0 en la puntuación en el estándar CVSS según Oracle. Dentro del producto, los componentes afectados serían: Core RDBMS y Spatial. Los parches no afectarían a las instalaciones del cliente, tan solo al servidor.
  2. Oracle MySQL.-  La popular y extendida base de datos MySQL tiene pendientes hasta 18 parches, 3 de ellos corrigen vulnerabilidades de explotación remota sin necesidad de credenciales. Es especialmente recomendable la aplicación de este grupo de parches debido a que la puntuación CVSS marcada llega a 10.0. Esta puntuación, la máxima del estándar, significa que posiblemente una de las vulnerabilidades permita la ejecución remota de código arbitrario. Los componentes afectados son: MySQL Enterprise Monitor y MySQL Server.
  3. Oracle Virtualization.- El sistema de virtualización de Oracle, VirtualBox, recibirá 9 parches, 4 de ellos corregirán vulnerabilidades de explotación remota sin autenticación. La puntuación CVSS máxima es de 6.8. Los componentes afectados son: Oracle VM VirtualBox y Oracle Secure Global Desktop.
  4. Oracle Java SE.- La mala fama que arrastra Java respecto a la seguridad, con numerosos exploits circulando y usados de manera activa, ha hecho que Oracle redoble esfuerzos en su programa de seguridad. Esto puede verse reflejado en la cantidad de parches que serán publicados, hasta 36. De ellos, 34 permiten la explotación remota.
 En el avance, Oracle destaca que la puntuación CVSS máxima alcanzada por este grupo de parches es de 10.0. Esto significa que al menos una (posiblemente más) permitiría la ejecución de código remoto.
Cabe recordar que la versión 6 de Java no tendrá parches. Esta versión se encuentra fuera de soporte y no verá actualizaciones liberadas. Esto supone un verdadero peligro si tenemos en cuenta que posiblemente algunas de las vulnerabilidades corregidas para la versión 7 podrían afectar a la versión 6. 
Los componentes afectados son: Java SE, Java SE Embedded, JavaFX y JRockit.
Más información:
Fuente: Hispasec