1 de julio de 2015

FRANCIA. Espía millones de llamadas, correos y mensajes de sus ciudadanos

La Dirección General de la Seguridad Exterior recolecta los datos de toda actividad que pase por Google, Facebook, Microsoft, Apple y Yahoo!, según informa el diario 'Le Monde'
Francia cuenta con un sistema de espionaje de comunicaciones que escruta en su territorio millones de llamadas de teléfono, correos electrónicos o mensajes de móvil bajo un marco legal poco claro, según reveló este jueves el diario Le Monde.
"La Dirección General de la Seguridad Exterior (DGSE) recolecta sistemáticamente las señales electromagnéticas emitidas por los ordenadores o los teléfonos en Francia, así como los flujos entre Francia y el extranjero: la totalidad de nuestras comunicaciones son espiadas", señaló ese diario.
Esos procedimientos, preciados por los servicios antiterroristas, no se centran en el contenido de las comunicaciones, sino en los "metadatos", es decir, quién contacta a quién. "La DGSE recolecta los datos de las llamadas de millones de abonados, identificando a los interlocutores, el lugar, la fecha, la duración y el peso del mensaje. Lo mismo con los correos electrónicos -con la posibilidad de leer el asunto del correo-, los SMS, los faxes... Y toda actividad que pase por Google, Facebook, Microsoft, Apple, Yahoo!", agrega el diario.
"Los políticos lo saben perfectamente, pero el secreto es la regla", añade Le Monde. Según el rotativo, el almacenamiento de esos datos "durante años" se trata de una práctica ilegal, a lo que las fuentes de los servicios secretos del diario precisan que es "alegal", es decir, que no está regulado pero tampoco prohibido.
El espionaje está legislado, "no hay nada previsto sobre el almacenamiento masivo de datos por los servicios secretos". Esos datos estén a disposición de una serie de agencias francesas a cargo de la seguridad, desde los servicios aduaneros a la inteligencia militar, interior, exterior y financiera, entre otras.
Le Monde no dice que Francia espíe de esa forma fuera de su territorio, pero sí que detalla una "larga tradición" de espionaje industrial y comercial que data, al menos, de los años cincuenta del siglo XX, durante la guerra fría. "La DGSE pone a disposición de los responsables de las grandes empresas francesas, en una sala protegida de su sede de París, documentos comerciales confidenciales robados gracias a los potentes medios de interceptación de los que dispone la agencia francesa", apunta el periódico.
Francia pone a disposición de las grandes empresas documentos comerciales confidenciales robados
Como ejemplo concreto de ese tipo de espionaje, el diario se remonta a noviembre de 2011, cuando en su habitación del hotel Crowne Plaza de Toulouse, el presidente de la compañía aérea China Eastern se encontró "frente a frente" con tres hombres que registraban sus maletas. Los individuos, que abandonaron "precipitadamente" la habitación, olvidaron un ordenador, llaves maestras y un lector de DVD.
"La justicia desestimó el caso", precisa el diario, que recuerda también cómo en 1989 el FBI estadounidense desmanteló una red de agentes franceses infiltrados en compañías como IBM, Texas Instruments y Corning Glass. Seis años después, fue París quién expulsó a varios agentes de la CIA y diplomáticos estadounidenses por haber desplegado una "amplia red de espionaje económico" en territorio galo.
"Como desveló en enero de 2011 WikiLeaks, Francia está considerada en el mundo del espionaje como una de las naciones más activas en ese campo, una apreciación que se extrajo de telegramas redactados por diplomáicos estadounidenses en Berlín", precisa "Le Monde".
Fuente: Publico.es

EUROPA. Autoridades desmantelan organización criminal que usaban Zeus y FireEye

Dos de los troyanos bancarios más importantes eran utilizados por esta organización que ha sido desmantelada esta misma semana en Europa. Se valían de Zeus y FireEye para estafar a los usuarios y conseguir accesos a las cuentas que disponían en  las entidades bancarias. La cantidad sustraída podría alcanzar los 2 millones de euros solo en Europa.
La comodidad que ofrece Internet a los usuarios también está disponible para los ciberdelincuentes. Y es que si los primeros consiguen el acceso a lo que buscan de una forma casi inmediata, la difusión de las estafas de los segundos es prácticamente instantánea.
En lo referido a los troyanos utilizados, Zeus es sin lugar a dudas el más antiguo y también el más utilizado. Para encontrar su primera aparición hay que remontarse al año 2007 y desde ese instante hasta el día de hoy casi todos los meses nos hemos visto obligados a hablar de una oleada de correos spam o una página web hackeada que distribuía la amenaza.
SpyEye por el contrario es mucho más actual y compleja que la primera. Sin embargo, la finalidad de ambas y el funcionamiento es muy similar: instalarse en el equipo del usuario y realizar un monitoreo de la actividad realizada por los usuarios, sobre todo en lo referido al texto introducido haciendo uso del teclado, ya que es ahí donde se encuentran las credenciales de acceso que más interesan. Sin embargo, tal y como ya hemos visto en otras ocasiones, a la hora de recopilar información el virus informático no hace discriminaciones y podría recopilar datos de Facebook, Twitter o cualquier otro servicio. En el caso de no ser de provecho es probable que al final lleguen al mercado negro donde serán vendidos.
8 personas detenidas por la distribución de Zeus y FireEye
  • Finalmente, la operación ha finalizado con un total de 8 detenidos distribuidos entre Países Bajos, Ucrania y Reino Unido. Las autoridades ahora buscan la manera de cifrar (o al menos estimar) la cantidad de dinero que han robado a los usuariosy empresas. Según las primeras estimaciones, estaríamos hablando de al menos dos millones de euros, pero tal y como ya hemos mencionado al comienzo, solo se está computando los correspondiente a los ciudadanos europeos, por lo que la cifra sería aún mayor.
Fuente: Softpedia

GOOGLE. Rectifica y retira el código de Chromium que espiaba a los usuarios

Las últimas decisiones llevadas a cabo por el Gigante de Internet no han sido demasiado acertadas. Después de descubrir varios investigadores que Chromium espiaba el micrófono de los usuarios los de Mountain View se han visto obligados a retirar este código tras la controversia generada.
Desde Google siempre buscaron defender esta función, sin embargo, las declaraciones justificando la existencia de este código como feedback para mejorar el producto no convenció a los usuario y ahora se han visto obligados a eliminar la función, o al menos de momento.
El problema es que Chromium no poseía esta función, sino que era posteriormente cuando el navegador de forma autónoma procedía a la instalación de esta complemento que suponía una extensión de las funciones de “Ok Google”.
En un principio se pensó que después probarse en Chromium la función daría el salto a Chrome, pero esta no ha sido así, y durante varios meses la función ha estado presente en ambos navegadores.
La cámara web podría haber sido objeto de espionaje en el caso de Chromium
  • Mientras lo del micrófono esta confirmado, hay algunos usuarios que manifiestan comportamientos anómalos con la cámara web integrada en su ordenador portátil, activándose al acceder a determinadas páginas web. Evidentemente esto no implica que la extensión encargada por el navegador también realizase el espionaje de este recurso hardware, ya que dicha página podría a poseer algún exploit para controlar la cámara o bien ciberdelincuentes podrían hacer uso de alguna vulnerabilidad de las muchas que han sido detectadas en Adobe Flash Player y controlar esta.
  • Evidentemente los más fácil en esta situación es culpar a los de Mountain View pero de entrada parece poco probable que Google se encuentre detrás de lo que han comentado estos usuarios, aunque tampoco podemos descartarlo.
  • El problema no reside en la instalación de este software y las consecuencias posteriores sino cómo se ha instalado, es decir, sin el consentimiento de los usuarios.
Fuente: MalwareTips

BIG DATA versus Verdad Absoluta

Los estudios han empezado a demostrar esta realidad. Los consumidores dan datos falsos. Los millennials ya lo están haciendo.
Según un estudio de Shop+, que recoge AdWeek, el 26% de los millennials da una fecha de cumpleaños falsa si con eso van a conseguir mejores ofertas en sus compras. La cifra es muy superior a la media generalizada de los adultos.
Pero no solo los millennials mienten en sus cumpleaños si con ello conseguirán mejores precios. También dan diferentes cuentas de correo electrónico si con ello pueden conseguir ofertas variadas (un 36% emplea ese truco), comparten cuentas premium para beneficiarse del servicio (un 36% comparte una cuenta de Amazon Prime para beneficiarse de los envíos gratis) o echan mano del borrar el historial de navegación (un 31% lo hace) para que sus vuelos les salgan más baratos.
En definitiva, los millennials mienten lo suficiente (y todo lo que sea necesario) si de ese modo logran hacerse con mejores ofertas y precios mejores en los productos que les interesan. Y obviamente no sienten remordimientos al pensar que las marcas están recibiendo una información que no es la más ajustada.
Pero las marcas no quieren que les mientan

  • Las marcas en realidad, las marcas no quieren que les mientan. Todos esos datos falsos no son solo basura cibernética sino que además funcionan como señales en el camino que llevan a un destino que no es el adecuado. Es como si le pides a una aplicación de mapas que te lleve por el camino más rápido a la playa y acabas en un basurero. No es absoluto lo que buscabas.
¿Cómo pueden evitar las marcas las mentiras de sus consumidores ?
  • En primero lugar, deberían esforzarse por dotar de valor a este esfuerzo. Es decir, los consumidores deberían sentirse recompensados por decir la verdad y las marcas deberían establecer una serie de estrategias para premiar la información verídica.
  •  Además, no se debe confiar únicamente en los consumidores. Las marcas tendrían que establecer fuentes de recolección de datos que no fueran únicamente las confesiones de los consumidores. Más que lo que dicen que quieren o que les gusta, las compañías deberían guiarse por lo que los clientes realmente hacen. Que sus hábitos de consumo reales sean la pauta que marca lo que las compañías hacen.
  •  Por otro lado, las marcas no se pueden quedar con una única fuente de datos. Optar por una única fuente de información es casi como un pasaporte hacia el error: las empresas tienen que tener varias fuentes de datos y cruzar unas con otras para poder establecer así la foto final real.
Fuente: Puro Marketing.com

ANDROID. Cuota de mercado de la plataforma cae en Europa y aumenta en Estados Unidos

El último informe de Kantar Worldpanel sobre el trimestre finalizado en mayo de 2015 muestra el calmado, pero continuo, crecimiento en cuota de Android en los Estados Unidos, donde ha crecido un 2.8%, con respecto al mismo periodo en 2014, hasta el 64.9% de cuota de mercado. La tendencia en Europa es bien diferente, donde en los grandes mercados (Reino Unido, Alemania, Francia, Italia y España) la cuota de mercado se ha reducido un 2.9%.
Lo más destacado de este periodo es las primeras conclusiones que podemos extraer sobre la salida del Galaxy S6 y cómo de bien continua vendiéndose el iPhone 6. El primer mes completo con el Galaxy S6 en las tiendas logró que Samsung aumentase su cuota dentro de los fabricantes Android desde el 52% en los tres meses acabados en abril al 55% en los tres meses acabados en mayo según Carolina Milanesi de Kantar. Su cuota creció periodo a periodo, siendo el Galaxy S6 el tercer smartphone más vendido en los Estados Unidos tras el iPhone 6 y el Galaxy S5. Año tras año el desempeño de Samsung también ha mejorado, su cuota en el mercado estadounidense se ha visto mermado sólo un 0,5% en comparación con el 1,6% en los tres meses hasta abril.
En los EE.UU., el crecimiento de iOS se frena, tanto en período a periodo como año tras año. Las ventas de smartphones Android propiciadas por Samsung y LG, cuya cuota de mercado se ha doblado comparando con el mismo periodo de 2014, son los responsables. Motorola o HTC siguen perdiendo cuota de mercado y otros como Huawei todavía no convencen a los estadounidenses.
La situación cambia en el viejo continente: la demanda del iPhone 6 sigue siendo muy fuerte, es el smartphone más vendido en Reino Unido, Alemania, Italia y Francia. Lo más destacado es que hay muchos más consumidores que migran de Android a iOS que al revés. Sólo un 5% de las compras Android son de clientes provenientes de iOS (en el mismo periodo del año pasado eran el 11%).
Tomando los datos de Kantar en España observamos como BlackBerry desaparece por completo con un 0% de cuota de mercado en este trimestre y Windows Phone reduce su cuota a la mitad con respecto al mismo periodo en 2014. iOS continua creciendo en un país donde la cuota de mercado de Android es cercana al 90%.
El mercado más interesante de estos últimos años es China, por su inmensidad, competencia y posibilidad para los nuevos fabricantes y firmas de beneficiarse de un rápido crecimiento. La carrera entre Xiaomi y Apple en la China urbana tiene ahora un tercer protagonista: Huawei, que ahora adquiere el segundo lugar en cuota de mercado. Pese a que los tres tienen apenas un 0.5% de diferencia máxima entre su porcentaje de cuota, hay que tener en cuenta el tipo de consumidores de cada marca. Apple vende iPhone con un alto margen al mismo nivel que Xiaomi y Huawei venden dispositivos económicos a bajo margen.
Fuente: Hipertextual.com

ANDROID. Vulnerabilidad en plataforma permite acceder a contenido de memoria

Investigadores de Trend Micro han anunciado una vulnerabilidad en Debuggerd, el depurador integrado en Android, que podría permitir acceder al contenido de la memoria de dispositivos con Android 4.0 (Ice Cream Sandwich) a 5.0 (Lollipop).
 El problema reside en que a través de un archivo ELF (Executable and Linkable Format) específicamente creado podría dar lugar a la caída del depurador y exponer el contenido de la memoria a través de archivos tombstones y los correspondientes archivos logd. El ataque por sí mismo no sirve de mucho, salvo para realizar denegaciones de servicio, aunque sí podrá ayudar para la realización de otros ataques o exploits, que permitan la ejecución de código y evitar la protección ASLR.
 Aunque el impacto inicial quede limitado, una aplicación reempaquetada o descargada en el dispositivo podrá explotar esta vulnerabilidad; que afecta a dispositivos Android 4.0 (Ice Cream Sandwich) hasta 5.x (Lollipop).
 Principalmente la vulnerabilidad reside en que Debuggerd usa "sym->st_name" como offset para un comando de copia de cadenas sin comprobación de errores. Este valor puede ser controlado de forma sencilla por el ELF manipulado de forma que el valor del offset apunte a memoria inaccesible, lo que provoca la caída de Debuggerd.
 Trend Micro reportó el problema a Google el pasado 27 de abril, que lo confirmó al día siguiente calificándolo como de gravedad baja. Se incluyó una actualización en el código del Android Open Source Project (AOSP) el 15 de mayo. También se ha confirmado que la vulnerabilidad quedará resuelta en la próxima versión, Android M.
Más información:
Fuente: Hispasec

CVEs. Los identificadores de vulnerabilidades superaron los 70.000

Según ha informado Mitre.org, el pasado 24 de junio la lista de CVEs sobrepasó los 70.000 identificadores únicos con nombres públicamente conocidos. 
 El CVE es el Common Vulnerabilities and Exposures, un estándar (administrado por la organización Mitre.org) que se encarga de identificar unívocamente a las vulnerabilidades. El CVE ha tenido gran aceptación entre todos los fabricantes porque la mayor parte de las veces es muy complejo saber a qué vulnerabilidad nos estamos refiriendo solo por ciertas características. Se hace necesario una especie de número de identidad único para cada fallo, puesto que en ocasiones son tan parecidas, complejas o se ha ofrecido tan poca información sobre ellas que la única forma de diferenciar las vulnerabilidades es por su CVE.
 La lista de identificadores CVEs, también conocidos en la comunidad como nombres CVE, números CVE, entradas CVE, CVE-IDs o simplemente CVEs, empezó en 1999 con solo 321 entradas. En la actualidad se ha convertido en un estándar internacional para la identificación de vulnerabilidades. Tanto los profesionales de la seguridad, como los fabricantes de todo el mundo usan el identificador CVE como un método estándar que no solo permite identificar las vulnerabilidades; sino que también facilita el trabajo de clasificación y las referencias cruzadas entre productos, servicios y repositorios.
 El identificador CVE, tiene la forma CVE-AAAA-NNNN (p.ej. CVE-2015-1234), donde AAAA representa el año en que se reportó o se conoció la vulnerabilidad, y el número NNNN se asigna según el organismo tiene conocimiento de la vulnerabilidad. Hasta 2014 se estimaba que con cuatro dígitos para el número de vulnerabilidad era suficiente para identificar todas las vulnerabilidades del año. Pero dado el aumento del número de vulnerabilidades anuales, se estimó la necesidad de ampliar el número de dígitos y en la actualidad no hay un límite de dígitos.
 Cada uno de los 70.000 identificadores de la Lista CVE incluye el identificador CVE, una breve descripción de la vulnerabilidad y todas las referencias pertinentes como análisis de la vulnerabilidad, avisos o parches.
La lista de CVEs se encuentra disponible en https://cve.mitre.org/cve desde donde se pueden realizar consultas individuales o descargar la lista completa en diversos formatos.
Más información:
Fuente: Hispasec

IBM. Multiples vulnerabilidades en IBM Security Directory Server

 IBM ha solucionado seis vulnerabilidades en IBM Security Directory Server que podrían permitir a atacantes remotos autenticados ejecutar comandos arbitrarios, a usuarios remotos obtener información sensible y realizar ataques de cross-site scripting y a usuarios locales obtener información.
 IBM Security Directory Server, anteriormente conocido como IBM Tivoli Directory Server, es un software de gestión de identidad de IBM basado en tecnología LDAP (Lightweight Directory Access Protocol), que proporciona una infraestructura de datos de identidad de confianza para la autenticación. Soporta plataformas IBM AIX, i5, Solaris, Windows, HP-UX...
Detalle de las vulnerabilidades
  •  El primero de los problemas corregidos (con CVE-2015-1978) reside en una vulnerabilidad de cross-site scripting. Un segundo problema (con CVE-2015-1972) podría permitir a un atacante remoto obtener información sensible a través de los logs de error. Un usuario local podría subir y descargar archivos cifrados potencialmente sensibles (CVE-2015-1959).
  •  Por otra parte, la herramienta de administración web podría permitir a un usuario local autenticado ejecutar comandos que de forma habitual no debería tener acceso (CVE-2015-1974). Algunas páginas SSL pueden ser guardadas en caché lo que podría permitir a un atacante local obtener información sensible (CVE-2015-2019).
  •  Por último, con CVE-2015-2808, corrige la vulnerabilidad conocida como "Bar Mitzvah Attack" que reside en el uso de RC4 con claves débiles en los protocolos TLS y SSL, lo que podría permitir a un atacante obtener información sensible. Un atacante remoto podría emplear esta vulnerabilidad para exponer credenciales de usuarios sin necesidad de realizar un ataque de hombre en el medio.
Recomendación
Más información:
Fuente: Hispasec

LINUX. Actualización del kernel para Red Hat Enterprise Linux 7

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa siete nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio, obtener contenido de la memoria o elevar sus privilegios en el sistema .
 Un problema en la lectura y escritura de tuberías podría dar lugar a una corrupción de memoria que podría permitir a un atacante provocar condiciones de denegación de servicio o elevar sus privilegios en el sistema (CVE-2015-1805). Una condición de carrera en el subsistema de administración de llaves puede causar la caída del sistema (CVE-2014-9529). Una elevación de privilegios por un fallo en la implementación de la emulación 32 bits del kernel de Linux (CVE-2015-2830).
 Un fallo en la implementación del sistema de archivos ISO podrá permitir a un atacante con acceso físico al sistema provocar un bucle infinito en el kernel, con la consiguiente denegación de servicio (CVE-2014-9420). Una fuga de información en la implementación del sistema de archivos ISO9660 podrá permitir a un atacante con acceso físico al sistema obtener hasta 255 bytes de la memoria del kernel (CVE-2014-9584). Una denegación de servicio local en la implementación de tablas netfilter por un error en la función nft_flush_table() (CVE-2015-1573). Por último, un desbordamiento de entero en la forma en la que el kernel de Linux aleatoriza el stack para procesos en determinados sistemas 64 bits (CVE-2015-1593).
 Además se han solucionado otros fallos de menor importancia. Detalles sobre la aplicación de ésta actualización se encuentran disponibles desde https://access.redhat.com/articles/11258
Más información:
Fuente: Hispasec

DYRE. Detectan aumento de la infraestructura de este malware

Expertos en seguridad han detectado un aumento de tamaño de la infraestructura de Dyre.
En lo referido a las cifras, estaríamos hablando de 284 servidores de control con los que contactan los equipos infectados y otras 44 máquinas adicionales cuya actividad es especial y no corresponde con el patrón de los servidores, llegando a sugerir varios expertos en seguridad que podrían tratarse de equipos pertenecientes a los responsables del malware y la botnet.
Sin embargo, aunque la infraestructura ha sufrido un aumento de tamaño hay que decir que ni las funciones ni la finalidad se han visto alteradas. Dyre sigue desempeñando la tarea de robar de dinero y lo realiza gracias al seguimiento que realiza de la navegación del usuario, almacenando todas las pulsaciones de teclado realizadas y las páginas visitadas para así realizar posteriormente el filtrado y escoger las claves de aquellas cuentas pertenecientes a servicios de banca en línea.
¿Dónde se encuentran los servidores que controlan Dyre?
  • Tras realizar un informe, los responsables de Symantec han puntualizado que una cantidad bastante significativa sobre el total de servidores se encuentra en Polonia, Bulgaria, Andorra, Holanda, Serbia, Austria, Alemania, Reino Unido y Hungria. Un malware que afecta en todo el mundo y 227 servidores de 284 se encuentran en territorio europeo.
  • También se han encargado de analizar el comportamiento del virus informático, deduciendo que los propietarios se encuentra en Europa del Este o Rusia.
Usuarios de Francia, Reino Unido y Estados Unidos los más afectados
  • En lo referido a qué usuarios se encuentran entre los más afectados hay que decir que tampoco existen grandes cambios y los ciberdelincuentes siguen apostando por los usuarios británicos y estadounidenses, es decir, atacar a aquellos países en donde las transacciones bancarias se realizan principalmente recurriendo a un ordenador doméstico o bien desde una oficina de una gran empresa.
Fuente: Softpedia

ESET. Corrige grave fallo de seguridad de su motor búsqueda

ESET ha solucionado un grave fallo de seguridad en su motor de búsqueda que podría permitir que un usuario malintencionado comprometa el sistema y se hiciera con el control total del mismo. Un análisis al emulador de código de ESET ha mostrado que este módulo de la suite antivirus no es lo suficientemente robusto y puede ser comprometido fácilmente.
Si un atacante explota este fallo de seguridad, dicho atacante podría tomar el control completo del sistema en el que esté instalado ESET independientemente del sistema operativo que esté usando.
La emulación de código que ha sido integrado en los productos antivirus permite ejecutar archivos y scripts en una “sandbox” de ESET para monitorizar la actividad del sistema. Este proceso se supone que se realiza en un entorno completamente aislado del sistema operativo y no tiene ningún impacto contra el sistema real. Los datos recogidos después de ejecutarlo son examinados por el análisis heurístico para decidir si el programa o script es malicioso o únicamente sospechoso.
Tavis Ormandy es un investigador de seguridad que trabaja en Google Project Zero, el proyecto de Google que examina la seguridad de múltiples programas como navegadores, programas de mensajería, sistemas operativos e incluso productos de seguridad como ESET con la finalidad de encontrar vulnerabilidades. 
Según Tavis Ormandy, otros productos de ESET también están afectados incluyendo software para otros sistemas operativos como Mac OS X. Lo que hace ESET es usar un pequeño filtro en el kernel para interceptar todas las lecturas y escrituras del disco para posteriormente analizarlas. Sin embargo estas operaciones de entrada salida pueden ser causadas de varias maneras por lo que no se aisla por completo el código malicioso.
Este investigador de Google Project Zero creó un exploit en pocos días comprometiendo la seguridad del sistema por completo, tanto en sistemas Windows como en sistemas Mac y Linux donde es posible elevar privilegios a root.
Fuente: Softpedia

ADF.LY Utilizado para distribuir malware entre los usuarios

Los servicios que ofrecen publicidad en páginas web son una de las mejores vías para alcanzar el mayor número de los usuarios y distribuir malware. Primero fue Google Adsense el utilizado y en esta ocasión es el servicio Adf.ly el que se ha visto afectado.
Expertos en seguridad han detectado que ciertos anuncios disponibles lo que hacen es redirigir al usuario a ciertas páginas donde se encuentra disponible el exploit HanJuan. Aunque no se conocen muchos detalles sobre este, parece que utiliza vulnerabilidad disponibles en los navegadores de Internet y complementos para realizar la descarga en el equipo de un ejecutable que contiene un malware que posteriormente se encargará de robar información del equipo del usuario.
Concretamente, el virus informático busca el robo de las credenciales de acceso de los servicios que el usuario hace uso en el equipo infectado.
Dos de las vulnerabilidades que utiliza son  la CVE-2015-0359, perteneciente a Adobe Flash Player y la CVE-2014-1776 de Internet Explorer. Ambas aplicaciones poseen actualizaciones que resuelven estos problemas, sin embargo, poco son los usuarios que han realizado el proceso.
Tinba es el troyano que se distribuye haciendo uso de Adf.ly
  • Con respecto al malware distribuido, hay que decir que ya es conocido por la amplia mayoría de usuarios de nuestro portal y que ya tiene varios años de antigüedad. Tiny Banker (o Tinba) es uno de los troyanos bancarios más utilizados por los ciberdelincuentes. Cuando este se instala en el sistema utiliza el proceso explorer.ex para inyectar de forma satisfactoria código en Firefox, Google Chrome o Internet Explorer. Esto permitirá al virus informático monitorizar la actividad del usuario y recopilar las credenciales de acceso introducidas por el usuario.
  • Redes sociales, cuentas de entidad de banca en línea, servicios de mensajería, y así hasta confeccionar una larga lista de servicios que podrían verse afectados.
Fuente: Softpedia

SEGURIDAD. Kaspersky pone en funcionamiento una herramienta scaner antivirus desde Facebook

Nuevo avance relacionado con la seguridad: un escaneo del equipo gracias a Kaspersky. Sin lugar a dudas en la red social Facebook están trabajando duro y esta nueva función es una muy buena noticia para los usuarios.
Esta función solo está disponible cuando el equipo de seguridad de la madre de las redes sociales ha detectado una actividad sospechosa en la cuenta, como por ejemplo, la publicación masiva de mensajes con enlaces páginas web maliciosas. Una vez detectado el problema, se impide que el usuario inicie sesión con normalidad y se obliga en primer lugar a que el usuario pase una serie de controles, o mejor dicho, el equipo desde donde ha iniciado sesión.
Es algo que los usuarios demandaban desde hace mucho tiempo y que puede evitar que las cuentas se utilicen para finalidades ilícitas, una práctica que resulta bastante frecuente hoy en día y de la que muchos usuarios no son conscientes.
Facebook analizará tu equipo en busca de malware
  • Aquí es donde entra en juego la utilidad desarrollada por Kaspersky. Al acceder a realizar el escaneo al usuario le aparece la siguiente ventana en su navegador:
  • El escaneo invierte bastante tiempo por lo que desde la red social piden a los usuarios paciencia. A medida que se detecten problemas se ofrecerán instrucciones a los usuarios para resolver cada uno de forma individual.
  • Desde Kaspersky han hablado sobre la utilidad y han confirmado que posee una eficiencia muy alta y unos resultados fiables que ayudarán al usuario a eliminar de su equipos los posibles problemas de seguridad existentes.
  • En Facebook están siguiendo la política de ofrecer al usuario el máximo de servicios posibles para evitar que tengan que acudir a otros para encontrar lo que necesitan.
Fuente: MalwareTips

PFSENSE . La nueva versión 2.2.3 soluciona varios fallos de seguridad de OpenSSL

pfSense, la popular distribución orientada a cortafuegos para nuestro hogar y también de carácter profesional, se ha actualizado a la versión 2.2.3, siendo la tercera versión de mantenimiento de la versión estable de pfSense 2.2. En esta nueva versión de pfSense 2.2.3 se han actualizado un gran número de vulnerabilidades de seguridad por lo que muy recomendable actualizar nuestro sistema.
Detalle de la nueva versión
·         Esta nueva versión de pfSense 2.2.3 soluciona graves vulnerabilidades que fueron encontradas hace tiempo en la librería OpenSSL, uno de los fallos solucionados es la vulnerabilidad conocida como Logjam.
·         Además del fallo en OpenSSL, se han solucionado múltiples vulnerabilidades XSS en la interfaz web (GUI) del sistema operativo, se han solucionado varios problemas de corrupción del sistema de archivos cuando no apagamos correctamente el sistema operativo (reset físico, pérdida de alimentación o cuando el sistema se cae y hay que resetearlo). Esta versión también ha eliminado el parche “forcesync” que se incorporó en anteriores versiones debido a que podría corromper el sistema de archivos de pfSense.
·         Respecto a las novedades de software, se ha añadido a esta nueva versión strongSwan 5.3.2 y PHP 5.5.26, además también se han solucionado errores en el HTML y XHTML de la interfaz gráfica, se ha mejorado el soporte para IPv6 y se han realizado optimizaciones en:
  1. NTP
  2. DHCP
  3. RA (Para IPv6)
  4. DNS
  5. CARP
  6. OpenVPN
  7. IPsec
Los autores del proyecto pfSense insisten que esta versión no es como otra cualquiera, es una versión con múltiples cambios y mejoras por lo que se recomienda que se use a partir de ahora esta versión.
Más información
Fuente: Softpedia

WIRESHARK. Actualizaciones de seguridad

Wireshark Foundation ha publicado dos boletines de seguridad que solucionan otras tantas vulnerabilidades en la rama 1.12.
 Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
 Todos los errores de seguridad corregidos podrían llegar a provocar condiciones de denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados. En esta ocasión las vulnerabilidades residen en los disectores 'WCCP' y 'GSM DTAP'.
 Las vulnerabilidades se han solucionado en la versión 1.12.6 ya disponible para su descarga desde la página oficial del proyecto.
Más información:
Fuente: Hispasec

CACTI . Corregidas vulnerabilidades en la aplicación

Se ha publicado una nueva versión de Cacti (0.8.8d) destinada a corregir, entre otros problemas, varios fallos de seguridad. Estos errores permitirían a un atacante remoto realizar ataques de inyección SQL y de Cross-Site scripting.
 Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.
 Los errores se detallan a continuación:
  • CVE-2015-4342: Debido a un error de validación de entradas, un atacante remoto podría ejecutar comandos SQL en la base de datos subyacente a través de parámetros especialmente manipulados. El parámetro "cdef id" se encuentra relacionado con esta vulnerabilidad.
  • CVE-2015-2665: Se debe a un error al no filtrar correctamente código HTML proporcionado por el usuario. Un atacante remoto podría ejecutar código arbitrario en el contexto del usuario que lanza el navegador, lo que le permitiría obtener acceso a las cookies del usuario, incluidas las de autenticación.
Recomendación
·         Se recomienda actualizar a la última versión 0.8.8d.
Más información:
·         Multiple vulnerabilities fixed in Cacti 0.8.8d http://www.cacti.net/release_notes_0_8_8d.php
Fuente: Hispasec

GOOGLE. Actualización de seguridad para su navegador Chrome.

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) que se actualiza a la versión 43.0.2357.130 para corregir cuatro nuevas vulnerabilidades.
 Se ha corregido un error de validación de esquemas en WebUI (CVE-2015-1266), dos saltos de la política de mismo origen en Blink (CVE-2015-1267 y CVE-2015-1268) y un error de normalización en la lista precargada HSTS/HPKP (CVE-2015-1269).
 Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

CISCO. Claves SSH por defecto en algunos de sus dispositivos

Cisco ha publicado actualizaciones para sus dispositivos Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv) y Security Management Virtual Appliance (SMAv) después de encontrar que incluían claves SSH por defecto.
Recursos afectados
 En esta ocasión son tres los dispositivos afectados:
  • Cisco Virtual Web Security Appliance (WSAv)
  • Cisco Virtual Email Security Appliance (ESAv)
  • Cisco Virtual Security Management Appliance (SMAv)
  • Que incluyen en dos tipos de claves SSH por defecto.
Detalle de las vulnerabilidades
  • El primero de los problemas se debe a la inclusión de una llave SSH autorizada por defecto que es compartida en todas las instalaciones de WSAv, ESAv y SMAv. Un atacante podrá explotar la vulnerabilidad obteniendo la llave privada SSH y empleándola para conectar a cualquier a cualquier dispositivo afectado con privilegios de "root".
  • Por otra parte, también incluyen llaves de host SSH por defecto compartidas, igualmente, en todas las instalaciones de WSAv, ESAv y SMAv. Un atacante podrá obtener una de las llaves privadas SSH y emplearla para descifrar o falsificar la comunicación entre los dispositivos afectados.
Recomendación
·         Cisco ha publicado actualizaciones para los tres productos afectados. El parche borrará todas las llaves SSH preinstaladas en el dispositivo, tras lo cual se indicarán los pasos precisos para completar el proceso.  La actualización está disponible mediante el proceso de actualización habitual. Aparecerá como "cisco-sa-20150625-ironport SSH Keys Vulnerability Fix" y se debe instalar de forma manual empleando CLI.
Más información:
Fuente: Hispasec

CISCO. Múltiples vulnerabilidades en el IOS Software UBR Devices

Se han identificado varias vulnerabilidades de denegación de servicio en Cisco IOS Software UBR Devices, catalogadas de Importancia: 3 - Media
Recursos afectados
  • Dispositivos Cisco Universal Broadband Router (UBR) que incluyan Cisco IOS Software.
Recomendación
  • Cisco ha publicado actualizaciones que corrigen los fallos anteriormente descritos.
Detalle e Impacto de la vulnerabilidad
  • Vulnerabilidad en VPN IPv6 sobre Multiprotocol Label Switching y configurado para NetFlow podría permitir a un atacante remoto no autenticado provocar la caída del proceso Parallel Express Forwarding (PXF) en el módulo Performance Routing Engine (PRE). El fallo se produce por una condición de carrera que puede provocar un puntero incorrecto durante la desagregación IPv6. Un atacante tendría que controlar a un vecino MPLS de confianza que pueda enviar un paquete 6VPE malformado a un ritmo elevado contra un dispositivo afectado y así producir la denegación del servicio (DoS). Se ha reservado el identificador CVE-2015-4203.
  • Vulnerabilidad en el subsistema SNMP de los dispositivos con Cisco Universal Broadband Router podría permitir a un atacante remoto autenticado provocar la caída del proceso Parallel Express Forwarding (PXF) del módulo Performance Routing Engine (PRE) module. El fallo se produce por la fuga de memoria que se produce cuando ciertos valores en docsIfMCmtsMib se sondean a través de SNMP. Un atacante que pueda autenticar y enviar solicitudes de SNMP a un dispositivo afectado podría sondear el elemento afectado a un ritmo elevado y agotar rápidamente la memoria del proceso, provocando la caída del mismo. Se ha reservado el identificador CVE-2015-4204.
  • Vulnerabilidad en el subsistema de IPv6 a IPv4 de Cisco IOS Software que podría permitir a un atacante autenticado provocar la parada de Performance Routing Engine (PRE) y filtrar una pequeña cantidad de memoria del sistema atacado, pudiendo provocar una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2015-4200.
Más información
Fuente: INCIBE

CISCO. Múltiples vulnerabilidades en Cisco WebEx

Se han identificado varios fallos en Cisco WebEx que pueden permitir a atacantes remotos no autenticados llevar a cabo diferentes acciones no deseadas.
Recursos afectados
  • Cisco Hosted WebEx Meeting Center
Detalle e Impacto de las vulnerabilidades
Las vulnerabilidades detectadas son las siguientes:
  • Identificación del número de acceso a la reunión.- La vulnerabilidad, provocada por la inclusión de información sensible en las direcciones, puede ser explotada para que un atacante remoto no autenticado identifique el número de acceso a una reunión y se conecte a la misma sin necesidad de haberse registrado previamente. See ha reservado el identificador CVE-2015-4207.
  • Acceso y descarga sin autorización del calendario.- El fallo, provocado por la comprobación inconsistente durante el proceso de autorización, puede permitir a un atacante remoto no autenticado descargar el calendario de la reunión. Se ha reservado el identificador CVE-2015-4209.
  • Validación incorrecta de datos .- La vulnerabilidad, provocada por la validación incorrecta de los datos introducidos por el usuario del software afectado, puede permitir a un atacante remoto no autenticado llevar a cabo un ataque XSS. Se ha reservado el identificador CVE-2015-4210.
Recomendación
  • Cisco ha publicado una serie de actualizaciones que corrigen los fallos anteriormente descritos. Para obtenerlas recomiendan contactar con su soporte técnico o descargarlas desde el Software Center.
Más información
Fuente: INCIBE

CISCO ASR 9000. Denegación de servicio

Se ha identificado una vulnerabilidad en el procesamiento del control de flujo del software de Cisco IOS XR de los dispositivos ASR 9000, catalogado de Importancia: 3 - Media
Recursos afectados
  • Cisco IOS XR Software 5.3.1
Detalle e Impacto de la vulnerabilidad
  • Un atacante no autenticado en una red adyacente podría explotar esta vulnerabilidad haciendo que el chip NPU se reiniciase y que se produjera la recarga de la linea, provocándose así la denegación del servicio.
  • El fallo es provocado por el procesamiento incorrecto de tramas de pausa del control de flujo IEEE 802.3x especialmente manipuladas.
Recomendación
Más información
Fuente: INCIBE

INTERNET EXPLORER. Evasión de ASLR

Los investigadores de la Zero Day Initiative de HP han alertado de una vulnerabilidad que afecta a todas las versiones de Internet Explorer de 32 bits, catalogada de Importancia: 4 - Alta
Recursos afectados
  • Internet Explorer, todas las versiones de 32 bits.
Detalle e Impacto de la vulnerabilidad
  • La explotación de esta vulnerabilidad permitiría eludir la protección otorgada por la aleatorización de la memoria (ASLR) introducida en los navegadores, facilitando que se pueda hacer uso de direcciones específicas de memoria, lo que podría permitir la ejecución de código.
  • Se ha publicado una prueba de concepto «Understanding weaknesses within Internet Explorer's Isolated Heap and MemoryProtection». https://github.com/thezdi/abusing-silent-mitigations
Recomendación
  • Según informan los investigadores que han descubierto el fallo, no está previsto que Microsoft publique un parche o actualización para corregir esta vulnerabilidad.
Más información
Fuente: INCIBE

VULNERABILIDADES. En la clave SSH en Cisco Virtual WSA, ESA y SMA

Se han identificado varias vulnerabilidades que afectan a los productos Cisco Web Security Virtual Appliance (WSAv), Cisco Email Security Virtual Appliance (ESAv), y Cisco Security Management Virtual Appliance (SMAv), catalogadas de Importancia: 5 - Crítica
Recursos afectados
Todas las versiones de:
  • Cisco Web Security Virtual Appliance (WSAv)
  • Cisco Email Security Virtual Appliance (ESAv)
  • Cisco Content Security Management Virtual Appliance (SMAv) Software
Detalle e Impacto de las vulnerabilidades
Las vulnerabilidades identificadas se describen a continuación:
  • Vulnerabilidad debido a una clave autorizada SSH por defecto en Cisco Virtual WSA, ESA, y SMA.- El fallo se produce por la existencia de claves SSH de autorización por defecto en todas las instalaciones de WSAV, Esav, y SMAV. Un atacante podría aprovecharlo mediante la obtención de la clave privada de SSH y utilizarla para conectarse a cualquier WSAV, Esav, o SMAV. La utilización de un exploit podría permitir al atacante acceder al sistema con los privilegios del usuario root.
  • Vulnerabilidad en la clave SSH del host por defecto en Cisco Virtual WSA, ESA, y SMA.- El fallo se produce por la presencia de claves SSH por defecto en el host compartidas por todas las instalaciones de WSAV, Esav, y SMAV. Un atacante podría aprovecharlo mediante la obtención de la clave privadas SSH y utilizarla para suplantar o descifrar la comunicación entre cualquier WSAV, Esav, o SMAV. La utilización de un exploit podría permitir al atacante descifrar y suplantar a un interlocutor en una comunicación segura.
Recomendación
  • Cisco ha publicado actualizaciones de software gratuitas que solucionan estas vulnerabilidades.
Más información
Fuente: INCIBE

EMC. Ejecución de código remoto en Unisphere

Se ha descubierto una vulnerabilidad en el Unisphere para WMAX JDWP de EMC que podría dar acceso al sistema a un atacante remoto, catalogado de Importancia: 5 - Crítica
Recursos afectados
  • EMC Unisphere for VMAX 8.0.0
  • EMC Unisphere for VMAX 8.0.1
  • EMC Unisphere for VMAX 8.0.2
Detalle e Impacto de la vulnerabilidad
  • El fallo se produce cuando el servicio de Java Debug Wire Protocol (JDWP) está habilitado y podría permitir a un atacante remoto la ejecución de código en el sistema afectado. Se ha reservado el identificador CVE-2015-0545 para esta vulnerabilidad.
Recomendación
Más información
Fuente: INCIBE

TOR. Descubrimiento de dirección IP real dentro de la red

Estamos seguros que todos sabéis lo que es Tor y cómo funciona, sin embargo aunque sabréis que Tor nos proporciona anonimato en la red, también hay técnicas que permite descubrir nuestra dirección IP real si no tomamos las medidas oportunas. 
Hay dos tipos de ataques principalmente, los que se encuentran en el lado del cliente (Navegador web) y los que se encuentra en la red de servidores de Tor.
Fallos de seguridad en el lado del cliente
  • Se filtraron documentos de la NSA donde se hablaba sobre la explotación de vulnerabilidades en Mozilla Firefox, el navegador base del conocido Tor Browser, sin embago en estos documentos también se hablaba de que no se podía realizar un seguimiento contínuo debido a que las nuevas versiones del software no incorporaban los mismos fallos de seguridad, dependiendo de las versiones había unas vulnerabilidades u otras.
  • Otro fallo de seguridad que se descubrió es Adobe Flash, este plugin crea un canal de comunicación dedicado hacia el servidor y se puede capturar la dirección IP real del cliente, por lo que estaremos totalmente desenmascarados. Los desarrolladores de Tor Browser reaccionaron rápido y lo que hicieron fue directamente excluir Flash de su navegador con el fin de proteger a los usuarios.
  • Otro método reciente que permite descubrir la dirección IP real del cliente es el protocolo WebRTC, en RedesZone os hemos hablado en detalle sobre este gravísimo problema y cómo desactivarlo en los principales navegadores web.
Cómo bloquear el protocolo WebRTC en nuestro navegador.
  • Steganos Online Shield VPN te protege del WebRTC de los navegadores que revelan tu IP.
  • HTML5 también nos ha traído unas imágenes “canvas” que están diseñadas para crear imágenes en mapa de bits con la ayuda de JavaScript. Al renderizar las imágenes se podría ver el navegador que está utilizando el usuario así como varios componentes hardware instalados, el sistema operativo utilizado y también diversas configuraciones software. Actualmente Tor Browser permite bloquear estas imágenes para no dejar ningún rastro.
  • Además también se recomienda deshabilitar JavaScript, pero hay muchas páginas web que no funcionan si no lo tenemos habilitado por lo tanto deberemos tener mucho cuidado por dónde navegamos, o usar Tails que incorpora protección adicional con un firewall basado en iptables.
Fallos de seguridad en la red de servidores
  • Estos fallos de seguridad no están en nuestra mano evitarlos, por lo que nos tendremos que fiar de los nodos Tor a los que estamos conectados.
  • Si un administrador de un nodo de Tor utiliza NetFlow para inspeccionar el tráfico tendrá una gran cantidad de metadatos de nuestra conexión. Sin embargo, deberán tener un gran número de nodos de Tor bajo su control para conseguir poner en peligro nuestra identidad. Esta técnica realmente es una línea de investigación.
Monitorización pasiva
  • En Tor tenemos nodos intermedios por donde la información va completamente cifrada, y también hay nodos finales donde es el punto débil de la comunicación ya que todo el tráfico se descifra y aquí es por dónde podría haber filtraciones y problemas de seguridad. En este nodo, cualquier usuario podría realizar una monitorización pasiva capturando todos los datos de los usuarios para su posterior estudio.
Monitorización activa
  • En los nodos de salida se puede inyectar código malicioso en los archivos binarios que pasan a través de ellos, gracias a que podrían realizar un Man In The Middle. De esta manera un usuario que navegue por Internet a través de Tor, le podrían hacer un MITM e inyectar código en su archivo descargado. Sin embargo, cualquier actividad de manipulación de tráfico en un nodo de salida es rápida y fácilmente identificado por diferentes herramientas automáticas, y el nodo de salida se incorpora a la lista negra por la comunidad Tor.
Más informacion
Fuente: Securelist.com

LET’S ENCRYPT. Llegará en Julio y para conocer todo de nuestros certificados digitales

Let’s Encrypt es un proyecto orientado a obtener y utilizar los certificados digitales que utilizamos en un sitio web seguro (utilizando el protocolo HTTPS sobre TLS). Uno de los puntos fuertes de este proyecto es que los certificados serán gratuitos y además se indicará cómo se deben implementar en nuestra plataforma.
El principal objetivo de este proyecto es el de propocionar certificados digitales a cualquier usuario y de esta forma hacer la web más segura, ya que tenemos cubiertas dos demandas básicas: es gratis y la instalación que deberá hacer el usuario es sencilla. Este proyecto es un esfuerzo combinado de la EFF, Mozilla, Cisco y Akamai para hacer Internet un poco más seguro.
Obtén certificados digitales fácilmente con Let’s Encrypt.
  • Según han comunicado desde Let’s Encrypt, emitirán los primeros certificados de identidad final bajo su raíz en circunstancias muy controladas, de esta forma los certificados no serán válidos a menos que se instale la CA raíz. La autoridad certificadora proporcionará los primeros certificados en septiembre para el público en general, aunque desde el próximo mes de Julio estará en fase de prelanzamiento con acceso muy limitado.
  • Gracias a este proyecto pronto podremos incorporar certificados digitales a nuestro servidor web con una CA raíz, y todo ello de manera gratuita. Nosotros mismos también podremos crear certificados digitales autofirmados, pero al entrar con el navegador web a dicha página web, nos dará un aviso diciendo que no confía en ese certificado (porque no lo ha firmado ninguna CA de confianza). Con Let’s Encrypt deberemos instalar en nuestro navegador la CA raíz para que todos los certificados creados con Let’s Encrypt los reconozca el navegador y no nos devuelva el fallo.
Más información
Fuente: Redeszone.net