1 de mayo de 2017

CIBERSEGURIDAD. Enigma de Israel propuesto para reclutamiento de 'cerebros'

Solo seis personas, de un total de 60.000 que lo han intentado, han resuelto una adivinanza del servicio secreto Shabak para reclutar a nuevos talentos en sus departamentos de seguridad cibernética, informa hoy el diario Yediot Aharonot.
La adivinanza, difundida hace tres días a los israelíes por medios de comunicación, redes sociales y mensajes, instaba a resolver un enigma cuyo único objetivo era buscar a expertos en informática en los niveles de "investigación" y "desarrollo".
La segunda categoría a examen, contenida dentro del mismo vídeo, la han superado 20 personas.
Visto por 200.000 personas
  • El vídeo, que retaba a los internautas con la pregunta de "¿Eres lo suficientemente bueno?", fue visto por unas 200.000 personas bajo el eslogan de: "Nuestra contraseña (también 'eslogan') es: una inteligencia que cruza fronteras".
  • El modelo de adivinanzas y enigmas informáticos para reclutar agentes fue usado por primera vez el año pasado por el servicio de espionaje Mosad, aunque en este caso la dificultad era aún mayor, coinciden en señalar los principales medios.
  • El enigma del Shabak fue presentado de forma progresiva, de forma que al principio era fácil acceder a las distintas fases pero conforme se avanzaba se iba complicando.
  • El Shabak es uno de los organismos responsables de garantizar la seguridad en el ciberespacio israelí, y en los próximos años un 25 por ciento de su personal se dedicará a esta misión.
  • Distintos informes en los últimos años aseguran que Israel sufre a diario miles de ataques cibernéticos.
Fuente: El Economista.es

GOOGLE Y FACEBOOK. Estafadas por US$100 millones mediante phishing

Investigación realizada por Fortune revela detalles de una sistemática estafa realizada entre 2013 y 2015, donde un delincuente lituano utilizó tácticas de phishing, suplantación y falsificación para obtener pagos de Google y Facebook por un importe cercano a los 100 millones de dólares.
La información, publicada en exclusiva por Fortune el 27 de abril, indica que un sujeto lituano identificado como Evaldas Rimasauskas, de 48 años de edad, enfrenta en su país una solicitud de extradición presentada por Estados Unidos, bajo cargos de fraude, lavado de dinero y suplantación de identidad con el fin de estafar a empresas estadounidenses.
El sujeto habría falsificado facturas, sellos y otra documentación del fabricante taiwanés de productos electrónicos Quanta Computer, que en su lista de clientes incluye a Facebook, Google y Apple.
La investigación de Fortune habría revelado el nombre de las empresas afectadas, información que había sido mantenido en reserva por las autoridades estadounidenses. Hasta ahora, el Departamento de Justicia de Estados Unidos se había limitado a señalar que una de las víctimas era “una compañía tecnológica multinacional, especializada en servicios y productos relacionados con Internet”, y la segunda “una corporación multinacional que proporciona servicios de redes sociales”.
Según Fortune, las empresas estafadas por Rimasauskas mediante el envío de facturas falsas fueron Google y Facebook. En una declaración pública, Facebook comentó: “hemos recuperado la mayor parte de los fondos poco después de ocurrido el incidente, aparte de haber estado cooperando con la investigación judicial. Un portavoz de Google, por su parte, confirmó la información de Fortune, declarando: “detectamos este fraude perpetrado contra nuestro equipo de gestión de ventas, alertando rápidamente a las autoridades. Hemos recuperado los fondos y nos complace que la situación haya sido resuelta”.
Fortune cuestiona la reserva aplicada al caso, recordando que la legislación estadounidense obliga a las empresas a informar a sus inversores sobre “incidentes relevantes” en que se vean involucradas. Al respecto, comenta que un fraude por decenas de millones de dólares entra indudablemente en esa categoría. La publicación indica que hasta ahora Google ni Facebook han informado a sus inversores sobre el fraude del que fueron víctimas.
Luego precisa, sin embargo, que esta omisión no constituye en sí una infracción. “Mientras que un fraude por US$ 100 millones significaría un golpe enorme para la mayoría de las empresas, para el caso de gigantes como Facebook y Google una pérdida así apenas rozaría sus cuentas, especialmente si las autoridades recuperaron parte del dinero”.
Con todo, a juicio de Mary Jo White, ex directora de la SEC [Comisión de Valores y Cambio], indicó que el “incidente relevante” no sólo radica en la pérdida financiera sino en la posibilidad de perjuicio en la reputación de las empresas, debido a las implicaciones que tiene en cuanto al control interno de sus propios recursos. Facebook y Google optaron por no comentar este punto, aunque fuentes cercanas a ambas empresas señalaron que el fraude perpetrado por Rimasauskas no entra en la categoría de incidente relevante, dado el importe real estafado.
Por su parte, fuentes policiales cercanas a la investigación señalaron a Fortune que el Departamento de Justicia nombrará a las empresas afectadas cuando Rimasauskas enfrente formalmente en Estados Unidos los cargos que enfrenta. Actualmente, el sospechoso se encuentra detenido en Lituania mientras se resuelve la solicitud de extradición presentada por Estados Unidos.
El abogado de Rimasauskas, en tanto, se opone a la extradición señalando que este no tendrá un juicio justo en Estados Unidos. Denunció además lo que calificó de tácticas intimidatorias utilizadas por el FBI durante los interrogatorios, junto con la confiscación de las computadoras de su cliente, “sin que este, su propietario, haya estado presente”.
Fuente: Diarioti.com

EEUU.. China podría haber vulnerado correos electrónicos de demócratas

El presidente de Estados Unidos, Donald Trump, dijo que China podría haber accedido ilegalmente a correos electrónicos de funcionarios demócratas para interferir en la elección presidencial de 2016, en contra de la opinión de autoridades de inteligencia que han dicho que Moscú realizó los ataques.
En una transcripción de una entrevista publicada el domingo, Trump no entregó evidencias que respalden su posición, expresada por primera vez en la antesala de las elecciones del 8 de noviembre, de que China intervino los correos de sus rivales.
"Si no atrapas a un 'hacker' en el acto, es muy difícil decir quien lo hizo", aseguró el presidente en una entrevista con CBS. "Podría haber sido China, podrían haber sido muchos grupos diferentes", agregó.
Los piratas informáticos enturbiaron la campaña presidencial al publicar correos electrónico embarazosos enviados por operadores demócratas y asesores de la candidata presidencial del partido, Hillary Clinton. Un email mostró a líderes del partido favoreciendo a Clinton sobre su rival en la campaña interna demócrata.
Trump le ha dado poca importancia a las declaraciones de funcionarios de inteligencia que han dicho que Moscú intervino los correos electrónicos para ayudar al actual presidente a ganar las elecciones. Durante un debate del 26 de septiembre con Clinton, Trump dijo que China era uno de los muchos actores que podrían estar detrás de los ataques informáticos.
Como Rusia, China es un antiguo adversario de Estados Unidos en lo que se refiere a ciberseguridad. En las últimas semanas, Trump ha suavizado sus críticas a las políticas comerciales del gigante asiático, en momentos en que Washington busca el respaldo de Pekín para reducir las tensiones con Corea del Norte.
Antes de ser electo presidente, Trump prometió mejorar las relaciones diplomáticas con Moscú. Rusia ha negado estar involucrada en los ataques informáticos.
Fuente: Reuters

CIBERATAQUES. Los ataques con exploits contra empresas aumentaron en más de un 28% en 2016

En 2016 se registraron cerca de 702 millones de intentos de lanzar exploits, malware que aprovecha los errores en el software para infectar dispositivos con códigos maliciosos, como troyanos bancarios o ransomware.
Lo anterior representa un crecimiento del 24,54% respecto a 2015, año en el que las tecnologías de protección de Kaspersky Lab bloquearon más de 563 millones de intentos. El creciente uso de exploits es una de las principales revelaciones del estudio “Ataques con exploits: de las amenazas diarias a las campañas dirigidas”, elaborado por los expertos de Kaspersky Lab para evaluar los niveles de amenaza que los exploits plantean a los usuarios particulares y a las organizaciones.
Los ataques realizados con la ayuda de exploits se encuentran entre los más efectivos, pues normalmente no necesitan de ninguna interacción con los usuarios y pueden depositar su código sin que se llegue a sospechar nada. Estas herramientas son utilizadas tanto por cibercriminales buscando apropiarse de fondos de usuarios particulares y empresas, como por actores de ataques dirigidos sofisticados en busca de información sensible.
En 2016, el número de compañías y organizaciones que tuvieron que enfrentarse a este tipo de ataques aumentó. El número de usuarios corporativos atacados por exploits creció un 28,35%, hasta superar los 690.000, lo que representa un 15,76% de todos los usuarios atacados con exploits.
Otros datos del informe:
  • Buscadores, Windows OS, Android OS y Microsoft Office se encuentran entre los más atacadas, con un 69,8% de los usuarios encontrándose un exploit para alguno de ellos al menos una vez en 2016.
  • Exploits con el conocido “Stuxnet vulnerability” (CVE-2010-2568) todavía están a la cabeza en cuanto a usuarios atacados. Uno de cada cuatro usuarios que se encontraron en 2016 con un exploit, estuvieron frente a esta amenaza.
  • En 2016, más de 297.000 usuarios en todo el mundo fueron víctimas de exploits desconocidos, como exploits tipo día cero o exploits conocidos pero muy bien escondidos, un aumento del 7% sobre 2015. El precio de mercado para exploits antes desconocidos puede alcanzar decenas de miles de dólares, y los suelen utilizar sofisticados actores contra objetivos de alto nivel. Estos ataques fueron bloqueados por la tecnología de prevención automática para exploits, creada por Kaspersky Lab y especialmente dirigida para la búsqueda de esas amenazas sofisticadas.
  • Entre los años 2010 y 2016 se utilizaron más de 70 vulnerabilidades diferentes. Cerca de dos tercios de estas fueron utilizadas una y varias veces por más de un actor de riesgo.
Curiosamente, a pesar del creciente número de ataques utilizando exploits y de usuarios corporativos atacados por este medio, el número de usuarios privados atacados se redujo en un 20%, desde los 5,4 millones en 2015 a 4,3 millones en 2016.
De acuerdo con los analistas de Kaspersky Lab, una posible razón para esta disminución puede ser la reducción en el número de fuentes de los exploits. En 2016 los kits de grandes y populares exploits, como Neutrino y Angler, dejaron el mercado clandestino.
Esto ha afectado, muy significativamente, al panorama de amenazas desde el momento en el que los grupos cibercriminales han perdido aparentemente su capacidad de difundir el malware. Otra razón es la rápida reacción de los proveedores de software ante los problemas de seguridad identificados. Como resultado, ahora es mucho más complicado para los cibercriminales desarrollar y dar soporte a un kit de exploit efectivo y, al mismo tiempo, ser rentables. Sin embargo, esto no sucede cuando hablamos de ataques contra organizaciones.
“Tomando como base nuestras estadísticas de detección y las observaciones de la actividad de los actores de ataques dirigidos, vemos que los grupos profesionales de ciberespionaje disponen de recursos económicos y conocimientos para desarrollar y distribuir exploits sofisticados. La filtración de herramientas maliciosas supuestamente utilizadas por el grupo Equation, es un claro ejemplo. Para que los actores maliciosos no tengan éxito, recomendamos a los usuarios, especialmente a los corporativos, que implementen mejores prácticas de seguridad en internet y que protejan sus equipos, dispositivos móviles y redes utilizando herramientas efectivas y probadas de protección”, afirma Alexander Liskin, experto en seguridad de Kaspersky Lab.
Para proteger mejor los datos privados personales o profesionales de ataques a través de exploits de software, los expertos de Kaspersky Lab recomiendan:
  1. Mantener actualizado el software instalado en el PC, activando la funcionalidad de actualización automática si está disponible.
  2. Cuando sea posible, elegir un fabricante de software responsable con el problema de las vulnerabilidades. Comprobar si ese fabricante de software cuenta con su propio programa de recompensas de errores.
  3. Si es responsable de la gestión de una red de ordenadores, utiliza soluciones de gestión de parches que permitan una actualización centralizada de todos los puntos finales bajo su control.
  4. Realiza regularmente análisis de seguridad sobre la infraestructura TI de la empresa.
  5. Forma al personal de la empresa en ingeniería social pues se suele utilizar para con seguir que la víctima abra un documento o un enlace infectado con un exploit.
  6. Utiliza soluciones de seguridad equipadas con mecanismos de prevención de exploits o, al menos, con tecnología de detección basada en conductas.
  7. Dar preferencias a fabricantes que implementen un acercamiento de protección multicapa contra ciberamenazas, incluidos exploits.
Fuente: Diarioti.com

FOXCONN. Negociaciones con Estados Unidos para realizar una megainversión tecnológica

La gigante taiwanesa Foxconn -llamada en la isla Hon Hai Precision Industry Co.-, fabricante de los iPhones de Apple, anunció que está en negociaciones con el gobierno de Estados Unido para realizar fuertes inversiones tecnológicas.
La mayor fabricante mundial de productos electrónicos para marcas internacionales dijo en un comunicado que estaba estudiando una importante expansión en Estados Unidos.
Foxconn Technology Group agradeció a la Oficina de Innovación Americana de la Casa Blanca, creada por el yerno del presidente Donald Trump, Jared Kushner, sus esfuerzos para allanar el camino para las negociaciones de la compañía con el gobierno estadounidense sobre posibles inversiones.
Esta declaración sigue a dos visitas en dos días del presidente de Foxconn, Terry Gou, a la Casa Blanca. El viernes, Gou, cerca de la Casa Blanca, dijo a los medios que Hon Hai planeaba hacer una "inversión de capital intensivo" en el mercado estadounidense.
"Estamos planeando una serie de inversiones en América. Este proyecto incluirá inversión intensiva en capital y mano de obra calificada y alta tecnología", dijo Gou.
Medios en Taiwán aseguran que Gou, acompañado por una delegación que incluye al vicepresidente de Foxconn, Tai Jeng-wu, que es también presidente de la japonesa Sharp Corp. en la que Foxconn tiene una participación de dos tercios, visitó la Casa Blanca y se reunió con Trump.
Foxconn, a finales de enero, dijo que si sus clientes como Apple cooperan, podría realizar una inversión en Estados Unidos de más de 7.000 millones de dólares.
La empresa taiwanesa tiene instalaciones manufactureras en China con más de un millón de empleados.
Fuente: El Economista.es

AMAZON PAY. Disponible ahora también en España

El sistema de Amazon para realizar pagos en sitios web de terceros, Amazon Pay, ya está disponible en España. Este método nos permitirá pagar directamente en cualquiera página web con las claves de Amazon España; solo nos harán falta el usuario y la contraseña de nuestro perfil en la plataforma para, por ejemplo, pagar un billete de avión en Vueling. Así de simple. Operación que podremos hacer hasta en 50 tiendas online.
Con Amazon Pay podremos comprar cualquier producto fuera de la plataforma de Amazon de forma segura. Se trata de un sistema con un funcionamiento muy similar al de PayPal y que en ninguno de los casos sustituye a los bancos. Básicamente, lo que Amazon nos está ofreciendo con este nuevo servicio es más seguridad a la hora de comprar online, ya que el sistema intermedia entre el consumidor y la web final, de forma que solo Amazon tiene acceso a nuestros datos bancarios, nunca la web de terceros. A esto hay que sumarle la comodidad y rapidez que puede aportarnos el no tener que estar introduciendo nuestros datos bancarios cada vez que compramos algo por Internet.
Este nuevo sistema de intermediación está dirigido principalmente a los consumidores que ya confían en Amazon y que compran en su plataforma. El objetivo del gigante norteamericano es que los usuarios pueden realizar más rápido los pagos, pero siempre de forma segura, y, en definitiva, hacer más sencillo el proceso de compra online. Ahora, el sistema, que ya estaba disponible en más de 170 países, entre ellos Estados Unidos, Alemania o India, acaba de llegar a España. Con este lanzamiento espera añadir más clientes a los ya más de 33 millones que el servicio tiene en todo el mundo.
TODO LO QUE DEBES SABER
  • Si te animas a utilizar Amazon Pay debes de saber que, además de los datos bancarios, el sistema puede ofrecerle a las páginas externas, si fuese necesario, otro tipo de datos a los sitios en los que vayas a comprar. Esto lo hará en caso de que el sitio en cuestión necesite tus datos para enviarte los productos comprados a tu casa. De esta forma también ahorrarás tiempo.
  • Pero para poder usar Amazon Pay en sitios web de terceros será imprescindible que dichos sitios tengan integrado Amazon Pay; incluso en sitios que son competencia directa de Amazon. Y es que lo que pretende la compañía es que la mayoría de pagos online pase por su sistema, aunque no sean compras directas en su sitio web.
FUNCIONAMIENTO DE AMAZON PAY
  • El funcionamiento de este sistema de intermediación es muy parecido al de PayPal. Como decíamos más arriba, solo Amazon Pay conocerá nuestros datos bancarios, nunca los sitios de terceros, y solo les dará nuestro nombre y dirección de envío si fuese necesario. La compañía de comercio electrónico garantiza total seguridad a la hora de realizar pagos y asegura que, además de la protección que reciben los consumidores, también ofrece protección para los vendedores. Del mismo modo, Amazon Pay tampoco recibirá datos de los vendedores respecto a la actividad que sus usuarios realicen en páginas de terceros.
  • Amazon, que lleva cinco años y medio en España, sigue creciendo a pasos agigantados en nuestro país. Desde el año pasado los españoles usuarios de Prime (pagan 9,99 euros al año para tener envíos sin coste y otras ofertas.) tienen acceso de forma totalmente gratuita a Amazon Prime Video. Además, en este 2017, abrirá un nuevo centro logístico en Barcelona que, junto con el de Madrid, será uno de los más importantes del sur de Europa.
Fuente: Europa Press

ITALIA. Amazon acusada de evadir 130 millones de euros en impuestos.

De acuerdo con un medio italiano, la empresa de ventas por internet evadió impuestos por 130 millones de euros entre 2009 y 2014.
El dato sobre la evasión fiscal de Amazon emergió tras una indagación abierta por la fiscalía de Milán en 2016 contra un mánager de su filial en Luxembugo.
Amazon, el coloso estadounidense del comercio por internet, es acusado de haber evadido impuestos por 130 millones de euros en Italia entre 2009 y 2014, informó este viernes la edición digital del diario La Repubblica.
La edición aseguró que la Guardia de Finanzas -la policía militar y fiscal- ha establecido que entre esos años Amazon tuvo un giro de negocios por 2,500 millones de euros.
El reporte se da un día despúes de que la firma reportara ganancias de 724 millones de pesos en el primer trimestre del año.
El montante de la evasión por el que se acusa a Amazon es inferior respecto al que es imputado en el país europeo a Apple y Google, que alcanzaron sendos acuerdos con el fisco italiano para cerrar los respectivos contenciosos.
La primera pagó en 2015 un total de 318 millones de euros al erario del país europeo, que inicialmente la había acusado de evadir más de 800 millones.
Google, por su parte, fue acusada de no haber pagado 300 millones de impuestos entre 2009 y 2013 y a inicios de este año alcanzó un acuerdo para pagar 150 millones.
Aparentemente el dato sobre la evasión fiscal de Amazon emergió tras una indagación abierta por la fiscalía de Milán en 2016 contra un manager de su filial en Luxembugo.
Según los fiscales, la sociedad de comercio por internet habría contabilizado en ese país las ganancias obtenidas en Italia para evitar pagar al fisco.
Fuente: Expansion.mx

FORTINET FORTIMAIL . Vulnerabilidad de Cross-Site Scripting

Se ha confirmado una vulnerabilidad en Fortinet FortiMail que podría permitir a un atacante remoto sin autenticar construir ataques de cross-site scripting.
FortiMail es una solución de gateway de correo que proporciona una respuesta unificada a ataques entrantes. Se ofrece como hardware, dispositivo virtual o servicio basado en la nube. Entre sus características se incluyen antispam, antiphishing, anti-malware, sandboxing, prevención de fuga de datos, cifrado basado en identidades y archivo de mensajes.
La vulnerabilidad fue reportada por Ebrahim Hegazy
Got #CVE-2017-3125 for my latest #FortiMail #0day that allows Email Takeover. pic.twitter.com/C1RZW8R2xK
— Ebrahim Hegazy (@Zigoo0) 23 de enero de 2017
Recursos afectados
  • Se ven afectadas las versiones FortiMail 5.0.0 a 5.2.9 y 5.3.0 a 5.3.8. Fortinet ha publicado la versión FortiMail 5.3.9 destinada a corregir la vulnerabilidad.
Detalle de la vulnerabilidad
  • Como es habitual en este tipo de ataques el problema (con CVE-2017-3125) reside en un filtrado inadecuado de los datos antes de ser devueltos al usuario. Lo que podría facilitar a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script en el contexto de seguridad del navegador de la víctima autenticada en FortiMail.
  • Al igual que todo este tipo de ataques podría permitir acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Más información:
·        Unauthenticated XSS (Cross Site Scripting) in FortiMail http://fortiguard.com/psirt/FG-IR-17-011
Fuente: Hispasec

TREND MICRO. Corregidas dos vulnerabilidades en OfficeScan

Se han anunciado dos vulnerabilidades en Trend Micro OfficeScan 11.0 y XG (12.0) que podrían permitir a un atacante remoto construir ataques de cross-site scripting o de elevación de privilegios. 
Trend Micro OfficeScan ofrece protección frente a amenazas en servidores de archivos, PCs, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad in situ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.
Detalle e Impacto de las vulnerabilidades corregidas
  • El primer problema reside en una página web de alerta que se muestra cuando determinados sitios son bloqueados y que puede permitir a un atacante remoto construir ataques de cross-site scripting.
  • Por otra parte, bajo determinadas circunstancias durante operaciones en la consola web se pueden filtrar las contraseñas cifradas de cuentas de usuarios, lo que podría permitir una potencial elevación de privilegios.
Recomendación
Trend Micro ha publicado las actualizaciones XG CP 1352 y 11.0 SP1 CP 6325 disponibles desde:
Más información:
·        SECURITY BULLETIN: Trend Micro OfficeScan (11, XG) Multiple Vulnerabilities https://success.trendmicro.com/solution/1117204
Fuente: Hispasec

ADOBE. Actualización de seguridad para ColdFusion

Adobe ha publicado un boletín de seguridad para anunciar la actualización necesaria para solucionar dos vulnerabilidades importantes en Cold Fusion, un cross-site scripting y una deserialziación en Java.
En el boletín de seguridad APSB17-14 de Adobe, se recoge una actualización para ColdFusion versiones 2016 (Update 3 y anteriores), 11 (Update 11 y anteriores) y 10 (Update 22 y anteriores). Este parche está destinado a corregir una vulnerabilidad de validación de entradas que podría permitir la construcción de ataques cross-site scripting (CVE-2017-3008). Esta actualización también incluye una versión actualizada de Apache BlazeDS para mitigar una deserialización en Java (CVE-2017-3066).
Recomendación
Los usuarios deberían actualizar sus productos conforme instrucciones proporcionadas por Adobe:
·        ColdFusion 2016 (Update 4):https://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-4.html
Más información:
·        Security Update: Hotfixes available for ColdFusion https://helpx.adobe.com/security/products/coldfusion/apsb17-14.html
Fuente: Hispasec

JENKINS. Múltiples vulnerabilidades

Se han publicado varias vulnerabilidades en el software de automatización y despliegue de proyectos Jenkins. Un atacante remoto podría aprovechar estas vulnerabilidades para ejecutar código en la aplicación o para evadir los mecanismos de autenticación, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
·        Todas las versiones de Jenkins hasta la versión 2.56 y Jenkins LTS 2.46.1, ambas incluidas.
Recomendación
·        Se recomienda actualizar a la versión 2.57 de Jenkins y a la 2.46.2 de Jenkins TLS.
Detalle e impacto de las vulnerabilidades
Se han hecho públicas las siguientes vulnerabilidades:
  • SECURITY-412 a través de SECURITY-420: Múltiples vulnerabilidades CSRF (Cross-Site Request Forgery), lo que permitiría a atacantes remotos realizar acciones administrativas engañando a un usuario para abrir una página web manipulada. Se ha reservado el identificador CVE-2017-1000356 para esta vulnerabilidad.
  • SECURITY-429: ejecución remota de código. Un atacante remoto no autenticado podría ejecutar código a través de un objeto serializado de Java "SignedObject" interactuando con el CLI de Jenkins, evadiendo la protección basada en listas negras. Se recomienda a los usuarios no utilizar el CLI de Jenkins y utilizar en su lugar para interacción remota HTTP o SSH. Se ha reservado el identificador CVE-2017-1000353 para esta vulnerabilidad.
  • SECURITY-466: suplantación de usuario en el inicio de sesión. El comando login disponible a través del CLI de Jenkins almacena en cache de manera cifrada el identificador del usuario autenticado. Los usuarios con permisos suficientes para crear valores cifrados pueden hacerse pasar por otro usuario en la misma instancia de Jenkins. Se ha reservado el identificador CVE-2017-1000354 para esta vulnerabilidad.
  • SECURITY-503: fallo en java al instanciar un valor tipo "void". Jenkins utiliza las librerías XStream para manipular XML, y estas librerías son vulnerables a un fallo en java al procesar XML. Esta situación se produce típicamente cuando un usuario con permisos configura o crea tareas. Se ha reservado el identificador CVE-2017-1000355 para esta vulnerabilidad.
Más información
·        Jenkins Security Advisory 2017-04-26 https://jenkins.io/security/advisory/2017-04-26/
Fuente: INCIBE

GOOGLE. Equipará Android O con un sistema antiransomware

Los ransomware son una realidad para los dispositivos móviles y los efectos son los mismo que los de que sufren los usuarios de equipos de escritorio. Los desarrolladores son conscientes de que deben tomar cartas en el asunto y actuar. Google ha sido la primera en mover ficha y ha realizado cambios en las versiones actuales y se esperan algunos más en Android O.
Con respecto a las versiones actuales, desde Mountain View ya han aplicado algunos cambios, que afectan sobre todo al sistema de notificaciones. Es decir, han eliminado tres pop-up que aparecían por encima de cualquier aplicación, sin importar la aplicación que fuese. TYPE_SYSTEM_ALERT, TYPE_SYSTEM_ERROR y TYPE_SYSTEM_OVERLAY se comenzaron a utilizar en los ataques son ransomwares, de ahí que se viesen obligados a tomar la decisión.
El motivo de tomar esta decisión radica en la utilización de estas “ventanas” para otras finalidades. Es decir, que la amenaza consiguiese permisos de administrador y así utilizar el sistema operativo sin ningún tipo de limitación.
Por este motivo, desde Google han dado un puñetazo en la mesa y desde la versión 6.0 este tipo de ventanas ya no están disponibles.
Revisión de los permisos del sistema operativo
  • En primer lugar, desde la compañía estadounidense han querido dar una vuelta de rosca al sistema de permisos. En la actualidad existían dos clases: normal y peligrosos. Mientras el primero hace referencia al acceso funciones básicas del sistema operativo, el segundo le debe ofrecer el usuario a través de una ventana de confirmación. Es el segundo el que se modificado, dando paso a otro adicional que se podría catalogar como “muy peligroso”.
  • Lo que se quiere hacer con esta última categoría es que agrupe todos los aspectos del sistema operativo que se consideran críticos, evitando que una amenaza pueda hacer uso por ejemplo de ellos para conseguir privilegios de administrador.
Android O y cómo será su sistema de defensa contra los ransomware
  • Para cortar de raíz estos problemas, el usuario dispondrá en su poder de una función que permitirá desactivar las alertas y ventanas emergentes de aplicaciones que resulten intrusivas. Es decir, el comportamiento que presentan los ransomware en los dispositivos Android. Desde marzo está disponible una versión beta con esta función que los usuarios pueden activar desde los atajos existentes en el menú superior desplegable.
  • Esto es muy útil. Pero para los expertos en seguridad parece insuficiente y se requiere de la intervención del usuario. Apuntan que se necesita de un sistema de defensa para evitar que el dispositivo se vea afectado por este tipo de amenazas software. Es decir, un sistema de seguridad muy similar a una solución antivirus pero que se encuentre integrado en el sistema operativo Android y que sea transparente para el usuario y que obviamente no se requiera su intervención.
  • Con el lanzamiento de las versiones 7.x del sistema operativo móvil, se mejoró la seguridad en algunos aspectos relacionados con los malware. Por ejemplo, se restringió el cambio de contraseña de acceso al dispositivo para que este no pudiese ser secuestrado por el software malicioso.
Fuente: Bleeping Computer

MICROSOFT EDGE. Una vulnerabilidad permite el robo de cookies y contraseñas

Un experto en seguridad ha descubierto un fallo de seguridad que podría considerarse bastante grave. Permite el robo de las cookies generadas durante la navegación del usuario y también el robo de las contraseñas de acceso introducidas en los diferentes servicios a través de Microsoft Edge.
La vulnerabilidad detectada afecta a SOP (Same Origin Policy), una función del navegador web de los de Redmond que impide que una página web ejecute scripts cargados en otra. El experto en seguridad Manuel Caballero ha sido el encargado de descubrir el problema. Disfruta del descubrimiento de varios fallos de seguridad importantes, tanto en el actual navegador web como en el ya desterrado Internet Explorer.
El fallo de seguridad permite que un atacante pueda ejecutar código de forma remota con la ayuda de URLs y los parámetros, tags pertenecientes a metadatos o páginas web sin dominio, como por ejemplo, about:blank.
Caballero ha logrado aprovecharse de esta vulnerabilidad incluso en sitios web que a simple vista parecen bien programados en lo que se refiere a materia de seguridad. Esto se consigue invitando al usuario a acceder a URL maliciosas.
Por el momento , el fallo de seguridad aún no ha sido resuelto por los de Redmond, permitiendo que los propios usuarios puedan comprobar el funcionamiento de la vulnerabilidad.
La explotación de este fallo de seguridad en Microsoft Edge podría automatizarse
  • Aunque no parezca grave, la realidad es que el ataque puede ofrecer bastante juego a los ciberdelincuentes, sobre todo porque puede afectar a cualquier servicio. Ninguno está a salvo de este fallo de seguridad si se utilizar Microsoft Edge. Facebook, Twitter, Gmail, Amazon, … Cualquier servicio que imaginemos se puede ver comprometido.
  • El motivo por el que esta vulnerabilidad solo afecta al navegador web de Microsoft se debe a que SOP es una particularidad de este navegador web.
  • Los ciberdelincuentes pueden introducir el código en un anuncio en cualquier sitio web. Todos los servicios en los que tenga abierta una sesión (aunque no esté en una ventana o pestaña) son susceptibles de verse afectados por esta vulnerabilidad.
  • Así de fácil, con un simple anuncios se puede llevar a cabo el robo de las cookies de los diferentes servicios web. Pero también las contraseñas de acceso a los mismos.
En las últimas semanas, desde Microsoft ha presumido de rendimiento, pero parece que en materia de seguridad continúan cometiendo los mismos errores que en el pasado. ¿Herencia de Internet Explorer? Nunca se sabe, pero es posible, sobre todo después de reutilizar parte del código de este.
Fuente:  Bleeping Computer

MICROSOFT. No pretende el monopolio de los antivirus en Windows 10

La seguridad por defecto de los sistemas operativos no es la misma que la de hace unos años, y es que los software antivirus son cada vez menos necesarios, especialmente con la llegada de Windows 10 Creators Update, y esto no gusta a las grandes empresas que viven de la seguridad, como Kaspersky, que ven a Windows Defender como una seria amenaza para su negocio.
Windows Defender es el antivirus instalado por defecto en las versiones modernas de Windows. Aunque hace algún tiempo confiar en este antivirus era como no tener software de seguridad instalado, en los últimos meses Microsoft ha trabajado muy duro en mejorar su software de seguridad hasta el punto de que, con la llegada de Windows 10 Creators Update, se ha convertido en una excelente herramienta de seguridad, siendo capaz de proteger a los usuarios de prácticamente cualquier amenaza informática igual, o incluso mejor, según el enfoque que pongamos, que las suites de seguridad profesionales y generando miedo en las empresas de seguridad.
Con el fin de ofrecer la mejor seguridad a los usuarios, Microsoft implementó en su sistema operativo una serie de funciones que impiden que el usuario quede desprotegido en ningún momento. Una de las más polémicas, además de que este software de seguridad esté activado desde el primer momento, es que, si caduca la licencia de un antivirus, el sistema operativo lo desactiva por completo y activa Windows Defender para seguir protegiendo a los usuarios.
Desde que se presentó el pasado mes de noviembre de 2016 el nuevo Windows Defender y estas medidas de seguridad, Microsoft ha sido acusado de monopolio y competencia desleal por las principales empresas de seguridad, siendo incluso amenazado con demandas. Por suerte, la compañía no busca, ni mucho menos, desprestigiar a las grandes empresas de seguridad y, por ello, actualmente se encuentra trabajando en implementar nuevas soluciones que no perjudiquen a estas empresas de seguridad ni tampoco pongan en peligro a los usuarios.
Fuente: Redes Zone.net

Razones para seguir usando un antivirus si actualizas a Windows 10 Creators Update

El pasado 11 de abril, Microsoft inició la difusión de Creators Update, la nueva actualización de su sistema operativo Windows 10. Aunque una de las principales novedades del sistema es su mayor seguridad, en Panda Security entienden que todavía existen razones por las que se recomienda disponer de un antivirus en el equipo.
En la nueva actualización de su sistema operativo, Microsoft ha mejorado las herramientas de seguridad que trae Creators Update de serie: un antivirus, 'firewall', y un sistema detector de 'antiphishing'. No obstante, aunque sí que hacen los equipos más seguros, las novedades están orientadas a mejorar la usabilidad, según afirma la compañía de seguridad.
La falsa sensación de seguridad podría acabar resultando peligrosa y propiciando 'hackeos' masivos. "Si este pensamiento se extiende, los ciberdelincuentes pondrán todo su esfuerzo en encontrar alguna brecha de seguridad en el sistema operativo de Microsoft para atacar al mayor número de equipos posible", según afirma el director de operaciones de Panda Security, Hervé Lambert.
El 'ransomware' es otra de las grandes amenazas para los usuarios de equipos actuales, y eso incluye también a los de Windows 10 Creators Update. A través de 'software' malicioso, los ciberdelincuentes piden rescates económicos a cambio de devolver el control del equipo a su dueño. Los antivirus y suites de seguridad protegen los archivos más importantes de este tipo de ataques.
Las actualizaciones suponen también un aspecto que puede poner en peligro a los usuarios de Creators Update. Según Panda Security, esta versión del sistema operativo no protege adecuadamente a sus usuarios de los PUP, un tipo de 'malware' que genera anuncios en los navegadores. Esta publicidad intrusiva, que no permite seguir navegando hasta que se pincha en el enlace o se cierra la ventana, ralentiza la velocidad de navegación y, en algunos casos, incluye troyanos que permiten que se espíe al usuario.
Por último, el soporte técnico es otro de los aspectos que señala la compañía de ciberseguridad en las razones para utilizar un antivirus. A través de estos servicios es posible contactar con operadores cualificados que asisten al usuario en el caso de una brecha de seguridad.

Fuente: Europa  Press

La utilización de AES con el modo de operación CBC está empezando a desaparecer

Uno de los modos de operación más utilizados y conocidos para AES es el modo CBC (cipher-block chaining), el cual ha recibido numerosos ataques para intentar romperlo. Ahora Cloudflare ha mostrado que la utilización de este modo de operación CBC está decayendo, en favor de otras suites de cifrado más actuales.
Cloudflare es una de las mayores empresas dedicadas a CDN del mundo, y por tanto miles de clientes utilizan sus servidores para visitar sus páginas web favoritas. Esto les da una perspectiva de las suites de cifrado que más utilizan los clientes, y es que poco a poco la suite de cifrado AES-CBC está desapareciendo. Actualmente el uso de AES-CBC es menor que ChaCha20-Poly1305 y se acerca peligrosamente al 10% de uso, algo que no es malo en absoluto, ya que los clientes utilizan otras suites de cifrado más actuales y también más seguras.
Resultado del Informe
  • En los últimos seis meses, la evolución de utilización de AES-CBC ha disminuido de un 20% hasta llegar a los actuales 13,4%, y la tendencia indica que en un par de meses estará entorno al 10% o menor, lo cual no es nada malo como hemos comentado anteriormente.
  • La cuota de uso de ChaCha20-Poly1305 por parte de los navegadores web es bastante estable, teniendo un 15% de utilización y no habiendo grandes variaciones en los últimos seis meses. La cuota de la suite de cifrados AES-GCM es del 71,2%, una mayoría absoluta y es que esta suite de cifrado es una de las más seguras que hay actualmente, ya que no solo proporciona confidencialidad sino también autenticidad (integridad). De hecho, OpenVPN en su versión 2.4 ya permite esta suite de cifrado AEAD para proporcionar una mayor seguridad:
  • Sorprendentemente aún el 0,1% de las conexiones web que Cloudflare recibe con DES-CBC3, una suite de cifrados no segura y que no es recomendable que nuestro servidor web lo soporte, para forzar al navegador de los clientes a usar una suite más segura.
  • Dentro de la suite de cifrados de AES-CBC encontramos diferentes tipos de algoritmos para el intercambio de claves, ya sea con curvas elípticas y Diffie-Hellmann con PFS, con RSA o DSA así como con SHA o SHA256 para comprobar la integridad del mensaje. El 75% de las conexiones con AES-CBC utiliza la suite de cifrados ECDHE-RSA-AES128-SHA, sinónimo de que estamos utilizando clientes web algo antiguos.
  • Otra buena noticia es que los navegadores web ya utilizan más ECDSA que RSA, sinónimo de que utilizamos navegadores web más actualizados y sistemas operativos modernos que soportan las últimas suites de cifrado. Actualmente más del 60% del tráfico que recibe Cloudflare es a través de conexiones con firma ECDSA.
¿Por qué es mejor usar ECDSA en lugar de RSA 2048 bits?
·        Aunque actualmente un RSA de 2048 es seguro, es considerado menos seguro que una clave ECDSA de 256 bits, además es más lento en la primera conexión con la web.
·        Por último, el 98,4% de todas las conexiones son PFS (Perfect Forward Secrecy), ya que como habéis visto se utiliza ECDHE para el intercambio de claves. Hace seis meses era de un 97,6% por lo que es una gran noticia para la seguridad de la web en general.
Fuente:  Cloudflare

BACKUP DE DATOS. Cuestiones a tener en cuenta

Utilizar un software para realizar el backup de la información es algo importante. Antes de elegir uno, lo mejor es comprobar qué aspectos hay que tener en cuenta.
Los sistemas operativos ofrecen algunas herramientas para que el usuario no deba recurrir a softwares de terceros. Sin embargo, estas no son siempre tan eficaces. Sin ir más lejos, los equipos Windows no solo poseen los puntos de restauración del sistema. Gozan también de una herramienta que permite realizar copias de seguridad incrementales, tanto de forma local como en una unidad de red.
En esta ocasión vamos a hablar de las  herramientas que en realidad ofrecen varias opciones que se deben configurar antes de hacer un backup de la información. Como todo software, es necesario analizar de forma minuciosa los aspectos que envuelven a cada uno para evitar una elección errónea que se salde con un resultado lejos de lo esperado, y quién sabe si con una pérdida de la información.
Aspectos a tener en cuenta a la hora de escoger una herramienta de backup
  1. Efectividad frente a los ransomware.- La mayoría de los usuarios ya saben que esta amenaza es sumamente peligrosa, sobre todo si nos referimos a la seguridad de la información almacenada en los equipos. Es un problema que no solo afecta a Windows, Linux o macOS, también a los sistemas operativos utilizados en dispositivos móviles. De ahí que resulte importante encontrar una solución de backup que ofrezca cierta robustez y aporte seguridad a las copias de seguridad para que no se vean afectadas por estas amenazas.
  2. Ubicaciones de almacenamiento de la copia de seguridad.- Algunas herramientas no ofrecen flexibilidad a la hora de escoger lugar de almacenamiento de copias de seguridad. Este aspecto resulta muy importante, recomendando expertos en seguridad procurar no dejar en único lugar la información y que este no sea el equipo que será objetivo del proceso. IMPORTANTE.- Dispositivos NAS, servicios FTP o servicios de almacenamiento en la nube son sin lugar a dudas la mejor opción para almacenar los resultados.
  3. Programación y versionado.- Tan importante es escoger el lugar de almacenamiento como la posibilidad de automatizar el proceso. Hay usuarios que prefieren verificar la operación por ellos mismos y otros que prefieren que sea autónoma. Resulta también importante la posibilidad de realizar varios tipos de copias de seguridad. Es decir, además de absolutas que permita realizar una absoluta y después incrementales respecto a cambios que se realicen en la versión base.
  4. Rendimiento.- Aunque es un punto complicado y que comparten con las herramientas de seguridad, los softwares avanzan y permiten obtener un mayor rendimiento, aunque de por medio esté el proceso realizando la copia de seguridad.
Si se tienen en cuenta estos aspectos, es probable que la herramienta escogida sea una buena elección. La variedad es bastante amplia, tanto gratuitas como de pago, de ahí que sea bastante fácil encontrar una que se adapte a nuestras necesidades.
Si quieres obtener más información sobre herramientas de backup y observar pruebas sobre escenarios reales puede consultar este análisis detallado realizado por MRG Effitas.
Fuente: Redes Zone.net

Un nuevo malware para macOS quiere leer tu tráfico HTTPS

Los expertos de seguridad de CheckPoint informaban hace pocas horas del descubrimiento de un nuevo malware para macOS denominado con el nombre OSX/Dok. Este malware es relativamente nuevo, afecta a todas las versiones de este sistema operativo, utiliza una firma auténtica y verificada por Apple y, además, ningún antivirus de VirusTotal es capaz de detectarlo a día de hoy.
Aunque por el momento no se ha confirmado, se cree que este malware puede haber llegado a los usuarios a través de una campaña de Spam a gran escala. Este software malicioso tiene como víctima a los usuarios de Europa, y el mayor número de infecciones se han detectado en Alemania.
El correo electrónico utilizado para llevar a cabo estos ataques informáticos adjunta un archivo llamado Dokument.zip firmado con la firma verídica que hemos dicho antes. Cuando la víctima intenta descomprimir el archivo, el malware se copia automáticamente a la carpeta /Users/Shared/ y se ejecuta desde allí con los siguientes 3 comandos:
-       chmod, para darle permisos de ejecución al malware.
-       rm -fr, para eliminar el archivo original Dokument.app.
-       Dokument, para ejecutarse automáticamente.
Una vez que el malware está ejecutado, mostrará un mensaje en el sistema de la víctima en el que se indica que se han detectado fallos de seguridad graves y que se debe instalar un parche de seguridad. Al intentar instalar este parche, el malware pedirá la contraseña de administrador a la víctima.
Cuando la infección se completa, el pirata informático tiene acceso completo al sistema de la víctima, incluso al tráfico cifrado con SSL, reenviando todo el tráfico a través de un proxy controlado por el pirata. Para ello, utiliza un certificado firmado por Comodo con el que realizar, en términos generales, un ataque MITM.
Este software malicioso también instala otros paquetes, como brew, utilizado para poder redirigir el tráfico a través de la red Tor. Una vez que el reenvío del tráfico está completo, el malware se elimina a sí mismo del ordenador.
Cómo desinfectar nuestro macOS de esta amenaza y cómo protegernos de ella
  • Como hemos dicho, este malware está llegando a los usuarios a través del correo electrónico, por lo que el primer paso para protegernos de él es evitar descargar y ejecutar cualquier tipo de archivo que recibamos a través de nuestro correo. Además, como ningún software de seguridad lo reconoce, estos no nos protegerán.
  • En caso de haber sido infectados por este malware, como hemos dicho, una vez termina de redirigir todo el tráfico, se elimina automáticamente, por lo que el siguiente paso será comprobar la configuración de proxy de nuestro sistema, eliminando cualquier valor sospechoso que pueda aparecer en él, así como los certificados que no reconozcamos y estén instalados en el sistema, como el certificado de Comodo que podemos ver en la web de CheckPoint.
Fuente: CheckPoint