28 de abril de 2015

ANTIVIRUS. ¿Cual es el mejor para Windows ? Ganadores y perdedores

Saber cuál es el mejor antivirus para nuestro sistema Windows es algo necesario y gracias a un análisis de Dennis Technologies Labs podemos descubrir cuál es la opción más recomendable.
Hoy en día las amenazas pueden llegar desde cualquier medio, sin necesidad de limitarse a archivos descargados de páginas web o servicios P2P. Es por este motivo que un buen antivirus debe cubrir diferentes vías de llegada de malware, como el correo electrónico, páginas web no seguras, memorias USB o incluso al conectar los terminales móviles al sistema Windows. En el caso de una empresa estos aspectos toman mucha más importancia, ya que la importancia de los documentos puede ser mucho mayor que la de los existentes en un equipo doméstico.
La empresa que hemos mencionado con anterioridad elige cada dos meses cuál es le mejor opción para los usuarios teniendo en cuenta las amenazas que están presentes en la red. Con anterioridad fue Panda Free Antivirus la solución elegida por este grupo.
En la prueba que nos ocupa se han utilizado nueve herramientas de seguridad tanto de pago como gratuitas.
El mejor antivirus es el que se anticipa a la amenaza y a su llegada al equipo
  • Bloqueo de archivos en correos electrónicos o eliminación de ejecutables mientras se extrae un archivo comprimido. Alguna vez es probable que os haya sucedido esto, respondiendo al comportamiento que debe tener una buena herramienta de seguridad, anticipándose a la llegada del software malicioso al equipo y evitando que este se ejecute de forma automática o que el usuario lo inicie por error.
  • Los puntos que han utilizado a la hora de calcular la nota son cuatro:
  1. Detectar la amenaza y eliminarla sin que se ejecute.
  2. Localizar la amenaza que ya se ha ejecutado y eliminar los archivos de forma correcta.
  3. Comprobar que existe un archivo malicioso que se ha ejecutado, eliminarlo pero dejar archivos asociados e él en el equipo.
  4. No detectar la presencia del ejecutable y por la tanto tampoco llevar a cabo la eliminación de los archivos.
Panda Free Antivirus pierde todo lo ganado en los dos meses anteriores
  • La solución antivirus para Windows gratuita recomendada es Avast!, mientras que en el caso de los productos de pago tanto las soluciones de Kaspersky como Norton con la mejor opción. En el caso de la apuesta de Mcafee posee un pequeño porcentaje de malware que no es capaz de detectar, pudiendo comprometer el equipo sin que la herramienta haga nada.
  • Tal y como se puede ver como Panda, lo que se gana en poco tiempo se puede perder de forma radical, y el motivo es el constante cambio al se encuentran sometidas las amenazas de seguridad, incluyendo siempre nuevas funcionalidades o capacidades para buscar la forma de saltarse estas herramientas. También hay que decir que en el caso del software de Panda el sistema se desinfecta con éxito en un porcentaje bastante alto, algo que no sucede con la herramienta de Microsoft que sigue aportando resultados muy pobres.
  • Teniendo en cuenta estos aspectos, la puntuación final de la prueba queda como aparece en el diagrama que figura al pie del post
Fuente: PCMag


CIBERESPIONAJE. Cómo detectar los ataques “Quantum Insert” de la NSA

Una de las técnicas utilizadas por la NSA para espiar a los usuarios es la conocida como “Quantum Insert“, técnica que se empezó a utilizar en 2005 por la NSA americana y por la GCHQ británica para realizar ataques, romper la seguridad de los sistemas e introducir malware en ellos.
Cómo funcionan los ataques “Quantum Insert” de la NSA
  • El funcionamiento de esta técnica de ataque se puede resumir de forma sencilla como una “redirección”. Cuando el usuario está visitando una página web, un servidor intermedio lanza un paquete malicioso que hace que el ordenador cambie la ruta de la web original que estaba visitando y cambie todo el tráfico hacia un nuevo servidor especificando en el paquete.
  • Este servidor, al establecer conexión con el ordenador de la víctima puede enviar malware o monitorizar toda la actividad, incluso copiar todos los paquetes en una base de datos y redirigir el tráfico a la web que se estaba visitando originalmente, quedando la conexión comprometida pero siendo complicado de detectar.
  • A continuación podemos ver in vídeo resumen sobre el funcionamiento de esta técnica  ( http://www.youtube.com/watch?v=ZG5FMDUWVoA )
Cómo detectar los ataques “Quantum Insert”
  • Gracias a un documento también filtrado por Edward Snowden ha sido posible estudiar esta técnica de ataque y encontrar una forma de detectarla.
  • A la vez que el servidor falso nos envía un paquete con la dirección falsa del servidor, el servidor original envía igualmente un paquete original. Ambos paquetes tendrán la misma secuencia, aunque el contenido de los paquetes ACK cambiará y la dirección web del servidor hacia el que hay que redirigir el tráfico será diferente en ambos paquetes.
  • Analizando estos paquetes se podría saber si nuestra conexión está siendo comprometida por la NSA, otra organización o algún pirata informático que hace uso de la técnica Quantum Insert. Si por cualquier motivo la web envía dos paquetes de conexión, estos serán iguales y el navegador web debería saber compararlos y clasificarlos como correctos. Para identificar, e incluso bloquear esta técnica simplemente se deberían controlar las respuestas de los servidores a los que accedemos, especialmente cuando recibimos dos paquetes de respuesta aparentemente iguales.
Fuente: Wired

STEGANOS ONLINE SHIELD VPN. Protege del WebRTC de los navegadores que revelan tu IP

Si nos conectamos a Internet a través de un servidor Proxy o un servidor VPN para ocultar nuestra dirección IP, no conseguiremos nuestro objetivo si en nuestro navegador tenemos habilitado WebRTC. 
WebRTC es un protocolo de código abierto desarrollado por Mozilla que permite establecer conexiones P2P para la realización de llamadas de vídeo y audio entre dos navegadores, sin necesidad de instalar plugins. Con el tiempo se ha descubierto que tener habilitada esta función permitiría descubrir nuestra IP real, con lo que tendríamos un problema de privacidad si queremos ocultarla.
Para evitar que usuarios no autorizados puedan identificarnos en la red es necesario bloquear todas estas conexiones a través de WebRTC. Los navegadores envían solicitudes a los servidores STUN (Session Traversal Utilities para NAT) que se distribuyen en todas las interfaces de red del equipo y posibilida que los sitios web registren la ubicación y dirección IP real de los usuarios.
En la siguiente página web podéis comprobar si realmente nuestra IP está ocultada y si WebRTC lo tenemos habilitado: Visitar IPLeak. Si lo tenemos deshabilitado nos mostrará: “No leak, RTCPeerConnection not available.”
Ahora el servicio de red privada virtual Steganos Online Shield VPN incorpora la funcionalidad de bloquear las conexiones WebRTC de nuestros navegadores, de esta forma nuestra dirección IP estará camuflada a través del túnel VPN que crea con los servidores del servicio que proporciona Steganos.
Al pie del post figura una captura de pantalla se puede seleccionar la opción “Prevent WebRTC IP Leak“, una vez seleccionada el establecimiento del túnel VPN se restablecerá y ya podremos navegar de forma privada. Lo que hace esta función es eliminar la ruta sobre el gateway estándar, manteniendo así la dirección IP oculta
Gracias al software Steganos Online Shield VPN podremos navegar por Internet sin revelar nuestra dirección IP pública real. Esta herramienta está disponible de forma gratuita con un tráfico de 500MB mensuales, si queremos que el tráfico a través de la VPN sea ilimitado tendremos que pagar 49,95€ y podremos instalarlo hasta en 5 equipos.
Fuente: Redeszone.net




VULNERABILIDADES. Actualización para IBM WebSphere Portal

IBM ha publicado una actualización para corregir dos vulnerabilidades en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de cross-site scripting o de denegación de servicio.
 IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

Detalle de la vulnerabilidad
  •  Una vulnerabilidad, con CVE-2014-1866, que podría permitir a un atacante provocar una denegación de servicio debido a una validación inadecuada de peticiones específicamente construidas, que llegarían a consumir todos los recursos de memoria.
  •  Por otra parte, con CVE-2015-1908, una vulnerabilidad de cross-site scripting por un error de validación de entradas que podría permitir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Recursos  afectados
  •  Los problemas afectan a WebSphere Portal 8.5, 8.0, 7 y 6.1. IBM ha publicado las actualizaciones PI37356 y PI37661 para evitar estos problemas.
Recomendación
Más información:
Fuente: Hispasec

APPLE. Denegación de servicio en iOS al conectarse con WiFi maliciosa

En la Conferencia RSA 2015, se ha presentado una nueva vulnerabilidad en iOS 8 que puede forzar al reinicio continuo de los iPhone e iPad al conectar con una WiFi maliciosa.
Detalle de la vulnerabilidad
  • Yair Amit y Adi Sharabani de la firma Skysekure, han presentado el fallo bautizado como "No iOS Zone". Un error que reside en el tratamiento de certificados SSL específicamente creados, de forma que se puede provocar la caída de cualquier aplicación que use este tipo de comunicación. Como la mayoría de las aplicaciones de la App Store emplean este tipo de comunicación, la superficie de ataque es muy amplia. Sabíamos que cualquier retraso en parchear la vulnerabilidad podría llevar a un impacto
  •  Sin embargo el impacto va mucho más lejos, ya que también afecta al sistema operativo iOS subyacente. Bajo ciertas condiciones es posible conseguir que los dispositivos entren en un ciclo de reinicios continuo, haciéndolos totalmente inusables. Incluso aunque el usuario quiera desactivar el uso de la WiFi una vez iniciado el ciclo de reinicios es totalmente imposible, solo queda salir de la zona Wifi atacante.
  •  Según los investigadores, el problema fue reportado a Apple, que está trabajando en su corrección. Parece ser que la actualización a iOS 8.3 corrige algunos de los problemas encontrados, aunque no ofrece una solución total, por lo que no han ofrecido más detalles técnicos.
  •  Como siempre una la principal recomendación pasa por evitar el uso de zonas WiFi desconocidas. Incluso en aquellos sitios que nos ofrecen "WiFi Gratis", no sabemos quién puede estar detrás de esas WiFis. Después de todo, una denegación de servicio, es el menor problema que se puede sufrir al usar una WiFi desconocida.
Más información:
Fuente: Hispasec

WORDPRESS. Actualización crítica

Se ha publicado la versión 4.1.2 de WordPress que soluciona cuatro vulnerabilidades, una de las cuales podría permitir comprometer el sitio web.
 Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
Detalle de la actualización
  • El problema más grave, que afecta a versiones 4.1.1 (y anteriores), reside en un cross-site scripting considerado crítico que podría permitir a usuarios anónimos comprometer la web.
  •  En WordPress 4.1 (y posteriores) se pueden subir archivos con nombres inválidos o inseguros. En WordPress 3.9 (y posteriores), una vulnerabilidad de cross-site scripting que podría emplearse como parte de un ataque de ingeniería social. Por último, también se ha detectado que algunos plugins son vulnerables a una vulnerabilidad de inyección SQL.
  •  También se han realizado cuatro cambios destinados a asegurar los sistemas. Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.1.2 disponible desde https://wordpress.org/download/
  •  O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.1.2.
Más información:
Fuente: Hispasec

MOZILLA. Lanza actualización para Firefox

La Fundación Mozilla ha publicado una actualización de seguridad destinada a corregir una vulnerabilidad de gravedad alta que afecta al navegador Firefox 37.
 En el boletín MFSA 2015-45 se publica una actualización para evitar una condición de carrera cuando la inicialización de un plugin falla, lo que lleva a una vulnerabilidad potencialmente explotable de uso después de liberar memoria.
 Se ha publicado la versión 37.0.2 de Firefox que se encuentra disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
Más información:
Fuente: Hispasec

OPERACIÓN MUÑECA RUSA. Nueva campaña de ataques dirigidos

Los laboratorios FireEye han anunciado la detección de una nueva campaña de ataques dirigidos que hacía uso de dos vulnerabilidades 0-day en Adobe Flash y Windows. En esta ocasión el ataque se ha bautizado como Operación Muñeca Rusa ("Operation RussianDoll").
 Los investigadores de FireEye detectaron un patrón de ataques que comenzó el 13 de abril. A través de correlacionar indicadores técnicos y las infraestructuras de comando y control todo indica que detrás de este nuevo APT se encuentra el grupo ruso APT28. El objetivo del grupo era encontrar información gubernamental, militar y de organizaciones de seguridad que pudieran beneficiar al gobierno ruso.
Adobe solucionó de forma independiente la vulnerabilidad en Flash (CVE-2015- 3043) a través del boletín APSB15-06. Por otra parte Microsoft fue informada de la vulnerabilidad que se utilizaba en este ataque, una elevación local de privilegios en Windows (con CVE-2015-1701). Se confirma que Microsoft está trabajando en una solución para evitar este fallo. Y aunque todavía no existe un parche disponible para este problema, la actualización de Adobe Flash hace que el exploit que se utilizaba quedara inutilizado.
  1.  El exploit funcionaba en varios pasos:
  2. El usuario pulsaba en un enlace a un sitio web controlado por el atacante
  3. Una página HTML/JS lanzaba el exploit Flash
  4. El exploit Flash intenta ejecutar código Shell a través de CVE-2015-3043
  5. El código Shell descarga y ejecuta su payload
  6. El payload explota la elevación local de privilegios (CVE-2015-1701) para obtener el token de System
Operativa del ataque
  •  La página lanzadora en HTML/JS disponía de dos archivos Flash en función de la plataforma del usuario atacado (Windows 32 bits o 64bits). Tanto el HTML/JS como el exploit Flash no disponían de ninguna ofuscación (salvo la utilización de nombres de variables en el Flash). Los atacantes se basaron en gran medida en el módulo de Metasploit CVE-2014-0515, que está bien documentado. En vez de usar ROP construye un vtable falsa para un objeto FileReference que se ha modificado para cada llamada a una API de Windows. A continuación el payload explotaba una vulnerabilidad en el kernel de Windows que permitía elevar privilegios si detectaba que se ejecutaba con permisos limitados.
  •  Para el exploit Flash de CVE-2015- 3043, la principal diferencia entre el módulo de Metasploit CVE-2014-0515 y éste nuevo reside en que anteriormente se aprovechaba  una vulnerabilidad en el tratamiento Shader de Flash. Mientras que la nueva vulnerabilidad CVE-2015-3043 aprovecha un fallo en el procesamiento FLV de Flash. El archivo FLV malicioso está incrustado dentro de AS3 en dos "chunks", y se vuelve a montar en tiempo de ejecución. La vulnerabilidad reside en un desbordamiento de búfer en Adobe Flash Player (versiones inferiores a 17.0.0.134) al tratar objetos FLV mal construidos.
  •  Por otra parte el exploit CVE-2015-1701 ejecuta una devolución de llamada en el espacio de usuario. Esto coge estructuras EPROCESS del proceso actual y del proceso System, y copia datos desde el token System en el token del proceso actual. Al finalizar, el payload continúa la ejecución con los privilegios del proceso System. Microsoft está trabajando en una actualización para esta vulnerabilidad, que se ha confirmado que no afecta a Windows 8.
Más información:
Fuente: Hispasec

MICROSOFT. Aplícate el parche MS15-034.

Uno de los parches publicados por Microsoft el pasado martes, el MS15-034, está generando bastante expectación, sobre todo por las consecuencias que podría acarrear su explotación en caso de que se encuentre la forma de llegar hasta ella.
Recursos afectados
  • Los sistemas operativos afectados son Windows 7, 2008 R2, Windows 8 y 8.1, 2012 y 2012 R2. Es posible que esta vulnerabilidad afecte a sistemas que ya no tienen soporte oficial, Microsoft no se ha pronunciado al respecto.
Detalle de la vulnerabilidad
  • El fallo se encuentra en "HTTP.sys". Este componente implementa el conocido protocolo de capa de aplicación HTTP para cualquier componente del sistema o aplicación que consuma u ofrezca recursos web. El error se produce, según el propio boletín de Microsoft, al procesar una cabecera HTTP especialmente manipulada.
  • Respecto a la cabecera, las pruebas de concepto y exploits que han ido apareciendo se basan en la cabecera "Range". Esta cabecera permite a un cliente generar una petición sobre un recurso especificando un rango de bytes concreto. Esto optimiza el tráfico al permitir que un cliente disponga de un "trozo" de un recurso cuya transmisión ha sido infructuosa o simplemente disponer de recursos de gran tamaño en porciones adaptadas al criterio o capacidad del cliente.
  • Una vulnerabilidad similar (CVE-2011-3192) afectó al servidor web Apache cuando se especificaban varios rangos solapados en la misma petición. La explotación, al igual que en esta ocasión, era trivial, y a diferencia de esta, fue usada para tirar bastantes servidores antes de que se publicará un parche.
  • Volviendo al componente, HTTP.sys no es una biblioteca de funciones al uso. Estamos hablando de un dispositivo del kernel de Windows, corre en su espacio y sus permisos están asociados a System. Antes de que las peticiones HTTP sean procesadas por un servidor son recibidas y tratadas por HTTP.sys, algo que permite elevar el rendimiento al efectuar el cacheo de peticiones directamente en espacio del kernel. Precisamente una contramedida oficial pasa por la desactivación del cacheo de peticiones en IIS7, aunque Microsoft ya avisa que esto podría causar un deterioro perceptible del rendimiento del servidor.
  • Algo que venimos observando es que se le está atribuyendo la vulnerabilidad a Microsoft IIS en exclusiva, el servidor dominante en sistemas Windows. Por supuesto es el servidor web en el que todos estamos pensando cuando hablamos de explotación, pero no podemos descartar otros servidores o servicios que se apoyen en HTTP.sys.
  • Con todo esto podemos deducir que el impacto que podría tener una ejecución remota de código arbitrario, a través de un servidor web publicado en Internet con una simple petición HTTP, podría ser desastrosa. HTTP.sys ya tuvo en 2013 (MS13-039) un fallo que causaba una denegación de servicio, se calificó entonces de importante. Recordemos que Microsoft cataloga esta vulnerabilidad de crítica.
La vulnerabilidad tiene el CVE-2015-1635.
  1. La prueba de concepto para evaluar la afectación de un sistema puede lograrse a través de cualquier script o programa que genere una petición HTTP con una cabecera Range en particular como:  Range: bytes=0-18446744073709551615
  2. Con la herramienta de línea de comandos 'curl' por ejemplo: curl -v  dirección-ip-a-probar/ -H "Host: cualquiervalor" -H "Range: bytes=0-18446744073709551615"
Más información:
Fuente: Hispasec

VULNERABILIDADES. Descubiertas en Lenovo ThinkServer *50-SERIES

Lenovo ha reportado tres vulnerabilidades que afectan a productos de la familia Lenovo ThinkServer *50-SERIES. Estos problemas permitirían a atacantes remotos causar ataques 'Man-in-the-Middle', conseguir privilegios y en casos concretos provocar una denegación de servicio.
 Los productos de la familia Lenovo ThinkServer *50-SERIES son servidores de torre especialmente dedicadas para bases de datos pequeñas, tareas de virtualización y aplicaciones típicas de oficinas. Con un diseño reducido y silencioso, estos servidores están fabricados para soportar condiciones extremas, cumpliendo los requisitos de fiabilidad de los estándares más exigentes.
Recursos afectados
  • Se ven afectados los productos ThinkServer RD350, RD450, RD550, RD650 y TD350.
Detalle e Impacto de la vulnerabilidad
  • La primera de las vulnerabilidades, con CVE-2015-3322, se debe a un cifrado muy débil de las contraseñas de usuario y administrador de la BIOS. Esto puede ser aprovechado por un atacante para descifrar dichas contraseñas a través de vectores no especificados.
  • La siguiente vulnerabilidad, con CVE-2015-3323, reside en el software ThinkServer System Manager (TSM). Un atacante remoto podría causar una denegación de servicio a través del envío de paquetes HTTP especialmente manipulados.
  • Por último, el CVE-2015-3324, en la que un atacante remoto podría realizar un ataque 'Man-in-the-Middle' también en el componente ThinkServer System Manager (TSM). Esto podría ser debido a un error de validación de certificados de servidor durante el establecimiento de sesiones remotas KVM cifradas.
Recomendación
Más información:
Fuente: Hispasec

HP STORAGE DATA PROTECTOR. Corregidas varias vulnerabilidades

HP ha corregido varias vulnerabilidades en el producto Storage Data Protector que pueden ser remotamente explotadas para conseguir elevación de privilegios, denegación de servicio, o ejecución de código arbitrario. Las vulnerabilidades fueron catalogadas de Importancia: 4 - Alta
Recursos afectados
  • HP Storage Data Protector versiones v7.00, v7.01 y v7.03 ejecutándose sobre HP-UX 11i, Windows Server 2003/2008/2008R2/2012, Windows 7, Redhat y SUSE Linux_x64.
Detalle e Impacto de la vulnerabilidades corregidas
  • Las vulnerabilidades, descubiertas y comunicadas a HP por Urban Petry de Syna GmbH, son explotables de forma remota y podrían permitir elevación de privilegios, denegación de servicio o ejecución arbitraria de código, afectando por lo tanto a la confidencialidad, integridad y disponibilidad del sistema. Se ha reservado el identificador CVE-2015-2116.
Recomendación
  • Dependiendo de la plataforma (HP, Linux o Windows) debe aplicarse el parche correspondiente desde http://support.openview.hp.com/selfsolve/patches
  • Los usuarios con versiones no soportadas de HP Data Protector deben actualizar previamente a versión v7.x.
Más información
Fuente: INCIBE

ESPAÑA. Encuesta sobre conocimientos de los españoles en ciencia y tecnología?

   La Fundación Española para la Ciencia y la Tecnología (FECYT) ha publicado esta semana los resultados de una encuesta sobre el nivel de formación y la percepción que tienen los españoles de estos dos temas. Algunas conclusiones son realmente preocupantes.
En Ciencia Plus pueden leer el artículo completo sobre la encuesta, pero aquí expongo las conclusiones más preocupantes:

  1. Un 30 por ciento de los españoles opina que los humanos convivieron con los dinosaurios, pese a los millones de años que nos separan.
  2. Un 25 por ciento de los españoles cree que el Sol gira alrededor de la Tierra y no al revés.
  3. Un 10 por ciento de los españoles no sabe que el centro de la Tierra está "muy caliente".
  4. El 11,5 por ciento de los españoles considera que los seres humanos no proceden de especies animales anteriores.
  5. Un 39,9 por ciento de los españoles encuestados cree que toda la radiactividad de la Tierra ha sido producida por los seres humanos.
  6. El interés espontáneo de los españoles por la ciencia y la tecnología en España es bajo y encima ha descendido del 15,6 por ciento de 2012 a un 15 por ciento en 2014.
  7. El interés espontáneo por la ciencia y la tecnología presenta una increíble desigualdad en nuestro país, según género. Un 20,4 por ciento de los hombres está interesado, frente a un 9,9 por ciento de las mujeres.
  8. Un 24,3 por ciento de los españoles está "poco o nada" interesado en la ciencia y la tecnología. Un 39,4 por ciento porque "no despierta su interés" y un 35,9 por ciento porque "no lo entiende".
  9. Un 53,5 por ciento cree que los antibióticos curan enfermedades causadas tanto por virus, como por bacterias.
  10. Un 47,1 por ciento considera que ha recibido una educación científica y técnica "baja o muy baja". Aún así, este porcentaje en 2012 era de un 65,5, por lo que ha mejorado.
Fuente: Europa Press

ESPAÑA. Malas prácticas y hábitos inseguros e ilegales con los emails.

Muchas veces los trabajadores de una empresa mandan un mismo correo a diferentes clientes de forma simultánea. La Ley Orgánica de Protección de Datos (LOPD) es la culpable de que podamos salir perjudicados por el hecho de no introducir las direcciones de email en copia oculta cuando mandamos un mensaje electrónico.
   Cuando una empresa gestiona el fichero de datos de sus clientes tiene como obligación protegerlos, según explica Panda Security. En este sentido no tiene por que compartir ni vender estos datos a otras personas o compañías. Cuando una persona no manda los correos en copia oculta corre el peligro de que los destinatarios vean las direcciones de correo electrónico de todos los que han recibido el mensaje y en consecuencia estaría cometiendo una infracción grave.
   En el caso de que alguien se sienta desprotegido y decida denunciar, la compañía tendría que pagar entre 40.000 y 300.000 euros. Para evitarlo Panda Security nos da una serie de consejos. El primero de ellos es que a la hora de añadir los destinatarios lo hagamos a través del  botón 'Cco' que aparece en la barra superior de los correos. Así, se añadirán los destinatarios en copia oculta y éstos no podrán ver las direcciones de correo electrónico de las personas que lo reciben.
   No obstante, este no es el único problema que puede tener una compañía cuando quiere comunicarse con sus clientes. Las redes sociales también pueden ser un centro de conflictos. En Twitter, por ejemplo, si una empresa decide seguir a otros usuarios unilateralmente puede estar infringiendo la LOPD y la Ley de Servicios de la Sociedad de la Información.
   En este caso es porque el 'follow' de una empresa en Twitter se considera una comunicación comercial por lo que si esta comunicación no ha sido consentida por el otro usuario, estaríamos ante un caso de spam. Para solucionar este problema las empresas deberán conseguir el consentimiento del otro usuario.
Fuente: Europa Press

JANICAB. Malware que comunica a sus creadores a través de comentarios en vídeos de YouTube

Los usuarios de YouTube observan multiples comentarios. Pero a veces entre esos comentarios podemos encontrarnos algunos mensajes que, pese a su aparente inocencia, pueden esconder comandos que pongan en peligro la seguridad de nuestros equipos.
Esto es lo que aseguran los miembros de la firma de seguridad F-Secure tras descubrir que el grupo de atacantes detrás del troyano Janicab, que afecta tanto a los usuarios de Windows como a los de Mac, está utilizando simples comentarios en YouTube para controlar las acciones de su malware una vez este ha conseguido infectar a sus víctimas.
Janicab, el troyano Youtuber
  • Janicab es un troyano que fue descubierto en julio del 2013 por F-Secure, Webroot y Avast, y que conseguía infectar los equipos utilizando el carácter U+202E , un carácter unicode especial que es conocido como una anulación de derecha a izquierda capaz de hacer que un archivo ejecutable se nos muestre como un simple PDF.
  • Una vez infectados los equipos entran en juego los comentarios del tipo "our 49741276945318th psy anniversary" que podemos ver tanto en algunos vídeos de YouTube como también en post de Google+. Aunque parezcan simple spam, esos números representan direcciones IP que el troyano reconoce y a las que envía la información sustraída de los equipos infectados.
  • Las direcciones IP son obtenidas por Janicab dividiendo y convirtiendo los números publicados en los comentarios, y después de recibirlas, antes de enviar la información que sustrae, el troyano realiza capturas de pantalla y analiza los procesos ejecutados por el sistema para saber si se está utilizando algún antivirus o si está siendo ejecutado en máquinas virtuales como VirtualBox.
  • Afortunadamente, una vez que descubierto este mecanismo es sólo cuestión de tiempo que las grandes webs en las que se publican los mensajes empiecen a tomar cartas en el asunto y a implementar sistemas para borrar automáticamente esos mensajes o las cuentas desde las que se publican, que es lo que hizo Twitter en su día cuando se encontró ante una situación idéntica.
Más información
Fuente: Genbeta.com

MINECRAFT. Vulnerabilidad permite dejar fuera de servicio a los servidores

Los fallos en los servidores de los videojuegos son  frecuentes  quedando incluso fuera de servicio por problemas diversos, pero lo que resulta infrecuente es que sea un fallo en el propio juego el que se capaz de tumbar los equipos dedicados, algo que se ha detectado en el software Minecraft.
Detalle e Impacto de la vulnerabilidad

  • Según un investigador pakistaní, el encargado de detectar la vulnerabilidad, cuando el juego comienza este se comunica con el servidor para comunicarle qué items se encuentran disponibles en el lado del usuario, es decir, del software cliente. 
  • El problema del envío de estos metadatos es que su formato no se encuentra acotado, es decir, no se comprueba la información que se ha recibido antes de comenzar el procesado y esto puede dar pie a este tipo de problemas, permitiendo el envío de estructuras mucho más complejas.
  • El investigador ha demostrado como con una lista contenedora a su vez de otras es posible generar un archivo de 26 MB que produce el bloqueo del equipos y su posterior reinicio forzado. Es decir, el “truco” consistía en anidar listas dentro de otras hasta alcanzar 50 niveles de profundidad.

El fallo en Minecraft ha existido desde hace al menos dos años
  • Con respecto a la versiones afectadas, se ha confirmado que la 1.8.3 y todas aquellas anteriores se encuentran afectadas por el problema y por el momento no se espera ninguna solución, o al menos los responsables del mismo no han emitido ningún tipo de comunicado al respecto.
  • Todo parece indicar que fue una revisión en julio de 2013 la que provocó la aparición de este fallo de seguridad en la aplicación, aunque todo hay que decirlo, han tenido bastante suerte de que los hackers no se hayan percatado de la existencia del problema, ya que si no este habría derivado en muchos otros.


Fuente: Softpedia

GOOGLE ADWORDS. Servirá publicidad bajo HTTPS

A partir del 30 de Junio de este año 2015, la gran mayoría de publicidad para los dispositivos móviles, vídeos y la publicidad de escritorio que se sirvan a través de Google Display Network, AdMob y DoubleClick se hará bajo HTTPS para proteger al máximo la seguridad y privacidad de los usuarios que naveguen a través de Internet y vean esta publicidad. 
Asimismo a partir de esta fecha, todos los anunciantes que utilicen las redes de publicidad de Google incluyendo AdWords y DoubleClick, podrán también servir toda la publicidad a través de HTTPS de forma totalmente transparente, Google se encargará de todo.
Google también ha hablado sobre la experiencia de estos anuncios, y proporcionarán herramientas para silenciar o quitar la publicidad intrusiva. Con estos cambios en la seguridad podremos navegar un poco más seguros por Internet a la hora de reproducir un vídeo o planear un viaje ya que la publicidad que se sirva también será cifrada en caso de que un usuario malintencionado intercepte la información.
Desde el año 2008 Google ha hecho un gran esfuerzo técnico para dotar a todos sus servicios de cifrado HTTPS, de esta forma podremos navegar de forma cifrada y privada a través de ellos. Servicios como Gmail, YouTube, Google Drive e incluso Google Maps y Google Search trabajan bajo la capa de seguridad HTTPS. 
A finales del año 2014 toda la publicidad que aparecía en YouTube viajaba a través de HTTPS. Después de proporcionar cifrado a todos estos servicios, la idea del HTTPS Everywhere se extiende hasta su servicio de publicidad Google AdWords para todas las webs que incorporen este tipo de publicidad y también estará disponible para todos los anunciantes.
Fuente: Google AdWords

GOOGLE. Corrige fallo de seguridad que afectaba a comentarios YouTube

Google ha solucionado una vulnerabilidad que permitía copiar, mover o duplicar los comentarios de un vídeo de YouTube a otro. Dos investigadores de seguridad egipcios lo descubrieron y reportaron a Google para solucionarlo.
Este investigador descubrió este fallo cuando estaba probando las diferentes opciones que YouTube permite hacer con los comentarios y encontró esta “característica” que no debería estar, se podía copiar y mover comentarios de un vídeo a otro fácilmente, cuando en teoría no debería permitirse.
Estos dos investigadores se centraron en la característica que permite a los usuarios aprobar los comentarios antes de que aparezcan públicamente en los vídeos de YouTube. Cuando un vídeo se configura de esta forma, los comentarios aparecen en el panel de control en “Pendientes para revisión”.
Al comentar en un vídeo de YouTube, el comentario incorpora un ID junto al ID del vídeo, si cualquiera cambia el parámetro de ID del vídeo por otro ID, nos devolverá un error. Sin embargo, no nos saldrá un error si lo que intentamos es modificar el ID del propio comentario y lo cambiamos por otro ID, por tanto este mensaje aparecerá en nuestro vídeo por lo que podríamos copiar o mover comentarios de otros vídeos a nuestro propio vídeo.
El autor del comentario no recibe ninguna notificación de que su comentario ha sido copiado en otro vídeo que no es el original donde él comentó. De esta forma cualquier usuario podría copiar comentarios buenos, o de algún “YouTuber” famoso, en su propio vídeo para conseguir más repercusión.
Debido a este fallo de seguridad, Google le ha recompensado con 3.133,7 dólares que es el pago máximo por este tipo de vulnerabilidades.
Fuente: EHacking News

GOOGLE. Su red de anuncios DoubleClick incorpora malware

Algunos lectores del popular periódico The Huffington Post han sido víctimas de una publicidad maliciosa a través de la red de publicidad Google DoubleClick la pasada semana, sin embargo se cree que este ataque haya podido llegar a otras webs que utilizan esta red de publicidad, por lo que el número de afectados podría crecer exponencialmente.
Esta red de publicidad fue cómplice sin quererlo de publicidad basada en Flash, mostrándolo en varios sitios legítimos. Uno de los anuncios fraudulentos fue uno de Hugo Boss, que también apareció en otras webs a través de DoubleClick a través de la red de publicidad AdButler. Malwarebytes hizo un completo seguimiento a estos sucesos, y es que este ataque tenía como objetivo descargar el conocido ransomware Cryptowall a los ordenadores de las víctimas.
El segundo ataque se produjo a través de Merchanta, una red de publicidad que sirve hasta 28 billones de impresiones mensualmente en Estados Unidos únicamente, pero también se extendió a DoubleClick. Actualmente se desconoce cuántas personas podrían verse expuestas a estos ataques. El equipo de Malwarebytes escribió un artículo donde se habla sobre el exploit usado en ambos ataques.
Este tipo de ataques consisten en que un atacante envía una versión no maliciosa del anuncio a la red de anuncios para su aprobación, y en el último momento modifica el anuncio con el contenido malicioso. De esta manera se saltan las comprobaciones de la red de publicidad. El resultado es que cientos de sitios webs legítimos están ofreciendo publicidad con malware sin quererlo.
Fuente: Arstechnica

CUENTAS LIMITADAS. Es el nuevo movimiento de Steam contra el malware

Steam, en busca de reducir la preocupante actividad de piratas informáticos en su plataforma digital ha decidido aplicar una serie de restricciones a las cuentas “inactivas“. 
Según la compañía, todas aquellas cuentas que no hayan gastado más de 5 dólares en su tienda pasarán a estado “limitado” y se bloqueará el acceso a ciertas características utilizadas por los piratas informáticos para distribuir malware.
Las limitaciones que la distribuidora digital quiere aplicar a todas estas cuentas que no hayan gastado al menos 5 dólares son:
  1. Envío de invitaciones de amistad.
  2. Crear chats de grupo.
  3. Realizar votaciones en Greenlight, reviews de juegos o publicar/votar contenidos en Workshop.
  4. Participar en la tienda.
  5. Publicar frecuentemente comentarios en los temas de debate.
  6. Ganar niveles de usuario o intercambiar cartas.
  7. Acceso su API Web.
  8. Usar el navegador y el chat móvil.
Más información
Fuente: Redeszone.net

KALI NETHUNTER 1.2. Disponible para Android Lollipop y compatible con Nexus 9 y Nexus 6

La nueva versión de Kali NetHunter ya se encuentra disponible para su descarga, esta nueva versión corresponde a Kali NetHunter 1.2 e incorpora una gran cantidad de mejoras y correción de fallos. 
La principal característica de esta nueva versión es que está diseñada bajo Android Lollipop y además ahora es compatible con los nuevos dispositivos Nexus, el Nexus 6 y el Nexus 9.
Ventajas y mejoras de la nueva versión
  • Esta nueva versión incorpora Android Lollipop y es compatible con todos los dispositivos que ya eran compatibles con Kali NetHunter, excepto el OnePlus One y la tablet Nexus 7 2012. Según los desarrolladores de Kali NetHunter, esto es debido a que OnePlus usa Cyanogen 11 y el Nexus 7 no es lo suficientemente potente como para mover Android Lollipop con todos los cambios realizados por lo que proporcionaría una experiencia de usuario realmente mala. Sí tendremos Android 5.0 en Nexus 5, 7 2013 y también en Nexus 10, sin tener ningún problema respecto a la experiencia de usuario.
  • Un aviso importante del equipo de Kali NetHunter es que en la tablet Nexus 9 no funcionan todavía correctamente los dispositivos USB con chipset Atheros.
  • En esta nueva versión se ha incorporado el “Ducky Toolkit HID” y el soporte para “Ducky Script”. Esto permite un rápido y fácil desarrollo de diferentes HID payloads para reconocimiento de objetivos y su explotación.
Instalación del software
  • Si han utilizado anteriormente Kali NetHunter, sabrán la instalación a través del sistema operativo Windows es sencilla. 
  • El mismo asistente se ha actualizado para soportar Android 5.0 en los nuevos dispositivos que son compatibles, aunque seguiremos pudiendo elegir que se instale la versión de Android Kit Kat si así lo deseamos.
Zona descargas
Más información
Fuente: Kali NetHunter

THREAT FINDER. Nuevo malware distribuido gracias al exploit Angler

Threat Finder se distribuye a los equipos de los usuarios gracias al exploit Angler.
El primer reporte llegó a principios de año, cuando un usuario infectado con este ransomware manifestó la imposibilidad de acceder a determinados archivos de su equipo. Sin embargo, hasta este momento no ha salido a la luz, ya que es ahora cuando este se está distribuyendo de forma masiva. 
Operativa del malware
  • Algunos expertos en seguridad han tenido la ocasión de analizar algunas copias de este malware y han encontrado que se está distribuyendo sobre todo haciendo uso de páginas web que han sido comprometidas y que están infectadas con este exploit que procede a la descarga de Bedep, otra aplicación maliciosa que permite la llegada de otros programas sin que el usuario sea consciente. Es gracias a este segundo por el que se produce la instalación de Threat Finder.
  • Este programa crea una especie de túnel que permite esquivar incluso las aplicaciones de seguridad instaladas en el equipo. Se ha sabido que la instalación del virus que nos ocupa no resulta instantánea, y que en realidad tarda en descargarse al menos un par de días desde la llegada de Bedep, disponiendo de tiempo para instalar adware y spyware.
Threat Finder cifra de forma parcial los datos del disco duro
  • Tal y como es habitual, este tipo de malware despliega unas instrucciones para que el usuario sea capaz de recuperar sus archivos, o al menos de forma hipotética. Al usuario se le informa de la existencia de un plazo determinado de tiempo y que una vez excedido este límite los archivos se perderán de forma irreversible.
  • Para recuperar y realizar el ingreso de la cantidad solicitada (unos 300 dólares) el usuario debe recurrir a una cuenta de Bitcoin. Tal y como ya hemos informado en otras ocasiones, el pago no es la forma más adecuada de recuperar los datos, y ante estos casos una copia de seguridad es la mejor solución.
Fuente: Softpedia

RANGO WIN 8 ANTISPYWARE. Virus camuflado como una herramienta de seguridad

Un nuevo falso antivirus se ha detectado, conocido con el nombre de Rango Win 8 Antispyware y con la única intención de estafar al usuario.
Operativa de la estafa
  • Este malware se puede encontrar en páginas web que promocionan antivirus falsos gracias a los cuales el usuario podrá solucionar los problemas de seguridad que afectan a su equipo, o al menos es la información que vierten de cara a la usuario. 
  • Además, este tipo de software también es muy común en la descarga de programas recurriendo a los archivos torrent, incluyéndose en el propio instalador de la aplicación, pudiéndose descartar su llegada al sistema gracias a una instalación avanzada, algo que muy pocos usuarios seleccionan.
  • En esta ocasión, y tal y como suele ser habitual, este tipo de software simula infecciones de virus informáticos en el equipo, creando él mismo los síntomas característicos de uno de estos programas: lentitud, supresión de archivos, bloqueo de funciones, … algo que sin lugar a dudas concuerda con el programa que nos ocupa en esta ocasión: Rango Win 8 Antispyware.
Rango Win 8 Antispyware ofrece abonar dinero para actualización premium
  • Después de simular infecciones inexistentes, el programa alerta al usuario que al tratarse de una versión gratuita no se puede completar el proceso de limpieza de forma correcta y que es necesario realizar una pago para actualizar la aplicación a una versión premium y así proceder a la eliminación de las supuestas infecciones, algo que no es así.
  • Con un pago de 99 dólares, los ciberdelincuentes solo buscan que el usuario pague por algo que ni siquiera existe, algo que no es nuevo pero que aún sigue funcionando, ya que no solo se trata de la herramienta de seguridad falsa, sino que el equipo muestra claros síntomas de poseer malware, con la diferencia de que la supuesta herramienta de seguridad la que los está creando, algo que muchos usuarios desconocen.
  • Si queremos eliminar por completo este programa malicioso tendremos que recurrir al modo a prueba de fallos de los sistemas operativos Windows para así conseguir eliminarlo haciendo uso de cualquier herramienta. Es probable que en muchos casos sea necesario reparar el registro de Windows para que todas las funcionalidades estén de nuevo disponibles.
Fuente: Malwaretips

WORDPRESS. Tres plugins de Yoast vulnerables a ataques XSS

WordPress SEO, Google Analytics y All in one SEO son vulnerables ante ataques XSS, provocando que los sitios web que hagan uso de al menos de uno de estos tres complementos estén afectados. 
Sin embargo, la lista se ha hecho aún mayor cuando expertos en seguridad han procedido a realizar pruebas con otros complementos, ascendiendo en total a 17. Para terminar con las cifras, se estima que millones de sitios web estén afectados por los fallos de seguridad que poseen estos 17 complementos, la mayoría de ellos muy utilizados, tal y como hemos podido comprobar.
El origen de los problemas se sitúa en el tratamiento que hacen estos complementos de las URL, concretamente de la cadena de texto que se utiliza posteriormente como dirección web, permitiendo que se pueda introducir código y se interprete, provocando que un atacante pueda introducir en la página web marcos con código malicioso que provoque la descarga de malware en el equipo del usuario al acceder a la página, por ejemplo.
Dos funciones las causantes del problema
  • add_query_arg() y remove_query_arg() son las dos funciones que han provocado la aparición del problema por su utilización no segura. Expertos en seguridad han realizado un análisis profundo sobre una gran cantidad de aplicaciones en busca del error, afirmando que tras comprobar 400, resulta muy difícil saber a ciencia cierta el número exacto de las que se encuentran afectadas, aclarando que la cifra de diecisiete no es la real y que es mucho mayor.
  • Por suerte los usuarios de la mayoría de estos 17 complementos ya disponen de una versión actualizada que pone solución al problema y evita que los complementos se conviertan en un aliado del lado de los ciberdelincuentes. Los responsables del resto han anunciado soluciones entre esta semana y a lo largo de la próxima.
Fuente: Softpedia

IPTABLES. Para bloquear el acceso de diferentes países a su servidor

Cuando disponemos de un servidor, normalmente un servidor web con dominio, en muchas ocasiones somos víctimas de ataques de fuerza bruta contra el servidor SSH para intentar obtener acceso root. En otros casos sufrimos ataques de denegación de servicio contra el propio servidor web. Todos los ataques tienen un factor en común, la mayoría de ellos provienen de países como China, Rusia e incluso de EEUU. 
Bloqueo de acceso de diferentes países a nuestro servidor.
  • Como introducir cada bloque de direcciones IP nos llevaría mucho tiempo, nixCraft de www.cyberciti.biz ha creado un sencillo script para actualizar la base de datos local en nuestro equipo y para posteriormente aplicar las reglas a nuestro cortafuegos con iptables. Aquí podéis ver el script traducido al castellano para explicar qué hace.
#!/bin/bash
# El objetivo de este script es bloquear todo el tráfico de AFGHANISTAN (af) y CHINA (CN). Se puede usar la variable ISO para fijar qué países queremos bloquear.
# See url for more info - http://www.cyberciti.biz/faq/?p=3402
# Author: nixCraft under GPL v.2.0+
# -------------------------------------------------------------------------------
ISO="af cn"
### Variables para facilitar el uso del script que apuntan a iptables (cortafuegos), wget para coger los archivos de la base de datos y egrep para seleccionar la IP sin ningún símbolo que iptables no pueda interpretar ###
IPT=/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep
#Nueva tabla en iptables sobre el baneo por región
SPAMLIST="countrydrop"
#Ubicacion donde se guarda la base de datos de
ZONEROOT="/root/iptables"
#URL de la base de datos de paises
DLROOT="http://www.ipdeny.com/ipblocks/data/countries"
#Funcion para limpiar todas las reglas del firewall y lo ponemos por defecto.
cleanOldRules(){
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
}
#Creamos el directorio para almacenar la base de datos
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT
#Ejecutamos la funcion
cleanOldRules
#Creamos la nueva tabla de iptables con el nombre de la variable SPAMLIST
$IPT -N $SPAMLIST
for c  in $ISO
do
    # Base de datos local
    tDB=$ZONEROOT/$c.zone
    # Descargamos y actualizamos la base de datos
    $WGET -O $tDB $DLROOT/$c.zone
    # Mensaje del pais baneado que aparecerá en el log de iptables
    SPAMDROPMSG="$c Country Drop"
    # Filtramos la base de datos para que iptables interprete correctamente la base de datos y vamos anadiendo cada bloque de IP.
    BADIPS=$(egrep -v "^#|^$" $tDB)
    for ipblock in $BADIPS
    do
       $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
       $IPT -A $SPAMLIST -s $ipblock -j DROP
    done
done
# Drop todo
$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST
exit 0
  • Este script podemos programarlo con cron para que se ejecute una vez semanalmente y de esta forma podamos actualizar la base de datos de direcciones IP de esos países. Debemos advertir que China tiene un gran número de bloques de direcciones IP por lo que tardará varios minutos en aplicar todas las reglas al cortafuegos, si probamos con solo “af” es casi instantáneo.
  • Gracias a este script, si nuestro servicio a través de Internet sólo trabaja en España, podemos banear todos los demás países, pero debemos tener en cuenta que si un usuario de España usa un proxy o VPN de otro país, no le dejaremos acceso.
Más información
 -   Cibercity ( y otros scripts en otros lenguajes que hacen la misma función) www.cyberciti.biz
Fuente: Cibercity

APPLE. 1500 aplicaciones de iOS vulnerables a ataques MITM

SourceDNA ha detectado un fallo de certificado dentro de la librería de código abierto AFNetworking.
Los ataques MITM (man in the middle) se basan principalmente en un pirata informático que se conecta en un punto intermedio de la conexión entre el cliente y el servidor redirigiendo todo el tráfico hacia él, donde lo analiza, monitoriza y reenvía al servidor en texto plano o con un certificado falso sin que quede rastro del mismo. Estos ataques son invisibles para los usuarios y pueden permitir el robo de contraseñas, datos bancarios y otros datos privados sin que el usuario tenga la menor constancia de ello.
En los últimos meses se han detectado fallos en el protocolo HTTPS que permiten a piratas informáticos monitorizar el tráfico aunque este viaje de forma cifrada por la red. Tanto las conexiones de escritorio como las que se realizan desde dispositivos móviles (smartphones, tablets, etc) son vulnerables si no se utilizan las versiones actualizadas de los protocolos.
Detalle e Impacto de la vulnerabilidad
  • SourceDNA ha detectado un fallo de certificado dentro de la librería de código abierto AFNetworking, utilizada por muchos desarrolladores de aplicaciones móviles para iOS para implementar la conexión a Internet en sus aplicaciones. Generalmente, cuando se detecta un certificado falso o modificado la conexión HTTPS debe cerrarse para evitar posibles robos de datos, sin embargo, esta librería confía automáticamente en estos certificados y por lo tanto las conexiones de los usuarios pueden quedar expuestas.
  • Aunque el fallo de seguridad ha sido solucionado en la versión 2.5.2 de la librería, todas las aplicaciones que incluyan cualquier versión anterior de esta están expuestas a este fallo y están comprometiendo las conexiones, teóricamente seguras, de sus usuarios.
  • SourceDNA, empresa de seguridad que detectó y reportó el fallo, ha analizado cerca de un millón y medio de aplicaciones de iOS disponibles desde la App Store y ha detectado que más de 1500 utilizan versiones antiguas de la librería AFNetworking, utilizando así versiones inseguras del protocolo HTTPS y exponiendo las conexiones y los datos de los usuarios que se conectan a la red a través de iOS a ataques MITM.
  • Ciertas aplicaciones de iOS con considerable prestigio como Citrix OpenVoice Audio o la aplicación móvil de Alibaba son vulnerables ya que aún no han sido actualizadas. Las aplicaciones móviles de Microsoft, por ejemplo, estaban expuestas también aunque la compañía las actualizó tan pronto como fueron notificadas antes de hacer públicos los detalles.
Recomendación 
  • Actualizar a la versión 2.5.2 de la librería AFNetworking,, que ya tiene el fallo corregido
Fuente: We Live Security

AIRDROID. La herramienta tan útil como peligrosa

Las versiones anteriores de AirDroid han presentado un fallo grave en el sistema de autenticación que puede permitir a piratas informáticos conectarse de forma remota a nuestros dispositivos (siempre que el servicio de AirDroid esté en ejecución, que es casi siempre) y una vez conectados a él acceder a cualquier dato guardado en nuestro dispositivo.
AirDroid es sin duda la herramienta más conocida y utilizada para controlar nuestro smartphone o tablet de forma remota desde un ordenador, concretamente desde nuestro navegador web. Desde él podemos realizar todo tipo de transferencias y, en las últimas versiones, incluso contestar a mensajes SMS o de WhatsApp sin necesidad de tocar el móvil para ello, sin embargo, tener el control de todo el dispositivo implica que cualquiera que se conecte a él podrá acceder a nuestros datos.
Detalle e Impacto del fallo de seguridad
  • Este fallo de seguridad puede ser explotado para tomar fotografías de forma remota desde los dispositivos de las víctimas (tanto por la cámara delantera como por la trasera), así como para acceder a las comunicaciones (historial de llamadas, mensajería, etc), obtener un historial de ubicación a través del GPS, suplantar nuestra identidad contactando con cualquier número de nuestra lista de contactos, etc.
  • La forma de explotar esta vulnerabilidad es muy sencilla, el pirata informático simplemente debe enviar al usuario un enlace web falso que, al acceder a él, da los permisos necesarios a AirDroid para establecer la conexión remota y permitir al pirata informático acceder a todos sus datos.
  • En la versión más reciente del cliente este error ya ha sido solucionado, sin embargo, este hecho ha abierto varios debates sobre lo que se debe permitir a las aplicaciones y lo que no. Si los permisos de AirDroid fueran gestionables (por ejemplo como ocurre con CyanogenMod) podríamos limitar el acceso a la agenda, a las llamadas y permitir sólo la transferencia de datos (por ejemplo).
Recomendación
  • Es de vital importancia instalar la versión más reciente de la herramienta para evitar ser víctimas de este fallo de seguridad. 
  • El código cerrado no nos permite ver más allá del propio nombre de las aplicaciones, sin embargo, debemos prestar atención siempre en los permisos de las aplicaciones (que en el caso de AirDroid pide permiso para acceder a todo) y, si podemos sustituir la herramienta por otra similar pero con menos permisos mejor, ya que nuestros datos estarán más seguros.
Fuente: ehackingnews

WEBRTC. Cómo bloquear este protocolo en nuestro navegador

Se ha descubierto una vulnerabilidad muy grave en este protocolo que puede permitir desvelar la dirección IP real de los usuarios incluso si estos están navegando a través de una VPN
WebRTC (Web Real-Time Communication) es un protocolo de código abierto desarrollado por Mozilla que permite establecer conexiones P2P para establecer llamadas de vídeo y de audio entre dos navegadores sin la necesidad de utilizar plugins ni software adicional más allá del propio navegador web utilizando APIs de JavaScript.
Este protocolo utiliza dos protocolos adicionales de seguridad, en primer lugar, Datagram Transport Layer Security (DTLS), una capa para prevenir el espionaje y la manipulación de los mensajes y, en segundo lugar, Secure Real-time Transport Protocol (SRTP) que aplica cifrado y autenticación en los mensajes.
Detalle e Impacto de la vulnerabilidad
  • Pese a lo anterior, se ha descubierto una vulnerabilidad muy grave en este protocolo que puede permitir desvelar la dirección IP real de los usuarios incluso si estos están navegando a través de una VPN, por lo que la privacidad en este aspecto queda prácticamente nula y todos los usuarios de este protocolo son vulnerables.
  • Para evitar que usuarios no autorizados puedan identificarnos en la red es necesario bloquear todas estas conexiones a través de WebRTC. 
RECOMENDACIONES
Por todo lo expuesto a continuación le ofrecemos una serie de formas de desactivar estas conexiones en los principales navegadores web más utilizados.
Cómo bloquear las conexiones WebRTC en Google Chrome
WebRTC Block
·     Esta extensión nos va a ayudar a bloquear todas las conexiones WebRTC desde nuestro navegador Google Chrome. Simplemente con instalarla automáticamente se dejará de utilizar este protocolo, por lo que nuestra privacidad quedará de nuevo protegida ante la vulnerabilidad descubierta en las comunicaciones en tiempo real del protocolo de Mozilla.
·      Podemos descargar esta extensión desde la Chrome Store.
Cómo bloquear las conexiones WebRTC en Firefox
Manualmente
  • Para Firefox hay dos formas diferentes de bloquear estas conexiones. La primera de ellas es hacerlo manualmente desde la configuración avanzada del navegador. Para ello simplemente debemos teclear en la barra de direcciones:
-        about:config
  • Una vez dentro debemos buscar la entrada:
-        media.peerconnection.enabled
  • Por defecto estará en “true”, por lo que para bloquear las comunicaciones WebRTC debemos cambiarla a “false” de manera que este protocolo quede desactivado y no se pueda filtrar más información sobre nosotros debido a esta vulnerabilidad.
Con No-Script
  • Para aquellos que no quieren meter mano a la configuración avanzada y quieran proteger su privacidad fácilmente desde una extensión debemos utilizar No-Script. Esta extensión se encarga de bloquear automáticamente todos los scripts que se ejecutan sin permiso al navegar por la red, permitiendo así que únicamente los scripts que se permitan expresamente podrán ejecutarse.
  • Podemos instalar esta extensión desde la tienda de aplicaciones de Mozilla.
Comprobar nuestra seguridad y nuestra privacidad
IPleak
  • Existen muchas páginas web que nos permiten conocer información sobre nuestra IP y, al igual que nosotros podemos conocerla por esas páginas, otras empresas y usuarios también pueden acceder fácilmente a ella.
  • Como hemos dicho, aunque nos conectemos a través de VPN la vulnerabilidad de WebRTC permite conocer nuestra información más sensible desvelando nuestra identidad en la red. Esto podemos comprobarlo fácilmente desde la plataforma IPleak.
  • Para ello simplemente accederemos al siguiente enlace y en segundos nos mostrará todo lo referente a nuestra dirección IP, tanto de cara a Internet como de cara a las comunicaciones WebRTC, pudiendo ver si las medidas aplicadas nos protegen realmente.
  • Como podemos ver, la primera IP pertenece a la VPN a la que estamos conectados, sin embargo, la segunda es nuestra IP real.
Browserleaks
·   Otra plataforma similar es Browserleaks, que nos permite conocer toda la información sobre nosotros mismos que nuestro navegador web expone de forma abierta a Internet y que puede ser consultada por otros usuarios.
·     Recordamos a los usuarios que si bloqueamos este protocolo todas las aplicaciones que funcionan a través de él dejarán de funcionar, por ejemplo, WhatsApp Web. Gracias a Yacopi88 por recordarlo.
Fuente: Redeszone.net

ROCKSTAR GAMES SOCIAL CLUB. Recomiendan cambiar las claves de acceso

Algunos usuarios de Rockstar Games Social Club, plataforma social desarrollada para los jugadores de GTA V y otros títulos de Rockstar, han afirmado que sus cuentas han sido hackeadas, modificadas e incluso en ocasiones bloqueadas.
Los responsables de Rockstar afirman que esto no es así y que ninguna cuenta ha sido hackeada, aunque sí han tenido problemas con piratas informáticos.
Según afirman algunos usuarios o bots han estado intentando iniciar sesión en diferentes cuentas por medio de la fuerza bruta. Al detectar esta actividad sospechosa el sistema de seguridad de Rockstar ha bloqueado las cuentas afectadas dejando a los dueños sin acceso a las mismas.
Los responsables de seguridad recomiendan también a todos los usuarios cambiar el usuario y la contraseña de acceso de sus cuentas para evitar que si alguno de los ataques ha tenido éxito la cuenta quede comprometida. Igualmente recuerdan de los riesgos que tiene compartir los credenciales de las cuentas con otras personas e incluso en foros.
Actualmente Rockstar Games Social Club se encuentra trabajando en restablecer el acceso a las cuentas lo antes posible para que los usuarios afectados puedan seguir jugando a GTA V y comunicarse con sus contactos a través de esta plataforma social. Pese a ello en las últimas semanas se han publicado más de 2500 casos diferentes de supuestos hackeos de cuentas e incluso algunos usuarios afirman que piratas informáticos han conseguido acceder a sus cuentas y cambiar los datos de la misma como la dirección de correo y la contraseña.
Fuente: ehackingnews