23 de septiembre de 2016

FACEBOOK. Infló hasta un 80% más las métricas de sus vídeos durante dos años

Facebook ha reconocido que ha estado inflando las métricas de vídeos durante los dos últimos años al aportar informes erróneos sobre la media de tiempo que los usuarios dedican a ver estos contenidos. Una situación que podría influir en las inversiones que tanto anunciantes como editores realizan para la producción de vídeos.
Semanas atrás, la tecnológica informó en su web 'Servicio de Ayuda para Anunciantes' que las métricas se habían inflado artificialmente. De tal forma que la plataforma sólo ha estado contando el promedio de los vídeos -el tiempo total dedicado a ver el vídeo dividido entre el número de visualizaciones- que superaba los tres segundos. Un fallo con el que Facebook ha sobrestimado la media de visualización entre un 60% y 80%, según informa The Wall Street Journal.
Ante este panorama, Facebook ha anunciado que ya está tomando medidas para solucionar este error de cálculo. "Este error se ha corregido, y no tuvo un impacto en la facturación y ya hemos notificado a nuestros socios tanto a través del panel de trabajo como a través de la difusión editorial. También hemos cambiado el nombre de la métrica, para dejar más claro cómo medimos. Esta métrica es una de las muchas que nuestros socios utilizan para evaluar sus campañas de vídeo", detalla la compañía en un comunicado.
Fuente: El Economista.es

PIRATERIA. Roban a Yahoo las credenciales de 500 millones de cuentas de usuario

Yahoo Inc dijo el jueves que su red sufrió en 2014 el robo de información asociada con al menos 500 millones de cuentas por lo que cree fue un "actor patrocinado por un Estado".
La información robada incluiría nombres, direcciones de correos electrónicos, números de teléfono, fechas de nacimiento y contraseñas, pero no habría incluido contraseñas no protegidas, datos sobre tarjetas de crédito o de cuentas bancarias, dijo la compañía.
"La investigación no halló evidencia de que el actor patrocinado por un Estado esté actualmente en la red de Yahoo", dijo la empresa.
Yahoo destacó que trabaja con agencias de cumplimiento de la ley sobre el tema. El FBI dijo estar al tanto del tema, mientras que el Servicio Secreto de Estados Unidos no pudo ser contactado para que comentara la situación.
No se sabe cómo afectará al plan de Yahoo de venta a  Verizon Communications 
  • Verizon dijo en julio que compraría los principales negocios de internet de Yahoo por 4.830 millones de dólares.
  • Verizon dijo el jueves que fue notificado del hecho en los últimos dos días.
  • "Evaluaremos a medida que continúa la investigación a través del objetivo de los intereses generales de Verizon (...) Hasta entonces, no estamos en una posición de hacer más comentarios", dijo la compañía
Fuente: Reuters

CISCO. Descubren el exploit 0-Day, Beningcertain, de la NSA

Esta nueva vulnerabilidad 0-day llamada Benigncertain afecta a equipos de Cisco que utilicen sistema operativo IOS, IOS XE y también IOS XR, por lo que los administradores de redes tendrán que echar unas horas extra aplicando los parches que la compañía ha lanzado para solucionar los problemas.
Hace unos meses se descubrió que la NSA tenía exploits funcionales para vulnerar un equipo de Cisco y hacerse con el control del mismo. Hacerse con el control de un firewall significa poder acceder a la red interna sin impedimentos. Cisco ya solucionó esta vulnerabilidad llamada ExtraBacon, pero ahora ha descubierto un nuevo exploit 0-day que han dado el nombre de Benigncertain, y que también afecta a sus cortafuegos empresariales.
¿Qué hace exactamente la vulnerabilidad Beningcertain?
  • Esta vulnerabilidad está catalogada como CVE-2016-6415, y el problema reside en el procesado de los paquetes IKEv1 de las VPN IPsec. El fallo afecta a una gran cantidad de los routers del fabricante (que tienen el sistema operativo Cisco IOS), como también todos los Cisco PIX Firewall.
  • El protocolo IKE es utilizado para establecer una Asociación de Seguridad (SA) en el protocolo IPsec, por lo que es el protocolo base para lograr la conexión segura punto a punto. IPsec es una de las VPN más utilizadas, sobre todo en empresas, por lo que este fallo de seguridad es fundamental que sea parcheado cuanto antes.
  • Un usuario malintencionado podría utilizar esta vulnerabilidad de manera remota fácilmente, podría recuperar contenido de la memoria del tráfico y también obtener información crítica, como las claves privadas RSA, además también podría averiguar la configuración que han aplicado enviando paquetes IKEv1 especialmente diseñados para los dispositivos afectados.
Equipos de Cisco afectados
  • Todos los productos de Cisco con sistema operativo IOS, IOS XE y IOS XR que utilicen IKEv1 en las comunicaciones con IPsec son vulnerables. También son vulnerables el sistema Cisco IOS y Cisco IOS XE si tienen configurado la utilización del protocolo IKEv1 y IKEv2, ya que utilizan ambos protocolos y el primero es el vulnerable. Respecto a los Firewall Cisco PIX, dejaron de tener soporte desde el año 2009, pero las versiones 7.0 y posteriores no están afectadas por la vulnerabilidad, no obstante todas las versiones 6.x y anteriores sí lo están.
  • La compañía ha confirmado que esta vulnerabilidad se está explotando actualmente, por lo que es crítico actualizar los sistemas operativos con los parches correspondientes cuanto antes, pero aún no hay solución a este fallo de seguridad por parte de Cisco. Si tu equipo Cisco aún no tiene un parche oficial, es recomendable configurar correctamente el IDS y IPS de la organización para detectar y parar estos ataques malintencionados.
Más información
Fuente: Redeszone.net

GOOGLE. Lanza la aplicación Allo, su apuesta a la inteligencia artificial

Google lanzó Allo, una aplicación de mensajería que incorpora su clásico motor de búsqueda y un chat con un sistema que le permite aprender para "mejorar" con el tiempo.
El nuevo servicio de mensajería, que había sido presentado en mayo, competirá con los populares WhatsApp y Messenger de Facebook Inc. El esperado lanzamiento tiene lugar un mes después del de Duo, una aplicación de videollamadas de Google.
Allo incluye una ventana de chat de Google Assistant, un asistente personal virtual como Siri, de Apple Inc.
Los usuarios pueden llamar al asistente en un chat escribiendo "@google" seguido de una búsqueda, y los resultados serán mostrados en el mismo chat. 
"Mejora a medida que se va usando", escribió Amit Fulay, gerente de producto, en un mensaje en un blog.
La aplicación cuenta con una herramienta llamada "Smart Reply" que sugiere respuestas a conversaciones. Los usuarios también pueden usar etiquetas y escribir sobre fotografías antes de enviarlas.
Allo tendrá encriptación de extremo a extremo solo en las conversaciones denominadas "incógnito". Whatsapp cuenta con encriptación de extremo a extremo.
Google dijo que Allo estará disponible en todo el mundo en los próximos días.
Fuente: Reuters

FILANTROPIA. Zuckerberg compromete 3.000 mlns dlr para curar y erradicar enfermedades

El presidente ejecutivo de Facebook, Mark Zuckerberg, y su esposa, Priscilla Chan, se comprometieron el miércoles a aportar más de 3.000 millones de dólares a un plan para "curar, prevenir o controlar toda enfermedad durante la vida de nuestros hijos".
En su discurso en un evento en San Francisco para anunciar la iniciativa, Chan dijo entre lágrimas que quería evitarle a los padres el dolor que ella ha visto cuando dio noticias duras durante su ejercicio como pediatra.
"En esos momentos y en muchos otros estamos en el límite de lo que entendemos sobre el cuerpo humano y la enfermedad, la ciencia detrás de la medicina, el límite a nuestra capacidad para aliviar el sufrimiento. Queremos empujar ese límite", dijo Chan.
Al evento asistieron empresarios y políticos, entre ellos el ex presidente de Microsoft Corp Bill Gates, el alcalde de San Francisco, Ed Lee, y el vicegobernador de California, Gavin Newsom.Zuckerberg dijo que la ciencia y la comunidad médica han hecho avances importantes en los últimos 50 años, entre ellos la erradicación de la viruela y la casi elminación de la poliomielitis sin la ayuda de la tecnología moderna.
"Hoy, apenas cuatro clases de enfermedades causan la mayoría de las muertes", explicó Zuckerberg en una publicación en su página en Facebook, mencionando al cáncer y a las enfermedades cardíacas, infecciosas y neurológicas. "Podemos conseguir avances contra todas ellas con la tecnología adecuada", agregó.
Las inversiones incluirán un centro de investigación de biociencia, bautizado Biohub, planes para desarrollar un microprocesador que diagnostique enfermedades, y modos de monitorizar continuamente la presión sanguínea y hacer un mapa de las clases de células que hay en el cuerpo.
Fuente: Reuters

INSTAGRAM. Casi triplica sus anunciantes en seis meses

El popular sitio web para compartir fotografías, Instagram, dijo el jueves que su base de anunciantes superaron los 500.000 en los últimos seis meses desde los 200.000 anunciantes que en Febrero habían informado.
Instagram, que utiliza la tecnología de publicidad de Facebook para apuntar a un público específico, ha ganado terreno como la plataforma preferida por agencias de publicidad para sus campañas en medios sociales.
La aplicación, que cuenta con más de 500 millones de usuarios, también dijo que más de 1,5 millones de empresas se adhirieron a su programa de herramientas de negocios en los dos meses desde su lanzamiento este año.
El programa permite a las empresas promover y crear perfiles personalizados en Instagram para que potenciales clientes se contacten por teléfono, correo electrónico o mensaje de texto.
La compañía, adquirida por Facebook por 1.000 millones de dólares en el 2012, tiene previsto generar 1.500 millones de dólares en ingresos por publicidad este año, según la firma de investigación de mercado eMarketer.
Fuente: Reuters

RECORD. Consiguen una velocidad de 1 Terabit por segundo en tecnología óptica

Los laboratorios Bell Labs de Nokia, T-Labs de Deutsche Telekom y la Universidad Técnica de Munich han conseguido una velocidad de transmisión de 1 Terabit por segundo sobre fibra óptica en una prueba de campo de comunicaciones ópticas con una nueva técnica de modulación.
En la demostración, se ha comprobado que la flexibilidad y las prestaciones de las redes ópticas se pueden maximizar cuando las velocidades de transmisión son ajustables y se adaptan dinámicamente a las condiciones del canal y a la demanda de tráfico.
Formando parte del proyecto de Enrutamiento Europeo Seguro SASER (Safe and Secure European Routing), el experimento se ha realizado sobre una red de fibra óptica desplegada de Deutsche Telekom, y ha conseguido una velocidad de transmisión neta de 1 Terabit. Esta velocidad está próxima a la velocidad máxima teórica de transferencia de información del canal utilizado, y de esta forma se acerca al Límite de Shannon del enlace de fibra, como han explicado desde Nokia.
La prueba de campo de esta forma de modulación, denominada Conformación de Constelación Probabilística (PCS, por sus siglas en inglés), utiliza los formatos de modulación de amplitud en cuadratura (QAM) para conseguir una mayor capacidad de transmisión en un canal determinado y obtener una gran mejora de la eficiencia espectral de las comunicaciones ópticas.
Con la promesa de la tecnología inalámbrica de 5G en el horizonte, los sistemas de transporte óptico continúan evolucionando para ayudar a los operadores de telecomunicaciones y a las empresas a soportar el tráfico de datos de la red, que crece a una tasa acumulada de hasta un 100% anual.
La funcionalidad PCS forma ahora parte de esta evolución, al permitir incrementar la flexibilidad y las prestaciones de la fibra óptica de forma que ésta pueda transportar el tráfico de datos a mayor velocidad y a mayores distancias sin incrementar la complejidad de la red óptica.
Fuente: Diarioti.com 

HIPOTESIS. “Alguien está explorando cómo desbaratar toda Internet”

Según el experto en seguridad informática Bruce Schneier, hackers de nivel gubernamental están realizando ataques sistemáticos contra la infraestructura subyacente de Internet, en una modalidad que hace suponer se trata de sofisticados ensayos.
Schneier escribe en su blog que los ataques, de tipo DDoS, son realizados por “fuerzas poderosas”, y tienen como blanco las empresas que proporcionan la infraestructura de Internet.
Los ataques sistemáticos comenzaron hace dos años y son cuidadosamente calibrados, en lo que parece ser un intento por establecer qué intensidad sería necesaria para hacer colapsar los sistemas atacados.
Schneier basa sus conclusiones en información que habría recibido directamente de proveedores clave de infraestructura de Internet, quienes indican que los ataques son considerablemente mayores, y más prolongados, que lo normal. El procedimiento empleado y su nivel de sofisticación les ha llevado a suponer que se trata de exploraciones, indica el experto. “Una semana, el ataque empieza a un nivel específico, aumentando gradualmente de intensidad hasta finalmente cesar. La próxima semana, el ataque comienza a un nivel más intenso, y de ahí sigue escalando”, explicó Schneier.
Sus observaciones coinciden con un informe elaborado por VeriSign, que también concluye que los ataques están aumentando en sofisticación. “Se utilizan vectores múltiples, lo que contribuye a la impresión de que se están probando todos los mecanismos de defensa de la organización”.En este punto, Schneier postula la siguiente conclusión: “La escala y naturaleza compleja de los ataques sugieren que se trata de hackers de estados nacionales. Es como si un cibercomando militar de un país intenta calibrar su armamento cibernético en caso de una ciber-guerra”.
A modo de analogía, Schneier recordó el programa bélico estadounidense durante la Guerra Fría, en que aviones sobrevolaban la Unión Soviética a gran altura con el fin de forzar una reacción en los sistemas de defensa antiaérea de la entonces Unión Soviética, sondeando así su capacidad.
Schneier recalcó que es imposible determinar el origen de los ataques, pero que “coinciden con la capacidad de países como China, Rusia y, por cierto, Estados Unidos”.
Fuente: Diarioti.com

ESTUDIO. Una de cada tres pymes paga rescate a ciber-extorsionadores

Según estudio de Kaspersky Lab, a pesar de que los ciberdelincuentes no garantizan que se recuperen los datos cifrados mediante ransomware, el 34% de los empresarios europeos admite haber realizado el pago a los ciberextorsionadores.
De acuerdo con la encuesta “Riesgos de seguridad TI empresarial 2016”, realizada por Kaspersky Lab, el coste de un ataque de cryptomalware a las pymes en Europa puede llegar a ascender a 88.000 euros. “A pesar de que los ciberdelincuentes no garantizan la devolución de los datos corporativos, lo cierto es que han conseguido que el 34% de los empresarios cedan a la ciberextrosión y les paguen”, comenta la empresa.
El daño final que causa una infección por cryptomalware es una combinación de varios factores:
  1. Suspensión parcial o completa de la operativa empresarial (procesos internos de negocio, transacciones financieras, etc.)
  2. Pérdida de datos valiosos (documentos financieros y de proyectos, bases de datos de clientes o socios)
  3. Riesgos de reputación
Los daños se pueden dividir en dos: el rescate y las pérdidas relacionadas. En estas últimas se englobarían los sistemas mal administrados, las copias de seguridad antiguas, las contraseñas no seguras, el software actualizado de manera irregular etc, en su mayoría consecuencia de que el personal TI no realice labores preventivas. De acuerdo con la encuesta, el pasado año más del 30% de las pequeñas y medianas empresas informaron de la pérdida de una cantidad significativa de datos debido a cryptomalware.
En caso de que la empresa no se haya protegido a tiempo y los datos de negocio están cifrados por cryptomalware, los expertos de Kaspersky Lab recomiendan comprobar si estos datos se pueden restaurar con la ayuda de servicios públicos gratuitos o claves de descifrado proporcionadas en https://noransom.kaspersky.com/
Fuente: Diarioti.com

INFORME. Cada 4 segundos un empleado descarga malware en el servidor de su empresa

Uno de cada cinco empleados es responsable involuntario de un ataque a través de malware móvil o de una conexión Wi-Fi maliciosa, según el informe anual de Check Point.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor mundial especializado en seguridad, ha hecho públicos sus últimos análisis a través de dos informes: Check Point 2016 Security Report y Exploits at the Endpoint: SANS 2016 Threat Landscape Study.
Los dos informes – Check Point Security Report 2016 y SANS 2016 Threat Landscape Study – presentan un amplio punto de vista acerca del ecosistema de amenazas en su totalidad – desde la red hasta el endpoint. Algunos de los descubrimientos clave de ambos estudios son:
  1. El malware desconocido continúa creciendo y evolucionando de forma exponencial. En comparación con el año pasado, los investigadores han descubierto nueve veces más malware desconocido que ataca a las empresas. Uno de los principales motivos son los empleados, que descargan un nuevo malware desconocido cada cuatro segundos. En total, se han descubierto cerca de 12 millones de nuevas variantes de malware al mes. En los dos últimos años se han descubierto más nuevas amenazas que en los diez anteriores
  2. La seguridad está rezagada en lo que respecta a los dispositivos móviles. Los smartphones y las tablets representan el 60% del tiempo invertido en los medios digitales. Los dispositivos móviles en la empresa representan tanto un punto de acceso como un milagro en la productividad corporativa. Uno de cada cinco empleados es responsable involuntario de un ataque a través de malware móvil o de una conexión Wi-Fi maliciosa
  3. Los endpoints son el origen de la mayoría de las amenazas. Según las empresas consultadas, los endpoints fueron la principal causa de brechas de seguridad. Los cibercriminales atacan el email en un 75% de los casos. Por otro lado, el 39% de los ataques a los endpoints ha traspasado los firewalls de las redes corporativas y el 85% de las amenazas se descubren una vez han penetrado en la empresa.
Ambos informes coinciden en destacar que la base consiste en construir la mejor arquitectura de seguridad. Las empresas tienen que enfrentarse a las complejas amenazas presentes y futuras. Los investigadores de Check Point han encontrado un denominador común en la prevención de amenazas avanzadas: la protección de dispositivos móviles y la segmentación de redes para monitorizarlas exhaustivamente.

Fuente: Diarioti.com

EMC. Vulnerabilidades en varios de sus dispositivos

Se han publicado varias vulnerabilidades que afectan a diferentes dispositivos del fabricante EMC y que han sido resueltas en las últimas versiones de la mayor parte de los dispositivos, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
  1. EMC VNX2 File OE: versiones anteriores a 8.1.9.155.
  2. EMC VNX1 File OE: versiones anteriores a 7.1.80.3.
  3. EMC VNXe: Todas las versiones.
  4. EMC Celerra: Todas las versiones.
  5. EMC Avamar Data Store (ADS): Versiones anteriores a la 7.3.
  6. EMC Avamar Virtual Edition (AVE): Versiones anteriores a la 7.3.
Detalle e Impacto de las vulnerabilidades
La vulnerabilidad que afecta a los VNX1, VNX2, VNXe y Celerra es la siguiente:
  • Autenticación débil por SMB: Un atacante remoto no autenticado podría explotar esta vulnerabilidad para generar pares de desafío/nonces duplicados para acceder al servicio SMB del objetivo con credenciales de un usuario autenticado.
Las vulnerabilidades que afectan a los dispositivos Avamar son las siguientes:
  • Autenticación del cliente débil: Algunas comunicaciones entre el cliente Avamar y el servidor utilizan un esquema de autenticación débil, lo que podría permitir aun atacante suplantar al cliente para obtener una copia de seguridad de los datos del cliente afectado. Se ha reservado el CVE-2016-0903 para esta vulnerabilidad.
  • Cifrado del canal de comunicación inadecuado: La comunicación entre el agente Avamar y el servidor se cifra utilizando claves estáticas. Un atacante con conocimiento de estas claves podría vislumbrar la comunicación. Se ha reservado el CVE-2016-0904 para esta vulnerabilidad.
  • Escalado de privilegios a través del comando sudo: El usuario a nivel administrativo de Avamar puede adquirir privilegios de root a través del comando sudo sin los credenciales de root. Se ha reservado el CVE-2016-0905 para esta vulnerabilidad.
  • Inyección de comandos en script de sudo: Un determinado comando, accesible a través de la ejecución de sudo, es susceptible de la inyección de comandos al parsear sus parámetros, lo que permitiría a un usuario malicioso de Avamar ejecutar comandos como root con parámetros especialmente diseñados.Se ha reservado el CVE-2016-0920 para esta vulnerabilidad.
  • Escalado de privilegios : La asignación inadecuada de permisos a determinados directorios Avamar podría permitir a un admin Avamar reemplazar dichos directorios y scripts por otros, que se ejecutarían con privilegios de root. Se ha reservado el CVE-2016-0921 para esta vulnerabilidad.
Recomendación
La vulnerabilidad de SMB está corregida en las siguientes versiones:
  • EMC VNX2 File OE: versión 8.1.9.155.
  • EMC VNX1 File OE: versión 7.1.80.3.
  • EMC VNXe: Todavía no está corregido
EMC Celerra: A causa del ciclo de vida del producto, no se planea una actualización para este producto.
En aquellos dispositivos que no puedan ser actualizados, EMC recomienda utilizar Kerberos en lugar de NTLM.
En el caso de los EMC Avamar, la solución consiste en actualizar a la versión del servidor 7.3.0-233, que soluciona todas las vulnerabilidades mencionadas.
Más información
Fuente: INCIBE

CISCO. Vulnerabilidad de fuga de información en múltiples de sus productos

Publicada vulnerabilidad en paquete de procesamiento de IKEv1 usado en Cisco IOS, Cisco IOS XE y Cisco IOS XR. Esta vulnerabilidad permite a un atacante remoto no autenticado obtener datos de la memoria, lo que podría provocar la divulgación de información confidencial, catalogada de Importancia: 4  - Alta
Recursos afectados:
Cisco IOS
  • Cisco IOS XR 4.3.x
  • Cisco IOS XR 5.0.x
  • Cisco IOS XR 5.1.x
  • Cisco IOS XR 5.2.x
Cisco IOS XE
  • Multiples versiones. Consulte la informacion del fabricante para ver las versiones afectadas.
Cisco IOS XR
  • Todas las versiones estan afectadas.
Detalle e Impacto de la vulnerabilidad
  • La vulnerabilidad se produce por la comprobación insuficiente de los parámetros en las peticiones de negociación de seguridad en el protocolo IKEv1. Un atacante podría aprovechar el fallo enviando un paquete IKEv1 especialmente diseñado a un dispositivo vulnerable. La explotación exitosa permite al atacante recuperar contenido de la memoria, lo que podría conllevar la divulgación de información confidencial.
  • El protocolo IKE se utiliza en el conjunto de protocolos Internet Protocol Security (IPsec) para negociar los atributos de cifrado que se utilizan para cifrar o autenticar las comunicaciones de una sesión. Estos atributos incluyen el algoritmo criptográfico, el modo y las claves compartidas. El resultado final de IKE es un secreto de sesión compartido que será utilizado para derivar claves criptográficas.
Recomendación
  • Cisco publicará parches para corregir la vulnerabilidad según las versiones de los sistemas afectados, disponibles para clientes con soporte en la página de soporte de Cisco desde (http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html )
  • Mientras no estén disponibles los parches, se recomienda a los afectados que monitoricen los sistemas e implementen un sistema de prevención de intrusos (IPS) o un sistema de detección de intrusos (IDS).
Más información
Fuente: INCIBE

IBM DB2. Elevación de privilegios

Se ha identificado una vulnerabilidad en IBM DB2, que puede ser aprovechada por un atacante para escalar privilegios en el sistema, catalogado de Importancia: 4- Alta
Recursos afectados:
  1. IBM DB2 Express Edition
  2. IBM DB2 Workgroup Server Edition
  3. IBM DB2 Enterprise Server Edition
  4. IBM DB2 Connect™ Application Server Edition
  5. IBM DB2 Connect Application Server Advanced Edition
  6. IBM DB2 Connect Enterprise Edition
  7. IBM DB2 Connect Unlimited Edition for System i®
  8. IBM DB2 Connect Unlimited Edition for System z®
  9. IBM DB2 Connect Unlimited Advanced Edition for System z
  10. IBM DB2 10.5 Advanced Enterprise Server Edition
  11. IBM DB2 10.5 Advanced Workgroup Server Edition
  12. IBM DB2 10.5 Developer Edition for Linux, Unix and Windows
Detalle del Impacto de la vulnerabilidad
  • El fallo puede ser aprovechado por un atacante local mediante la sustitución de una librería por otra maliciosa, de modo que el binario SETGID o SETUID podría ejecutarse y obtener acceso de root.
  • El fallo afecta a Linux, Unix y Windows.
Recomendación
  • IBM ha publicado una actualización que corrige el fallo. Dicha actualización está disponible para ser descargada en Fix Central.
Más información
Fuente: INCIBE

Múltiples vulnerabilidades en Cisco Cloud Services Platform

Se han identificado dos vulnerabilidades en Cisco Cloud Services Platform (CSP) 2100 que pueden ser aprovechadas por un atacante remoto para ejecutar código arbitrario en el sistema afectado, catalogada de Importancia: 5- Crítica
Recursos afectados:
  • Cisco Cloud Services Platform 2100 version 2.0.
Detalle e Impacto de vulnerabilidades
A continuación se detallan las vulnerabilidades descubiertas:
  1. Inyección de comandos (crítica): el fallo se produce por la comprobación insuficiente de los campos recibidos de la interfaz gráfica de Cisco Cloud Services Platform. Este hecho puede ser aprovechado por un atacante remoto no autenticado para ejecutar comandos arbitrarios con privilegios de root en el sistema operativo. Se ha reservado el identificador CVE-2016-6373.
  2. Ejecución remota de código arbitrario (alta): el fallo de la interfaz web de Cisco Cloud Services Platform se produce por la comprobación insuficiente de los campos en las peticiones HTTP. Este hecho puede ser aprovechado por un atacante remoto no autenticado para ejecutar comandos arbitrarios con privilegios de usuario en el sistema operativo, mediante el envío de una petición dnslookup maliciosa. Se ha reservado el identificador CVE-2016-6374.
Recomendación
  • Cisco ha publicado actualizaciones de software para solucionar el problema. Estas vulnerabilidades están solucionadas en la versión Cisco Cloud Services Platform (CSP) 2100 2.1.0 y superiores.
Más información
Fuente: INCIBE

DRUPAL. Múltiples vulnerabilidades en el núcleo

Se han detectado y corregido múltiples vulnerabilidades, dos de ellas críticas, en el núcleo de Drupal, catalogada de Importancia: 5- Crítica
Recursos afectados:
  • Versiones de Drupal: 8.x.
Detalle e Impacto de las vulnerabilidades
Las vulnerabilidades detectadas son las siguientes:
  1. Cross-Site Scripting (crítica): un atacante podría crear una URL especialmente diseñada para ejecutar código arbitrario en el navegador del usuario que acceda a la misma.
  2. Usuarios sin permisos para administrar comentarios pueden configurar la visibilidad de los comentarios en nodos que puedan editar (media): los usuarios con permisos para editar un nodo, pueden configurar la visibilidad de los comentarios de dicho nodo.
  3. Se puede descargar la configuración completa sin permisos de administrador (crítica): la ruta system.temporary podría permitir la descarga completa de toda la configuración.
Recomendación
Más información
Fuente: INCIBE

ADOBE. Actualizaciones para Flash Player, Digital Editions y Air SKD & Compiler

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 26 vulnerabilidades en Flash Player, ocho en Adobe Digital Editions y una en Air SKD & Compiler.
FLASH PLAYER
Sin duda la más importante de las actualizaciones publicadas es su ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB16-29 que soluciona 26 vulnerabilidades.
Los problemas incluyen 11 vulnerabilidades de corrupción de memoria, 11 vulnerabilidades por uso de memoria después de liberarla y una por desbordamiento de entero. Todas ellas podrían permitir la ejecución de código. Por otra parte, tres problemas de salto de medidas de seguridad que podrían permitir la obtención de información sensible. Los CVE asignados son CVE-2016-4271, CVE-2016-4272, CVE-2016-4274 al CVE-2016-4285, CVE-2016-4287, CVE-2016-6921 al CVE-2016-6927 y CVE-2016-6929 al CVE-2016-6932.
Recomendación
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  • Flash Player Desktop Runtime 23.0.0.162
  • Flash Player Extended Support Release 18.0.0.375
  • Flash Player para Linux 11.2.202.635
Igualmente se ha publicado la versión 23.0.0.162 de Flash Player para navegadores Internet Explorer, Edge y Chrome.
Recomendación
ADOBE DIGITAL EDITIONS
También se han solucionado ocho vulnerabilidades en Adobe Digital Editions (ADE), un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks.Se han solucionado siete vulnerabilidades de corrupción de memoria y otra por uso de memoria después de liberarla que podrían dar lugar a una ejecución remota de código. Los CVE asignados son CVE-2016-4256 al CVE-2016-4263.
Recomendación
Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.2
Para Windows y Macintosh:
Para iOS:
Para Android:
AIR SKD & COMPILER
Por último, una actualización de seguridad para Adobe AIR SDK & Compiler que añade soporte para transmisiones seguras de análisis en tiempo de ejecución para aplicaciones AIR en Android (CVE-2016-6936).
Recomendación
Más información:
Fuente: Hispasec

GOOGLE CHROME . Actualización de seguridad

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 53.0.2785.113) para todas las plataformas (Windows, Mac y Linux) para corregir seis nuevas vulnerabilidades.
Detalle de la actualización
  • Como es habitual, Google no facilita información de todos los problemas corregidos. En esta ocasión, confirma la corrección de seis vulnerabilidades. Se han solucionado dos problemas por uso de memoria después de liberarla en Blink, una lectura arbitra de memoria en v8, un acceso a recursos de extensiones y una ventana emergente que no se elimina correctamente.
  • También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Los CVE asociados a las vulnerabilidades van del CVE-2016-5170 al CVE-2016-5175.
  • Según la política de la compañía dos de las vulnerabilidades anunciadas han supuesto un total de 4.000 dólares en recompensas a los descubridores de los problemas, aunque la cifra puede crecer debido a que aun hay tres vulnerabilidades en las que la cuantía del premio aun está por determinar.
Recomendación
Más información:
Fuente: Hispasec

Múltiples vulnerabilidades en Aver EH6108H+ hybrid DVR

Se han reportado tres vulnerabilidades en dispositivos Aver EH6108H+ hybrid DVR, un sistema de gestión de cámaras de seguridad IP y streaming de video. Las vulnerabilidades están consideradas de gravedad alta y podrían permitir a un atacante remoto saltar restricciones de seguridad o incluso revelar información sensible.
El dispositivo Aver EH6108H+ es un DVR (grabador de video digital) híbrido de 8 canales que proporciona facilidad de uso, alto rendimiento y calidad de imagen. Este DVR cuenta con transmisión inteligente secuencial, notificaciones avanzadas de alarma, soporte de doble Gigabit LAN, cuenta con integración POS, integración de software a distancia y mucho más. Son dispositivos ampliamente usados en el sector de seguridad industrial, comercial y bancario.
Detalle e Impacto de las vulnerabilidades
  • En el primer problema, con CVE-2016-6535, el dispositivo contiene dos cuentas de credenciales con privilegios de root incluidas en el propio código del sistema. Estas dos cuentas podrían ser usadas por un atacante remoto para ganar privilegios dentro del sistema a través de sesiones de telnet ejecutadas por defecto.
  • El siguiente problema, con CVE-2016-6536, debido a la facilidad para averiguar determinados parámetros de identificación del interface web (/setup), un atacante remoto no autenticado podría ser capaz de acceder a páginas restringidas y/o modificar las configuraciones del DVR e incluso modificar las cuentas de usuario.
  • Por último, con CVE-2016-6537, el problema radica en la forma poco segura de manejar y almacenar las credenciales de usuario (almacenadas en cadenas codificadas en base64). Esto podría ser aprovechado por un atacante remoto no autenticado que podría obtener información sensible del sistema con bastante facilidad.
Las tres vulnerabilidades han sido reportadas por Travis Lee y afectan a dispositivos con firmware X9.03.24.00.07l.
La página web (http://surveillance.aver.com/model/embedded-hybrid-DVR-EH6108H-plus/ ) del fabricante del producto figura como discontinuado, desconocemos si se van a tomar medidas para paliar estas fallas de seguridad.
Recomendación
  1. Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
  2. Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
  3. Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).
Más información:
Fuente: Hispasec

El malware H1N1 muta hacia un troyano muy completo

El H1N1 que en un principio empezó siendo “un simple malware” derivó hacia un programa puente para la llegada de otras amenazas pasando a ser un troyano, o al menos adquiriendo funciones de este tipo de forma progresiva.
Aunque solo sirviese para instalar otras, este malware que nos ocupa ya podía esquivar los software de seguridad presentes en el equipo y adquirir persistencia frente a reinicios y apagados del sistema Windows afectado. Los propietarios de ésta han tomado la decisión de cambiar el rumbo y ahora es capaz de recopilar información del usuario y su equipo.
Expertos en seguridad indican que la amenaza posee una pequeña librería DLL que permite a H1N1 evitar el control UAC presente en la inmensa mayoría de equipos. Pero esta no es la única novedad, ya que también se ha visto como el malware es capaz de replicarse utilizando unidades de red existentes o bien medios USB que se conecten al equipo infectado, por lo que podría decirse que se trata de una gran evolución la sufrida en tan poco espacio de tiempo.
H1N1 y otras funciones relacionadas con ransomware
  • Los expertos en seguridad que han tenido acceso a la amenaza han detectado que esta también modifica algunas configuraciones del sistema, como por ejemplo la realización de puntos de restauración o la eliminación de copias de seguridad existentes en el equipo. Esto ha descolocado a los expertos, que creen que la próxima gran actualización podría ser la adquisición de funciones propias de un ransomware, aunque esto por el momento solo son especulaciones.
¿Qué información se ve afectada?
  • También han sido capaces de aportar cierta información sobre qué datos podrían verse afectados por la recopilación llevada a cabo por H1N1. En un principio solo se ha comprobado el interés de la amenaza por credenciales de acceso a cuentas de correo electrónico, sobre todo Outlook.
  • Con respecto a las vías de difusión, hay que añadir que en la actualidad la amenaza se distribuye haciendo uso de correos electrónicos spam que poseen un archivo de Microsoft Word con una código en forma de Macro que realizará la descarga del instalado. Posteriormente, gracias a la comunicación con un servidor de control remoto, el malware que nos ocupa será capaz de adquirir nuevas funciones.
Fuente: Softpedia

INFECCIONES. Publican aplicaciones afectadas infectadas con spyware en la Play Store

Los ciberdelincuentes han conseguido publicar 4 aplicaciones en la tienda de aplicaciones de Android que estaban equipadas con características propias de un spyware, procediendo al robo de la información introducida por el usuario y existente en el terminal móvil infectado.
A la vista de las funciones que a priori debería disponer la aplicación, están orientadas sobre todo a turistas y según los expertos en seguridad no serán muchos los usuarios que se han visto afectados, sobre todo porque desde el Gigante de Internet esta vez han actuado con bastante solvencia y han procedido a la retirada del material.
Mientras tres de ellas ofrecían noticias relacionadas con países de toda Europa, la cuarta ofrecía información destaca sobre las embajadas existentes en cada país, de ahí que hayan optado por indicar el perfil de usuario mencionado con anterioridad.Tal y como suele suceder en estos casos, la aplicación instalada posee las funciones esperadas y no se presta la oportunidad al usuario de sospechar que en el equipo se ha instalado un spyware, comportamiento que acostumbra a ser el habitual.
Overseer es la amenaza distribuida
  • Los expertos en seguridad han tenido la oportunidad de analizar las aplicaciones y han llegado a la conclusión que junto con el código “legítimo” se ha añadido el de esta amenaza que permite realizar un espionaje bastante completo, aunque sí que es verdad que su repercusión hasta el día de hoy es casi nula.
  • Posee un servidor remoto al que se envía la información robada, estando ubicado en Amazon AWS, utilizando para ello peticiones HTTPS.
Información sensible de ser recopilada
  • Un nuevo capitulo en la Play Store y la verdad es que comienza a ser un tópico que todas las amenazas (o al menos la inmensa mayoría) sean spyware. Aunque hay que reconocer que dado el tipo de dispositivo, es obvio que sean este tipo de amenazas o bien troyanos bancarios.
  • El IMEI es uno de los datos recopilados, pero a este se suman la versión de sistema operativo Android y la del SDK, la lista de contactos existente en el terminal o las cuentas de correo que están presente en el sistema, utilizándose estas últimas para el envío de correos electrónicos spam.
Fuente: Softpedia

CIBERSEGURIDAD. Hallan cerca de 800.000 servidores FTP desprotegidos

Un investigador de seguridad llamado “Minxomat“, y conocido por llevar a cabo búsquedas de servidores MongoDB, CouchDB y Redis vulnerables, ha llevado a cabo una búsqueda de fuerza bruta a través de todo el protocolo IPv4 ha revelado un total de 796.578 servidores FTP desprotegidos que permiten el acceso libre a cualquier usuario que intente establecer conexión a él. Incluso un pequeño número de ellos tenía los permisos de escritura habilitados.
Este investigador de seguridad creó un sencillo script que realizaba una búsqueda por fuerza bruta en todas las IPs del protocolo IPv4 e intentaba conectarse al puerto 21 (puerto por defecto del servidor FTP) con el usuario “anonymous” y sin contraseña. Con este experimento, el investigador de seguridad ha querido demostrar, por un lado, la facilidad de realizar barridos completos de toda la red en busca de todo tipo de servidores vulnerables y, en segundo lugar, el gran número de servidores desprotegidos que se encuentran conectados a Internet.
La lista completa de servidores encontrados podemos descargarla gratuita desde GitHub https://github.com/massivedynamic/openftp4
Cómo proteger correctamente un servidor FTP
  • Si tenemos un servidor FTP en nuestro poder, lo primero que debemos hacer es establecer un usuario único (o varios, en función de quienes usen el servidor) y asignar a cada uno una contraseña segura y robusta. Además, para proteger nuestro servidor de ataques de fuerza bruta es recomendable habilitar un límite de intentos de sesión seguidos.
  • Otra medida de seguridad que debemos tener en cuenta al configurar nuestro servidor FTP es que cada usuario tenga su propia ruta limitada y no pueda interactuar con los directorios de los demás. Además, el usuario invitado debe estar desactivado para evitar que ningún usuario pueda conectarse a través de ese usuario por defecto de los servidores.
  • Por último, como medida de seguridad adicional, es recomendable cambiar el puerto por defecto del servidor FTP de manera que, si se realizan búsquedas por puerto, los piratas informáticos tengan más difícil dar con nuestro servidor y poder llevar a cabo los diferentes ataques dirigidos.
Fuente: Softpedia

MALWARE. El ransomware HDDCryptor bloquea el arranque del equipo infectado

El ransomware HDDCryptor es una amenaza descubierta hace pocos días, que ralacionan con Petya y Satana, especializada en cifrar los archivos pertenecientes a la zona de arranque del disco.
En esta ocasión los ciberdelincuentes muestran mucho interés por los archivos que se encuentran en el MBR de los discos duros. O lo que es lo mismo, la primera partición que contiene información sobre el particionado y el arranque del sistema. Modificando esta información el equipo no podrá arrancar, algo que no impedirá bajo ningún concepto informar al usuario sobre lo que ha sucedido con la información de su equipo y otras carpetas de red.
Se ha detectado hasta el momento una gran infección que ha afectado a casi la totalidad de los ordenadores pertenecientes a una multinacional aunque se espera que el pico de infecciones de alcance a finales de esta semana o principios de la siguiente.
¿Cuál es la vía de distribución del ransomware HDDCryptor?
  • Los expertos en seguridad han detallado que esta operación se realiza sobre todo a través de páginas web infectadas, produciéndose la descarga de un ejecutable que será el encargado de descargar a su vez el instalador de la amenaza. Se trata de una amenaza muy sofisticada ya que se vale de otras dos herramientas open source, una de las cuales sirve para recuperar contraseñas d ecarpetas de red y la otra para proceder porpiamente al cifrado de la información, incluyendo el de los archivos del sistema y aquellos que se encuentran en la primera partición del disco.
¿El equipo queda inservible?
  • Obviamente que los archivos de esta sean inaccesibles provocan que el sistema no sea capaz de iniciar el arranque, pero sí que es verdad que a cambio los ciberdelincuentes muestran una imagen en la que se explica lo que ha sucedido con la información. Se solicita al usuario el pago de 1 Bitcoin, lo que es aproximadamente 610 dólares. 
  • En el caso de no aceptar el pago, los expertos en seguridad recomiendan proceder al formateo del equipo con la consiguiente perdida de todos los datos si no se tiene una copia de seguridad o bien reparar el arranque con un disco de instalación e iniciar el equipo en modo a prueba de fallos para eliminar la amenaza en primer lugar.
Fuente: Softpedia

MALWARE. El ransomware Crysis emplea la fuerza bruta para infectar equipos

Descubierto a principios de este año, los ciberdelincuentes han retomado la difusión de esta amenaza. Sin ir más lejos, sus propietarios lo han dotado de un algortimo de fuerza bruta que será utilizado por Crysis para acceder a los equipos y así conseguir llevar a cabo la infección de forma satisfactoria.
En un principio se barajó la posibilidad por parte de expertos en seguridad y los propietarios de la misma de ocupar el lugar que había dejado TeslaCrypt, uno de los ransomware referentes. Sin embargo, podría decirse que la operación fue todo un fracaso, sobre todo porque aparecieron varias que compitieron y al final se hicieron con el hueco, como es el caso de Cerber o CryptXXX.
Forma de distribución del malware
  • La forma de difusión de la amenaza no era otra que la infección de páginas web legítimas para posteriormente distribuir la amenaza o bien el envío de correos electrónicos spam cuyo archivo adjunto era nada más y nada menos que el instalador de la amenaza que nos ocupa.
  • Se tratan de dos métodos de difusión de amenazas muy utilizados por los ciberdelincuentes, pero también muy conocidos por los propios usuarios, de ahí que si no se dispone de un plan alternativo es probable que la operación termine siendo un auténtico fracaso.
¿Por qué Crysis ha sido equipado con un algoritmo de fuerza bruta?
  • Obviamente para potenciar su poder. Tanto es el impacto de esta prestación introducida que a día de hoy no existe ninguna forma de recuperar los archivos afectados por esta amenaza. No se trata de algo nuevo en el mundo ransomware, ya que con anterioridad otros también hicieron uso de esta técnica, como por ejemplo LowLevel, DMA Locker o Smrss32, entre otros.
  • El cifrado resultado es una combinación de algoritmos AES y RSA, de ahí que los expertos en seguridad hayan recomendado emplear copias de seguridad, ya que de lo contrario no se podrá hacer uso de una herramienta gratuita para proceder a la recuperación de la información, o al menos de momento.
Fuente: Softpedia

MALWARE. El keylogger iSpy vuelve con nueva versión y convertido en troyano RAT

Expertos de seguridad han detectado un aumento considerable de infecciones de una nueva versión de este keylogger, registrada como iSpy 3.0. Esta nueva versión llega además más peligrosa que nunca, ya que los piratas informáticos han incluido una serie de módulos, payloads y nuevas funciones que han convertido este simple y peligro keylogger en un completo troyano RAT.
iSpy, el keylogger convertido en troyano, ahora más peligroso que nunca
  • Además de su funcionalidad original de keylogger, este troyano permite también recuperar los datos guardados en los principales navegadores web, clientes de correo, FTP, de mensajería e incluso administradores de bases de datos. Además, como hemos dicho, el propio compilador nos va a permitir elegir los módulos que queremos habilitar, como un módulo de captura de webcam, tomar capturas de pantalla, monitorizar el portapapeles o habilitar funciones adicionales como ocultar el proceso en el administrador de tareas, evitar su ejecución en entornos virtualizados o auto-borrado tras el robo de los datos.
  • Además, este compilador permite también realizar otros ajustes más avanzados a la herramienta maliciosa, como indicar el nombre del proceso que aparecerá al ejecutarse, crear entradas en el registro de Windows para garantizar su persistencia, bloquear su detección por parte de antivirus y otros bots e incluso bloquear la carga de ciertas webs, útil para evitar que la víctima pueda utilizar antivirus online.
  • Todos los datos robados pueden ser enviados a un servidor FTP o HTTP controlado por los piratas informáticos, donde se almacenan para, posteriormente, procesarlos o venderlos en la Deep Web, red oculta desde la que, además, se esté distribuyendo este malware.
  • Aunque los piratas informáticos están vendiendo esta aplicación como con “fines educativos“, en realidad, no es así, ya que es un malware en toda regla vendido a otros piratas y utilizado para todo tipo de ataques informáticos.
Fuente: zscaler

TAILS 2.6. Disponible y con importantes mejoras de seguridad

Los responsables del desarrollo de esta distribución han anunciado la disponibilidad del nuevo Tails 2.6, versión que llega con importantes cambios y mejoras de seguridad como vamos a ver a continuación.
Tails, “The Amnesic Incognito Live System”, es un sistema operativo basado en Linux que se caracteriza principalmente por su privacidad y por no guardar ni el más mínimo dato sobre la actividad de sus usuarios. Este sistema operativo cuenta con todo lo necesario para ejecutarse completamente desde la memoria RAM y cuenta con una serie de herramientas y configuraciones de manera que todo el tráfico es redirigido a través de la red Tor, garantizando su privacidad y el anonimato.
Tails es un sistema operativo utilizado en situaciones críticas, por lo que debe actualizarse periódicamente para solucionar fallos, errores y mejorar las características de seguridad a fin de evitar que atacantes u organizaciones gubernamentales puedan identificar a los usuarios y comprometer su privacidad.
Novedades y mejoras del nuevo Tails 2.6
  • Una de las novedades que se han incluido en esta nueva versión del sistema operativo es kASLR (kernel address space layout randomization), una característica del kernel Linux que protege a los usuarios de los ataques de desbordamiento de búfer. Para mejorar la aleatoriedad, también se ha instalado por defecto el paquete rngd, una herramienta que mejora la entropía de los números aleatorios calculados en los equipos con hardware generador de datos.
  • Esta versión actualiza también todas las aplicaciones básicas del sistema operativo a sus versiones más recientes con el fin de eliminar cualquier fallo, debilidad o vulnerabilidad que pueda existir en ellas. De esta manera, se han incluido las nuevas aplicaciones Tor 0.2.8.7, Tor Browser 6.0.5, Icedove 45.2.0, Tor Birdy 0.2.0 y Electrum 2.6.4. Además, se ha mejorado el audio en los sistemas con tarjetas Intel SST y el rendimiento de los adaptadores Wi-Fi Texas Instruments.
  • Otros cambios menos relevantes son la eliminación de los repositorios non-free, una nueva página web principal en Tor Browser y una mayor velocidad al apagar el ordenador.
  • Por último, indicar que Tails 2.6 viene con el kernel Linux 4.6, sin embargo, hace ya un mes que esta versión ha alcanzado el fin de su ciclo de vida y ya no recibirá más actualizaciones de seguridad, por lo que se recomienda a todos los usuarios de Tails actualizar el kernel a una rama más reciente, como la 4.7, al menos hasta el lanzamiento de la próxima versión de este sistema operativo que, probablemente, ya venga actualizado de base.
  • El lanzamiento de la versión Tails 2.7 está programada para el próximo 8 de noviembre, hasta entonces, debemos actualizar lo antes posible nuestro sistema operativo a la nueva versión 2.6 para poder navegar por la red con la máxima seguridad y privacidad, lejos del control de los piratas informáticos, las grandes empresas y los gobiernos que, a diario, amenazan la neutralidad de la red.
DESCARGAS
Fuente: Tails