12 de mayo de 2015

SKYNET. El terminator de los programas de espionaje de la NSA

Pocos se esperaban que Skynet no solo fuese la computadora protagonista de las películas de la serie Terminator, sino que también fuese el nombre real de uno de los programas de espionaje de la NSA.
Por lo tanto Skynet existe, aunque su función en la vida real sea menos destructiva, pues se limita a utilizar los metadatos de las llamadas telefónicas y basarse en una serie de parámetros para identificar y espiar a sospechosos de pertenecer a grupos terroristas como Al Quaeda, aunque de paso también han estado vigilando a algún que otro periodista.
¿Cómo funciona Skynet?
  • Uno de los primeros en hablar de Skynet fue Edward Snowden, que ya en el 2012 dijo que la NSA tenía un programa que utilizaba los metadatos de la localización de los teléfonos y sus registros de llamadas efectuadas y recibidas para detectar una serie de patrones sospechosos, ya sea por los movimientos de los individuos como por sus hábitos de comunicación.
  • De esta manera, Skynet busca presuntos terroristas basándose en preguntas como la de quién viajó de cierta ciudad a otra en los últimos meses o a quién llamó esa persona al llegar a su destino. También analiza otros comportamientos sospechosos como el de que uno de esos individuos utilice varias tarjetas SIM o teléfonos, o que sólo reciba llamadas entrantes.
  • Uno de los periodistas que ha estado siendo espiado por este sistema ha sido Ahmad Muaffaq Zaidan, jefe de oficina de Al Jazeera en Islamabad, después de haber sido incluido en una lista de posibles terroristas por hacer bien su trabajo y haber conseguido entrevistas exclusivas con Osama bin Laden y otros miembros de la cúpula de Al Qaeda.
También existe otro "Skynet" como el de la película
  • Pero si después de leer esto os habéis quedado un poco más tranquilos al pensar que el Skynet real poco tiene que ver con el cinematográfico tampoco os relajéis demasiado, porque de hecho la NSA tiene otro programa llamado MonsterMind, que en esta ocasión sí que es mucho más parecido al de la saga cinematográfica creada por James Cameron.
  • Ya os hablamos de MonsterMind hace un año después de que Snowden lo revelase en una entrevista. Se trata de un nuevo sistema de defensa que está siendo desarrollado para estar puramente enfocado a la ciberguerra, permitiendo detectar instantáneamente ataques a los sistemas informáticos estadounidenses y neutralizarlos.
  • Para diseñarlo la NSA ha utilizado los patrones de ataques conocidos para definir cuando considerar normal o no una cantidad determinada de tráfico en la red. Pero lo más preocupante según reveló Snowden es que MonsterMind podría incluir en un futuro la capacidad de contraatacar sin requerir una orden directa ni ningún tipo de intervención humana. ¿Les suena de algo?
Más información
Fuente: Genbeta.com

EEUU..La Corte de Apelaciones declara ilegales las escuchas de la NSA

Hoy la Corte de Apelaciones de Estados Unidos ha tomado una decisión histórica dictaminando que la recolección de metadatos telefónicos efectuada por la NSA es ilegal. Y lo ha hecho después de desestimar un fallo anterior con el que se había decidido que las filtraciones de Snowden no podían ser objeto de revisión judicial, por lo que le han abierto la puerta a posibles nuevas acciones contra la agencia norteamericana.
Antecedentes de la noticia
  • Hasta ahora las escuchas de la NSA se habían amparado en el Patriot Act o Ley Patriota aprobada por el gobierno estadounidense después de los atentados del 11 de septiembre del 2001. Pero los jueces de la Corte de Apelación han declarado en su sentencia que esta recolección de datos excede el alcance de esa ley, por lo que no están justificada.
  • La Ley Patriota caduca en junio, por lo que los jueces no han visto necesario prohibir las escuchas
  • Aunque esta recolección de escuchas han sido declaradas ilegales, los jueces no han llegado a prohibirlas, por lo menos no hasta que se decida el futuro de una Ley Patriota que expira el próximo 1 de junio, y cuya renovación o modificación ya está siendo debatida por los legisladores de Estados Unidos. Si esta ley fuera modificada, la resolución de hoy tendría que volver a revisarse.
¿Es el principio del fin de las escuchas?
  • El fallo del tribunal ha sido una respuesta a la demanda interpuesta por la Unión Americana de Libertades Civiles, que había solicitado que se detuviera la recolección de datos por suponer una violación del derecho a la privacidad. Un juez de una corte inferior sentenció que las escuchas eran constitucionales, por lo que la Unión ha seguido apelando hasta la sentencia de hoy.
  • Según la sentencia, el texto de la sección 215 de la Ley Patriota no autoriza la grabación de llamadas por mucho que el gobierno pretenda atribuirle esa función. De esta manera la corte ni siquiera ha considerado si este programa viola o no los derechos civiles, puesto que aseguran que nunca fue aprobado en primer lugar por ninguna ley existente.
  • Aunque la decisión de esta corte puede ser apelada, teniendo en cuenta que la ley que ha provocado todas las polémicas alrededor del espionaje masivo de la NSA está a un mes de caducar, la presión de decidir sobre su futuro recae sobre el congreso norteamericano, que lleva días debatiendo y peleándose para decidir qué hacer con ella. Por lo tanto todavía tenemos todo este mes por delante para ver en qué termina todo.
Más información
Fuente: Genbeta.com

EEUU.. Despedida por desinstalar 'app' que monitorizaba su actividad en todo momento

 Una empleada de una empresa dedicada a transferencias de dinero ha denunciado haber sido despedida por no utilizar a tiempo completo una aplicación que permitía a sus jefes monitorizar todos sus movimientos, dentro y fuera del trabajo.
Antecedentes de la noticia
  • Myrna Arias era ejecutiva de ventas de la central de la compañía Intermex, una compañía especializada en las transferencias de dinero a Latinoamérica, en California, Estados Unidos.
  • La compañía exigía a sus empleados el uso de la aplicación Xora, ahora llamada ClickSoftware, en los iPhones que les facilitaba. Después de informarse sobre las funciones de la aplicación, que monitorizaba toda su actividad, dentro y fuera de la oficina.
Destino de la aplicación

  • El objetivo de la aplicación, parece ser, era utilizar su función para "fichar" al entrar y al salir del trabajo. Pero esa opción no desactivaba el seguimiento mediante GPS, que seguía activo al salir de la oficina.
  •  El supervisor de Aria, John Stubits, admitió que la aplicación les permitía saber dónde estaban sus empleados fuera del trabajo o incluso si conducían rápido.
  • Myrna Arias no se negó a utilizar la aplicación mientras estaba en la empresa, pero cuando supo de sus capacidades, decidió desinstalarla y por ello fue despedida. Por ese motivo, la ex-empleada ha interpuesto una demanda contra Intermex por espiarla fuera del trabajo. "Esta intromisión sería altamente ofensiva para cualquier persona razonable", según la demanda a la que ha tenido acceso Artechnica.
Arias pide más de 500.000 dólares en concepto de daños y alega invasión de su privacidad y prácticas desleales en el entorno laboral, entre otras cosas. En este sentido, reclama que incluso fue monitorizada durante los fines de semana, cuando no trabajaba.
Fuente: Europa Press

PRIVACIDAD. Quizás tus conversaciones en Google Hangouts no son tan seguras como crees

Demasiadas aplicaciones de mensajería instantánea y sobre todo aquellas que sólo necesitan del nombre de las empresas que las desarrollan para ganar usuarios, siguen sin ofrecer protecciones y encriptados fiables. 
Un ejemplo lo encontramos en Google, que sin querer decirlo abiertamente ha confirmado que Hangouts no tiene encriptación end-to-end, por lo que las agencias gubernamentales podrían tener acceso a todas nuestras conversaciones.
Los silencios sospechosos de Google
  • Google es una empresa que se suele tomar la privacidad muy en serio, y siempre ha intentado ser transparente a la hora de hablar de sus servicios y aplicaciones. Por eso mismo, el hecho de que haya mantenido siempre silencio en cuanto a la seguridad de su popular servicio de mensajería Hangouts lleva meses haciendo que la gente sospeche de ella.
  • Hace tres días algunos miembros de alto rango de los equipos jurídicos y de política pública de Google se sometieron a una sesión de AMA (Ask Me Anything o pregúntame lo que quieras) en Reddit, ocasión que aprovechó un miembro de la Unión Americana de Libertades Civiles para preguntarles directamente el por qué del silencio en torno a Hangouts y su seguridad, y si realizaban algún tipo de escucha para las autoridades.
  • Como respuesta, los emplearos de Google intentaron tirar balones fuera limitándose a decir que Hangout utiliza una encriptación en tránsito para sus contenidos, aunque hay autoridades legales que permiten que los gobiernos realicen escuchas en las comunicaciones. Estas palabras fueron suficientes para incendiar Reddid, Google acababa de confirmar la baja seguridad de Hangouts.
¿Qué significan las palabras de los empleados de Google?
  • En primer lugar, utilizar una encriptación en tránsito en vez de las populares end-to-end significa que nuestros mensajes sólo son encriptados en el recorrido desde nuestros dispositivos a los servidores de Google, y que una vez allí quedan totalmente expuestos.
  • Para algunos usuarios de Reddit, estas palabras han supuesto la confirmación, o por lo menos la palpable posibilidad, de que Google tiene la capacidad de realizar escuchas para los gobiernos que así se lo exijan. Y de hecho, tal y como la propia empresa del buscador ha mostrado en sus informes de transparencia, estas solicitudes se suelen dar, aunque no a una gran escala.
  • Tampoco parece probable que Google espíe activamente a sus usuarios de Hangouts. Pero una buena manera de evitar conflictos sería implementar una encriptación end-to-end a su servicio de mensajería, pues de esta forma los mensajes estarían cifrados desde nuestro dispositivo hasta el del receptor, y aunque Google quisiera o así se lo exigieran las autoridades, no podría (en teoría) interceptar y leer nuestras comunicaciones.
Más información
Fuente: Genbeta.com

VULNERABILIDADES. Estas son las 30 vulnerabilidades pricipales más explotadas

Fruto del análisis de varios CERTs se ha publicado una lista que pretende alertar de las 30 vulnerabilidades más empleadas en la gran mayoría de los ataques.
 La lista publicada por el US-CERT está basada en un análisis completado por el Canadian Cyber Incident Response Centre (CCIRC, Centro Canadiense de Respuesta a Ciberincidentes) y desarrollado en colaboración con otros CERTs de Canadá, Nueva Zelanda, Reino Unido y el Centro de Ciberseguridad de Australia.
 El desarrollo de esta lista viene del hecho de que más del 85 por ciento de los ataques contra infraestructuras críticas podrían evitarse mediante el uso de estrategias adecuadas como el bloqueo de software malicioso, restringir los privilegios administrativos y parchear aplicaciones y sistemas operativos. La alerta publicada ofrece la información de las 30 vulnerabilidades más empleadas en estos ataques, para todas ellas existen parches y actualizaciones que evitarían cualquier problema.
Recursos afectados
 Las vulnerabilidades afectan a software de Adobe, Microsoft, Oracle (Java) y OpenSSL:
  •  Sorprende encontrar entre la lista una vulnerabilidad de incluso hace 10 años, como un problema en Internet Explorer en la interpretación de caracteres ASCII extendido (CVE-2006-3227). Aunque no deja de ser preocupante que la gran mayoría de las vulnerabilidades descritas tienen más de tres años de antigüedad.
  •  Es el software de Microsoft el que abarca la mayor parte del listado, con 16 vulnerabilidades, los problemas se centran principalmente en el navegador Internet Explorer y Office. Por otra parte, tampoco sorprende descubrir 11 vulnerabilidades en productos Adobe principalmente en Reader y Acrobat.
  •  Por último dos vulnerabilidades en Java y una en OpenSSL, la conocida como Heartbleed.
Lista de vulnerabilidades:
  1. Microsoft: CVE-2006-3227, CVE-2008-2244, CVE-2009-3129, CVE-2009-3674, CVE-2010-0806, CVE-2010-3333, CVE-2011-0101, CVE-2012-0158, CVE-2012-1856, CVE-2012-4792, CVE-2013-0074, CVE-2013-1347, CVE-2014-0322, CVE-2014-1761, CVE-2014-1776 y CVE-2014-4114
  2. Adobe: CVE-2009-3953, CVE-2010-0188, CVE-2010-2883, CVE-2011-0611, CVE-2011-2462, CVE-2013-0625, CVE-2013-0632, CVE-2013-2729, CVE-2013-3336, CVE-2013-5326 y CVE-2014-0564
  3. Oracle (Java): CVE-2012-1723 y CVE-2013-2465
  4. OpenSSL: CVE-2014-0160
Más información:
Fuente: Hispasec

GOOGLE . Actualización de seguridad para su navegador

 Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) que se actualiza a la versión 42.0.2311.135 para corregir cinco nuevas vulnerabilidades.
Detalle de la actualización
  • En esta ocasión, aunque se han solucionado cinco vulnerabilidades, se facilita información de una de ellas.
  •  Se corrige una vulnerabilidad de gravedad alta, con CVE-2015-1243, de uso después de liberar en DOM. Por otra parte, también del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1250).
Recomendación
  •  Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.
Más información:
Fuente: Hispasec

IBM. Corrige vulnerabilidades en Notes, iNotes y Domino

IBM ha publicado una actualización destinada a solucionar tres vulnerabilidades, dos de ellas muy graves, en IBM Notes, iNotes y Domino 8.5.x y 9.0.x.
Recursos afectados
  •  Se ven afectadas las versiones IBM Notes y Domino 9.0.1 Fix Pack 3 (y anteriores), IBM Notes y Domino 8.5.3 Fix Pack 6 (y anteriores).
Detalle e Impacto potencial de las vulnerabilidades corregidas
·         El primero de los problemas, con CVE-2014-8917, reside en un cross-site scripting en IBM Dojo Toolkit de Notes, iNotes y Domino. Un atacante podría explotar la vulnerabilidad mediante URLs específicamente creadas, lo que le permitiría acceder a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.
·         Por otra parte también existen dos vulnerabilidades de desbordamiento de búfer (con CVE-2015-1902 y CVE-2015-1903) debido a un tratamiento inadecuado de imágenes BMP. Un atacante podría conseguir ejecutar código arbitrario mediante el envío de una imagen específicamente creada.
Recomendación
IBM ha publicado las siguientes actualizaciones:
·         Notes y Domino 9.0.1 Fix Pack 3 Interim Fixes http://www.ibm.com/support/docview.wss?uid=swg21657963
·         Notes y Domino 8.5.3 Fix Pack 6 Interim Fixes http://www.ibm.com/support/docview.wss?uid=swg21687167
Más información:
Fuente: Hispasec

CLAMAV. Nueva versión corrige denegaciones de servicio

Se ha publicado una nueva versión del antivirus ClamAV que, entre otras correcciones y mejoras, incluye la solución a diversas vulnerabilidades que podrían permitir a un atacante remoto provocar condiciones de denegación de servicio.
 ClamAV es un antivirus multiplataforma de código abierto. Entre sus objetivos, además de ser un motor para identificar malware en equipos en los que se instale, también está destinado a trabajar en servidores de correo electrónico para combatir la propagación virus, troyanos y otras amenazas a través del servicio de mensajería electrónica.
Detalle e Impacto potencial de las vulnerabilidades corregidas
  •  Los problemas se producen en el tratamiento de archivos "Petite" (CVE-2015-2222), "upack", "xz" (CVE-2015-2668), "upx" (CVE-2015-2170) y PE manipulados, así como un bucle infinito en archivos cifrados con Y0da manipulados (CVE-2015-2221) y un posible desbordamiento de búfer en la librería regex (CVE-2015-2305). 
Recomendación
Más información:
Fuente: Hispasec

SQUID. Vulnerabilidad de validación de certificados

Se ha solucionado una vulnerabilidad en Squid que podría permitir que un servidor evite la validación de certificados cliente.
 Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
Detalle e Impacto potencial de la vulnerabilidad
  •  El fallo está considerado importante debido a que podría permitir que servidores remotes realicen la validación de certificados cliente. El problema reside en la validación de los campos hostname/domain de un certificado X509. Algunos atacantes también pueden utilizar certificados válidos firmados por una Autoridad Certificadora para un dominio para abusar de un dominio ajeno.
  •  La vulnerabilidad, con CVE-2015-3455, solo es explotable en sistemas Squid con "SSL-Bumb" con el modo de operación "client-first" o "bump". Se ven afectadas las versiones Squid 3.2 a 3.2.13, Squid 3.3 a 3.3.13, Squid 3.4 a 3.4.12 y Squid 3.5 a 3.5.3.
Recomendación
 Los problemas están solucionados en las versiones Squid 3.5.4, 3.4.13, 3.3.14 y 3.2.14.
 o se puede también aplicar los parches disponibles desde:
Más información:
Fuente: Hispasec

WINDOWS 10. Y la huida hacia atrás de Microsoft

Microsoft acaba de anunciar que con la llegada de Windows 10 las actualizaciones de seguridad, que se publican de forma periódica los segundos martes de cada mes, llegarán a los sistemas de los usuarios (PCs, tabletas y teléfonos) tan pronto estén disponibles.
Si bien este cambio solo se aplicará a los usuarios domésticos. Los usuarios corporativos podrán para aprovechar el nuevo "Windows Update for Business", un servicio gratuito para todos los dispositivos Windows Pro y Windows Enterprise, que permitirá a los administradores adoptar el sistema de actualización temprana de los usuarios domésticos.
 Según el anuncio realizado en la conferencia Ignite de Microsoft, la compañía planea distribuir los parches a los usuarios de Windows 10 tan pronto como estos estén disponibles (en forma de 24/7). Esto claramente reducirá el tiempo que los ordenadores quedan vulnerables a nuevas amenazas. Se verán beneficiados por este nuevo sistema todos los dispositivos que ejecuten Windows 10, ya sean PCs, tabletas o teléfonos inteligentes.
Más información:
Fuente: Hispasec

APPLE. Lanza actualización para Safari

Apple ha publicado una actualización de seguridad para su navegador Safari (versiones 8.6, 7.1.6 y 6.2.6) que solventa cinco vulnerabilidades que podrían ser aprovechadas por atacantes remotos para comprometer información del usuario, falsificar la interfaz de usuario o ejecutar código arbitrario.
 Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista. 
Recursos afectados
  • Esta actualización afecta a las versiones de Safari para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.3.
Detalle e Impacto potencial de las vulnerabilidades corregidas
  • Todas las vulnerabilidades están relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. 
  • Se han solucionado tres problemas de corrupción de memoria que podrían permitir la ejecución de código arbitrario. 
  • Una vulnerabilidad en el tratamiento del estado en WebKit History podría permitir obtener información del historial de navegación del usuario (incluido cuando se navega en modo privado) en la ruta "~/Librería/Safari/WebpageIcons.db". 
  • Por último, un problema en la carga de páginas asociado al tratamiento del atributo rel en etiquetas , podría permitir falsificar la interfaz de usuario al acceder a un enlace malicioso.
  • Los CVE asociados a las vulnerabilidades van del CVE-2015-1152 al CVE-2015-1156.
Recomendación
  •  Se recomienda actualizar a las versiones 8.6, 7.1.6 o 6.2.6 de Safari para Mac OS X disponible a través de las actualizaciones automáticas de Apple o desde la opción "Actualización de Software" del menú Apple.
Más información:
Fuente: Hispasec

CISCO UCS CENTRAL . Ejecución de comandos

Cisco ha confirmado una vulnerabilidad en Cisco UCS Central (versiones 1.2 y anteriores) que podría permitir a un atacante remoto sin autenticar ejecutar comandos arbitrarios en los sistemas afectados.
 Cisco Unified Computing System (UCS) viene a unificar los recursos de informática, servidores, redes, gestión, virtualización y acceso a almacenamiento en una misma arquitectura integrada. Cisco UCS Central proporciona una solución de administración escalable para los entornos Cisco UCS; gestionando múltiples dominios, con miles de servidores, desde un único panel.
Recursos afectados
  • Se ven afectadas las versiones del software 1.2 e inferiores.
Detalle e Impacto de la vulnerabilidad
  • La vulnerabilidad, con CVE-2015-0701 y CVSS de 10, se debe a una validación inadecuada de las entradas. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de peticiones HTTP manipuladas al dispositivo afectado, lo que le permitiría ejecutar comandos arbitrarios con permisos de "root".
Recomendación
Más información:
Fuente: Hispasec

IBM . Ejecución remota de código en WebSphere Application Server

 Se ha identificado una vulnerabilidad en IBM WebSphere Application Server y WebSphere Application Server Hypervisor Edition mediante la cual es posible ejecutar código de manera remota.  Importancia: 4 - Alta
Recursos afectados
 Las siguientes versiones de IBM WebSphere Application Server and IBM WebSphere Application Server Hypervisor Edition:
  1. Versión 8.5 y 8.5.5 Full Profile.
  2. Versión 8.0.
  3. Versión 7.0.
  4. Versión 6.1.
Detalle e Impacto de la vulnerabilidad
  • Un atacante remoto puede conseguir ejecutar código en IBM WebSphere Application Server y WebSphere Application Server Hypervisor Edition, conectándose a un puerto de gestión e introduciendo una secuencia específica de comandos. Se ha reservado el identificador CVE-2015-1920.
Recomendación
Versiones V8.5.0.0 a 8.5.5.5 escoger una de las siguientes opciones:
  • Aplicar el parche temporal PI38302
  • Aplicar el parche 6 (8.5.5.6), o posterior.
Versiones V8.0.0.0 a 8.0.0.10 escoger una de las siguientes opciones:
  • Aplicar el parche 3 (8.0.0.3) o posterior, y después aplicar el parche temporal PI38302
  • Aplicar el parche 11 (8.0.0.11), o posterior.
Versiones V7.0.0.0 a 7.0.0.37 escoger una de las siguientes opciones:
  • Aplicar el parche 21 (7.0.0.21) o posterior, y después aplicar el parche temporal PI38302
  • Aplicar el parche 39 (7.0.0.39), o posterior.
Versiones V6.1.0.0 a 6.1.0.47:
  • Aplicar el parche 47 (6.1.0.47) y después aplicar el parche temporal PI38302.
 Para versiones no soportadas, IBM recomienda actualizar a una versión soportada y posteriormente aplicar el parche apropiado.
Más información
Fuente: INCIBE

HUAWEI. Denegación de servicio en algunos de sus switches

Se ha detectado una vulnerabilidad en la implementación de la pila de protocolos IP, que puede provocar una denegación de servicio por reinicio del dispositivo. Importancia: 4 - Alta
Recursos afectados
 Los siguientes productos Huawei están afectados:
·         S2300/S2700/S3300/S3700
·         S5300EI/S5700EI/S5300SI/S5700SI
·         S5300HI/S5700HI S6300EI/S6700EI/S5710HI
·         S5300LI/S5700LI/S2350EI/S2750EI
·         S5720HI
·         S7700/S9300/S9700
·         S12700
Las versiones específicas pueden consultarse en el enlace disponible en la sección "Más información".
Detalle e Impacto de la vulnerabilidad
  • La vulnerabilidad, que afecta a múltiples productos Huawei, se debe a una implementación incorrecta de la pila de protocolos IP. Este error provoca el reinicio del dispositivo al no verificar la validez de campos especiales en paquetes ICMP.
  • Un atacante con acceso a la red donde se ubica el dispositivo puede explotar la vulnerabilidad mediante el envío de paquetes ICMP manipulados.
Recomendación
Más información
Fuente: INCIBE

WORDPRESS 4.2.2 . Actualización de seguridad

Wordpress ha publicado una actualización de seguridad que soluciona 13 incidencias, entre las que destacan dos XSS que permitirían comprometer un sitio vulnerable. Importancia: 4 - Alta
Recursos afectados
  • Todas las versiones anteriores a la 4.2.2.
Recomendación
  • Actualizar Wordpress a la versión 4.2.2.
Detalle e Impacto potencial de las vulnerabilidades corregidas
 Las principales vulnerabilidades de seguridad solucionadas son:
  • Vulnerabildad XSS en el paquete de fuentes «The Genericons», usado en múltiples temas, incluido el tema por defecto Twenty Fifteen.
  • Vulnerabilidad XSS crítica que permitiría a un usuario anónimo comprometer el CMS.
Más información
Fuente: INCIBE

USB TYPE-C. El conector del futuro por el que apuestan Google y Apple

Más allá de los protocolos que pueda aceptar, USB Type-C supone un conector entre dispositivos con grandes implicaciones de cara al futuro.
 Lanzado el año pasado como propuesta por las principales asociaciones de fabricantes, ha sido en fechas más recientes cuando se han conocido las primeras propuestas prácticas: el nuevo MacBook de Apple y el Chromebook Pixel de Google. 
Ambos incorporan un puerto USB Type-C como conector universal tanto para la carga de la batería como para la transferencia de datos con otros dispositivos. Pero antes, la tableta Nokia N1 también anunció a principios de año su presencia en el modelo. Desde Eroski Consumer se explican sus características.
Tamaño y sus implicaciones
  • Las dimensiones del conector USB Type-C son muy semejantes a las del microUSB, que estaba llamado a constituirse en referente para la industria de los conectores y cargadores para móviles, pero que no fue bien aceptado ni por los fabricantes de ordenadores ni por Apple, que no lo incorporó en el iPhone.
  • En lugar de éste, la empresa de la manzana ideó el conector Lightning, que tenía la ventaja de ser reversible, a diferencia del USB Type-C.  El nuevo conector, a diferencia de la gama micro, sí presenta simetría de caras al estilo del Lightning, lo que rompe con la tradicional asimetría de los USB y permitirá la conexión indistinta.
  • Pero si por algo destaca el USB Type-C es por poder aceptar todas las virtudes del protocolo USB 3.0 (potencia de carga y tasas de transferencia de hasta 10 gigabits por segundo) resumidas en un conector pequeño y cómodo. Esta circunstancia posibilita unificar el conector del portátil y la tableta con el de los smartphones, lo que libera de complejidades morfológicas el ecosistema del usuario.
Datos entre dispositivos y carga
  • USB Type-C es, además, un conector que sirve tanto para transportar energía de una red de alimentación a un dispositivo como para transferir datos. Estos datos ya existían en otros puertos USB, pero no a las velocidades y potencia que presenta este formato. En concreto, USB Type-C soporta potencias de hasta 100 wats con cinco amperios de intensidad.
  • Esto significa que es capaz de cargar con rapidez tanto un móvil como un ordenador o una tableta, o ambos a la vez, si uno está conectado al otro (el smartphone al ordenador, por ejemplo) aunque no haya conexión a la red eléctrica. También permite cargar un dispositivo desde una batería, como en el caso de los móviles que se cargan con baterías externas.
  • Pero en el apartado de las tasas de transferencias también responde con gran eficacia, ya que su tasa límite de 10 gigabits por segundo le hacen idóneo para interconectar una tableta o un portátil -incluso un móvil- con una pantalla para, por ejemplo, dar vídeo en ultra alta definición a un televisor 4K. Y lo mismo sucede en el momento de conectar cámaras de vídeo o fotográficas para transferir imágenes en alta resolución, algo que puede resultar complicado de hacer mediante redes inalámbricas.
  • Conviene, de todos modos, no creer que por defecto el USB Type-C funciona con el protocolo 3.0. Una cosa es el protocolo y otra el conector. El primero es un sistema digital y el segundo un objeto físico que también puede aceptar protocolos de menor capacidad, como es el USB 2.0, que hoy todavía está como puerto en muchos ordenadores.
  • Por ejemplo, el teléfono chino Jiayu S4 implementa un conector USB Type-C, pero lo hace con protocolo USB 2.0, por lo que sus capacidades no son análogas a las de USB 3.0 y necesitaría un adaptador para conectarse con otro dispositivo que contemplara un Type-C con USB 3.0.
Fuente: 20minutos-es

GNU/LINUX . Sugerencias de seguridad para estos sistemas

Esto es una recopilación de normas de seguridad básicas para los administradores de sistemas, de redes/sistemas basados en GNU/Linux.
1.   Mantener actualizados nuestros sistemas con los últimos updates de seguridad.
1.1.   Listas de correo de actualizaciones críticas [Slackware Security Advisor, Debian Security Advisor]
2.   Cero acceso físico a los servers por parte de personal no autorizado.
2.1.   Aplicar password al BIOS de nuestros servers
2.2.   No boot por CD/DVD
2.3.   Password en el GRUB/Lilo
3.   Buena política de passwords, caracteres alfanuméricos y otros.
3.1.    Envejecimiento de los passwords[Password Aging] con el comando “chage”, así como número de días entre cambio de password y última fecha de cambio.
3.2.    Evitar el uso de password anteriores en:   /etc/pam.d/common-password
3.3.   Así cambias el password y te recuerda los ultimos 10 passwords que tenía el usuario: password sufficient pam_unix.so use_auth ok md5 shadow remember 10
4. Buena política de gestión/segmentación de nuestra red[routers, switches, vlans] y firewall, así como reglas de filtrado INPUT, OUTPUT, FORWARD[NAT, SNAT,DNAT]
5.  Habilitar el uso de shells[/etc/shells]. Los usuarios que no deban loguearse en el sistema les toca /bin/false o /bin/nologin.
5.1.   Bloquear usuarios cuando el login falla[faillog], así como controlar la cuenta de usuario del sistema. Ejemplos: passwd -l pepe -> (para bloquear al usuario pepe)  y passwd -v pepe ->  (para desbloquear al usuario pepe )
6.   Habilitar el uso de “sudo”, NUNCA loguearnos como root por ssh, “NUNCA”. De hecho se debe editar la configuración de ssh para lograr este propósito. Use llaves públicas/privadas en sus servers con sudo.
7.   Aplicar en nustros sistemas el “Principio del privilegio mínimo“.
8.   Chequear nuestros servicios cada cierto tiempo[netstat -lptun], para cada uno de nuestros servers. Agregar herramientas de monitoreo que nos puedan ayudar en esta tarea[Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9.   Instalar IDSs, Snort/AcidBase, Snotby, Barnyard, OSSEC.
10.  Nmap es tu amigo, úsalo para verificar tu subred/subredes.
11. Buenas prácticas de seguridad en OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP[los que la mayoría usa] y algún que otro servicio que necesites en tu red.
12.  Encriptar toda comunicación mientras sea posible en nuestros sistemas, SSL, gnuTLS, StarTTLS, digest, etc… Y si manejas información sensible, encripta tu disco duro!!!
13.Actualizar nuestros servidores de correo con las últimas reglas de seguridad, listas negras y antispam.
14.   Logueo de actividad en nuestros sistemas con logwatch y logcheck.
15.  Conocimiento y uso de herramientas como top, sar, vmstat, free, entre otras.
-        sar -> system activity report
-        vmstat -> procesos, memoria, systema, i/o, actividad del cpu, etc
-        iostat -> cpu i/o status
-        mpstat -> multiprocessor status and usage
-        pmap -> uso de memoria por los procesos
-        free -> memoria
-        iptraf ->  tráfico en tiempo real de nuestra red
-        ethstatus -> console-based ethernet statistics monitor
-        etherape -> graphical network monitor
-        ss -> socket status[tcp socket info, udp, raw sockets, DCCP Sockets]
-        tcpdump -> Análisis detallados de tráfico
-        vnstat -> network traffic monitor of selected interfaces
-        mtr -> herramienta de diagnóstico y análisis de sobrecarga en las redes
-        ethtool -> stats about network cards
Fuente: blog.desdelinux.net

SPAM. Envían mensajes informando un mensaje de voz de Whatsapp

Tras la entrada en funcionamiento de forma masiva de las llamadas de voz del servicio de mensajería Whatsapp este tipo de estafas se han reactivado, cobrando mucho más sentido y credibilidad entre los usuarios.
Funcionamiento de la estafa
  • Los ciberdelincuentes utilizan el correo electrónico para ponerse en contacto con los usuarios, informándoles en el cuerpo del mensaje que tienen pendientes de escuchar un mensaje de voz que les fue enviado por uno de sus contactos. Este contenido se encuentra con un formato que se asemeja al que podría utilizar el servicio para ponerse en contacto con los usuarios (recordemos que estos nunca se ponen en contacto con los usuarios), disponiendo de un botón de “autoplay” gracias al cual el usuario será capaz de escuchar el contenido.
  • Sin embargo, y tal y como era de esperar, se trata de una estafa que la única finalidad que posee es provocar que el usuario realice la descarga de contenido malware en su equipo.
El mensaje de “Whatsapp” aporta indicios para pensar que es falso
  • De entrada, en el correo recibido puede verse como la dirección de correo electrónico que se ha utilizado para enviar el mensaje no corresponde con ninguna perteneciente al dominio del servicio, por lo tanto, ya es un indicativo más que claro de que podría ser un a estafa. Otro aspecto a tener en cuenta podría ser el asunto del mensaje, escribiendo de forma incorrecta el nombre del servicio de mensajería.
  • Sin embargo, lo más indicativo es que el servicio nunca advierte a los usuarios de la existencia de mensajes de voz pendientes, ya que este tipo de alertas no existe en la actualidad y por lo tanto siempre tendríamos que rechazar de entrada este tipo de contenido.
  • En lo referido a la amenaza que se está distribuyendo, se trata de un virus que simula ser una herramienta de seguridad, simulando  infecciones falsas y provocando que determinadas funciones del sistema operativo no se encuentren disponibles, como por ejemplo, el administrador de tareas o el acceso al panel de control.
  • La existencia de una herramienta de seguridad en el sistema y ejecutándose de forma correcta permitía detectar a tiempo la presencia de la amenaza y detener su instalación.
Fuente: Redeszone.net

TROJ_WERDLOD. Nuevo troyano bancario que está afectando a los usuarios

 La última amenaza que se ha encontrado conocida como TROJ_WERDLOD, comenzó en diciembre del pasado año a afectar a usuarios japoneses y a día de hoy ya se distribuye a nivel global.
Los investigadores de Trend Micro Han concretado que se trata de un tipo de troyano bancario bastante innovador con respecto a lo visto hasta el momento, ya que el resto de amenazas, o al menos una amplia mayoría, permitía a los ciberdelincuentes monitorizar y recopilar credenciales de acceso mediante el uso de keyloggers. En TROJ_WERDLOD esto no sucede así y podría decirse que no precisa de la instalación de ningún software.
Hace seis meses solo poseía 400 equipos infectados, una cifra que a día de hoy se ha visto multiplicada por cien, alcanzando una cantidad cercana a los 40.000 equipos muy repartidos por todo el mundo. Aunque en un principio su distribución se centró mucho en loa países asiáticos, era de esperar que los ciberdelincuentes pronto se dieran cuenta que donde más provecho pueden sacar de este malware es Estados Unidos y Europa. A día de hoy, el 80% de las infecciones se reparten entre países europeos y el territorio estadounidense, algo que resulta ser muy habitual.
TROJ_WERDLOD crear un proxy e instala un certificado
  • En primer lugar se modifica la configuración de los navegadores web del sistema para crear un servidor proxy, complementando este con la instalación de un certificado que permitirá validar el paso de la información por este servidor asignado y así realizar un ataque Man in the Middle, algo bastante característico.
  • El malware se está distribuyendo haciendo uso de un documento .rtf que contiene una macro en su interior. Al realizar la apertura de este se descarga el instalador de TROJ_WERDLOD.
  • Adicionalmente a la utilidad anterior, estos también han desarrollado una aplicación parta dispositivo móviles que sirve para robar los códigos de verificación de las operaciones bancarias.
Fuente: E Hacking News

SAVENEPAL.ORG. La web falsa de donaciones para los afectado por el terremoto de Nepal

Los ciberdelincuentes utilizan el sitio web savenepal.org como señuelo del terremoto de Nepal y sus réplicas, donde los usuarios creen que están realizando donaciones y sin embargo son estafados.
Detalles de la estafa
  • Para ser más exactos, este sitio web se trata de una copia de este otro que es totalmente legítimo: ActionAid. La finalidad es incitar a los usuarios a que hagan un donativo para los damnificados del terremoto que ha acontecido esta semana. Para ello se han valido de una TPV virtual en la que pueden introducir su tarjeta de crédito e indicar que cantidad desean aportar como donativo. Sin embargo, esto no funciona así y en realidad los usuarios han sido víctimas de una estafa, siendo las cuentas de los ciberdelincuentes el paradero real del dinero.
  • Expertos en seguridad han realizado un exhaustivo análisis y han comprobado que efectivamente se trata de un sitio web dedicado a estafar a los usuarios.
  • En primer lugar podemos ver cómo bajo el mimo dominio se encuentran otras páginas web de características muy similares, es decir, dedicadas a promover estafas entre los usuarios de Internet. Estos dominios se encuentran registrados a nombre de ciudadanos estadounidenses, algo que puede ser verdad o no, ya que hay que tener en cuenta que estamos hablando de estafas. Las investigaciones han llevado a los investigadores a sendos perfiles de Facebook, Twitter y Google+, todos ellos creados para realizar spam en las redes sociales y por lo tanto la información contenida carece de validez alguna.
Si quisiéramos realizar una donación en primer lugar debiéramos cercionarnos de la autenticidad de la página en la que nos encontramos.
Fuente: Dynamoo

WIKILEAKS. Mejora la seguridad del servicio de envío de información

Julian Assange, creador y responsable de Wikileaks, ha anunciado una nueva herramienta de envío de información a sus servidores que garantiza una mayor seguridad y un mayor anonimato frente a posibles investigaciones.
Wikileaks utiliza un sistema de envío de datos llamado SecureDrop que se basa en establecer conexiones a través de la red Tor para enviar información de manera que sea prácticamente imposible de rastrear, sin embargo, actualmente si hay un fallo en el intercambio de claves SSL mientras el usuario, por ejemplo, busca las instrucciones de envío de información, esto puede ser utilizado contra él aunque no llegue a demostrarse el envío real de datos.
El nuevo sistema de envío se basa también en la red Tor, sin embargo, se ha mejorado la capa de seguridad al ofrecer en múltiples páginas las instrucciones para el envío de datos en lugar de obligar, como hasta ahora, a buscar desde el buscador dicha información ya que durante ese proceso podría darse lugar una brecha de seguridad y comprometer el anonimato de los usuarios.
Actualmente esta nueva herramienta se encuentra en fase beta, aunque no debería tardar en ver la luz como “estable” y en recomendarse como sistema de envío de datos para todos aquellos que quieran enviar documentos confidenciales, filtrar información e incluso dar ideas para publicar nuevas historias dentro del portal.

NFC. ¿Estas conexiones mejoran la seguridad de las contraseñas?

El uso de contraseñas largas y complejas no es una solución viable a largo plazo, sino un parche temporal que simplemente “retrasa” a los piratas informáticos. Igualmente, cuanto más compleja es la contraseña más complicada es de recordar y es posible que incluso llegue el día en el que sea más fácil explotar por fuerza bruta una contraseña que recordarla.
Las conexiones NFC (Near Field Communication) son un tipo de conexiones de radio de baja frecuencia que permite comunicar dispositivos entre sí mientras estén a una distancia muy corta (casi pegados). A diferencia del bluetooth, esta tecnología no requiere de una vinculación previa, sino que depende directamente del propio dispositivo y de que este se encuentre en contacto físico con el receptor.
Simplemente utilizando, por ejemplo, un receptor NFC por cable USB conectado al ordenador y con un software específico sería posible que colocando el smartphone sobre él automáticamente iniciemos sesión en todas las webs con nuestra cuenta y que sin dicho móvil el acceso no fuera posible. De esta manera la seguridad aumentaría exponencialmente y se ahorraría un tiempo considerable utilizado hasta ahora para escribir el usuario, la contraseña y esperar a que el servidor nos autentique en el sistema.
Windows 10 ya viene preparado para funcionar con esta tecnología al igual que Android, por ejemplo, que permite desbloquear el móvil al pasarlo por un smartwatch. Igualmente los nuevos modelos de pago (nuevas tarjetas de crédito, Google Wallet, Apple Pay, etc) hacen uso de esta tecnología para comunicarse de forma segura con los dispositivos TPV y poder así comunicarse, sin embargo, esta tecnología está prácticamente en desuso y son muy pocos los usuarios que realmente hacen uso de ella.
El NFC como alternativa a las contraseñas es una gran opción, sin embargo, por el momento apenas hay plataformas ni sistemas que permitan este tipo de autenticación, ni ningún otro ya que más del 99% de las webs y sistemas de autenticación siguen utilizando contraseñas para autenticar a los usuarios.
Fuente: Betanews

DYRE. Nueva versión del malware comprueba los núcleos del procesador antes de instalarse

Una nueva variante del troyano Dyre que es capaz de analizar los cores del procesador para detectar si se está ejecutando en una máquina virtual e interrumpir su instalación en el sistema.
Fundamentos del funcionamiento del troyano
  • Estas son las herramientas que los investigadores de las compañías de seguridad utilizan para analizar el comportamiento de los virus y crear actualizaciones para las suites de seguridad y evitar que este llegue al equipo y se instale de forma satisfactoria. Para emular el funcionamiento de un PC estas se configuran con un único núcleo, algo que está siendo utilizado por los ciberdelincuentes para detectar si la variante de Dyre se debe instalar en el sistema o no.
  • Esto quiere decir que si la CPU solo posee un núcleo la amenaza lo contempla como una máquina virtual y se anula la instalación, evitando de esta forma el análisis de su actividad y dificultando un poco más esta labor.
  • Lo sucedido sirve para demostrar que los ciberdelincuentes han hecho su trabajo y han recopilado cierta información sobre las máquinas virtuales utilizadas.
Dyre continúa distribuyéndose a través de otro software
  • Seguro que habéis oído hablar de Upatre. Se trata de un malware que podría considerarse como el instalador de otros más potentes y peligrosos, conocidos también como PUP, es decir, programas no deseados. El funcionamiento de Dyre se mantiene, es decir, los ciberdelincuentes han centrado sus esfuerzos en conseguir las contraseñas de servicios bancarios y redes sociales mediante la monitorización de las pulsaciones de teclado, enviándose esta información a un servidor propiedad de los ciberdelincuentes.
  • No es la primera vez que los ciberdelincuentes buscan eludir las máquinas virtuales y no dar pistas a los expertos en seguridad sobre el funcionamiento de las amenazas, sin embargo, sí que es la primera en la que el procesador sirve como guía para tomar una decisión.
Fuente: Softpedia

GOOGLE PASSWORD ALERT 1.7. Elimina su función principal

La semana pasada Google lanzó una extensión para su navegador Google Chrome llamada Google Password Alert, 
Esta extensión pretendía monitorizar lo que escribimos en las diferentes webs y notificarnos siempre que escribamos nuestros credenciales de Google en páginas no oficiales que puedan comprometer nuestros datos o, simplemente, si alguna de las webs es sospechosa de estar controlada por piratas informáticos o diseñada para realizar ataques de phishing.
En menos de 24 horas se pudo comprometer la eficacia de esta extensión, obligando a Google a actualizarla 6 veces en poco más de una semana. En el siguiente enlace os dejamos los principales fallos encontrados y explotados en esta vulnerabilidad.
La extensión de Google “Password Alert” es fácil de evadir.
  • Hace cuestión de horas Google publicaba una nueva versión de su herramienta en la plataforma GitHub. Al analizar el código hemos podido ver cómo la principal función de la extensión, que era el poder detectar y bloquear webs maliciosas o de phishing, ha quedado desactivada.
  • Sin duda es un extraño movimiento por parte de Google. Ahora mismo esta extensión no sirve para prácticamente nada, ya que sólo controla el dónde escribimos nuestra contraseña, pero no avisa de posibles webs sospechosas ni de ataques phishing.
  • Es posible que para una próxima actualización de Google Password Alert la compañía publique una nueva forma de detectar y bloquear estas webs e incluso que esta extensión pase a formar parte de forma nativa de su navegador Google Chrome.
  • Si aún no lo hemos hecho podemos descargar Google Password Alert de forma gratuita desde la Chrome Store. Actualmente en la tienda de extensiones aún no aparece la versión 1.7, aunque aparecerá en las próximas horas.
  • Con más de 70.000 descargar Google no va a abandonar el desarrollo de esta extensión de seguridad, sin embargo, por el momento no ha hecho ninguna declaración sobre si va a dar un nuevo enfoque al desarrollo, si se trata de un fallo o simplemente si de una vez por todas solucionará todos los fallos que los investigadores de seguridad han ido detectando y reportando en Google Password Alert.
Fuente: The Hacker News

TROYANOS BANCARIO. Tinba ahora es capaz de detectar sandboxes

 Los ciberdelincuentes cada vez son más astutos y quieren por todos los medios evitar que su software sea objeto de análisis, algo que han aplicado a otro troyano: Tinba.
Lo que buscan es que bajo ningún concepto el malware se ejecute en una sandbox y pueda analizarse de forma detenida. Las amenazas cada vez son más complejas y el factor sorpresa es determinante a la hora de asegurar la expansión del virus haciendo uso de redes sociales, páginas web infectadas con el archivo o haciendo uso de mensajes spam.
Para detectar en este caso las sandboxes los ciberdelincuentes analizan el comportamiento del punto del ratón y en qué ventana se realiza la actividad. El troyano realiza una llamada a una función que se encarga de devolver el estado de las ventanas con el fin de obtener el valor que describe este. Al comparar este valor obtenido con uno que él posee almacenado en una variable puede decidir si continuar con la ejecución o detenerla.
Tinba no posee novedades, o al menos en esta variante
  • Tiene sus orígenes en Tiny Banker y su primera aparición se produjo hace ya varios años, por lo tanto, pocas herramientas de seguridad (o ninguna) aún no están actualizadas para detectar su presencia. Expertos en seguridad creen que de no tener ninguna novedad, o al menos estar pendiente de implementarla en futuras variantes, los propietarios del malware no se habrían tomado tantas molestias en crear esta variante que fuese capaz de comprobar si se está ejecutando en una sandbox o máquina virtual.
  • Esto obliga a los laboratorios y compañías desarrolladoras de productos de seguridad a esforzarse aún más e implementar mecanismos de “camuflaje” de sus software para evitar que la actividad de este y otros virus se inhiba y se pueda analizar.
Fuente: Softpedia

MICROSOFT EDGE. Sin soporte para estos elementos web

Según ha confirmado Microsoft, Internet Explorer es compatible con muchos elementos web que en el pasado eran muy útiles para dotar a la web de ciertos contenidos pero que a día de hoy sólo se han heredado siendo totalmente inútiles e incluso comprometiendo la seguridad debido al uso de APIs obsoletas.
Microsoft Edge no soportará y bloqueará automáticamente los siguientes elementos web:
  1. ActiveX
  2. Browser Helper Objects (BHO)
  3. VBScript
  4. Vector Markup Language (VML)
  5. “Document Modes” para IE 9 y anteriores.
  6. Filtros y transiciones DirectX
  7. Capas de compatibilidad de IE8
  8. Eventos attachEvent/removeEvent
  9. Objetos CurrentStyle
  10. Conditional Comments de CSS
La mayoría de los elementos anteriores se utilizan sólo en Internet Explorer ya que el resto de los navegadores web respetan las reglas de la W3C. El nuevo navegador web de Microsoft pretende plantar cara a Firefox y Google Chrome, y uno de los mayores esfuerzos de la compañía para lograr esto ha sido adaptar el navegador para respetar los estándares web.
¿Cómo afecta esta medida de Microsoft Edge a los usuarios?
  • Todos los complementos anteriores, y otros muchos, son totalmente innecesarios con la estandarización del HTML5. Para los usuarios esto no supone ningún cambio y salvo que alguna web no se actualice todo seguirá funcionando sin problemas.
  • Igualmente destacar que la navegación será mucho más segura y los usuarios de Microsoft Edge se verán menos expuestos a las amenazas informáticas que hicieran uso de vulnerabilidades a través de los complementos anteriores.
  • Antes de finalizar debemos recordar que la compañía también trabaja en incluir en el navegador un plugin de Flash mejorado y un lector de documentos PDF nativo.
Fuente: gHacks