27 de febrero de 2016

NSA. Preferiría mantener las vulnerabilidades zero-day existentes ocultas

Desde la NSA han manifestado que son descubridores de más del 91% de las vulnerabilidades zero-day y que no van a desvelar ningún tipo de información relacionada, tratando que estén disponibles la mayor cantidad de tiempo posible.
La EFF (del inglés Electronic Frontier Foundation) también se ha visto envuelta en esta polémica como la parte que ha acusado a la agencia de no revelar suficiente información sobre los fallos de seguridad detectados en una gran cantidad de productos software. Esta ha llevado el caso ante los tribunales exigiendo que se publique información sobre estas vulnerabilidades para que los responsables de los mismo sean capaces de resolver el problema y publicar una actualización. Sin embargo, desde la NSA no están colaborando y afirman que en lo que a ellos concierne no van a dar más detalles de los estrictamente necesarios. Añaden que entienden que la fundación tenga como finalidad la publicación de estos problemas para poner fin de alguna forma pero hasta que no se diga lo contrario van a dilatar ofrecer detalles sobre las vulnerabilidades zero-day lo máximo posible.
Aunque este pasado mes de enero parecía que la situación se ponía muy de cara para los intereses de la EFF, la realidad ha sido muy distinta y desde la agencia han publicado un documento en el que se detallan qué pasos se van a seguir desde la NSA para dar a conocer algunos fallos, sin embargo, otros quedarán por el momento ocultos.
Mientras la postura de la fundación es clara, la de la agencia ha quedado manifiesta tras este último movimiento, intentando sacar provecho de aquellos fallos para conseguir información de los equipos sin la necesidad de desarrollar aplicaciones en forma de puertas traseras.
EFF cree que debe informarse de utilización de NSA de dichas vulnerabilidades
  • Desde la fundación creen que es vital para llegar a buen puerto con la causa que se entienda el papel que desempeñan estos fallos de seguridad en tareas de espionaje y cuál es la actividad de la agencia con respecto a estos problemas detectados, siendo su puerta de entrada tanto en los equipos de los usuarios como en aquellos que se encuentran en compañías.
  • En definitiva, cada vez que encuentren algo erróneo en un software desde la agencia no soltarán prenda sea cual sea el tipo de vulnerabilidad, siendo en este caso las zero-day las que interesan a la NSA.
Fuente: Softpedia

ENCUESTA. Estadounidenses apoyan a Apple en lucha por encriptación del iPhone

Casi la mitad de los estadounidenses apoya la decisión de Apple Inc de oponerse a un tribunal federal que exige que desbloquee un teléfono avanzado que usó Rizwan Farook, uno de los autores del tiroteo de diciembre en San Bernardino, California, según una encuesta nacional online de Reuters e Ipsos.
Un 46 por ciento de los encuestados dijo estar de acuerdo con la posición de Apple, un 35 por ciento se manifestó en desacuerdo y un 20 por ciento afirmó que no sabía, según la encuesta publicada el miércoles.
Otras preguntas en el estudio revelaron que la mayoría de los estadounidenses no quiere que el Gobierno tenga acceso a sus comunicaciones telefónicas y por Internet, aunque se haga para detener ataques terroristas.
La mayoría de los encuestados cree que desbloquear el teléfono de Farook establecería un precedente peligroso que las autoridades usarían para forzar a la compañía a hacer lo mismo a más teléfonos, dijo el presidente ejecutivo de Apple, Tim Cook, en una carta abierta a sus clientes la semana pasada.
Ante la pregunta de si el Gobierno usaría la capacidad de desbloquear teléfonos para "espiar a los usuarios de iPhones", un 55 por ciento dio una respuesta afirmativa, un 28 por ciento dijo que no y el resto dijo que no estar seguro.
"No creo en ceder nuestro derecho a la privacidad para hacer que la gente se sienta más segura", dijo Steve Clevenger, un tasador inmobiliario de 55 años de Wheelersburg, Ohio, que participó en la encuesta y que apoya a Apple.
Sin embargo, cuando se les preguntó si el Gobierno de Estados Unidos debería tener acceso a datos en los teléfonos de los estadounidenses para protegerlos ante amenazas terroristas, un 46 por ciento estuvo de acuerdo, un 42 por ciento no lo estuvo y el resto dijo que no estar seguro.
El Gobierno dijo que Apple debe ayudar porque no hay forma de obtener los datos del teléfono de Farook sin que la empresa programe un software especial. Los ejecutivos de Apple se han negado, argumentando que es una solicitud que pone en riesgo la seguridad de sus clientes.
Fuente: Reuters

APPLE Desarrolla sistema que dificulta el "pirateo" de teléfonos iPhone

Pretende hacerlo mediante una contraseña usando métodos similares a los que enfrentan a la compañía con el FBI
Apple desarrolla nuevas medidas de seguridad que harían que al Gobierno le resultase imposible acceder a un teléfono iPhone bloqueado mediante una contraseña usando métodos similares a los que enfrentan a la compañía con el FBI, según el diario The New York Times.
El Times indicó que si Apple tiene éxito en la actualización de las medidas de seguridad, algo que los expertos dan por hecho, la compañía crearía un enorme desafío técnico para el FBI y otras agencias incluso si el Gobierno gana el caso abierto contra la firma con sede en la localidad californiana de Cupertino (EEUU).
El Gobierno estadounidense ha pedido a Apple ayuda con un iPhone utilizado por uno de los autores del tiroteo en diciembre en la ciudad californiana de San Bernardino (EEUU), en el que murieron 14 personas y 22 resultaron heridas.
El FBI tiene en su poder el teléfono pero no ha podido acceder a los datos y ha solicitado a Apple que desarrolle una nueva versión de su sistema operativo para esquivar las funciones de seguridad en el dispositivo móvil.
Una juez federal estadounidense ordenó a Apple la semana pasada colaborar con el FBI, exigencia a la que la empresa tecnológica se niega en un controvertido caso que podría llegar hasta el tribunal Supremo del país.
El consejero delegado de Apple, Tim Cook, dijo hoy, en una entrevista con la cadena de televisión ABC, que la seguridad de los estadounidenses es "increíblemente importante".
Precisó, con todo, que la protección de los datos de los ciudadanos también lo es e insistió en que el acceder a las peticiones del FBI haría que sus usuarios fuesen "increíblemente vulnerables"."Crearía un precedente que ofendería a mucha gente", afirmó el responsable de Apple.
El director del FBI, James Comey, ha insistido en que el caso de San Bernardino tiene un alcance "reducido" y afecta a un único teléfono pero Cook asegura que eso no es cierto.
Cook sostiene que la técnica que Apple debería de desarrollar para allanar el camino al FBI "podría utilizarse una y otra vez en muchos dispositivos".Sería, dijo, el equivalente a "una llave maestra capaz de abrir cientos de millones de cerraduras, desde restaurantes y tiendas a casas". "Ninguna persona razonable consideraría que eso es aceptable", dijo Cook la semana pasada.
Apple pidió el lunes al Gobierno de Estados Unidos retirar la petición que exige a la compañía ayudar al FBI y crear en lugar de ello una comisión oficial para evaluar los problemas generados por el creciente uso de la encriptación.
"Nuestro país siempre ha sido más fuerte cuando está unido", aseguró Apple en una información publicada ayer en su sitio web, donde dice que la mejor forma de avanzar en este caso sería que el Gobierno "retire" sus exigencias y forme una comisión o algún tipo de panel para evaluar la situación.
"Apple participaría encantada en un esfuerzo de ese tipo", aseguró la compañía.
Fuente: El Mundo.es

TTIP. Eurodiputado del partido político de Podemos: "Todas las sospechas son ciertas"

Xabier Benito afirma, tras acceder por primera vez a la 'cámara secreta' en la que Bruselas custodia los textos, que estos priorizan "la defensa de los intereses de las empresas por encima de los derechos de las personas" en cada uno de los folios que ha podido leer.
Los eurodiputados de Podemos Lola Sánchez y Xabier Benito criticaron este jueves la "opacidad" de las negociaciones del tratado de libre comercio e inversiones (conocido como TTIP) entre la Unión Europea (UE) y Estados Unidos, y pidieron a la ciudadanía mantener la movilización en su contra.
"La única manera de parar este tratado es arrojar luz, seguir ejerciendo presión desde la ciudadanía y no darnos por vencidos en ningún momento", declaró ante la prensa Benito al término de una sesión plenaria del Parlamento Europeo.
Benito consideró que las dos partes, que concluyen mañana en Bruselas la duodécima ronda de negociaciones, "lógicamente van a apretar el acelerador" para conseguir su objetivo de cerrar el texto del acuerdo antes de que concluya este año su mandato el presidente estadounidense, Barack Obama. "Creo que lo pueden conseguir, porque ya son doce rondas de negociaciones y hay puntos en común, y los que son en teoría puntos de desacuerdo pensamos que en el último momento puede darse un cambio", indicó, y advirtió de que "al final puede acelerarse ese proceso".
Benito: "Al final la 'reading room' es una medida de maquillaje. Todo lo que se lee no se puede usar"
El eurodiputado de Podemos se pronunciaba de esta forma tras acceder a la reading room, la suerte de cámara secreta en la que Bruselas permite la lectura de parte de los documentos de las negociaciones.
"Es bastante simbólica la situación de opacidad y no transparencia de las negociaciones del TTIP. Sobre todo por las formas en que accedemos a esa sala", apuntó. Tras acceder a algunos documentos, el europarlamentario grabó un vídeo que posteriormente colgó en la red, para asegurar que "todas las sospechas" en relación al tratado "son ciertas".
"La defensa de los intereses económicos de las empresas está por encima de los derechos de las personas en cada párrafo del tratado". "Estamos ante el golpe de estado de las multinacionales sin que lo podamos siquiera leer".
Por otra parte, Benito destacó que en el debate este jueves en el pleno de la Eurocámara con la defensora del Pueblo de la UE, Emily O'Reilly, "la mayoría de los grupos incidió en la falta de transparencia de la Comisión Europea (CE) -institución encargada de la negociación de ese acuerdo en nombre de los Veintiocho- y valoró el trabajo que la defensora ha hecho sobre la opacidad en el TTIP".
"Ha pedido que desde la sociedad se hagan más denuncias para que entonces ella pueda trasladarlas a la CE y aumentar esa presión", señaló, y lamentó que el Ejecutivo comunitario "esgrima el argumento de que en una negociación te tienes que guardar tus cartas" por ser "el protocolo de las negociaciones"."No están negociando con sus cartas, ni con su casa ni sus derechos, sino con los de todas las personas", comentó.
Por su parte, Sánchez lamentó la mala acogida por parte de la Cámara de Comercio estadounidense de la propuesta de la CE de crear un sistema de tribunales para resolver los posibles conflictos entre multinacionales y Estados dentro del TTIP, que sustituiría al mecanismo clásico de protección de inversores en caso de litigios Estado-inversor.
Ese asunto está en la mesa de discusiones en la ronda que se celebra esta semana.Al mismo tiempo, pidió más información sobre los encuentros entre partes interesadas, que en su mayoría son, aseguró, "los grandes 'lobbies' (grupos de presión) de la industria", y los negociadores.
Fuente: Publico.es

FRANCIA. Gobierno reclama a Google 1.600 millones de euros en impuestos

El gobierno francés le exigirá a Google la devolución de 1.600 millones de euros en impuestos que consideran no pagados por la multinacional estadounidense, según una fuente del Ministerio de Economía francés, que ha declinado dar su nombre, según una información de Reuters.
Una portavoz de Google Francia también ha rechazado, por el momento, hacer ningún tipo de declaración. En 2012 se publicó una información en medios franceses que ya mencionó que las autoridades galas podrían reclamar esta cantidad, una información que, por aquel entonces Google negó.
La autoridad tributaria francesa permite a las compañías una evaluación preliminar de los hechos antes de llegar a un veredicto que además podría ser impugnado en los tribunales en caso de no ser admitido.
A principios de este mes, el ministro francés de Finanzas y Hacienda, Michel Sapin, descartó llegar a un acuerdo con Google parecido a lo que alcanzó el gobierno británico, recordando que "la suma de las cantidades que se le adeudan a Francia es muy superior a la británica". La cifra que pactó Google con Reino Unido por impagos desde 2005 fue de 181 millones de euros , una cantidad que algunos juristas británicos criticaron como 'desproporcionadamente pequeña".
Curiosamente la situación se produce en el mismo momento el que el consejero delegado de Google, Sundar Pichai, se encuentra en París y que además tiene prevista una reunión con Emmanuel Macron, ministro de Economía, Industria y Tecnología que según fuentes de France Presse no tienen, a priori, intención de abordar el tema de la recuperación de impuestos atrasados.
Fuente: El Mundo.es

ALEMANIA. Gobierno podrá espiar las actividades digitales de sus ciudadanos

Polémica en Alemania después de que el gobierno haya creado un troyano para poder controlar a sus ciudadanos.
El gobierno alemán ha anunciado que ha desarrollado un avanzado troyano con el que podrán espiar a sus ciudadanos, no solo en las actividades que realizan a través de sus ordenadores, sino también en los chats y conversaciones que tienen lugar desde sus móviles.
Un portavoz del ministerio del Interior ha explicado que ahora cuentan con unas posibilidades de control en un campo donde no disponían de ello, informan en Deutsche Welle.
Los críticos a la medida, exponen que el gobierno alemán puede funcionar como un “Gran Hermano”, invadiendo la privacidad de sus ciudadanos, y apuntan que deberían limitarse las funcionalidades del troyano.
Para tranquilizar a los ciudadanos, las autoridades germanas han precisado que para instalar el troyano en el dispositivo de algún sospechoso deberán contar con una orden judicial.
Eso sí, aquellas personas que acaben teniendo el troyano instalado tendrán intervenidas sus actividades digitales, ya que este podrá recopilar datos de sus ordenadores, así como monitorizar cualquier actividad de mensajería desde sus dispositivos móviles.
Fuente: Silicon.es

DRUPAL. Publicada actualización que corrige múltiples vulnerabilidades

El equipo de seguridad de Drupal ha publicado actualizaciones para solucionar varias vulnerabilidades, algunas de ellas críticas, que afectan a distintos módulos del core de Drupal., catalogada de Importancia: 5 Crítica
Recursos afectados
  • Versiones Drupal core 6.x anteriores a 6.38
  • Versiones Drupal core 7.x anteriores a 7.43
  • Versiones Drupal core 8.0.x anteriores a 8.0.4
Detalle de la actualización de las vulnerabilidades corregidas
  1. Módulo File. Drupal 7 y 8. Acceso no autorizado a ficheros y denegación de servicio. (Grave).- Un atacante podría manipular el enlace a ficheros en el formulario de subida y bloquear el proceso.
  2. Servidor XML y RPC. Drupal 6 y 7. Amplificación de ataques de fuerza bruta vía XML-RPC. (Grave).- El sistema XML-RPC permite un elevado número de peticiones que puede utilizarse para ataques de fuerza bruta
  3. Redirección abierta por manipulación de ruta. Sistema base. Drupal 6, 7 y 8. (Grave).- A través de manipulación de la ruta puede redirigirse la navegación a una URL externa.
  4. Fallo en restricciones de acceso en la API Form. API Form. Drupal 6 (Crítica).-La restricción de acceso a ciertos elementos restringidos puede evadirse, como por ejemplo el acceso vía JavaScript a botones de formulario bloqueados.
  5. Inyección de cabeceras HTTP. Sistema base. Drupal 6 (Grave).- Una vulnerabilidad en la función drupal_set_header() posibilita ataques de inyección de cabeceras HTTP.
  6. Redirección abierta a través del parámetro 'destination'. Sistema base. Drupal 6, 7 y 8. (Grave).- La función drupal_goto() descodifica incorrectamente el contenido del parámetro $_REQUEST['destination'] previo a su uso, lo que permite realizar la redirección a una URL arbitraria.
  7. Vulnerabilidad de descarga de ficheros (reflected file download vulnerability). Módulo System. Drupal 6 y 7. (Grave).- Una vulnerabilidad en el core de Drupal permitiría a un atacante lograr que un usuario descargue y ejecute un fichero con un contenido arbitrario en JSON.
  8. Vulenerabilidad en función para guardar cuentas. Módulo User. Drupal 6 y 7. (Moderada).- Un atacante podría asignarse todos los roles debido un comportamiento distinto al esperado de la función user_save() cuando es referenciada por un código específico diferente al utilizado por el core de Drupal.
  9. Fuga de información. Módulo User. Drupal 7 y 8. (Moderada).- Direcciones de correo electrónico pueden ser usadas en lugar de nombre de usuario en formularios de acceso lo que permite averiguar la asociación nombre de usuario con dirección de correo e inferir identidades.
  10. Truncamiento y manipulación de datos de sesión. Sistema Base. Drupal 6. (Moderada).- Bajo ciertas versiones de PHP, los datos de sesión de usuario pueden ser manipulados y posiblemente provocar ejecución de código de forma remota.
Recomendación
  • Si utiliza Drupal 6.x, actualice a Drupal core 6.38
  • Si utiliza Drupal 7.x, actualice a Drupal core 7.43
  • Si utiliza Drupal 8.0.x, actualice a Drupal core 8.0.4
  • Para ampliar información y descargar actualizaciones dirigirse al siguiente enlace: https://www.drupal.org/project/drupal
Más información
Fuente: INCIBE

CISCO. Actualización para Cisco ACE Application Control Engine

Cisco ha publicado una actualización de seguridad de su producto Cisco ACE Application Control Engine. Esta actualización resuelve una vulnerabilidad que permitiría a un atacante remoto ejecutar cualquier comando en CLI con privilegios de administrador, catalogada de Importancia: 4 Alta
Recursos afectados
  • Cisco ACE 4710 Application Control Engine.
Detalle de la actualización
  • Cisco ACE 4710 Application Control Engine es vulnerable cuando se configuran los permisos para permitir el acceso a la GUI del Device Manager. La vulnerabilidad se produce por la insuficiente validación de los datos de acceso proporcionados por el usuario. El atacante podría aprovechar una petición HTTP POST inyectando comandos en los parámetros de la petición, permitiendo sortear las restricciones del RBAC -role-based access control-.
Recomendación
Más información
Fuente: INCIBE

Denegación de servicio en Squid Proxy Cache

Una vulnerabilidad en Squid permite causar una denegación de servicio a todos los clientes accediendo al servicio, catalogada de Importancia: 4 Alta
Recursos afectados
  • Squid 3.x hasta 3.5.14
  • Squid 4.x hasta 4.0.7
Detalle e Impacto de la vulnera
  • Se trata de dos vulnerabilidades independientes que permiten enviar respuestas HTML mal formadas para causar la denegación de servicio.
  • Una de ellas es debida a un incorrecto chequeo de los límites de memoria utilizados y la otra al incorrecto manejo de errores.
Recomendación
  • Actualizar a las versiones 3.5.15 o 4.0.7
Más información
Fuente: INCIBE

GOOGLE. Corrige vulnerabilidad crítica en Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 48.0.2564.116) para todas las plataformas (Windows, Mac y Linux) para corregir una nueva vulnerabilidad crítica.
En esta ocasión la vulnerabilidad corregida, con CVE-2016-162, reside en un salto de la política de mismo origen en Blink y una fuga de la Sandbox del navegador. Según la política de la compañía el reporte de este problema ha supuesto 25.633,7 dólares de recompensa al descubridor del fallo.
Esta actualización se realiza apenas una semana después de que publicara otra actualización que ya corrigió otros seis problemas de seguridad (tres de gravedad alta y dos de importancia media). La publicación de esta nueva versión con tan poco tiempo de diferencia, junto con la cuantía de la recompensa, puede indicar la gravedad del problema corregido; además de la importancia que Google presta a la seguridad de su navegador.
Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

PIRATERIA. Utilizan un fallo de seguridad en EMET para atacar equipos

Varios expertos de seguridad han detectado un fallo de seguridad en esta herramienta que permite a los piratas informáticos tomar el control del sistema utilizando EMET a su favor, e incluso desactivando sus capas de seguridad.
EMET, acrónimo de “Enhanced Mitigation Experience Toolkit”, es una herramienta desarrollada por Microsoft con el fin de ofrecer a los usuarios y a las empresas (aunque especialmente a estas) una capa de seguridad adicional a su sistema operativo. 
Esta herramienta está pensada para proteger a los usuarios de ataques informáticos a través de software, por ejemplo, utilizando exploits y otro tipo de malware con el que se consigue tomar el control del sistema.
Detalle del ataque
  • A grandes rasgos, el funcionamiento de EMET es sencillo. Esta herramienta se encarga de inyectar varias librerías DLL en los procesos de las aplicaciones de terceros ejecutadas en el sistema. De esa manera, la herramienta monitoriza todas las llamadas de estas aplicaciones a los elementos críticos del sistema, pudiendo determinar si son llamadas legítimas, las cuales permite, o si estas llamadas pueden ser peligrosas e intentan aprovechar una vulnerabilidad, en cuyo caso las bloquean sin repercutir en el proceso original de la aplicación.
  • Para poder desactivar la capa de protección adicional de EMET, lo único que debe hacer el pirata informático es localizar una función concreta y llamarla para deshabilitar la capa de seguridad. 
Recomendación
  • Para protegernos, simplemente basta con instalar la última versión  de la herramienta en este caso la versión 5.5
Enhanced Mitigation Experience Toolkit - EMET 5.5 en Windows 10
  • EMET 5.5 soluciona este problema, pero el número de usuarios que ha actualizado es mínimo
  • EMET 5.5 es la versión más reciente de esta herramienta. Esta última versión fue publicada el pasado 2 de febrero, sin embargo, en su lista de cambios destacaba como único cambio la compatibilidad total con Windows 10 y carecía tanto de esta solución como de nuevas medidas de mitigación, por lo que el número de equipos que han instalado esta nueva versión es prácticamente insignificante.
  • Este tipo de ataques contra EMET son totalmente funcionales en prácticamente cualquier versión de la herramienta con soporte, desde la 5.0 hasta la 5.2. También se ha podido comprobar que las versiones anteriores, ya fuera de soporte, como la 4.x también son vulnerables a este tipo de ataques.
  • Para evitar caer víctimas de los piratas informáticos a través de esta herramienta es necesario instalar la versión más reciente, la 5.5, la cual incluye, además de la ya mencionada compatibilidad con Windows 10, una configuración mejorada, la posibilidad de gestionar la protección desde las directivas de grupo y un mejor rendimiento en las mitigaciones EAF y EAF+.

Fuente: ComputerWorld