18 de noviembre de 2014

CHINA. Detenidos los creadores del malware WireLurker

Las autoridades chinas han informado sobre la detención de dos personas que podrían estar relacionadas con WireLurker y su posterior difusión.
Intrahistoria de la noticia
  • El origen de la infección radicaba en la tienda de aplicaciones para Mac OS X Maiyadi, sin embargo, no se sabía a ciencia cierta el paradero de los creadores de este malware que al menos ha afectado a medio millón de usuarios repartidos por todo el mundo. 
  • En un principio, estas personas están acusadas de crear el virus y proceder posteriormente a la difusión de este utilizando una tienda de terceros. De momento no se sabe qué intenciones tenían los ciberdelincuentes para la información robada. La programación de este permitía robar una gran cantidad de datos del terminal iOS infectado. Según la policía de dicho país, estas no serán las únicas detenciones, ya que se sospecha del personal de una compañía especializada en temas de seguridad y que podría estar relacionado de forma directa con la publicación del malware en la tienda de aplicaciones.
  • Pero este también estaba diseñado para utilizar de igual forma los equipos Windows para extenderse, ya que hay que tener en cuenta que era capaz de detectar la conexión de dispositivos USB al equipo infectado, facilitando aún más su instalación en otros dispositivos. La infección se llevaba a cabo gracias a la modificación del código fuente de programas legítimos.
La tienda Maiyadi está fuera de funcionamiento
  • En primer lugar las autoridades quieren acabar con la amenaza malware y para ello es necesario comprobar las aplicaciones de la tienda que han sido modificadas. Por este motivo y para evitar que el número de usuarios afectados siga aumentando se ha procedido a la desactivación temporal de esta.
  • Aunque no es una tienda oficial de la compañía de la manzana sí que posee plena confianza por parte de esta, siendo este el motivo por el que los de Cupertino se hayan involucrado tanto por erradicar el malware y solucionar el problema lo más pronto posible.
La utilización de certificados falsos podría ser el problema
  • Desde la tienda han informado que los ciberdelincuentes han tenido alguna ayuda adicional que los ha ayudado a subir de nuevo las aplicaciones modificadas, ya que las aplicaciones deben estar firmadas por una serie de certificados propios, por lo tanto, no sirve cualquiera que pueda encontrarse por Internet.
  • Las investigaciones continúan, y tal y como ha concretado la policía de dicho país no se descarta que haya más detenciones relacionadas con WireLurker.
Fuente: Softpedia

EEUU.. Investigación de dispositivos médicos por posibles fallos cibernéticos

El Departamento de Seguridad Nacional de Estados Unidos (DHS) investiga más de 20 casos de supuestas fallos de ciberseguridad en dispositivos médicos y equipos hospitalarios que autoridades temen puedan ser aprovechadas por piratas informáticos, dijo a Reuters un funcionario de alto rango.
Los productos bajo revisión por el ICS-CERT, un equipo de respuesta de emergencias cibernéticas, incluyen una bomba de infusión de Hospira Inc y dispositivos cardíacos de Medtronic Inc y St Jude Medical Inc, según otras personas familiarizadas con los casos, que pidieron no ser identificadas porque la investigación es confidencial.
Estas personas dijeron que no saben de incidentes en que piratas informáticos hayan atacado pacientes a través de estos dispositivos, por lo que la amenaza no debe exagerarse.
Aún así, a la agencia le preocupa que personas malintencionadas intenten controlar los aparatos y crear problemas, como sobredosis de medicamentos, dijeron las fuentes.
El funcionario del DHS dijo que la agencia está trabajando con los fabricantes para identificar y reparar las fallas de software y otras vulnerabilidades que los hackers pueden usar para exponer información confidencial o atacar equipamiento hospitalario. Declinó nombrar a las compañías.
"Estas son las cosas en las que programas como 'Homeland' se basan", dijo el funcionario, refiriéndose a la serie estadounidense sobre espías en la que el vicepresidente es asesinado mediante un ciberataque contra su marcapasos.
"No está fuera de lo posible que causen graves lesiones o muerte", agregó el funcionario, que no quiso ser identificado debido a la naturaleza sensible de su trabajo.
Hospira, Medtronic y St Jude Medical declinaron realizar comentarios sobre las investigaciones del DHS. Las tres compañías dijeron que toman la ciberseguridad como un asunto serio y han hecho cambios para mejorar la seguridad de los productos, pero declinaron brindar detalles.
Fuente: Reuters

EEUU..Vigila las conversaciones de móviles desde aviones

The Wall Street Journal ha revelado un sofisticado programa de vigilancia aérea de las comunicaciones móviles en Estados Unidos de América llevado a cabo por el propio servicio de los US Marshal con autorización del Departamento de Justicia. El propósito es localizar la situación de teléfonos móviles relacionados con la comisión de delitos y el procedimiento para conseguirlo es emplear aviones dotados de antenas que replican las señales de las estaciones base de telefonía móvil.
Pequeños aviones en al menos cinco grandes áreas de Estados Unidos de América dependientes de importantes aeropuertos desde los que partían participan en el sofisticado sistema de espionaje telefónico por vía aeronáutica identificando la posición que ocupan determinados teléfonos móviles que dan soporte a líneas sometidas a vigilancia por su relación con la comisión de diversos delitos.
El detalle de los vuelos espías no se ha facilitado pero cubrían la mayor parte del territorio continental USA y se producen con regularidad, siendo capaces de reunir información de decenas de miles de líneas de telefonía móvil.
Los teléfonos móviles suelen conectarse a la estación base más cercana pero este sistema había logrado simular las señales que envían las antenas “haciéndose pasar” por una de ellas para así poder acceder a las comunicaciones. A partir de ahí, y tras interceptar la información, redirigían la señal a las antenas reales para que la comunicación se efectuase.
Aunque la finalidad era revelar la localización de terminales relacionados con delitos cuya investigación estuviera en curso, el sistema también accede de forma indiscriminada a los datos del resto de dispositivos móviles cercanos. Una vez identificada la señal referida a la línea de telefonía sobre la que se  efectúa el seguimiento se puede determinar la posición del terminal con un margen de error de tres metros, en un sistema muy similar al que el ejército estadounidense emplea en las misiones en el extranjero en las que vigila a sospechosos terroristas.
Desde el Departamento de Justicia no se han efectuado declaraciones al respecto una vez hecha pública esta información que añade poca tranquilidad sobre el respeto a la privacidad de las comunicaciones tras descubrirse el pasado año el programa PRISM de espionaje a través de Internet.
Más información
Fuente: The Inquirer

BIOMEDICINA. La OMS inicia un análisis de posibles fármacos contra el ébola

La Organización Mundial de la Salud (OMS) anunció el viernes el comienzo del análisis de más de 120 posibles tratamientos para los pacientes de ébola, si bien hasta el momento no ha encontrado ninguno que funcione de forma definitiva.
Un fármaco usado para tratar a pacientes de VIH, la lamivudina, comenzó a hacerse conocido como tratamiento después de que un doctor lo usase y varios lo imitaron, comentó el científico de la OMS Martin Friede en una conferencia de prensa.
Sin embargo, la OMS lo examinó halló que no tiene efecto contra el virus y no debe ser administrado.
A pesar del aparente éxito del ZMapp, el medicamento fabricado en Estados Unidos que acaparó portadas cuando fue administrado a dos trabajadores sanitarios infectados que acabaron recuperándose, tampoco ha demostrado ser eficaz, agregó.
El aparente efecto del ZMapp y de otras medicinas puede ser simplemente el resultado de la buena atención recibida por los pacientes, o porque se nutrieron bien antes de enfermar, o por otros fármacos, dijo Friede.
"Como estos pacientes recibieron muchos medicamentos -muchos de ellos recibieron dos, tres o, a veces, incluso cuatro-, no podemos llegar a ninguna conclusión", comentó. "No podemos concluir que esas medicinas funcionen. Esa es la conclusión", dijo.
La organización de ayuda humanitaria Médicos Sin Fronteras tiene previsto empezar el próximo mes sus pruebas con brincidofovir, de la estadounidense Chimerix, y favipiravir, de la japonesa Fujifilm, así como comprobar la eficacia del plasma de los supervivientes del ébola en la cura de los infectados.
Otros tratamientos potenciales publicitados en países de África Occidental donde el ébola está golpeando con más fuerza incluyen plata, selenio, té verde y hasta Nescafé.
Fuente: Reuters

PIRATERIA. Un hackeo del servicio US Postal afecta a tres millones de usuarios

Un correo electrónico con un adjunto malicioso ha desembocado en el hackeo del servicio US Postal, afectando a los datos de más de tres millones de usuarios, aunque se desconoce en realidad el alcance que ha tenido este sobre los datos de los sistemas afectados.
Por el momento no se posee ningún detalle sobre la autoría del ataque y tampoco ha sido reclamada. Sin embargo, se cree que hackers chinos podría estar detrás de este ataque que ha sufrido el servicio de mensajería postal estadounidense.El ataque ha tenido un impacto muy grande y una prueba de ello es que el FBI ya se ha hecho cargo de la investigación para esclarecer qué es lo que ha sucedido. Hasta el momento, poca información más se puede decir sobre este problema de seguridad.
Sin embargo, los empleados también se han visto afectados por el problema de seguridad, en concreto, más de 750.000 han visto como su número de teléfono, su dirección de residencia, fecha de nacimiento o incluso números de la seguridad social entre los datos sensibles a ser robados.
David Partenheimer, responsable de comunicación de US Postal, ha concretado que el problema tuvo su origen en un archivo adjunto que fue abierto en uno de los equipos. Posteriormente, lo único que han confirmado es que los ciberdelincuentes dispusieron de acceso total al sistema casi dos semanas.
Mala formación de los empleados y ausencia de un software antivirus
  • El primer error que se produjo fue el del empleado que  descargó y trató de abrir el archivo. Pero este es solo el primero, ya que el más alarmante, y más si se están utilizando sistemas operativos Windows, es la ausencia de una suite de seguridad que se encargue de proteger los equipos. Según la información filtrada sí existía este tipo de herramienta para proteger la seguridad pero no en todos los equipos. La utilización de los sistemas de los de Redmond no implica la utilización de software antivirus, pero debido al gran número de amenazas sí que resulta algo bastante recomendado, sobre todo si hay tanta información sensible que podría verse afectada.
  • Teniendo en cuenta que muchos dan por sentado el robo de la información, hay que añadir que de momento no se ha registrado ningún intento de utilizar esta con una finalidad no legítima.
Fuente: Softpedia

BIOMEDINA. Comisión Federal de Comercio quiere garantías de Apple de no comerciar datos de salud de sus usuarios

El manejo de datos que contienen información relativa a la salud de los usuarios de aplicaciones manejadas por los dispositivos móviles de Apple mantiene cierta preocupación en organismos de la Administración de Estados Unidos de América, que se ha dirigido de manera oficial a la empresa de California para asegurarse de que dicha información no será objeto de transacciones comerciales.
La Comisión Federal de Comercio (FTC) es el organismo independiente que vela en Estados Unidos de América por la protección del consumidor así como por la eliminación de prácticas abusivas y anticompetitivas por parte de las empresas. En los últimos meses agentes del mismo han mantenido diversas reuniones con representantes de Cupertino para asegurarse de que Apple no venderá los datos de salud de sus usuarios a terceras empresas, así como tampoco permitirá a otros desarrolladores de aplicaciones tener acceso a la ingente cantidad de información generada por los diversos programas de monitorización de actividad física y deportiva y de otros aspectos de la salud englobados bajo la herramienta HealtKit.
Desde Apple se tranquiliza también a los usuarios al afirmar que tanto en Estados Unidos de América como en el resto de países trabajan de manera conjunta con los organismos reguladores de estas cuestiones, especificando que en el caso concreto de HealthKit se ha desarrollado teniendo muy presente la privacidad del usuario.
En la FTC son conscientes de los riesgos que supone un flujo incontrolado de datos relativos a la salud de millones de individuos procedentes de diversos dispositivos móviles y accesorios inteligentes y de hecho aunque Apple  (ni otras empresas con intereses similares, como Google o Samsung) no están sujetas a investigaciones ni procesos formales, sí se ha requerido al Congreso para que desarrolle una legislación acerca de esta delicada materia que no está regulada por la Ley  Federal de Transferencia y Contabilidad de Seguros de Salud, relativa a la custodia de datos privados sanitarios al no afectar a los datos almacenados en aplicaciones móviles deportivas o de salud.
En un reciente estudio la FTC concluyó que hay una docena de desarrolladores de apps relacionadas con la salud o la práctica deportiva que venden y/o comparten con casi un centenar de otras empresas los datos obtenidos y se trata de evitar que esto suceda.
Diversos expertos tranquilizan sobre la cuestión al afirmar que Apple está tratando la cuestión de la privacidad en este sentido con mucho interés al solicitar de manera explícita al usuario que dé su consentimiento antes de franquear a los desarrolladores de las apps el acceso a la información de salud obtenida por los dispositivos, al mismo tiempo que tiene previsto la encriptación de dicha información en el Apple Watch.
Desde Apple se asegura que mantiene estrictas reglas sobre privacidad en HealthKit a fin de que los datos obtenidos no puedan ser empleados por desarrolladores para usos publicitarios ni de análisis de información.
Fuente: Reuters

FBI. Una contraseña débil en el ordenador del hacker más buscado permite ser accesado

Si eres el hacker más buscado por el FBI tampoco te puedes permitir el uso de contraseñas débiles, ya que podrías pasar en prisión muchos años. Unos credenciales inapropiados utilizados en el ordenador de Jeremy Hammond podrían provocar que su ingreso en prisión sea inmediato.
En la red se le conoce como Sabu y además desempeñaba labores de coordinación entre los miembros de LulzSec, un grupo de hackers ya conocidos por la mayoría de los usuarios de Internet. Hace bastante tiempo que Hammond fue detenido, y al no poder demostrarse nada de forma oficial contra él, comenzó a utilizarse para delatar a otros hackers y darlos caza. Sin lugar a dudas el trato le estaba saliendo bastante bien, ya que a pesar de estar vigilado de forma constante, no podrían probar nada contra él excepto las sospechas que existían.
En un principio y sin pruebas concluyentes, el hacker podría quedar libre del trato con el FBI en el año 2020, sin embargo, después del acceso a su ordenador portátil parece que su puesta en libertad se va a retrasar.
Una contraseña débil pero desde 2012 han intentado conseguirla sin éxito
  • La contraseña era muy obvia, ya que el propio hacker ha comentado que era  “Chewie123″, es decir, el nombre de su gato. Sin embargo, al estar basada en un diccionario de palabras diseñado por el propio hacker esta no era tan accesible con las herramientas que se han utilizado, tardando más de dos años en conseguirla.
  • Con la idea de que esto iba a suceder, el hacker trató de cubrirse las espaldas con la creación de este diccionario, algo que a simple vista parece que le ha funcionado, aunque no como él esperaba, pudiendo enfrentarse ahora a una condena de cárcel por su implicación en el robo de documentos de la red de ordenadores de Stratfor.
Fuente: Softpedia

MASTERCARD y VISA. Eliminarán la autenticación online vía contraseña

MasterCard y Visa apuestan por jubilar el empleo de contraseñas para verificar la identidad de los usuarios que realicen compras a través de internet.
Los tiempos están cambiando a pasos agigantados en materia de seguridad gracias a la llegada de tecnología biométrica y en MasterCard y Visa son conscientes de que los usuarios no desean tener que autenticarse a través de contraseña en los pagos de sus compras online.
Por esa razón, los cambios en la tecnología 3D Secure previstos por MasterCard y Visa hablan de que se eliminará la necesidad de que los usuarios tengan que introducir sus contraseñas para confirmar su identidad, informan en The Register.
La llegada de la versión 2.0 de 3D Secure hará que el uso de contraseñas secundarias estáticas para autorizar los pagos online ya no será necesario, puesto que el nuevo sistema de autenticación se basará en la tecnología biométrica y en la solicitud de tokens.
La idea es que se envíen códigos de autenticación a los móviles que estén pre-registrados en el servicio y se ponga mayor énfasis en el apartado de la biométrica, ya que como reconoce el responsable de Soluciones de Seguridad para Empresas de MasterCard, “queremos identificar a los usuarios por quienes son y no por lo que recuerdan”.
En ese sentido, el directivo asegura que los consumidores y los negocios tienen problemas en la actualidad porque deben de acordarse de una cantidad excesiva de contraseñas.
Fuente: The Inquirer

CIBERAMENAZAS. El 13% de los usuarios todavía no cree en ellas

Según una encuesta conjunta realizada por B2B Internacional y Kaspersky Lab, el 13% de los usuarios de Internet no cree que los ataques cibernéticos sean reales. Sienten que la amenaza es una exageración de las empresas de seguridad para Internet. “Sin embargo, esa autosuficiencia los deja sin ningún tipo de protección contra un riesgo que amenaza sus datos y vidas virtuales cada día”, escribe Kaspersky Lab.
De acuerdo con las estadísticas, incluso las personas que aceptan que las ciberamenazas son reales no siempre están convencidas que necesitan protección contra las mismas. “Sin embargo, en la realidad el dispositivo de cualquier persona puede ser de interés para los atacantes. Aun cuando el propietario no almacene datos valiosos en el dispositivo y no realice transacciones financieras en línea, los ciberdelincuentes pueden hacer uso de cualquier computador, smartphone o tableta – quizás convirtiéndola en un bot que envíe spam, llevar a cabo ataques DDoS o enviar enlaces de phishing a través de mensajería instantánea y correo electrónico”, explica Karspersky.
Casi un tercio (32%) de los usuarios no siente preocupación ante la posibilidad de que sus cuentas en línea pudieran estar comprometidas, o están incluso ajenos a este riesgo. Lo más importante es que esto no sólo aplica a páginas personales en sitios de redes sociales sino a cuentas bancarias en línea, que podrían entregar las finanzas personales del usuario a un ciberdelincuente. Sin embargo, muchas personas sienten que las pérdidas financieras resultantes de ataques cibernéticos son extremadamente poco probables – el 42% de los encuestados no conocen o no están preocupados por la posibilidad de tales pérdidas. Ante ello, Kaspersky comenta: “Una cosa de la que no se dan cuenta es que tales pérdidas no forzosamente se pueden deber al robo directo de dinero de sus cuentas bancarias. Una infección por malware también puede conducir a gastos imprevistos, incluyendo costos relacionados con los servicios de un especialista en TI, la reinstalación de software o la indisponibilidad temporal de un dispositivo. En general, el 21% de los encuestados que han tenido malware en sus dispositivos han incurrido en pérdidas como resultado del incidente”.
Según los resultados de la encuesta, el 20% de los encuestados no están conscientes que el uso de redes Wi-Fi públicas es arriesgado porque los datos que se envían a través de estas redes pueden ser interceptadas por ciberdelincuentes. Una proporción ligeramente mayor de usuarios, el 27%, están conscientes de esta amenaza, pero no creen que se deben preocupar por ello. Al mismo tiempo, el 55% de los encuestados utilizan redes públicas y 12% introducen sus credenciales en sitios web mientras están conectado a una red pública.
Fuente: Diarioti.com

DARKHOTEL. Campaña “donde altos ejecutivos son víctimas de espías de elite

Expertos del equipo GReAT (Análisis e Investigación Global) de Kaspersky Lab investigan  sobre campaña espionaje ” Darkhotel”, que ha operado subrepticiamente durante al menos cuatro años y que ha robado datos confidenciales de altos ejecutivos corporativos seleccionados que viajan por el extranjero. “Darkhotel” ataca a sus objetivos cuando éstos se hospedan en hoteles de lujo.
Modus operandi
  • El actor Darkhotel mantiene una intrusión eficaz instalada en redes hoteleras, el cual ha proporcionado un amplio acceso a través de los años, incluso en sistemas que se consideraban seguros y privados. Esperan hasta que, una vez registrada, la víctima se conecte a la red Wi-Fi del hotel e ingrese su número de habitación y apellido en el inicio de sesión. Los atacantes pueden ver al huésped en la red comprometida y lo engañan para que descargue e instale un backdoor (puerta trasera) que pretende ser una actualización de software legítimo – Google Toolbar, Adobe Flash o Windows Messenger. El ejecutivo desprevenido descarga este “paquete de bienvenida” del hotel, sólo para infectar su máquina con un backdoor, software de espionaje de Darkhotel.
  • Una vez en un sistema, el backdoor ha sido y puede ser utilizado para seguir descargando herramientas para robo más avanzadas: un registrador de teclas avanzado firmado digitalmente, el Troyano “Karba” y un módulo para robo de información. Estas herramientas recogen datos sobre el sistema y del software anti-malware instalado en él, roba todas las pulsaciones de teclas, y caza las contraseñas almacenadas en caché en Firefox, Chrome e Internet Explorer; Gmail Notifier, Twitter, Facebook, Yahoo! y las credenciales de inicio de sesión de Google, así como otra información privada. Las víctimas pierden información confidencial, probablemente la propiedad intelectual de las entidades de negocio que representan. Después de la operación, los atacantes cuidadosamente borran sus herramientas de la red del hotel y se esconden nuevamente.
  • Kurt Baumgartner, Investigador Principal de Seguridad en Kaspersky Lab, señala que “en los últimos años, un robusto actor llamado Darkhotel ha realizado una serie de ataques con éxito contra personalidades de alto perfil, empleando métodos y técnicas que van mucho más allá del comportamiento típico de la ciberdelincuencia. Esta amenaza tiene competencia operativa, capacidades ofensivas matemáticas y crypto-analíticas, y otros recursos que son suficientes para abusar de redes comerciales de confianza y ataca categorías de víctimas específicas con precisión estratégica”.
  • Sin embargo, la actividad maliciosa de Darkhotel puede no ser coherente: es indiscriminado en su propagación de malware junto con sus ataques muy concretos.
  • “La combinación de ataques indiscriminados y selectivos se está haciendo cada vez más común en la escena de las Amenazas Persistentes Avanzadas, donde los ataques selectivos se utilizan para comprometer a víctimas de alto perfil, y las operaciones al estilo botnet se utilizan para vigilancia de masas o para realizar otras tareas como partes hostiles DDoSing o simplemente actualizar víctimas interesantes para herramientas de espionaje más sofisticadas”, añade Kurt Baumgartner.
  • Los investigadores de Kaspersky Lab indicaron que los atacantes dejaron una huella en una cadena dentro de su código malicioso señalando a un actor de habla coreana. Los productos de Kaspersky Lab detectan y neutralizan los programas maliciosos y sus variantes utilizadas por la herramienta Darkhotel. Kaspersky Lab está trabajando actualmente con organizaciones relevantes para atenuar el problema.
Cómo protegerse de Darkhotel
  • “Cuando viaje, cualquier tipo de red, incluso las semi-privadas en hoteles, se deben considerar como potencialmente peligrosas”, explica Kaspersky, agregando que el caso Darkhotel ilustra un vector de ataque en evolución: individuos que poseen información valiosa pueden ser víctimas fáciles incluso de Darkhotel, ya que aún está activo, o a algo parecido a un ataque Darkhotel.
Además Kaspersky Lab ofrece los siguientes consejos:


1)   Elija un proveedor de Red Privada Virtual (VPN) – obtendrá un canal de comunicación cifrado para acceder a redes Wi-Fi públicas o semipúblicas;
2)   Cuando viaje, siempre considere las actualizaciones de software como algo sospechoso. Confirme que el instalador de la actualización propuesto esté firmado por el proveedor correspondiente.
3)   Asegúrese que su solución de seguridad para navegar en Internet incluya una defensa proactiva contra las nuevas amenazas y no sólo una protección básica antivirus.
4)   Para obtener más información acerca de consejos de privacidad, por favor visite cybersmart.kaspersky.com/privacy

Fuente: Diarioti.com

MICROSOFT. Arregla un fallo 19 años después presente en todas las versiones de Windows

El error corregido llamado WinShock, que IBM descubrió el pasado mes de mayo está presente en todas las versiones del sistema operativo de Microsoft desde Windows 95. Este fallo podía infectar los ordenadores al permitir a una página web con contenido malicioso visitada a través de Internet Explorer acceder al propio código del ordenador.
Lo mejor de este error descubierto casi 20 años después y que aparece en todas las versiones del sistema operativo Windows desde 1995 es que según ha podido averiguar también IBM, su descubridora, jamás ha sido empleado (o por lo menos no se tiene noticia de ello).
Microsoft ha corregido este fallo en la última actualización automática de Windows de manera que todos los usuarios queden a salvo de que  alguien pueda llegar a hacerse con el control de su equipo tras algo tan inocente como visitar una determinada página web en cuyo código esté oculta la instrucción que permitiera colarse por este agujero de seguridad.
El investigador del equipo de IBM Robert Freeman, que ha participado en el proceso que ha encontrado este error, ha mencionado al respecto que este fallo, como otros muchos, puede permanecer durante años “oculto a simple vista” incluso a pesar de que esa misma librería donde se encuentre haya sido objeto de revisiones e incluso correcciones y parches, hasta que un buen día alguien repara en él, y en función de quién sea el descubridor podrá utilizar el hallazgo para sus propios intereses o lo pondrá en conocimiento del desarrollador del software (aplicación o sistema operativo) para su resolución.
Al localizar el fallo WinShock el equipo de Freeman calificó esta vulnerabilidad con un 9,3 (sobre una escala del 1 al 10), lo que indica “severidad extrema” en cuanto al daño que podría llegar a ocasionarse
Fuente: The Inquirer

MOODLE. Anunciadas múltiples vulnerabilidades

Moodle ha publicado actualizaciones para resolver un total de 10 vulnerabilidades que afectan su plataforma, catalogadas de Importancia: 5 - Crítica
Recursos afectados
Las vulnerabilidades afectan a versiones distintas de la plataforma. De forma genérica, las versiones afectadas son:
De la versión 2.7 a la versión 2.7.2.
De la versión 2.6 a la versión 2.6.5.
De la versión 2.5 a la versión 2.5.8.
Recomendación
Las vulnerabilidades se corrigen actualizando la plataforma a alguna de las nuevas versiones de la plataforma publicadas por Moodle. En el siguiente enlace se puede ver de forma detallada la manera de proceder dependiendo de la versión y la vulnerabilidad. En resumen:
1)   Actualizar a la versión 2.8.
2)   Actualizar de versiones 2.7.x a la versión 2.7.3.
3)   Actualizar de versiones 2.6.x a la versión 2.6.6.
4)   Actualizar de versiones 2.5.x a la versión 2.5.9.
Detalle e Impacto de la vulnerabilidades publicadas
Riesgo alto:
  • MSA-14-0046: vulnerabilidad CSRF en el fichero mod/lti/request_tool.php y mod/lti/instructor_edit_tool_type.php.
  • MSA-14-0045: vulnerabilidad XSS a través de la interfaz de subida de ficheros del usuario.
  • MSA-14-0041: usuarios sin privilegios pueden acceder a la lista de etiquetas del sistema.
Riesgo bajo:
  • MSA-14-0049: permite a un atacante introducir un mensaje aleatorio en la cadena de consulta de una URL, provocado por una validación incorrecta en el fichero mod/lti/return.php.
  • MSA-14-0048: vulnerabilidad CSRF en fichero mod/forum/settracking.php.
  • MSA-14-0047: la validación incorrecta de los parámetros en el fichero mod/wiki/admin.php permite eliminar contenidos de otra Wiki en el mismo curso a usuarios con permisos para eliminar páginas.
  • MSA-14-0044: un usuario puede visualizar un mensaje con la ruta de instalación de Moodle al acceder directamente a un fichero interno.
  • MSA-14-0043: los permisos de grupo no son comprobados al utilizar la función de web service de las discusiones del foro.
  • MSA-14-0042: el código utilizado para geolocalizar direcciones IP está disponible para usuarios no autenticados.
  • MSA-14-0040: Los registros en la base de datos referentes a un nivel de usuarios pueden ser accesibles por usuarios de otros grupos.
Más información
Fuente: INCIBE

VULNERABILIDADES EN : iPhone 5S, Galaxy S5, LG Nexus 5, Amazon Fire Phone y Windows Phone

En los días 11 y 12 de noviembre se ha celebrado en Tokio, el Mobile Pwn2Own 2014, el evento destinado a revelar vulnerabilidades para los dispositivos móviles de última generación. En esta ocasión han sido los iPhone 5S, Galaxy S5, LG Nexus 5, Amazon Fire Phone y Windows Phone los dispositivos en los que se han encontrado vulnerabilidades.
En el primer día, cinco equipos, cinco objetivos y cinco intentos exitosos. Durante estos intentos, nueve nuevas vulnerabilidades explotadas. El primer ataque lo mostró el equipo lokihardt@ASRT (de Corea del Sur) que con una combinación de dos vulnerabilidades logró el compromiso de un Apple iPhone 5S a través del navegador Safari.
 El segundo participante del día, el equipo MBSD que consiguió el compromiso del Samsung Galaxy S5 a través de NFC como vector para provocar un error de deserialización en cierto código específico de Samsung. Tras ello, Jon Butler del equipo sudafricano MWR InfoSecurity, también consiguió el compromiso de los Samsung Galaxy S5 a través del NFC, en esta ocasión mediante un error lógico.
 Adam Laurie de Aperture Labs del Reino Unido también empleó un ataque al NFC en esta ocasión contra un LG Nexus 5 (dispositivo soportado por Google). Mediante una combinación de dos exploits demostró una forma de forzar el emparejamiento Bluetooth entre teléfonos. Para finalizar el primer día, el equipo MWR InfoSecurity formado por tres investigadores empleó una mezcla exitosa de tres vulnerabilidades contra el navegador web del Amazon Fire Phone.
El segundo día, se inició con Nico Joly, fue el único competidor de este año que intentó un ataque contra Windows Phone (un Lumia 1520) con un exploit dirigido al navegador. Y aunque consiguió extraer la base de datos de cookies, la sandbox aguantó el ataque y no fue capaz de hacerse con el control total del dispositivo.
 Por último, Jüri Aedla, veterano de Pwn2Own que consiguió un ataque exitoso contra Firefox en el Pws2Own de Vancouver celebrado en primavera. En esta ocasión, presentó un ataque utilizando la WI-FI de su sistema objetivo (un Nexus 5 con Android). Sin embargo, no fue capaz de elevar sus privilegios más allá de su nivel original.
 Tal y como marcan las reglas del Pwn2Own, todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas.
Más información:
Fuente: Hispasec

ENCUESTA . "Internet de las cosas" o "Internet de los riesgos"

ISACA ha publicado su encuesta anual sobre riesgos tecnológicos centrada especialmente en la conexión de dispositivos, "wearables" y en general en lo que se ha dado en llamar "el Internet de las cosas".
Con más de 115,000 integrantes en 180 países, ISACA (Information Systems Audit and Control Association, Asociación de Auditoría y Control de Sistemas de Información) es una asociación internacional destinada a aportar una fuente confiable de conocimiento, estándares, comunidad, y formación para los profesionales IT. ISACA promueve algunas de las certificaciones más reconocidas en el sector de la seguridad como CISA (Certified Information Systems Auditor) o CISM (Certified Information Security Manager), entre otras.
 El Barómetro 2014 consta de dos componentes: una encuesta entre los miembros de ISACA (1.646 encuestados de 110 países) y una encuesta entre consumidores (más de 4.000 encuestados en cuatro países: Australia, India, el Reino Unido y los Estados Unidos
Las intrusiones preocupan pero no se hace nada
  • En vista de los millones de tarjetas de crédito, direcciones de correo electrónico y otras muestras de información privada que han sido comprometidas recientemente, ISACA ha querido comprobar las reacciones de los consumidores en torno a estos ataques y ha encontrado una diferencia significativa entre el conocimiento y el comportamiento de los usuarios. Casi todos encuestados han oído hablar de las últimas intrusiones (US: 94%, Reino Unido: 90%, India: 87%, Australia el 84%), y la mayoría dijo que éstas aumentaron su preocupación por la privacidad de sus datos personales (US: 75%, Reino Unido 63%, Australia 61%, India: 45%).
  • Sin embargo, pocos han llevado a cabo acciones a raíz de ello. Por ejemplo, en los EE.UU. menos de la mitad de los encuestados dicen que cambiaron sus PINs y/o contraseñas, y sólo alrededor de un cuarto dicen que compraban con menos frecuencia en tiendas que habían sufrido una intrusión. Casi una tercera parte no cambió su comportamiento comercial en absoluto
Aumento de dispositivos conectados
  • Los consumidores han comenzado a integrar cada vez más dispositivos en sus vidas, de acuerdo a la encuesta más de un cuarto de los encuestados poseen un Smart VT (India: 49%, Australia: 38%, UK: 37%, US: 29%) o coches conectados (Australia: 41%, India: 33%, US: 23%, UK: 23%). Y más de la mitad de los consumidores expresan su deseo o de disponer un dispositivo conectado el año que viene.
  • Disponer de dispositivos "wearables", tales como gafas inteligentes o relojes inteligentes, es todavía novedoso. La mayoría de todos los encuestados en los diferentes países confirma que todavía no poseen o utilizan este tipo de productos. Pero sí esperan que esto cambie dentro de poco, por ejemplo aproximadamente uno de cada cinco en varios países dicen que les gustaría conseguir un reloj inteligente en el próximo año (Australia: 18%, Reino Unido: 17%, Estados Unidos: 14%).
  • Pero estos deseos están acompañados de una sensación de aprensión. Según los consumidores usan más dispositivos que contienen su información personal aumenta la necesidad de aumentar su seguridad. Aproximadamente nueve de cada diez consumidores muestran preocupación sobre la información que se entrega a los dispositivos conectados. El mayor temor es el pensar que alguien acceda al dispositivo y haga algo malicioso, seguido por no saber cómo se utiliza su información.
Los profesionales
  • La encuesta también muestra implicaciones relevantes en el mundo de la empresa y desafíos importantes para los profesionales de la seguridad. Muchas organizaciones planean aprovechar el Internet de las Cosas (28% ya tienen planes para ello, y otro 15% espera crear planes dentro de los próximos 12 meses). Sin embargo existen muchas preocupaciones sobre ello, principalmente las amenazas a la seguridad y la privacidad de los datos
  • El único dispositivo considerado seguro, considerando con ello que protege los datos del usuario  y que no está en riesgo por ser robado o mal utilizados por un atacante, es la tarjeta de identificación de empleado con un sensor. Un 42% de los profesionales encuestados consideró este elemento como seguro, un 29% inseguro y un 19% desconocía las implicaciones.
  • Para la mayoría de los profesionales, el interés del consumidor en los dispositivos "wearables" creará complicaciones en el entorno de trabajo. Se señala que las políticas BYOD (Bring Your Own Device, trae tu propio dispositivo) no están preparadas para la tecnología "wearable" y que BYOW (Bring Your Own Wearable, traer tu propio wearable) es tan arriesgado como BYOD.
  • En relación a la preparación de las empresas para estas tecnologías, más de la mitad (56%) de los encuestados dicen que su política BYOD no se ocupa de los dispositivos "wearables". Mientras que un 23% declara que ni siquiera dispone de una política BYOD. A pesar de estas preocupaciones y riesgos, casi la mitad de los miembros de ISACA (46%) cree que el beneficio del "Internet de las cosas" es aún mayor que el riesgo que puede conllevar a los individuos.
Más información:
Fuente: Hispasec

ADOBE FLASH PLAYER . Publicada nueva actualización

Adobe ha publicado una actualización para Adobe Flash Player para evitar 18 nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
Recursos afectados
 Las vulnerabilidades afectan a las versiones de Adobe Flash Player 15.0.0.189 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.250 (y versiones 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.411 (y anteriores) para Linux.
Detalle e Impacto de las vulnerabilidades corregidas
  • La mayoría de las vulnerabilidades que se corrigen en este boletín (APSB14-24) permitirían la ejecución de código arbitrario aprovechando los siguientes fallos de seguridad:
  • Cuatro vulnerabilidades que podrían causar una corrupción de la memoria, a los que se han asignado los siguientes identificadores: CVE-2014-0576, CVE-2014-0581, CVE-2014-8440, CVE-2014-8441.
  • Tres vulnerabilidades de uso de memoria después de liberarla (CVE-2014-0573, CVE-2014-0588, CVE-2014-8438).
  • Una vulnerabilidad de doble liberación, con CVE-2014-0574.
  • Cinco vulnerabilidades de confusión de tipos (CVE-2014-0577, CVE-2014-0584, CVE-2014-0585, CVE-2014-0586, CVE-2014-0590).
  • Dos vulnerabilidades de desbordamiento de búfer (CVE-2014-0582, CVE-2014-0589).
  • Por otra parte un desbordamiento de búfer (CVE-2014-0583) y un problema de tratamiento de permisos (CVE-2014-8442) que podrían permitir la elevación de privilegios. Y por último una vulnerabilidad solucionada podría permitir la obtención de tokens de sesión (CVE-2014-8437).
Recomendación
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 15.0.0.223
  • Flash Player Extended Support Release 13.0.0.252
  • Flash Player para Linux 11.2.202.418
  • Igualmente se ha publicado la versión 15.0.0.223 de Flash Player para Internet Explorer y Chrome.
Más información:
Fuente: Hispasec

MASQUE ATTACK Fallo de seguridad en la gestión de identificadores en aplicaciones de iOS

Investigadores de FireEye ha publicado un artículo en el que se detalla una nueva técnica conocida como "Masque attack", mediante la cual un atacante a través de una aplicación maliciosa, podría reemplazar una aplicación legítima y comprometer los datos de los usuarios. El fallo se ha considerado de nivel Crítico
Recursos afectados
·         Versiones 7.1.1, 7.1.2, 8.0, 8.1 y 8.1.1 del sistema iOS.
Detalle  e Impacto del fallo de seguridad
  1. El fallo de seguridad detectado se debe a que el sistema operativo iOS no comprueba que los certificados coinciden cuando dos aplicaciones tienen el mismo identificador interno en el sistema o ‘Bundle ID’.
  2. Un atacante mal intencionado podria reemplazar cualquier aplicación del dispositivo incluyendo las descargadas desde el Apple Store, a excepción de las preinstaladas de fábrica, independientemente de que se haya realizado ‘Jailbreak’ o no.
Recomendación
Apple todavia no ha publicado ningun parche para este fallo de seguridad pero como medidas de precaucion se recomienda:
  1. No instalar aplicaciones de fuentes distintas al Apple Store.
  2. No hacer clic en ‘Instalar’ cuando aparezca una ventana emergente visitando un sitio web
  3. Si al ejecutar una aplicación aparece una ventana emergente indicando que se trata de un desarrollador no identificado, cancelar y desinstalar la aplicación
En iOS 7 se puede comprobar si una aplicacion ha sido reemplazada comprobando los perfiles de aprovisionamiento instalados en el dispositivo (Ajustes > General > Perfil > Perfiles de aprovisionamiento)
Más informción
Fuente: INCIBE

ACTUALIZACION. Boletines de seguridad de Microsoft de noviembre de 2014

Consta de 8 boletines de seguridad, clasificados como 4 críticos, 8 importantes y 2 moderados, y referentes a múltiples CVEs en Microsoft Windows, Microsoft .NET Framework, Microsoft Office, ASP.NET MVC y Microsoft Internet Explorer.  Actualización de  Importancia: 5 - Crítica
Recursos afectados
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows RT
  • Windows RT 8.1
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Microsoft Office 2007
Detalle e impacto de las vulnerabilidades
1)   MS14-064: (Crítica) El parche para Windows OLE resuelve 2 vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada con Internet Explorer.
2)   MS14-065: (Crítica) El parche para Internet Explorer resuelve un total de 17 vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada con Internet Explorer.
3) MS14-066: (Crítica) Esta actualización de seguridad resuelve una vulnerabilidad en el paquete de seguridad de Microsoft Secure Channel (Schannel) en Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante envía paquetes especialmente diseñados a un servidor de Windows.
4)   MS14-067: (Crítica) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario, que ha iniciado sesión, visita un sitio web manipulado para invocar a Microsoft XML Core Services (MSXML) a través de Internet Explorer.
5) MS14-069: (Importante) Esta actualización de seguridad resuelve 3vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un archivo especialmente diseñado se abre con una edición afectada de Microsoft Office 2007.
6)   MS14-070: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad reportada públicamente en TCP/IP que se produce durante control del proceso de entrada/salida (IOCTL). Esta vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada.
7)  MS14-071: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si una aplicación utiliza el servicio Microsoft Windows Audio.
8)   MS14-072: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft .NET Framework. La vulnerabilidad podría permitir la elevación de privilegios si un atacante envía datos especialmente diseñados auna estación de trabajo o servidor afectada que utiliza .NET Remoting.
9) MS14-073: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft SharePoint Server. Un atacante autenticado que consiga aprovechar esta vulnerabilidad podría ejecutar secuencias de comandos arbitrarios en el contexto del usuario en el sitio actual de SharePoint.
10) MS14-074: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir sortear las funciones de seguridad cuando el Remote Desktop Protocol (RDP) no registrar adecuadamente los eventos de auditoría.
11) MS14-076: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Internet Information Services (IIS) que podría llevar a sortear las funciones de seguridad "IP and domain restrictions".
12) MS14-077: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Active Directory Federation Services (AD FS). La vulnerabilidad podría permitir la divulgación de información si un usuario sale de su navegador después de cerrar la sesión desde una aplicación, y un atacante vuelve a abrir la aplicación en el navegador inmediatamente después de que el usuario se ha desconectado.
13) MS14-078: (Moderada) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Input Method Editor (IME) (japonés). La vulnerabilidad podría permitir escapar del sandbox sobre la base de la política de seguridad del sandbox de aplicaciones en un sistema donde se ha instalado una versión afectada de Microsoft IME (japonés).
14) MS14-079: (Moderada) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. Esta vulnerabilidad podría permitir la denegación de servicio si un atacante coloca una fuente TrueType especialmente manipulada en un recurso compartido de red y un usuario visita el sitio posteriormente con el Explorador de Windows.
Recomendación
  •  Instalar la actualización. En el resumen de los boletines de seguridad de Microsoft, se informa de los distintos métodos de actualización dentro de cada boletín en el apartado "Información sobre la actualización".
Más información
Fuente: INCIBE

ROCKWELL AUTOMATION CCW. Descubiertas varias vunerabilidades

El investigador independiente Andrea Micalizzi ha descubierto dos vulnerabilidades en componentes ActiveX del producto Rockwell Automation Connected Components Workbench (CCW). Dichas vulnerabilidades se han catalogado de Importancia: 4 - Alta
Recursos afectados
 Los siguientes productos están afectados:
  • Rockwell Automation CCW Version 6.01.00 y anteriores
Detalle e Impacto de las vulnerabilidades
  • Explotando las vulnerabilidades en los componentes ActiveX, podría escribirse código arbitrario en direcciones de objetos que no son normalmente accesibles. Las vulnerabilidades son explotables local y remotamente utilizando técnicas de ingeniería social para conseguir que el usuario acceda una página web manipulada.
Recomendación
  • Actualizar a versión 7.00.00 en los productos Rockwell afectados.
Más información
Fuente: INCIBE

PHP . Actualizaciones para las versiones 5.6.3, 5.5.19 y 5.4.35

 PHP ha publicado las versiones 5.6.3, 5.5.19 y 5.4.35 que corrigen múltiples vulnerabilidades y que afectan al CORE de la aplicación y a diferentes módulos, catalogadas de Importancia: 4 - Alta
Recursos afectados
  • Versiones de PHP anteriores a la 5.6.3
  • Versiones de PHP anteriores a la 5.5.19
  • Versiones de PHP anteriores a la 5.4.35
Detalle e Impacto de las vulnerabilidades
 Entre las vulnerabilidades corregidas destaca:
  • La lectura fuera de límites (CVE-2014-3710).
  • Referencias
  • PHP 5 Changelog
Recomendación
·         Actualizar a las versiones 5.6.3, 5.5.19 o 5.4.35 según la versión actual de PHP.
Fuente: INCIBE

SITIOS WEB PHISHING. El 60% consiguen robar datos de los usuarios

Google ha analizado los correos electrónicos spam recibidos en una bandeja de Gmail de forma aleatoria con la finalidad de mostrar el nivel de efectividad que tienen este tipo de sitios a la hora de engañar al usuario, algo clave para que se produzca el robo de datos.
El analisis realizado por los de Mountain View se puede ver como en función de lo trabajado que esté el sitio web falso y el correo su nivel de efectividad cambia, algo que resulta bastante obvio. A esto hay que sumar que existe otro porcentaje de éxito asociado el propio correo electrónico, es decir, si el correo no resulta lo suficientemente creíble de nada va a servir que el sitio web falso sea una copia exacta del original.
Las versiones falsas o imitaciones no tienen tanto éxito
  • En el estudio se ha comprobado que aquellas copias que son exactas de los sitios web legítimos tienen un éxito del 45% a la hora de realizar el ataque phishing de forma satisfactoria. El 14% de los sitios web que con imitaciones pero no exactas poseen un porcentaje de éxito del 14%, reduciéndose este hasta el 3% si estamos halando de aquellos sitios web falsos que se identifican como una versión falsa con facilidad. Los resultados obtenidos son normales, ya que un sitio web idéntico no va a tener el mismo efecto que un sitio web falso cuyo diseño no se ha cuidado.
  • En este proceso también tiene mucho que ver la influencia de otros usuarios, sobre todo amistades. Si el contenido ha sido enviado por una persona conocida las posibilidades de éxito se disparan incluso para aquellas páginas web que sean falsas y que no sea una copia tan lograda.
Los países de Asia son los más activos con los sitios web phishing
  • Con respecto a las regiones del mundo donde más actividad existe es probable que más de uno se sorprenda. Evidentemente que se envíen desde estas regiones no quiere decir que los ciberdelincuentes que se encuentran detrás de estas estafas sean de este lugar. De este modo, países como China, Costa de Marfil, Malasia, Nigeria u otros países africanos se encuentran entre los lugares más utilizados para enviar este tipo de contenidos.
  • En estos países no solo se produce el hosting de la página web falsa, también desde donde se envía el correo electrónico spam que indica al usuario que debe acudir a la página web fala para verificar ciertos datos, o cualquier otro gancho.
  • Sin embargo, desde Google también han mostrado su preocupación por la tendencia que ha aparecido el último año de utilizar servicios de almacenamiento en la nube para almacenar estas páginas falsas, como por ejemplo Dropbox o Google Drive.
Fuente: Redeszone.net