24 de mayo de 2015

NSA. Planeó espiar dispositivos Android a través de la Play Store

Desde que comenzó el culebrón Edward Snowden hace unos años, se han vuelto innumerables la cantidad de documentos filtrados de la agencia de inteligencia estadounidense (NSA). La última revelación indica que la NSA planeó utilizar una vulnerabilidad de la Play Store para espiar móviles Android.
Según los documentos filtrados por The Intercept, la agencia estadounidense habría intentado introducir malware y spywares en la tienda virtual de Google entre 2011 y 2012. Estas acciones se englobaban dentro del denominado programa "Irritant Horn" y tenían como objetivo la recolección de datos de los móviles afectados.
Según deduce Snowden en el informe, el objetivo EEUU era el de evitar otra "Primavera Árabe", que pudiese poner en peligro sus intereses en África y Oriente Próximo.
Además, el creador de WikiLeaks también ha señalaba a un gran número de países que también habrían planeado utilizar la Play Store como plataforma de espionaje. Entre ellos se encuentra: Australia, Reino Unido, Canadá, Francia, Marruecos o Rusia entre otros.
Google trabaja diariamente para eliminar cualquier tipo de malware o spyware de su plataforma, pero parece sorprendente que sean las agencias de seguridad las que aprovechen estas vulnerabilidades para espiar a sus ciudadanos.
Fuente: Europa Press

RUSIA. Bloqueará Google, Twitter y Facebook si no entregran datos de sus blogueros

El Roskomnadzor, la agencia encargada de regular las comunicaciones, tecnología y medios rusos, ha mandado una carta a Google, Twitter y Facebook en la que les recuerda los riesgos que corren si no se ajustan a la legislación rusa de Internet.
   En la carta el gobierno ruso declararía estar especialmente molesto con que las compañía norteamericanas no les faciliten datos de algunos blogueros rusos. Ante la negativa de las compañías a ceder a las presiones del Kremlin, el Roskomnadzor ha recordado que de no facilitarles los datos están infringiendo la Ley de Internet rusa.
   La ley fue aprobada por el parlamento ruso el pasado año y obliga a los blogueros a dar sus datos al Kremlin, nombre, apellidos y correo electrónico. También prohíbe a los medios de comunicación tradicionales publicar materiales "sensibles". En otras palabras: censura.
   Según Reuters, la carta señalaba que de no recibir las informaciones que reclaman, el Kremlin debería proceder al cierre del blog en cuestión. El problema está en que los cifrados que utilizan Google, Facebook y Twitter, son de difícil acceso para las autoridades rusas. Por lo que la solución del gobierno ruso sería la de bloquear el servicio completo de las compañías en toda Rusia.
   La legislación rusa de Internet es una de las más restrictivas de Europa, dando potestad al Kremlin para bloquear webs sin necesidad de orden judicial. Habrá que esperar a la respuesta de Google, Twitter o Facebook; pero si dentro de unos días continúan operando en Rusia, es que habrá facilitado la información al gobierno ruso.
Fuente: Europa Press

PIRATERIA. Hackean MSPY y filtran información de más de 400.000 usuarios

La empresa de 'software' mSpy, que vende una aplicación utilizada para espiar a otro usuario a través de su 'smartphone' o tableta, ha admitido públicamente haber sido 'hackeada', lo que ha provocado la sustracción de datos de más de 400.000 usuarios.
Una portavoz de la compañía, Amelie Ross, ha salido al paso de estas informaciones y ha querido mostrar sus disculpas por esta vulnerabilidad en sus sistemas de seguridad, aunque considera "exagerado el alcance y la dimensión que se le está dando a esta filtración".
Al parecer, el ataque fue orquestado por hackers anónimos que filtraron toda la base de datos de mSpy a Tor, uno de los portales para acceder a la parte oscura de Internet, más conocida como 'deep web', según ha transmitido una fuente anónima al periodista experto en seguridad, Brian Krebs.
Las indagaciones de Krebs le han llevado a descubrir varios cientos de 'gigabytes' de valiosos datos obtenidos de móviles que usan el 'software' de mSpy. Los datos expuestos contienen un gran número de correos electrónicos y mensajes de texto, así como fotos, pagos y datos de localización de más de 400.000 víctimas.
La empresa ya se ha puesto en contacto con las víctimas afectadas por el ataque cibernético y les ha comunicado que "harán todo lo necesario para combatir este ataque y que continuarán trabajando en el desarollo de un sistema de encriptación de datos más sofisticado".
Esta 'app' está destinada para el monitoreo legal, que permite a sus usuarios acceder a los mensajes del móvil y rastrear los movimientos con un GPS.  Es ofrecida por sus creadores como una herramienta para empresas, padres de familia y parejas que busquen llevar un mejor control de sus allegados mediante el espionaje de 'smartphones' o 'tablets', siempre y cuando la persona vigilada esté enterada de la existencia de esta aplicación en su dispositivo móvil; aunque esta premisa no siempre se cumple.
Fuente: BBC News

CIBERAMENAZAS. El sector petrolífero en el foco de los ciberataques

La firma se seguridad informática Panda Security ha localizado una serie de ataques dirigidos a diez compañías petroleras europeas dedicadas al transporte marítimo, entre ellas una española -aunque no se ha desvelado el nombre- que intentaban robar información confidencial y datos personales para acometer estafas nigerianas. 
Este tipo de fraudes a través de internet se llevan a cabo por correo electrónico y consisten en embelesar a la persona receptora del mismo con una fortuna para intentar convencerle de un pago adelantado.
Detalle del estudio
  • Estos casos se vinieron sucediendo desde agosto de 2013 hasta principios del pasado año, aunque no han trascendido hasta la fecha. La particularidad de estos ataques es que, además, no utilizan ningún tipo de «malware» para infectar los ordenadores, si no que ejecuta archivos de forma recurrente y que, a día de hoy, «ningún sistema de antivirus es capaz de detectar».
  • Los expertos creen que los «hackers» se han hecho con datos de diferentes compañías para fines lucrativos. Y es que este es un sector goloso al manejar mucho dinero. «Han utilizado herramientas que están disponibles para cualquier usuario en internet y utilizaban una serie de ficheros especialices con la que hacían las instrucciones. El ataque venía mediante un programa instalador enviado en un correo electrónico que engañaba a las víctimas», asegura al diario ABC Luis Corrons, director Técnico de Pandalabs en Panda Security.
  • Los expertos consideran que este robo de información es la primera fase del un proceso de estafa mayor. Las empresas afectadas, no obstante, no han denunciado a la autoridad competente por miedo a una posible repercusión.
  • No es la primera vez que este sector se coloca en el punto de mira de los ciberdelincuentes. En 2012 un ataque informático lanzado contra varias plataformas petrolíferas iraníes en el Golfo Pérsico provocó problemas temporales en la conexión de estas instalaciones, informaba la agencia de noticias iraní ISNA. Desde la República Islámica se alzó la voz acerca de que en ocasiones anteriores habían sufrido ataques informáticos contra los servidores de sus organismos públicos e instalaciones nucleares. Para ello, se utilizó como «arma» el gusano Stuxnet que en julio de 2010 causó importantes daños a la infraestructura nuclear iraní.
Aumento del cibercrimen
  • Y es que el cibercrimen se ha convertido en un «arma» rápida, accesible y capaz de provocar el caos en las ciudades. Según datos recogidos por la firma de seguridad Kaspersky, el envío diario de «malware» se ha duplicado en el último trimestre. Sus soluciones bloquearon un total de 2.200 millones de ataques maliciosos en los ordenadores y dispositivos móviles en el primer trimestre de 2015 y más de 93 millones de URLs fueron reconocidas como maliciosas, un 14,3% más que en el mismo periodo del año anterior.
Fuente: Abc.es

CONFIRMADO. El 2015 ya es el año del ‘cibercrimen’

Dos de la mayores compañías de antivirus ( Kaspersky Lab y PandaLab), alertan de un espectacular incremento de los ataques en la Red, durante este primer trimestre de 2015.
Detalles del estudio
  • La compañía rusa Kaspersky ha bloqueado 2.200 millones de ataques durante los primeros tres meses de 2015: el doble que en el mismo trimestre del año pasado. La empresa también contabiliza un gran aumento en su recuento de malware diario (todo programa que intenta infiltrarse o dañar un ordenador), que ha pasado de los 160.000 a los 225.000, un 40%.
  • La compañía antivirus rusa Kaspersky ha bloqueado el doble de ataques durante el primer trimestre de 2015 que en el mismo periodo de 2014
  • Una de las razones apuntadas por Kaspersky para este aumento es el enorme alcance de los ataques internacionales ocurridos en este trimestre. En la misma línea, hace solo un mes, Microsoft apuntaba en un post de su blog oficial el aumento destacado del macromalware, ataques a través de emails falsos que imitan a instituciones públicas o empresas, como el que sufrieron miles de cuentas de correos españolas en abril.
  • Los cibercriminales parecen seguir al pie de la letra las tendencias: en su punto de mira se sitúa sobre todo el móvil. El estudio de Kaspersky indica que los programas maliciosos dirigidos a este dispositivo se han triplicado. Los ciberataques pretenden obtener dinero con los datos bancarios del usuario. Para ello, el malware que ha infectado el móvil replica el aspecto de una gran marca, Google por ejemplo, y le pide al usuario que ingrese la información de su tarjeta de crédito. A veces se llega al sarcasmo: se han dado casos de ataques que justificaban el solicitar esta información por la necesidad de “luchar contra la delincuencia informática”. Otro estudio de un gigante en los antivirus (Symantec, los creadores del Norton) apuntó en su estudio anual de 2014 que casi una de cada cinco aplicaciones para Android es un programa malicioso.
  • Por países, algunos de los países y territorios que sufren mayores índices de ataques son China, gran parte de Latinoamérica —Perú sería el más infectado según Panda— u Oriente Medio —Siria, Catar o Argelia resultan especialmente castigados. En cambio, el territorio más seguro para blindarse contra la infección es Europa, con Noruega, Suecia, Francia, Reino Unido o Portugal como regiones relativamente seguras para navegar en la red.
  • España está señalada por ambos como una nación con una infección por encima de la media, pero lejos aún de los primeros puestos. Eso sí, está a la cola de Europa, doblando en inseguridad a países como Portugal, Francia o Noruega. 
  • Esta situación, según explica Kaspersky, resulta novedosa, porque España se solía mantener en una media parecida a la europea.  En cuanto a los países que más atacan, Rusia, Estados Unidos y China copan el top tres, según datos de Kaspersky.
Las formas de atacar también siguen modas
  • Los troyanos —aquellos programas que al ser ejecutados aparentan ser inofensivos e imitan a otras aplicaciones— son los más habituales y representan el 72,75% del malware. Y dentro de esta popular amenaza, sube mucho el ramsonware, el secuestro exprés de datos. “Si hay que destacar algún tipo de ataque durante este inicio de 2015, es este. Este tipo de ataques afectan a todo el mundo, pero hemos visto cómo los delincuentes tratan de ir a por empresas, ya que poseen información valiosa por la que están dispuestos a pagar un módico rescate”, indica el estudio de Panda. Tampoco las redes sociales se salvan del asalto.
  • En Facebook los cibercriminales han encontrado la forma de engañar a los internautas usando eventos. El pasado mes de enero, miles de usuarios se infectaron por participar en un supuesto sorteo de Zara de 430 tarjetas de regalo por valor de 500 euros. Otro ejemplo de una tendencia que no deja de crecer. Si en 2014 Kaspersky detectaba mil millones más de ataques que en 2013, una subida de casi el 20%, este 2015 lleva camino de dejar muy atrás ese aumento. Y en el horizonte, el Internet de las cosas, el nuevo paradigma tecnológico que aspira a conectar todos los objetos a la red. Un mundo futuro con millones de nuevas ventanas por tapiar.
Fuente: El Pais.com

BATERIAS TESLA. Tenerlas en España, una opción cara y difícil

 "El suministro de energía eléctrica constituye un servicio de interés económico general, pues la actividad económica y humana no puede entenderse hoy en día sin su existencia. La ordenación de ese servicio distingue actividades realizadas en régimen de monopolio natural y otras en régimen de mercado". Así comienza la Ley 24/2013, de 26 de diciembre, del sector eléctrico.
La presentación de las baterías Tesla (Powerwall) que permitirían a un hogar no abastecerse completamente de energía, pero sí abaratar la factura ya que se podría hacer uso de ellas durante los picos de consumo, pone sobre la mesa la regulación sobre el autoconsumo energético en España y plantaeron las siguientes cuestiones: 
¿Permitiría la ley tener este tipo de baterías en un hogar? ¿Habría que pagar por ellas? 
  • El desarrollo del autoconsumo como fuente alternativa de generación de electricidad al margen del sistema eléctrico requiere la regulación de una actividad que no tenía hasta la fecha un marco legal y reglamentario específico. Por ello, "la ley establece la obligación de las instalaciones de autoconsumo de contribuir a la financiación de los costes y servicios del sistema en la misma cuantía que el resto de los consumidores".
  • Según la legislación española, "se entenderá por autoconsumo el consumo de energía eléctrica proveniente de instalaciones de generación conectadas en el interior de una red de un consumidor o a través de una línea directa de energía eléctrica asociadas a un consumidor".
  • La Ley 24/2013 del sector eléctrico establece varias modalidades para regular el autoconsumo. Sin embargo, el Gobierno trabaja en una modificación que diferencia sólo entre dos modalidades. Una para consumidores, que sería para aquellas personas que dispusieran de una instalación de generación, destinada al consumo propio, conectada en el interior de la red de su punto de suministro y que no estuviera ni hubiera estado con anterioridad dado de alta en el correspondiente registro como instalación de producción. En esta modalidad se incluirían las baterías Tesla. Mientras que la segunda modalidad sería para aquellas que sí figuren en el registro correspondiente.
El borrador que lo cambia todo
  • El borrador, de julio de 2013 y que el Gobierno espera aprobar antes del verano, establece que la ley se aplicará a los consumidores que instalen en su casa un sistema de consumo propio que potencia instalada igual o inferior a la potencia contratada y en ningún caso superior a los 100 kW. Por el momento, las Powerwall son de dos tipos de de 7kWh y de 10 kWh, dando la posibilidad de unir hasta 9 Powerwall, con lo que se tendría una capacidad de 90 kWh con lo que estaría dentro de la Ley.
  • Si nos atenemos a la regulación existente, todos los consumidores sujetos a cualquier modalidad de autoconsumo tendrán la obligación de contribuir a los costes y servicios del sistema por la energía autoconsumida, cuando la instalación de generación o de consumo esté conectada total o parcialmente al sistema eléctrico. Las baterías Tesla en principio no estarían conectadas al sistema eléctrico ya que son independientes y se cargan a través de la energía fotovoltaica que generan los paneles solares.
  • Eso sí "estarán obligados a pagar los mismos peajes de acceso a las redes, cargos asociados a los costes del sistema y costes para la provisión de los servicios de respaldo del sistema". Además habría que inscribirse en el registro administrativo de autoconsumo de energía eléctrica, creado a tal efecto en el Ministerio de Industria, Energía y Turismo.
Toca pagar los peajes
  • Sin embargo, el borrador que modificaría en parte esta Ley, especifica mucho más esos llamados peajes. De hecho, establece que la instalación de producción deberá satisfacer los peajes de acceso a las redes de transporte y distribución que deben satisfacer los productores de energía eléctrica.
  • "La energía adquirida por el consumidor a su empresa comercializadora, será obtenida a partir de los saldos netos horarios que se tengan como sumas parciales de las medidas horarias de producción y consumo", establece el borrador. Esto es, que el consumidor deberá pagar, por un lado, por la energía consumida procedente de la instalación de generación conectada en el interior de su red el peaje de respaldo, que lo determina el Ministerio de Industria. Y por otro, por el resto de la "energía consumida deberá pagar el peaje de acceso y otros precios que resulten de aplicación de acuerdo a la normativa en vigor ".
  • En definitiva, pese a que pueda parecer que con el autoconsumo que proporcionarían dichas baterías, el consumidor podría ahorrarse algo en la factura, lo cierto es que la Ley ya se encarga de establecer los pagos que no supongan una 'inestabilidad' económica dentro del sector.
  • De hecho, en la factura habría una partida para costear ese autoconsumo. Se realizará una lectura de la energía por parte de la empresa distribuidora que será puesta a disposición de la empresa comercializadora incluyendo los saldos netos horarios con los que se procederá a realizar la facturación. La empresa comercializadora procederá a facturar el suministro con modalidad de autoconsumo, incluyendo la facturación del peaje de respaldo.
  • Si en algún momento, se incumpliera alguna de la normativa, el suministro eléctrico de autoconsumo sería suspendido, además del pago de una multa.
  • En resumen, todo el que produzca su propia energía tendrá que pagar por cada kWh que genere, con lo que, aunque las baterías Tesla sirven para almacenar esa energía que generan los paneles solares, en España tendrían un coste, no sólo por el producto, si no también por el hecho de tenerlo .
CONCLUSION
  • Teniendo en cuenta que en España desde 2007 el precio del kWh ha subido más de un 65%, que en el término fijo de potencia ha subido un 45% y que el término de energía ha subido alrededor de un 90%, resultando por tanto una de las tarifas eléctricas más caras de toda la Unión Europea y entonces me pregunto:
¿A quien beneficia esta nueva regulación del sector eléctrico ? Porque está claro que a los consumidores NO.
Fuente: El Mundo.es

RANSOMWARE. España sufre una oleada

La empresa de seguridad F-Secure ha detectado una nueva oleada de ramsomware que, en esta ocasión, tiene a España y a Italia como principales (y únicos) objetivos. Este malware se encuentra alojado en una nube privada (aún por identificar) y se trata de una variante mezcla de los conocidos Cryptowall y Cryptolocker.
El ransomware debe ejecutarse manualmente (ya que no hace uso de exploits para infectar al usuario automáticamente) y, una vez infectado, cifra los archivos, envía las claves de cifrado al servidor de los piratas informáticos y pide un pago económico, en Bitcoin, para poder recuperar los archivos.
Una vez más correos es el gancho de este ransomware
  • Cuando abrimos el enlace malicioso desde España la URL da varios saltos para finalmente mostrar una página web falsa de Correos desde donde hay que descargar un documento para poder recoger un paquete que se encuentra retenido en la oficina.
  • Al acceder a esta web se pide al usuario introducir un captcha (para dar credibilidad al ataque) para finalmente descargar un archivo .zip con el malware en su interior.
  • El “modus operandi” de los usuarios que accedan al enlace malicioso desde Italia probablemente será muy similar, pero tomando como gancho el servicio de mensajería de dicho país.
  • Los piratas informáticos tras esta campaña de distribución de ransomware han centrado su ataque en Italia y España, ya que cualquier usuario de otro país que intenta acceder al enlace malicioso automáticamente es redirigido a un dominio legítimo de Google, donde queda fuera del ataque.
  • Por el momento se desconocen las razones del ataque y el grupo de piratas informáticos tras él, por lo que se recomienda hacer copias de seguridad, reforzar la seguridad y prestar atención para evitar ser víctimas de este nuevo ataque.
Fuente: Redeszone.net

VENOM. Fallo de seguridad más peligroso que Heartbleed, compromete millones de servidores

Millones de servidores de todo el mundo se han visto expuestos a la vulnerabilidad Heartbleed desde hace ya varios meses, sin embargo, hace algunas horas ha aparecido en la red un nuevo fallo de seguridad que probablemente suponga un peligro aún mayor para los servidores de todo el mundo: VENOM.
Qué es y cómo funciona VENOM
  • VENOM es un acrónimo de Virtual Environment Neglected Operations Manipulation. Este fallo de seguridad lleva presente en los servidores más de 11 años y permite a un usuario que lo explote correctamente salir de los límites de una máquina virtual (en un centro de servidores, por ejemplo) y llegar a ejecutar código en la máquina real, acceder a otras máquinas virtuales del mismo servidor e incluso acceder a otras zonas de la red de datos.
  • El responsable directo de este fallo de seguridad es el controlador de “floppy” o “disquetes” que permite utilizar estos obsoletos dispositivos de almacenamiento en las máquinas virtuales. Una vez más, un software obsoleto que no debería estar presente en los servidores actuales ha sido el responsable de comprometer la seguridad de más del 95% de los servidores de todo el mundo.
Recursos afectados
Los principales sistemas operativos que se han visto afectados por este fallo de seguridad son:
  1. RHEL (Red Hat Enterprise Linux) 5.x/6.x/7.x
  2. CentOS Linux 5.x/6.x/7.x
  3. OpenStack 4 y 5 para RHEL 6
  4. OpenStack 5 y 6 para RHEL 7
  5. Red Hat Enterprise Virtualization 3
  6. Debian y distribuciones basadas en ella.
  7. SUSE Linux Enterprise Server 5, 6, 7, 10, 11, 12 (con sus respectivos Service Pack)
  8. Ubuntu 12.04, 14.04, 14.10 y 15.04
Cómo protegerse de VENOM
  • Para solucionar este fallo de seguridad simplemente debemos instalar los parches de seguridad más recientes de nuestro sistema operativo tecleando el correspondiente comando (por ejemplo “sudo apt-get clean && sudo apt-get update && sudo apt-get upgrade” en el caso de Debian y Ubuntu) y actualizar si usamos VirtualBox a la última versión disponible (4.3). Cabe destacar que no es necesario reiniciar el servidor para solucionar este fallo de seguridad aunque sí habrá que reiniciar las máquinas virtuales en uso.
  • Este fallo de seguridad se le ha asignado el  CVE-2015-3456. La vulnerabilidad sólo afecta a las máquinas virtuales creadas con QEMU, XEN, KVM y Citrix. Ni la virtualización de Microsoft Hyper-V ni la de VMWare ni BOCHS se han visto afectadas por VENOM.
Fuente: VENOM Crowdstrike

MICROSOFT. Publica 13 boletines de seguridad

Este martes Microsoft ha publicado 13 boletines de seguridad (del MS15-043 al MS15-055) correspondientes a su ciclo habitual de actualizaciones. 
Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico" mientras que los 10 restantes son "importantes". En total se han solucionado 48 vulnerabilidades.
  • MS15-043: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 22 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada.
  • MS15-044: Boletín "crítico" que resuelve dos vulnerabilidades en Microsoft Windows,.NET Framework, Office, Lync y Silverlight, por el tratamiento de fuentes OpenType y TrueType (CVE-2015-1670 y CVE-2015-1671).
  • MS15-045: Boletín "crítico" que resuelve seis vulnerabilidades que podrían permitir la ejecución remota de código si se abre un archivo Journal específicamente creado (CVE-2015-1675, CVE-2015-1695 al CVE-2015-1699). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  • MS15-046: Boletín considerado "importante" que resuelve dos vulnerabilidades que podrían permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2015-1682 y CVE-2015-1683).
  • MS15-047: Destinado a corregir diversas vulnerabilidades "importantes" (agrupadas en un único CVE-2015-1700) en SharePoint Server que podría permitir la ejecución remota de código si un atacante envía una página específicamente creada a un servidor SharePoint. Afecta a Microsoft SharePoint Server 2007, 2010 y 2013.
  • MS15-048: Este boletín está calificado como "importante" y soluciona dos vulnerabilidades en Microsoft .NET Framework que podrían permitir a un atacante elevar sus privilegios (con CVE-2015-1672 y CVE-2015-1673). Afecta a Microsoft .NET Framework 1.1, 2.0, 3.5 y 4.*.   
  • MS15-049: Destinado a corregir una vulnerabilidad considerada "importante" (CVE-2015-1715) en Silverlight 5 que podría permitir a un atacante elevar sus privilegios si se ejecuta una aplicación Silverlight específicamente creada en un sistema afectado.
  • MS15-050: Este boletín está calificado como "importante" y soluciona una vulnerabilidad (CVE-2015-1702) de elevación de privilegios en Windows Service Control Manager (SCM). Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  • MS15-051: Boletín de carácter "importante" destinado a corregir seis vulnerabilidades de divulgación de información sensible a través del controlador modo kernel de Windows (CVE-2015-1676 al  CVE-2015-1680 y CVE-2015-1701). Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  • MS15-052: Destinado a corregir una vulnerabilidad "importante" (CVE-2015-1674) cuando el kernel de Windows falla al validar adecuadamente una dirección de memoria, lo que permitiría a un atacante obtener información que podría facilitar evitar la protección Kernel Address Space Layout Randomization (KASLR). Afecta a Windows 8 (y 8.1) y Windows Server 2012.
  • MS15-053: Este boletín está calificado como "importante" y soluciona dos vulnerabilidades (con CVE-2015-1684 y CVE-2015-1686) en los motores JScript y VBScript que podrían permitir a un usuario evitar la protección ASLR (Address Space Layout Randomization). Afecta a Windows Server 2003, Windows Vista y Windows Server 2008.
  • MS15-054: Destinado a corregir una vulnerabilidad considerada "importante" en el tratamiento de archivos .msc que podría permitir a un atacante provocar condiciones de denegación de servicio (CVE-2015-1681). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  • MS15-055: Boletín considerado "importante" que resuelve una vulnerabilidad (CVE-2015-1716) que podría en Secure Channel (Schannel) al permitir el uso de una llave Diffie-Hellman efímera (DFE) de 512 bits (considerada débil) en una sesión TLS. Permitir el uso de este tipo de llaves debilita el intercambio de llaves y lo hace vulnerable a diversos ataques. Se ha incrementado la longitud mínima de las llaves DHE a 1.024 bits.
Recomendación
  • Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Fuente: Hispasec

ADOBE. Actualizaciones de seguridad para Adobe Reader, Acrobat y Flash Player

Adobe ha publicado dos boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 52 vulnerabilidades en Flash Player, Adobe Reader y Acrobat.
Flash Player

  • Para Adobe Flash Player se ha publicado el boletín APSB15-09 que soluciona 18 vulnerabilidades en total.
  • Cuatro vulnerabilidades de corrupción de memoria (CVE-2015-3078, CVE-2015-3089, CVE-2015-3090, CVE-2015-3093), una vulnerabilidad por uso después de liberar (CVE-2014-2080), un desbordamiento de búfer (CVE-2014-3088), un desbordamiento de entero (CVE-2014-3087) y tres vulnerabilidades de confusión de tipos (CVE-2015-3077, CVE-2015-3084, CVE-2015-3086). Todas ellas podrían permitir la ejecución de código.
  • Por otra parte, una condición de carrera por una vulnerabilidad de tiempo de Comprobación tiempo de uso (TOCTOU) que podría permitir evitar el Modo Protegido de Internet Explorer (CVE-2015-3081). Tres problemas de saltos de validación que podrían permitir escribir datos arbitrarios en el sistema de archivos bajo los permisos del usuario (CVE-2015-3082, CVE-2015-3083, CVE-2015-3085). Vulnerabilidades de pérdida de memoria que podrían permitir evitar la protección ASLR (CVE-2015-3091, CVE-2015-3092). Y por último, una vulnerabilidad de salto de medidas de seguridad que podría permitir la obtención de información sensible (CVE-2015-3079).
  • Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  1. Flash Player Desktop Runtime 17.0.0.188
  2. Flash Player Extended Support Release 13.0.0.289
  3. Flash Player para Linux 11.2.202.460

 Igualmente se ha publicado la versión 17.0.0.188 de Flash Player para Internet Explorer y Google Chrome. Y la versión 17.0.0.172 de AIR Desktop Runtime y el AIR SDK
Adobe Reader y Acrobat
  • Por otra parte, para Adobe Reader y Acrobat (boletín APSB15-10) se han solucionado 34 vulnerabilidades que afectan a las versiones X (10.1.13 y anteriores) y XI (11.0.10 y anteriores) para Windows y Macintosh.
  • Esta actualización soluciona cinco vulnerabilidades de uso después de liberar memoria, dos desbordamientos de búfer, un desbordamiento de entero y 10 problemas de corrupción de memoria; todos podrían permitir la ejecución de código.
  • También se resuelve una vulnerabilidad de fuga de memoria, varios métodos para evitar restricciones de ejecución en la API javascript y una denegación de servicio por desreferencia de puntero nulo. Por último, se proporciona protección adicional contra la vulnerabilidad CVE-2014-8452, de fuga de información por el tratamiento de entidades externas XML. Los CVE asociados son: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161 y CVE-2015-3046 al CVE-2015-3076.
  • Adobe ha publicado las versiones 11.0.11 y 10.1.14 de ambos productos, las cuales solucionan los fallos vulnerabilidad descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
Más información:
Fuente: Hispasec

FIREFOX. Mozilla lanza la versión 38 del navegador que soluciona 14 vulnerabilidades

La Fundación Mozilla ha anunciado la publicación de la versión 38 de Firefox, junto con 13 boletines de seguridad que corrigen hasta 14 vulnerabilidades en la nueva versión de su navegador (algunas de ellas también afectan al gestor de correo Thunderbird).
Detalle de la actualización
 Los boletines de seguridad, desde MFSA2015-46 hasta MFSA2015-58, incluyen cinco de carácter crítico y otros tantos importantes, además de tres de importancia moderada y baja. Los errores que corrigen son los siguientes:
  • MFSA2015-46: dos errores de corrupción de memoria que podrían permitir la ejecución de código arbitrario (CVE-2015-2708 y CVE-2015-2709).
  • MFSA2015-47: un desbordamiento de memoria en Gstreamer al reproducir vídeo en formato H.264. Afecta únicamente a sistemas Linux (CVE-2015-0797).
  • MFSA2015-48: un error en SVGTextFrame al procesar gráficos SVG en combinación con determinados estilos CSS que podría conducir a la ejecución de código (CVE-2015-2710).
  • MFSA2015-49: error al ignorar las políticas de referencia (etiqueta ) cuando se abre un enlace desde el menú contextual o con el botón central del ratón (CVE-2015-2711).
  • MFSA2015-50: una lectura y escritura en memoria fuera de límites en 'asm.js' durante la validación de código JavaScript que podría permitir la ejecución de código arbitrario y revelación de información sensible (CVE-2015-2712).
  • MFSA2015-51: error en SetBreaks al acceder a objetos en memoria previamente liberada cuando la opción de texto en modo vertical se encuentra activada. Esto podría permitir la ejecución de código remoto  (CVE-2015-2713).
  • MFSA2015-52: error en Fennec al revelar información sensible de 'logcat' codificada en la URL. Esta vulnerabilidad con identificador CVE-2015-2714, solo afecta a sistemas Android 4.0 o anteriores.
  • MFSA2015-53: otro fallo de seguridad de uso de memoria tras liberación que podría permitir la ejecución de código remoto (CVE-2015-2715).
  • MFSA2015-54: un desbordamiento de memoria al procesar contenido XML comprimido que podría derivar en la ejecución de código (CVE-2015-2716).
  • MFSA2015-55: un desbordamiento de enteros en la librería 'libstagefright' cuando se procesan determinados metadatos en ficheros de vídeo MP4 podría posibilitar la ejecución de código (CVE-2015-2717).
  • MFSA2015-56: una falta de políticas de seguridad en el módulo 'WebChannel.jsm' al comprobar la procedencia de los mensajes 'webchannel' (CVE-2015-2718).
  • MFSA2015-57: un error en la implementación de 'Inter-process Communication' (ICP) al no existir validación de las comunicaciones entre procesos. Este fallo de seguridad, presente únicamente en sistemas Microsoft Windows, podría ser aprovechado para elevar privilegios (CVE-2011-3079).
  • MFSA2015-58: falta de comprobación de la ruta de 'updater.exe' al realizar una actualización que podría permitir una elevación de privilegios en sistemas Microsoft Windows (CVE-2015-2720).
Recomendación
  •  La versión 38 de Firefox, que corrige todas las vulnerabilidades anteriormente comentadas, se encuentra disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
Más información:
Fuente: Hispasec

WIRESHARK. Actualizaciones de seguridad

Wireshark Foundation ha publicado siete boletines de seguridad que solucionan un total de ocho vulnerabilidades en las ramas 1.10 y 1.12.
 Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Detalle de la actualización
  •  Todos los errores de seguridad corregidos podrían llegar a provocar condiciones de denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados.
  •  Las vulnerabilidades residen en el disector 'LBMR' (CVE-2015-3808 y CVE-2015-3809), en el disector WebSocket (CVE-2015-3810), en el disector 'WCP' (CVE-2015-3811), en el disector X11 (CVE-2015-3812), en el reensamblado de paquetes (CVE-2015-3813), en el disector 'IEEE 802.11' (CVE-2015-3814) y en el tratamiento de archivos Logcat de Android (CVE-2015-3815).
  •  Las vulnerabilidades se han solucionado en las versiones 1.10.14 y 1.12.5 ya disponibles para su descarga desde la página oficial del proyecto.
Más información:
Fuente: Hispasec

MOODLE . Múltiples vulnerabilidades

Moodle ha publicado ocho alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde los habituales cross-site scripting hasta obtención de información sensible o evitar controles de seguridad. Se ven afectadas las ramas 2.8, 2.7 y 2.6
 Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Detalle de la actualización
  •  Se han publicado ocho boletines de seguridad (del MSA-15-0018 al MSA-14-0025), y tienen asignados los identificadores comprendidos del CVE-2015-3174 al CVE-2015-3581. Dos de ellos son considerados como serios y el resto como de gravedad menor. Las vulnerabilidades podrían permitir ataques Cross Site Scripting (XSS), revelar información sensible o saltar controles de seguridad.
  • Las versiones 2.9, 2.8.6, 2.7.8 y 2.6.11 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle (http://download.moodle.org/)
Más información:
Fuente: Hispasec

GOOGLE. Lanza Chrome 43 y corrige 37 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 43. Se publica la versión 43.0.2357.65 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 37 nuevas vulnerabilidades.
Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 37 nuevas vulnerabilidades, solo se facilita información de 14 de ellas (seis de gravedad alta, seis clasificados como media y dos de nivel bajo).
Detalle de la actualización
  •  Escape de la Sandbox en Chrome. También se solucionan vulnerabilidades por uso después de liberar memoria en WebAudio, SVG, Speech y WebRTC. Salto de políticas de orígenes cruzados en DOM y en Editing. Desbordamiento del contenedor en SVG. Parámetro de tamaño negativo en Libvpx. Valor sin inicializar en PDFium. Falsificación de la barra de direcciones. Un valor sin inicializar en Blink. Descarga insegura del diccionario del corrector ortográfico y un Cross-site scripting en los marcadores. Los CVE asignados van del CVE-2015-1251 al CVE-2015-1264.
  •  También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1265). Así como múltiples vulnerabilidades en V8 en la rama de 4.3 (actualmente 4.3.61.21).
Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 38.337 dólares en recompensas a los descubridores de los problemas.
Recomendación
  •  Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

RED HAT. Buffer overflow en el kernel

Se ha encontrado una vulnerabilidad en el kernel de Red Hat que podría permitir un ataque de denegación de servicio, y probablemente elevación de privilegios, catalogada de Importancia: 4 - Alta
Recursos afectados
  1. Red Hat Enterprise Linux Desktop (v. 7)
  2. Red Hat Enterprise Linux HPC Node (v. 7)
  3. Red Hat Enterprise Linux Server (v. 7)
  4. Red Hat Enterprise Linux Workstation (v. 7)
Detalle e Impacto de la vulnerabilidad
  • Se puede producir un buffer overflow aprovechando la forma en que la funcionalidad de descifrado en modo RFC4106 GCM maneja los paquetes fragmentados en los kernel de linux optiizados para las instrucciones AES-NI de Intel.
  • Se ha reservado el identificador CVE-2015-3331 para esta vulnerabilidad.
Recomendación
  • Actualizar los paquetes del sistema.
Más información
Fuente: INCIBE

CISCO TELEPRESENCE. Descubiertas múltiples vulnerabilidades en

Cisco ha identificado varias vulnerabilidades en productos Cisco TelePresence, que pueden permitir la evasión de los mecanismos de autenticación, denegación de servicio y ejecución de comandos remotos, catalogados de Importancia: 4 - Alta
Recursos afectados
Las vulnerabilidades de sorteo de autenticación y denegación de servicio en Cisco TelePresence TC y TE afectan a los siguientes sistemas:
  1. Cisco TelePresence MX Series
  2. Cisco TelePresence System EX Series
  3. Cisco TelePresence Integrator C Series
  4. Cisco TelePresence Profiles Series
  5. Cisco TelePresence Quick Set Series
  6. Cisco TelePresence System T Series
  7. Cisco TelePresence VX Clinical Assistant
La vulnerabilidad de inyección de comandos afecta a los siguientes sistemas:
  1. Cisco TelePresence Advanced Media Gateway Series
  2. Cisco TelePresence IP Gateway Series
  3. Cisco TelePresence IP VCR Series
  4. Cisco TelePresence ISDN Gateway
  5. Cisco TelePresence MCU 4200 Series
  6. Cisco TelePresence MCU 4500 Series
  7. Cisco TelePresence MCU 5300 Series
  8. Cisco TelePresence MCU MSE 8420
  9. Cisco TelePresence MCU MSE 8510
  10. Cisco TelePresence Serial Gateway Series
  11. Cisco TelePresence Server 7010
  12. Cisco TelePresence Server MSE 8710
  13. Cisco TelePresence Server on Multiparty Media 310
  14. Cisco TelePresence Server on Multiparty Media 320
  15. Cisco TelePresence Server on Virtual Machine
Detalle e Impacto de las vulnerabilidades detectadas
Se ha detectado y corregido una vulnerabilidad que permite la evasión de mecanismos de autenticación en Cisco TelePresence TC and TE Software, lo cual se puede utilizar para acceder al sistema con privilegios de root.
También se ha detectado y corregido una vulnerabilidad en Cisco TelePresence TC and TE Software que puede utilizarse para provocar una denegación de servicio.
  • Se ha reservado el identificador CVE-2015-0722 para ambas vulnerabilidades.
Cisco ha detectado y corregido también una vulnerabilidad en productos Cisco TelePresence que permite la inyección de comandos arbitrarios de forma remota.
  • Se ha reservado el identificador CVE-2015-0713.
Recomendación
  • Cisco ha publicado actualizaciones gratuitas que resuelven las vulnerabilidades detectadas. Se recomienda consultar con los proveedores del servicio de mantenimiento para obtener información detallada sobre cómo aplicarlas.
Más información
Fuente: INCIBE

SAP. Múltiples vulnerabilidades en los algoritmos de compresión LZC/LZH

Los productos de SAP que hacen uso de una implementación propia de los algoritmos de compresión LZC yLZH contienen vulnerabilidades que pueden ser usadas para provocar la ejecución de código arbitrario y una denegación de servicio, catalogadas de Importancia: 5 - Crítica
Recursos afectados
Los paquetes afectados son:
  1. SAP Netweaver Application Server ABAP.
  2. SAP Netweaver Application Server Java.
  3. SAP Netweaver RFC SDK.
  4. SAP RFC SDK.
  5. SAP GUI.
  6. SAP MaxDB database.
  7. SAPCAR archive tool.
Detalle e Impacto de la vulnerabilidad
Los fallos identificados son los siguientes:
  • Desbordamiento de búfer basado en pila al descomprimir con el algoritmo LZC. Se ha reservado el identificador CVE-2015-2282.
  • Vulnerabilidad de lectura fuera de límites al descomprimir con el algoritmo de LZH. Se ha reservado el identificador CVE-2015-2278.
  • Ambos fallos pueden ser utilizados para realizar ataques contra componentes tanto en el lado servidor como en el lado cliente, así como ataques man-in-the-middle.
Recomendación
  • Los usuarios registrados pueden acceder a información detallada sobre el parche en el portal de soporte de SAP.
Más información
Fuente: INCIBE

Actualizaciones de PHP 5.6.9, 5.5.25 y 5.4.41

PHP ha publicado sus nuevas versiones 5.6.9, 5.5.25 y 5.4.41, que corrigen fallos en distintos componentes del software, incluido el core, catalogada de Importancia: 4 - Alta
Recursos afectados
  • Versiones de la rama 5.6 anteriores a la 5.6.9
  • Versiones de la rama 5.5 anteriores a la 5.5.25
  • Versiones de la rama 5.4 anteriores a la 5.4.41
Detalle e Impacto potencial de las vulnerabilidades corregidas
  • Las actualizaciones resuelven múltiples errores, entre los que destacan varios fallos de segmentación, un desbordamiento de búfer, una denegación de servicio remota y el problema de la regresión en 5.4+, vulnerabilidad que tenía asignado el identificador CVE-2006-7243.
Recomendación
  1. Los sistemas de la rama 5.6 deben actualizar a la 5.6.9
  2. Los sistemas de la rama 5.5 deben actualizar a la 5.5.25
  3. Los sistemas de la rama 5.4 deben actualizar a la 5.4.41
Más información
Fuente: INCIBE

PHPMYADMIN. Detectadas dos importantes nuevas vulnerabilidades

Se ha descubierto que algunas de las últimas versiones de phpMyAdmin tienen dos importantes fallos de seguridad. 
phpMyAdmin es una herramienta ampliamente utilizada por los administradores de sistemas y de bases de datos para manejar la administración de MySQL a través de una sencilla interfaz web. Esta software puede crear y eliminar bases de datos así como crear, eliminar, modificar o editar cualquier tabla, es decir, es capaz de administrar totalmente una base de datos MySQL.
Detalle e Impacto de vulnerabilidades
  • La primera vulnerabilidad corresponde a una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF), si un usuario es engañado para acceder a una URL específicamente manipulada, sería posible modificar el fichero de configuración que se generó en el proceso de instalación. Este fallo no ha sido catalogado como crítico porque sólo afecta a dicho proceso de generación, y no al fichero de configuración que se está utilizando en la herramienta. Os recomendamos visitar la página web oficial de phpMyAdmin donde encontraréis toda la información sobre esta vulnerabilidad.
  • La segunda vulnerabilidad está relacionada con la llamada de la API a GitHub, mediante este fallo es posible llevar a cabo un ataque MITM (Man In The Middle), esta vulnerabilidad es más importante que la anterior ya que no sólo se interceptaría la información sino que también podría ser cambiada. Os recomendamos visitar la página web oficial de phpMyAdmin donde encontraréis toda la información sobre esta vulnerabilidad.
Versiones phpMyAdmin afectadas
Las versiones afectadas son las siguientes:
  • phpMyAdmin 4.0.X anterior a la version 4.0.10.10
  • phpMyAdmin 4.2.X anterior a la version 4.2.13.3
  • phpMyAdmin 4.3.X anterior a la version 4.3.13.1
  • phpMyAdmin 4.4.X anterior a la version 4.4.6.1
Recomendación
Actualizar cuanto antes a la versión que corresponda de las siguientes, para evitar que un atacante explote dichos fallos.
Actualmente ya se encuentran disponibles las últimas versiones de phpMyAdmin que corrigen estos fallos de seguridad, las versiones que no tienen estos fallos son:
  • phpMyAdmin 4.0.10.10 y posteriores
  • phpMyAdmin 4.2.13.3 y posteriores
  • phpMyAdmin 4.3.13.1 y posteriores
  • phpMyAdmin 4.4.6.1 y posteriores
Fuente: INCIBE

GOOGLE. Permitirá la compra directa en su avance hacia el ecommerce

Google está dando pasos de gigante en el comercio online y, aunque no pretende convertirse en un Amazon o un eBay, podría convertirse en una seria amenaza para éstos, especialmente para las búsquedas a través de móvil.
Según ha publicado el diario «The Wall Street Journal», el buscador está incorporando el botón «Compra en Google» a los resultados patrocinados de las búsquedas a través de «smartphones» -teléfonos móviles inteligentes-.
Con esta práctica se acerca peligrosamente al territorio de los dos buques insignia del comercio electrónico (ecommerce, por su denominación anglosajona) aunque, y si sigue dando pasos como los que está dando actualmente, también podría echar a perder las relaciones de Google con otros minoristas online que pagan al buscador por primar sus resultados en las búsquedas. Aunque por el momento, ni Google ni ninguno de sus patrocionadores, como el estadounidense Macy's, han confirmado ni desmentido estos términos.
A través del nuevo botón de compra, Google se convierte en el intermediario entre el usuario y el vendedor. Cuando un usuario pinche en dicho botón, irá a una nueva ventana con la información del producto con el «branding» del vendedor y donde el usuario tendrá las mismas opciones que si hubiera entrado directamente por la web móvil de la tienda online. En ese momento podrá finalizar la compra.
Este el el último paso de Google para mejorar la experiencia búsqueda desde móviles, ya que desde el año pasado ha estado añadiendo más y más aplicaciones de Android a sus resultados, mostrando a los usuarios aplicaciones que no tienen instaladas y que guardan relevancia con su búsqueda, primando a aquellas páginas optimizadas para móvil.
Aunque los más preocupados no son precisamente Amazon ni eBay, sino las tiendas online con las que tiene acuerdos firmados de anuncios patrocinados que temen convertirse en el panel de administración de la experiencia comercial del buscador con los usuarios comprando en la nueva interfaz de Google en vez de la suya y perdiendo todo ese tráfico que hasta ahora les ha pertenecido. Este tráfico es también, junto al beneficio económico, algo que preocupa a Google ya que los usuarios de móvil están migrando hacia las aplicaciones como Amazon en vez de seguir comprando en las páginas webs de las tiendas.
Para mitigar la preocupación de los minoristas, Google les seguirá dando la misma información de los usuarios que les venía dando hasta ahora como si hubieran realizado la compra en sus webs (nombre, dirección, correo electrónico, etc...) excepto la información de pago, que el buscador se guardará para sí mismo.

Fuente: Abc.es

EE.UU. Samsung violó varias patentes de Apple, según un Tribunal de apelaciones .

No obstante, considera que no copió la imagen en conjunto del iPhone, lo que podría reducir el importe de la multa a pagar por la empresa surcoreana
Apple presentó la demanda contra Samsung en 2011
  • Un tribunal federal de apelaciones de EE.UU. sostuvo hoy que Samsung violó varias patentes de Apple pero no la imagen en conjunto del iPhone, lo que podría reducir el importe de la multa a pagar por la empresa surcoreana.
  • El tribunal, que se encarga de supervisar litigios relacionados con patentes, reafirmó así el veredicto de un jurado federal que concluyó, en agosto de 2012, que varios dispositivos de Samsung habían violado patentes de Apple.
  • Con todo, el hecho de que el tribunal no considerase que Samsung copió la imagen en conjunto del teléfono inteligente de Apple iPhone promete reducir la compensación prevista inicialmente en 930 millones de dólares.
  • Samsung había solicitado que la multa se redujese en 382 millones de dólares al aducir que sus teléfonos no eran una réplica del iPhone.
  • Apple presentó una demanda contra Samsung en 2011 acusándola de violar patentes relacionadas con el diseño de sus dispositivos móviles. La empresa de la manzana ganó el juicio en agosto de 2012, en el que un jurado federal determinó que Samsung debería de pagarle 1.050 millones de dólares en daños.
  • Tras varias revisiones por los tribunales, el montó quedó fijado en 930 millones de dólares, cifra que será evaluada nuevamente tras el veredicto de hoy.
Fuente: Abc.es

GOOGLE. Privilegia los mensajes de Twitter en las búsquedas en el móvil

Twitter y Google se dan la mano. Móvil y social, la combinación más deseada en Internet. El contenido de la red social aparecerá en la parte superior de los resultados en el móvil.
 El buscador ha apostado por la red social como proveedor de contenido en tiempo real. Los tuits serán lo primero en aparecer cuando se busque algo en el móvil. En la parte superior, Google incluirá una selección de tuits sobre el tema buscado. En el post publicado por ambos servicios ponen como ejemplo a Taylor Swift o #MadMen como posibles temas de interés en tiempo real que se verán afectados por el acuerdo. Una selección de mensajes de Twitter, con el logo azul y el momento en que se envió aparecerá, en primer lugar, en la parte superior de la pantalla del móvil.
El estreno es solo en inglés y en Estados Unidos, de manera paulatina, pero ambos han dejado clara su intención de hacerlo extensivo al resto de idiomas y países. Tanto en la aplicación para los aparatos de Apple y Android, como en el navegador.
El siguiente paso, no confirmado, podría ser un integración más profunda en Google Now! el servicio que combina predicción con inteligencia artificial para obtener información a medida. Sirve para contestar preguntas, como el Siri de Apple, pero también para tener de un vistazo las últimas noticias, datos del tiempo o resultado de competiciones deportivas.
Este acuerdo mueve un pilar muy importante, el del posicionamiento en buscadores. Millones de búsquedas cambian de lugar a partir de este momento. En este aspecto, Twitter gana un poder que hasta ahora era efímero y ofrece una visibilidad enorme para usuarios individuales. El algoritmo, de algún modo, pasará a ponderar también el poder de las cuentas de Twitter, ya sean de marcas, medios o personales. Hasta ahora Klout era una de las herramientas más populares de medición de relevancia, no oficial, pero con gran confianza por parte de la industria.
A diferencia de Facebook, que ha llegado a acuerdos con medios para la distribución de contenidos, Twitter y Google se convierten en intermediarios y difusores al margen de los productores y creadores.
Este acuerdo no hace más que multiplicar los rumores de compra por parte de Google. El buscador no termina de adentrarse en el mundo social a pesar de sus esfuerzos con Google+. El pájaro azul tiene dificultades para mantener el ritmo de crecimiento, obtener ingresos y hacer que el contenido más relevante brille.
Otro cambio que se espera en Google, seguramente oficial la semana que viene durante su conferencia anual, será la inclusión de un botón de compra directa en búsquedas en el móvil. Será a través de un página intermedia, consensuada con el vendedor para agilizar la venta y reducir el número de clics hasta que se hace la transacción. El principal damnificado de esta novedad sería Amazon, líder en comercio electrónico.
Fuente: El Pais.com

MALWARE. Distribuyen nuevo ransomware basado en Breaking Bad

Un nuevo ransomware está causando estragos en Australia y otros  países. Este ransomware, al igual que otros, cifra los datos personales de sus víctimas y pide un pago de 450 dólares australianos por recuperarlos o 1000 dólares australianos si se pasa el plazo inicial. En la pantalla de información del malware se puede ver el logotipo de “Los pollos hermanos”, conocida franquicia de comida rápida de la popular serie Breaking Bad.
Igualmente la dirección de correo electrónico de información se basa en una frase de uno de los personajes de la serie.
A parte de la temática este ransomware no es mucho más diferente de cualquier otro: tras infectar a sus víctimas comienza a cifrar todos los archivos de audio, vídeo, imágenes y documentos con un algoritmo AES y posteriormente con una clave pública RSA. Este ransomware se distribuye a través de ficheros .zip que, al abrirlo, ejecuta un script PENALTY.VBS encargado de descargar e instalar el malware en el sistema. También abre un documento pdf genuino para evitar levantar sospechas.
Como dato curioso queda indicar que los piratas informáticos han grabado un vídeo sobre cómo realizar el pago en Bitcoin y lo han subido a YouTube para que los usuarios víctimas de Los Pollos Hermanos puedan pagar, si así lo desean, y recuperar sus datos.
Para finalizar queremos recordar que la mejor forma de protegerse frente a este tipo de amenazas es siempre hacer copias de seguridad de todos los archivos y que nunca debemos pagar el rescate ya que en ocasiones anteriores algunos usuarios han pagado, han perdido el dinero y no han recuperado los datos.
Fuente: Symantec

MALWARE. Distribuyen troyano bancario por medio de una base de datos SQL

La última amenaza detectada distribuye malware haciendo uso de una base de datos de Microsoft SQL. Hasta el momento el principal foco de infección ha sido Brasil aunque esto cambiará rápidamente.
Lo que queremos decir es que los hackers ya han adoptado esta vía de distribución malware y ha comenzado a aplicarse en otros países del mundo, afectando en la actualidad además del país sudamericano a Estados Unidos y algunos países europeos.
Todavía no se posee mucha información pero teniendo en cuenta que muchas veces este tipo de amenazas quedan asociadas a un dominio que es desde donde se realiza la descarga, parece evidente que lo que quieren conseguir es que al administrador de los equipos le sea imposible identificar la fuente de descarga del archivo.
De esta forma, la base de datos desempeña un papel fundamental ya que gracias a esta se puede conseguir el archivo final que contiene en este caso el troyano bancario que se está distribuyendo.
Los ciberdelincuentes se están sirviendo de servidores comprometidos para crear las tablas necesarias para realizar la descarga del archivo correspondiente una vez que el equipo se ha descargado el ejecutable programado en Visual Basic.
Además de la base de datos SQL, los ciberdelincuentes se valen de los correos electrónicos
  • La primera de las piezas se distribuye con la ayuda de un correo electrónico que indica un problema con la cuenta existente en una entidad bancaria. Al usuario se le insta a consultar un documento que está almacenado en un sistema de almacenamiento en la nube, utilizando Dropbox y Google Drive en esta ocasión. Una vez que el usuario ha descargado y ejecutado el archivo este se pone en contacto con una de las bases de datos y mediante un consulta con la tabla adecuada procede a la descarga del troyano bancario.
  • Este se encargará de robar las credenciales de acceso introducidas en los navegadores y desactivar aquellos complementos que se encarguen de añadir protección adicional, como por ejemplo, G-Buster.
Fuente: Softpedia

ESPAÑA. En el "dream team" del Spam

España ha estado mucho tiempo dentro de la lista de 12 países desde donde más Spam se generaba y se enviaba, sin embargo, en este primer trimestre de 2015 se ha reducido la generación se correo basura desde nuestro país, y finalmente hemos desaparecido de top12.
Tal como podemos ver en la tabla de clasificación anterior, Estados Unidos, Vietnam y Ucrania son los 3 países desde donde más correo basura se genera. China ha estado mucho tiempo entre los 3 primeros, sin embargo, en esta ocasión el correo basura de este país se ha reducido y este ha bajado hasta el sexto puesto.
Que España baje del duodécimo puesto es una buena noticia, aunque eso no significa que no estemos expuestos ante este tipo de correos basura.
¿Cómo protegerse del Spam?
  • Los piratas informáticos a través del Spam son capaces de robar nuestros datos y credenciales, distribuir malware, publicar enlaces maliciosos, atacar otras webs e incluso infectar nuestro ordenador para utilizarlo para enviar más Spam.
  • La mejor forma de protegernos frente a estos ataques es activar un buen filtro anti-spam (por ejemplo Gmail y Outlook tienen buenos filtros) y evitar siempre abrir correos electrónicos de personas desconocidas, con asuntos extraños y nunca descargar y ejecutar archivos adjuntos en el correo si no estamos 100% seguros.
Fuente: Sophos

¿Por qué Tor ha desactivado sus servicios cloud?

Los servicios cloud de la red anónima Tor han confirmado el cierre de éstos. El proyecto permitía a los usuarios compartir parte de su ancho de banda para permitir búsquedas más rápidas en la red Tor. La decisión no ha dejado indiferente a nadie y aún se desconoce cuál ha sido el motivo real que ha propiciado el cierre.
Al igualo que la red, un proyecto que permite a los usuarios a realizar búsquedas sin que sean “trackeados”, este poseía como principal fundamento la creación de un nodo a modo de puente en el servicio EC2 (propiedad de Amazon) gracias a las aportaciones de los usuarios en forma de ancho de banda, cuya finalidad final era acelerar el acceso a la red anónima.
Cuando los responsables comenzaron su implementación en el año 2011 el proyecto tuvo una gran acogida, provocando la sorpresa en muchos al anunciar el cierre.
Tal y como hemos puntualizado al comienzo, se desconocen los motivos que han llevado a los responsables a tomar esta decisión, aunque ya existen ciertos rumores con una justificación bastante fiable y que podría ser válida.
El mantenimiento habría dilapidado el servicio cloud de Tor
  • Según algunas fuentes próximas al entorno de los responsables, la decisión se habría tomado por la imposibilidad para mantener el correcto funcionamiento del servicio. Y es que todo parece apuntar que durante los últimos meses de funcionamiento esta funcionalidad cloud habría ofrecido a los hackers la posibilidad de robar los datos de los usuarios. Aunque el cierre parece definitivo, algunas informaciones dejan abierta una vuelta a la actividad si se consiguen los recursos suficientes, es decir, ayuda de un número concreto de personas.
  • Parece ser que los responsables llevan varios meses buscando personal con un resultado poco satisfactorio.
Animan a los usuarios a poner en funcionamiento sus propios nodos hacia la red Tor
  • La idea aún es muy valorada y los responsables de la red anónima han animado a los usuarios a crear sus propios nodos y ponerlos en funcionamiento para acelerar el acceso a esta.
  • La importancia que ha tomado la red Tor es incalculable, y políticos, periodistas o incluso algunas compañías se valen de esta a la hora de buscar información o enviar documentos.
Fuente: The Hacker News

TESLACRYPT. Nueva versión que utiliza la extensión .EXX para los archivos cifrados

Cuando aparece por primera vez una amenaza, casi siempre se sabe que habrá más versiones y con múltiples mejoras y variaciones. Esto es algo que ha sucedido con TeslaCrypt, ya que expertos en seguridad han encontrado una nueva copia que una vez ha procedido al cifrado de los archivos modifica la extensión original por .EXX.
Comparte muchos rasgos con AlphaCrypt, una amenaza de la que hemos hablado recientemente y que los expertos en seguridad la describen como una fusión entre CrytoWall y la que nos ocupa. El usuario no es consciente que está afectado por este malware hasta que no acude a la página y observa el texto que se adjunta al resto de información. Antes la “diversión” para los ciberdelincuentes podía ser dañar el equipo y obligar al usuario al formateo. Sin embargo, con los avances que se han producido en Internet los virus han visto como si finalidad de adaptaba a las costumbres de los usuarios y ahora son parte de las estafas.
La eliminación de TeslaCrypt no resuelve el problema
  • Muchos responsables de antivirus han confirmado que su detección y posterior eliminación del sistema es relativamente sencilla gracias a muchas herramientas de seguridad. Sin embargo, el problema al que se debe enfrentar el usuario es al cifrado de los archivos, ya que no desaparece con la eliminación de este.
  • Tal y como suele suceder, el pago de la cantidad solicitada no significa que la clave que se no suministre funcione, por lo tanto, la pérdida sería doble. Como ya sabéis y hemos repetido muchas veces, la mejor forma de combatir estos virus es gracias a copias de seguridad.
Fuente: BleepingComputer

ESET AV REMOVER. Para desinstala cualquier antivirus

ESET en febrero publicó una nueva herramienta llamada ESET AV Remover.
Aunque todos los antivirus comerciales cuentan con su correspondiente desinstalador, este en muchas ocasiones no funciona correctamente y, si intentamos borrar el software de seguridad de nuestro PC obtendremos un error, se bloqueará y en el peor de los casos el antivirus dejará de funcionar pero no podremos instalar otro al quedar “rastros” de él en el sistema.
ESET AV Remover cuenta con tres características que probablemente la conviertan en la mejor herramienta para solucionar todo tipo de problemas al desinstalar cualquier antivirus de nuestro sistema:
  • Es portable, por lo que no necesita instalación (y es gratuita).
  • Es compatible con un gran número de empresas y versiones (no sólo con los productos de ESET).
  • Permite elegir el software que queremos eliminar (al contrario de otras herramientas que borran todo lo que encuentran).
Cómo desinstalar un antivirus con ESET AV Remover
  • Podemos descargar esta aplicación desde la web principal de ESET (http://kb.eset.de/esetkb/index?page=content&id=SOLN3527#)
  • El uso de la herramienta es muy sencillo. Una vez descarguemos la versión que queremos (32 o 64 bits) lo ejecutamos y veremos una ventana de bienvenida.
  • Seguimos con el asistente y comenzará a buscar software de seguridad instalado en el sistema.
  • Una vez finalice nos mostrará una lista con las aplicaciones que ha encontrado.
  • Seleccionamos el software de seguridad que queremos eliminar y confirmamos que realmente queremos borrarlo.
  • Esperamos a que ESET AV Remover finalice las tareas necesarias y, tras varios segundos, podremos ver una ventana de resumen donde nos indica que todo se ha borrado correctamente.
Fuente: gHacks