12 de enero de 2015

ANDROID. Vulnerabilidad provoca que los dispositivos del SO. de Google fallen

Expertos en seguridad han descubierto un problema que afecta a los archivos manifest que utilizan las aplicaciones permitiendo realizar una especie de ataque de denegación de servicio al dispositivo Android, provocando que la memoria de este se sobrecargue y provoque el reinicio del terminal.
El archivo problemático es un fichero XML y se encuentra en un formato concreto con una estructura bien definida. Algunas aplicaciones poseen referencias a cadenas de texto muy grandes, siendo una necesidad para el sistema operativo conseguir resolver estas haciendo uso del Parser de paquetes (también conocido como el intérprete). El problema llega cuando el fichero XML citado con anterioridad y estas referencias a cadenas de texto grandes se multiplican y aparecen más de lo habitual.
Esto provoca un consumo de memoria adicional que puede estar disponible o no, siendo el segundo de los casos un problema ya que en este caso el intérprete fallaría y provocaría por lo tanto el reinicio del terminal.
Algunos expertos en seguridad se han puesto manos a la obra para lograr acotar en la medida de lo posible el problema y ya han confirmado que todas las versiones disponibles en la actualidad de Android Lollipop y KitKat están afectadas por el problema.
El reinicio del dispositivo Android no resuelve el problema
  • Sin embargo, aunque pueda parecer que tras el reinicio forzado y provocado por este fallo todo va a volver a la normalidad esto no es así y el bucle infinito de reinicios será algo habitual en el dispositivo. La única solución a este fallo es utilizar el modo ADB que poseen los dispositivos. Este se puede “recuperar” realizando  un borrado de la caché o restableciendo el dispositivo a los valores de fábrica.
  • El peligro para el usuario en lo referido a fuga de datos es inexistente, aunque sí se podría producir una pérdida de estos si no se posee una copia de seguridad reciente. El error ya ha sido reportado a Google pero aún no se ha obtenido ningún tipo de respuesta.
Fuente: Softpedia

MICROSOFT versus GOOGLE.. Descontento en Redmond por revelación de agujero de seguridad.

Como parte de su Project Zero,  Google reveló en diciembre un agujero de seguridad en Windows 8.1. 
Project Zero, o Proyecto Cero, consiste en que un grupo de elite detecta y revela vulnerabilidades en Google y otros proveedores. Y cuando se detecta un agujero de seguridad, la empresa concede 90 días para presentar un parche, antes de que el Project Zero publique sus hallazgos.
Según se indica, Project Zero habría detectado la vulnerabilidad en septiembre, notificando inmediatamente a Microsoft. A pesar de disponer de 90 días, Microsoft no logró parchear el error, pero Project Zero de todas formas dio a conocer públicamente la vulnerabilidad.
Microsoft publicó el 11 de enero una declaración donde se refiere al tema, que ha causado debate en círculos dedicados a la seguridad informática.
En concreto, Microsoft manifiesta su descontento por el hecho de que Google revelara la información sólo días antes de que el parche de seguridad fuese puesto a disposición de los usuarios, ignorando las peticiones de Microsoft de retener la información hasta que el problema hubiese sido solucionado. A juicio de Microsoft, haber retenido la información hubiera beneficiado directamente a los usuarios, debido a que la vulnerabilidad habría permanecido protegida, evitándose así su aprovechamiento por parte de terceros. Microsoft tenía planes de publicar el parche mañana, 13 de enero, y había pedido a Google no revelar el agujero hasta entonces. El director de seguridad de Microsoft, Christopher Betz, escribe en el blog de la empresa que Google asegura que su intención es cumplir con sus propios principios sobre plazos, pero que a él le queda la impresión de que la empresa sólo busca jactarse.
Según Microsoft, toma bastante tiempo evaluar las amenazas y desarrollar parches adecuados. Microsoft tampoco está de acuerdo con la política de Google, en el sentido que en los 90 días obligatorios van directamente en beneficio de la mayoría de los usuarios.
“Para nosotros no sería correcto hacer que nuestros expertos en seguridad busquen vulnerabilidades en los productos de la competencia, presionándoles a solucionarlas dentro de un plazo determinado, para posteriormente revelar públicamente información que puede ser utilizada para explotar el agujero de seguridad y atacar a los usuarios, antes de que haya una solución disponible”, escribe Betz.
Microsoft aboga por un mayor grado de cooperación, donde los expertos en seguridad informática informen a los fabricantes de software sobre potenciales problemas de seguridad mediante canales privados, cooperando con estos hasta que esté disponible una solución y, por cierto, antes de dar a conocer públicamente la información. “Es la mejor forma de beneficiar a los usuarios. Los procesos que limitan o ignoran tal cooperación van en perjuicio de todas las partes”, concluye señalando Betz.
Fuente: Diarioti.com

ESPAÑA. Empresa valenciana crea sistema antiespionaje por webcam

   La empresa valenciana WSS (Webcam Security System) acaba de lanzar al mercado Look&Lock, un producto "exclusivo" en el mundo para evitar ser espiado por la webcam de los equipos informáticos. Además, permite el control parental, según ha informado la mercantil en un comunicado.
   WSS ha desarrollado y patentado a nivel mundial el primer sistema con llave o control parental (Look&Lock) para los niños y para que el resto del entorno -pareja, padres, empleados- esté protegido de todos los delincuentes que con gran facilidad son capaces de entrar en el ordenador ajeno, grabar imágenes personales y privadas o hacer un espionaje industrial y venderlas a la Red a pederastas y en otras ocasiones colgarlas en Internet bajo una presión de chantaje y extorsión.
   Saber que te pueden grabar en tu casa, en el colegio o en el lugar de trabajo ha sido lo que ha llevado a un grupo de jóvenes emprendedores, pero con más de 20 años de experiencia en otras actividades empresariales, a crear este producto, con el objetivo de salvaguardar la seguridad de las personas en Internet, han explicado las mismas fuentes.
   Look&Lock ha comenzado a comercializarse en EEUU, donde se han vendido más de 30.000 unidades y se están cerrando acuerdos con varias cadenas de distribución. 
  En España, el producto se puede comprar a través de la web oficial (http://www.lookandlock.com/)
Fuente: Europa Press

CISCO WEBEX MEETINGS SERVER . Descubiertas múltiples vulnerabilidades

Cisco ha publicado cuatro boletines de seguridad para alertar de otras tantas vulnerabilidades en Cisco WebEx Meetings Server que podrían permitir a un atacante remoto evitar la autenticación, conseguir contraseñas cifradas o realizar ataques de cross-site scripting y de cross-site request forgery.
 Cisco WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.
Detalle e Impacto de la vulnerabilidad
  •  El primer problema, con CVE-2014-8033, reside en una API expuesta que puede permitir a un atacante remoto sin autenticar conseguir acceso de administrador mediante el envío de una URL específicamente creada. 
  •  Con CVE-2014-8032, una vulnerabilidad en OutlookAction LI de Cisco WebEx Meetings Server puede permitir a un usuario remoto autenticado conseguir contraseñas cifradas.
  •  Con CVE-2014-8030, una debilidad en la limpieza del parámetro email de la página sendPwMail.do puede facilitar la construcción de ataques de cross-site scripting (XSS).
  •  Por último, con CVE-2014-8031, una vulnerabilidad en el entorno web podría permitir a un atacante remoto la realización de ataques cross-site request forgery (CSRF).
  •  Cisco no ofrece actualizaciones gratuitas para estos problemas, al estar considerados de gravedad baja a media, por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.
Más información:
Fuente: Hispasec

ESPAÑA. Ministerio del Interior ha lanzado el DNI 3.0, que permite transmitisión de datos

El ministro del Interior, Jorge Fernández Díaz, ha presentado este lunes el nuevo Documento Nacional de Identidad (DNI) en la Comisaría Provincial de Lleida, donde se empezará a expedir para extenderse después a toda España. En el acto, al que asistió también el director de la Policía, Ignacio Cosidó, se le entregó el primer ejemplar del nuevo DNI a la nadadora olímpica Mireia Belmonte.
 Detalles técnicos del nuevo DNI 3.0
  • El DNI 3.0 incorpora un chip certificado de seguridad con mayor capacidad y velocidad, y con la misma validez jurídica que la firma manuscrita. Gracias a sus nuevas capacidades técnicas, el DNI 3.0 podrá ser usado como documento de viaje electrónico. 
  • Además, permitirá la comunicación con smartphones a través de una antena de radiofrecuencia y vía NFC (Transmisión de Datos por Contacto). Esta tecnología es un sistema que funciona por proximidad y que comunica de forma inalámbrica dos dispositivos. Su principal ventaja es que dinamiza la relación entre dos aparatos y permite a los usuarios ahorrar tiempo y esfuerzo.
  • La adquisición y puesta en marcha del nuevo DNI es igualmente rápida, basta con solicitarlo en la comisaría para acceder a sus servicios telemáticos desde el primer momento. No es necesario un lector de tarjetas ni la instalación de drivers. 
  • Además, este documento facilita tareas cotidianas como el pago de tasas con la Administración y agiliza el acceso a través del control de fronteras en los aeropuertos.
El nuevo documento agiliza el acceso a través del control de fronteras en los aeropuertos
  • El usuario se podrá identificar en internet con solo acercar su DNI al reverso de su smartphone o tablet, aunque desde Interior han querido hacer hincapié en la seguridad, como la ventaja principal de todo el proceso. El ministro ha afirmado que el nuevo documento "mejora un aspecto importante de la tranquilidad ciudadana, como es la seguridad documental y, con ella, la certeza en la acreditación de la identidad personal".
  • Por otra parte, el nuevo Pasaporte 3.0, que también ha sido presentado hoy en Lleida y que ya se está expidiendo en toda España, está dotado de un chip de mayor capacidad y velocidad, así como de un nuevo papel de seguridad, componentes holográficos renovados y otras medidas de seguridad invisibles. Además, el titular podrá dejar en la base de datos de pasaportes un punto de contacto, teléfono o correo electrónico para que en caso de emergencia fuera de España se pueda avisar a los familiares o personas de su entorno más próximo, informa Lluís Visa.
Fuente: El Pais.com