1 de septiembre de 2014

CHINA. Cancela cientos de cuentas de WeChat

La empresa propietaria de la aplicación ha tenido que suspender usuarios para cumplir una nueva normativa oficial del gobierno chino.
Cientos de cuentas del popular servicio de mensajería instantánea chino WeChat han sido inhabilitadas temporal o indefinidamente por la compañía propietaria, Tencent, después de que las autoridades del país asiático anunciaran recientemente una legislación que limita el uso de esta plataforma.
Según publica hoy la agencia oficial Xinhua, el objetivo de la «limpieza» de WeChat, equivalente chino a Whatsapp, son cuentas supuestamente falsas de organizaciones públicas y medios de comunicación, así como aquéllas que difunden rumores o contenido lascivo, pornográfico o violento.
Otras presuntas faltas que han llevado al cierre de las cuentas incluyen la difusión de publicidad ilegal, alterar la unidad étnica, difamar o violar la privacidad, tal y como apunta un comunicado de la Oficina de Información de Internet del Gobierno, que cita a Tencent y a su vez es publicado por Xinhua.
Hasta el 25 de agosto, 46 cuentas habían sido cerradas permanentemente y otras 311 de forma temporal, con suspensiones que oscilan entre los siete y los 90 días.
La decisión de Tencent sucede a la puesta en marcha de una regulación a comienzos de mes que obliga a los administradores de estos perfiles a utilizar su nombre real y a «respetar las leyes, regulaciones, el sistema socialista, los intereses nacionales, los derechos legítimos de los ciudadanos, el orden público y la moralidad».
En virtud de la misma, la policía china anunció a mediados de agosto la detención de un ciudadano sospechoso de difundir «rumores» a través de WeChat, el primer arresto de este tipo desde el anuncio de la legislación.
WeChat, un servicio ampliamente utilizado por los usuarios de teléfonos smartphon en China y en otros países de la región, dispone de 400 millones de usuarios y unas 5,8 millones de cuentas públicas.
El comunicado de la Oficina de Información de Internet del Gobierno describe que las cuentas cerradas son sólo «la primera remesa», lo que sugiere que más serán identificadas y penalizadas, destaca Xinhua.
Fuente: EFE

ICREACH. Permitió a la NSA recopilar 850 billones de registros sobre usuarios

Ahora se han revelado más datos relacionados con el espionaje, llegando a la conclusión de que la NSA podría tener en la actualidad más de 850 billones de metadatos almacenados.
Se ha podido saber que la agencia estadounidense estuvo compartiendo esta información con las agencias de otros países durante casi 7 años y aún existe la duda de cómo se pudo realizar la “recolecta” de tal cantidad de información. Evidentemente se conocen algunas de las herramientas que han utilizado pero se desconoce cómo han podido alcanzar el nivel de datos que ha sido revleado.
Tal es la inmensidad de lo que se podía llamar base de datos que la NSA tuvo que realizar una especie de buscador que ayudase a obtener información de forma sencilla y sin necesidad de invertir mucho tiempo en su búsqueda. A partir de esta necesidad nació la herramienta ICREACH, la cual derivó se amplió posteriormente para obtener datos de usuarios, es decir, robarlos.
Está claro que sin la ayuda de ICREACH hubiese sido imposible recopilar y gestionar tal volumen de datos, sin embargo, este volumen no es el real a día de hoy.
La NSA podría almacenar 1.000 billones de metadatos junto a otras agencias
  • La colaboración con otras agencias no solo se ceñía a proporcionar datos solicitados, también se basaba en que estas proporcionasen información recogida. De esta forma, según algunas estimaciones la NSA podría haber obtenido más de 126 billones de registros adicionales a los que ya tenía en su poder, por lo que el número de metadatos almacenados en la base de datos podría haber superados los 1.000 billones.
Fuente: The Hacker News

ICREACH. El buscador de la NSA

La Agencia de Seguridad Nacional (NSA) estadounidense tiene su propio buscador 'on line', similar al de Google, con el que los empleados de varios servicios de inteligencia e investigación pueden buscar en las inmensas bases de datos de la NSA, publicó el pasdo martes la web The Intercept.
Funcionamiento del buscador
  • El buscador, llamado 'ICReach', ofrece al usuario de manera similar a Google una pantalla sencilla, pero a diferencia de la empresa de Mountain View la NSA no reúne las informaciones a través de motores de búsqueda que se mueven por la red pública, sino que sacan los datos de bases de datos secretas.
  • En 'ICReach' los agentes pueden meter el email y el número de teléfono de un sospechoso y obtienen por ejemplo una lista de las llamadas que se hicieron desde ese número. Los datos proceden en su mayoría de programas de vigilancia extranjeros de la NSA, aunque pueden contener informaciones de ciudadanos estadounidenses, según la web.
Información compartida por servicios de inteligencia
  • Un portavoz de los servicios secretos explicó que con el buscador se pretende mejorar el intercambio de información entre las autoridades. Tras los ataques terroristas del 11 de septiembre de 2011, uno de los temas más criticados fue la falta de comunicación entre las diferentes instancias.
  • Hasta 2010 tenían acceso al buscador los empleados de 23 agencias gubernamentales, subraya The Intercept, entre ellos servicios secretos como la CIA o nacionales como la agencia antidrogas DEA o el FBI.
  • Un portavoz de los servicios secretos se negó a decir a The Intercept cuáles son los organismos actualmente con acceso al buscador. En Estados Unidos esto podría generar bastante debate porque la NSA en teoría no puede compartir sin más sus datos con autoridades nacionales. Los investigadores nacionales tienen que cumplir con mayores exigencias a la hora de presentar sus pruebas ante un juez.
  • Las búsquedas sólo las pueden hacer los empleados de los servicios secretos que tengan acceso al nivel de documentos "altamente secreto" y tienen que recibir una autorización. Ya en 2007 había un primer prototipo del buscador.
  • Un diagrama muestra que se pueden buscar también informaciones reunidas por los servicios secretos de Reino Unido, Australia, Canadá y Nueva Zelanda, todos países de habla inglesa con los que Estados Unidos colabora en el programa de inteligencia 'Five Eyes' (Cinco Ojos, en inglés). El nombre 'ICReach' apunta a que el navegador va dirigido a la "comunidad de inteligencia" o IC en inglés. Esta Intelligence Community está formada por 16 organismos estadounidenses.
Fuente: El Mundo.es

¿PRIVACIDAD?. Software anti-gobierno instala malware a sus usuarios

Un grupo de piratas informáticos que se denomina a sí mismo como “hackers” está distribuyendo una herramienta de seguridad anti-gobiernos que en teoría evita que ninguna organización gubernamental como la NSA pueda rastrear a los usuarios o acceder de forma remota a los sistemas, sin embargo, esta herramienta en realidad instala un complejo troyano a todos los usuarios que dotan a los piratas informáticos de control remoto a los sistemas de las víctimas.
Este troyano, detectado por la empresa de seguridad Bitdefender que está advirtiendo a todos los usuarios de los peligros de esta “herramienta de seguridad”. El troyano incluido en la suite se ha denominado como Kelihos y cuenta con las siguientes funciones:
  1. Instala los módulos npf.sys, packet.dll y wpcap.dll para monitorizar el tráfico.
  2. Permite a los piratas comunicarse con el sistema infectado.
  3. Roba Bitcoins de carteras virtuales.
  4. Envía SPAM.
  5. Roba credenciales de clientes FTP, correo electrónico y del navegador web.
  6. Monitoriza los protocolos FTP, POP3 y SMTP.
  7. Permite la descarga e instalación de otro software malicioso.
Este troyano está llegando a través de oleadas de malware en las que se habla al usuario sobre la supuesta herramienta de seguridad anti-gobiernos. Dentro de los correos electrónicos no deseados viene un enlace que lleva directamente a un archivo setup.exe que es el encargado de instalar el malware en las víctimas.
Difusión del malware a nivel golbal
  • Aunque no tenemos casos concretos de infección en España, podemos ver que este malware se encuentra especialmente distribuido por todo el mundo (aunque su principal punto de infección es Europa). Es posible que de ser así continúe su distribución, por lo que debemos protegernos lo mejor posible para evitar posibles infecciones.
Fuente: Hot For Security

INFORME. El amplio espectro de las ciberamenazas

Trend Micro acaba de publicar su informe “Invirtiendo los papeles en el cibercrimen: Respondiendo a las tácticas en evolución del cibercrimen”, que aspira a ser una radiografía veraz de las incidencias en materia de seguridad producidas durante el segundo trimestre de 2014.
Durante este tiempo, se han intensificado los ataques contra instituciones financieras, bancarias y en el mercado de retail, dejando expuestos más de 10 millones de registros personales, lo que sirve de llamada de atención a las organizaciones para que adopten un enfoque más estratégico para proteger la información digital.
Por su parte, hasta el 15 de julio, más de 400 brechas de datos contra diversas organizaciones han sido difundidas, creándoles la necesidad de construir una estrategia de defensa eficaz para mantenerlos seguros.
Asimismo, el robo de datos personales ha continuado, poniendo al descubierto nombres de clientes, contraseñas, direcciones de correo electrónico, postales, números de teléfono y fechas de nacimiento. Esto ha repercutido en las ventas e ingresos de las organizaciones, pero también en que los clientes se han quedado sin acceso a sus cuentas y han visto su uso interrumpido. Como resultado, muchos países han comenzado a desarrollar políticas de privacidad y recopilación de datos más estrictas.
En concreto, desde Trend Micro, han resumido las conclusiones más relevantes del informe en cinco puntos, que detallamos a continuación.
  1. Las vulnerabilidades críticas causaron estragos entre los profesionales dela seguridad y los usurarios. Durante el segundo trimestre del año, se han visto afectados varios componentes de los servicios Web y de navegación por Internet, incluidas las librerías en servidores, sistemas operativos, aplicaciones móviles y navegadores.
  2. Aumento del volumen y la gravedad de los ataques. Las empresas han tenido que plantearse la importancia que tiene la planificación de respuestas ante incidentes y la concienciación sobre la seguridad en toda la organización.
  3. Los cibercriminales atacan a la banca online y los desarrollos en las plataformas móviles. El malware para vulnerar la autenticación y el software diseñado para el secuestro de equipos de escritorio y dispositivos móviles a cambio de un rescate (ransomware)han aumentado en respuesta a los avances tecnológicos de la banca online y de las plataformas móviles.
  4. La vida digital e Internet de las Cosas (IoE) implican nuevas vulnerabilidades. Con ocasión del Mundial de Brasil, los usuarios han tenido que enfrentarse a diversas amenazas relacionadas con este evento. De hecho, la ingeniería social ha sido uno de los ganchos más utilizados en este trimestre.
  5. Las alianzas globales de organismos policiales han propiciado las detenciones de cibercriminales.
Fuente: Silicon Week.es

PIRATERIA. Hackers acceden a datos sensibles de cuatro grandes bancos

El banco JP Morgan Chase y otras entidades estadounidenses han sido víctimas de una serie de ciberataques, según el New York Times
El banco JPMorgan está investigando un posible ataque cibernético a sus sistemas y trabaja con las fuerzas de seguridad estadounidenses para determinar su alcance, dijo este jueves una portavoz de la compañía. El banco ha tomado medidas adicionales para proteger información confidencial o sensible, aunque hasta ahora no ha detectado actividad inusual relacionada con fraude, afirmó la portavoz Trish Wexler.
JPMorgan Chase & Co reveló la investigación después de que el FBI dijera este miércoles por la noche que estaba indagando unas noticias según las cuales varias compañías financieras de Estados Unidos han víctimas de recientes ciberataques. "Estamos trabajando con el Servicio Secreto de Estados Unidos para determinar el alcance de los ciberataques recientemente notificados contra varias instituciones financieras estadounidenses", dijo el portavoz del FBI Joshua Campbell en un comunicado emitido la noche del miércoles.
Campbell no mencionó qué compañías fueron afectadas ni ofreció detalles, aunque medios nombraron a JPMorgan como uno de los objetivos de los presuntos 'hackers'. Bloomberg News publicó este miércoles que se creía que piratas informáticos rusos perpetraron a mediados de agosto ciberataques contra JPMorgan y otro banco estadounidense que no fue identificado, provocando la pérdida de datos sensibles. Las autoridades estaban investigando si las brechas de seguridad estaban vinculadas a recientes ataques contra grandes bancos europeos, añadió la noticia. "Las empresas de nuestro tamaño desafortunadamente sufren ciberataques casi cada día. Tenemos numerosas maneras de defendernos de estas amenazas y vigilamos constantemente si ha habido fraude real", explicó Wexler.
The New York Times publicó el miércoles a última hora que en agosto las redes de JPMorgan y al menos otros cuatro bancos de Estados Unidos habían sido infiltradas en una serie de ataques coordinados, citando a cuatro personas conocedoras de la investigación.
Fuente: Publico.es

EEUU.. FBI y Servicio Secreto investigarán denuncias de ciberataques contra bancos del país

La Oficina Federal de Investigaciones de Estados Unidos (FBI) dijo que está investigando reportes de medios de que varias firmas financieras estadounidenses han sido víctimas de ciberataques recientes.
"Estamos trabajando con el Servicio Secreto de Estados Unidos para determinar el alcance de los ciberataques recientemente reportados contra varias instituciones financieras estadounidenses", dijo el portavoz del FBI Joshua Campbell en un comunicado a última hora del miércoles.
Campbell no identificó a las firmas atacadas ni ofreció detalles adicionales. Un portavoz del Servicio Secreto no pudo ser contactado para obtener comentarios.
JPMorgan Chase & Co fue víctima de un ciberataque reciente, dijeron dos personas familiarizadas con el incidente, que pidieron no ser identificadas porque no estaban autorizadas a hablar públicamente sobre el asunto.
Las fuentes declinaron ofrecer detalles sobre la gravedad del incidente, diciendo que JPMorgan aún está llevando a cabo una investigación para determinar lo sucedido.
El portavoz de JPMorgan, Brian Marchiony, declinó hacer comentarios cuando se le preguntó sobre el ataque.
"Las empresas de nuestro tamaño, por desgracia, experimentan ciberataques casi todos los días. Tenemos múltiples capas de defensa para contrarrestar cualquier amenaza y monitorear constantemente los niveles de fraude", dijo en un comunicado.
Más temprano el miércoles, Bloomberg News informó que se cree que hackers rusos habrían llevado a cabo ciberataques contra JPMorgan Chase y otro banco estadounidense no identificado a mediados de agosto, lo que resultó en la pérdida de datos confidenciales.
Las autoridades están investigando si esos incidentes están relacionados con ataques recientes a importantes bancos europeos, según el reporte de Bloomberg.
Fuente: Reuters 

CIBERATAQUES. Los dirigidos contra la banca se multiplican casi por tres

Ya se trate de hacktivistas o de delincuentes, los ciberataques contra la banca están aumentando. Según los ejecutivos del sector financiero entrevistados por PwC, la violación de datos personales casi se triplicó en 2013.
¿Qué consecuencias tiene esto para los bancos de EEUU? 
  • Un aumento de los costes de seguridad y pérdidas debido a las alteraciones en las actividades de tráding. Dado que gran parte del crecimiento de beneficios de los bancos proviene actualmente del recorte de costes, el aumento de la piratería en Internet es una mala noticia.
  • El coste total de los ataques contra entidades financieras relacionado con Internet es difícil de descifrar, ya que muchos bancos no dan a conocer este tipo de delitos. No obstante, según un estudio del Centro de Estudios Internacionales y Estratégicos y la consultora McAfee, el coste total (para todas las industrias) de los delitos cibernéticos oscila entre 375.000 y 575.000 millones de dólares anuales.
  • Dado que más del 50% de los ataques se producen por motivos financieros, según la consultoraVerizon, los grandes bancos que gestionan billones de dólares a diario son los principales objetivos. Entre las víctimas más notables de los delitos online cometidos en 2012 se encuentran Wells Fargo, JPMorgan y Bank of America. A raíz de la crisis financiera, la ideología también ha sido uno de los desencadenantes de los delitos cibernéticos.
  • Según el estudio de Verizon, los activistas que operan en Internet llevaron a cabo dos tercios de los ataques en la web contra entidades financieras. Los falsificadores de tarjetas, que se apropian de los datos de pago de los clientes, se encuentran entre las víctimas. En total, representan un 20% de los delitos contra los bancos.
  • Cuando el distribuidor estadounidense Target reconoció el año pasado que unos hackers habían pirateado las tarjetas de crédito de aproximadamente 40 millones de clientes, los bancos de EEUU sufrieron unas pérdidas de 200 millones de dólares, según CSIS-McAfee.
  • Normalmente las entidades se ven obligadas a reembolsar a sus clientes las cantidades que se extraen de sus cuentas de forma fraudulenta. A los reguladores les preocupa el incremento de este tipo de delitos.
  • Esto significa un aumento de las obligaciones para la protección de datos. A los bancos no les gusta gastar sus recursos. Sin embargo, las entidades que adopten antes estos cambios, se verán recompensadas, ya que no hay nada que les guste más a los clientes que un hogar seguro en el que guardar sus ahorros.
Fuente: Expansion.com

CRYPTOWALL. Anatomía de la amenaza ransomware más destructiva de la red

Los datos recogidos directamente de la pasarela de pago del rescate revela el número exacto de víctimas que pagan, así como la cantidad que pagaron. De los casi 625.000 infecciones, 1.683 víctimas (0,27 %) pagan el rescate, para una toma total de 1.101.900 dólares en el transcurso de seis meses, según el último análisis de la amenaza por los investigadores de seguridad de la Unidad de Amenazas Dell SecureWorks .
Cryptowall es una cepa de ransomware  de cifrado archivos,  que cifra los archivos en dispositivos de almacenamiento infectados PCs con Windows y que se suministran con el cifrado RSA-2048 antes de exigir un rescate por la clave privada para recuperar los documentos.
Entre mediados de marzo y finales de agosto, cerca de 625.000 sistemas fueron infectados con CryptoWall y consiguieron cifrar más de 5.250 millones de archivos durante el período.
Muchas de las infecciones se encuentran en los Estados Unidos (40,6 %) debido a la distribución frecuente de CryptoWall través Cutwail el spam dirigido a los usuarios habla inglesa.
Mando y control
  • CryptoWall utiliza un sistema de comando y control que se basa en varios dominios estáticos codificados en binario cada uno. A diferencia de otras familias de malware prevalentes, CryptoWall no utiliza técnicas avanzadas, como algoritmos de generación de dominio (DGA) o sistemas DNS fast-flux.
  • Estos servidores utilizan la no-caching proxy web Privoxy y probablemente actúan como servidores de primer nivel que el tráfico de proxy de las víctimas a los servidores de back-end que gestionan las claves de cifrado.
  • A finales de julio de 2014, varias muestras distribuidas utilizan servidores de comando alojados en la red Tor, lo que sugiere la pandilla de malware tiene la intención de detener el tiempo usando los servidores tradicionales, accesibles directamente.
  • El malware no extrae las credenciales de usuario, archivos o metadatos de los archivos. , de acuerdo con los investigadores de seguridad en Dell SecureWorks. 
 CryptoWall reforzada que corrige defectos anteriores
  • Las variantes de CryptoWall desplegadas  hasta marzo del 2014 contenía una debilidad en la aplicación de cifrado que permite la recuperación de la clave utilizada para cifrar archivos. Este defecto parece haber sido corregido en versiones posteriores del malware.
  • Los archivos en unidades de red extraíbles y fijas de las máquinas infectadas son cifrados. Además, los servicios de almacenamiento en la nube, como Dropbox o Google Drive, que se asignan a un sistema de archivos específico también serán cifrados.
  • Como CryptoLocker y variantes anteriores CryptoWall incluyen numerosas opciones de pago, incluyendo tarjetas de prepago como MoneyPak, Paysafecard, Cashu, y Ukash, además de la cryptocurrency Bitcoin.
Las exigencias de los estafadores  son muy variables, según Dell SecureWorks.
  • "El rescate ha fluctuado frecuentemente en el capricho de los operadores de botnets, y ningún patrón exacto se ha establecido que determina qué víctimas reciben un valor de rescate en particular", los expertos en seguridad explican.
  • "Los rescates que van desde $ 200 a $ 2000 han exigido en varias ocasiones por los operadores de CryptoWall. Los rescates más grandes se suelen reservar para las víctimas que no paguen dentro del plazo establecido (generalmente cuatro a siete días). En un caso, una víctima pagó $ 10.000 para la liberación de sus archivos ".
Distribución del malware
  • Las campañas de spam que difunden el ransomware usando un señuelo "fax perdido" en junio llevaron a muchas infecciones, de acuerdo a los investigadores de seguridad de Dell SecureWork. Posteriormente otros investigadores han sobservado que el malware era  difundido por medio de anuncios maliciosos.
  • La similitudes de codificación entre CryptoWall y la familia antes Tobfy de ransomware tradicional (que sólo encierra PCs y no cifra archivos) sugieren la misma banda de delincuentes puede estar detrás de las dos estafas.
Fuente: The Register

ICE BUCKET CHALLENGE. Utilizado para estafar a los usuarios

El alcance que ha conseguido en tan poco tiempo el Ice Bucket Challenge ha resultado muy beneficioso para la fundación encargada de estudiar la ELA. Pero  las primeras páginas web falsas donde supuestamente se puede realizar el donativo han comenzado a hacer acto de presencia y se estima que su número aumente. 
Este tipo de páginas se puede encontrar en dos tipos diferenciados: 
  1. las que roban los datos de las tarjetas de crédito 
  2. las que roban el donativo. 
En este caso están siendo mucho más comunes las segundas, donde se accede a una página donde se da un número de cuenta para que el usuario realice el ingreso o el pago con la tarjeta pensando que el donativo llegará a la fundación, cuando en realidad el dinero finalmente es percibido por los ciberdelincuentes.
 Recomendación para evitar las estafas
  • En primer lugar hay que tener muy presente que la URL que aparece en la barra de direcciones se corresponde con la de la página a la que queremos acceder. También es muy importante fijarse en que la web donde nos encontramos utilice HTTPS para evitar robo de información. Si la página solicita la instalación de algún tipo de software lo mejor es salir y olvidarse de esa página, por no hablar de no acceder a los enlaces que podemos encontrar en correos y mensajes de redes sociales donde se cuentan historias de personas relacionadas con esta enfermedad.
Redes sociales como distribuidoras de estafas
  • A pesar de que este es el medio que ha ayudado al reto a recaudar todo el dinero que ha conseguido hasta este momento, también está siendo el lugar donde los cibercriminales están sacando mayor provecho gracias a colocar los enlaces para realizar los supuestos donativos.
  • Por este motivo se pide extremar las precauciones con los enlaces que se ven en las redes sociales, ya que lo que en principio parece un donativo al final puede acabar siendo un robo de una gran cantidad de dinero.
Fuente: Softpedia

MOZILLA. Publica por error 97.000 cuentas de Bugzilla

Mozilla, por culpa de otro fallo relacionado con el vaciado de las bases de datos, ocurrida durante la migración de los servidores, ha dejado expuestas las cuentas de usuario y las contraseñas de aproximadamente 97.000 desarrolladores, por lo que es probable que hayan sido robadas.
La fuga de datos ha ocurrido en los servidores de prueba de Bugzilla, unos servidores especialmente destinados a comprobar la seguridad de la plataforma y encontrar fallos en ella para solucionarlos en el portal estable, por lo que generalmente todos los usuarios registrados en dicho portal eran conscientes de que algo así podría suceder y se recomendaba no utilizar los mismos credenciales que en el portal estable de Bugzilla o en otros servicios.
Los usuarios del portal estable de Bugzilla, bugzilla.mozilla.org, no se han visto afectados siempre y cuando no estuvieran registrados en el portal de pruebas de la plataforma y no utilizaran la misma contraseña en ambos servicios.
Todas las contraseñas se almacenan correctamente cifradas en el servidor, pese a ello Mozilla ya se ha puesto en contacto con todos los usuarios afectados y recomienda a los mismos cambiar todas las contraseñas similares de otros sitios web para evitar que los piratas informáticos puedan utilizarlas para iniciar sesión en otros servicios con la misma.
Esta es la segunda vez en un mes que se han filtrado datos de la base de datos de Mozilla debido a la migración de servidores. La compañía deberá reforzar la seguridad a la hora de trabajar con los datos si quiere evitar que esto ocurra una tercera vez. Mozilla por su parte ya ha anunciado que actualmente se encuentra trabajando en una serie de medidas críticas para blindar los datos en sus servidores y evitar que algo de esto vuelva a ocurrir.
Fuente: Hot For Security

PHP 5.6. Nueva actualización de seguridad

Se ha publicado la versión 5.6 de PHP, que introduce mejoras y resuelve múltiples vulnerabilidades que afectaban tanto al CORE como a diversos módulos. Nivel asignado de Importancia: 4 - Alta
Recursos afectados
  • PHP versiones anteriores a 5.6
Detalle e Impacto de las vulnerabilidades corregidas
  • En esta actualización se corrigen importantes vulnerabilidades entre ellas algunas críticas, como elevación de privilegios (CVE-2014-0185) en el módulo FPM o denegación de servicios (CVE-2014-3597,CVE-2014-4049) en el módulo Network. Se revisan un total de 24 CVE's.
Recomendación
  • Actualizar a versión 5.6
Más información
Fuente: INTECO

MICROSOFT. Vuelve a publicar la actualización MS14-045

Microsoft republica el boletín MS14-045 con lo que reemplaza la actualización 2982791 con la 2993651 para todas las versiones soportadas de Windows. De esta forma, según afirma Microsoft, esta nueva actualización soluciona todos los problemas que motivaron la retirada de la original.
 Este boletín está calificado como "importante" y soluciona tres vulnerabilidades (CVE-2014-0318, CVE-2014-1819 y CVE-2014-4064) en los controladores modo kernel que podrían permitir a un usuario elevar sus privilegios en el sistema. Afecta a sistemas Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
Recomendación
  • Microsoft recomienda a todos los usuarios instalar la actualización 2993651, que reemplaza a la caducada 2982791. Igualmente recomienda a los usuarios que aun no hayan desinstalado la actualización original, hacerlo antes de aplicar la nueva.
Más información:
Fuente:Hispasec

GOOGLE. Lanza Chrome 37 y corrige 50 vulnerabilidades

Google publica la versión 37.0.2062.94 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 50 nuevas vulnerabilidades.
Detalle de la actualización del navegador Chrome 37
  • Según el aviso de Google se ha mejorado el aspecto de las fuentes en Windows con el soporte de DirectWrite, se ha renovado el gestor de contraseñas, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.
  • La actualización incluye la corrección de 50 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 50 vulnerabilidades, solo se facilita información de nueve de ellas.
  • Una combinación de fallos en V8, IPC, sync, y extensiones podría permitir la ejecución remota de código fuera de la sandbox (CVE-2014-3176 y CVE-2014-3177). Vulnerabilidades por uso después de liberar memoria en SVG (CVE-2014-3168), en DOM (CVE-2014-3169) y en bindings (CVE-2014-3171).
  • Otras vulnerabilidades permiten la falsificación de cuadro de diálogo de permisos (CVE-2014-3170), unproblema relacionado con la depuración de extensiones (CVE-2014-3172) y fallos por memoria sin inicializar en WebGL (CVE-2014-3173) y en WebAudio (CVE-2014-3174).
  • También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-3175). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 51.000 dólares en recompensas a los descubridores de los problemas.
Recomendación
  • Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.
Más información:
Fuente:Hispasec

CG Automation. Validación incorrecta de datos

Investigadores de Automatak y Mandiant han descubierto varias vulnerabilidades en la validación de datos en el protocolo DNP3 de pasarelas de CG Automation.  Se les ha asignado un nivel de Importancia: 4 - Alta
Recursos afectados
  •  Todas las versiones de CG Automation ePAQ-9410 Substation Gateway.
Detalle e Impacto de la vulnerabilidad
  • El driver para DNP3 de CG Automation Software utilizado en productos ePAQ-9410 Substation Gateway no valida los datos de entrada correctamente, pudiendo causar caídas del sistema.
  • El problema afecta tanto a dispositivos conectados a través del protocolo IP (CVE-2014-0761) como conectados por el puerto serie (CVE-2014-0762).
Recomendación
  • CG Automation ha publicado una actualización para resolver estas vulnerabilidades, accesible desde su página web para usuarios registrados.
Más información:
Fuente: INTECO.

SCHNEIDER ELECTRIC WONDERWARE. Detectadas Vulnerabilidades

Desbiertas diversas vulnerabilidades que afectan a la aplicación web de Wonderware Information Server, y que podrían derivar en robos de credenciales, ejecución de código de forma remota y fugas de información. Catalogadas de Importancia: 4 - Alta
Recursos afectados
  • Wonderware Information Server 4.0 SP1 Portal
  • Wonderware Information Server 4.5 Portal
  • Wonderware Information Server 5.0 Portal
  • Wonderware Information Server 5.5 Portal
Detalle e Impacto de la vulnerabilidad
  1. Cross-site scripting (CVE-2014-5397) .-  No se valida, filtra o codifica la entrada de usuario antes de volver al interface web.
  2. Validación de entrada incorrecta (CVE-2014-5398) .-  Utilizando determinados ficheros XML malformados, un atacante puede causar una denegación de servicio, o enviar archivos locales a un servidor remoto.
  3. Inyección SQL (CVE-2014-5399) .-  WIS es vulnerable a inyección SQL, que puede ser utilizada para comprometer la base de datos o para ejecutar código de forma remota.
Recomendación
  • Actualizar a WIS versión 5.5 y aplicar el parche de seguridad proporcionado por Schneider Electric.
Más información:
Fuente: INTECO.

SQUID PROXY CACHE. Denegación de servicio

Detectada vulnerabilidad de denegación de servicio producida por validación incorrecta de peticiones. Catalogada de Importancia: 4 - Alta
Recursos afectados
 Las versiones de Squid afectadas son:
  1. Squid 3.x hasta 3.3.12 
  2. Squid 3.4 hasta 3.4.6
Detalle e Impacto de la vulnerabilidad
  • Debido a un incorrecta validación en el tratamiento de solicitudes, Squid es vulnerable a denegación de servicio cuando procesa peticiones de tipo Range.
Recomendación
Se recomienda aplicar el parche correspondiente a la versión afectada:
Alternativamente, se puede aplicar la siguiente contramedida, añadiendo en el fichero de configuración squid.conf y antes de las directivas http_access, las siguientes líneas:
-        acl validRange req_header Range \ ^bytes=([0-9]+\-[0-9]*|\-[0-9]+)(,([0-9]+\-[0-9]*|\-[0-9]+))*$
-        acl validRange req_header Request-Range \ ^bytes=([0-9]+\-[0-9]*|\-[0-9]+)(,([0-9]+\-[0-9]*|\-[0-9]+))*$
-        http_access deny !validRange
Más información:
-        Squid: Denial of service - Existing account http://www.auscert.org.au/render.html?it=20446
-        Squid Proxy Cache Security Update Advisory SQUID-2014:2 http://www.squid-cache.org/Advisories/SQUID-2014_2.txt
Fuente: INTECO.

F5 NETWORKS . Cross-site scripting en múltiples productos de la compañía

La firma SEC Consult ha anunciado una vulnerabilidad de cross-site scripting en múltiples productos F5.
 F5 Networks es una compañía americana, con sede en en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.
Detalle e Impacto de la vulnerabilidad
  • El problema, con CVE-2014-4023, reside en que las entradas pasadas a tmui/dashboard/echo.jsp de la utilidad de configuración ("Configuration Utility") no son debidamente limpiadas antes de ser mostradas. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Recursos afectados
 Los productos afectados pertenecen principalmente a la gama de productos BIG-IP, junto con el Enterprise Manager. Concretamente se han confirmado como vulnerables los productos y versiones siguientes:
  1. BIG-IP LTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  2. BIG-IP AAM 11.4.0 a 11.5.1 
  3. BIG-IP AFM 11.3.0 a 11.5.1
  4. BIG-IP Analytics 11.0.0 a 11.5.1
  5. BIG-IP APM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  6. BIG-IP ASM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  7. BIG-IP Edge Gateway 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
  8. BIG-IP GTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  9. BIG-IP Link Controller 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  10. BIG-IP PEM 11.3.0 a 11.5.1
  11. BIG-IP PSM 11.0.0 a 11.4.1 y 10.1.0 a 10.2.4
  12. BIG-IP WebAccelerator 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
  13. BIG-IP WOM 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
  14. Enterprise Manager 3.0.0 a 3.1.1 y 2.1.0 a 2.3.0
Recomendación
Más información:
Fuente: Hispasec

PRIVACIDAD. Protegida en Internet gracias a Ghostery

Actualmente existen diferentes aplicaciones que permiten a los usuarios bloquear las aplicaciones de rastreo. La mayoría de estas aplicaciones se instalan y ejecutan como extensiones para un determinado navegador web, por ejemplo, Google Chrome. En esta ocasión vamos a hablar de Ghostery, una extensión muy sencilla de usar para bloquear todo tipo de rastreadores.
Principales características de Ghostery para la protección de nuestra privacidad 
  • Posee la mayor base de datos de rastreadores.
  • Permite controlar al usuario en todo momento los rastreadores que quiere bloquear o permitir.
  • Interfaz muy sencilla de usar, sin complicaciones.
  • Perfiles de información para las diferentes empresas bloqueadas, para conocer todos los datos de ellas.
  • Posibilidad de cargar contenido bloqueado a demanda.
Instalación de la aplicación
  • Para instalar Ghostery simplemente debemos acceder a su página web principal y pulsar sobre el botón que nos indica para instalar la extensión en Google Chrome. Aparte de la versión para Google Chrome también podemos instalar este software en otros navegadores como Firefox, Opera e incluso en los sistemas iOS y Android desde el siguiente enlace.
  • La extensión por defecto nos mostrará en la parte inferior derecha de la pantalla una lista con todos los motores de rastreo bloqueados para saber en todo momento el seguimiento que las páginas han intentado realizarnos y que han sido bloqueados.
  • Una alternativa más que podemos tener en cuenta para bloquear los diferentes rastreadores en la web y poder seguir manteniendo la privacidad lo más elevada posible al navegar por la red. 
Fuente: Redeszone.net

BROADCOM. El WPS de estos equipos se puede crackear en segundos de forma offline

Un investigador ha descubierto que en los equipos Broadcom la vulnerabilidad del WPS es aún mayor, ya que hay un fallo en la función pseudo-aleatoria que genera los PIN en estos equipos. De esta forma, cualquiera podría capturar la información necesaria y calcular el PIN de forma offline, sin necesidad de fuerza bruta. 
Actualmente los fabricantes están incorporando a sus equipos un método para limitar los ataques de fuerza bruta para proteger el WPS, sin embargo, este ataque recién descubierto elude por completo esta “defensa” que tenían hasta ahora.
Antecedentes de la noticia
  • Es conocida la vulnerabilidad que tienen los equipos Wi-Fi con el WPS (Wi-Fi Protected Setup), y es que este método de autenticación en la red inalámbrica está completamente roto. Desde sus inicios, el WPS permite atacar por fuerza bruta un PIN que tan sólo tiene 11.000 combinaciones posibles.
  • Aunque el PIN de WPS esté formado por 8 números, en teoría el número de combinaciones sería de 100.000.000, algo que nos llevaría mucho tiempo de crackear. Sin embargo, un fallo en la arquitectura permite reducir este número a tan sólo 11.000 combinaciones y es que el WPS está dividido en “dos” PIN. El PIN1 tiene 4 (10.000 combinaciones) dígitos y el PIN2 tiene únicamente 3 dígitos (1.000 combinaciones), dejando el último PIN como checksum de los anteriores (según el estándar oficial).
La vulnerabilidad en la actualidad 
  • Los actuales ataques al WPS pueden tener éxito en unas cuatro horas hasta que se encuentra el PIN correcto, sin embargo, con este nuevo ataque se podría conseguir en un segundo. Según el investigador, este problema afecta a las implementaciones de Broadcom y de otro fabricante que no ha querido desvelar porque aún no han solucionado el problema.
  • Este problema, al estar presente en el código del fabricante de los chipsets, afecta a los usuarios finales de los equipos. Este fallo de seguridad es debido a la falta de aleatoriedad en el número usado para crear números pseudo-aleatorios.
Fuente: ArsTechnica

USBCONDOM. Protege tus dispositivos del malware a través de USB

La firma de seguridad Xipiter ha desarrollado un pequeño dispositivo USB que protege todos los datos que se envían a través del puerto USB de manera que los piratas informáticos no puedan acceder a ellos a través de diferentes piezas de malware que pueda haber preinstaladas en los sistemas a los que conectemos el cable USB.
Funcionamiento, objetivos y destinatarios del dispositivo
  • El funcionamiento interno de este dispositivo es muy sencillo. La placa lógica corta las conexiones de datos de los cables USB manteniendo únicamente la conexión eléctrica. De esta manera podemos conectar el dispositivo a cualquier ordenador o estación de trabajo sin preocuparnos de que ningún elemento de software interfiera en el proceso y manteniendo así el dispositivo seguro incluso en ordenadores ajenos al nuestro.
  • Esta herramienta tiene pensado no sólo proteger los dispositivos al conectarlos a un ordenador, sino que también podría proteger a los usuarios del malware preinstalado que se ha detectado en algunos cargadores no oficiales para smartphones y tablets (especialmente cargadores chinos) simplemente conectando el dispositivo en un paso intermedio entre el cargador y el cable dejando únicamente la corriente y cortando cualquier conexión de datos.
  • Podemos seguir el desarrollo de este dispositivo desde la web CrowdSupply, donde ya ha alcanzado la financiación necesaria para comenzar su desarrollo a gran escala. Podemos comprar este dispositivo desde la web del proyecto por un precio de 12 dólares cada unidad.
  • Una pequeña herramienta como esta es imprescindible para todos aquellos que suelen conectar sus dispositivos para cargarlos en cualquier ordenador, especialmente en ordenadores públicos. Se espera que en poco tiempo comience la fabricación masiva de este dispositivo que, si se da a conocer correctamente, podrá tener una importante repercusión entre compradores potenciales.
Fuente: Seguridad Unam

MEETME. Hackean los servidores de la red social

En este caso, un fallo de seguridad en MeetMe ha provocado que terceras personas accedan a la información de los servidores de forma no autorizada.
Podría decirse que en esta ocasión no se considera como noticia el fallo de seguridad, ya que es algo muy común hoy en día. La noticia es que las intrusiones no autorizadas se produjeron entre los días 5 y 7 de este mismo mes y los responsables de esta no han sido conscientes hasta el día 18, algo que podría haber puesto en peligro una gran cantidad de datos de los usuarios.
Los usuarios de la red social informados
  • A pesar de no haber sido confirmado por los responsables de esta, los usuarios de la red social sí han recibido un correo alertando de la intrusión en los servidores y explican que para evitar más problemas será necesario modificar los datos de acceso a las cuentas, ya que podría producirse el robo de las mismas, algo que denota que los datos de los usuarios han sido accesibles por los ciberdelincuentes. Aunque parece ser que las contraseñas se guardaban cifradas en el servidor afectado, es una información que aún no está del todo clara.
Más de un millón usuarios afectados por el problema de seguridad en MeetMe
  • Aunque no sea una red social muy conocida, la cartera de clientes es bastante significativa, sobre todo porque se trata de una red social y las cuentas de los usuarios están acompañadas de una gran cantidad de datos, encontrando por ejemplo el correo electrónico o el número de teléfono móvil. Para los ciberdelincuentes el atractivo es muy claro: conseguir datos para verderlos en el mercado negro. El resultado final de todo se puede saldar con las cuentas de correo o números de teléfono siendo objeto de spam.
Problema de seguridad resuelto
  • La brecha de seguridad que existía en uno de los servidores debido a una configuración errónea de este ya se ha resuelto y los datos de los usuarios vuelven a estar seguros, al menos por el momento. Desde la red social no han concretado qué datos se han visto afectados y si la totalidad de los usuarios se ha visto afectada, pero el cambio de contraseñas implica que los ciberdelincuentes al menos han tenido acceso a los datos.
Fuente:  Softpedia

SPAM. Distribuyen el troyano Dyre en correo basura de JP Morgan

En la última oleada de  mensajes spam que ha sido detectada, se hace creer al usuario que se adjunta un mensaje cifrado para ser leído desde PCs o dispositivos móviles de la entidad bancaria JP Morgan. Sin embargo, en realidad lo que se adjunta es una versión del troyano bancario Dyre.
Este troyano bancario es capaz de saltarse los módulos SSL entre las comunicaciones punto a punto gracias a la utilización de páginas web falsas. 
Modus operandi del troyano Dyre
  • El malware se vuelve mucho más poderoso aún de lo que ya es gracias a la presencia en los equipos de versiones de Java que no están actualizadas. 
  • Cuando el usuario intenta acceder al mensaje cifrado que se describe en el correo se encuentra con una página web falsa que solicita datos de acceso de la entidad bancaria mencionada con anterioridad. 
  • En un principio se afirma que existe una versión del mensaje para ser reproducida en los dispositivos móviles, sin embargo esto no es así y aunque el troyano solo afecta a los sistemas con Windows, los dispositivos móviles se utilizan a modo de unidad USB para así conseguir extender el malware al mayor número de equipos.
  • Al intentar reproducir el mensaje después de haber introducido los datos de acceso, el usuario se encuentra con un doble problema: los datos introducidos ya han sido robados y el mensaje no se reproduce. Se informa al usuario que existe una versión de java que no se encuentra actualizada y que se debe actualizar. Se ofrece descargar una versión desde la propia página de la entidad pero en realidad lo que estamos descargando es la variante de Dyre.
  • Pero el problema no termina aquí, porque se puede pensar que al intentar instalarse el antivirus alerte de esta presencia y bloquee la instalación. Pero esto no sucede así y muy pocos antivirus actualizados son capaces de detectar la presencia del troyano y detener su instalación.
El origen de esta nueva amenaza parece ser Rusia y son ya 150.000 usuarios de toda Europa los que se han visto afectados por este troyano.

Fuente: Softpedia

MALWARE. Distribuyen exploits a través de los botones sociales de las webs

FlashPack Exploit Kit se distribuye como un conjunto de exploits que buscan explotar diferentes vulnerabilidades para las que han sido programados con el fin de permitir a los piratas informáticos tomar el control del sistema de la víctima. 
Este tipo de malware se suele distribuir de muchas formas diferentes como por ejemplo a través de correo electrónico no deseado, aplicaciones maliciosas descargadas de Internet y, como novedad, a través de los botones sociales de diferentes páginas web (por ejemplo para compartir contenido en Twitter, Facebook, etc).
Los piratas informáticos crean una página web (o modifican una ya existente mediante un ataque informático) de manera que introducen un script malicioso sustituyendo al script habitual para compartir páginas en los medios sociales de manera que cuando la víctima pulsa sobre dicho script automáticamente se descarga y ejecuta el código malicioso del kit de exploits.
Estos exploits utilizan la vulnerabilidad CVE-2014-0497 detectada en Adobe Flash Player en febrero de este mismo año y que muchos usuarios aún no han parcheado. Cuando el exploit consigue explotar el software gana permisos en el sistema y descarga automáticamente otro tipo de malware que permite al pirata informático ganar permisos en el sistema de la víctima.
El troyano Carberp es uno de los que han sido distribuidos a través de este tipo de ataque. Los principales objetivos de estos ataques son usuarios residentes en Japón, aunque ya se han detectado casos de infecciones en otros países como Taiwan y Estados Unidos, por lo que la amenaza comienza a generalizarse y es posible que en poco tiempo llegue a afectar a Europa.
Recomendación
  • Para evitar ser víctimas de este tipo de ataque debemos mantener nuestro software lo más actualizado posible (especialmente la extensión de Adobe Flash Player) para evitar que los exploits consigan hacerse con el control de nuestro sistema y descargar malware en él sin nuestro permiso.
Fuente: Trend Micro

“VODAFONE MMS SERVICE”. Nuevo spam que se distribuye por Europa

En esta ocasión, una gran cantidad de usuarios europeos han recibido un correo con el remitente “Vodafone MMS service“, haciendo creer al usuario que tiene pendiente un mensaje multimedia, informando al usuario que se trata de una imagen de texto.
Funcionamiento del ataque
  • El usuario puede ver como en el asunto del mensaje se incluye “IMG Id 813562-PictQbmR TYPE–MMS“, dando a entender al usuario, tal y como ya hemos dicho con anterioridad, que se trata de una imagen. Al usuario se le remite a un archivo adjunto en el caso de querer verificar la imagen que se ha recibido.
  • Puesto que en el cuerpo del mensaje no existe mucho que destacar (apenas se incluye texto),  vamos a pasar a hablar del archivo adjunto. El usuario se encuentra con un archivo comprimido de nombre IMG Id 813562-PicYbgRr TYPE–MMS.zip, provocando que más de uno piense que simplemente con el nombre ya se ve que es una imagen (error muy frecuente).
El archivo comprimido contiene un virus
  • Entre las dos opciones existentes (una estafa o bien un virus) los ciberdelincuentes se han decantado por la segunda de ellas. Cuando el usuario procede a descomprimir el supuesto contenido de Vodafone MMS se encuentra con el fichero Picture Id 550125-PicSfdce TYPE-MMS.exe. El nombre nos indica una cosa pero si nos fijamos en la extensión del archivo podemos ver que se trata de algo que no concuerda mucho con los que hasta el momento pensábamos: una “imagen” con un extensión .exe.
  • En realidad el archivo es un malware de nombre Trojan.Agent.ED. Este es detectado por la gran mayoría de los antivirus que existen hoy en día y no es considerado muy peligroso, aunque sí que es verdad que podría hacer grandes estragos en el sistema, sobre todo porque una vez que ha llegado a él y se ha instalado comienza la descarga de contenido malicioso adicional en forma de spyware, berras de navegadores y adware que provocará que el equipo sufra ralentizaciones y un funcionamiento anómalo.
Fuente: Dynamoo´s blog

SMS FALSO. Pide los credenciales de Facebook para activar cuentas

Nuevamente  de phishing que la imagen de la red social Facebook se ve implicada. En esta ocasión el medio utilizado son los mensajes de texto. Al usuario se la hace creer que su cuenta se ha desactivado por error y se pide que acuda a una página para volver a activar la cuenta de forma correcta.
Funcionamiento del malware
  • La forma de obtener los números de teléfono es completamente aleatoria y el SMS puede incluso enviarse a usuarios que ni siquiera poseen cuenta en la red social. La obtención de estos números de teléfono es principalmente el mercado negro, es decir, listas de números procedentes de hackeos de otros servicios o de los equipos de compañías.
  • Al usuario se le indica en el SMS que su cuenta ha sido desactivada por accidente y que si quiere seguir utilizando la cuenta de la red social Facebook debe acceder un enlace.  Este enlace conduce al usuario a una supuesta página de la red social donde deberá introducir sus credenciales para proceder a la activación. Sin embargo, esta página no es lo que parece y tiene reservado a los usuarios que lleguen hasta ella una sorpresa.
Se utiliza una página de Facebook falsa para robar credenciales
  • En primer lugar debería llamar la atención si nos fijamos un poco en que la dirección de la página no pertenece a la red social, sino que es una página alojada en Dropbox. En segundo lugar, debería llamar la atención que el botón implica crear una nueva cuenta cuando nosotros en principio solo queremos activar una cuenta ya existente. Además, si tratamos de ver la página en otros idiomas o pulsamos en la sugerencia de obtener Facebook para iOS el resultado será que la página no existe.
  • En realidad, si el usuario introduce los datos de acceso y pulsa en el botón se producirá el envío de estos a un servidor remoto gracias a la utilización de un código PHP. Esto se puede traducir en un robo de la cuenta que el usuario posee en la red social o la utilización de esta para extender malware y estafas por Facebook.
Fuente : Softpedia

HEARTBLEED. Los piratas informáticos lanzaron 3,47 ataques por segundo

Tras la tormenta de las primeras semanas de Heartbleed, e incluso los primeros meses, los investigadores de seguridad analizan la magnitud de los ataques durante el período 0-day de esta vulnerabilidad.
 Según los datos publicados, los piratas informáticos lanzaron más de 300.000 ataques en las primeras 24 horas (las horas más críticas del fallo) lo que equivale a un total de 3.47 ataques por segundo contra diferentes servidores web vulnerables.
Han pasado ya más de 4 meses desde que esta vulnerabilidad hizo estragos en la red y aún hay servidores vulnerables, sin embargo, este tipo de ataques no tienen demasiado interés para los piratas informáticos ya que los principales objetivos han sido protegidos y el tiempo dedicado en busca de objetivos vulnerables no merece la pena con el posible “botín” que encontrarán en ellos.
Independientemente de Heartbleed, en el primer semestre de 2014 se han reportado un total de 3.900 vulnerabilidades, un número bastante reducido respecto al de los años pasados. Esto se debe a que los programas cada vez son más seguros o que cada vez es más complicado explotarlos y que los piratas informáticos se centran más en el desarrollo de malware que en la búsqueda de vulnerabilidades en el software. De seguir este ritmo, el valor a finales de 2014 sería inferior a 8000, un valor que no se detectaba tan reducido desde el año 2011.
Fuente: Infosecurity

MALWARE. Usuarios de Java, deviantART o Photobucket expuestos

Un nuevo ataque informático contra los usuarios de varias páginas web se aprovecha de una vulnerabilidad presente en varias extensiones como Java, Flash y Silverlight que permite, mediante un exploit, descargar automáticamente y de forma oculta malware en los sistemas de las víctimas sin que ellas sean conscientes de ello.
Páginas web afectadas 
La lista de páginas web que se han visto afectadas por este fallo de seguridad es:
  1. Java.com
  2. Deviantart.com
  3. TMZ.com
  4. Photobucket.com
  5. IBTimes.com
  6. eBay.ie
  7. Kapaza.be
  8. TVgids.nl
Funcionamiento del malware
  • Cualquier usuario con los plugins de Java, Adobe Flash o Microsoft Silverlight desactualizados que haya accedido a cualquiera de estas páginas web entre el 19 y el 22 de agosto de este mismo año ha podido verse expuesto ante la distribución de diversas piezas de malware distribuidas por una serie de banners publicitarios maliciosos publicados en dichas páginas web.
  • Un exploit incluido en dichos banners publicitarios podría comenzar la descarga de malware en segundo plano en los sistemas vulnerables, incluso sin que el usuario tenga la necesidad de hacer click sobre dichos banners, todo el proceso ocurre de manera automática y en segundo plano.
  • Bloquear los anuncios maliciosos es complicado, ya que el propio exploit tiene acceso a la ubicación geográfica de la víctima, el tipo de navegador y el historial de la navegación web decidiendo él mismo a qué usuarios infectar y a cuáles no.
Recomendación
  • La mejor forma de evitar ser víctimas de este tipo de ataques y de otros similares es mantener todo nuestro software actualizado (especialmente los plugins del navegador web) y bloquear en el propio navegador la ejecución automática de plugins y scripts de terceros. 
  • Igualmente, si has accedido a alguna de las webs vulneradas en los últimos días es recomendable analizar el sistema en busca de posibles piezas de malware descargadas en el sistema.
Fuente: Fox-IT