16 de octubre de 2016

TISA. Blindará multinacionales que operen en España y contraten trabajadores foráneos.

WikiLeaks filtra nuevos documentos sobre el pacto de servicios que negocian en secreto 50 países.  De ser aprobadas las normas que hoy contempla,  el TiSA "forzaría a hacer cambios en las leyes y políticas de todos los países que lo firman".
Los cincuenta países que negocian en secreto el pacto secreto TiSA acostumbran a plantear dotar de nuevos poderes a las empresas prácticamente en cada ronda de negociación, y en esta ocasión han vuelto a cumplir con este hábito. Según los documentos filtrados este viernes por WikiLeaks, a los que Público ha tenido acceso en exclusiva en España, tal y como está redactado hoy este pacto sobre servicios impediría explícitamente a los estados establecer una nueva docena de condiciones a las empresas que operen en sus respectivos territorios.
En concreto, el texto analizado plantea que ninguno de los países firmantes pueda “imponer” o “hacer cumplir” ninguna “tarea” o “compromiso” a las multinacionales que operen dentro de sus fronteras, como utilizar o dar preferencia al uso de “bienes o servicios” procedentes de ese país que estas corporaciones requieran para cumplir su cometido.
Dicho de otro modo, esto supondría que si Pakistán quiere pedir a una cadena de supermercados multinacional con presencia en su suelo que recurra a empresas de publicidad pakistaníes para anunciarse, sencillamente no podría hacerlo, tal y como recoge el análisis elaborado por la asesora jurídica Sanya Reid Smith, integrante de la ONG Third World Network.
Ésta es la postura que hasta la fecha han defendido Canadá y la Comisión Europea, que ejerce como única voz de los 28, y que marca otras tantas restricciones a los estados: de entrar en vigor el acuerdo, éstos no podrían establecer un nivel mínimo de inversión en investigación y desarrollo para estas empresas, ni tampoco legislar sobre la obligación de contratar siquiera a un porcentaje de sus ciudadanos.
Ambas son cláusulas nuevas, que no aparecían en la penúltima versión filtrada de este documento, fechada en mayo. El ejemplo de Reid Smith para la organización que dirige Julian Assange es claro: esta última regla impediría a un estado como Perú legislar para que las corporaciones cuenten con un mínimo número de sus ciudadanos en plantilla cuando operen en su territorio en ningún escenario. “Esto obviamente tendría implicaciones para el empleo local”, sentencia.
La falta de protección de la UE
  • Según el documento, la única forma de que un estado quede exento del cumplimiento de estas normas es detallarlo en un listado que posteriormente debe ser negociado con el resto de países, que deben dar su visto bueno para que entre en vigor. Cambiar estos compromisos es prácticamente imposible cuando el acuerdo haya entrado en vigor, como informaba recientemente este diario.
  • Por otro lado, ninguna de las tres cláusulas que podrían acotar esta normativa, incluidas en el artículo X.5 del escrito, cuenta con el apoyo explícito de la UE. De hecho una de ellas, propuesta por EEUU, cuenta con su rechazo explícito: “Nada de lo incluido entre los artículos X.1 y X.3 puede ser interpretado para impedir que una de las partes tome cualquier acción que considere necesaria para la protección de sus propios intereses de seguridad esenciales”.
  • Y, en ningún caso la contratación pública quedaría al margen de estas normas, salvo que se acepte la segunda propuesta de excepción, que también respaldan Estados Unidos, Australia, Canadá o Japón, pero no así Bruselas.
  • El empeño de este borrador del TiSA por blindar los poderes de las empresas de cara a normativas hoy vigentes o incluso futuras se evidencia también en las tres propuestas que refleja el documento sobre la composición de los consejos de administración de las empresas.
  • La más agresiva, respaldada por Hong Kong y la UE, establece que los estados “no puedan exigir que ningún miembro de un Consejo de Administración” de una multinacional establecida en su territorio “sea de una nacionalidad determinada, o resida en ese territorio”; lo que en la práctica ata las manos de estos países y les impide regular que un mínimo de los directivos de estas empresas residan entre los márgenes de sus fronteras.
  • Pese a lo plasmado en este y otros documentos, Bruselas se afana por defender que no otorgará nuevos poderes a las multinacionales con el Trade in Services Agreement (TiSA), el Transatlantic Trade and Investment Partnership (TTIP) -entre la UE y EEUU- o el Comprehensive Economic and Trade Agreement -entre los 28 y Ottawa- (CETA).
  • Mientras tanto, la oposición y las movilizaciones contra estos acuerdos siguen creciendo; Madrid y otras 24 ciudades españolas acogerán nuevas protestas contra estos tratados este sábado, en un nuevo intento por pedir a la Comisión que rectifique, y por lograr que TiSA, TTIP o CETA entren por fin en la agenda mediática.
"Las nuevas reglas añadidas son peores que las del TPP”
  • El documento en cuestión, Localization Provisions, fechado en junio de este año, consta de apenas cinco páginas. La primera advierte que el texto debe ser secreto hasta transcurridos cinco años de la entrada en vigor del acuerdo. “Debe ser almacenado en un edificio, cuarto o recipiente cerrado o vigilado”, reza.
  • El análisis de WikiLeaks lo confirma: los cambios en el documento fechado en mayo persiguen “ser más restrictivos” en lo que respecta a la capacidad de regular de los gobiernos. “Las nuevas reglas añadidas son peores que las del TPP”, y si fueran finalmente aceptadas “sin suficientes excepciones”, “forzarían a hacer cambios en las leyes y políticas de países desarrollados y en vías de desarrollo que firman el TiSA”.
Fuente: Publico.es

RUSIA. Nueva ley permite a empresas de seguridad hackear WhatsApp, Skype y otros servicios de mensajería

Gracias a la ley Yarovaya, las empresas de seguridad podrán hackear WhatsApp, Skype y otros servicios de mensajería.
La ley Yarovaya aprobó hace meses unas duras y controvertidas medidas antiterroristas en Rusia, unas medidas que han sido ampliamente rechazadas por activistas de derechos humanos. De hecho, el propio Snowden que actualmente se encuentra en Rusia, cree que esta ley es una violación de derechos injustificable, que quitará libertades a los rusos sin mejorar la seguridad. 
Luz verde para hackear los servicios de mensajería instantánea
  • Esta nueva ley Yarovaya ha dado luz verde a las empresas de seguridad informáticas de Rusia para hackear WhatsApp, Skype, Facebook Messenger y otros servicios de mensajería instantánea, como por ejemplo Telegram. Un periódico ruso llamado Kommersant ha informado que la empresa de seguridad “Con Certeza” ha desarrollado una gran cantidad de herramientas para crackear las comunicaciones cifradas de los principales servicios de mensajería instantánea.
  • Esta compañía de seguridad trabaja estrechamente con el gobierno ruso, y según han indicado, no solo es capaz de descifrar todo el tráfico de Internet, sino que estas herramientas se pueden usar para hacer un ataque man-in-the-middle masivo a todos los servicios, de tal forma que podrían interceptar todas las comunicaciones de manera global, ninguna comunicación sería privada.
Actualmente, todas las empresas de comunicación en Rusia guardan la información relativa a los usuarios durante 3 años, además, deben suministrar a las autoridades las llaves de descifrado de los datos cuando sea necesario. Además de controlar las comunicaciones normales, las autoridades rusas han estado trabajando en desarrollar un sistema para decodificar todo el tráfico de Internet en tiempo real, además, permitiría realizar búsquedas mediante palabras clave.
Este nuevo movimiento de las autoridades rusas es la respuesta a la herramienta CatchApp, una aplicación desarrollada por una empresa de seguridad israelí que promete la interceptación y el descifrado de todas las conversaciones que se realizan a través de la popular aplicación de mensajería WhatsApp.
Fuente: itproportal

REINO UNIDO. Los blog con HTTPS son cosa de terroristas, según la policía inglesa.

Scotland Yard ha acusado de terrorista a un administrador de un blog por el simple hecho de ofrecer a sus lectores la posibilidad de conectarse al mismo a través del protocolo HTTPS ya que entendía que lo hacía por el interés general. También ha sido acusado como terrorista por tener un sistema operativo Live (probablemente TAILS) en una memoria USB.
Tal como podemos leer en el blog oficial de Scotland Yard, el cual, además, no carga por defecto una conexión HTTPS (aunque si la forzamos podremos entrar con un certificado erróneo), este administrador ha sido acusado de 6 actos de terrorismo, entre los que destacan:
  1. Desarrollar un programa de cifrado que puede ser utilizado por otros terroristas.
  2. Enseñar técnicas de cifrado en su blog.
  3. Configurar su blog para establecer conexiones seguras HTTPS.
  4. Tener una memoria USB con un sistema operativo Live.
  5. Error certificado HTTPS Scotland Yard
Aunque este hombre tenía relación con terroristas de ISIS, sin embargo, tal como podemos ver en varios sitios, Scotland Yard le acusa de terrorista simplemente por crear una versión HTTPS de su blog y enseñar a usar las herramientas de cifrado a cualquier lector del mismo, además de por preocuparse por su seguridad y privacidad (por el USB Live), pero en ningún momento lo hacen por colaboración con dicho grupo.
HTTPS no solo mejora la seguridad, sino también el rendimiento de Internet
  • Es cierto que hace unos años solo las páginas web más críticas podían permitirse hacer uso del protocolo HTTPS debido a que la implementación del protocolo y el coste de los certificados era muy elevado, y, además, cifrar el tráfico saturaba los servidores y hacía que las webs cargaran más lentas.
  • Sin embargo, la tecnología cambia constantemente y, tal como podemos ver en varios tests, actualmente el protocolo HTTPS, además de ofrecernos una seguridad impenetrable, también mejora el rendimiento y la velocidad de las páginas gracias, por ejemplo, a HTTP/2.
  • El cifrado está aquí para proteger la privacidad de los usuarios y permitirles tanto guardar sus datos de forma segura como enviar información sensible a través de Internet, una plataforma cada vez menos privada y segura gracias a organizaciones como Scotland Yard o la NSA, quienes, poco a poco, siguen buscando cómo hacerse con el control de las telecomunicaciones llegando hasta los absurdos extremos de acusar de terrorista a un administrador que configura una web con HTTPS y lleva consigo una memoria USB con un sistema operativo Live para poder conectarse a Internet desde cualquier ordenador.
Fuente: Redeszone.net

UE. Regulador no descarta tomar medidas contra Google por copia de contenido web

El regulador antimonopolio de la Unión Europea, que acusó a Google de violar las normas de competencia en tres casos separados, dejó abierta la posibilidad de tomar nuevas medidas contra el gigante tecnológico integrado en el holding Alphabet.
  Google se enfrenta a numerosas quejas por su práctica de copiar contenido de páginas de internet sin pagar, conocida por el término anglosajón "scraping". Entre los denunciantes figuran News Corp, Getty Images y editores alemanes.
   Margrethe Vestager, la comisaria de Competencia de la Unión Europea, dijo que el asunto no era prioritario por ahora, pero que no descartaba tomar medidas en un futuro. La entidad está actualmente concentrada en tres casos en curso, el primero de los cuales se alarga desde 2010. Por lo general, los casos de competencia duran entre tres y ocho años, o incluso más.
  "Todavía no estamos tomando decisiones", dijo Vestager a periodistas en los márgenes de una conferencia organizada el viernes por el grupo jurídico International Bar Association.
 En el último año y tras una serie de denuncias de empresas europeas y estadounidenses, la Comisión Europea de la Competencia ha acusado a Google de abusar de su posición de dominio en el mercado para promover sus propios productos en detrimento de sus rivales.
 Vestager dijo que estaba al corriente de cuestiones de competencia y derechos de autor (copyright) relacionados con la copia de contenidos web. Su compañero a cargo de los asuntos digitales, Günther Oettinger, propuso recientemente una normativa que deben aprobar el Parlamento Europeo y los países de la UE antes de ser implementada.
  Vestager dijo que las normas propuestas no entorpecerían su trabajo.
Fuente: Reuters

GOOGLE Y FACEBOOK. Construirán el cable submarino más rápido del Pacífico.

Google y Facebook han unido fuerzas para construir un cable submarino de 120 Terabits por segundo (Tbps). Un cable de 12.800 kilómetros que conectará Los Ángeles con Hong Kong y que se convertiría en el más rápido del Océano Pacífico.
   Según explica TechCrunch, el cable tendrá un coste aproximado de 400 millones de dólares y pretende distribuir su capacidad en cinco pares de fibra. Todos los que participen en la inversión, explica el medio citado, tendrá su propia porción de cable para que puedan contar con su propio tráfico privado y mantenerlo.
   El nuevo cable submarino se convertirá en el sexto en el que Google tiene participación. Uno de ellos, FASTER, ocupa actualmente el récord de mayor capacidad y velocidad en el Oceáno Pacífico, pero con los planes de Google y Microsoft y el desarrollo del nuevo cable, programado para entrar a funcionar en 2018, FASTER pasaría al segundo puesto.
Los cables submarinos son una de las formas más usadas para conectar diferentes partes del mundo. Sin ir más lejos, el pasado mes de mayo Facebook y Microsoft llegaron a un acuerdo para desplegar un nuevo cable submarino de fibra óptica de última generación, denominado 'Marea', que comunicará España y Estados Unidos a partir de 2017 y que estará gestionado y operado por la nueva filial de infraestructuras de Telefónica Telxius.
Este cable submarino de 6.600 kilómetros de longitud será el primero que conecte Estados Unidos, a través del importante nudo de conectividad del Norte de Virginia, con el Sur de Europa. En concreto, unirá Virginia Beach con Sopelana (Vizcaya), para luego alcanzar Oriente Próximo, África y Asia y Latinoamérica interconectado con otros sistemas de cable.
Fuente: Europa Press

TWITTER.Presenta 'Periscope Producer', nueva forma para compartir vídeo en directo

   Twitter ha presentado 'Periscope Producer', una nueva forma de disfrutar de las emisiones en directo y que se basa en el formato de Periscope para permitir a marcas, medios de comunicación y otros creadores de contenido compartir el material, en directo y de alta calidad, a través de la red social.
   Además, gracias a la unión, los 'partners' de la plataforma podrán emitir cualquier contenido usando cámaras profesionales, así como software de edición y de 'streaming', por lo que podrán crear y tuitear vídeos, en directo, además de poder interactuar con la audiencia.
   Gracias a esta nueva herramienta, mediante un simple tuit, los usuarios, además de asistir a un evento en directo, podrán "ver los programas diarios, eventos a pequeña y gran escala y otros videos atractivos", lo que indica el intento de renovación de Twitter en los tiempos difíciles que está viviendo.
   "Permitir a los usuarios crear y compartir vídeos en directo en Periscope siempre ha sido parte de nuestra estrategia y permite nuevos tipos de contenido que todo el mundo puede ver en directo", comenta el CEO de Periscope, Kayvon Beykpour, en un comunicado.
   No obstante, 'Periscope Producer' no está disponible en todas las marcas, ni medios. Sólo algunos casos españoles, como PlayStation o Elle, ya han registrado una mayor participación y crecimiento en sus audiencias gracias a esta nueva unión entre Periscope y Twitter.
Fuente: Europa Press

FUJISTU. Lanza un servicio para crear escritorios virtuales en empresas de todo tamaño

Fujitsu ha lanzado su solución Virtual Client Services (VCS), un servicio gestionado que simplifica el acceso a la tecnología virtual y permite la creación de escritorios virtuales en empresas de todos los tamaños.
   A través de VCS, las organizaciones tienen acceso a un método simple, escalable y ágil en la prestación de servicios de aplicaciones y 'desktop' a los empleados, como ha explicado la compañía en un comunicado. Los datos corporativos, como ha destacado Fujitsu, se mantienen seguros en el centro de datos y no se copian en portátiles, ordenadores personales y dispositivos móviles.
    Este servicio se pone en marcha de una manera rápida, gracias a su 'scripting' automatizado que simplifica la puesta a punto del sistema, evitando la necesidad de escribir el código.
   La compañía japonesa ha integrado en esta nueva solución el software Atlantis USX, de la compañía Atlantis Computing que reduce notablemente los costes de hardware y proporciona una plataforma de almacenamiento definido por 'software' más extensible y resistente.
   La optimización del uso del sistema se consigue mediante la creación de grupos de almacenamiento que están disponibles para cualquier aplicación como volúmenes de almacenamiento virtual.
   VCS hace que cada unidad sea compatible con hasta 500 usuarios y que se puedan combinar hasta cuatro 'appliances', lo cual permite a los clientes escalar de forma sencilla y sin problemas a un sistema que es capaz de soportar hasta 2.000 'desktops'.
Fuente: Europa Press

SEGURIDAD INFORMÁTICA. Unisys propone la micro segmentación contra la “cadena de la muerte”

Muchas organizaciones que emplean soluciones de seguridad gastan el 80% de su presupuesto de TI en defensa del perímetro, 15% en el monitoreo y solo el 5% en respuestas.
En el marco del Unisys Tech Forum 2016, que celebra su edición número 13 este año en Atenas/Grecia, Unisys presentó sus soluciones avanzadas de seguridad, enfocadas en la micro segmentación como herramienta para defender y habilitar el futuro de la empresa en la era digital.
Al respecto, Tom Patterson, Chief Trust Officer & Vicepresidente de Seguridad Global en Unisys, comentó que en los últimos años, la seguridad empresarial ha tenido un gran número de cambios y que el antiguo modelo de seguridad no es compatible con los tipos de ciberataques que se están presentando actualmente. “Los ataques son cada vez son más avanzados y tienen  motivaciones de diversa índole”, indicó el ejecutivo, agregando que “Unisys está trabajando en cambiar el enfoque de seguridad para que este se ajuste a un panorama con regulaciones más estrictas, condiciones de alta conectividad, y mayor cantidad de amenazas que han modificado las zonas de confianza con las zonas de seguridad, sea física u lógica”.
El proceso busca asegurar la empresa rompiendo la denominada “cadena de la muerte”; es decir, ese momento en el que una intrusión significa un acceso en cadena a toda la información de la empresa. Cerca del 80% del tráfico en la cadena de información se asume como amigable, sin embargo no existe una manera de controlarlo. Es por esto que la micro segmentación se ha convertido en la herramienta ideal para combatir este problema, ya que, genera segmentos y grupos de persona para acceder a diferentes tipos de información. Además, controla el tráfico por la red de la empresa, asegurando de esta manera de disminuir la exposición de los datos de la compañía.
Patterson explicó que Unisys está transformando la manera de almacenar, controlar y proteger los datos con la implementación de soluciones como Stealth que, recalcó, ha sido galardonada por su innovación, entrega y desempeño por distintas organizaciones a nivel mundial. “Estas soluciones lo que buscan es usar herramientas sencillas para desarrollar tareas complejas que a la larga aseguran una protección garantizada para la empresa. Reducir la intervención física de los trabajadores TI, evitar la instalación manual de Firewalls e intervención en cadenas que llevan a una disminución en productividad”, indicó.
“La micro segmentación no solo protege los datos, la implementación de estas soluciones innovadoras basadas en modelos tradicionales pero repensadas para entregar resultados aseguran la optimización de los procesos brindando más agilidad en el soporte a los negocios y en el uso de los recursos”, aseguró Patterson durante su discurso en el Tech Forum 2016. “Las nuevas soluciones de Unisys no demandan un seguimiento de la actividad constante, permite que la empresa pueda implementarlo y continuar con su labor sin tener que estar revisando los datos para identificar intrusiones. Buscamos siempre lo mejor para el cliente, soluciones pensadas aumentar productividad y optimizar el uso del tiempo para que así la seguridad no sea una carga.”
Fuente: Diarioti.com

AUDITORIA INFORMATICA. Respuesta a incidentes y detección de anomalías

Mientras que el costo de una intrusión ha subido hasta el 29 por ciento desde 2013 - y continúa aumentando – un informe reciente de Ponemon muestra que los líderes empresariales están bajo una creciente presión para implementar soluciones de seguridad que sean eficaces en la detección de amenazas en este paisaje de ciberseguridad en evolución.
Mientras que las organizaciones generalmente aceptan que la prevención por sí sola no es suficiente, frecuentemente las violaciones de datos todavía no se detectan durante semanas, meses e incluso años.
Las organizaciones necesitan saber qué alarmas son importante para su organización con el fin de llevar a cabo de manera efectiva la respuesta a incidentes. Los sistemas basados en firmas y herramientas de gestión de red ya no pueden ser el único medio para detectar una infracción y detenerla antes de que cause un daño significativo. 
La detección de anomalías tiene que ver con la habilitación de una respuesta a incidentes proactiva dando a los equipos de seguridad la capacidad de localizar riesgos potenciales antes de que una simple intrusión o comportamiento inusual se convierta en un evento devastador.
Factores a considerar cuando se evalúan las soluciones de respuesta a incidentes. 
Hay varias consideraciones organizacionales que se deben tener en cuenta al evaluar la mejor manera de prevenir una infracción, así como limitar los daños cuando se produce una violación de seguridad.

  1. No confíe en los procesos de seguimiento manuales.- Los equipos de respuesta a incidentes a menudo adoptan un enfoque manual para la supervisión de la seguridad -con miembros del equipo que tienen la tarea de seguimiento de tableros de instrumentos y la identificación de anomalías simples-. Sin embargo, este proceso puede ser extremadamente lento, y es probable que el error humano, debido a las emociones y a las decisiones, de lugar a resultados ineficaces e inexactos. Además, una única métrica es probable que no indique un ataque avanzado. Y, si bien varias métricas pueden muy bien identificar un ataque avanzado, en última instancia, el ser humano no puede contener suficientes elementos relacionados en su memoria.
  2. Considerar el impacto de Shadow IT.- Mientras que la seguridad de la red estaba contenida previamente a las aplicaciones controladas y ejecutados por el departamento de TI, la prácitca de Shadow IT y BYOD (o bring-your-own-device en inglés) han hecho que el entorno de negocios sea mucho más complejo. El perímetro de la red se ha expandido de manera exponencial, con equipos de TI y de respuesta a incidentes, que ahora deben que preocuparse por los empleados que trabajan desde múltiples dispositivos (ya se trate de teléfonos inteligentes, ordenadores portátiles o tabletas), que conectan a múltiples redes (redes Ethernet de oficina, casa de banda ancha, VPN, etc.) y el uso de cientos de aplicaciones (ya sea de la empresa, de los consumidores, la productividad o social) que residen en centros de datos corporativos y proveedores de servicios de nube. El perímetro expandido presenta un sinnúmero de endpoints que requieren que los equipos de seguridad piensen de manera diferente sobre su acercamiento a la detección y prevención de amenazas.
  3. No siga las reglas.- En un intento para automatizar algunos de los trabajos manuales que participan en la detección de anomalías, las empresas a menudo dependen en gran medida de las reglas y los umbrales. Sin embargo, este enfoque viene con su propio conjunto único de desafíos. Por ejemplo, los umbrales y las reglas son ineficaces y de poca utilidad en los datos periódicos. Además, las alertas de este enfoque pueden generar también una gran cantidad de ruido innecesario que distrae la atención de los equipos de seguridad de la información y respuesta a incidentes.
  4. Establecer una línea de base de un comportamiento normal en los datos.- Cada organización es única y en constante cambio – con frecuencia, momentos después de que se determina una línea de base puede resultar inexacta debido a cambios en el entorno de red o el comportamiento de los usuarios. Mediante el establecimiento de una línea de base dinámica, automatizada para un comportamiento normal (a menudo mediante el aprovechamiento de las grabaciones de captura de paquetes de red y forenses), las organizaciones pueden identificar la actividad normal de la red y de las aplicaciones en la nube parecen, por lo que pueden identificar la actividad anormal.
Estas recomendaciones sobre lo que hay hacer y lo que no hacer ofrece algunas consideraciones sobre mejores prácticas a la hora de implementar una solución de respuesta a incidentes y de detección de anomalías, pero es importante recordar que los estándares de la industria para la detección de anomalías siguen evolucionando. Lo más importante para las organizaciones a tener en cuenta es que deben identificar la mejor solución para satisfacer las necesidades de sus datos, su actividad, sus patrones y, en última instancia las amenazas.
Fuente: Diarioti.com

IBM. Vulnerabilidad de Cross-Site Scripting en IBM iNotes

IBM ha confirmado una vulnerabilidad en IBM iNotes 8.5.x que podría permitir a atacantes remotos la realización de ataques de cross-site scripting.
IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión completa basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.
El problema corregido (con CVE-2016-0282) reside en una validación inadecuada de las entradas del usuario. Un atacante remoto podría explotar la vulnerabilidad mediante URLs específicamente creadas, lo que le permitiría ejecutar scripts en el navegador de la víctima. Se podría utilizar esta vulnerabilidad para robar las cookies de las credenciales de autenticación de la víctima y los datos presentados recientemente.
IBM ha publicado las actualizaciones necesarias en IBM iNotes 8.5.3 Fix Pack 6 Interim Fix 2. Disponible desde,  http://www.ibm.com/support/docview.wss?uid=swg21663874
Más información:
Fuente: Hispasec.com

CISCO. Actualizaciones para múltiples dispositivos

Cisco ha publicado seis boletines de seguridad para solucionar otras tantas vulnerabilidades en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, ejecutar código arbitrario o acceder al dispositivo sin autorización.
Solo uno de los problemas es considerado crítico y afecta a Cisco Meeting Server, mientras que otros problemas de gravedad media afectan a Cisco Wide Area Application Services, Cisco Unified Communications Manager, Cisco Prime Infrastructure, Evolved Programmable Network Manager, Cisco Finesse y Cisco cBR-8 Converged Broadband Router.
Cisco Cisco Meeting Server
El problema más grave, con CVE-2016-6445, afecta al servicio Extensible Messaging and Presence Protocol (XMPP) de Cisco Meeting Server (CMS) y podría permitir a un atacante remoto sin autenticar acceder al sistema como un usuario legítimo.
Se ven afectadas las versiones de Cisco Meeting Server anteriores a la 2.0.6 con XMPP activo. También afecta a Acano Server anteriores a 1.8.18 y anteriores a 1.9.6 con XMPP activo.
Cisco ha publicado las siguientes versiones actualizadas para los sistemas afectados:

  1. Acano Server 1.8.18
  2. Acano Server 1.9.6
  3. Cisco Meeting Server 2.0.6
Las actualizaciones de firmware pueden descargarse desde Software Center en Cisco.com accediendo a Products > Conferencing > Video Conferencing > Multiparty Conferencing > Meeting Server > Meeting Server 1000 > TelePresence Software.
Vulnerabilidades de gravedad media corregidas

  • Una vulnerabilidad (CVE-2016-6437) en la administración de la caché de sesión SSL de los Cisco Wide Area Application Services (WAAS) podría permitir a un atacante remoto sin autenticar provocar una condición de denegación de servicio (DoS) por un elevado consumo del disco duro.
  • Un problema, con CVE-2016-6440, de falsificación de datos en un iframe de una página web afecta a Cisco Unified Communications Manager (CUCM). Por otra parte, existe una vulnerabilidad (con CVE-2016-6443) de inyección SQL en Cisco Prime Infrastructure y en Evolved Programmable Network Manager SQL.
  • También se ha confirmado una vulnerabilidad (con CVE-2016-6438) en el software Cisco IOS XE en routers Cisco cBR-8 Converged Broadband podría permitir a un atacante remote sin autenticar provocar un cambio en la integridad de la configuración en el dispositivo afectado.
  • Por último, una vulnerabilidad de cross-site request forgery (CSRF) contra la interfaz web de Cisco Finesse (CVE-2016-6442). Este es el único problema para el que no se han publicado actualizaciones.
Más información:
Fuente: Hispasec.com

GOOGLE. Publicación de Chrome 54 y corrige 21 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 54. Se publica la versión 54.0.2840.59 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 21 nuevas vulnerabilidades.
Entre las mejoras incluidas cabe destacar que se prioriza el uso de HTML5 frente a la ejecución de Flash. Algo que se puede hacer especialmente notable en la reproducción de vídeos de YouTube.
Respecto a las vulnerabilidades corregidas, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 21 nuevas vulnerabilidades, solo se facilita información de 13 de ellas (seis de gravedad alta, seis de importancia media y una baja).
Se corrigen vulnerabilidades por cross-site scriptings en Blink y en Bookmarks, un desbordamiento de búfer en Blink y problemas por uso de memoria después de liberar en PDFium, Blink y en Internals. Además también se solucionan falsificaciones de URLs y de la interfaz de usuario, salto de la política de orígenes cruzados en Blink y una lectura fuera de límites en DevTools. Se han asignado los CVE-2016-5181 al CVE-2016-5193.
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-5194). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 29.133,7 dólares en recompensas a los descubridores de los problemas.
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.
Más información:
Fuente: Hispasec.com

VMWARE. Actualización para VMware Horizon View

VMware ha publicado actualizaciones de seguridad para corregir una vulnerabilidad en VMware Horizon View que podría permitir a un atacante acceder a archivos del sistema afectado.
VMware Horizon View es una solución de virtualización de escritorio comercializada por VMware, proporciona capacidades de escritorio remoto a los usuarios que utilizan la tecnología de virtualización de VMware.
Detalle de la vulnerabilidad corregida con la actualización
  • El problema, con CVE-2016-7087, reside en una vulnerabilidad de escalada de directorios (o directorio transversal) en el servidor Horizon View Connection Server. Este tipo de problemas se produce generalmente al no filtrar correctamente cadenas del tipo "..\", permitiendo escapar del propio entorno de trabajo del producto y acceder a otros archivos del sistema.
Recursos afectados
  • Se ven afectadas las versiones VMware Horizon View 5.x, 6.x y 7.x.
Recomendación
VMware ha publicado las siguientes actualizaciones:
Más información:
Fuente: Hispasec.com

VMWARE. Escalada de privilegios en VMware vRealize Operations

VMware ha alertado sobre una vulnerabilidad en vRealize Operations (vROps) que puede ser aprovechada para realizar una escalada de privilegios, catalogada de Importancia:5 - Crítica
Recursos afectados:
  • vRealize Operations 6.3.0
  • vRealize Operations 6.2.1
  • vRealize Operations 6.2.0a
  • vRealize Operations 6.1.0
Detalle e Impacto de la vulnerabilidad
  • vROps contiene una vulnerabilidad de elevación de privilegios, la cual permite a un usuario de vROps con nivel de privilegios bajo obtener acceso total en la aplicación, siendo posible detener o eliminar máquinas virtuales gestionadas por el vCenter.
  • Se ha asignado el identificador CVE-2016-7457.
Recomendación
  • Se recomienda aplicar los parches específicos para cada una de las versiones listados en la web del fabricante.
Más información
Fuente: INCIBE

JUNIPER. Múltiples vulnerabilidades en sus productos

Juniper informa de vulnerabilides que afectan a routers serie E, routers virtuales vMX y a Junos OS, catalogadas Importancia: 4 - Alta
Recursos afectados:
  • Junos OS
  • Routers virtuales vMX
  • Routers serie E con IPv6 activado en JUNOSe
Detalle e Impacto de la vulnerabilidad:
Las vulnerabilidades identificadas se detallan a continuación:
  1. Fuga de información en routers virtuales Juniper vMX. Una inadecuada gestión de permisos posibilita a usuarios locales sin privilegios en el sistema leer imágenes vMX o VPFE y obtener información sensible contenida en ellas como por ejemplo claves criptográficas.
  2. Junos OS. Denegación de servicio con IPv6. Un envío masivo de paquetes IPv6 manipulados puede causar el agotamiento de recursos del dispositivo provocando una denegación de servicio.
  3. Junos OS. Cross Site Scripting con J-Web. Una protección insuficiente contra cross site scripting en Junos OS con J-Web habilitado permite a un usuario remoto sin autenticar inyectar scripts o HTML y robar credenciales o información sensible de una sesión J-Web y realizar acciones administraticas en el dispositivo Junos.
  4. Junos OS. Elevación de privilegios múltiple en Junos CLI. Combinaciones de comandos y argumentos de Junos OS CLI permiten acceder de modo no autorizado al sistema operativo posibilitando elevar privilegios y tomar el control del dispositivo.
  5. JUNOSe. Denegación de servicio por excepción de procesador y reseteo de linea.  El procesado de paquetes IPV6 manipulados puede causar el reseteo de lineas y consiguiente denegación de servicio.
Recomendación:
  • Juniper vMX. Fuga de información. La vulnerabilidad está resuelta en las versiones vMX 14.1R8, 15.1F6, 16.1
  • Junos OS. Denegación de servicio con IPv6 y Cross Site Scripting con J-Web. Las siguientes actualizaciones de software solucionan el problema: Junos OS 12.1X44-D60, 12.1X46-D40, 12.1X47-D30, 12.3R11, 12.3X48-D20, 13.2X51-D39, 13.2X51-D40, 13.3R9, 14.1R6, 14.2R6, 15.1R3, 15.1X49-D20 y16.1R1 y versiones posteriores.
  • Junos OS. Elevación de privilegios múltiple en Junos CLI. Las siguientes actualizaciones de software solucionan el problema: Junos OS 12.1X46-D60, 12.1X47-D45, 12.3R12, 12.3X48-D35, 13.2R9, 13.3R9, 14.1R7, 14.1X53-D40, 14.1X55-D35, 14.2R5, 15.1F4, 15.1R3, 15.1X49-D60, 15.1X53-D70, 16.1R1, y versiones posteriores.
  • JUNOSe. Las siguientes versiones de JUNOSe corrigen la vulnerabilidad: 10.3.3p0-15, 12.3.3p0-6, 13.3.3p0-1, 14.3.2, 15.1.0 y versiones posteriores.
Más información


Fuente: INCIBE

SAP. Actualizaciones de seguridad correspondientes al mes de octubre de 2016

SAP ha publicado su actualización mensual que soluciona 11 vulnerabilidades en diferentes productos, catalogada de Importancia: 4  - Alta
Recursos afectados:
  • Productos de SAP: Consultar portal de soporte.
Recomendación
  • Aplicar los parches distribuidos por SAP. Se recomienda visitar el portal de soporte del fabricante para comprobar los parches necesarios.
Resumen de la actualización
  • SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 actualizaciones, siendo 2 de ellas de criticidad alta, y el resto media. Entre las vulnerabilidades destacan 1 fallo de verificación de autorización, 1 denegación de servicio y 4 relacionadas con XSS o inyección SQL.
  • Falta de controles de autenticación en el servicio de información del servidor de mensajes.
  • Denegación de servicio en SQL Anywhere Odata Server
  • Para conocer el detalle del resto, es necesario visitar el portal de soporte
Más información
Fuente: INCIBE

MICROSOFT. Publica 10 boletines de seguridad y solventa 36 vulnerabilidades

Este martes Microsoft ha publicado 14 boletines de seguridad (del MS16-118 al MS16-127) correspondientes a su ciclo habitual de actualizaciones. 
Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico" mientras que cuatro son "importantes" y un último "moderado". En total se han solucionado 36 vulnerabilidades (algunas de ellas en varios productos), cinco de ellas están consideradas como 0-days y se están explotando en la actualidad. Además se han corregido otras 13 vulnerabilidades adicionales en Flash Player.
Detalle de la actualización
  • Las vulnerabilidades consideradas como 0-days, que se están utilizando en ataques en la actualidad, afectan a Internet Explorer (CVE-2016-3298) con un fallo que podría permitir obtener información del sistema mediante la comprobación de archivos en el disco. Otro 0-day (con CVE-2016-7189) afecta a Edge y reside en el motor de scripting del navegador. Con CVE-2016-3393 otra vulnerabilidad que se está utilizando en la actualidad afecta a Microsoft Windows Graphics Component (boletín MS16-120) por la forma en que Windows GDI trata objetos en memoria y podría permitir a los atacantes tomar el control del sistema.
  • Otras dos vulnerabilidades 0-day afectan a Office (MS16-121) por el tratamiento de archivos RTF y a la API Microsoft Internet Messaging (MS16-126) y afecta a Vista, Windows 7 y Windows 2008.
Los boletines publicados son los siguientes:
  1. MS16-119: Boletín "crítico" que incluye la también habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan 13 vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2016-3267, CVE-2016-3331, CVE-2016-3382, CVE-2016-3386, CVE-2016-3387, CVE-2016-3388, CVE-2016-3389, CVE-2016-3390, CVE-2016-3391, CVE-2016-3392, CVE-2016-7189, CVE-2016-7190 y CVE-2016-7194).
  2. MS16-120: Boletín "crítico" destinado a corregir siete vulnerabilidades en Microsoft Graphics Component, que podrían permitir la ejecución remota de código si se abre un documento o web específicamente creada. Afectan a Microsoft Windows, Microsoft Office, Skype for Business, Silverlight y Microsoft Lync. (CVE-2016-3209, CVE-2016-3262, CVE-2016-3263, CVE-2016-3270, CVE-2016-3393, CVE-2016-3396 y CVE-2016-7182).
  3. MS16-121: Boletín "importante" que soluciona una vulnerabilidad 0-day que podría permitir la ejecución remota de código si se abre con Microsoft Office un archivo RTF específicamente creado (CVE-2016-7193).
  4. MS16-122: Boletín "crítico" que resuelve una vulnerabilidad (CVE-2016-0142) en Microsoft Windows que podría permitir la ejecución remota de código si Microsoft Video Control falla al tratar adecuadamente objetos en memoria.
  5. MS16-123: Boletín de carácter "importante" destinado a corregir cinco vulnerabilidades en los controladores modo kernel de Microsoft Windows, la más grave podría permitir la elevación de privilegios si un usuario ejecuta una aplicación específicamente creada (CVE-2016-3266, CVE-2016-3341, CVE-2016-3376, CVE-2016-7185 y CVE-2016-7191).
  6. MS16-124: Actualización considerada "importante" destinada a corregir cuatro vulnerabilidades de elevación de privilegios si un atacante acceder a información sensible del registro (CVE-2016-0070, CVE-2016-0073, CVE-2016-0075 y CVE-2016-0079).
  7. MS16-125: Boletín considerado "importante" que resuelve una vulnerabilidad en el servicio Windows Diagnostics Hub Standard Collector Service que podría permitir la elevación de privilegios en sistemas Windows (CVE-2016-7188).
  8. MS16-126: Destinado a corregir una vulnerabilidad de gravedad "moderada", pero que se está explotando en la actualidad, que podría permitir obtener información sensible cuando la API Microsoft Internet Messaging maneja inadecuadamente objetos en memoria (CVE-2016-3298). Afecta a Windows Vista, Windows 7 y Windows 2008.
  9. MS16-127: Como ya es habitual, Microsoft publica un boletín para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. Se trata de un boletín "crítico" que en esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows 8.1 y Windows 10; correspondientes al boletín APSB16-32 de Adobe.
Recomendación
  • Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Fuente: Hispasec.com

ADOBE. Actualizaciones para Flash Player, Reader, Acrobat, y Creative Cloud Desktop Application

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 12 vulnerabilidades en Flash Player, 71 en Adobe Acrobat y Reader y una en Creative Cloud Desktop Application.
Flash Player
  • El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB16-32 que soluciona 12 vulnerabilidades. Los problemas incluyen ocho vulnerabilidades de corrupción de memoria, una de confusión de tipos y dos por uso de memoria después de liberarla. Todas ellas podrían permitir la ejecución de código. Por otra parte, otro problema de salto de medidas de seguridad. Los CVE asignados son CVE-2016-4273, CVE-2016-4286, CVE-2016-6981 al CVE-2016-6987, CVE-2016-6989, CVE-2016-6990 y CVE-2016-6992.
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  1. Flash Player Desktop Runtime 23.0.0.185
  2. Flash Player Extended Support Release 18.0.0.382
  3. Flash Player para Linux 11.2.202.637
  4. Igualmente se ha publicado la versión 23.0.0.185 de Flash Player para navegadores Internet Explorer, Edge y Chrome.
Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde:
Para actualizar Adobe Flash Player para Linux:
Adobe Reader y Acrobat
  • Compartiendo protagonismo con el boletín para Flash, también publica actualizaciones para Adobe Reader y Acrobat (boletín APSB16-33). Se han solucionado 71 vulnerabilidades que afectan a las versiones 15.017.20053 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30201 (y anteriores) de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.17 (y anteriores) para Windows y Macintosh.
  • Esta actualización soluciona un desbordamiento de entero, 46 problemas de corrupción de memoria, 20 vulnerabilidades de uso de memoria después de liberarla y un desbordamiento de búfer; todos ellos podrían permitir la ejecución de código. También se resuelven varios métodos para evitar restricciones de ejecución en la API Javascript y otro problema de salto de medidas de seguridad.
  • Los CVE asociados son: CVE-2016-1089, CVE-2016-1091, CVE-2016-6939 al CVE-2016-6979, CVE-2016-6988 y CVE-2016-6993 al CVE-2016-7019.
  • Adobe ha publicado las versiones 11.0.18 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 15.020.20039 y Acrobat DC y Reader DC Classic 15.006.30243; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
Creative Cloud Desktop Application
  • Por último, una actualización de seguridad para Creative Cloud Desktop Application que soluciona una vulnerabilidad de ruta de búsqueda sin comillas (CVE-2016-6935). Esto podría provocar el acceso a recursos en una ruta superior, posibilitando una escalada de privilegios local.
Más información:
Fuente: Hispasec.com

ORDINAFF. Nuevo troyano bancario relacionado con Carbanak

Los responsables de Carbanak vuelven a la carga, en esta ocasión con otro troyano bancario del que esperan obtener resultados anteriores que con su predecesor. Ordinaff es la nueva amenaza detectada y que buscará sobre todo afectar a entidades bancarias. El anterior consiguió más de 100 millones de dólares en dos años, por lo que alcanzar y superar esa cifra será todo un reto.
Lo hizo entre los años 2013 y 2014 y afectó a varias entidades bancarias a lo largo de todo el mundo. Antes afectar a los usuarios era algo importante. Sin embargo, los ciberdelincuentes se han percatado que no merece la pena centrar sus esfuerzos en los usuarios, sobre todo porque en el seno de las entidades existen equipos igual o más vulnerables, de ahí que ahora busquen atacar las infraestructuras de las entidades de forma directa.
Expertos en seguridad ya avistaron la amenaza el pasado mes de enero, aunque desde entonces su impacto ha sido nulo. Desde las empresas de seguridad se intenta dar una explicación a esta publicación prematura sin apenas repercusión que es frecuente entre los propietarios de amenazas. Se cree que se trata de una primera versión que carece de funcionalidad completa, permitiendo tantear de esta forma la reacción de las herramientas de seguridad.
Ordinaff, un troyano bancario que permite el control total del equipo infectado
  • Estas amenazas destacan por permitir cierto control sobre el dispositivo infectado. Sin embargo, en esta ocasión podría decirse que nos encontramos ante una puerta trasera, ya que también permite el control sobre el sistema de ficheros del dispositivo afectado. De esta forma el ciberdelincuente no pierde ningún detalle y es capaz de optimizar la infección y sacar de esta el máximo partido. Al tratarse de equipos que poseen software bancario instalado, el manejo de información importante es constante.
Se reutiliza la infraestructura de Carbanak
  • Los expertos en seguridad han confirmado tras varias semanas de investigación que la infraestructura actual se trata de una herencia de la anterior amenaza. Siempre se dice que si algo funciona bien lo mejor es no hacer cambios y esto es lo que se ha hecho por el momento.
  • Con respecto a cuáles podrían ser las entidades bancarias afectadas, por el momento se cree que la hoja de rutas marcada también sería heredada, probando con bancos asiáticos, en Reino Unido, Australia o Estados Unidos, listado que le permitía a Carbanak alcanzar la cifra que mencionamos al comienzo.
Fuente: Softpedia

DXXD. Este ransomware utiliza el sistema de notificaciones de Windows

Expertos en seguridad han detectado un nuevo ransomware, conocido como DXXD y que posee como particularidad que recurre al sistema de notificaciones de los sistemas operativos Windows para alertar al usuario de lo que está sucediendo con los archivos del equipo.
Esta pantalla hace acto de presencia cuando el usuario inicia sesión en el equipo y en ella se ofrece información muy diversa. Es algo cuanto menos curioso, ya que en vez de recurrir al fondo de escritorio o al documento de texto utilizado por otras amenazas esta es capaz de modificar el contenido de esta para que el usuario se percate de lo que está sucediendo con su equipo cuando inicie la próxima vez sesión.
DXXD sí permite el reinicio del mismo, ya que a diferencia de otras que cifran incluso los archivos de la carpeta Windows, se limita única y exclusivamente a las carpetas personales. O lo que es lo mismo, se centra en aquellas donde sabe que pueden albergar archivos de los usuarios.
Volviendo de nuevo a la pantalla de notificaciones, ya se sabe que para que un malware tenga efecto primero se debe ejecutar, y esto es algo difícil de conseguir por parte de los ciberdelincuentes. Expertos en seguridad añaden que en la pantalla existe un botón que permite al usuario visualizar su escritorio, pero esta no es la única finalidad del mismo. Al pulsar este botón se produce la ejecución de la amenaza y el posterior cifrado de la información, por lo que visto de otra forma, los ciberdelincuentes han sido hábiles.
A la hora de cifrar los archivos, el ransomware lo único que hace es añadir a la extensión real del archivo la ristra de caracteres “dxxd”, o lo que es lo mismo, el nombre de la amenaza.
DXXD se crackeo pero ya existe una nueva versión
  • Los expertos en seguridad consiguieron sin mucho esfuerzo desbloquear los archivos afectados, algo que propició la llegada de una segunda versión que por el momento se resiste a liberar los documentos afectados. Los propios investigadores opinan al respecto y creen que la versión 1.0 se trataba de algo temporal y que se utilizo como baremo del funcionamiento de la misma, pasando posteriormente a lanzar la segunda, mucho más elaborada y sin problemas de funcionamiento, al menos de forma evidente.
Fuente: Softpedia

OFFENSIVEWARE. Un keylogger y algo más

Ahora el mercado se orienta más a la producción de malware de forma masiva para ponerlo a la venta (conocido como MaaS). OffensiveWare es un kit que se está vendiendo en el mercado negro y que no solo está equipado con un keylogger.
Esta pieza software podría decir que es la más sencilla entre las incluidas. Comenzó su distribución a mediados del pasado mes de agosto y desde entonces sus ventas no han hecho nada más que crecer, a pesar de existir varias vulnerabilidades. De entrada se está ofreciendo un keylogger y un software que permite tomar capturas de pantalla de forma opcional por un valor próximo a los 80 dólares. Son tres las variantes existentes de la amenaza partiendo de 49 y terminando en unos 290 dólares, muy a tener en cuenta.
Para promocionar el producto, además de los foros clásicos de este tipo de software en el lado oscuro de Internet, el propietario ha recurrido a varios vídeos de Youtube, mostrando cuáles son habilidades de este software. Es decir, despertando el interés de los usuarios.
Expertos en seguridad han tenido acceso a la herramienta y han comprobado que con ella se pueden crear varios tipos de archivos que posteriormente se adjuntarán en cuentas de correo electrónico o se publicarán en páginas web para que los usuarios los descarguen.
Pero los investigadores han detectado algo que les ha llamado la atención. Los ciberdelincuentes por el momento están utilizando una infraestructura muy pobre y la mayoría de los elementos (por no decir todos) cuelgan del mismo servidor del que se conoce la IP. Un simple ataque de denegación de servicio provocaría el caos a la hora de distribuir la amenaza y generar archivos haciendo uso de la misma.
Una prueba de esto es que se están sirviendo de servicios como Skype o HackForums para dar a conocer su herramienta, algo de lo que se han percatado algunos usuarios.
Fuente: Softpedia

STRONGPITY. Malware distribuido a través de instaladores falsos de WinRAR y TrueCrypt

Los investigadores de Kaspersky han localizado una amenaza conocida con el nombre de StrongPity que se está distribuyendo utilizando instaladores de dos software muy conocidos: WinRAR y TrueCrypt. Se ha encontrado en páginas web falsas y otros de descarga de software donde no se verifica el contenido de los instaladores.
Por este tipo de cosas se recomienda recurrir siempre a las páginas oficiales del producto software y prescindir de otras páginas, aunque en estas se ofrezcan productos de pago de forma totalmente gratuita, ya que muchas veces aquí es donde encontramos la trampa.
En esta ocasión han sido las herramientas mencionadas con anterioridad las escogidas por los ciberdelincuentes para distribuir esta amenaza que algunos expertos en seguridad ya han tenido la oportunidad de probar y así obtener las primeras conclusiones.
De entrada desde Kaspersky han detectado sitios web falsos de ambas herramientas que están distribuyendo estos instaladores, confundiendo a los usuarios que solo acceden a las páginas ofrecidas por los buscadores que aparecen entre los primeros resultados. Pero también juegan un papel importante las redes sociales. Este lugar es el que en realidad se está utilizando para anunciar estas páginas web.
StrongPity ofrece la posibilidad de controlar el equipo y robar los datos almacenados
  • Los ciberdelincuentes han querido crear una mezcla entre una puerta trasera y un troyano, y parece que lo han conseguido con mucha solvencia. Además de permitir el acceso remoto y el control de las acciones llevadas a cabo en el dispositivo Windows infectado este permite el acceso a los volúmenes de almacenamiento conectados, incluidas las extraíbles.
  • Por el momento solo se han utilizado estos dos software, pero siempre puede dar pie a crear instaladores o sitios web que simulen pertenecer a otros servicios, ya que esto es una práctica muy habitual que podemos encontrar en servicios de descarga, sobre todo torrents, donde resulta bastante habitual camuflar malware en los crack o generadores de números de serie de los productos.
  • Para evitar este tipo de estafas, si accedemos a un página a través de un enlace antes de rellenar cualquier cuestionario o descargar aplicación lo mejor es comprobar la dirección en la barra superior del navegador web y asegurarnos de que nos encontramos en la web legítima y no es una copia.
  • Desde Kasperksy indican que la amenaza es detecta de forma satisfactoria por las herramientas de seguridad actuales, por lo que conviene en primer lugar disponer de una instalada y activa, y que además se encuentre actualizada correctamente.
Fuente: Neowin