5 de agosto de 2017

ESPAÑA. 'La Casa', se hace con el control de los datos clave de la seguridad nacional

El Centro Nacional de Inteligencia, conocida popularmente como 'La Casa', culminó el jueves su plan para recopilar y blindar las informaciones sensibles que sirven a Moncloa para sus estrategias
El CNI ha concluido esta semana la implantación de uno de sus más ambiciosos planes para controlar, recopilar y, sobre todo, blindarse a filtraciones u operaciones de ciberespionaje los datos claves de la seguridad nacional.
Detrás de un nombre de mujer, INES, se esconde un rediseñado sistema tecnológico con el que Moncloa y Vicepresidencia (de la que dependen directamente los servicios secretos) pretenden recibir sin intermediarios las informaciones más sensibles de los sectores estratégicos españoles, con las que luego se diseñan las estrategias nacionales de seguridad, sobre todo en lo referido a las posibles cibervulnerabilidades.
El pasado jueves, el Centro Criptológico Nacional (CCN), la vanguardia del CNI y del Estado en la ciberprotección del país, remitió a todos los responsables de seguridad de las administraciones públicas las nuevas instrucciones (la Guía CCN-STIC 844) en las que ordena centralizar todos los informes de vulnerabilidades e incidencias en los sistemas de protección en INES (Informe Nacional del Estado de Seguridad). Es la herramienta que han terminado de actualizar en julio los especialistas del CNI para «la recogida de información y análisis de indicadores» a fin de conocer si los diferentes departamentos del Estado están implantando las medidas recogidas en el denominado Esquema Nacional de Seguridad (ENS).
Aunque desde 2014 el CCN venía recopilando la información anualmente, ahora, según explican especialistas gubernamentales, la nueva INES se ha convertido en un verdadero monstruo informático con muchas más posibilidades. El espionaje español va a tener casi en tiempo real la información de los principales problemas de seguridad del país y, además, de una forma estructurada.
Las órdenes del CNI a las administraciones son claras: todas tienen que volcar todas sus informaciones en los exhaustivos cuestionarios de INES entre el próximo 1 de septiembre y el 31 de enero de 2017.
INFORMES AUTOMÁTICOS
INES, en teoría, va a tener a partir de ahora, incluso, capacidad de análisis.
La propia herramienta será capaz de generar informes automáticos y personalizados y dirigidos a la propia administración concernida. Esos mismos datos llegarán al CCN, que los usará para sus asesoramientos a la Vicepresidencia en casos en urgentes y para elaborar el informe anual del estado de seguridad del sector público español, al margen de otros estudios sectoriales (Administración General del Estado, comunidades autónomas, entidades locales, universidades...). El CNI y Vicepresidencia esperan también que INES se convierta en una de las fuentes principales de datos para el Departamento de Seguridad Nacional, el órgano creado por Mariano Rajoy en 2012 y que asesora al presidente en las cuestiones de estrategia de seguridad del país, amén de elaborar el informe anual que establece las prioridades y retos del Estado en materia de protección nacional.
Según revelan las instrucciones actualizadas por el CNI el pasado julio -y que también han sido ya distribuidas entre los principales operadores de seguridad del país- INES se va a convertir en una suerte de 'madre' de todas las otras 'mujeres' que controlan la seguridad nacional. Los servicios secretos gustan de denominar con nombres femeninos sus principales herramientas y bases de datos.
INES, tras las mejoras en las que el CNI ha venido trabajando desde principios de año, va a poder absorber y analizar junto con otras bases a LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas), otra herramienta del CCN, que lanza avisos de «peligrosidad» y hace seguimientos de los problemas. INES también pasa a integrar a SARA (Sistemas de Aplicaciones y Redes para las Administraciones) y su red de alerta temprana, que fue, la que entre otras cosas, la que hizo los recientes seguimiento de los virus WannaCry o NotPetya. La red PILAR (análisis y gestión de riesgos) también pasa a integrarse en la nueva herramienta.
El CNI y su CCN, a partir de septiembre, tendrán con INES la mayor base de datos sobre seguridad nacional que haya existido.
Esperemos que también sirva para reforzar la seguridad del sistema telemático de Justicia que tan de actualidad ha estado en los últimos días, y no precisamente por sus éxitos.
Fuente: Agencias

APPLE. Lanzará relojes que pueden hacer llamadas: Bloomberg

Apple Inc planea lanzar más adelante este año una versión de su reloj inteligente que puede conectarse directamente a las redes celulares, informó el viernes Bloomberg, citando a gente con conocimiento del tema.
Algunos de los nuevos modelos del Apple Watch estarán equipados con procesadores LTE y podrán realizar muchas tareas sin la necesidad de que haya un teléfono iPhone cerca, según el reporte de Bloomberg. (bloom.bg/2ff0K5P)
Actualmente, el Apple Watch necesita estar conectado a un iPhone para enviar mensajes, recibir direcciones de mapas y reproducir música en línea.
Intel Corp será el proveedor de los módems LTE para el nuevo reloj, informó Bloomberg.
El fabricante del iPhone ya está en negociaciones con operadores telefónicos en Estados Unidos y Europa para ofrecer la versión celular del Apple Watch, sostuvo la agencia.
Intel declinó referirse al reporte, mientras que Apple no respondió inmediatamente a las solicitudes de comentarios.
Fuente: Reuters

NMAP. Lanza la versión 7.60. con interesantes novedades

Nmap es una de las herramientas fundamentales para realizar auditorías a las redes, no solo es un escáner de puertos, sino que gracias a NSE podremos aumentar sus posibilidades utilizando software adicional para realizar pentesting. Esta semana se ha lanzado la nueva versión Nmap 7.60, e incorpora novedades muy interesantes.
Principales Características de Nmap 7.60
Una de las características más destacables de esta nueva versión Nmap 7.60, es la posibilidad de realizar ataques de fuerza bruta contra un servidor SSH, de esta manera, podremos utilizar el propio Nmap para intentar crackear la contraseña a través de un ataque de fuerza bruta. Esta nueva característica también nos va a permitir qué métodos de autenticación y claves públicas acepta un determinado servidor SSH, e incluso entrar en dicho servidor y ejecutar comandos arbitrarios usando las credenciales anteriormente crackeados, y todo ello de forma automatizada. De momento solo han incorporado estas características, pero los desarrolladores han dejado la puerta abierta a otras características para auditar un servidor SSH. Todos los scripts NSE ahora tienen soporte completo con SSH a través de la librería libssh2, incluyendo los ataques de fuerza bruta y la ejecución remota de comandos.
Otras novedades de Nmap 7.60 es que se han incorporado un total de 14 scripts NSE nuevos, sobre todo se han centrado en SMB2/SMB3 que últimamente está muy de moda por las vulnerabilidades recientes descubiertas, de esta forma, podremos hacer una auditoría rápida a este tipo de servicios.
También se ha añadido la característica en los scripts de FTP de coger la versión del sistema operativo, y la información de la conexión. Ahora si utilizamos scripts como ftp-anon y ftp-brute, podremos comprobar la seguridad de un FTP, aunque utilice FTPES, ya que usará STARTTLS cuando sea necesario, por lo que este tipo de servicios con FTP seguro también está cubierto.
Recomendación
·        Web oficial NSE https://nmap.org/nsedoc/
Fuente: Redes Zone.net

OPNSENSE. Lanza la versión 17.7, con importantes novedades del cortafuegos profesional

OPNsense es uno de los sistemas operativos orientado específicamente a firewall más conocidos y utilizados. Aunque actualmente tenemos PFsense que es actualmente el rey, y también IPfire basado en Linux, OPNsense es uno de los que más están evolucionando y mejorando. Esta semana se ha lanzado la versión OPNsense 17.7 con importantes novedades, y hoy os las vamos a contar.
OPNsense en los últimos tiempos está impulsando novedades muy interesantes en este sistema operativo orientado a cortafuegos. Gracias a su modularización, podremos instalar una gran cantidad de software adicional para hacer aún más completo el sistema. Además, se está prestando especial atención a los parches de seguridad, proporcionando actualizaciones de software semanalmente para cubrir todos los posibles agujeros de seguridad que se encuentren. Como todos sabéis, OPNsense está basado en HardenedBSD que es un fork de FreeBSD 11 orientado específicamente a la seguridad del software.
Novedades en la nueva versión de OPNsense 17.7 Free Fox
Algunas novedades interesantes en esta nueva versión de OPNsense, es por ejemplo la mejora en la seguridad de aplicaciones SafeStack. También se han mejorado los controladores de las tarjetas de red Realtek, para que funcionen lo mejor posible y proporcionen una estabilidad máxima en la red.  para que funcione lo mejor posible.
También se ha incorporado el complemento Quagga, este software es una suite de protocolos de enrutamiento como RIP, OSPF, BGP, IS-IS y otros muchos. Debemos recordar que este firewall también puede funcionar perfectamente como si fuera un router, por este motivo, incorpora características de routing dinámico, estático, NAT y otras características de los routers.
Desde la anterior versión 17.1 hasta ahora, se han realizado más de 300 cambios en el software incorporado, ya que uno de los objetivos de los desarrolladores es tener el sistema operativo lo más actualizado posible. Otro aspecto muy destacable respecto a la seguridad, es que han trabajado de manera más estrecha con el equipo de desarrollo de HardenedBSD, al unificar todos los ports (software adicional).
Las actualizaciones de software más destacables de esta nueva versión, son la incorporación de freeradius 1.0.0 para la configuración del servidor RADIUS, Quagga 1.3.2 para el routing dinámico, y también la incorporación de HAProxy 1.7.8 para el servidor Proxy, así como Strongswan 5.5.3 para las VPN IPsec.
Descargas de la nueva versión OPNsense 17.7
En la página oficial de descargas de OPNsense  (https://opnsense.org/download/ ) se encuentra   ya está disponible esta última versión la 17.7. Esta nueva versión está disponible para arquitecturas i386 y también para arquitecturas amd64.
Esta nueva versión también está disponible en cuatro formatos diferentes: dvd, vga, serial, nano. La versión DVD es la típica imagen ISO de instalación a través de un CD/DVD, la versión VGA es la versión de instalación vía USB compatible con particiones GPT, la versión serial sirve para su instalación a través de puerto serie de consola y es compatible con MBR, y por último, la versión nano es una imagen preinstalada para pendrives, tarjetas SD y CF, la cual deberemos flashear y en el primer arranque se adaptará al medio instalado automáticamente. /
Más información
Fuente: Redes Zone.net

EEUU. El FBI detiene al investigador que detuvo el ataque de WannaCry

WannaCry fue una de las peores amenazas informáticas de los últimos años, capaz de paralizar grandes multinacionales y que, lo que parecía no haber manera de controlar, finalmente se pudo mitigar de la forma más sencilla. Un investigador de seguridad, conocido como MalwareTechBlog, registró un dominio que detuvo el avance de este malware, convirtiéndole, para muchos, en un héroe, aunque parece que eso no ha impedido al FBI detenerle sin dar explicaciones de mucho.
El pasado miércoles, Marcus Hutchins, el investigador de seguridad de origen británico conocido como MalwareTechBlog, era detenido en Estados Unidos por el FBI aprovechando que había sido invitado a las prestigiosas conferencias de seguridad Black Hat y Def Con debido a la fama que había ganado tras detener al peligroso ransomware cuando a nadie más se le había ocurrido cómo hacerlo.
MalwareTechBlog detenido por FBI
Aunque por el momento no se conoce mucha información sobre su detención, todo apunta a que, tras frenar el ataque de WannaCry, el FBI empezó a investigar sobre este experto de seguridad y su pasado, encontrando estrechas relaciones con varios ataques informáticos realizados entre 2014 y 2015, además de con el desarrollo del troyano bancario Kronos (y la botnet Kelihos) y de su posterior venta en el mercado negro por un valor de 3000 dólares.
Este experto en seguridad fue trasladado, en un principio, a una instalación de seguridad en Nevada, aunque poco después ha sido llevado a una instalación secreta de la que no se conoce ni su ubicación. Ni siquiera los familiares de este experto en seguridad han podido hablar con él ni han recibido ninguna declaración oficial por parte del FBI sobre su detención.
Por el momento no se sabe mucho más sobre este experto de seguridad, aunque las cosas no pintan demasiado bien, y es que cuando el FBI echa la mano encima de algo, las cosas no suelen acabar del todo bien y, mientras el cuerpo de seguridad tiene los ojos puestos encima de MalwareTechBlog, los responsables del ransomware han empezado a mover el dinero que ganaron con los rescates.
Los responsables de WannaCry han empezado a mover el dinero de los rescates
Mucha gente piensa que las transacciones con Bitcoin son totalmente anónimas y privadas, pero en realidad no es así. Todas y cada una de las transacciones que se realizan quedan registradas dentro del blockchain, lo que permite (aunque es muy difícil) rastrearlas. Esto ha permitido ver cómo los piratas informáticos tras este ataque internacional han empezado a mover el dinero, probablemente hacia un “mixer” que dificulta aún más el rastreo de los fondos y convierten esta moneda en moneda de “curso legal”.
Según los analistas, este ransowmare consiguió que 338 víctimas pagaran el rescate, rescate que, a 300 dólares que tuvo que pagar cada uno, hizo que los piratas ingresaran 140.000 dólares en Bitcoin.
Aunque la chapucera programación de WannaCry ha permitido a muchas de las víctimas recuperar gratis sus archivos, aquellos que pagaron cada vez tienen más difícil recuperar su dinero, por no hablar de la identificación de los piratas informáticos responsables de la creación del ransomware. WannaCry fue, sin duda, el peor ataque informático visto en la historia de la informática y, a día de hoy, se sigue sin saber con certeza quién está detrás de él.
Fuente: Motherboard, The Hacker News

“INVISIBLE MAN”. Un falso Flash para Android que roba datos bancarios

Invisible Man es un nuevo malware para Android detectado por primera vez hace algunas horas por la firma de seguridad Sophos. Este nuevo malware se basa en otro, llamado Svpeng, que infectó a un gran número de usuarios en 2015 en todo el mundo. Invisible Man ha recibido el nombre técnico de “Andr/Banker-GUA”.
Este nuevo malware para Android se distribuye como una falsa versión de Adobe Flash Player para este sistema operativo y, además, una vez instalada es imposible de eliminar ya que toma el control del sistema por completo e impide, ella misma, dicha posibilidad.
Funcionamiento de “Invisible Man2  
Cuando este malware llega a un smartphone, lo primero que hace es comprobar la configuración de idioma y región del mismo. Si el smartphone está configurado en ruso, automáticamente no lo infecta, lo que da que pensar que el origen del malware se encuentra en dicho país.
Si el teléfono de la víctima no es de origen ruso, lo primero que hace es pedir permiso al usuario para poder controlar los servicios de accesibilidad, para poder tener así control sobre el dispositivo. Una vez concedidos, se configura como la aplicación de SMS por defecto y, de esta manera, puede tener control sobre la pantalla. Al poder controlar la pantalla, además de ver todo lo que nosotros vemos, el virus es capaz de dibujar contenido en la pantalla, controlar cualquier otra aplicación e incluso crear una capa transparente que registre, por ejemplo, las teclas pulsadas o los códigos PIN.
Una vez que este virus está ya instalado y funcionando empezará a controlar nuestro teléfono y, cuando abramos determinadas aplicaciones, como la Play Store, nos pedirá que verifiquemos el número de la tarjeta de crédito. Si lo hacemos, automáticamente esta estará en manos de los piratas informáticos.
Cómo protegernos del malware Invisible Man en Android
Como hemos dicho, este troyano se distribuye como una falsa aplicación de Flash para Android, por lo que la mejor forma de evitar que este, y otros, virus puedan poner en peligro nuestros datos es evitar siempre descargar e instalar cualquier aplicación de Flash Player. Flash lleva muchos años sin estar disponible para Android y, además, a partir de 2020 va a morir definitivamente, por lo que cualquier aplicación que se intente hacer pasar por este software será, casi sin lugar a dudas, un virus.
Otra forma de protegernos de este tipo de malware es controlar a qué aplicaciones brindamos acceso a las opciones de accesibilidad y a los servicios administrativos de Android. Aunque no tengamos permisos de root, a través de estas configuraciones es posible que las aplicaciones maliciosas puedan llegar a tomar el control completo de los dispositivos.
Por último, es recomendable descargar siempre desde tiendas de confianza, como la Play Store o F-Droid, ya que descargar archivos APK de tiendas pirata o de servidores externos puede ser un peligro al no tener ningún control.
Fuente: Sohpos

SYMANTEC. No seguirá siendo Autoridad Emisora de Certificados

Los certificados TLS son los que se encargan de proteger nuestro tráfico en Internet, cifrando los datos de extremo a extremo y evitando que estos puedan ser interceptados y modificados en ataques MITM. Las entidades emisoras de certificados, o CA, son las responsables de generar estos certificados y, además, de comprobar y garantizar que el sitio que usa dicho certificado es auténtico y no está suplantado por piratas informáticos. Las autoridades CA tienen que cumplir con unos estrictos procesos de validación que garanticen su identidad, algo que, por ejemplo, Symantec no ha cumplido y le ha hecho perder su título de CA.
En enero de este mismo año, Google empezó a investigar una serie de irregularidades en el proceso de validación de los certificados emitidos por Symantec. Lo que en un principio parecía un caso “aislado” de “solo” 127 certificados, a finales de marzo el número de certificados mal validados y, por lo tanto, incorrectos e inseguros asciende a más de 30.000.
Como ya dijimos, Google va a ir suprimiendo relativamente la validez de los certificados de la compañía. Las páginas web que tengan un certificado emitido por Symantec tendrán que solicitar uno nuevo para no convertirse en una web “potencialmente peligrosa” cuando Google Chrome, y el resto de navegadores web, empiecen a rechazar estos certificados. Además, las negligencias de Symantec han sido tan graves que Google, Mozilla y otras organizaciones han decidido que esta perderá su título de CA y ya no podrá emitir certificados, al menos, hasta que solucione sus graves problemas de seguridad en el proceso de verificación de estos.
Symantec dejará de ser una CA para convertirse en una SubCA
A partir del próximo 1 de diciembre, Symantec perderá su título de autoridad certificadora, o CA, y sus certificados se empezarán a controlar y a ir reduciendo su validez hasta que, a mediados de 2018, concretamente con la llegada de Google Chrome 70, todos ellos dejarán de tener validez.
Tras la investigación que ha llevado a cabo Google, Symantec ha perdido el título de autoridad certificadora, aunque esto no significa que vaya a dejar de emitir certificados. Ahora, la compañía se va a convertir, a partir de diciembre de este año, en un proveedor de certificados digitales, o SubCA, aunque la emisión de los mismos tendrá que correr por parte de otra empresa, por el momento, desconocida.
Si Symantec quiere volver a funcionar como una CA, la compañía tendrá que implementar una nueva infraestructura completa para reestructurar su negocio y poder seguir trabajando como tal, acorde a las medidas de seguridad y los procesos de verificación adecuados para verificar la identidad de las webs que implementan sus certificados.
Fuente: Diarioit

El tráfico SSL malicioso se ha duplicado en los últimos 6 meses

La empresa de seguridad en la nube Zscaler acaba de publicar un nuevo informe en el que habla sobre este preocupante hecho. Esta empresa de seguridad nos explica cómo cada vez es más frecuente encontrarse con tráfico malicioso oculto a través de conexiones cifradas SSL/TLS. La empresa de seguridad ha asegurado que de todo el tráfico que filtra, casi el 60% es tráfico malicioso, tráfico que, además, en los últimos 6 meses se ha duplicado.
El protocolo SSL es el encargado de proteger las conexiones que establecemos con otros servidores a través de Internet de manera que estas, además de estar cifradas (evitando que otros puedan hacerse con la información que enviamos) estén autenticadas (aunque no es obligatorio) para evitar ataques MITM donde un atacante pueda modificar la información en un punto intermedio de la conexión. Mientras que el aumento del tráfico SSL es bueno de cara a un Internet más seguro, también aparecen otros problemas, y es que, igual que las conexiones legítimas se cifran, también lo hacen las conexiones del malware.
Los piratas informáticos suelen utilizar las conexiones SSL/TLS para ocultar prácticamente todas sus actividades, desde las conexiones con los servidores C&C de los virus y troyanos que distribuyen por la red hasta para llevar a cabo amenazas mucho más complejas especialmente dirigidas contra empresas.
De todo el tráfico malicioso que detecta y bloquea esta empresa de seguridad, a día de hoy, el 60% de todo él corresponde principalmente a 4 troyanos bancarios: Dridex, Zbot, Vawtrak y Trickbot, mientras que el 25% del tráfico corresponde al ransomware y el 12% a software espía y de robo de datos, quedando un 3% restante repartido entre las demás amenazas.
Actualmente es muy complicado controlar el 100% de los certificados que se emiten
Hace pocos años, implementar conexiones seguras SSL era un proceso muy complicado y, además, costoso, tanto en mano de obra para el servidor como para comprar el correspondiente certificado. Además, las conexiones HTTPS solían ser más lentas que las HTTP y el proceso de cifrado/descifrado de los datos consumir una valiosa cantidad de recursos. Sin embargo (y por suerte), las cosas han cambiado.
Hoy en día el uso de HTTPS no hace que los servidores vayan más lentos (todo lo contrario), ni es complicado implementar estas conexiones en servidores y plataformas web. Además, los certificados, que durante mucho tiempo las CA los han estado vendiendo muy caros, actualmente se pueden conseguir a un precio bastante asequible, e incluso gratis, si los generamos con Let’s Encrypt. Con el auge del IoT, además, la mayoría de las organizaciones no pueden controlar el 100% de los certificados, por lo que no es raro ver cómo muchos dispositivos quedan sin seguridad, poniendo en peligro organizaciones enteras.
Gracias a esto, cada vez son más las páginas web y los servidores que brindan seguridad a los usuarios. Sin embargo, tampoco podemos olvidarnos de que los piratas informáticos están utilizando, cada vez más, certificados HTTPS gratuitos, como los que ya hemos dicho, para hacerse pasar por páginas web fiables y poner más difícil a los usuarios el poder darse cuenta de que se trata de una página web maliciosa y escapar de ella.
Fuente: Redes Zone.net

WIFISLAX64. Lanzada la versión 1.1. Cambios y novedades del mejor distro de auditorías Wi-Fi

Wifislax64 es sin lugar a dudas, el sistema operativo perfecto para la realización de auditorías inalámbricas Wi-Fi. Este sistema operativo incorpora una gran cantidad de drivers de diferentes chipsets de tarjetas Wi-Fi, y, además, incorpora una grandísima cantidad de herramientas para la realización de auditorías inalámbricas, por lo que es perfecto para no tener que instalar nada por nosotros mismos.
Otro de los puntos fuertes de Wifislax64 es que es LiveDVD, por lo que no tendremos que instalarla en nuestro equipo real para hacer las auditorías, simplemente podremos llevar la imagen en un DVD o memoria USB para cargarla en cualquier ordenador. Si elegimos flashear la imagen en una memoria USB, tenemos la opción de hacer determinados datos persistentes, ideal para pausar la auditoría inalámbrica y continuar después aunque apaguemos la máquina.
Wifislax64 se lleva muy bien con VMware, por lo que podremos cargar la imagen ISO en una máquina virtual con VMware y ejecutarla en nuestro ordenador con Windows sin ningún problema. De esta forma, no necesitaremos ni siquiera una memoria USB para copiar la imagen o un DVD para grabar la imagen.
Principales cambios en Wifislax64 1.1
Esta nueva versión de Wifislax64 sigue utilizando como base la distribución Slackware64 en su versión 14.2, pero incorporando todas sus actualizaciones de seguridad, por lo que la estabilidad del nuevo Wifislax64 está garantizada. La versión del Kernel Linux de esta nueva versión de Wifislax64 es la 4.9.40 de la rama 4.9 LTS, por lo que tendremos soporte durante mucho tiempo.
En esta nueva versión se ha mejorado el rendimiento global del sistema operativo, se han actualizado todas y cada una de las aplicaciones disponibles, y también se han añadido algunas aplicaciones nuevas, así como corrección de los errores reportados por los usuarios.
Una novedad muy interesante de esta versión, es que Wifislax en modo Live es capaz de ver si el sistema real donde se está usando, dispone de alguna partición SWAP. Si detecta dicha partición SWAP, automáticamente la tendría en cuenta en caso de quedarse el sistema sin memoria RAM. Esta función podremos desactivarla si queremos, poniendo en la línea de arranque el parámetro “noswap”.
Otros cambios interesantes de esta nueva Wifislax64 es la incorporación de hashcat 3.6.0 + hashcat-utils, aunque para usarlo de manera óptima deberemos instalar el driver propietario de nuestra tarjeta gráfica NVIDIA o AMD. El desarrollador de Wifislax64 nos proporciona los drivers para NVIDIA y AMD como módulos extra, para su incorporación en la distribución, aunque con limitaciones en el uso de diferentes modelos de tarjetas.
Más información
·        Foro oficial de Wifislax64 en SeguridadWireless.net http://foro.seguridadwireless.net/live-wifislax/wifislax64-1-1-final-para-descarga-64220/
·        Completo listado de cambios de Wifislax64 desde la versión 1.0 http://www.downloadwireless.net/isos/CAMBIOS/wifislax64-1.1-cambios.txt
Fuente: Redes Zone.net

Vulnerabilidades en Cacti

Se han corregido múltiples fallos de seguridad en la última versión de Cacti (1.1.16). Los errores, de gravedad alta, se corresponden con una falta de filtrado adecuado en los parámetros de entrada que podrían permitir a un atacante realizar ataques Cross-site scripting (XSS) y potencialmente ejecutar código arbitrario.
Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.
Detalle e Impacto de vulnerabilidades
 CVE-2017-12065: Un error en la función ‘spikekill.php’ permitiría a un atacante remoto ejecutar código arbitrario a través de parámetros ‘avgnan’, ‘outlier-start’, o ‘outlier-end’ especialmente manipulados.
CVE-2017-12066: un error de validación de los datos introducidos por el usuario permitirán a un atacante remoto autenticado realizar ataques de tipo Cross-site scripting (XSS). El atacante se aprovecharía de un error en la función ‘aggregate_graphs.php’ permitiéndole inyectar código javascript o html malicioso a través de determinadas cabeceras HTTP especialmente manipuladas.
*Nota: Esta vulnerabilidad surge a partir del fix incompleto de la vulnerabilidad CVE-2017-11163.
Este problema afecta a la versión 1.1.15 y anteriores.
Recomendación
Se recomienda actualizar a versiones superiores desde https://www.cacti.net/downloads/
Más información:
Fuente: Hispasec

Nitro PDF Pro. Detectada grave vulnerabilidad

Se ha reportado una vulnerabilidad en Nitro PDF Pro, una herramienta empleada para el tratamiento de archivos PDF. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante remoto ejecutar código malicioso.
Como ya hemos comentado anteriormente, Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.
El problema reportado sería causado por diferentes vulnerabilidades, una de ellas, la función ‘Doc.saveAs’ podría ser usada para sobreescribir ficheros dentro del sistema, y la otra podría ser usada para saltar restricciones de seguridad en 'App.launchURL' al introducir determinados caracteres dentro de la ruta de direcciones.
El problema, con CVE-2017-7442, podría permitir a un atacante remoto valerse de las vulnerabilidades explicadas anteriormente para ejecutar código arbitrario dentro del sistema a través de ficheros especialmente manipulados, visitar páginas web maliciosas y dependiendo de la vulnerabilidad, introduciendo caracteres especiales.
Este problema afecta a Nitro PDF Reader & Nitro Reader Pro.
Recomendación
Más información:
Prueba de concepto:
 Fuente: Hispasec

INFORME. Revela los secretos de los “cazadores de amenazas” y los SOCs

Informe de McAfee concluye que el 71% de los SOCs consolidados utilizan el equipo humano-máquina para cerrar sus investigaciones de ciberseguridad en una semana o menos. Sandboxing y SIEM siguen siendo indispensables, pero la efectividad requiere integración de procesos y conocimientos humano-máquina.
McAfee, una de las principales compañías de ciberseguridad del mundo, ha anunciado hoy el lanzamiento de su informe “Disrupting the Disruptors, Art or Science?”, un nuevo estudio que investiga el papel de la caza de ciberamenazas y la evolución de los Centros de Operaciones de Seguridad (SOC). Analizando los equipos de seguridad en base a cuatro niveles de desarrollo -mínimo, procesal, innovador y líder- el informe revela que los SOC avanzados dedican un 50% más de tiempo que sus homólogos a la caza real de amenazas.
Principales conclusiones:
     El 71% de los SOC más avanzados finalizó las investigaciones de incidentes en menos de una semana y el 37% cerró las investigaciones de amenazas en menos de 24 horas
     Los cazadores novatos sólo determinan la causa del 20% de los ataques, mientras que los cazadores líderes verifican el 90%.
     Los SOC más avanzados ganan hasta un 45% más de valor que los SOC mínimos por su uso de sandbox, mejorando los flujos de trabajo, ahorrando costes y tiempo y revelando información que no está disponible en otras soluciones
Estrategias:
     El 68% afirma que a través de una mejora en la automatización y en los procesos de caza de amenazas alcanzarán capacidades excepcionales.
     Los SOC más consolidados duplican las probabilidades de automatizar partes del proceso de investigación de ataques.
     Los cazadores de amenazas de los SOCs consolidados emplean un 70% más de tiempo en la personalización de herramientas y técnicas.
Tácticas
     Los cazadores de amenazas de los SOCs más avanzados dedican un 50% más de tiempo en cazar amenazas reales.
     Sandbox es la herramienta número uno para los analistas de SOC de primera y segunda línea, donde los roles de nivel superior dependen en primer lugar de análisis avanzados de software malicioso y código abierto. Otras herramientas estándar incluyen SIEM, detección y respuesta endpoint y análisis de comportamiento del usuario. Todas fueron objetivos para la automatización
     Los SOCs más desarrollados usan un sandbox en investigaciones un 50% más que los SOCs de nivel básico, yendo más allá de la convicción para investigar y validar las amenazas en los archivos que entran en la red.
The Threat Hunter Playbook: Equipo humano-máquina
Aparte del estudio manual en el proceso de investigación de amenazas, el cazador de amenazas es clave en el despliegue de la automatización de la infraestructura de seguridad. Un cazador de amenazas de éxito selecciona, organiza y, a menudo, construye las herramientas de seguridad necesarias para frustrar las amenazas, y luego convierte el conocimiento adquirido, a través de la investigación manual, en scripts y reglas automatizadas personalizando la tecnología. Esta combinación de caza de amenazas con tareas automatizadas es el equipo humano-máquina, una estrategia crucial para combatir a los cibercriminales de hoy y del futuro.
Más información
Fuente: Diarioti.com

Vulnerabilidad XSS en HPE Project y Portfolio Management (PPM)

HPE Product Security Response Team ha identificado una vulnerabilidad que permitiría la ejecución remota de una ataque de secuencia de comandos de sitios cruzados (XSS), catalogada de Importancia: 5 - Crítica
Detalle e impacto de la vulnerabilidad
Un atacante remoto, podría explotar la vulnerabilidad descrita en este aviso y ejecutar con éxito un ataque de secuencia de comandos de sitios cruzados (XSS) en los productos afectados. Se ha reservado el identificador CVE-2017-8993 para esta vulnerabilidad.
Recursos afectados:
  • HPE Project y Portfolio Management Center, versiones 9.30, 9.31, 9.32 y 9.40
Recomendación
HPE ha publicado actualizaciones de las versiones afectadas de HPE Project y Portfolio Management (PPM) y recomienda realizar las siguientes acciones:
     Actualizar HPE PMM versión 9.3x a HPE PPM versión 9.32.0005, puede obtener más información aquí https://softwaresupport.hpe.com/km/KM02781066
     Actualizar HPE PMM versión 9.40 a HPE PPM versión 9.41, puede obtener más información aquí. https://softwaresupport.hpe.com/km/KM02753942
Más información
     HPESBGN03766 rev.1 - HPE Project and Portfolio Management (PPM), Remote Cross-Site Scripting Facebook Twitter Google+ http://h20565.www2.hpe.com/hpsc/doc/public/display?docId=hpesbgn03766en_us
Fuente: INCIBE

Vulnerabilidad de evasión de autenticación en Cisco Identity Services Engine (ISE)

Publicada una actualización que soluciona una vulnerabilidad en el módulo de autenticación de Cisco Identity Services Engine (ISE) que podría permitir a un atacante remoto no autenticado omitir la autenticación local, catalogada de Importancia: 4 - Alta
Recursos afectados:
  • Cisco Identity Services Engine (ISE) con versiones 1.3, 1.4, 2.0.0, 2.0.1, o 2.1.0. 
  • La versión 2.2.x no esta afectada.
Recomendación
Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No hay soluciones provisionales para esta vulnerabilidad.
Detalle e Impacto de la vulnerabilidad
La vulnerabilidad se debe al manejo incorrecto de solicitudes de autenticación y asignación de políticas para usuarios autenticados externamente. Un atacante podría explotar esta vulnerabilidad mediante la autenticación con una cuenta de usuario externa válida que coincida con un nombre de usuario interno, recibiendo incorrectamente la política de autorización de la cuenta interna. Un exploit podría permitir al atacante tener privilegios Super Administrador para el portal ISE Admin.
Esta vulnerabilidad no afecta a los puntos finales que se autentican en el ISE.
Más información
     Cisco Identity Services Engine Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170802-ise
Fuente: INCIBE