14 de junio de 2015

CIA. Bloquea y toma el control del dominio 1337day por no colaborar con ellos

En esta ocasión ha sido la CIA quien ha intentado hacerse con la información de los usuarios que compran y venden software malicioso en la red en un portal llamado 1337day especializado en exploits 0-day. Tras la imposibilidad de salirse con la suya la organización ha tomado el control del dominio y ha empezado a estafar a los visitantes aprovechando la oportunidad para hacerse a la vez con sus datos. Pero ya se sabe que el que roba al ladrón tiene 100 años de perdón.
Intrahistoria de la noticia
  • Hace varios días la CIA pidió información personal a los responsables de la web sobre sus usuarios. Desde nombres, nicks, contraseñas hasta direcciones IP con las que poder identificarlos. La privacidad es lo más importante, especialmente en ese tipo de páginas web, por lo que aunque la mayoría de los usuarios se conectaran a la web a través de medidas de seguridad adicionales es posible que de esta manera algunos usuarios pudieran verse comprometidos.
  • Como unos administradores preocupados por la privacidad de sus usuarios estos se negaron a facilitar esta información a la organización ni a ningún organismo gubernamental de Estados Unidos, por lo que esta organización ha tomado medidas contra ellos y ha empezado por bloquear, secuestrar y tomar el control total del dominio del portal 1337day.
  • Ahora, si intentamos entrar a la web oficial podemos ver cómo aparece un mensaje en el que afirman estar trabajando en una nueva web y que mientras tanto ofrecen por 5 Bitcoin un exploit privado. Todo parece normal, sin embargo, en el Facebook del grupo podemos ver cómo los administradores informan del secuestro de la CIA y que ahora todo el dominio está bajo su control, por lo que es la organización quien intenta vender este material inexistente a todos los usuarios para estafarlos y a la vez identificarlos y ficharlos.
Los responsables de 1337day afirman que un par de días tendrán un nuevo dominio en otro país donde la CIA no pueda hacer de las suyas así como un nuevo servidor al servicio de los usuarios. También afirman que el secuestro de Estados Unidos sólo ha afectado al dominio por lo que el servidor, las bases de datos y toda la demás información del portal están fuera de peligro y no han caído en manos de ningún organismo gubernamental.
Fuente: Redeszone.net

COREA DEL NORTE. Restringe el acceso a internet móvil

 Los extranjeros en Corea del Norte ya no tienen acceso a la red 3G del país, dijo el proveedor de telefonía móvil local, en un mensaje enviado a sus suscriptores.
Los norcoreanos no pueden acceder a conexión exterior a internet sin censura, excepto en raras ocasiones, pero los residentes extranjeros y visitantes al aislado país son capaces de comprar tarjetas SIM móvil 3G, que apenas cuentan con restricciones.
"Lamentablemente sufriremos la interrupción del servicio de internet por parte del proveedor local sin hora prevista, les mantendremos informados una vez que el servicio haya vuelto a la normalidad" dijo el proveedor, Koryolink, en una notificación enviada en inglés para los suscriptores y vista por Reuters.
No estaba inmediatamente claro por qué se había restringido el acceso, pero las medidas se tomaron el viernes por la tarde, después de un incendio en el emblemático hotel Koryo.
Tampoco estaba claro si el incendio había afectado al servicio.
En un país con 24 millones de habitantes, hay más de 2,5 millones de suscriptores a servicios móviles.
Fuente: Reuters

AMAZON. Publica su primer informe de transparencia y privacidad

Amazon ha publicado esta madrugada el primer (y esperado) informe de transparencia de la compañía. El documento publicado en su blog, recoge el número de peticiones que la tienda virtual recibe de los gobiernos y cuantas de ellas contesta.
   Desde el 1 de enero al 31 de mayo Amazon ha recibido un total de 813 citaciones, de las cuales solo ha contestado a 542. De las 25 ordenes judiciales que ha recibido ha cumplido con 13, mientras que a 4 de ellas no ha respondido. En total, Amazon asegura que ha recibido de unas 249 peticiones de la agencia de seguridad estadounidense.
   El jefe de información y seguridad de la Web de Amazon, Stephen Schmidt, explicaba: "Mientras nosotros reconocemos las legitimas necesidades de la ley y agencias de investigar actividades terroristas o criminales, y cooperamos con ellas cuando demuestran tener una base legal para iniciar tales investigaciones, nos oponemos a la legislación y prohibiciones de uso de métodos de encriptado y seguridad que podrían poner en duda la fiabilidad de nuestros productos, sistemas, servicios o funcionalidad para el cliente".
   Con la intención de elaborar este informe de manera bianual, Amazon se ha visto obligada a sumarse a compañías como Google, Twitter, Yahoo o Snapchat. De una manera u otra, lo único que dejan claro este tipo de informes de transparencia es que las compañías acaban cediendo a las presiones de los gobiernos y cediendo datos de sus usuarios.
Más información
Fuente: Blog Amazon

TECNOLOGIA. Vídeo muestra el despegue casi en vertical de nuevo avión pasajeros

El vídeo muestra como los pilotos del nuevo Boeing 787-9 de Vietnam Airlines son capaces de despegar casi en vertical en escasos segundos.
El nuevo avión podrá trasportar hasta 335 pasajeros y tiene 12.870 kilómetros de autonomía.
Los expertos han publicado un vídeo que muestra el despegue casi en vertical de un nuevo avión de pasajeros de Vietnam Airlines.
El vídeo muestra como los pilotos del nuevo Boeing, en un vuelo de prueba sobre Washington (EE UU), son capaces de despegar casi en vertical en escasos segundos para mostrar los avances del nuevo modelo.
El avión, un Boeing 787-9, podrá trasportar hasta 335 pasajeros con una autonomía de 12.870 kilómetros. Será más largo que su predecesor, 6 metros de longitud, y podrá llevar más carga y pasajeros.
El Boeing ha tenido un coste de 250.000.000 dólares y será presentado en el salón aeronáutico Paris Air Show 2015 en la capital francesa la próxima semana.
El vídeo, que ha sido publicado por los expertos en su canal de Youtube, ha recibido casi 150.000 visitas.
Más información
Fuente: 20minutos.es

BLACKBERRY. Lanzará un teléfono Android

Reuters, asegura que la compañía canadiense podría sorprendernos a finales de año con un teléfono con Android corriendo en su interior. 
Las fuentes portadoras de este rumor aseguran que esto no significaría el final de BlackBerry OS, pero sí una respuesta a las bajas ventas que la firma está sufriendo. Apuntan además a que el movimiento vendría motivado por la gran apuesta que John Chen, CEO de BlackBerry, está haciendo en el nuevo sistema de gestión de dispositivos BES12, que permite a las empresas manejar no solo teléfonos BlackBerry sino también equipos con Android, iOs y Windows Phone a través de sus redes internas.
Se espera que BlackBerry pudiese implementar el sistema operativo de Google en un terminal que la firma mostró en la última Mobile World Congress, hace solo unos meses. Este dispositivo -bajo estas líneas- no tiene por el momento nombre y respecto a sus prestaciones, solo sabemos que es de tipo slider (deslizable) y disfruta de una generosa pantalla táctil además de un teclado físico.
Fuente: Reuters

WINDOWS 10 . Las empresas lo irán introduciendo pero de forma lenta

Un nuevo estudio asegura que el 71% de los responsables tecnológicos de las empresas esperarán un mínimo de seis meses antes de instalar Windows 10.
Detalles del estudio
  • Según se desprende de los datos aportados por la firma Adaptiva, la adopción del futuro sistema operativo Windows 10 será lenta por parte de las empresas.
  • En concreto, el 49%o de los encuestados indicó que esperaría al menos un año o más antes de realizar la actualización, y dentro de las grandes empresas, esa cifra asciende de manera considerable hasta el 80 por ciento.
  • Por otra parte, el estudio también pone de manifiesto que Windows XP se va extinguiendo a gran velocidad, ya que actualmente solo el 11 por ciento de las participantes indicó usar esa versión del sistema operativo de Microsoft.
  • En el caso de Windows 10, las principales barreras para actualizar sus sistemas planteadas por los usuarios fueron la compatibilidad de aplicaciones y el tiempo que habrá que invertir en el proceso (98 por ciento).
  • Otros factores que retrasan su adopción empresarial son la formaciónque requieren los usuarios (35 por ciento) y la madurez del producto (23 por ciento), informan en ITProPortal.
  • En cambio, la nube no tiene  tanta relevancia como podría pensarse, ya que el 54 por ciento de los encuestados señaló que no influye a la hora de pasarse a una nueva versión de Windows.
  • Por último, hay que puntualizar que el 73 por ciento de los encuestados de grandes empresas indicaron que Windows 10 llegará a través de la compra de nuevos ordenadores, mientras que un 36 por ciento usarán el hardware que ya poseen y llevarán a cabo la actualización desde allí.
Fuente: Silicon News.es

MICROSOFT. Permitirá a los gobiernos europeos revisar su código fuente

Microsoft abre un centro de transparencia en Bruselas donde los gobiernos europeos podrán revisar el código fuente de los productos Microsoft para confirmar que no contienen puertas traseras.
 Microsoft considera que este Centro de Transparencia es un pilar fundamental de su Programa de Seguridad para Gobiernos (Government Security Program, GSP). Esta iniciativa permite a agencias gubernamentales la oportunidad de revisar el código fuente de los productos de Microsoft, acceder a información privilegiada sobre las amenazas de seguridad y vulnerabilidades, y beneficiarse de la experiencia y conocimientos de los profesionales de seguridad de Microsoft.
En la actualidad el programa GSP engloba a 42 agencias diferentes de 23 gobiernos nacionales y organizaciones internacionales de todo el mundo. Con este nuevo Centro de Transparencia la Comisión Europea se une para participar en el programa. Microsoft espera que este nuevo centro pueda aumentar la confianza de los gobiernos (y de ciudadanos y empresas) en sus soluciones.
 Los gobiernos y organizaciones internacionales que forman parte del programa GSP, pueden inspeccionar el código fuente de los siguientes productos:
  1. Windows 8.1, Windows 7 y Windows Vista
  2. Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 y Windows Server 2008
  3. Office 2013, Office 2010 y Office 2007
  4. Lync 2013
  5. SharePoint 2010
  6. Windows Embedded CE 6.0, CE 5.0 y CE 4.0
Más información:
Fuente: Hispasec

MICROSOFT. Publica ocho boletines de seguridad

Este martes Microsoft ha publicado ocho boletines de seguridad (del MS15-056 al MS15-064) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad "crítico" mientras que los seis restantes son "importantes". En total se han solucionado 44 vulnerabilidades.
Listado de los boletines publicados
  1. MS15-056: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 24 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada.
  2. MS15-057: Boletín "crítico" que resuelve una vulnerabilidad en Windows Media Player en el tratamiento de DataObjects específicamente creados los que podría permitir la ejecución remota de código arbitrario (CVE-2015-1728).
  3. MS15-059: Boletín considerado "importante" que resuelve tres vulnerabilidades que podrían permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office 2007, 2010 y 2013 (CVE-2015-1759, CVE-2015-1760 y CVE-2015-1770).
  4. MS15-060: Destinado a corregir una vulnerabilidad "importante" que podría permitir la ejecución remota de código si un atacante accede a un enlace específicamente creado y después ejecuta en F12 Developer Tools en Internet Explorer (CVE-2015-1756).
  5. MS15-061: Boletín de carácter "importante" destinado a corregir 10 vulnerabilidades en el controlador modo kernel de Windows, la más grave de ellas podría permitir la elevación de privilegios (CVE-2015-1719 al CVE-2015-1727, CVE-2015-1768 y CVE-2015-2360). Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  6. MS15-062: Destinado a corregir una vulnerabilidad considerada "importante" (CVE-2015-1757) en Microsoft Active Directory Federation Services (AD FS). El problema podría permitir la elevación de privilegios si un atacante envía una URL específicamente creada al sitio afectado. Afecta a Windows Server 2008 y 2012.
  7. MS15-063: Este boletín está calificado como "importante" y soluciona una vulnerabilidad (CVE-2015-1758) de elevación de privilegios en el kernel de Windows, si un atacante sitúa una .dll maliciosa en un directorio local o un compartido de red. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 y Windows Server 2012.
  8. MS15-064: Destinado a corregir tres vulnerabilidades "importantes" en Microsoft Exchange Server 2013 que podrían permitir la elevación de privilegios (CVE-2015-1764, CVE-2015-1771 y CVE-2015-2359).
Recomendación
  • Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Fuente: Hispasec

INTERNET EXPLORER 11. Compatible con las políticas de conexión HSTS

Según hemos podido ver en los últimos meses el nuevo Microsoft Edge, el nuevo navegador de la compañía y sucesor de Internet Explorer en Windows 10, va a disponer por defecto de esta política de forma nativa (sin extensiones).
HTTP Strict Transport Security (HSTS) es una nueva política de seguridad que protege a los usuarios mientras navegan por Internet frente ataques MITM que puedan conseguir acceder a su información personal y obtener así más datos sobre la víctima forzando siempre el uso de conexiones seguras HTTPS. 
Lo más normal es que las nuevas funciones y características sólo se implementen en los nuevos navegadores, sin embargo la compañía es consciente de los problemas de seguridad de Internet Explorer que comprometen a sus usuarios, por lo tanto ha decidido que estas nuevas políticas de seguridad HSTS también sean compatibles con Internet Explorer 11, última versión de este navegador, en Windows 7 y 8.1.
Tanto Edge como IE 11 basarán su lista de precarga de webs en la lista HSTS de Chromium. Siempre que se encuentre una web vulnerable o una conexión a través de contenido mixto (seguro e inseguro) se mostrará una advertencia al usuario para que sea consciente de los posibles peligros a los que se expone si continúa con la conexión.
Desde Opera 12, Google Chrome 4 y Firefox 4 el HSTS ya era totalmente funcional con estos navegadores. Algunas extensiones como HTTPS Everwhere también aprovechan el concepto del HSTS y hacen un uso generalizado de él para forzar la carga por defecto de contenido seguro en lugar de cargar el contenido inseguro en el sistema.
Fuente: Windows Blog

KASPERSKY. Reconoce un ataque contra sus sistemas

Los Laboratorios Kaspersky han publicado un aviso en el que reconocen haber sufrido un ataque dirigido, de igual forma confirman que ninguno de sus productos, servicios o clientes se han visto afectados. 
Intrahistoria de la noticia
  • Kaspersky, han sufrido un ataque avanzado sobre sus sistemas internos. Según la firma, el ataque es sumamente avanzado y desarrollado, lo que junto con algunas similitudes en el código ha hecho que este ataque, el malware y su plataforma asociada, quede bautizado como Duqu 2.0.
  • Evidentemente, una de las cosas que Kaspersky quiere dejar, y deja, bien claro, es que ninguno de sus productos se ha visto comprometido, y que sus clientes no se enfrentan a ningún riesgo causado por este ataque.
  • "Ya hemos comprobado que el código fuente de nuestros productos está intacto. Podemos confirmar que nuestras bases de datos de malware no se han visto afectadas, y que los atacantes no han tenido acceso a los datos de nuestros clientes."
  • Pero detrás de Duqu 2.0, se esconde "algo realmente grande", según confirman este malware está una generación por delante de todo lo visto hasta ahora, además de utilizar una serie de trucos que hacen que sea muy difícil de detectar y neutralizar.
  • Las investigaciones de Kasperky han relacionado las nuevas infecciones de este malware con eventos y lugares del P5+1, un grupo de seis potencias mundiales con especial interés en el programa nuclear iraní y las negociaciones sobre un acuerdo nuclear con este país. El P5+1 está formado por los cinco miembros permanentes del Consejo de Seguridad de la ONU, Estados Unidos, Rusia, China, Reino Unido y Francia, además de Alemania. De igual forma, Duqu 2,0 también habría lanzado un ataque similar en relación con el evento del 70 aniversario de la liberación de Auschwitz-Birkenau. Kaspersky ha encontrado víctimas de Duqu 2.0 en diferentes lugares, incluidos los países occidentales, Oriente Medio y Asia.
  • Lo avanzado del ataque, la cantidad de recursos necesarios para su desarrollo y puesta en marcha, así como los objetivos hacen pensar que, sin duda, detrás de esto se encuentra un país, ¿Cuál? Eso está todavía por descubrir. Y Kaspersky, que confirma que aun investiga más datos sobre el ataque, no adelanta ninguna información al respecto.

Detalles técnicos del ataque y similitudes con otros ataques Docu
  • El vector inicial del ataque todavía se desconoce, aunque sospechan que posiblemente haya sido a través de correos de spear-phishing (phishings específicamente dirigidos y construidos para un objetivo concreto). Lo que sí se ha confirmado es el uso de varios exploits 0day para su introducción en los sistemas.
  • En 2011, el ataque original de Duqu empleaba una vulnerabilidad día cero en Word (CVE-2011-3402), un exploit que permitía a los atacantes saltar al modo kernel desde un documento Word. En 2014 se detectó una técnica muy similar, también con exploit día cero (CVE-2014-4148), contra una importante organización internacional. El servidor C&C (Comando y Control) empleado en este ataque del 2014, así como otros factores, tenían similitudes con Duqu, aunque la muestra de malware empleada era diferente tanto a Duqu, como a Duqu 2.0. Según Kaspersky todo indica que este 0day (CVE-2014-4148), parcheado por Microsoft en noviembre de 2014, fuera el empleado para instalar Duqu 2.0.
  • Si bien, para el caso del ataque a Kaspersky Lab, el ataque se aprovechó de otro día cero (CVE-2015-2360) sobre el kernel de Windows, parcheada por Microsoft este pasado martes (en el boletín MS15-061) y posiblemente hasta otras dos vulnerabilidades diferentes, actualmente corregidas, pero que también fueron día cero en su momento.
CONCLUSION
  • Sin duda, los atacantes cometieron un error al atacar a una firma de seguridad como Kaspersky, ¿qué otros objetivos similares habrán tenido?
  • Al atacar a Kaspersky los atacantes estaban interesados en aprender sobre las tecnologías de seguridad, y los productos antivirus de la firma. Buscaban información para conseguir permanecer más tiempo ocultos sin que los objetivos atacados se percataran de ello.
Más información:
Fuente: Hispasec

OPENSSL . Nueva vulnerabilidad

El proyecto OpenSSL ha confirmado una nueva vulnerabilidad cuyo impacto no ha desvelado.
Detalle y supuesto Impacto de la vulnerabilidad
  • El problema reside en una condición de carrera si un cliente multihilo recibe un NewSessionTicket cuando intenta reusar un ticket anterior, lo que podría dar lugar a problema de doble liberación de memoria en los datos del ticket.
  • Se le ha asignado el CVE-2015-1791
Recomendación
Más información:
Fuente: Hispasec

CISCO CATALYST 6500. Denegación de servicio

Se ha confirmado una vulnerabilidad en Cisco Catalyst series 6500 que puede permitir a un atacante remoto autenticado provocar condiciones de denegación de servicio.
Detalle e impacto de la vulnerabilidad
  • El problema, con CVE-2015-0771, reside en una vulnerabilidad en el subsistema IKE (Internet Key Exchange) del módulo de servicio Cisco WS-IPSEC-3, que podría permitir el reinicio del switch Catalyst. La vulnerabilidad se debe a una validación insuficiente en mensajes específicos durante el establecimiento de un túnel IPsec. Para explotarlo el atacante podrá establecer una sesión IKE y enviar el paquete malicioso en sucesivas negociaciones. Una repetición del ataque podrá forzar la denegación de servicio.
Recomendación
  • Aunque Cisco ha confirmado la vulnerabilidad; sin embargo no existen actualizaciones disponibles.
Más información:
Fuente: Hispasec

ACTUALIZACIÓN. Para Adobe Flash Player

Adobe ha publicado una actualización para Adobe Flash Player (APSB15-11) para evitar 13 nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
Recursos afectados
  • Las vulnerabilidades afectan a las versiones de Adobe Flash Player 17.0.0.188 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.289 (y versiones 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.460 (y anteriores) para Linux. También afecta a Adobe AIR.
Detalle de la actualización
  • Se ha corregido una vulnerabilidad de desbordamiento de búfer (CVE-2015-3100), otra de desbordamiento de entero (CVE-2015-3104), otra de corrupción de memoria (CVE-2015-3105) y tres de uso después de liberar (CVE-2015-3103, CVE-2015-3106, CVE-2015-3107), que permitirían la ejecución de código arbitrario.
  • Por otra parte una vulnerabilidad de elevación de privilegios en Flash para Internet Explorer (CVE-2015-3101). Una fuga de memoria que podría permitir evitar la protección ASLR (CVE-2015-3108). Una vulnerabilidad (CVE-2015-3096) que podría permitir evitar la corrección para la CVE-2014-5333 (CSRF). Se mejora la aletoriedad de las direcciones de memoria del heap de Flash para la plataforma 64 bits de Window 7 (CVE-2015-3097).
  • Y por último tres vulnerabilidades que podrían permitir evitar la política de mismo origen y facilitar la obtención de información sensible (CVE-2015-3098, CVE-2015-3099, CVE-2015-3102).
Recomendación
  • Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
1.   Flash Player Desktop Runtime 18.0.0.160
2.   Flash Player Extended Support Release 13.0.0.292
3.   Flash Player para Linux 11.2.202.466
  • Igualmente se ha publicado la versión 18.0.0.160 de Flash Player para Internet Explorer y Chrome (Windows and Linux) y 18.0.0.161 de Flash Player para Google Chrome  (Macintosh).
  • También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler y AIR para Android a las versiones 18.0.0.143 (Macintosh) y 18.0.0.144 (Windows).
Más información:
Fuente: Hispasec

ACTUALIZACIONES. Para PHP 5.6.10, 5.5.26 y 5.4.42

PHP ha publicado sus nuevas versiones para las ramas 5.6, 5.5 y 5.4, que corrigen fallos tanto en el núcleo como en sus componentes, catalogadas de Importancia: 4 - Alta
Recursos afectados
  • Versiones de la rama 5.6 anteriores a la 5.6.10
  • Versiones de la rama 5.5 anteriores a la 5.5.26
  • Versiones de la rama 5.4 anteriores a la 5.4.42
Detalle de la actualización
  • Las actualizaciones resuelven múltiples errores, entre los que destacan fallos de segmentación de memoria, un desbordamiento de pila y una denegación de servicio.
Recomendación
  • Los sistemas de la rama 5.6 deben actualizar a la 5.6.10
  • Los sistemas de la rama 5.5 deben actualizar a la 5.5.26
  • Los sistemas de la rama 5.4 deben actualizar a la 5.4.42
Más información
Fuente: INCIBE

ACTUALIZACIÓN. Nuevos boletines de seguridad para las librerías OpenSSL

OpenSSL ha publicado nuevos boletines de seguridad donde se informaba de la solución de una serie de fallos de seguridad que afectaban directamente a la seguridad de las conexiones seguras que se realizaran a través de este componente.
OpenSSL es un conjunto de librerías utilizado por millones de servidores de toda la red para establecer conexiones seguras punto a punto.
Detalle e Impacto potencial de las vulnerabilidades corregidas
Los fallos que se han solucionado con los últimos boletines de seguridad son:
Logjam, un fallo en el protocolo TLS
  • El primero de los fallos de seguridad ha sido denominado como Logjam y catalogado con el identificador CVE-2015-4000. Este fallo se debe principalmente a un problema con el protocolo TLS donde piratas informáticos mediante ataques man-in-the-middle podían rebajar la seguridad de las claves Diffie-Hellman de 512 bits y comprometer así las comunicaciones.
  • Por suerte la vulnerabilidad no se ha estado explotando durante demasiado tiempo y la versión más reciente de OpenSSL ya ha aplicado un parche de seguridad bloqueando todas las negociaciones entre Diffie-Hellman inferiores a 768 bits. En un futuro cercano el límite se va a ampliar hasta 1024 bits para garantizar una mayor seguridad.
Un fallo en las estructuras de ECParameters causa loops infinitos
  • Se podía crear una estructura ECParameters maliciosa que causara que OpenSSL entrara en un loop infinito dando lugar así a ataques de denegación de servicio contra cualquier sistema que gestione claves públicas.
Este fallo afecta tanto a clientes TLS como a servidores que tienen la autenticación de clientes habilitada.
  • Lectura fuera de los límites del componente X509_cmp_time
  • Un atacante puede generar certificados erróneos y mal formados causando un fallo de segmentación y dando lugar a un ataque DoS sobre las aplicaciones que verifican los certificados.
  • Al cerrarse estas aplicaciones se modifican las reglas y se pueden llegar a leer varios bytes de zonas restringidas de la memoria Ram.
Cierre inesperado de PKCS7 si no se detecta Enveloped Content
  • Un fallo en PKCS7 hace que si no se detecta contenido “Enveloped Content ” correcto se pueda dar lugar a un ataque de denegación de servicio que deje el sistema totalmente bloqueado. Un atacante puede generar paquetes ASN.1-encoded malicioso que omite contenido y hace referencia a punteros nulos de manera que al descifrarlos no se obtengan los valores esperados dando lugar a este falo.
  • Este fallo no afecta ni a clientes ni a servidores OpenSSL sino que sólo afecta a las aplicaciones encargadas de descifrar los paquetes PKCS7.
Fallo en CMS al verificar una función de Hash desconocido
  • Este fallo ocurre al verificar un mensaje con datos firmados si al comprobarlo alguna de las funciones tiene un Hash desconocido. Esto puede dar lugar a ataques de denegación de servicio contra cualquier sistema simplemente utilizando el módulo de CMS.
Fallo al liberar la memoria de DTLS
  • Si un cliente de DTLS recibe datos entre la función ChangeCipherSpec y los mensajes de cierre de sesión es posible que se dé un estado de fallo de liberación, dando lugar a problemas de corrupción de memoria y causando el bloqueo de la herramienta.
Problema al controlar los eventos NewSessionTicket
  • Este es el único fallo que no ha sido catalogado como crítico ni moderado.
  • En este fallo si se intenta procesar un evento NewSessionTicket mientras se reutiliza un “ticket de sesión” anterior se puede llegar a desencadenar una fuga de datos de ambas sesiones.
Recomendación
Para asegurarnos de que estamos protegidos ante estos nuevos fallos de seguridad que explicamos a continuación debemos actualizar nuestras librerías OpenSSL a las versiones más recientes:
  1. Los usuarios de la versión 1.0.2 deben actualizar a 1.0.2b
  2. Los usuarios de la versión 1.0.1 deben actualizar a to 1.0.1n
  3. Los usuarios de la versión 1.0.0 deben actualizar a to 1.0.0s
  4. Los usuarios de la versión 10.9.8 deben actualizar a to 0.9.8zg
Todas estas versiones se encuentran disponibles desde http://openssl.org/source/
También recuerda OpenSSL que las versiones 1.0.0 y 0.9.8 acaban su soporte a finales de año.
Más información
Fuente: Web principal de OpenSSL

LINUX. Ubuntu parchea kernel y soluciona vulnerabilidades persistentes de OpenSSL

 Canonical ha publicado una serie de parches que solucionan fallas en el kernel de Linux y OpenSSL, que habían dejado a los usuarios de Ubuntu expuestos a una escalada de privilegios y ataques de denegación de servicio (DoS).
El parche de carácter más crítico soluciona una serie de vulnerabilidades que podrían utilizarse para obtener privilegios extendidos en el sistema vulnerado.
Según Canonical, las vulnerabilidades permitirían a un atacante remoto provocar caídas del sistema o potencialmente escalar privilegios en equipos basados en Intel. Del mismo modo, un usuario local podría aprovechar el problema para ocasionar una denegación de servicio o mejorar sus privilegios, haciéndose así del control del sistema afectado.
Ubuntu publicó además una mejora general de la seguridad que modifica las rutinas de OpenSSL, que ahora rechazará automáticamente claves Diffie-Hellman (DH) inferiores a 768 bits. La gravedad de los errores de Ubuntu llevó a US-CERT a emitir una recomendación instando a los usuarios instalar las actualizaciones y parches.
La vulnerabilidad de Ubuntu se sumó a una preocupación generalizada por la seguridad de OpenSSL, que llegó a nivel crítico en 2014 cuando se descubrió Heartbleed.
Fuente: Diarioti.com

HEAP OVERFLOW. En el controlador QEMU PCNET de Xen

 Un heap overflow en el controlador QEMU PCNET permite escapar del guest al host, catalogada de Importancia: 4 - Alta
Recursos afectados
  • Todos los sistemas Xen corriendo x86 HVM sin stubdomains que utilicen el modelo de driver emulado PCNET.
Detalle e Impacto de la vulnerabilidad
  • El controlador PCNET no permite enviar frames de un tamaño mayor a 4096, sin embargo si permite enviar frames marcados como TXSTATUS_DEVICEOWNS, TXSTATUS_STARTPACKET y TXSTATUS_ENDPACKET, lo cual permite saltarse la primera limitación, lo que puede provocar un heap overflow.
  • Se ha asignado el identificador CVE-2015-3209 a esta vulnerabilidad
Recomendación
Más información
Fuente: INCIBE

ESTUDIO. El 95% de empresas españolas están en redes sociales, pero deben mejorar

 El índice del modelo de atención al cliente social se sitúa en España en un estado básico (34%), según un estudio pionero realizado por Altitude: El Consumidor Social. Madurez del Social Customer Service en el Mercado Español 2015.
El 95% de las empresas españolas habla con sus clientes a través de las redes sociales pero sólo el 55% establece una atención al cliente mediante estas herramientas. Esta es una de las conclusiones que se pueden extraer del informe “El Consumidor Social. Madurez del Social Customer Service en el Mercado Español 2015” que ha presentado Altitude.
El informe es pionero en España ya que por primera vez analiza directamente el comportamiento de estas empresas en RRSS y el servicio que ofrecen a sus clientes. El informe recoge más de 50.000 interacciones en redes sociales de 77 grandes empresas españolas divididas en 11 sectores de actividad. Mediante la monitorización de las mismas y la realización de 380 encuestas, Altitude ha dividido el mercado actual en cuatro escalones en función de su grado de madurez en atención al cliente a través de las redes sociales: No SCS (Social Customer Service), Básico, Consolidado y Avanzado.
Detalle del estudio
  • Se ha realizado una valoración y selección de marcas atendiendo a su presencia en los medios sociales, su disponibilidad de perfiles para atención al cliente y su tipo y volumen de conversación.
  • De este modo, se extrae que el índice MACS (Modelo de Atención al Cliente Social) se sitúa en nuestro país en el estado básico (34%) es decir, las marcas proporcionan un soporte en estos canales y tienen una estrategia disponible pero los procesos están compartimentados en silos y las operaciones son reactivas.
  • La gran mayoría de las compañías que conforman el estudio, un 45%, ofrecen una atención limitada y no resolutiva. Sus perfiles contienen, en su mayoría, contenidos de marketing y las interacciones con los clientes se desvían a los canales tradicionales.
  • En el modelo básico se encuentra el  42% de las empresas analizadas que tienen una atención reactiva con reglas básicas de respuesta y ofrecen una resolución de interacciones simples mientras transfieren las complejas.  Por el contrario,  el 13% de las marcas se encuentran en un estado consolidado, que se traduce en procesos integrados, una organización colaborativa, una tecnología integral y una experiencia omnicanal, entre otras.
  • Dentro del estudio El Consumidor Social. Madurez del Social Customer Service en el Mercado Español, llama la atención que ninguna de las compañías analizadas ha logrado situarse en el punto álgido de la atención al cliente en redes sociales y ninguna de ellas otorga a sus usuarios atención a lo largo de toda la cadena de valor.
  • “Dependiendo de la actividad de la marca, podemos encontrar una diferenciación clara. Telecomunicaciones y banca han sido los primeros en ver el potencial de estos nuevos canales y han tomado la delantera a los demás en cuanto a promoción, visibilidad y su alto nivel de interacción con los clientes”, ha explicado Raquel Serradilla, vicepresidenta para el sur de Europa de Altitude Software.
  • En concreto, cuenta con un índice MACS de un 56% y un 44%, respectivamente. En el extremo contrario se sitúan consumo, alimentación y turismo, industrias muy rezagadas en cuanto a atención al cliente por medio de las RRSS.
Para el usuario, las RRSS son impresdindibles
  • Los usuarios, por su parte, se muestran muy partidarias de estas herramientas para seguir a las empresas. “Los consumidores siguen las novedades de sus marcas favoritas a través de las redes sociales y reclaman, cada vez más, una verdadera atención a través de ellas. Por ejemplo, este estudio revela que el 30% de los consumidores sigue a las marcas para conseguir información que les ayude a completar su proceso de compra”, ha añadido la directiva.
  • De hecho, según el estudio El Consumidor Social, un 62% de los usuarios utilizan estos canales para informarse sobre productos y promociones, un 38% para estar al día sobre los eventos organizados por las marcas, y un 26% para solicitar soporte y atención.
  • En cuanto a las redes usadas, Twitter es la favorita, el 95% de las marcas analizadas cuentan con un canal en ella. Le siguen Facebook con el 79% y Google+ a mucha distancia, con el 8% de presencia. Blogs y foros colaborativos son los grandes olvidados por las compañías a la hora de atender a sus clientes.
CONCLUSION
  • Las conclusiones de este estudio demuestran que el consumidor ha cambiado y reclama la atención de las empresas por todas las vías posibles: establecer canales de atención al cliente en las redes sociales debe ser una prioridad para las empresas si quieren satisfacer a sus usuarios y lograr su máxima satisfacción.
Fuente: diarioti.com

CA TECHNOLOGIES. Actualiza plataforma de Business Intelligence para decisiones estratégicas

CA Technologies (NASDAQ: CA) anuncia una nueva versión de su solución CA Project and Portfolio Management. CA PPM proporciona información crítica detallada sobre el negocio de toda la empresa con el fin de mejorar la toma de decisiones estratégicas en las compañías que operan con agilidad en la competitiva economía de las aplicaciones.
CA PPM está disponible tanto en la nube como en local, y permite a empresas de todos los tamaños priorizar las iniciativas estratégicas y utilizar los recursos adecuados. Según CA, esto da a los responsables de la empresa un acceso más rápido y fácil a la información crítica sobre los proyectos y las iniciativas, necesaria para colaborar y tomar decisiones sobre el portafolio de proyectos según se avanza. “Al facilitar una toma de decisiones rápida y precisa, CA PPM ayuda a asegurar que los equipos ejecutan los proyectos dentro del plazo y presupuesto fijados. CA PPM SaaS forma parte de la oferta CA Management Cloud, una gama de soluciones fácil de utilizar y de adquirir que ayuda a las organizaciones a gestionar sus activos tecnológicos de la misma forma que se gestiona un negocio”, agrega CA.
Business Intelligence
  • Según la empresa, la nueva versión de CA PPM “democratiza los datos clave porque presenta el primer y único sistema de business intelligence integrado para PPM, que sintetiza la información sobre los proyectos, los productos y los datos financieros que necesitan las organizaciones para la toma de decisiones sin sacrificar el rendimiento”.
  • CA cita un estudio de Gartner, según el cual “las organizaciones están pidiendo mejores capacidades de colaboración en los proyectos para abordar aquellos más complejos y también mejores funciones de análisis del portafolio de proyectos para gestionar mejor el riesgo del portafolio”. Al respecto, la empresa asegura que CA PPM resuelve esta necesidad proporcionando un Data Warehouse integrado que “no requiere configuración ni personalización, es la primera experiencia de un sistema de business intelligence integrado en la gestión de los proyectos y el portafolio de proyectos”.
Fuente: Diarioti.com

MOTOROLA SOLUTIONS. Aportará análisis de Big Data para resolución de delitos

Motorola Solutions y Wynyard Group combinarán sus tecnologías para analizar grandes volúmenes de datos.
Motorola Solutions  (NYSE: MSI) se asocia a Wynyard Group para integrar estudios analíticos de actividad delictiva con el  fin de ayudar a los organismos públicos a interconectar distintas fuentes de datos, como antecedentes delictivos, redes sociales, registros de propiedades, anotaciones de campo y otras fuentes probatorias. El software ayuda a identificar ciertos patrones de conducta delictiva y determinar relaciones analizando datos en pocos minutos, y no en días, liberando recursos de organismos para que puedan dedicarse a investigar pistas y resolver casos.
En abril pasado, Motorola Solutions adquirió PublicEngines y sus productos CommandCentral Predictive y CommandCentral Analytics para ampliar sus Soluciones de Seguridad Pública Inteligente. El software de Wynyard Group optimiza CommandCentral conectando los puntos entre múltiples bases de datos y bibliotecas de pruebas a fin de ayudar a los investigadores a prevenir y resolver delitos.
Refiriéndose a la nueva alianza, Bob Schassler, Vicepresidente Ejecutivo de Motorola Solutions, declaró: “Las adquisiciones, alianzas e inversiones que Motorola Solutions continúa haciendo este año están consolidando de manera significativa la capacidad de nuestros clientes de prevenir, detectar y resolver delitos con más información a su alcance que nunca. Las Soluciones de Seguridad Pública Inteligente de Motorola Solutions y el software de estudio analítico de Wynyard Group proporcionan a la seguridad pública una potente ventaja que le permite obtener rápidamente inteligencia ejecutable de un volumen creciente de datos disponibles.”
Ambas empresas recalcan que, con la tecnología resultante de su alianza, los organismos de seguridad pública de todo tipo “podrán hacer más con menos, actualizando su inteligencia y su capacidad investigativa por una fracción del costo con esta solución de Software como Servicio (SaaS)”. La plataforma de Seguridad Pública Impulsada por la Inteligencia de Motorola Solutions ayuda a los organismos a compartir datos a nivel regional o nacional, rápida y fácilmente a fin de contribuir a prevenir delitos que se extienden a otras jurisdicciones.
“Wynyard Group ofrece soluciones avanzadas de estudio analítico de actividad delictiva para grandes organismos de seguridad nacional y encargados del cumplimiento de la ley de todo el mundo,” dijo Craig Richardson, director general de Wynyard Group. “La alianza con Motorola Solutions abre nuevas posibilidades para ayudar a estos organismos a identificar personas, relaciones y eventos de interés, y ofrecer una única vista del entorno delictivo para ayudar a detener a los delincuentes y proteger a las víctimas”.
Fuente: Diarioti.com

FACEBOOK. Añade cifrado PGP a los correos electrónicos

Facebook ha empezado a habilitar de manera progresiva una nueva medida de seguridad en las cuentas de sus usuarios: la posibilidad de asociar una clave pública PGP para cifrar las comunicaciones entre la empresa y el usuario.
En ocasiones es posible que al comunicarnos con Facebook a través de correo manejemos información sensible que si cae en malas manos puede comprometer nuestra seguridad. Un ejemplo de correo electrónico sensible es el de restauración de la contraseña que facilita un enlace desde donde accederemos a nuestra cuenta y podremos establecer una contraseña nueva.
Aunque esta función que ahora se incluye en la red social está aún en fase experimental y sólo los usuarios más expertos podrán hacer uso de ella es sin duda un importante movimiento por parte de la red social para mantener la privacidad lo más elevada posible en cuanto a la comunicación entre el cliente y la empresa.
Para añadir a Facebook una clave pública para cifrar nuestros mensajes simplemente debemos acceder a nuestro perfil principal desde el siguiente enlace y añadirla en el apartado correspondiente.
Una vez añadida automáticamente la red social nos enviará un correo de prueba. En nuestra bandeja de entrada podremos ver sólo un mensaje en blanco junto con un archivo .acs adjunto. Este archivo es el que contiene el mensaje que la red social nos ha enviado, por lo que para acceder a él simplemente debemos abrirlo con un editor de texto (Sublime Text o Notepad++, por ejemplo) y veremos el contenido del mismo, eso sí, cifrado.
Lo único que nos queda por hacer es utilizar la clave privada para descifrar el contenido del mensaje. En nuestro caso el primer mensaje que nos ha enviado la red social era para verificar la dirección de correo y la clave pública de cifrado, por lo que la descifrar el contenido hemos encontrado un enlace desde el cual lo hemos verificado.
A partir de ahora las comunicaciones más sensibles de Facebook se realizarán mediante correo cifrado y seguro utilizando para ello nuestra clave pública y sólo nosotros podremos acceder a dicha información con nuestra clave privada que, sin ella, nadie más conseguirá descifrar el contenido del mensaje.
El nuevo cifrados de correos PGP junto a la implementación de conexiones seguras HTTPS va a permitir que los usuarios disfruten de la máxima seguridad al usar la red social de cara a evitar que usuarios malintencionados puedan acceder a nuestras comunicaciones (por ejemplo con un ataque MITM) y comprometer nuestra privacidad.
Fuente: Redeszone.net

ESPAÑA. Casi el 40% de los PC`s están infectados por malware

Panda Labs ha publicado un nuevo informe de amenazas con los resultados obtenidos durante el primer trimestre de 2015 (enero-marzo). En estos tres primeros meses del año la empresa de seguridad ha identificado más de 225.000 nuevas piezas de malware cada día, un dato muy superior al reportado en el mismo periodo del pasado año 2014. El malware por excelencia siguen siendo los troyanos con algo más del 72% del total y la mayor parte de las nuevas piezas de software malicioso detectadas corresponden con variantes de amenazas conocidas que compilan los piratas informáticos para saltarse los sistemas de detección actuales.
Durante estos tres primeros meses de 2015 la amenaza más peligrosa ha sido el ransomware, concretamente en su variante CryptoLocker. Este tipo de amenaza cifra los datos de los usuarios para pedir posteriormente un pago económico por la clave privada para descifrar los archivos y recuperar la posesión sobre ellos. Usuarios y grandes empresas han sido víctimas de este software y en los próximos meses la tendencia de distribuir ransomware va a seguir en aumento.
Otras amenazas reseñables de los tres primeros meses del año han sido las falsas tarjetas regalo para supermercados y grandes superficies de ropa (Zara) y la distribución de nuevo malware a través de SMS para dispositivos móviles.
España ocupa el puesto 15 en la lista de los países con mayor porcentaje de ordenadores infectados por malware. Según el estudio de la firma de seguridad en nuestro país el 38.37% de los ordenadores son víctimas de un virus, un troyano, un gusano o forman parte de una botnet controlada por piratas informáticos.
Noruega, Suecia y Japón son los países con menor ratio de infección con unos porcentajes del 22%, 23% y 24% respectivamente. Por otro lado los países más infectados son China, Turquía y Perú con unos ratios del 48%, 43% y 42% respectivamente.
Ya nos llegamos por la mitad de 2015 y los valores no han ido a mejor. Los ciberdelincuentes cada vez tienen más fácil el poder desarrollar nuevas piezas de malware cada vez más peligrosas con las que poder lucrarse y tener una suite de seguridad instalada, actualizada y funcionando no nos garantiza estar seguros al 100% si no tenemos sentido común. Nunca debemos olvidar que en las redes sociales nadie regala nada ni que un correo electrónico de un desconocido pueda tener un archivo adjunto que nos sea de interés.
Fuente: Panda Labs

CRYPTOWALL. Envían una copia como archivo adjunto en un correo electrónico

Solo los servicios de mensajería y redes sociales disponen de una capacidad mayor de difusión. Aunque sea un truco bastante antiguo, los ciberdelincuentes aún recurren a estos servicios y de nuevo nos tenemos que hacer eco de una nueva oleada que está distribuyendo entre los usuarios una copia del malware CryptoWall.
En esta oleada se está distribuyendo utilizando un archivo comprimido en ZIP que contiene un ejecutable SCR, algo que contrasta con la información ofrecida por el cuerpo del correo electrónico donde se indica que se puede encontrar más información relacionada con el cuerpo del mensaje en el archivo PDF que se encuentra en el interior del adjunto. Sin embargo, el archivo falso no es el que procede a la descarga e instalación del virus ya que este solo redirige la navegación del usuario hacia páginas web que están infectadas con código malicioso.
Las herramientas de seguridad están actualizadas frente a CryptoWall
  • El punto positivo que se puede extraer de esta oleada es que las herramientas de seguridad ya están actualizadas para hacer frente a esta amenaza y una amplia mayoría detecta de forma correcta y procede a su eliminación el troyano antes de que este logre instalarse de forma satisfactoria en el sistema.
  • A pesar de tratarse de una nueva variante, las modificaciones en los antivirus han sido mínimas, demostrando que esta nueva versión no varía mucho de la ya existentes.
  • Los usuarios están siendo redirigidos a páginas web que contienen el ejecutable que sirve para instalar el virus o bien se remiten a carpetas pertenecientes al servicio Google Drive donde se encuentra alojado este archivo. Estos espacios de almacenamiento ya han sido reportado al Gigante de Internet que ya ha procedido al cierre de la mayoría aunque hay que decir que aún quedan disponibles algunas carpetas.
Fuente: Softpedia

UNFRIENDALERT. La falsa aplicación diseñada para robar las cuentas de Facebook

 UnfriendAlert está destinada a afectar a los usuarios de Facebook y hasta hace poco su página web en la red social estaba disponible donde se podían leer muchos comentarios de usuario totalmente satisfechos con el funcionamiento de ésta (evidentemente corresponden con perfiles falsos creados por los propios ciberdelincuentes para crear expectación). 
El programa “permitía” comprobar qué personas habían dejado de seguir el perfil y quién había visitado cada una de las publicaciones, sin embargo esto no es así y el programa es una estafa.
Cuando realizábamos la descarga del instalador se iniciaba un proceso de instalación en el que se solicitaba al usuario las credenciales de acceso a la cuenta de la red social. La finalidad no era completar la instalación de forma satisfactoria como se indica en este sino proceder al robo del usuario y de la contraseña y posteriormente de la cuenta.
Pero la estafa aún no termina aquí ya que el instalador concluye y el usuario se encuentra con que lo que se ha instalado en su equipo no es el programa que se indicaba.
UnfriendAlert es un adware
  • Se trata de un software no deseado que muestra publicidad intrusiva en el equipo y que instala barras de herramientas adicionales en el navegador, provocando que en muchos casos el equipo realice ciertas operaciones con una lentitud considerable, sobre todo si hablamos de tareas desempeñadas por el navegador web.
  • Si todavía tienes acceso a tu cuenta de la red social y has sido víctima de esta estafa lo primero que debes hacer es modificar la contraseña de cuenta para evitar que sea secuestrada. En segundo lugar se debe proceder a la desinstalación del adware y esto es sumamente sencillo ya que se puede realizar desde el Panel de Control de nuestro equipo Windows. Una vez finalizado el proceso el equipo volverá a la normalidad y solo tendremos que modificar la página de inicio de nuestro navegador que también se habrá visto modificada.
Fuente: The Hacker News

WINDOWS 10 RTM. Copias falsas utilizadas para distribuir malware

Aunque su salida al mercado está prevista para el 29 de julio, son muchos los usuarios que buscan la forma de conseguir una copia, provocando que los ciberdelincuentes recurran al ingenio para distribuir amenazas malware. En esta ocasión se están distribuyendo copias falsas de Windows 10 RTM para instalar virus en los equipos de los usuarios.
Operativa de la estafa
  • La acción se está realizando principalmente a través de vídeos de Youtube donde se explica cómo conseguir una copia de esta versión y realizar su instalación de forma satisfectoria, incluyendo en la descripción del vídeo un enlace desde donde el usuario debe descargar el material necesario.
  • Para realizar la descarga de los contenidos al usuario se le pide rellenar una serie de formularios en los que este debe introducir una cuenta perteneciente a una red social, bien Google+, Facebook o Twitter. Se trata de un trampa para proceder al robo de la cuenta y recopilar las credenciales. De las tres opciones sin lugar a dudas la peor es la cuenta de los servicios del Gigante de Internet, ya que con esta se pueden acceder a muchos servicios de forma simultánea.
  • Una vez que el usuario ha “iniciado sesión” se procederá a la descarga de la ISO con la “imagen” del sistema operativo.
La ISO de Windows 10 RTM contiene un keylogger
  • Lo que se encuentra el usuario al extraer la imagen es un único ejecutable que parece un el gestor que se encargará de realizar la descarga del contenido necesario. Sin embargo esto no es así y cuando está descargando documentos se suceden una serie de fallos provocados de forma intencionada por el software que se está ejecutando para fingir un problema. Mientras el usuario se resigna los ciberdelincuentes ya han cumplido su cometido: instalar un keylogger en el equipo.
  • Mientras se ha simulado una descarga de archivos que nunca se ha realizado, lo que sí se ha hecho con éxito es la instalación de esta pieza malware que se encargará de grabar todas las pulsaciones de teclado realizadas en un afán por conseguir muchas más credenciales del usuarios mientras este hace uso del navegador web y por ejemplo programas de mensajería.
Fuente: Softpedia

SHIELA USB SHIELD. Protege tus puertos USB con esta aplicación libre

Shiela USB Shield es una herramienta gratuita y de código abierto que nos permite bloquear todo tipo de contenido peligroso en las memorias UBS y evitar así terminar infectados por malware simplemente por conectar una memoria a nuestro ordenador.
Las principales características de Shiela USB Shield son:
  • Totalmente gratuito y de código abierto.
  • Bajo consumo de recursos.
  • Detecta y soluciona los problemas de virus en las memorias.
  • Bloquea los archivos “autorun.ini” cuando estos están vinculados a un fichero .exe.
  • Ofrece protección contra escritura de las unidades USB.
  • Permite “vacunar” las memorias USB para evitar que se infecten en otros ordenadores.
  • Cuenta con una herramienta para mostrar archivos y carpetas ocultos.
Lo primero que debemos hacer es descargar Shiela USB Shield desde su página web principal e instalarla en nuestro ordenador. Aunque la descarga se realiza desde SourceForge la aplicación está libre de software no deseado.
Una vez instalada la aplicación comenzará a funcionar automáticamente. No necesitamos hacer nada más. Para controlarla podremos ver un nuevo icono en la bandeja del sistema, junto al reloj, que si pulsamos sobre él podemos acceder a una serie de funciones y abrir el menú de configuración de la aplicación.
  • Configurar el análisis en tiempo real.
  • Mostrar notificaciones cuando conectemos nuevas unidades y cuando se detecten amenazas.
  • Analizar memorias USB conectadas.
  • Vacunar memorias USB.
  • Mostrar los archivos ocultos.
Otras opciones
  • También podemos abrir las opciones del programa desde este apartado para acceder a algunas opciones adicionales como que el programa. En el primer apartado podemos configurar el arranque automáticamente con Windows o asociar a un antivirus adicional para un análisis más en profundidad.
  • En el apartado “Detection” podemos elegir el comportamiento por defecto al detectar una amenaza.
  • En el apartado “Miscellaneous” podemos desactivar los puertos USB de nuestro ordenador o activar la protección contra escritura. También podemos indicar cada cuanto tiempo analizará la memoria para mantener así el menos uso de RAM posible.
  • Para finalizar en el apartado de “Exceptions” podemos elegir varios archivos que no se analizarán y que se asociarán siempre como “de confianza”.
Como podemos ver Shiela USB Shield es una sencilla pero completa herramienta gracias a la cual reduciremos notablemente el riesgo de infectar nuestro ordenador a través de otras memorias USB que puedan estar infectadas. Igualmente podemos utilizarlas para vacunar nuestras memorias USB y evitar así que si se las dejamos a un amigo o las conectamos a ordenadores públicos estas puedan infectarse
Fuente: Redeszone.net

PIN 6 DÍGITOS. ¿Suficiente para proteger nuestros dispositivos a largo plazo?

En la WWCD 2015, se presentaron varios sistemas operativos, el Mac OS X y la nueva versión de iOS 9. Y se explicaron las mejoras que se habían introducido durante el desarrollo tanto nuevas funciones como optimizaciones de rendimiento y mejoras de seguridad. Uno de los aspectos a los que se hizo referencia es al bloqueo de dispositivos móviles y a cómo evitar que usuarios no autorizados puedan hacer uso de ellos.
Realmente existen dos métodos de protección. 
  • El primero es proteger el dispositivo con una contraseña alfanumérica. Esto es lo más seguro que podemos encontrar, sin embargo, es muy molesto tener que escribir igual una contraseña de 8 o 10 caracteres cada vez que queremos desbloquear el dispositivo. Por ello la mayoría de la gente suele utilizar un código pin como sistema de bloqueo para sus dispositivos.
  • Por lo general los pins suelen ser de 4 dígitos y los smartphones se bloquean tras un número de intentos fallidos (10 en el caso de Apple). Pese a ello hay algunas vulnerabilidades que permiten realizar ataques de fuerza bruta para desbloquear un dispositivo iOS que si está protegido con un código de 4 dígitos el proceso podría no llevar más de unas horas.
Con iOS 9 se va a aumentar el número de dígitos del código pin predefinido de 4 a 6. De esta manera ante un ataque de fuerza bruta los atacantes podrían tardar varios días en poder acceder al dispositivo.
Pin de 6 dígitos: ¿Me siento seguro?
  • Aunque el uso de 6 dígitos mejora nuestra privacidad y seguridad repercute directamente sobre nuestra productividad. Con 6 dígitos es más probable equivocarse al introducirlos en nuestro smartphone (especialmente en espacios reducidos, cuando estemos nerviosos o cuando tengamos prisa). También implica una pérdida de tiempo (aunque apenas son segundos) en introducir los dos números adicionales.
  • Si un ladrón roba un teléfono protegido por un código Pin y sabe cómo explotar los fallos para tener intentos ilimitados le da igual esperar unas horas que unos días sabiendo que, tarde o temprano, conseguirá acceder a él. Igualmente lo que hoy es un pin de 6 dígitos mañana deberá ser uno de 8 debido al aumento de la potencia de los ordenadores y las nuevas técnicas de ataque que aparecen en el día a día para explotar piezas de software.
  • Un código pin de 6 dígitos puede estar bien como medida de protección adicional siempre que se utilice junto a otras técnicas como el TouchID, sin embargo, como bloqueo único se debe buscar la forma más cómoda y sencilla para el usuario y, sobre todo, solucionar todos los fallos existentes que pueda haber en el sistema operativo para que los intentos no sean ilimitados.
Fuente: Redeszone.net

MOZILLA. Enfatiza en la seguridad y aumenta las recompensas del Bug Bounty

Mozilla lleva ya 5 años con un programa de recompensas Bug Bounty con el que anima a expertos de seguridad a auditar sus aplicaciones (Firefox, Thunderbird, etc) en busca de posibles fallos de seguridad que puedan comprometer la seguridad de los usuarios.
Hasta ahora la recompensa máxima por un fallo de seguridad crítico era de 3.000 dólares (2.650 euros). Tras 5 años sin modificar estas recompensas finalmente la compañía ha decidido aumentarlas de cara a animar a un mayor número de investigadores a auditar la seguridad de sus productos. A partir de ahora un fallo de seguridad grave correctamente reportado y demostrado puede pagarse con hasta 7.500 dólares (unos 6.650 euros).
Mozilla afirma también que si se reporta un fallo de seguridad y se envía junto a un exploit o se descubre una nueva forma de aprovecharse de un fallo de seguridad las recompensas podrían alcanzar hasta los 10.000 dólares (8.870 euros).
El mínimo que se pagará por un fallo de seguridad crítico aportando únicamente un volcado de memoria es de 3.000 dólares y los fallos de seguridad no críticos recibirán una recompensa de entre 500 y 2000 dólares según su peligrosidad y la calidad de la información aportada sobre la vulnerabilidad.
En la web principal de la compañía podemos ver más información detallada sobre su programa Bug Bounty así como los pasos a seguir para reportar una vulnerabilidad. Estos pasos se resumen principalmente en crearse una cuenta de Bugzilla, reportar el fallo indicando que es confidencial y aportar toda la información que se pueda durante el proceso.
Un excelente movimiento por parte de Mozilla para mejorar la seguridad de sus productos, especialmente la de Firefox debido a la alta competencia existente en el mercado de los navegadores con Google Chrome e Internet Explorer y con la llegada inminente de Microsoft Edge, el nuevo navegador de la compañía que no va a poner las cosas fáciles a sus rivales.
Fuente: Redeszone.net

VPN. ¿ Los gratuitos son fiables ?

Las conexiones VPN nos aportan una capa de seguridad adicional aplicando un cifrado a todo el tráfico desde que sale de nuestro dispositivo hasta que llega al servidor. Por ello muchos usuarios optan por utilizar servidores gratuitos, pero a lo mejor no son del todo fiables. Pero ¿por qué? 
Los servidores cuestan dinero
  • Los servidores no son gratis. Un servidor cuesta dinero en cuanto a hardware, electricidad y mantenimiento. Si una empresa nos ofrece acceso a un VPN gratuito debe estar consiguiendo la inversión por otro lado y corremos el riesgo de que este dinero venga de la venta de información privada de sus clientes.
  • Hay muchas empresas que pagan a cambio de información sobre los usuarios, por lo que aunque protejamos nuestras conexiones de cara a ataques MITM esta seguirá comprometida de cara a empresas y grandes organizaciones.
¿Por qué es Tor gratis?
  • Tor protege las conexiones de forma similar a un servidor VPN pero no es exactamente lo mismo. La red Tor se basa principalmente en enmascarar la dirección IP de origen y el contenido de los paquetes reenviándolos a través de una serie de routers o nodos repartidos por todo el mundo.
  • Tor necesita aplicaciones y configuraciones específicas para poder funcionar y la velocidad a la que navegamos por lo general suele ser bastante reducida, por lo que dentro de las opciones gratuitas es la mejor forma de proteger nuestra privacidad, pero siempre nos darán mayor privacidad y rendimiento un servidor especializado de pago.
Hola, un claro ejemplo de lo anterior
  • Hola era uno de los servidores VPN gratuitos más utilizados de la red. Este servicio se integraba perfectamente con nuestro navegador web y nos permitía proteger nuestras conexiones de miradas indiscretas.
  • Aunque parecía que todo funcionaba perfectamente la semana pasada hemos podido ver cómo la compañía se estaba provechando de la extensión para ofrecer “nodos de salida” a los usuarios de otro servicio de pago de manera que se utilizara el ancho de banda de sus clientes gratuitos para dar acceso a los clientes de pago.
  • Hola se convirtió en una botnet sin que los usuarios se dieran cuenta.
Qué debe tener un VPN para ser fiable
  • A la hora de proteger nuestra privacidad debemos pagar por ello. De esta forma nos aseguraremos de que la compañía tenga dinero para cubrir los gastos y que no se optará por vender información para conseguir dicha inversión.
  • Igualmente necesitamos un servidor que no guarde registros de actividad ni de conexiones en sus bases de datos y que permita el pago mediante sistemas seguros y privados como puede ser el Bitcoin.
  • Para finalizar si la compañía que contratamos tiene servidores DNS propios sería lo mejor para evitar que se pueda filtrar la información de las solicitudes DNS por un fallo en nuestra conexión.
Entonces ¿Cuales son los servidores de los que podemos fiarnos?
Fuente: Guidingtech

VAWTRAK. Utiliza Tor2Web para conectarse a servidores de control ocultos en la red Tor

Según los investigadores de seguridad los piratas informáticos responsables de Vawtrak han movido todos los servidores de control de este malware hacia la red Tor y han dotado a la herramienta de una serie de conexiones hacia Tor2Web desde donde establecer de forma oculta y cifrada la conexión con éstos.
Detalles de la operativa del troyano 
  • Vawtrak es un troyano que roba contraseñas por todo el mundo llegando a causar problemas incluso a grandes multinacionales. En los orígenes del malware su funcionamiento se limita sólo al robo de contraseñas, sin embargo, con el paso del tiempo se ha ido mejorando el software y se le han añadido nuevas y preocupantes funcionalidades hasta convertirlo en un troyano de lo más completo.
  • A diferencia de otros piratas informáticos que configuran sus troyanos y demás malware directamente para que se conecten a través de la red Tor a sus servidores de control, este aún establece conexiones HTTP hacia Tor2Web para, desde allí, establecer una conexión hacia los servidores de control de este. Esta forma de establecer conexiones es poco segura ya que en un análisis de paquetes se podría ver que se intentan establecer conexiones con esta plataforma, sin embargo, como la mayor parte del público general de este malware son usuarios domésticos no hay problema con esto.
  • Al analizar el profundidad el código del troyano se puede ver cómo se le ha añadido un algoritmo de generación de dominios .onion (DGA). En la red Tor los dominios se generan a partir de hashes generados sobre la base de la clave pública del servicio oculto, por lo que lo más probable es que esa función a nivel interno sólo se utilice para generar dominios ya conocidos y registrados por los piratas informáticos, evitando que estos puedan ser registrados por otros usuarios de la Deep Web.
CONCLUSION
  • Los responsables de Vawtrak están cambiando muchos aspectos de su herramienta maliciosa y hasta es posible que cuando asienten todos los cambios y todo funcione correctamente se lleve a cabo una nueva campaña de distribución de este software malicioso a través de las redes sociales y el correo electrónico, por lo tanto y como siempre sigo siendo recomendable tener un software antivirus instalado y actualizado.
Fuente: Virus Bulletin