30 de mayo de 2015

NSA. Identificados solo por la forma de escribir en nuestro smartphone

Tal como podemos leer en The Hacker News, la NSA tiene bajo su control una tecnología capaz de identificar a los usuarios según los trazados que realicen al escribir, es decir, al utilizar teclados de escritura que escriben a medida que deslizamos de dedo.
Esta nueva tecnología denominada “Mandrake” analiza de forma remota la curva de escritura, los gestos y giros que se realizan y la aceleración de los golpes que se dan sobre la pantalla al levantar y pulsar el dedo. Según afirman los expertos de seguridad estos datos son propios de cada persona y “Mandrake” es capaz de identificar a una persona sólo por ellos.
Esta nueva tecnología está basada en la “Firma dinámica” que se desarrolló en 1978 y que era capaz de identificar a personas según una firma escrita en un papel.
“Mandrake” puede ser mucho más que un sistema de vigilancia. Esta tecnología podría ser capaz de sustituir a las clásicas y cada vez más peligrosas contraseñas, aunque su implementación es más que complicada. Igualmente también podía ser utilizada como sistema de identificación biométrica para ciertos trabajos de riesgos donde el personal no puede quitarse los elementos de protección para, por ejemplo, poner la huella dactilar en un lector.
Por el momento no se sabe el uso que la NSA dará a esta tecnología ya que por el momento no se encuentra implementada en los sistemas operativo, sin embargo, ya hemos cómo la organización ha intentado llenar las tiendas de aplicaciones de su software espía y cómo tiene una gran base de datos de fallos y exploits con los que en cualquier momento podría instalar este software espía en todos los dispositivos móviles a nivel mundial en cuestión de segundos.
“Mandrake” no es el único sistema de autenticación desarrollado por organizaciones gubernamentales. Otro sistema mucho más complejo es “NGI” que incluye algunas características como la capacidad de reconocer caras, huellas dactilares, huellas de la palma de la mano, tatuajes y  la retina del usuario. Igualmente se está desarrollando un nuevo módulo para “NGI” que será capaz de reconocer la voz del usuario e incluso la forma de caminar del mismo.
Fuente: Redeszone.net

LOGJAM. El rompe cerraduras digitales

Al pilar que sostiene la privacidad de nuestras comunicaciones le ha salido una nueva grieta que vuelve a amenazar la integridad y el secreto que percibimos como seguros. Un golpe a la criptografía bautizado Logjam que demuestra (otra vez) la fragilidad de un sistema vital para la confianza.
¿ En qué consiste Logjam ?
  • A mediados de los años setenta, unos científicos propusieron un método de intercambio de claves, aunque sería más apropiado decir "método de acuerdo de clave compartida", para solucionar el problema de intercambio inicial de mensajes entre dos partes a través de un canal inseguro. El método se conoce popularmente como Diffie-Hellman, nombre derivado de sus autores: Whitfield Diffie y Martin Hellman. Según este último habría que añadir a Ralph Merkle como coautor del protocolo.
  • Entonces llegó un grupo de investigadores de varias universidades junto con gente de la división de investigación y desarrollo de Microsoft. Pensaron que sería buena idea echarle un vistazo a esa tecnología setentera y ver como aguanta los avances en potencia de cálculo y algoritmos de 2015.
  • En primer lugar se las ingeniaron para lograr un nuevo ataque que degrada las conexiones TLS al uso de Diffie-Hellman en su versión "exportable" (DHE_EXPORT). Esta versión era la que estaba autorizada en los años 90 por la administración Clinton para productos que usaran tecnología de cifrado. Cómo no, esta versión usa primos de hasta 512 bits, una longitud que veremos es insuficiente. Con este ataque, que recuerda poderosamente a FREAK, se aseguraban que las conexiones seguras de una gran mayoría de clientes y servidores usarán Diffie-Hellman con 512 bits.
  • El siguiente paso era obtener una "base de datos" de cálculos ya efectuados de los primos más usados de 512 bits para esa versión descafeinada de Diffie-Hellman. Con los recursos de cálculo de una universidad, tardaron un par de semanas en obtener estas tablas precalculadas para los dos primos de 512 bits más usados.
  • Esos dos primos de 512 bits por cierto, son los usados por el servidor Apache y su módulo SSL (mod_ssl). Como ponen de ejemplo, el 8% del índice Alexa del top 1M HTTPS permite o soporta el uso de DHE_EXPORT y usan uno de estos dos primos de 512 bits en un 92% de casos.
  • Ahora ya solo les queda "escuchar" el resultado de g^a mod p, preguntar en su base de datos y calcular 'a'. Cuando obtienen la forma derivada g^ab mod p, donde 'ab' es la clave usada ya poseen el secreto para descifrar las comunicaciones.
  • La base de este protocolo se basa en la dificultad de cálculo del logaritmo discreto de la forma g^a mod p, es decir, averiguar 'a'. Su análogo sería el problema de factorización de números primos que forma la base del algoritmo de clave pública RSA.
  • Diffie-Hellman se asienta en la forma que hemos visto: g^a mod p. Donde g y p son valores conocidos por ambas partes, es decir, no son valores secretos y pueden ser conocidos por todos. p es un número primo relativamente grande y g es una base matemáticamente relacionada con p (no vamos a profundizar en detalles). Pues bien, aun conociendo g y p, existe una dificultad computacional en hallar el exponente 'a', que es el secreto que va a añadir cada una de las partes.
  • Algo que no pasó por alto al grupo era preguntarse hasta que punto era posible utilizar la misma técnica para valores de 768 y 1024 bits. Básicamente admiten que 768 bits puede alcanzarse de manera realista con una potencia de cálculo distribuido disponible en empresas y universidades y dejan los 1024 bits para organizaciones con muy buenos recursos y dedicados a estos menesteres de manera profesional, léase, la NSA por ejemplo.
  • No solo lo mencionan en la publicación que describe Logjam. El grupo de investigadores correlacionan directamente las filtraciones de Edward Snowden con la capacidad de la NSA para descifrar comunicaciones VPN usando este tipo de ataque. 
Recomendación
  • Lo recomendable como siempre el sistema debidamente actualizado.
Más información:
Fuente: Hispasec

NUEVO MALWARE . Apaga los iPhone a través de un SMS

Apple Inc encontró un error de programación que puede hacer que los iPhones fallen cuando reciben un mensaje que contiene un secuencia específica de texto.
El problema, que incluye símbolos y caracteres arábigos, fue informado el martes por la noche por el blog de noticias de Apple MacRumors, que agregó que había sido señalado en el centro de noticias de redes sociales Reddit previamente en el día. (bit.ly/1ExFAPr)
"Estamos al tanto de un tema con iMessage provocado por unas series específicas de caracteres (...) y pondremos a disposición una reparación en una actualización de software", dijo por correo electrónico un portavoz de Apple.
Enviar un mensaje de respuesta o hacer que alguien envíe un mensaje al teléfono con el desperfecto puede resolver el problema, agregó MacRumors.
Fuente: Reuters

GOOGLE. Presenta colaboración en realidad virtual con GoPro

GoPro Inc y Google Inc presentaron el jueves un sistema de realidad virtual que utiliza 16 cámaras de video y software del gigante de Sillicon Valley.
Las cámaras portátiles de GoPro -que se pueden montar en cascos o en el cuerpo- son populares entre los aficionados a los deportes extremos, y el nuevo sistema de la compañía utilizará la tecnología Jump de Google para ayudar a crear una visión de 360 grados.
Google mostró el sistema GoPro en su conferencia de desarrolladores en San Francisco, pero no dijo cuándo saldrá a la venta el sistema.
La compañía anunció también una aplicación de fotografías que ayuda a los usuarios a almacenarlas y organizarlas. La aplicación, que será lanzada el jueves, permitirá que los usuarios respalden y almacenen una cantidad ilimitada de fotos y videos de manera gratuita, dijo Anil Sabharwal, director de gestión de productos de Google.
La aplicación facilita que los usuarios publiquen sus fotografías en las redes sociales y en servicios de mensajería como Twitter y WhatsApp.
Disponible en los sistemas iOS de Apple, Android de Google y en internet, la aplicación organiza automáticamente las fotografías de acuerdo a personas, lugares y cosas que muestran. También ayuda a crear collages y películas.
Las acciones de Google cerraron casi estables, con una baja de 7 centavos a 554,18 dólares, mientras que las de GoPro subieron un 6,6 por ciento, a 56,81 dólares.
Fuente: Reuters

INTEL. Cerca del acuerdo para comprar Altera por 16.000 millones de dólares

El gigante tecnológico Intel reanudó las negociaciones para comprar al fabricante de procesadores Altera y está cerca de alcanzar un acuerdo por 16.000 millones de dólares, dijeron el viernes personas familiarizadas con el asunto.
El precio por Altera podría ser de hasta 54 dólares por acción, lo que implicaría un premio de un 15 por ciento sobre el precio de cierre del jueves de 46,97 dólares. Eso valoraría a Altera en más de 16.000 millones de dólares, según una de las fuentes.
Las acciones de Altera subían un 4,2 por ciento a 48,96 dólares en las operaciones del viernes en Nueva York.
El acuerdo podría alcanzarse en los próximos días, aseguraron las fuentes, advirtiendo que no todo estaba seguro y pidiendo no ser identificadas debido a que las negociaciones eran confidenciales. Intel y Altera no respondieron los requerimientos para un comentario.
Altera rechazó en abril una oferta no solicitada de 54 dólares por acción de Intel después de meses de negociaciones, dijeron fuentes a Reuters en ese momento.
Intel firmó un acuerdo previamente este año con Altera que expira el 1 de junio y que le da al mayor fabricante de procesadores del mundo la opción de lanzar una oferta hostil después de eso, dijo Reuters en abril.
Avago Technologies acordó el jueves comprar Broadcom por 37.000 millones de dólares, la operación de fusión más grande la historia de los fabricantes de chips. [nL1N0YJ17B]
El New York Post informó la noche del jueves que Intel y Altera había reanudado sus negociaciones.
Fuente: Reuters

ESPAÑA .Decenas de modelos de routers de operadores tienen graves fallos de seguridad

Un grupo de investigadores de seguridad que están haciendo el Máster de Seguridad de la Universidad Europea de Madrid han descubierto graves vulnerabilidades en una gran cantidad de routers de operadores. Entre los routers afectados se encuentran fabricantes tan conocidos como Comtrend, Observa Telecom, Huawei, Astoria y Amper entre otros muchos.
Los principales fallos de seguridad que han descubierto son vulnerabilidades relacionadas con XSS (Cross Site Scripting) persistente, XSS no autenticado, CSRF (Cross Site Request Forgery), denegación de servicio, escalada de privilegios, puertas traseras, bypass de la autenticación y también el conocido fallo de UPnP que se descubrió hace algunos años y que la mayoría de fabricantes no han parcheado en las últimas versiones de firmware disponibles. Todos y cada uno de estos fallos de seguridad se han probado físicamente con los equipos.
Observa Telecom: Uno de los fabricantes más afectados
El fabricante de routers Observa Telecom es uno de los más afectados ya que no sólo tiene cuatro equipos vulnerables, sino que en muchos de ellos hay varios fallos graves de seguridad. Los modelos afectados son los siguientes:
  1. Observa Telecom AW4062
  2. Observa Telecom RTA01N
  3. Observa Telecom Home Station BHS-RTA
  4. Observa Telecom VH4032N
Los tres primeros modelos los ha proporcionado el operador Movistar a sus clientes para sus modalidades de ADSL/VDSL, el cuarto modelo lo ha proporcionado el operador Vodafone.
En el caso del AW4062 uno de los fallos de seguridad es el de XSS en varios menús de su configuración, esto podría hacer que un atacante ejecute comandos arbitrarios para poner en riesgo nuestra privacidad. También se ha encontrado una vulnerabilidad CSRF, una escalada de privilegios y una denegación de servicio. En el caso del RTA01N, además de los anteriores fallos también se ha encontrado una puerta trasera con un usuario de administrador oculto y también el conocido fallo del UPnP.
Comtrend: Otro fabricantes con múltiples routers afectados
El fabricante Comtrend es conocido por proporcionar los routers tanto a Movistar como Jazztel durante años. De hecho , los modelos afectados son los siguientes:
  1. Comtrend WAP-5813n (para FTTH)
  2. Comtrend CT-5365
  3. Comtrend AR-5387un (Jazztel ADSL)
  4. Comtrend VG-8050 (para FTTH)
  5. Comtrend 536+
El primer es el que Movistar proporciona a sus clientes con FTTH, este router es vulnerable a un XSS persistente, CSRF y también a la vulnerabilidad de UPnP. El VG-8050 también es para FTTH de Movistar y este equipo es vulnerable tanto a un XSS sin autenticación como a un XSS persistente. El resto de modelos son antiguos de ADSL2+ tanto de Movistar como de Jazztel.
Huawei tampoco se libra
  • Los modelos de routers Huawei HG553 y HG556a de Vodafone también están afectados por problemas de seguridad, en ambos modelos existe un fallo que permite a un atacante externo sin autenticación entrar en los archivos del USB conectado al router, además también se podría evadir la autenticación para entrar en el router y resetearlo para fijar los credenciales por defecto. En estos modelos tampoco falta un XSS persistente, un CSRF y el fallo del UPnP.
Más información
Fuente: Redeszone.net

SAP NETWEAVER. Elevación de privilegios

Se ha identificado una vulnerabilidad de elevación de privilegios en el componente XML Request Handle de SAP Netweaver SML, el cual afecta a la confidencialidad, integridad y disponibilidad del sistema, catalogado de Importancia: 4 - Alta
Recursos afectados
  • SAP NetWeaver AS Java
Detalle e Impacto de la vulnerabilidad
  • El problema reside en el analizador de XML que valida todas las peticiones XML con un DTD especificado por el usuario, de modo que es posible que un atacante remoto lleve a cabo una elevación de privilegios mediante el envío de peticiones TCP especialmente diseñadas a los servidores de la intranet.
  • Se ha asignado el identifiador CVE-2015-4091.
Recomendación
  • Se ha publicado un parche que corrige la vulnerabilidad. Es necesario contactar con el fabricante para obtenerlo.
Más información
Fuente: INCIBE

HP SITESCOPE. Elevación de privilegios

Se ha identificado una vulnerabilidad en HP SiteScope a través de la cual es posible llevar a cabo una elevación de privilegios remoto, catalogada de Importancia: 4 - Alta
Recursos afectados
  • HP SiteScope v11.1x, v11.2x, v11.3x.
Detalle e Impacto de la vulnerabilidad
  • El fallo, descubierto por 3S Labs working y HP's Zero Day Initiative, puede permitir a un atacante remoto obtener privilegios en el sistema afectado a través de vectores no especificados.
  • Se ha reservado el identificador CVE-2015-2120.
Recomendación
  • HP ha publicado una serie de actualizaciones que corrigen el fallo. Es posible consultar los enlaces de descarga en la siguiente página.
Más información
Fuente: INCIBE

APPLE. Lanza la primera actualización para su reloj Apple Watch

Cuando ni siquiera está presente en España, ni en la mayoría de países,  el reloj inteligente de Apple, conocido como Apple Watch, ya recibe la primera actualización de su sistema operativo (Watch OS), con la que se solucionan hasta 13 vulnerabilidades.
 Entre las vulnerabilidades corregidas se encuentra la ya famosa FREAK (CVE-2015-1067), conocida desde el pasado 3 de marzo y corregida por Apple en iOS y OS X el pasado 9 de marzo. Curiosamente el Apple Watch se presentó ese mismo día, aunque se puso a la venta en unas pocas tiendas de Apple el 24 de abril. Es decir, cuando el reloj salió a la venta ya incluía una vulnerabilidad grave de la que todo el mundo conocía los detalles.
 También se han corregido otras dos vulnerabilidades de ejecución remota de código arbitrario, una al procesar fuentes maliciosas (CVE-2015-1093) y otra por una corrupción de la memoria del kernel (CVE-2015-1101).
 También se han solucionado otras siete vulnerabilidades en el kernel, en Foundation, en IOHIDFamily y en IOAcceleratorFamily. Los problemas podrían permitir realizar ataques de denegación de servicio, obtener información sensible, elevar privilegios, redireccionar el tráfico o evitar filtros de red.
 Esta actualización de Watch OS, a la versión 1.0.1, también incluye múltiples mejoras en el rendimiento del reloj, de Siri o de las aplicaciones de terceros. También se ha mejorado la interfaz y se incluyen los nuevos "emojis".
 Esta actualización se debe instalar a través del iPhone. El reloj tiene que tener al menos un 50% de la batería cargada y estar conectado al cargador. Conectar el iPhone a la WiFi y mantenerlo cerca del reloj durante la actualización. En el iPhone, se debe abrir la aplicación Apple Watch y abrir My Watch > General > Software Update.
Más información:
Fuente: Hispasec

Vulnerabilidades en Cisco Unified Communications Manager

Cisco ha confirmado múltiples vulnerabilidades en Cisco Unified Communications Manager (versión 10.5) que podría permitir a un atacante realizar ataques de cross-site scripting (XSS), cross-site request forgery (XSRF) y de phishing en los sistemas afectados.
 La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Communications Manager es el componente de procesamiento de llamadas de la solución de telefonía IP de Cisco (Cisco IP Telephony).
 Los problemas, con CVE-2015-0749, residen en una validación inadecuada de determinados parámetros pasados al software afectado. Esto podría permitir a un atacante remoto ejecutar código script arbitrario, lo que facilitaría realizar ataques de cross-site scripting (XSS), cross-site request forgery (XSRF) o construir ataques de phishing.
Recursos afectados
  • Se ve afectada la versión 10.5(2.10000.5).
Recomendación
Más información:
Fuente: Hispasec

POSTGRESQL. Nuevas versiones corrigen tres vulnerabilidades

PostgreSQL ha publicado nuevas versiones para solucionar tres vulnerabilidades que podrían ser empleadas por atacantes autenticados para conseguir información sensible o provocar denegaciones de servicio.
 PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.
 Esta actualización incluye correcciones para evitar una posible denegación de servicio cuando el cliente desconecta justo antes de que expire el tiempo de espera de autenticación (CVE-2015-3165). Algunas llamadas de la familia de la funciones *printf () son vulnerables a una divulgación de información si se consume toda la memoria en determinado momento (CVE-2015-3166). Se ha mejorado la detección de fallos en llamadas al sistema.
 Por último, en contrib/pgcrypto al descifrar con una clave incorrecta se producen diferentes mensajes de error, esto podría ayudar a un atacante a recuperar llaves de otros sistemas (CVE-2015-3167).
 De forma adicional, PostgreSQL recomienda a todos los usuarios que utilizan autenticación Kerberos, GSSAPI o SSPI asignen include_realm a 1 en pg_hba.conf, en versiones futuras esta será la configuración por defecto.
 Además de estas vulnerabilidades se han solucionado más de 50 problemas no relacionados directamente con la seguridad.
Recomendación
Más información:
Fuente: Hispasec

FLASH PLAYER . Vulnerabilidad explotada dos semanas después del parche

Hace dos semanas Adobe publicó uno de sus ya habituales parches para Flash Player. Los investigadores de FireEye han detectado un nuevo ataque que aprovecha una de las vulnerabilidades corregidas por dicha actualización.
 El nuevo ataque está incluido dentro del ya conocido kit de exploits conocido como Angler. Está es una conocida herramienta utilizada para lanzar ataques masivos "drive-by-download", en los que principalmente infecta sistemas de forma transparente (sin intervención del usuario) a través de anuncios maliciosos incluidos sitios web legítimos.
Detalle e Impacto de la vulnerabilidad
  •  En esta ocasión, se ha detectado que la vulnerabilidad con CVE-2015-3090 corregida el pasado 12 de mayo en la actualización de Adobe, ha empezado a explotarse a través de Angler apenas dos semanas después (el 26 de mayo).
  •  No es la primera vez que ocurre esto. Los kits de exploits (particularmente Angler y Nuclear) aprovechan regularmente vulnerabilidades en Flash parcheadas recientemente. Según confirma FireEye, en marzo y abril estos kits también incluyeron una nueva vulnerabilidad descubierta ese mismo mes. Una tendencia que empieza a ser preocupante.
  •  El exploit para CVE-2015-3090 implica una condición de carrera en la clase shader, en el que de forma asíncrona se modifica la anchura o altura de un objeto shader mientras se inicia un ShaderJob, lo que provoca una corrupción de memoria. Angler utiliza esto para ejecutar código arbitrario e infectar los sistemas sin parchear.
Recomendación
  •  Los sistemas con versiones de Flash sin parchear podrán quedar infectados de forma transparente con solo visitar un sitio web que contenga el código malicioso; que puede ser introducido mediante un ataque directo o a través de un anuncio insertado en una red de publicidad. Los investigadores de FireEye han confirmado que el ataque se estaba empleado para instalar el troyano Bedep, involucrado en actividades de fraude por click.
  •  Una vez más se evidencia la necesidad de mantener actualizados los sistemas y así como el software instalado.
Más información:
Fuente: Hispasec

APACHE CORDOVA. Vulnerabilidad permite manipular aplicaciones Android

Se ha confirmado la existencia de una vulnerabilidad en el framework Apache Cordova que podría permitir a un atacante modificar el comportamiento de aplicaciones Android solo con pulsar un enlace. El alcance puede variar desde inyectar textos o popups, modificar funcionalidades básicas o inutilizar la aplicación.
Apache Cordova es un framework de licencia libre, desarrollado por la Apache Software Foundation, que incluye un gran número de APIs de diferentes dispositivos móviles. Cada vez es más usado por desarrolladores de aplicaciones móviles para acceder a funciones nativas de los dispositivos, como la cámara o el acelerómetro, empleando tecnologías web como HTML, CSS y JavaScript. El servicio es compatible con iOS, Android, Blackberry, Windows Phone, Palm WebOS, Bada y Symbian.
Detalle e impacto de la vulnerabilidad
  •  Trend Micro ha descubierto esta vulnerabilidad (con CVE-2015-1835) calificada como de gravedad alta y que afecta a todas las versiones de Apache Cordova hasta la 4.0.1. Esto significa que la mayoría de aplicaciones basadas en Cordova, que vienen a representar un 5,6% de todas las aplicaciones en Google Play, son propensas a sufrir un ataque.
  •  Apache ha publicado un boletín de seguridad que confirma la vulnerabilidad, que podría permitir a un atacante modificar el comportamiento de aplicaciones Android a través de un exploit remoto si la víctima pulsa sobre un enlace malicioso.
  •  La vulnerabilidad reside en la ausencia de valores explícitos establecidos en Config.xml en las aplicaciones Android desarrolladas con Cordova y a una característica que permite que las preferencias se puedan establecer desde fuera de la aplicación. Esta característica fue parte de una actualización de código publicada en noviembre de 2010, junto con la actualización de Cordova Android 0.9.3. Pero esto podrá permitir a un atacante inyectar contenido malicioso para alterar las características de la aplicación, bien desde servidores web remotos o desde aplicaciones locales comprometidas.
Trend Micro ha publicado una prueba de concepto y varios vídeos que muestran como basta acceder a una página web con el navegador para provocar diversos efectos, según las preferencias de la aplicación modificadas. En este ejemplo se muestra como se inyecta un cuadro de diálogo no deseado:  https://www.youtube.com/watch?v=7sVS37jrmCE
 Otros vídeos muestran como insertar una pantalla de inicio, alterar el color de fondo de la aplicación basada en Córdova, manipular la configuración de pantalla de la aplicación o modificar la función básica del botón de volumen.
Recomendación
  •  Apache recomienda que todas las aplicaciones desarrolladas con Cordova 4.0.x (o superior) se actualicen para usar la nueva versión 4.0.2 de Cordova Android. En caso de usar una versión anterior de Cordova, se recomienda la actualización del proyecto para usar la nueva versión 3.7.2, que también corrige el problema. Esta vulnerabilidad solo afecta a las aplicaciones Android, por lo que otras plataformas no necesitan actualizarse.
Más información:
Fuente: Hispasec

CISCO WIRELESS LAN CONTROLLER. Vulnerabilidad de Denegación de Servicio

Cisco ha anunciado el descubrimiento de un problema en sus dispositivos Wireless LAN Controller (WLC) que podría permitir a usuarios sin autenticar provocar condiciones de denegación de servicio.
 El problema se debe a una validación insuficiente del tráfico de entrada. Un atacante remoto no autenticado podrá enviar tráfico TCP manipulado que provoque la caída del dispositivo afectado y de los puntos de acceso inalámbrico asociados.
 La vulnerabilidad, con la referencia CVE-2015-0756, ha sido confirmada por Cisco. Afecta a los dispositivos con versiones de software 7.4.1.1. Los clientes de Cisco con contratos activos podrán obtener actualizaciones a través del Software Center en: 
Más información:
Fuente: Hispasec

FIREFOX TRACKING PROTECTION. Mejora la velocidad de navegación un 44%

A parte de la mejora en cuanto a privacidad, el bloqueo de estos rastreadores mejora hasta en un 44% de media la velocidad de carga de las páginas web que, al tener por defecto varios complementos de seguimiento y rastreo, puede llegar a tardar un tiempo considerable en cargarlos (e incluso dar error si estos rastreadores se basan en scripts) y ralentizar notablemente la velocidad de nuestra navegación.
Desde noviembre del año pasado Firefox desarrollaba dentro de la rama Nightly una nueva herramienta llamada Firefox Tracking Protection que bloqueaba de forma nativa todos los complementos que podían rastrear nuestra actividad al navegar por la red manteniendo mejorando nuestra seguridad y nuestra privacidad frente a la recopilación de datos por parte de terceras empresas que pueden utilizar nuestros datos con fines comerciales.
A diferencia de otras herramientas como los bloqueadores de publicidad, este complemento sólo bloquea las llamadas a estos rastreadores, dejando la publicidad mostrarse correctamente. Esto beneficia tanto a los usuarios que, aunque ven publicidad su actividad no está siendo rastreada por las empresas como a los administradores web ya que recordamos que mantener una web conlleva unos gastos muy elevados a los que se hace frente gracias a la publicidad.
Cómo activar Firefox Tracking Protection
Por defecto esta característica viene desactivada en todas las versiones iguales o superiores a Firefox 35. Para activarlo simplemente debemos seguir los siguientes pasos:
  1. Abrimos el navegador y entramos en la configuración avanzada tecleando: about:config
  2. Buscamos la entrada “privacy.trackingprotection.enabled”
  3. Cambiamos su valor a “True”.
  4. Reiniciamos el navegador.
Al abrir el navegador de nuevo este complemento empezará a funcionar bloqueando absolutamente todos los rastreadores de actividad que intenten conectarse a un servidor remoto mientras navegamos por la web.
Fuente: ieee-security

ROUTERCHECK. Comprueba la seguridad de tu router desde Android

Si queremos comprobar hasta qué punto es seguro nuestro router podemos utilizar la aplicación RouterCheck
A la hora de configurar un router es recomendable cambiar el usuario y la contraseña por defecto para entrar en el administrador de manera que si alguien consigue acceder a nuestra red no pueda modificar los valores del router a su gusto. Igualmente es recomendable cambiar la contraseña del Wi-FI (configurándola como WPA2 AES), desactivar el WPS y aplicar, por ejemplo, una lista blanca en el filtrado de MAC para evitar que dispositivos no autorizados puedan conectarse al router. 
RouterCheck es una aplicación gratuita analiza automáticamente diferentes aspectos de nuestro router y nos dice si su configuración es correcta y está correctamente protegido o lo de contrario es vulnerable ante diferentes ataques potenciales de red. También analiza posibles vulnerabilidades conocidas que dependen directamente del firmware del fabricante y no de una configuración por nuestra parte.
Pasos a seguir para la instalación de RouterCheck

  1. Lo primero que debemos hacer es descargar RouterCheck desde la Play Store e instalarla en nuestro smartphone o tablet. Una vez instalada la ejecutamos y veremos una ventana similar a la siguiente.
  2. Para empezar a analizar nuestro router lo único que tenemos que hacer es pulsar sobre el botón “Check My Router” y elegiremos a qué entorno pertenece el router (casa, trabajo, cafetería, etc).
  3. En nuestro caso el router es el de casa, por lo que seleccionamos “Home” e indicamos a RouterCheck que tenemos permiso del dueño para auditar su router.
Comenzará el análisis del router.
  • Esperamos a que finalice el proceso (no debería tardar mucho) y podremos ver un resumen con todo lo analizado y con las debilidades de nuestro router.
  • Si pulsamos sobre alguna de las vulnerabilidades se abrirá la base de datos de RouterCheck donde nos explicará qué genera dicha vulnerabilidad y nos dará pistas sobre cómo solucionarla.
RouterCheck es una potente herramienta, sencilla de utilizar y totalmente gratuita que  permite controlar en todo momento la seguridad de nuestro router y la privacidad de nuestras conexiones frente a posibles amenazas.
Fuente: gHacks

WEB OF TRUST. Nos indica el grado de seguridad de las páginas web

Una de estas plataformas es Web Of Trust. WOT ayuda a los usuarios a estar seguros mientras navegan por Internet utilizando datos de la comunidad para mostrar el resultado en forma de “semáforo”. 
WOT mostrará mediante colores el nivel de fiabilidad de una página web concreta:
  1. Verde oscuro: Excelente. Sitio web fiable.
  2. Verde claro: Bueno. Sitio web fiable.
  3. Amarillo: Regular. El sitio web podría ser peligroso.
  4. Naranja: Poca fiabilidad. Potencialmente peligroso.
  5. Rojo: Fiabilidad muy baja. Probablemente un sitio web peligroso.
  6. Gris: Sitio web aún no valorado.
Descargar Web Of Trust
Web Of Trust se integra perfectamente con los navegadores mediante una extensión de manera que no es necesario instalar ningún software adicional en nuestro sistema.
Este servicio es totalmente gratuito y se puede descargar tanto para Google Chrome como para Firefox desde las correspondientes tiendas de aplicaciones:
Configurar Web Of Trust
  • Una vez instalada la extensión tenemos que configurar algunos elementos. En la página que nos carga lo primero que debemos hacer es elegir el tipo de contenido en el que queremos basar su funcionamiento. Podemos, por ejemplo, elegir el tipo de funcionamiento y notificaciones, incluso elegir si queremos que detecte las páginas para adultos como “maliciosas”.
  • También podemos iniciar sesión en Web Of Trust para poder colaborar con la comunidad en la fiabilidad de las páginas web.
  • Ya tenemos nuestra extensión lista. Lo único que nos queda por hacer es empezar a navegar por la red conociendo en todo momento la fiabilidad de los enlaces tanto desde la propia página (a la derecha de los mismos) como desde el icono de la extensión.
Fuente: Redeszone.net

PERMISSION MANAGER. Permite controlar los permisos de las aplicaciones en Android

Por defecto Android no permite la administración de permisos, por lo que si queremos poder tener el control sobre ellos debemos instalar una rom como Cyanogen o una aplicación como Permission Manager. Esta aplicación nos va a permitir controlar todos los permisos de nuestras aplicaciones de forma gratuita y sin necesidad de permisos de root en el dispositivo.
Lo primero que debemos hacer es descargarla desde la Play Store e instalarla en nuestro smartphone. Una vez instalada la ejecutamos y lo primero que nos aparecerá será un sencillo asistente que nos explicará el funcionamiento de la misma.
Lo primero que nos indica es que lo que acabamos de ejecutar es una aplicación que nos indica que el administrador de permisos se encuentra en otra aplicación independiente (una con el icono de la máscara de V de Vendetta que ha creado durante la instalación).
Simplemente completamos el asistente para ver cómo funciona Permission Manager, una aplicación que nos indica las aplicaciones más peligrosas instaladas en el dispositivo según los permisos que utilizan cada una de ellas (en la versión Free podremos ver sólo las 5 aplicaciones más peligrosas).
La aplicación que nos interesa es la nueva que hemos indicado anteriormente: Manage Permissions. Ejecutamos esta aplicación desde su icono y podremos ver una lista con todas las aplicaciones instaladas y los permisos recientes que ha pedido cada una de ellas.
Podemos filtrar los permisos que han solicitado las aplicaciones recientemente por:
  1. Ubicación
  2. Información Personal
  3. Acceso a los mensajes
  4. Acceso al contenido multimedia
  5. Acceso a la información del dispositivo
  6. Permisos de ejecución
  7. Acceso administrativo (aplicaciones con permisos de root)
Lo único que debemos hacer es pulsar sobre la aplicación que queramos controlar y nos aparecerán todos los permisos de esta. Simplemente debemos elegir en cada uno de los permisos si queremos permitirlo, bloquearlo o que se muestre una notificación cada vez que la aplicación vaya a hacer uso de dicho permiso.
Como podemos ver, una sencilla y completa aplicación gratuita para tener siempre el control de nuestros permisos. Antes de finalizar queremos indicar que la aplicación lleva bastante tiempo sin actualizarse y que en la descripción de la Play Store indica que sólo funciona con Android 4.3, sin embargo nosotros hemos podido utilizarla sin problemas en Android 5.
Fuente: Redeszone.net

MALWARE. El gusano "Moose" ataca routers y dispositivos Linux

 Los investigadores de seguridad de We Live Security han estado investigando el funcionamiento de una nueva amenaza, Moose, creada especialmente para infectar routers basados en Linux alrededor de todo el mundo.
El principal objetivo del gusano Moose son los routers que funcionan con un sistema basado en el kernel de Linux (OpenWRT, DD-WRT, Tomato y muchos firmwares privativos de fabricantes) aunque también es capaz de infectar cualquier otro dispositivo que utilice un sistema operativo basado en Linux que pueda encontrar en su camino como smartphones, dispositivos DVR, ordenadores, cámaras IP, etc.
Moose se distribuye como un ejecutable convencional para Linux en forma de binario ELF. Este gusano crea automáticamente 36 procesos en los dispositivos que infecta. La mayoría de estos procesos están diseñados especialmente para infectar a otros dispositivos que se conecten a la misma red y poder tener así una mayor actividad.
Los procesos que no son utilizados para infectar otros equipos se centran principalmente en el robo de paquetes y cookies HTTP no cifradas que puedan contener información personal sobre los usuarios como datos bancarios, credenciales de acceso, etc. Este gusano también conecta con un servidor Proxy para visitar cuentas sociales o cargar vídeos de YouTube y otras plataformas y así obtener remuneración económica, aumentar el número de visitar y ganar protagonismo en estas redes sociales.
Las principales páginas sociales que carga este malware a través del proxy son:
  1. Fotki
  2. Instagram
  3. Microsoft Live
  4. Soundcloud
  5. Twitter
  6. Vine
  7. Yahoo
  8. YouTube
Al día se pueden llegar a enviar más de 1500 solicitudes a las webs anteriores desde un router infectado. También secuestra las DNS del router y monitoriza así todas las conexiones que el usuario genera y que intentan salir a Internet, registrándose todas ellas en el servidor remoto de control,
El malware analiza también la memoria del dispositivo infectado y es capaz de identificar y bloquear otras piezas de malware que puedan estar presentes en él de manera que garantice siempre el 100% de los recursos para él.
Cómo eliminar Moose de nuestro router y prevenir su infección
  • Si ya hemos sido infectados por este gusano lo más recomendable de momento es resetear la configuración y cambiar la contraseña de acceso lo antes posible, sin embargo, es posible que el gusano haya cambiado algún aspecto del firmware y siga estando presente. Si es posible también debemos borrar y reinstalar el firmware por completo para garantizar su eliminación.
  • Igualmente para evitar infectarnos debemos cambiar las contraseñas de nuestras principales redes sociales así como deshabilitar la administración remota del router a través de los protocolos SSH, Telnet, HTTP y HTTPS para que Moose no pueda comunicarse con su centro de control.
Fuente: We Live Security

MALWARE. El troyano " Locker" cifra archivos y aumenta rescate a pagar pasadas 72 horas

Locker es la nueva amenaza que ha aparecido y que está afectando a sistemas operativos Windows.
Operativa de distribución del malware  
  • Un correo electrónico spam con un archivo ejecutable que resulta ser el instalador de la amenaza. En el día de ayer se detectó por primera vez la presencia de esta amenaza en la red y a día de hoy al menos existen un millar de usuarios infectados repartidos por varios países europeos.
  • También se produce un cifrado parcial de los archivos de los usuarios y se informa a este mediante una ventana que se despliega en el escritorio, sin embargo, en lo referido a la recompensa existe una pequeña variación: pasadas 72 horas el precio para obtener la clave de descifrado aumenta paulatinamente.
  • Es decir, si pasadas 72 horas no hemos realizado la transferencia al monedero Bitcoin indicado por los ciberdelincuentes cada hora que se encuentre por encima de las 72 el usuario verá como la cantidad a pagar se incrementa en un 1 Bitcoin.
La eliminación de Locker supone la pérdida del material cifrado
Los expertos en seguridad han tenido la oportunidad de analizar en profundidad este amenaza y se han encontrado con tres archivos ejecutables ubicados en la carpeta Archivos de programa:
  • C:\Archivos de programa\Steg\steg.exe
  • C:\Archivos de programa\Tor
  • C:\Archivos de programa\rkcl\ldr.exe
Recomendación

  • Aunque evidentemente cualquier herramienta de seguridad podría realizar la eliminación de forma satisfectoria de estos tres ejecutables, sin embargo, aún no existe una herramienta capaz de descifrar los archivos, derivando en que la eliminación de estos supondría la pérdida de esta información. 
  • Hay que apuntar que la recuperación no siempre se consigue con el pago de la cantidad indicada, por lo tanto, la mejor forma de combatir estos problemas es realizar copias de seguridad periódicas del contenido de nuestro equipo.
Fuente: MalwareTips

MALWARE. Android.AdLocker que bloquea la pantalla de tu smartphone y hace imposible uso

 El último virus que encontrado encargado de ofrecer publicidad intrusiva a los usuarios en sus dispositivos  se conoce con el nombre de AdLocker y bloquea por completo el terminal del usuario.
Los expertos en seguridad han determinado que se está distribuyendo utilizando anuncios falsos en páginas web informando al usuario de que es necesaria una actualización de un reproductor de vídeo para lograr visualizar el contenido multimedia de forma correcta. De esta forma, se produce la descarga de VideoMP4TubePlayer.apk, un tipo de ejecutable perteneciente al sistema operativo de los de Mountain View que a priori posee una versión de un reproductor multimedia, algo que no es así.
Cuando el usuario realiza la instalación no percibe ningún cambio y se crea un icono en el menú con el mismo nombre que poseía este ejecutable. Sin embargo, tras producirse un apagado y el posterior inicio del terminal comienzan los problemas.
Locker despliega anuncios que ocupan toda la pantalla del terminal móvil
  • Esto se traduce en una imposibilidad por parte del usuario para utilizar el terminal móvil de forma correcta, viéndose obligado a esperar hasta que el anuncio desaparezca. Por suerte la solución es relativamente sencilla y este solo tendrá que acudir al listado de aplicaciones y desinstalar una que se llame VideoMP4TubePlayer. Un vez que se ha producido este borrado del sistema y tras realizar un reinicio de este los anuncios desaparecerán y la normalidad volverá al smartphone.
  • Aunque pueda parecer novedoso, se trata de una práctica muy antigua que se utiliza en los equipos de sobremesa y que ahora se ha adaptado para afectar a los dispositivos móviles, siendo en esta ocasión los equipos Android.
Fuente: VirusTotal

VULNERABILIDAD. De tipo 0-day XSS descubierta en el plugin WP-UserAgent de WordPress

El plugin WP-UserAgent sirve para que en los comentarios de los usuarios de nuestro blog, aparezca un icono al lado de cada comentario junto a la información relativa al sistema operativo empleado así como la versión del navegador entre otros parámetros. Ahora se ha descubierto un fallo de seguridad de tipo XSS persistente en el blog donde hayamos explotado este fallo.
Si un usuario malintencionado pone un comentario con un UserAgent modificado, se saltará las restricciones y los filtros del propio plugin WP-UserAgent generando un Stored-XSS que se ejecutará cada vez que se visualice el comentario con el plugin WP-UserAgent activo. La última versión de WP-UserAgent es la 1.0.5 y se encuentra afectada, el equipo de seguridad de WordPress ha retirado el plugin de su página web oficial hasta que el desarrollador solucione esta vulnerabilidad.
Recomendación
  • Si tenéis un blog WordPress y el plugin WP-UserAgent instalado, os recomendamos deshabilitarlo temporalmente hasta que el desarrollador saque una nueva versión con este bug corregido.
Más información
Fuente: El Lado del Mal

HOLA VPN. Vende tu ancho de banda a través de Luminati

Según se dice en Internet es posible que los responsables de esta extensión hayan empezado a ofrecer un servicio VPN premium que utiliza la red de Hola como salida a Internet. Este nuevo servicio se llama Luminati y si realizamos un WhoIS a su página web principal podremos confirmar que efectivamente es propiedad de Hola VPN.
Todo esto ha llegado después de que los administradores de 4chan identificaran una serie de ataques DDoS sobre su página web que, al estudiarlos en profundidad, identificaron que todos habían sido generados a través de los nodos de salida de Hola VPN y controlados desde la red de Luminati.
Hola VPN es una extensión para Google Chrome, Firefox, sistemas operativos y dispositivos móviles que permite ocultar el origen del tráfico de sus usuarios de forma segura y cifrada de manera que podamos navegar a través de Internet de forma anónima y saltarnos ciertas restricciones geográficas al simular que nuestra ubicación se encuentra físicamente en otro país. Aunque este servidor VPN era uno de los más rápidos, fiables y fáciles de usar es posible que la compañía haya empezado a implementar un modelo de negocio poco moral e incluso peligroso para los usuarios.
Por lo general cuando nos conectamos a un servidor VPN todo nuestro tráfico sale a Internet a través del servidor de la compañía. Esto implica que los servidores de las compañías generen un gran ancho de banda y un gran tráfico. Hola funciona de forma diferente ya que en vez de salir a Internet a través de un servidor central utiliza las conexiones a Internet de los usuarios para ofrecer dicha salida segura a Internet pudiendo contar con un mayor ancho de banda y con direcciones IP de cualquier parte del mundo sin tener que invertir en servidores físicos.
El funcionamiento de Hola es similar al de un nodo de Tor a la hora de ocultar la identidad del usuario a diferencia de que los nodos de esta red distribuida deben ser montados y configurados por cada persona (y todos están conectados de forma distribuida entre sí) y con Hola automáticamente todos los usuarios son tanto nodos de salida para otros usuarios como clientes de la red VPN que salen a partir de otros nodos diferentes.
Hola VPN es utilizado por más de 7.1 millones de usuarios sólo en Google Chrome, por lo que el alcance de estas prácticas es preocupante.
Hola VPN y Luminati, una botnet donde los responsables somos nosotros
  • Con este modelo de negocio la mejor forma de describir a Luminati es con el término “botnet“. Los administradores de dicho portal están vendiendo el ancho de banda de los usuarios para poder ocultar el origen y la identidad del tráfico y dar salida a los datos desde millones de ordenadores de todo el mundo. Como cada conexión se realiza desde un nodo de salida diferente sólo hay que generar muchas conexiones simultáneas para poder realizar un ataque DDoS desde este servidor.
  • Al igual que ha ocurrido con 4chan, otros usuarios malintencionados ya han empezado a contratar este servicio para lanzar ataques contra páginas web y otros servicios de Internet ya que, como hemos dicho anteriormente, Luminati funciona como una botnet aunque, según parece, legalizada.
Fuente: Ghacks

FACEBOOK MESSENGER. Comparte constantemente nuestra ubicación ¿con nuestro permiso?

Gracias a una extensión para Google Chrome llamada “Marauders Map” es posible monitorizar todos los mensajes que nos hemos enviado con un amigo a través del chat de Facebook y poder ver en todo momento la ubicación desde donde se han enviado cada uno de ellos. Esto se debe a que por defecto el cliente de mensajería de Facebook activa los servicios de ubicación y envía en la cabecera de cada mensaje la ubicación GPS desde donde se ha enviado cada uno de ellos.
Facebook Messenger es el cliente de mensajería de la red social más utilizada en todo el mundo. Desde esta app podemos iniciar mensajes de texto con nuestros seguidores desde nuestro smartphone simplemente teniendo una conexión activa a Internet, sin embargo, un análisis reciente de la aplicación ha demostrado que junto a cada mensaje también se están enviando nuestras coordenadas GPS de manera que el receptor podría saber en todo momento desde dónde estamos escribiendo utilizando simplemente la extensión para Google Chrome.
Cómo evitar que se comparta nuestra ubicación a través de Facebook Messenger
Por suerte es sencillo desactivar la opción que envía la posición GPS en cada mensaje. Para ello simplemente debemos seguir los siguientes pasos:
Android
  • Abrimos Facebook Messenger y accedemos al menú de ajustes desde el botón con forma de engranaje de la parte superior derecha de la pantalla. Allí veremos una entrada llamada “Ubicación”. Desmarcamos dicha opción para que el programa no envíe nuestra ubicación en cada mensaje.
  • También es recomendable desactivar los servicios de ubicación desde los ajustes de Android para evitar que si esta opción se activa por cualquier razón se continúe enviando nuestra posición sin saberlo.
iOS
  • Si tenemos un iPhone o un iPad con iOS lo que debemos hacer es entrar al menú de ajustes de iOS, abrir el menú de privacidad y desde los servicios de ubicación bloquear el acceso a Facebook Messenger.
  • Aunque de estas dos formas desactivamos en envío de la ubicación en los próximos mensajes a través de este cliente de mensajería esto no elimina toda la información ya enviada en el pasado, por lo que es posible que algún contacto con el que hemos hablado pueda saber dónde estábamos mientras hablábamos.
Fuente: Lifehacker

ADOBE FLASH PLAYER . Siguen explotando fallo después de corregido

Aunque hace ya dos semanas que Adobe publicó los boletines de seguridad para sus aplicaciones y programas que solucionaba las vulnerabilidades y en teoría todos los exploits que podían explotar estas vulnerabilidades deberían quedar bloqueados uno de ellos sigue causando problemas a los usuarios incluso si tienen instalada la versión más reciente del complemento.
La vulnerabilidad en cuestión que sigue afectando a los usuarios de Adobe Flash Player es CVE-2015-3090. Este fallo de seguridad fue solucionado el pasado día 12 de mayo, sin embargo, el exploit diseñado para atacar a esta vulnerabilidad (e incluido en el kit Angler) aún sigue funcionando. Este fallo de seguridad permite a un atacante configurar un completo (un anuncio, por ejemplo) en Flash que sólo con su carga en el sistema este quede ya infectado (de forma totalmente invisible) y empiece a descargar software malicioso desde diferentes servidores remotos y a ejecutar código arbitrario en la memoria del sistema.
Es muy importante mantener todo el software siempre actualizado para evitar terminar siendo víctimas de estos fallos de seguridad. Igualmente es recomendable utilizar extensiones como “Flash Block” en nuestros navegadores de manera que se bloquee por defecto todo el contenido flash mientras navegamos y evitemos así que un posible anuncio malicioso pueda comprometer nuestra seguridad.
Adobe Flash Player, un programa que se debe utilizar con mucho cuidado
  • Adobe Flash Player es una herramienta pesada y peligrosa. Hace años era muy práctica para dotar a la web de cierto contenido (juegos, vídeos, animaciones, etc), sin embargo con el desarrollo de los nuevos estándares como HTML5 esta herramienta se ha vuelto totalmente obsoleta y aunque es necesaria para reproducir contenido de alguna web es mejor no hacer uso de ella si queremos garantizar nuestra seguridad y a la vez obtener el mejor rendimiento mientras navegamos por la red.
  • Por desgracia algunos servicios como Spotify Web aún hacen uso de este complemento, lo que complica el hecho de que un usuario pueda borrar por completo Adobe Flash Player de su sistema si hace uso de cualquier recurso basado en Flash.
  • Los kits de exploits más utilizados por los piratas informáticos para atacar este software son el de Angler y el Nuclear. En los últimos meses estos dos kits han estado recopilando una gran cantidad de herramientas para atacar a los usuarios de Adobe Flash Player e incluso en los dos últimos meses se han distribuido exploits zero-day con los que poder aprovecharse de vulnerabilidades aún no conocidas por Adobe.
Fuente: FireEye