6 de marzo de 2016

CIBERSEGURIDAD. Los usuarios de Internet no toman mínimas medidas de seguridad al navegar

Kaspersky Lab ha realizado un estudio entre los consumidores preguntándoles si realmente se sienten protegidos cuando navegan a través de Internet. El 79% de los consumidores que fueron preguntados, respondieron que a ellos no les gusta ser perseguidos por los anunciantes en línea, redes sociales, empresas de comercio electrónico ni de otros servicios.
Sin embargo, de estos 79% que respondieron que no les gusta ser rastreados por Internet, el 41% afirmó que no hacen absolutamente nada para protegerse a la hora de navegar por Internet. En otras palabras, no les gusta ser rastreados pero no ponen ningún tipo de impedimento para evitarlo. Por otra parte, el 9% de los encuestados dijo que ni siquiera sabían que los sitios web podían realizar este tipo de rastreos.
Algo más del 25% de los encuestados respondió que suelen utilizar a menudo el modo incógnito, o también conocido como “modo privado” en su navegador. El 11% afirmó que utilizan un plugin en su navegador web para evitar ser rastreados, además también borran el historial y las cookies siempre que lo cierran.
Recomendaciones de Kaspersky Lab para protegernos en Internet
  • Kaspersky ha realizado unas recomendaciones para todos estos consumidores que nos permitirán navegar de manera un poco más segura a través de Internet. La primera recomendación es desactivar la instalación de los plugins o add-ons automáticos en nuestro navegador, de esta forma, tan solo podrán instalarse manualmente. Otra recomendación muy importante es la de bloquear sitios web sospechosos y ventanas emergentes, normalmente los bloqueadores de publicidad tienen incorporados una base de datos de este tipo de sitios web y los bloquean automáticamente, asimismo también es recomendable bloquear las cookies de terceros siempre que sea posible.
  • Si estamos conectados a redes inseguras, es fundamental no solo utilizar HTTPS en nuestras conexiones sino verificar que el certificado digital está vigente y es de confianza, sino fuera de confianza podríamos estar ante un ataque Man In The Middle de un usuario malintencionado. Kaspersky también recomienda el uso de redes privadas virtuales VPN para permanecer ocultos en Internet, y no desvelar a los diferentes sitios web nuestra dirección IP.
  • Otro punto muy importante que ha detallado Kaspersky está relacionado con la instalación de software nuevo, en el asistente de instalación de muchos programas tenemos casillas marcadas para instalar barras de herramientas adicionales, plugins, extensiones, y adware en general. Al instalar este tipo de programas debemos tener mucho cuidado y desmarcar las casillas.
En Europa se espera próximamente el Reglamento General de Protección de Datos, donde si las empresas no cumplen con la normativa sobre protección de datos, se les impondrán multas cuantiosas.

Fuente: Kaspersky Lab

AMAZON. Elimina sin ruido el cifrado de dispositivos en Fire OS 5

Amazon declara públicamente su apoyo a Apple, pero hace lo contrario con su propio sistema operativo.
Apple ha recibido apoyo de varias empresas tecnológicas, entre ellas Google, WhatsApp, Cisco y Microsoft, como asimismo de observadores, catedráticos de derecho y organizaciones de protección de la privacidad, en la situación judicial que la tiene enfrentada a la policía federal estadounidense, FBI.
Por su parte, Amazon ha eliminado la posibilidad de cifrar contenido local en las unidades que distribuye bajo la marca Fire. En una controvertida actualización del sistema operativo Fire OS 5, Amazon escribe lo siguiente: “Soporte para cifrado en la tableta Fire: el soporte para cifrado pronto será descontinuado en Fire HD (4ª generación) y Fire HDX 8.9 (4ª generación). Los datos de su dispositivo están cifrados. Sin embargo, el cifrado del dispositivo en sí ya no será posible en Fire OS 5”.
Esta decisión no pasa inadvertida considerando que Amazon se sumó a la lista de empresas que han manifestado su apoyo a Apple en su divergencia con el FBI en Estados Unidos, en una investigación por actos terroristas ocurridos en diciembre pasado en California.
Fire OS es una versión de Android adaptada por Amazon; una bifurcación del sistema operativo de Google. Amazon utiliza este sistema en sus tabletas de las series Kindle Fire y Amazon Fire HD, Amazon Fire TV y el smartphone Fire Phone.
En este contexto, cabe recordar que este teléfono fue descontinuado en 2015, un año después de su lanzamiento, por lo que ahora es incierto si Amazon tiene previsto lanzar nuevos smartphones. El propio aparato fue considerado en su momento “una grave amenaza a la privacidad“. Los productos de la serie Fire prácticamente no son comercializados fuera de Estados Unidos.
Amazon insinúa poco uso del sistema de cifrado
  • La decisión de Amazon deja tres opciones a los clientes. Pueden optar por no instalar la actualización, pero en tal caso quedan excluidos de futuras actualizaciones de seguridad o nueva funcionalidad. La segunda opción es aceptar la decisión de Amazon, y la tercera es, obviamente, dejar de usar sus dispositivos Fire.
  • La publicación The Verge asegura haber conversado con un vocero, no identificado, de Amazon, quien habría declarado: “Cuando lanzamos Fire OS 5 eliminamos algunas funciones Enterprise luego de constatar que los clientes no las utilizaban”. Amazon no ha publicado una explicación que sustente su decisión, limitándose a informar que a partir de la versión 5 del sistema operativo no será posible cifrar los dispositivos.
Fuente: Diarioti.com

CIBERATAQUE. El Estado Islámico intenta hackear Google y se equivoca de página

Ayer un militante del Estado Islámico anunció que había llevado a cabo el hackeo de Google. El problema es que no se dio cuenta de que la página sobre la que había llevado a cabo el deface no era la correcta.
La información se ha filtrado de un chat privado que el grupo posee en Telegram. Y sí, aunque parezca mentira y después de las medidas anunciadas por los responsables del servicio de mensajería, los miembros de este grupo radical parece que aún campan a sus anchas por el servicio ante cierta pasividad de sus responsables.
Volviendo al tema, ayer se filtró (el estado Islámico quiso que se filtrase) cierta información relacionada con un hackeo que se había llevado a cabo en la página de Google, existiendo incluso una captura de pantalla del deface realizado. Como si de una batalla se hubiese ganado, se ofreció la información a bombo y platillo, pero de lo que no se percataron es que se habían equivocado de objetivo y la página web afectada no pertenece ni siquiera al dominio del Gigante de Internet.
addgoogleonline.com ha sido la página afectada por el Estado Islámico
  • Los propietarios del servicio decidieron en un momento dado bautizar su página incluyendo Google en el nombre, llevando a una confusión a los integrantes del grupo radical y provocando que cometieran el error.
La Ciberarmada del Califato está detrás de la autoría
  • La nueva división del Estado Islámico es la que se encuentra detrás de esta operación fallida, responsables también del hackeo de una empresa de paneles solares en Reino Unido y amenazas en correo electrónicos a los responsables de los principales servicios de Internet.
  • Se creó para atacar y proceder al robo de información de la división de defensa del Gobierno estadounidense y después de mucho tiempo a la sombra han aparecido de nuevo, aunque todo hay que decirlo, con una operación que no les ha servido de mucho.
Siempre se toman medidas que luego quedan en el olvido
  • Aunque los hemos mencionado con anterioridad no queremos pasarlo por alto, ya que no solo en Telegram, en todos los servicios sucede lo mismo. Después de los atentados de París, fueron muchos los responsables de servicios de mensajería que anunciaron medidas para que estos no sirviesen de columna vertebral a la hora de coordinar operaciones. Sin embargo, todo parece haber quedado en un segundo plano y de nuevo se sabe que los terroristas continúan haciendo uso de Telegram.
Fuente: Softpedia

ALEMANIA. Autoridades investigan a Facebook por abuso de mercado

La autoridad alemana responsable de la libre competencia y los derechos de los consumidores dijo el miércoles que abrió una investigación contra Facebook por supuesto abuso de poder de mercado, al aprovechar lagunas en la ley de protección de datos.
El organismo de control dijo que los términos sobre servicio que acuerdan los usuarios de Facebook FB.O, relacionados principalmente a cómo la compañía hace uso de sus datos, podían constituir un abuso a su posición dominante en el mercado de las redes las sociales.
Facebook, la red social más grande del mundo con 1.600 millones de usuarios al mes, percibe ingresos derivados de la publicidad basados en los datos que recopila de la información sobre las publicaciones de sus usuarios.
"Para los servicios de Internet financiados a través de la publicidad, como Facebook, los datos de los usuarios son enormemente importantes. Por ello, es esencial examinar también, bajo el prisma de abuso de poder de mercado, si los consumidores están suficientemente informados sobre los tipos y la clase de datos que se recogen", dijo en un comunicado el presidente de la Oficina Federal de Competencia, Andreas Mundt.
Facebook ha enfrentado fuertes críticas de políticos y reguladores en Alemania, donde la protección de datos está muy vigilada, a causa de sus prácticas de privacidad. El cofundador y presidente ejecutivo, Mark Zuckerberg, visitó Berlín la semana pasada en una campaña destinada a mejorar la imagen de la firma.
"Estamos seguros de que cumpliremos con la ley y estamos dispuestos a trabajar con la Oficina Federal de Competencia para responder a sus preguntas", dijo una portavoz de Facebook el miércoles.
Fuente: Reuters

FACEBOOK. Pagará en el Reino Unido y no en Irlanda los impuestos por sus ingresos

Facebook anuncia que pagará sus impuestos en el Reino Unido de los ingresos generados en este país, y no en Irlanda como hasta ahora.
 En un comunicado, el gigante estadounidense de las redes sociales asume este compromiso a partir de abril después de que fuera señalado con el dedo como otros servicios parecidos de internet que han aprovechado al máximo las posibilidades de la optimización fiscal en Europa. Recientemente, por ejemplo, se reveló que la compañía solo abonó 4.327 libras (5.625 euros) en impuesto corporativa en 2014 en el Reino Unido cuando este es uno de sus principales mercados fuera de Estados Unidos.
De hecho, en el Reino Unido el impuesto de sociedades es del veinte por ciento comparado con el doce y medio de Irlanda. La dirección de Facebook informará del cambio fiscal a empresas británicas que le ponen publicidad en sus páginas como Unilever, Tesco o Sainsburys. 
Hace poco, otro gigante de la red como Google también hizo público que pagará 170 millones de euros en impuestos atrasados en el país por el mismo motivo.
Fuente: Euronews

PIRATERIA. Demuestran cómo hackear los drones de Parrot y hacerse con su control

En el congreso RootedCON 2016 sobre ciberseguridad celebrado en Madrid, el investigador Pedro Cabrera ha demostrado cómo se pueden hackear fácilmente los populares drones de Parrot y por tanto, cómo un usuario malintencionado se puede hacer con el control de nuestro drone.
En la demostración que realizó Pedro Cabrera utilizó el Parrot Bebop, un drone pequeño, resistente y ligero, que además incorpora una cámara de 14 megapíxeles para grabar vídeos y realizar fotografías, este modelo cuesta 349€ el modelo original y 549€ el Bebop 2 que goza de una mayor autonomía. Este modelo de dron está a medio camino entre los drones para aficionados y profesionales.
Algunos drones profesionales utilizan un mando a distancia radiocontrol como hace el conocido drone de altas prestaciones DJI Phantom III, sin embargo, los Bebop y Bebop 2 de Parrot e incluso los “Jumping Sumo” generan su propia red inalámbrica Wi-Fi para controlar el dispositivo, por lo que cualquiera puede ver esa red e incluso conectarse a ella.
Wi-Fi sin contraseña y sin autenticación accediendo por Telnet
  • Estos drones de Parrot no tienen la red inalámbrica Wi-Fi protegida por contraseña, por lo que cualquier usuario con su smartphone o tablet podría conectarse fácilmente a él. Otro aspecto muy importante es que tiene un servicio Telnet funcionando en el interior del drone, con el que podremos entrar en su sistema interno, además no pide autenticación y puedes entrar directamente como administrador.
  • Cuando conectamos por primera vez un dispositivo móvil al drone con la aplicación FreeFlight, podremos empezar a controlarlo, sin embargo Parrot tiene un sistema de protección que impide que otro usuario que se conecte al dron y tenga la aplicación FreeFlight pueda controlarlo. De esta forma, el primero que se ha conectado al dron será quien lo controle, sin embargo se puede burlar esta medida de seguridad.
Investigaciones anteriores sobre los drones Parrot
  • Anteriormente en la conferencia de seguridad Def Con, dos expertos en seguridad demostraron que se podían hackear estos drones para que el usuario malintencionado tuviera el control, sin embargo, el usuario legítimo se daría cuenta de que su dron se había secuestrado debido a que la propia aplicación mostraba que se había perdido la conexión.
Cómo hackear un drone Parrot sin que el usuario se entere
  • Pedro Cabrera ha realizado ingeniería inversa al dron de tal forma que ha conseguido conectarse a la red Wi-Fi del dron e inyectar comandos, tanto al aparato como a la propia aplicación del usuario legítimo. Debemos recordar que el drone no tiene autenticación a la hora de entrar vía telnet, y además somos administradores. 
  • Gracias a este método, podremos hacernos pasar por el piloto legítimo sin que el verdadero dueño del dron se entere, y tomar el control. Este fallo de seguridad que tiene Parrot en sus drones podría salir muy caro a sus clientes, porque un usuario malintencionado podría enviar la orden de estrellarse. Por otra parte, entra en juego la privacidad, y es que podríamos ejecutar una orden de grabar vídeo o tomar fotografías.
La respuesta oficial de Parrot
  • Pedro Cabrera le comunicó a Parrot todos estos problemas de seguridad hace meses, sin embargo, la compañía ni siquiera se ha dignado a contestarle.
Fuente: eldiario.es

GOOGLE PLAY MUSIC. Escuchar música en streaming con un cliente de escritorio de la plataforma de Google.

Google Play Music permite subir a su biblioteca un total de 50.000 canciones en MP3, incluso en el plan gratuito. De esta manera, los usuarios pueden tener su colección musical sincronizada con la nube y no depender, entre otras cosas, de copiar los discos que quieren escuchar al limitado espacio de almacenamiento de muchos móviles. 
Sin embargo, en el caso de utilizar un PC era necesario acceder desde el navegador y mantenerlo abierto siempre que quisiéramos escuchar música, y es que Google no ha desarrollado un cliente oficial de escritorio para poder escuchar su música desde una aplicación nativa.
Google Play Music Desktop Player es un cliente para esta plataforma musical, totalmente gratuito y de código abierto, que nos va a permitir disponer de un completo reproductor de música en nuestro sistema Windows (más adelante estará también para Mac OS X) para acceder fácilmente a toda la colección de música que tengamos subida a los servidores de Google.

Google Play Music Desktop Player, cliente no oficial con el que Google potenciaría su streaming

Las principales características que nos ofrece Google Play Music Desktop Player y que no podemos utilizar desde la versión web son:
  1. Soporte para las teclas de control ((Play, Pause, Stop, etc) de los teclados. También permite configurar atajos de teclado.
  2. Integración con los servicios de Last.FM.
  3. Notificaciones en el escritorio.
  4. Un mini-reproductor muy minimalista.
  5. Posibilidad de cambiar el tema, incluyendo uno de tonos oscuros.
  6. Posibilidad de controlar el reproductor desde la barra de tareas.
  7. 100% HTML5, no depende de Flash ni para el audio.
  8. Permita mejorar la calidad del sonido con el ecualizador incluido.
  9. Reproduce música en segundo plano, incluso desde la barra de tareas.
  10. Permite elegir el dispositivo de salida de audio.
  11. Se integra con aplicaciones externas como Rainmeter.
Recomendación
Instalación, configuración y ajustes
  • Una vez instalada la aplicación simplemente debemos iniciar sesión para poder acceder a toda nuestra biblioteca musical.
  • Desde el conocido botón de Google de la parte superior izquierda podemos abrir el menú, similar al de la página web de la compañía desde donde podemos acceder, entre otros apartados, al menú de configuración del cliente.
  • Aquí podemos activar o desactivar el mini-reproductor y personalizar el tema de Google Play Music pudiendo habilitar, por ejemplo, el mencionado tema oscuro al más puro estilo Spotify.
  • Como podemos ver, una gran aplicación no oficial de Google, pero de código abierto, que va a permitir a todos los usuarios de Google Play Music escuchar su completa colección musical de forma gratuita, en streaming, tras haber subido sus propios archivos MP3 a la nube de la compañía.
Fuente: Redeszone.net

Bitdefender Adware Removal Tool. O como eliminar fácilmente el adware de nuestro PC

Bitdefender Adware Removal Tool, es una aplicación desarrollada por la prestigiosa empresa de seguridad con el fin de detectar y eliminar el software adware no deseado de nuestro ordenador de forma rápida y sencilla.
Esta herramienta detecta y elimina una gran variedad de software diferente, aunque su especialidad son:
  1. Adware (software publicitario, falsos antivirus, falsas aplicaciones de optimización, etc)
  2. Herramientas que secuestran y controlan los navegadores
  3. Barras de búsqueda de los navegadores
  4. Extensiones maliciosas de los navegadores
  5. Keyloggers
Cómo descargar y utilizar Bitdefender Adware Removal Tool
  • Esta herramienta es totalmente gratuita y podemos descargarla desde los servidores oficiales de Bitdefender. Esta herramienta está actualizada, además de con las bases de datos más recientes, para funcionar sin problemas en Windows 10.
  • Esta herramienta funciona tanto en sistemas de 32 como de 64 bits, y es portable, por lo que no necesitaremos instalarla en el equipo. Una vez descargada, basta con ejecutarla para que comience a analizar nuestro sistema. Dependiendo de las propiedades del equipo el escaneo completo puede tardar más o menos tiempo, pero la media de análisis está en unos 5 minutos.
Bitdefender Adware Removal Tool - Analisis
  • Cuando el análisis finalice nos aparecerá una lista con todas las aplicaciones maliciosas que se han detectado. En caso de hacer detectado alguna, para eliminarla no tenemos más que seleccionarla de la lista y hacer clic en el botón “Remove” para que, en unos segundos, esta desaparezca por completo de nuestro PC.
Bitdefender Adware Removal Tool - Resultado
  • Como podemos ver, una herramienta muy sencilla y gratuita que nos ayudará a mantener nuestro ordenador limpio y optimizado, libre de software publicitario y aplicaciones que puedan comprometer nuestra seguridad o privacidad (como los keyloggers o las extensiones del navegador que pueden capturar todo el tráfico), mejorando además el funcionamiento general del equipo al evitar el consumo innecesario de los recursos consumidos por estas aplicaciones.
Fuente: Redeszone.net

WATCHGUARD. Potencia el rendimiento de la gestión unificada de amenazas

Sus nuevos dispositivos Firebox M4600 y Firebox M5600 prometen máximo rendimiento, flexibilidad, rapidez y accesibilidad.
La gama de dispositivos para la gestión unificada de amenazas de WatchGuard Technologies acaba de ser renovada. WatchGuard ha introducido en el mercado un par de firewalls que llevan adosada la etiqueta de máximo rendimiento: Firebox M4600 y Firebox M5600.
Ambos están orientados a grandes entornos como los de las empresas distribuidas, incidiendo en características como la flexibilidad, la velocidad y la accesibilidad. Por ejemplo, ofrecen modularidad de puertos y fuentes de alimentación redundantes.
Cada appliance cuenta, en concreto, con dos ranuras para módulos de expansión. También cabe señalar que dan acceso a la plataforma de inteligencia de amenazas procesable Dimension de manera estándar.
“Las organizaciones necesitan soluciones de seguridad UTM de alto rendimiento con velocidades rápidas a gran escala rápidamente y que sean capaces de operar sin problemas ni ningún tipo de fisuras a través de su red. No deberían tener que sacrificar el rendimiento por la seguridad”, ha comentado al anunciarse este lanzamiento Brendan Patterson, director de gestión de producto de WatchGuard, que añade que no se deben hacer sacrificios “en ningún lugar de su red”.
“Nuestros Fireboxes consolidan las funciones de red y de seguridad críticas en una única plataforma UTM de gestión centralizada que es fácil de configurar, desplegar y gestionar”, finaliza.
Fuente: Silicon.es

CIBERSEGURIDAD. Nueva modalidad de ataque intercepta tráfico cifrado

"Drown Attack" puede interceptar los datos transmitidos mediante conexiones cifradas entre navegadores actualizados y servidores HTTPS, provistos incluso de tecnología de cifrado SSLv2 (Secure Sockets Layer version 2).
Expertos en seguridad informática  han detectado un nuevo tipo de ataque cibernético con capacidad de interceptar tráfico cifrado HTTPS operando con tecnología SSLv2.
Según un grupo de trabajo internacional en el que participan Google,  diversas universidades y el proyecto OpenSSL, la vulnerabilidad  afecta a uno de cada 3 servidores HTTPS, equivalentes a 11,5 millones de servidores.
Los investigadores han comprobado que SSLv2  se ha convertido en un grave problema de seguridad para millones de servidores web. La situación afectaría a uno de cada tres servidores con soporte para HTTPS  si se incluyen los servidores  carentes de soporte SSLv2 que comparten una clave pública con un servidor con soporte para SSLv2;  por ejemplo, servidores de correo electrónico.
Esta modalidad de ataque ha sido denominada DROWN (Decrypting RSA with Obsolete and Weakened eNcryption). en la práctica, se trata de una nueva variante de una modalidad antigua de ataque, denominada “Bleichenbacher padding oracle attack“.  El ataque hace posible descifrar conexiones TLS  interceptadas,  habilitando conexiones especialmente diseñadas en un servidor con soporte SSLv2,  siempre y cuando las conexiones TLS y SSLv2  utilicen la misma clave privada.
Otra condición que debe concurrir es que se utilice el método de intercambio de claves RSA.  Se ha comprobado, además, que es totalmente irrelevante el navegador utilizado, en tanto que la conexión interceptada puede basarse en cualquier versión existente de TLS  (o SSL), hasta la versión 1.2.
Para el caso de algunos servidores es necesario probar  miles de conexiones, realizándose un gran número de cálculos para vulnerar el sistema de cifrado. Sin embargo, todos estos cálculos podrían ser realizados  mediante el servicio EC2 de Amazon  en aproximadamente 8 horas, por un precio de aproximadamente US$ 440.  Este gasto está al alcance de un gran número de cibercriminales e indudablemente de agentes estatales.
Un elemento clave de los ataques es la vulnerabilidad fundamental  presente en SSLv2,  vinculada a la exportación de cifras, que sólo utiliza claves de 40 bits.
En el sitio de DROWN  se ha publicado una lista  con ejemplos tomados de los 10.000 sitios web más populares del mundo,  cuyos servidores están vulnerables al ataque. La lista está actualizada al primero de marzo de 2016. El sitio  ofrece una herramienta que permite verificar la vulnerabilidad del servidor, digitando el nombre  de un dominio desde https://test.drownattack.com/?site=
Más información
Fuente: diarioti.com

EEUU. El Pentágono invita a hackers profesionales a probar seguridad de sus sistemas

El Pentágono ha anunciado un proyecto piloto con el que esperan poner a prueba la ciberseguridad de sus sistemas con la ayuda de hackers profesionales para descubrir vulnerabilidades y corregirlas.
El proyecto 'Hack the Pentagon' (hackea el Pentágono) se pondrá en marcha el próximo mes, y en él podrán participar hackers externos a la institución, estadounidenses y previamente registrados e investigados para garantizar la seguridad de la prueba, como ha explicado Reuters. También les han limitado las herramientas de las que dispondrán.
El fin de este proyecto es encontrar potenciales vulnerabilidades del sistema de defensa y corregirlas. "La meta no es comprometer ningún aspecto de nuestros sistemas críticos, sino retar a nuestra ciberseguridad en una nueva e innovativa forma", ha explicado el Secretario de Defensa, Ash Carter, en un comunicado recogido por Reuters.
Con esta iniciativa, el Servicio de Defensa Digital del Pentágono (DDS, por sus siglas en inglés), encargado del proyecto, busca ahorrar dinero y tiempo como consecuencia del daño producido por un ataque a sus rechas de seguridad.
Fuente: Europa Press

PREMIO TURING 2015. Los padres de la criptografía moderna reciben el premio

Whitfield Diffie y Martin Hellman fueron los criptógrafos encargados de crear las bases sobre las que, a día de hoy, se sustentan los protocolos de seguridad de Internet. Ahora, Diffie y Hellman han recibido el Premio Turing 2015.
El Premio Turing se trata de un prestigioso galardón considerado como el “Nobel de la Informática” y que otorga la Association for Computing Machinery (ACM). Este año el premio, que debe su nombre al prestigioso matemático Alan Turing lo han recibido por la criptografía asimétrica o criptografía.
El protocolo que estos dos ingenieros llevaron a cabo se basaba en una forma de intercambiar mensajes cifrados a través de canales públicos, mediante una clave pública -para la encriptación- y una clave privada -para la decodificación-, de tal forma que la clave no tiene por qué ser identica en las dos partes que busquen una comunicación segura.
"Hoy en día, el tema de la encriptación domina los medios de comunicación, es visto como un asunto de seguridad nacional, impacta sobre las relaciones entre el gobierno y el sector privado y atrae miles de millones de dólares en investigación y desarrollo", ha explicado el presidente de la ACM, Alexander L.Wolf, en un comunicado. Una muestra de esto son las URL "HTTPS", donde S notifica que el protocolo que se emplea encriptará la comunicación.
"En 1976, Diffie y Hellman imaginaron un futuro en el que las personas se comunican regularmente a través de redes electrónicas y que son vulnerables a que sus comunicaciones sean robadas o alteradas. Ahora, después de casi 40 años, vemos que sus previsiones eran extraordinariamente profético”, ha explicado Wolf.

Fuente: Europa Press

LI-FI. El Internet más rápido, barato y seguro a través de las bombillas

Harald Haas está considerado como el inventor del Li-Fi (Light Fidelity), una tecnología inalámbrica de transmisión de datos a través de ondas lumínicas. Este científico alemán es el director del departamento de Comunicaciones Móviles de la universidad de Edimburgo.
Las investigaciones de Haas han estado siempre orientadas a la búsqueda de soluciones para optimizar la transmisión de datos entre dispositivos electrónicos. La respuesta a sus inquietudes suma a la de cables y espectro radioléctrico, y se encuentra en algo mucho más cotidiano: las bombillas LED. Los investigadores dirigidos por Haas han demostrado que cualquiera de estas bombillas puede transmitir datos a través de una ligera variación de luz imperceptible para el ojo humano. Y, además, la infraestructura para implementarlo ya está instalada.
El Li-Fi, afirma Haas, es más eficiente, más barato y más rápido que las conexiones inalámbricas que utilizamos en la actualidad; pero no sólo ofrece estas ventajas, sino que será imprescindible en el futuro porque, según asegura el alemán: “en el 2025 ya habremos agotado todo el espectro radioeléctrico”.
Fuente: El País.com

ESTAFA. Falso cupón de McDonald's roba datos en WhatsApp

La Policía y FACUA alertan de que se utiliza la información del usuario para traficar con ella y enviar SMS premium
Un mensaje de WhatsApp en el que a cambio de completar una "miniencuesta" de 50 preguntas, el usuario recibe un cupón para comer gratis en el McDonald's. Así es la última estafa que circula por las redes y que ha sido denunciada por la Policía y FACUA (Federación de Asociaciones de Consumidores en Acción). El propósito del mensaje es robar información personal para "traficar con ella o enviar SMS Premium (el cliente paga cada vez que recibe uno de ellos)", según indica la Policía Nacional en su cuenta oficial de Twitter.
La encuesta consta de cuatro preguntas sobre los hábitos de consumo de comida rápida en este tipo de restaurantes. El anuncio indica que si se cumplimenta se obtiene un cupón de 50 euros para gastar en McDonald's. Tras completarla, desde la web se pide que se difunda masivamente la encuesta a través de WhatsApp para poder recibir el teórico vale. "¡Enhorabuena! Sigue estos pasos para recibir tu cupón de 50 euros de McDonald's: Invita a diez amigos o a tres grupos en WhatsApp para recibir el cupón", indica la web.
¡Que nooo! #nopiques. Ni son #mcdonalds ni otros. Sólo quieren datos para traficar con ellos o contratar SMS Premium pic.twitter.com/pX1WyybQIF— Policía Nacional (@policia) 24 de febrero de 2016
La asociación de consumidores ha alertado de que este tipo de mensajes que proliferan a través de las redes sociales, correo electrónico y aplicaciones móviles y recomienda a los usuarios que denuncien ante la Policía si reciben alguno de ellos. FACUA ya denunció esta práctica ante la Agencia Española de Protección de Datos el pasado mes de agosto con otro mensaje viral enviado por WhatsApp que simulaba ser de Mercadona.
Fuente: El País.com

FACEBOOK. Permitirá retransmitir vídeo en directo a todo el mundo

El consejero delegado de Facebook, Mark Zuckerberg, anunció hoy que probablemente el mes que viene la red social incorpore a nivel mundial la posibilidad de retransmitir en directo para todos sus usuarios.
Zuckerberg avanzó esta nueva herramienta de Facebook en un encuentro en Berlín en el que se sometió a las preguntas del público, y en el que explicó que la empresa lleva algunos meses haciendo pruebas con este sistema.
"El objetivo no es que unos pocos puedan transmitir en directo. Queremos que todo el mundo tenga ese poder en su bolsillo", aseguró el cofundador de Facebook.
Además, agregó que la nueva herramienta, que estará disponible en los sistemas operativos iOS de Apple y Android, empezará a funcionar "con suerte el mes que viene".
Zuckerberg aseguró que las retransmisiones de vídeo en directo funcionarán muy bien en la red social porque es un tipo de contenido muy personal que no puede ser editado, algo "crudo, visceral y emocional" que compartir.
El consejero delegado de Facebook se encuentra en Berlín en una visita de dos días dentro de una gira por Europa que le llevó antes a Barcelona para la feria tecnológica Mobile World Congress.
Ayer, también en Berlín, anunció un programa de cooperación con centros de investigación europeos en el campo de la inteligencia artificial.
Fuente: El Mundo.es

'ASTORIA'. Microsoft cancela el proyecto para migrar apps Android a Windows 10

En octubre supimos que Microsoft había iniciado los proyectos Astoria e Islanwood para migrar aplicaciones Android e iOS a Windows 10 fácilmente, de manera rápida y sin complicaciones para publicarlas en la tienda de Windows.
Project Islandwood para iOS siguió su curso desde entonces, pero Project Astoria, dedicado a migrar aplicaciones Android estuvo dando una serie de problemas y en noviembre se estancó.
No se supo mucho más de esta herramienta hasta este viernes, pocas horas después del anuncio de que Microsoft adquirió Xamarin, una empresa que precisamente se encarga de crear aplicaciones multiplataforma, que valdrían para cualquier sistema operativo, ya sea Android, iOS o Windows 10, sin perder la experiencia que ofrece cada uno.
Así, de punto muerto Astoria pasó a muerto a secas, pues Microsoft ha decidido cancelar este proyecto para siempre. A parte de la adquisición de Xamarin, los expertos de la gigante tecnológica también apuntaban que no hacían falta dos formas de migrar las aplicaciones, y que con migrarlas desde iOS con Islanwood sería suficiente. Además, también está el Web Bridge, que se anunció a la vez que Astoria e Islanwood, y que también estará orientado a crear aplicaciones multiplataforma.
Fuente: El Mundo.es

WHATSAPP. Lista de móviles sin soporte de la aplicación.

La popular aplicación de mensajería instantánea anuncia que dejará de dar soporte a los sistemas operativos BlackBerry, Symbian y versiones antiguas de Android desde este año
Según ha anunciado WhatsApp en su blog corporativo, la aplicación filial de Facebook ha decidido que a partir de ahora dejará de actualizar el servicio para los teléfonos móviles inteligentes que, a día de hoy, cuentan con una tasa de participación muy escasa. Estos terminales son los que incluyen los sistemas operativos BlackBerry -incluido la última versión BlackBerry 10-, Nokia S40, Nokia Symbian S60, Android 2.1 y Android 2.2, así como Windows Phone 7.1.
Esta decisión viene como consecuencia de la escasa penetración que cuentan estos «smartphones» en la actualidad, dominado por versiones de Android más recientes e iOS (iPhone). WhatsApp, que esta semana ha cumplido siete años, ha apostado por las plataformas más extendidas. «Ha sido un viaje increíble y en los próximos meses estaremos poniendo un mayor énfasis en las características de seguridad y nuevas formas de mantenerse en contacto con las personas que te importan», relata el equipo de desarrollo de la aplicación en su blog corporativo.
«Cuando empezamos WhatsApp en 2009 el uso de dispositivos móviles de la gente es muy diferente del actual. La App Store de Apple tenía pocos meses de edad. Alrededor del 70% de los teléfonos inteligentes vendidos en ese momento tenía sistemas operativos BlackBerry y Nokia», añaden. En comparación con aquella época, actualmente los terminales basados en iOS y Android representan el 99.5% de las ventas.
Por esta razón, WhatsApp ha decidido soltar lastre. «Al mirar hacia adelante a nuestros próximos siete años queremos centrar nuestros esfuerzos en las plataformas móviles que utiliza la gran mayoría de la gente», añade la compañía. «Aunque estos dispositivos móviles han sido una parte importante de nuestra historia ahora no ofrecen las capacidades que necesitamos para ampliar las funciones de nuestra aplicación en el futuro», justifica el equipo técnico. WhatsApp ha asegurado, no obstante, que esta es una «decisión difícil» pero considera que es la forma más adecuada de mejorar el servicio en un futuro.
Fuente: Abc.com

CIBERSEGURIDAD. La "estafa del CEO", última moda en ciberdelitos

El FBI estima que este engaño ha costado a las empresas de todo el mundo más de 2.000 millones de dólares en dos años.
Los cibercriminales ingenian nuevas estafas utilizando el correo corporativo. Un timo en alza es lo que se conoce como la "estafa del consejero delegado". En él, el criminal suplanta la identidad del consejero delegado creando una cuenta falsa con su dirección de correo electrónico. Desde la cuenta del supuesto CEO (u otro alto directivo de la compañía), ordena a un trabajador de finanzas que realice una transferencia a una cuenta bancaria en el extranjero. Cuando la empresa se da cuenta del engaño, el dinero ya ha desaparecido.
Los 'hackers' se hacen pasar por un directivo y ordenan a un empleado de finanzas que haga una transferencia
Según el FBI, la estafa mediante la que los criminales se hacen pasar por los consejeros delegados les ha costado a las empresas de todo el mundo más de 2.000 millones de dólares (1.800 millones de euros) en poco más de dos años.
El FBI ha registrado un fuerte incremento de estos delitos de acceso a cuentas de correo corporativas, una estafa que cuenta con más de 12.000 víctimas en todo el mundo.
Hasta 90 millones de dólares
  • Según las autoridades estadounidenses, el promedio de la pérdida se sitúa en 120.000 dólares. No obstante, algunas compañías que han sido engañadas enviaron cantidades de hasta 90 millones de dólares a cuentas bancarias en el exterior.
  • Las denuncias de fraude a los consejeros delegados se están incrementando. Entre octubre de 2013 y agosto de 2015, se estafaron cerca de 1.200 millones de dólares a través de este timo, tal y como sostiene el FBI. Sin embargo, estas pérdidas han aumentado en otros 800 millones de dólares en los últimos seis meses. Las autoridades de EEUU han localizado sumas de dinero provenientes de 108 países.
  • "Los criminales no tienen fronteras y estamos ante un problema global," advierte James Barnacle, director de la unidad de blanqueo de capitales del FBI. "Estamos trabajando con nuestros recursos de investigación criminal, nuestros medios cibernéticos, nuestras divisiones de operaciones internacionales -que son nuestros agregados legales en el extranjero- y estamos cooperando con nuestros compañeros de otros países para intentar abordar este problema".
  • El incremento del número de estas estafas puede atribuirse en parte a que las compañías han detectado y comunicado el fraude, pero también refleja que es un timo que puede realizarse fácilmente desde cualquier parte del mundo. "Es fácil, todo lo que necesitas es un ordenador", apunta Barnacle.
  • La mayoría de las cuentas bancarias extranjeras en donde termina el dinero están localizadas en Asia o en África, donde es más difícil para EEUU obtener ayuda de las autoridades locales.
  • El FBI ha encontrado una serie de similitudes entre los diferentes tipos de fraudes, pero aún no está claro si existe una red de estafa global. "Estamos destinando más recursos a la investigación," explica Barnacle.
  • El FBI advierte a las empresas de que deben ser más cautelosos con su información, incluso si ello significa adoptar nuevas medidas que no son rentables, como llamar al ejecutivo para confirmar la transferencia.
  • El fraude afecta tanto a las grandes compañías como a las pequeñas empresas. Últimamente, se ha informado acerca de criminales de EEUU cuyo objetivo consiste en robar a las compañías inmobiliarias los gastos de cierre que obtienen de la compraventa de viviendas.
Operación policial
  • El año pasado, la policía de Italia, España y otros países europeos arrestó a más de 60 miembros de un supuesto grupo criminal, entre los que se incluían a varios nigerianos que participaron en una estafa que afectó a miles de particulares y a decenas de empresas. Aun así, se han resuelto pocos casos, lo que refleja la dificultad a la hora de combatir los delitos informáticos internacionales.
Fuente: Expansion.com

ESET. Presenta su investigación “El ascenso de ransomware en Android”

En el marco del Mobile World Congress la compañía de seguridad informática acerca su estudio sobre el incremento de amenazas destinadas a teléfonos móviles con sistema operativo Android.
ESET publicó su informe titulado “El ascenso de Android ransomware”. El informe registra el desarrollo de le tendencia sobre este malware. Ya sea a través de las capacidades de cifrado, de bloqueo de PIN o simplemente de bloqueo de pantalla, este tipo de malware cada vez pone en mayor peligro a los usuarios de Android y mantiene a los investigadores ocupados. El trabajo de investigación de ESET, publicado en el contexto del Mobile World Congress de Barcelona, aborda este tema.
Los autores del trabajo, los investigadores de ESET Robert Lipovský, Lukas Stefanko y Gabriel Branisa,  concluyen que el ransomware es un problema cada vez mayor para los usuarios de dispositivos móviles. El bloqueo de pantalla y los archivos de cifrado tipo “cripto-ransomware”, los cuales por muchos años han estado causando grandes pérdidas de datos financieros ya comenzaron su camino en la plataforma Android. Al igual que otros tipos de malware destinados a este sistema operativo – troyanos SMS, por ejemplo – las amenazas de ransomware han evolucionado en los últimos años y los creadores de malware adoptaron muchas de las mismas técnicas que han demostrado ser eficaces en el malware de escritorio normal.
Tanto en Windows como en Android, los bloqueos de pantallas por lo general son del tipo “ransomware de la policía”, los cuales tratan de asustar a las víctimas a que paguen después de acusarlos (falsamente) de descargar contenidos ilegales en sus dispositivos. Del mismo modo que Windows Cryptolocker, cripto-ransomware en Android utiliza criptografía fuerte, lo que significa que los usuarios afectados no tienen forma práctica de recuperar los archivos secuestrados. Debido a que los datos de todos los días, tales como las fotos, por ejemplo, se mantienen en los teléfonos inteligentes en lugar de PCs, la amenaza de la pérdida de estos datos es ahora mayor que nunca.
Una observación interesante que se ha hecho es que el centro de atención de los atacantes ya no son sólo los países de Europa del Este. Un número de familias recientes, como Android / Simplocker y Android / Lockerpin, por ejemplo, han sido dirigidas a las víctimas en su mayoría ubicados en los EE.UU.
Tendencia de ransomware en Android (de abril 2014 a enero 2016)
  • “Con los usuarios trasladándose cada vez más de las PC a los dispositivos móviles, los datos más valiosos están siendo almacenados en estos dispositivos, lo que conduce al hecho de que la información valiosa se almacena en estos dispositivos que todos transportamos constantemente, y es por eso que el ransomware para Android se está convirtiendo cada vez más útil para los atacantes “, explica Robert Lipovsky, Investigador de ESET.
  • “Para los usuarios de dispositivos Android es importante estar al tanto de las amenazas y tomar medidas preventivas, entre las que se destacan evitar las tiendas de aplicaciones no oficiales y tener una aplicación de seguridad móvil instalada y actualizada. Además, es importante tener una copia de seguridad funcional de todos los datos importantes que se encuentren en el dispositivo “, añade Lipovsky.
Fuente: Diarioti.com

CIBERSEGURIDAD. Como proteger las cuentas online de accesos no autorizados

Existen muchas formas diferentes de robar los credenciales de una cuenta. Mientras que algunas de las formas están fuera del control del propio usuario (por ejemplo, mediante un ataque informático contra la plataforma responsable), otras sí que son culpa de estos ya que caen víctimas de ataques, facilitan sus contraseñas sin peligro a través de Internet y no controlan el acceso a sus cuentas y el uso que se hace de ellas.
Los piratas informáticos cada vez están más interesados en robar los credenciales y las cuentas de los usuarios. Según el tipo de cuenta que vayan a robar pueden permitir desde suplantar la identidad de una persona (por ejemplo, si se roba la cuenta de una red social) hasta recopilar información sensible del usuario o utilizar dicha cuenta para llevar a cabo campañas de distribución de malware (por ejemplo, robando una cuenta de correo electrónico).
Aunque nunca vamos a poder asegurar una cuenta al 100%, es posible mejorar el control que tenemos sobre ella y reducir la repercusión frente a un robo de datos teniendo en cuenta varios factores y llevando a cabo 4 sencillas técnicas que vamos a ver a continuación.
4 pasos para mejorar y garantizar la seguridad de nuestras cuentas online
  1. Autenticación segura, el primer paso hacia la seguridad.- La autenticación es el proceso mediante el cual nos identificamos de cara a un servidor, de manera que este sepa quiénes somos y cargue nuestro contenido personal y no el de otro usuario. Para ello, lo más habitual es registrarnos con un nombre de usuario y una contraseña de manera que, sin estos dos elementos, nadie pueda acceder a nuestros datos sin permiso. El uso de un nombre de usuario que no tenga relación con nosotros mismos y una contraseña larga, segura y compleja nos ayudará a protegernos contra los ataques dirigidos contra nosotros mismos. Igualmente, a la hora de enviar robos de datos, debemos asegurarnos de iniciar sesión desde redes privadas y utilizando protocolos HTTPS.
  2. Medidas de seguridad adicionales.- Lo primero que debemos configurar de nuestra cuenta es un nombre de usuario y una contraseña, sin embargo, existen otras funciones que nos van a permitir añadir capas de seguridad adicionales antes de brindar acceso a un usuario ni autorizado, aunque este haya conseguido, por distintos medios, nuestro nombre de usuario y la contraseña correspondientes. Una de estas capas adicionales es la doble autenticación, una medida de seguridad intermedia donde el usuario debe introducir un código aleatorio que recibe en su móvil cada vez que intenta iniciar sesión en la plataforma. Las claves aleatorias de la autenticación en dos pases se basan en el tiempo, por lo que son prácticamente imposibles de adivinar, siendo, a día de hoy, una de las medidas de seguridad más eficaces para proteger nuestras cuentas.
  3. Controlar la actividad y el acceso a nuestras cuentas nos ayuda a identificar posibles fallos de seguridad.- Otro de los consejos que debemos tener en cuenta es revisar las listas de actividad con todo lo que ocurre en nuestra cuenta. Si, por ejemplo, se publican mensajes sin nuestro permiso o se envían correos electrónicos que no hemos enviado nosotros mismos, es posible que algún pirata informático o malware tenga acceso a nuestra cuenta, por lo que debemos analizar nuestro sistema y cambiar la contraseña lo antes posible para evitar que esto siga siendo así. También es posible que si alguien se conecta a nuestra cuenta no nos demos cuenta de ello ya que, por ejemplo, no realiza cambios en ella y simplemente se dedica a “espiar” la actividad de la cuenta y a recopilar información personal de la cuenta. Prácticamente todas las plataformas web cuentan con un apartado de control de acceso, donde podremos ver un historial con todos los inicios de sesión, así como IPs, origen e incluso dispositivo y navegador utilizados para la conexión. De esta manera podremos saber si alguien está haciendo un uso no autorizado de nuestra cuenta, teniendo que aplicar las medidas necesarias en caso de que así sea.
  4. Limpieza del equipo y cambio de contraseñas, vitales para preservar la seguridad.- Es posible que, aunque utilicemos contraseñas seguras, estas estén siendo facilitadas a los piratas informáticos por medio de un software espía o troyano instalado en nuestro sistema, por lo que nuestra cuenta está siendo comprometida igualmente. También es posible que la web se haya visto comprometida y los piratas informáticos hayan robado la base de datos de usuarios y contraseñas de la plataforma (incluso de otra web, si utilizamos la misma contraseña en varias), por lo que nuestra cuenta también puede verse comprometida. Para mitigar este tipo de problemas, lo más recomendable es optar por cambiar de forma periódica las contraseñas de nuestras webs (utilizando la misma contraseña en el menor número de sitios web diferentes) y utilizar contraseñas seguras y complejas, consiguiendo que, aunque una base de datos se vea comprometida, la contraseña sea difícil de descifrar y, de hacerlo, solo comprometa nuestra web y no es resto de las mismas gracias al uso de una contraseña diferente en cada una de ellas.También debemos auditar la seguridad y analizar nuestro sistema en busca de malware de forma periódica para evitar que este esté robando nuestros datos de acceso.
Fuente: diarioti.com

iOS 9.3. Informará si su empresa le está monitorizando el iPhone

Si tienes un 'smartphone' de empresa, es más que probable que esté siendo controlado de alguna manera. De hecho, las compapñías están en su derecho de saber cómo se usan los dispositivos que proporciona a sus empleados con fines laborales. Ahora, con iOS 9.3, Apple permitirá a aquellos empleados con un iPhone de trabajo saber si su empresa les está monitorizando.
Un usuario de Reddit con acceso a una versión preliminar de la nueva versión del sistema operativo móvil de Apple ha publicado una imagen en la que muestra cómo los empleados con un iPhone de empresa podrán saber que están siendo monitorizados o que la empresa está gestionando ese dispositivo.
Forma parte de una de las funciones del programa para empresas de Apple, que permite a compañías adquirir un gran número de dispositivos iOS o Mac para sus empleados. Este programa incluye una función de control de los dispositivos (Mobile Device Management o MDM), que permite a las compañías gestionar, supervisar o actualizar distintas opciones del 'software'.
Quién sabe si esta novedades que están en camino es un ejercicio extra de transparencia por parte de Apple para ganar la simpatía de los ciudadanos estadounidenses, ahora que está en el ojo del huracán por su conflicto con las autoridades federales, que quieren acceso al dispositivo utilizado por el terrorista de San Bernardino. También puede ser una mera coincidencia.
En cualquier caso, esta novedad no evitará que una empresa monitorice la actividad de sus iPhones corporativos, pero sí que mostrará de forma transparente a los empleados si están siendo controlados de alguna forma. Lo cual es de agradecer.
Fuente: Europa Press

GOOGLE. Lanza Chrome 49 y corrige 26 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 49. Se publica la versión 49.0.2623.75 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 26 nuevas vulnerabilidades.
Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 26 nuevas vulnerabilidades, solo se facilita información de 13 de ellas (ocho de gravedad alta y cinco de importancia media).
Detalle de la actualización
  • Se corrigen vulnerabilidades por un casting incorrecto en Extensions, por salto de la política de mismo origen en Blink y en el plugin Pepper y por uso de memoria después de liberarla en Blink, en WebRTC y en Favicon. También problemas por salto de la validación SRI, salto de la WebAPI, acceso fuera de límites en libpng, fuga de información en Skia y confusión de origen en Extensions UI. Se han asignado los CVE-2016-1630 al CVE-2016-1641 y el CVE-2015-8126.
  • También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-1642). Así como múltiples vulnerabilidades en V8 en la rama 4.9 (actualmente 4.9.385.26).
Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de casi 36.500 dólares en recompensas a los descubridores de los problemas. Google informa de otros 14.500 dólares en recompensas por vulnerbailidades en versions en desarrollo (no estables).
Recomendación
  • Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

RUBY ON RAILS. Publicadas actualizaciones

Se han publicado las versiones Rails 4.2.5.2, 4.1.14.2 y 3.2.22.2 de Ruby on Rails, que corrigen dos vulnerabilidades que podría permitir a atacantes remotos conseguir información sensible o ejecutar código arbitrario.
Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).
Detalle de las vulnerabilidades coregidas
  • El primero de los problemas, con CVE-2016-2097, una posible escalada de directorios y fuga de información en Action View que se corrigió con el CVE-2016-0752. Sin embargo en la anterior actualización no se trataron todos los escenarios. 
  • Por otra parte, con CVE-2016-0751 una vulnerabilidad de ejecución remota de código Action Pack debido a que no se filtran adecuadamente los datos introducidos por el usuario en el método "render".
Más información:
Fuente: Hispasec

WIRESHARK. Lanza actualizaciones que corrigen múltiples vulnerabilidades

Wireshark Foundation ha publicado las versiones 1.12.10 y 2.0.2, que incluyen la corrección de hasta 19 vulnerabilidades; la mayoría podrían provocar condiciones de denegación de servicio, aunque una de ellas podría permitir la ejecución de código.
Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Detalle de la actualización
  • En esta ocasión la fundación Wireshark ha publicado 18 boletines de seguridad en total, todos afectan a la rama 2.0 (y solucionan 19 vulnerabilidades), mientras que solo siete de esos boletines (y 8 vulnerabilidades) también afectan también a la rama 1.12.
  • Como es habitual, la mayoría de las vulnerabilidades presentes corregidas en ambas versiones son fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. El impacto de estas vulnerabilidades suele ser simplemente el cierre inesperado de Wireshark, o en algunos casos, la entrada en un bucle infinito que bloquee la aplicación. Ambos impactos se encuentran en la categoría de denegación de servicio.
  • Aunque en esta ocasión también se soluciona una vulnerabilidad de suplantación de DLLs que podría permitir la ejecución de código malicioso, mediante la inclusión de una DLL específicamente construida en el mismo directorio de un archivo capturado.
  • La lista de los disectores corregidos es larga, y contiene disectores para protocolos bastante exóticos. Los protocolos afectados son ASN.1 BER, DNP, X.509AF, HTTP/2, HiQnet, LBMC, RSL, LLRP, IEEE 802.11, GSM A-bis OML, SPICE y NFS. De forma similar, también se corrigen problemas en el tratamiento de archivos 3GPP TS 32.42, iSeries e Ixia IxVeriWave.
  • Aunque no todos los problemas tienen asignado un CVE, ´se han determinado los CVE-2016-2521 al CVE-2016-2532. También se ha solucionado una larga lista de problemas, no relacionados directamente con vulnerabilidades de seguridad.
Recomendación
  • Las vulnerabilidades mencionadas se han solucionado en las versiones 1.12.10 y 2.0.2, ya disponibles para descargar de la página oficial del proyecto desde la dirección https://www.wireshark.org/download.html
Más información:
Fuente: Hispasec

OpenSSL. Soluciona ocho vulnerabilidades

El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir ocho vulnerabilidades, dos calificadas de impacto alto, una de gravedad media y otras cinco de importancia baja.
Detalle de la actualización 
  • El primero de los problemas corregidos reside en una vulnerabilidad, de gravedad alta, que puede permitir descifrar sesiones TLS mediante el uso de un servidor que soporte SSLv2 y suites de cifrado de categoría EXPORT. Una vulnerabilidad de esas que llevan nombre, logo y hasta página web, bautizada como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption).
  • DROWN (con identificador CVE-2016-0800) es una nueva forma de protocolo cruzado Bleichenbacher padding oracle attack, que permite a un atacante descifrar conexiones TLS interceptadas mediante conexiones específicamente creadas a un servidor SSLv2 que use la misma clave privada.
  • Por otra parte, dos vulnerabilidades, una de gravedad alta y otra moderada (con CVE-2016-0703 y CVE-2016-0704), que solo afectan a versiones de OpenSSL anteriores a marzo de 2015, momento en el cual el código fue rediseñado para hacer frente a la vulnerabilidad CVE-2015-0293. Estas vulnerabilidades afectan a OpenSSL versiones 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze y anteriores. Fueron corregidas en OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf.
  • La importancia de señalar estos problemas en la actualidad reside en que cualquiera de los dos pueden permitir versiones más eficientes de DROWN, incluso eficaces contra conjuntos de cifrado que no sean de exportación, y sin necesidad de requerir un cálculo significativo.
  • De gravedad baja, una vulnerabilidad de denegación de servicio por una dobre liberación cuando OpenSSL trata claves DSA privadas mal construidas (CVE-2016-0705), una fuga de memoria en búsquedas SRP (CVE-2016-0798), referencia a puntero nulo y corrupción de heap en funciones BN_hex2bn y BN_dec2bn (CVE-2016-0797) y problemas de memoria en funciones BIO_*printf (CVE-2016-0799).
Recomendaciones
  • OpenSSL ha publicado las versiones 1.0.2g y 1.0.1s disponibles desde http://openssl.org/source/
  • También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año.
Más información:
Fuente: Hispasec

DROWN. Un nuevo ataque que intenta asfixiar la criptografía

Junto a la publicación de una nueva versión de OpenSSL, saltó a la luz una nueva vulnerabilidad de esas que van a dar que hablar durante mucho tiempo. Se suma a las ya vistas en el 2014 e igualmente importantes en OpenSSL como Heartbleed y POODLE. Esta nueva vulnerabilidad podría permitir a un atacante descifrar comunicaciones seguras con relativa sencillez.
Sin ninguna duda esta vulnerabilidad es de gran importancia, según las estimaciones un 33% de los sitios son vulnerables a este ataque. Y como no podía ser de otra forma, la vulnerabilidad viene con nombre, logo y hasta página web; ha quedado bautizada como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption).
La vulnerabilidad es grave en cierto contexto, podría permitir descifrar sesiones TLS si el servidor soporta SSL versión 2 o suites de cifrado marcadas como EXPORT. El problema, con identificador CVE-2016-0800, es una nueva forma de ataque de protocolo cruzado, similar o inspirado en el Padding Oracle Attack de años atrás, debido al uso que hace de un protocolo obsoleto, como SSL versión 2, mientras que la víctima sigue usando TLS, un protocolo actualmente seguro, sin percatarse del ataque.
La misma página web del problema dispone de un test que permite comprobar, con la simple introducción de un dominio (o dirección IP), ver todos los dominios y certificados vulnerables. Huelga decir que no se trata de un test "en directo" sino de una consulta a una base de datos que han hecho pública. No obstante se ha hecho pública de una herramienta que permite comprobarlo en local.
Los servidores y clientes actuales emplean TLS como protocolo de cifrado. Sin embargo, debido a errores o descuidos de configuración, muchos servidores todavía siguen soportando SSLv2. Este soporte, incluso en algunos casos se apoya debido a que algunos clientes sin actualizar todavía utilizan SSLv2. Por lo tanto, a pesar de que SSLv2 se sabe que es inseguro hasta el tuétano, soportar SSLv2 no se consideraba, en ciertos ambientes, un problema de seguridad grave por el reducido parque de clientes anticuados que lo usan.
DROWN muestra que simplemente el soporte de SSLv2 representa un riego para los servidores y clientes; ya que puede permitir descifrar las conexiones TLS entre servidor y cliente mediante el envío de sondas a un servidor que soporte SSLv2 y utilice la misma clave privada. El ataque en sí, a grandes rasgos, se basa en la posibilidad de obtención de la clave privada de la sesión segura gracias a SSL versión 2. Es decir, mientras que el cliente se conecta al servidor por TLS, el atacante hace hombre en el medio entre los dos e inyecta peticiones SSL. Debido a las vulnerabilidades de SSL es capaz de obtener la clave privada de esa sesión (ojo, no la clave privada del servidor como hemos escuchado por ahí) y posteriormente utilizarla para descifrar el tráfico capturado.
Como proteger un servidor ante DROWN
  • Para OpenSSL la forma más sencilla y recomendable es que se actualice a la versión OpenSSL 1.0.2g o OpenSSL 1.0.1s.
  • Para Microsoft IIS (Windows Server) las versiones de IIS 7.0 y superiors deben tener SSLv2 desactivado por defecto. Los usuarios que hayan activado SSLv2 de forma manual deberán tomar los pasos para desactivarlo de nuevo. De todas formas se recomienda comprobar si su clave privada está expuesta en otro lugar. Las versiones de IIS inferiores a 7.0 ya no están soportadas por Microsoft y deberían actualizarse a las versiones soportadas.
  • Para Network Security Services (NSS), librería criptográfica incluida en múltiples productos de servidor, las versiones 3.13 (publicada en 2012) y superiores deben tener SSLv2 desactivado por defecto. Los usuarios que hayan activado SSLv2 de forma manual deberán tomar los pasos para desactivarlo de Nuevo. Usuarios de versiones anteriores deberían actualizarse a una versión más reciente. De igual forma se recomienda comprobar si su clave privada está expuesta en otro lugar.
  • Hay que señalar que DROWN puede empeorar debido a otras vulnerabilidades (con CVE-2016-0703 y CVE-2016-0704) en OpenSSL, que afectan a versiones de OpenSSL anteriores a marzo de 2015, momento en el cual el código fue rediseñado para hacer frente a la vulnerabilidad CVE-2015-0293. Estas vulnerabilidades afectan a OpenSSL versiones 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze y anteriores. Fueron corregidas en OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf. Estos problemas podrían permitir ataques de DROWN mucho más eficientes, incluso eficaces contra conjuntos de cifrado que no sean de exportación, y sin necesidad de requerir un cálculo significativo.
  • Y con CVE-2015-3197 un problema que afecta a OpenSSL versiones anteriores a 1.0.2f y 1.0.1r, permite a un atacante emplear DROWN para conectar a un servidor con SSLv2 desactivado, si el soporte para SSLv2 todavía se encuentra habilitado.
Más información:
Fuente: Hispasec