ROUTERS BASADOS EN LINUX AFECTADOS POR MALWARE

La empresa de seguridad Trend Micro ha descubierto un malware que afecta a routers basados en Linux, distribuido en Latinoamérica por el momento.

Los ataques a equipamiento de red son menos habituales, pero muy efectivos, porque permite a los atacantes dirigir todo el tráfico del usuario para, por ejemplo, realizar ataques DDoS o de inyección de SQL.

Detalles del malware:

• El malware llamado ELF_TSUNAMI.R utiliza una combinación de ataques para extenderse.
  
• Además de utilizar ataques de fuerza bruta contra los routers, también es capaz de explotar un fallo en el router D-Link DWL-900AP+.
• Por otra parte, el código añade las máquinas infectadas a una botnet a través de canales IRC.
• Se cree que el malware es una variante de una cadena de código descubierta en 2008, pero que se ha adaptado y ahora es más eficiente.

Distribución del malware y otros dispositivos afectados:

• La empresa de seguridad Trend Micro, que es quien ha realizado el descubrimiento de ELF_TSUNAMI.R, asegura en un blog que el malware predomina en Latinoamérica, pero que está extendiéndose a otras regiones.“

• Los ataques también funcionan contra routers de D-Link, y estamos verificando si funcionan con otros”, dicen desde Trend Micro.

Fuente: Itespresso

NUEVO ANTIVIRUS PARA “ANDROID”

Trend Micro presenta una solución de seguridad ante el incremento de amenazas web y ataques cribercriminales contra la plataforma de Google para móviles.

Trend Micro ha creado una solución denominada Trend Micro Mobile Security for Android que chequea los programas descargados en los dispositivos en busca de virus y está pensado para detectar y detener los ciberataques antes de que se produzcan.

Este sistema de seguridad está orientado a operaciones de compra y banca online, especialmente.

La firma de seguridad señala que su aplicación requiere poco espacio, garantizando la movilidad del usuario, y está específicamente diseñada para dispositivos que usan el sistema operativo de Google.

Por algo Trend Micro es la única empresa que utiliza inteligencia de seguridad basada en la nube para proteger de la actuación de códigos maliciosos a los Android.

Fuente: Eweek Europe

EL SITIO WEB DE LA “NASA” VULNERABLE A LOS CIBERATAQUES

Alonso Vidales, experto en seguridad informática, descubrió una vulnerabilidad básica en el sitio web oficial de la NASA,

"El pasado mes de septiembre descubrí un 'bug' del que informé a la NASA, y que han 'parcheado' de forma bastante cutre en los comentarios, pero que persiste en la página", comenta Alonso.

Detalle de la vulnerabilidad:

• Es una vulnerabilidad XSS (Cross Site Scripting), que consiste en la posibilidad de introducir y ejecutar código de 'scripting' (como JavaScript) en un sitio web ajeno a través, por ejemplo, de un formulario.
• "Si se mete un 'tag stript' en lugar del nombre y los apellidos en la página, en lugar de mostrar la cuenta de este nombre se mostrará el 'tag script' con lo que se permitirá inyectar código JavaScript desde cualquier otra página".

Fuente: El mundo

DISTRIBUYEN MALWARE A TRAVÉS DE PUBLICIDAD DE “Spotify“

Spotify retira un anuncio de su plataforma que ofrecía un antivirus gratuito, que lo que en realidad hacía era instalar malware en los equipos con S.O. Windows.

La infección se iniciaba con la reproducción del exploit que descargaba el falso programa.

“Yo no había pinchado en ningún anuncio, parece que se descargó al mismo tiempo que la primera imagen del anuncio apareció en Spotify”, explica uno de los usuarios infectados, “el virus comenzó a aparecer en mi escritorio, me decía que tenía un fallo crítico en el disco duro y que tenía que reiniciarlo”.

Al parecer, los usuarios potencialmente afectados son los que disponen de una cuenta gratuita y se conectan a través de un ordenador Windows.

Según las primeras investigaciones, el malware ha afectado principalmente a usuarios de Reino Unido y Suecia, aunque no se descarta que haya más países implicados.

Fuente: BBC

EMPRESA CHINA, INSTALA MALWARE EN MÓVILES

La aplicación de malware "Feiliu" desinstala otros productos antivirus y hace que los teléfonos funcionen con lentitud y muestren fallos.

Sophos advierte de la existencia de informes que afirman la supuesta colaboración entre la empresa de seguridad móvil en China NetQin y creadores de aplicaciones de malware.

Modus operandi:

Cuando los usuarios afectados instalan de nuevo la aplicación de NetQin, se reporta la infección y se informa al usuario de que si paga una cantidad de dinero (dos Yuan) puede eliminar la aplicación que daña su dispositivo.

Fuente: Sophos

“Google” PARCHEA 6 VULNERABILIDADES DEL NAVEGADOR “ Chrome”

Google informó del lanzamiento de la actualización de la versión 10.0.648.204 del navegador Chrome que incluye parches de seguridad para seis vulnerabilidades calificadas como “de alto riesgo”.

Esta nueva versión de Chrome añade también soporte para el administrador de contraseñas del navegador en Linux y mejora el rendimiento y la estabilidad.

Además, la última actualización de Chrome incluye dos nuevos certificados SSL (Security Sockets Layer) para protegerse de los ataques de los cibercriminales .

Fuente: Google.

“MYSQL” ATACADA POR MEDIO DE INYECCIÓN SQL

MySQL ha sufrido un ciberataque a través de inyección SQL por medio del cual han accesado a las bases de datos y robado información personal de los usuarios.

MySQL, ofrece software de bases de datos y soluciones empresariales, pero tiene otra vulnerabilidad XSS conocida desde enero y aún no solucionada, informaron expertos en seguridad.

Según algunos expertos en seguridad los ataques fueron dirgidos hacia las siguientes sitios:

MySQL.com, MySQL.fr, MySQL.de y MySQL.it a través de una inyección SQL.

Los atacantes conseguieron:

• nombres de usuario, direcciones de correo y contraseñas de MySQL que han sido publicados en pastebin.com.
• Además, han robado otros datos de clientes y partners, que también han sido publicados en la red.

SUN, empresa responsable de MySQL, también fue atacada, robando direcciones de correo electrónico de varios de sus sistemas, aunque no las contraseñas.

Fuente: Sophos

EN IRAN, OCULTAR LA IDENTIDAD CON “TOR” YA NO ES POSIBLE

La herramienta para ocultar la identidad 'online' Tor (The Onion Router) ya no es suficiente para escapar del control de los gobiernos.

• Tor es una herramienta que oculta la dirección IP y encripta los mensajes enviados, ya sean mensajes instantáneos o correos electrónicos.
  

Primeramente, Tor fue creado por los investigadores del ejército de EEUU para uso militar, pero después su código fue liberado y ahora es de dominio público.

Según el equipo de desarrollo de Tor, Irán ha logrado crear un mecanismo para saber quién está detrás de cada mensaje enviado a la Red utilizando esta herramienta para ocultar la identidad en línea.

Parace ser que la ciberpolicía iraní está empleando tecnología DPI (Inspección Profunda de Paquetes) para 'leer' el tráfico de Internet cuando se transmite según publicó The Wall Street Journal afirmando que Siemens y Nokia habían contribuido a dotar al país asiático de la tecnología un año antes.

Fuente: UPI

LA COMISIÓN EUROPEA SUFRE UN CIBERATAQUE “GRAVE”

La Comisión Europea informó que sus sistemas informáticos sufrieron un ataque calificado como “grave” en vísperas de la cumbre en que debatirían el conflicto en Libia, la crisis económica y la energía nuclear.

• El portavoz de la Comisión añadió que en este caso el ciberataque ha sido muy grave y les ha obligado a tomar medidas para evitar la divulgación de información no autorizada.

“Todo el personal fue advertido de que el acceso remoto a los correos electrónicos ya no era operativo“, ha señalado el portavoz.

• También han cerrado de forma temporal el acceso a la intranet y las páginas web de los organismos europeos, en particular la del Servicio Europeo de Acción Exterior, que al parecer ha sido uno de los blancos prioritarios del ataque.

“Estamos tomando medidas urgentes para enfrentarnos al ataque”, según ha confirmado el portavoz de la comisión de seguridad de la CE, Antony Gravili.

Las autoridades europeas han iniciado una investigación para esclarecer los objetivos del ataque e identificar a sus responsables.

Fuente: Hispasec

ATAQUE A “CERTIFICADOS SSL” DE “Yahoo!, Google y Microsoft” DESDE IRAN

Comodo, empresa emisora de certificados SSL, explicó el ataque que permitió a cibercriminales obtener los certificados digitales de páginas de Yahoo!, Google ó Microsoft.

La intrusión fue hecha a través de la cuenta de un distribuidor, cuya identidad no fue divulgada, encargado de comprobar las solicitudes de firmas de los certificados, conocidas bajo las siglas CSR, y después envía esas peticiones a los sistemas de Comodo.

• Después del robo de credenciales de distribuidor, los atacantes obtuvieron los CSRs de importantes dominios como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com ó addons.mozilla.org.
• El origen de los atacantes, que consiguieron 9 CSRs, la compañía ha confirmado que provenían de Irán (Teherán) .

La filtración ya está corregida, porque los certificados fueron anulados a las pocas horas de producirse del incidente, y se avisó a Google, Microsoft y Mozilla para que metieran los números de serie de los certificados en una lista negra de sus navegadores.

Fuente: H-online

ACTUALIZACIÓN DE SEGURIDAD PARA “Apple Mac OS X”

Apple ha lanzado una actualización para Mac OS X 10.6 que solventa 53 vulnerabilidades.

Las vulnerabilidades podrían permitir a un atacante local o remoto:

1. Acceder a información sensible,
   
2. Evitar restricciones de seguridad,
   
3. Provocar condiciones de denegación de servicio
4. Llegar a comprometer los sistemas afectados.

Versiones afectadas:

• La actualización nombrada como actualización de seguridad 2011-00; corrige 53 fallos en los siguientes componentes y servicios:
• AirPort,Apache, AppleScript, ATS, bzip2, CarbonCore, ClamAV, CoreText, File Quarantine, HFS, ImageIO, Image RAW, Installer, Kerberos, Kernel, Libinfo, libxml, Mailman, PHP, QuickLook, QuickTime, Ruby, Samba, Subversion, Terminal y X11.

Recomendaciones:

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

http://support.apple.com/downloads/

Fuente: Hispasec

REVELACIÓN DE INFORMACIÓN EN EL “Kernel Linux 2.6.x”

Se han publicado tres vulnerabilidades en el kernel de Linux que podrían ser aprovechadas para revelar información sensible a un atacante.

Las vulnerabilidades han sido nombradas como:

1. CVE-2011-1170, localizada en el fichero 'net/ipv4/netfilter/arp_tables.c', podría permitir a un atacante local acceder a información del sistema.
2. CVE-2011-1171, localizada en el fichero 'net/ipv4/netfilter/ip_tables.c', podría permitir a un atacante local acceder a información del sistema.
3. CVE-2011-1172, localizada en el fichero 'net/ipv4/netfilter/arp_tables.c', podría permitir a un atacante local acceder a información del sistema.

El problema radica en los tres casos, en que no se comprueba la terminación "\x00" de las cadenas de las estructuras de datos, por lo que la solución propuesta, común a las tres vulnerabilidades consiste en el forzado de dicha terminación en las cadenas de texto de las estructuras.

Se observa en las lineas introducidas del parche:

tmp.name[sizeof(tmp.name)-1] = 0;

rev.name[sizeof(rev.name)-1] = 0;

Hay que destacar que para poder explotar esta vulnerabilidad, es necesario que la funcionalidad CAP_NET_ADMIN se encuentre habilitada.

Sirve para administrar interfaces de red, modificar las tablas de ruta, establecer el modo promiscuo, etc.

Fuente: Hispasec

RIM” REFUERZA SU SEGURIDAD CON “BlackBerry Protect”

Research In Motion informó del lanzamiento de la versión beta de BlackBerry Protect, que es una aplicación gratuita que proporciona nuevas funciones de seguridad como el bloqueo remoto a estos dispositivos.

Características de BlackBerry Protect :

• La aplicación permite a los usuarios de BlackBerry la realización de copias de seguridad, con una frecuencia configurable.
• Las copias de seguridad se realizan a través del sistema Over The Air (OTA) e incluye la lista de contactos, mensajes de texto, entradas del calendario, notas, tareas y marcadores del navegador.
• Además la aplicación permite realizar acciones de forma remota, para en caso que el teléfono fuese robado ó extraviado, el usuario pueda bloquearlo o borrar su información personal.
• También permite localizar el dispositivo perdido en un mapa a través de estaciones base y GPS o mostrar en la pantalla un mensaje por si alguna persona encuentra la BlackBerry perdida.
• Así mismo, se podrá activar el volumen de tono alto de forma remota, para esas ocasiones en las que el terminal está escondido por la casa y el usuario necesita “auto llamarse”.
• La administración a través de BlackBerry Protect una vez instalado está basada en autenticación mediante el sistema BlackBerry ID y los usuarios podrán acceder a un servicio web para llevar a cabo las distintas acciones. RIM también ofrece asistencia con operador.

Fuente: Blackberry

ACTUALIZACIÓN DE “Adobe” PARA “Flash Player”

Adobe Systems ha publicado una actualización de seguridad para una vulnerabilidad crítica descubierta en Flash Player que podría permitir a ciberdelincuentes tomar el control remoto de los equipos.

• La nueva versión Adobe Flash Player 10.2.153.1 soluciona este fallo que afectaba a las versiones 10.2.152.33 y anteriores para Windows, Mac, Linux y Solaris, así como a las versiones 10.1.106.16 y anteriores para Android.
• Adobe ha aprovechado esta actualización para parchear otra vulnerabilidad también crítica en el componente authplay.dll de Adobe Reader y Acrobat X (10.0.1) y versiones anteriores 10.x 9.x para Windows y Mac.

Recomendaciones:

• Desde la compañía recomiendan a todos los usuarios que actualicen Flash Player con la nueva versión para evitar ser víctimas de este fallo, que podría provocar el bloqueo del sistema o el secuestro del equipo.

• Google se anticipó cuando lanzó la versión 10.0.648.134 de Chrome, que ya tenía la actualización de esta vulnerabilidad.

Fuente: Adobe

FALLO DE SEGURIDAD PERMITE FILTRACIÓN DE DATOS DE "play.com"

La empresa encargada del marketing de Play.com fue atacada filtrándose correos electrónicos y nombres de usuarios de la tienda 'online'.

Aviso de la compañía:

Play.com están enviando un correo electrónico a todos sus clientes para advertirles que estos datos podrían haber sido robados, advirtiendo al mismo tiempo que los detalles de las tarjetas de crédito no se vieron comprometidos, segú asegura The Guardian.

Recomendaciones y garantías de seguridad:

• Para evitar que sus clientes sean víctimas de casos de 'phising' debido a esto, la compañía explica que nunca pide información como contraseñas o datos financieros a través de correos electrónicos.
• Asimismo, piden a los clientes que si reciben algún correo sospechoso se lo reenvíen para que puedan investigar.
• La compañía también ha explicado que su base de datos se encuentra en un servidor interno que no está conectado a Internet.

Fuente: The Guardian

“ANDROID” YA TIENE CIFRADO DE DATOS

WhisperCore es el nombre del sistema de cifrado de datos diseñado para ser utilizado en dispositivos móviles basados en Google Android.

Descripción del producto:

• Whisper Systems ha lanzado la beta pública del sistema de cifrado de datos para el sistema operativo Google Android, que ya tenían dispositivos basados en BlackBerry y Symbian.
• Aún se encuentra en fase beta, pero la compañía Whisper Systems, creadora de este sistema, asegura que pronto llegará la realización final.
• El Nexus S es el primer terminal compatible con WhisperCore, pero pronto se extenderá a otros modelos

Detalles técnicos del producto:

• El producto utiliza cifrado AES (Advanced Encryption Standard) de 256 bit y solicita una palabra que utilizará como clave para cifrar los datos almacenados en el dispositivo.
• El proceso de cifrado de datos en los dispositivos móviles aumenta notablemente la seguridad ya que, mientras los datos borrados se pueden recuperar fácilmente, este proceso requiere de la palabra clave para poder hacerlo.

Fuente: Cnet

DETECTADOS CORREOS MALICIOSOS QUE SIMULAN SER DE “Twitter”

Se han detectado una serie de correos electrónicos que simulan proceder de Twitter y que con la excusa de confirmar la cuenta de correo, enlazan a páginas Web maliciosas.

Detalle de las páginas web maliciosas:

Estas páginas Web (se han detectado varias, aunque de momento todas están alojadas en el mismo servidor) aprovechan dos vulnerabilidades:

1. una de JAVA (CVE-2010-0886)
   
2. y otra de Microsoft Windows Help and Support Center (CVE-2010-1885) para descargar en el equipo afectado software malicioso

Recursos afectados:

• Todos los usuarios que reciban el correo electrónico indicado.

Soluciones recomendadas:

1. Tener actualizado todo el software instalado: Sistema operativo, Navegadores, Software de protección y de uso generalizado, en este caso concreto se utilizan dos vulnerabilidades del año 2010 que ya han sido solucionadas, pero si no tenemos actualizado el software, nuestro sistema es vulnerable.
2. Ignorar correos electrónicos que provengan de desconocidos.
3. Comprobar en todos los correos electrónicos, que los enlaces realmente apuntan a la dirección que tienen que apuntar.

Fuente: Inteco

ACTUALIZACIÓN DE “CHROME” CORRIGE FALLO EN “FLASH”

Google lanza actualización para Chrome que corrige una vulnerabilidad crítica en Flash Player descubierta esta semana adelantándose incluso a Adobe.

Detalles técnicos de la vulnerabilidad y versiones afectadas:

• El agujero de seguridad ha sido explotado por los ciberdelincuentes a través de un archivo malicioso .sfw embebido en una hoja de cálculo de Microsoft Excel, según informó Adobe.
• La vulnerabilidad podría permitir a los ciberdelincuentes incluso tomar el control del equipo de forma remota.
• La vulnerabilidad afecta a las versiones de Flash Player 10.2.152.33 y anteriores para Windows, Mac, Linux y Solaris, así como a las versiones 10.1.106.16 y anteriores para Android.
  

Además, el fallo de seguridad también podría afectar a Reader y a Acrobat, aunque de momento no detectaron ataques en estas plataformas según la compañía.

Recomendaciones y detalles de la actualización:

• Google ha lanzado la versión 10.0.648.134 de Chrome que permite a sus usuarios estar protegidos antes de que llegue el parche de Adobe.
• La actualización de Chrome cuenta con Flash Player 10.2.154.25, que incluye un parche que soluciona el problema de seguridad.

Adobe anunció que la próxima semana lanzaría un parche para solventar esta vulnerabilidad

Fuente: Hispasec

MICROSOFT CIERRA LA RED DE SPAM MÁS GRANDE DEL MUNDO

Una orden judicial tramitada por la compañía permitió que se allanaran las instalaciones del hosting en Kansas, Scranton, Denver, Dallas, Chicago, Seattle y Columbus.

• Según informó Microsoft, los servidores estaban siendo utilizados como centro de control de la red botnet.

• Además de difusión de spam vía correo electrónico, Rustock era capaz de obtener contraseñas o de realizar ataques de denegación de servicio.

• La compañía de seguridad Symantec, publicó que el botnet Rustock era el responsable de casi la mitad del spam del mundo y según Microsoft controlaba más de un millón de computadores

Fuente: Blogs de Microsoft

INYECCIÓN SQL EN “JOOMLA 1.6”

Publicada una vulnerabilidad de inyección SQL que afecta a la rama 1.6.0 del popular gestor de contenidos Joomla. La vulnerabilidad ha sido descubierta por Aung Khant que forma parte de 'YGN Ethical Hacker Group'.

• Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web.
• El fallo fue notificado a Joomla el pasado 24 de enero y a principios de marzo fue publicada la actualización que corrige el fallo de seguridad, ( la versión 1.6.1).

Recomendaciones a los usuarios de Joomla:

• Actualización del gestor de contenidos.
• Además deberán actualizar todos los componentes que tengan instalados junto a su gestor de contenidos siempre que corresponda o lo indiquen los fabricantes.

Fuente: Hispasec

ROBAN INFORMACIÓN A LA EMPRESA DE SEGURIDAD “RSA“

Art Coviello, director ejecutivo de RSA, explica en una carta abierta a los clientes de la compañía que sus sistemas de seguridad identificaron un "ciberataque extremadamente sofisticado en progreso" contra RSA.

Detalles del ciberataque:

• Parte de la información robada está "específicamente relacionada" con los protocolos de autentificación SecurID de la empresa.
• Por el momento, están "seguros" de que la información extraída no permite un ataque directo a ninguno de sus clientes".
  
• No obstante, alertan de que podría ser utilizada para reducir la efectividad del sistema actual de autentificación en dos factores como parte de un ataque más amplio.

Comentarios al respecto:

• Según explica Whitfield Diffie, especialista en seguridad informática, al New York Times, la ''llave maestra', un número utilizado en el algoritmo de encriptación, podría haber sido robado.
• Si este hubiera sido el caso, explica Diffie, podría utilizarse el código para duplicar las tarjetas y llaves que proporciona RSA, de modo que se podría obtener acceso a las redes y los sistemas informáticos de las empresas.

Fuente: New York Times

“Twitter” AÑADE LA CONEXIÓN SEGURA PERMANENTE

Los usuarios de Twitter tienen una nueva opción en la configuración de su perfil para usar permanentemente la conexión segura (HTTPS).

La pestaña “Always use HTTPS” (Usar siempre HTTPS) permite acceder de forma permanente a la red social a través de este protocolo de seguridad, empleado en sitios financieros por ejemplo.

• La función está disponible en las versiones para ordenador, iPhone e iPad.
• Twitter no descarta que en el futuro esta configuración venga por defecto, mientras tanto el usuario debe configurarla manualmente.

Fuente: Blog de Twitter

ACTUALIZACIÓN PARA “Adobe Flash Player”

Adobe ha lanzado una actualización de seguridad que soluciona 13 vulnerabilidades críticas en Adobe Flash Player versión 10.1.102.64 (y anteriores) para Windows, Macintosh, Linux y Solaris.

• De las 13 trece vulnerabilidades corregidas por Adobe, 12 han sido puntuadas con un 9.3 como puntuación CVSS, debido a que podrían permitir la ejecuciónde código arbitrario a los ciberdelincuentes.
  

La última vulnerabilidad es del tipo, "elevación de privilegios".

Recomendaciones:

Los usuarios de Adobe Flash Player de todas las plataformas afectadas deberán actualizarse a la versión 10.2.152.26, disponible desde:

http://www.adobe.com/go/getflash

Fuente: Adobe

LAS CLAVES “WPA” DEL ROUTER “Zyxel” DE “MoviStar” AL DESCUBIERTO

La empresa Seguridadwirelesst ha publicado los detalles de cómo se generan las claves WPA por defecto para los routers Zyxel distribuidos por MoviStar.

• Esta incidencia es la continuación de la publicación de los detalles de generación de claves de los routers Comtrend, también de MoviStar y Jazztel a principios de febrero. Ahora, además, han revelado cómo se realizó el descubrimiento.
• Ni MoviStar, ni Jazztel ni Comtrend ni Zyxel se han pronunciado oficialmente sobre estos descubrimientos.

Recomendaciones:

Es recomendable a la vista de las informaciones publicadas modificar la clave por defecto del cifrado WPA del router, siguiendo alguno de los siguientes métodos:

1. Por medio panel de configuración del router
2. O a través del CD que lo suele acompañar.

Fuente: Hispasec

ESCALADO DE PRIVILEGIOS EN “.NET Runtime Optimization Service”

Se ha publicado un nuevo 0-day para Windows 2003 R2, XP SP3 y Windows 7, aunque no se descartan otras versiones, para obtener privilegios de NT AUTHORITY\SYSTEM.

Detalle:

Un usuario local podría sustituir el fichero mscorsvw.exe (componente del Common Language Runtime el cual forma parte del Microsoft® .NET Framework) por otro que se ejecutaría con privilegios de SYSTEM al iniciarse el servicio para escalar privilegios.

Recomendación:

• Se recomienda desactivar el servicio o modificar los permisos del fichero c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

Fuente: Inteco

APPLE CORRIGE 59 VULNERABILIDADES

Apple ha publicado actualizaciones para iOS, AppleTV y Safari que corrige 59 vulnerabilidades, para el sistema operativo iOS (usado por sus terminales iPod touch, iPhone e iPad).

• Las vulnerabilidades podrían permitir revelación de información sensible, ejecución de código Javascript e inyección de código HTML, denegaciones de servicio y ejecuciones de código arbitrario por un atacante remoto.
• La actualización ha corregido principalmente el componente WebKit, sobre el que se han solucionado 52 fallos de seguridad.
  

WebKit es el motor de renderizado HTML de código abierto utilizado, entre otros, por el navegador web Safari.

Recomendación:

• Se recomienda actualizar a las versiones iOS 4.3, Safari 5.04 y Apple TV 4.2.

Fuente: Hispasec

ACTUALIZACIÓN PARA “Red Hat Enterprise Linux 6”

Red Hat ha lanzado una actualización del paquete "ibcgroup" para la versión 6 de su producto Enterprise Linux.

• La actualización corrige 2 vulnerabilidades que podrían permitir a un atacante local escalar privilegios y causar una denegación de servicio.

"libcgroup" es un paquete que provee herramientas y librerías para el control y monitorización de grupos de control".

Recomendación

• Dada su importancia, se recomienda su actualización inmediata.
  
• Actualización disponible por medio de Red Hat Network.

Fuente: Red Hat

LANZADOS LOS BOLETÍNES DE SEGURIDAD DE MICROSOFT DE MARZO

Microsoft publicó los boletines de seguridad del mes de Marzo de 2011 que solucionan diversos fallos de seguridad. Esta actualización consta de tres boletines, uno de ellos catalogado como crítico y los otros dos como importantes.

Las actualizaciones solucionan un total de 4 vulnerabilidades, tres de ellas en Microsoft Windows y la otra en Microsoft Office.

Versiones afectadas:

• Windows XP.
• Windows 7
• Windows Vista
• Windows Server 2008 R2.
• Microsoft Office.

Recomendación:

• Instalar la actualización publicada en el resumen del boletín de seguridad de Microsoft de Diciembre .
  
• En el boletín de seguridad se trata todo lo relativo a la actualización, por lo que se recomienda a los administradores consultarlo y probarlo para evitar posibles efectos adversos.
• En muchos casos, siempre que se encuentre activado el servicio, las actualizaciones se realizarán de forma automática.

Fuente: Hispasec

GOOGLE LANZA LA ACTUALIZACIÓN 10.0.648.127 DE “Google Chrome”

La nueva versión, para todas las plataformas corrige 25 vulnerabilidades, la mayor parte de criticidad alta. Además introduce otras mejoras de seguridad como la ejecución de Adobe Flash en una sandbox en Windows.

Entre otras cosas, las vulnerabilidades pueden producir:

• La caída o cuelgue del navegador.
• La posible ejecución de código malicioso.

Versiones afectadas

Todas las plataformas que tengan instalada una versión anterior del navegador.

Recomendación

Instalar las actualizaciones:

1. En caso de que no se haya actualizado su navegador automáticamente, puede hacerlo desde la opción "Acerca de Google Chrome" del menú de herramientas, seleccionando la opción Actualizar.
2. También es posible instalar la última versión del navegador de Google descargándolo de su página Web.

Fuente: Inteco

ACTUALIZACIÓN DE JAVA PARA “Mac OS X”

Apple ha publicado una actualización de seguridad para Java en Mac OS OS X 10.5.8 9 y Mac OS X 10.6.6 que soluciona múltiples vulnerabilidades.

• Estas vulnerabilidades podrían permitir ejecutar código fuera de la sandbox, con los permisos del usuario actual, cuando el usuario accede a un contenido Java manipulado en este sentido. Lo cual implica que la importancia de esta actualización es muy alta.

Versiones afectadas

• Sistemas Mac OS X 10.5 y 10.6 con versiones previas de Java instaladas.
• Las actualizaciones de seguridad Java 1.6.0_24 y 1.5.0_28 que solucionan múltiples problemas de seguridad en las anteriores versiones de Java 1.6.0_22 y 1.5.0_26 respectivamente.

Recomendación

Instalar la actualización.

Se puede instalar de dos formas posibles:

1. Desde [Preferencias del sistema >> Actualización de Software].
2. O desde la página de descarga de software de Apple.

Fuente : Cert Inteco

EL ELÍSEO Y EL MINISTERIO DE EXTERIORES FRANCES VÍCTIMAS DE UN 'CIBERATAQUE'

El ministro de economía francés, François Boran, confirmó que los ordenadores de su gabinete fueron víctimas de un ataque informático masivo en diciembre.

• Parece ser que el ataque buscaba obtener información confidencial sobre el G-20 (grupo de paises con las economías más importantes del mundo). Se desconoce la procedencia de los ciberataques, aunque se rumorea del posible origen chino.
  
• El ciberataque a gran escala contra Ministerio francés de Economía, y en particular a funcionarios encargados de la presidencia francesa del G20, también afectó al ministerio de Exteriores y al propio Elíseo, según informó el diario Libération.
• El ministro francés, explicó que los “hackers” lograron entrar en los buzones de correos y servidores de sus sistemas y desde el ministerio tardaron semanas en descubrir a los atacantes y bloquearlos, pero según el dirigente francés no se llegó a manipular o sustraer información fiscal.

Fuente: www.elmundo.es

ACTUALIZACIÓN DE SUBVERSION PARA “Debian Linux”

Debian ha lanzado una actualización del paquete subversion que corrige una vulnerabilidad que podría permitir a un ciberdelincuente provocar denegación de servicio haciendo que la aplicación deje de responder.

Subversion es un popular sistema de control de versiones con licencia Apache.

• La vulnerabilidad solo puede ser explotada cuando subversion funciona a través del servidor Apache HTTPD cuando los usuarios no autenticados tienen acceso de lectura.
• El fallo fue notificado por Philip Martin de la empresa WANdisco y tiene asignado el CVE-2011-0715.

Fuente: Hispasec

LISTA DE LAS APLICACIONES WEB MÁS PELIGROSAS

Según el equipo de investigación de WatchGuard el rápido crecimiento de las amenazas en los entornos corporativos está en las aplicaciones para medios sociales basadas en la web.

Estas aplicaciones pueden comprometer seriamente la seguridad de la red, exponer información sensible y mermar la productividad de los empleados.

Las aplicaciones con más riesgos son:

Facebook:

• Es sin duda el medio social más peligroso actualmente, en gran medida debido a su popularidad.
  
• Con más de 500 millones de usuarios, Facebook ofrece grandes posibilidades para la ciberdelincuencia.

Twitter:

• Los 140 caracteres de los mensajes cortos de Twitter ofrecen nuevas vulnerabilidades como los “acortadores" de URLs, que permiten a los hackers esconder links maliciosos.
• Además Twitter sufre muchas vulnerabilidades relacionadas con la API y la Web 2.0 que permiten a los usuarios atacar e incluso propagar gusanos entre sus usuarios.

YouTube:

• Como es uno de los sitios de vídeos online más populares, los hackers crean páginas web maliciosas enmascaradas como páginas de vídeo de YouTube.
• Además, los atacantes usan el spam en la sección de comentarios de vídeos de YouTube con links maliciosos.

LinkedIn:

• Tiene más peso que otros medios sociales dada su orientación profesional y de negocio.
• El atractivo para los atacantes reside en que los usuarios aprovechan LinkedIn para entablar relaciones de negocio o entrar en procesos de selección de puestos de trabajo, tienden a publicar información más confidencial y potencialmente sensible en esta red social.

4chan:

• Es un conocido mural de imágenes, un medio social donde los usuarios envían imágenes y comentarios.
  
• 4chan se ha visto envuelto en varios ataques de Internet atribuidos a “anonymous", que es el único nombre de usuario que todos los usuarios de esta red pueden obtener.
• Muchos hackers utilizan 4chan para distribuir su malware a través de los foros de 4chan.

Chatroulette:

• Es un sitio con gran potencial que permite a los usuarios que tengan una webcam conectarse y chatear con gente al azar.
• La naturaleza de este sistema webcam anónimo le convierte en un objetivo potencial para los ciberdelincuentes.

Fuente: WatchGuard.

LOS “PDF” MALICIOSOS EN VANGUARDIA DE LA CIBERDELINCUENCIA

Los archivos PDF maliciosos son el vector de ataque de elección por parte de los atacantes, según un informe publicado por MessageLabs de Symantec.

Los PDF maliciosos superan a los archivos de tipo, multimedia, de ayuda, HTML y ejecutables, en la distribución malware utilizados en ataques dirigidos:

• En 2009, aproximadamente el 52,6% de los ataques dirigidos utilizan exploits PDF, en comparación con el 65,0% en 2010, un aumento del 12,4%.
• De mantenerse la tendencia, a mediados de 2011, el 76% del malware dirigido podría ser utilizado para ataques basados en PDF.

En resumen, el informe señala que:

• Los ataques dirigidos basados en PDF continuarán.
  
• Se prevé que empeore a medida que los autores de malware sigan innovando en la entrega, la construcción y la ofuscación de las técnicas necesarias para este tipo de malware.

Recomendaciones:

Como siempre, el medio más eficaz de protección es:

1. Ser consciente de los riesgos
2. Proteger el equipo con antivirus y actualizarle debidamente.
3. Tener precaución cuando se trata de cualquier contenido adjunto en un mensaje de correo electrónico.

Fuente: ZDNet

DESCUBIERTAS UNAS 40 VULNERABILIDADES EN EL “kernel de Ubuntu 10.04 LTS”

Descubiertas cerca de 40 fallos de seguridad en el kernel de Linux Ubuntu 10.04 (Lucid Lynx), versión LTS (Long Time Support) de esta distribución de GNU/Linux. Kubuntu, Edubuntu y Xubuntu con la misma numeración, están afectadas también.

Las vulnerabidades están relacionadas con :

• La forma en que el “Common Internet File System” (CIFS) valida los paquetes ICPM (Internet Control Message Protocol), haciendo posible un ataque de denegación de servicio (DOS).
• Fallo de seguridad en NFSv4 (Network File System v4) que permitirían a un atacante obtener privilegios administrativos.
• En total se han detectado nueve vulnerabilidades que otorgan privilegios de root y 14 que conducen a la denegación de servicio.

• Otros están relacionados con la comprobación incorrecta de privilegios de archivo y la restricción de “solo-lectura” que, en un entorno multi-usuario puede afectar, entre otras cuestiones, a la privacidad.

Enlace a la lista completa de vulnerabilidades publicada por Ubuntu en: http://www.ubuntu.com/usn/usn-1083-1

Recomendaciones:

Ya existen parches para solventar estas vulnerabilidades y simplemente hay que actualizar.

Fuente: ZDNet

ATACAN UNA LISTA DE CORREO DE DISTRIBUIDORES DE LINUX

La lista de correo “Vendor-Sec”, para distribuidores de sistemas operativos en código abierto de Linux o BSD, ha sido atacado por un ciberdelincuente, que habría tenido acceso a parte de su información.

Parece ser que el cibercriminal podría haber accedido a cientos de emails que contenían información sobre exploits que afectaban a vulnerabilidades de los sistemas, y que todavía no habían sido corregidas.

• Markus Meissner, administrador de Vendor-Sec, ha explicado que el “cracker” entró en el servidor de la lista de correos y al ser descubierto destruyó su instalación.
• Se desconoce el daño exacto y la información que pudo sustraer de la lista, pero la consecuencia del ataque ha sido el cierre de Vendor-Sec.

Fuente : H-Online

ATACADAS UNAS 40 WEBS DEL GOBIERNO DE COREA DEL SUR

A las 10:00 de la mañana, hora local, unos 40 sitios web del Gobierno de Corea del Sur sufrieron un ataque DDoS

La Comisión de Comunicaciones coreana explicó en un comunicado que había decretado el tercer mayor nivel de alerta contra ciberataques y que había aumentado la monitorización de los principales sitios web, según informó Bloomberg.

Algunos de los sitio web afectados por el ataque son el de la Oficina Presidencial y el de la Agencia Nacional de Seguridad.

Corea sufrió ataques similares procedentes de Corea del Norte en 2009.

Fuente: Bloomberg

“WordPress” SUFRE UN GRAN ATAQUE “DdoS”

La plataforma de blogs WordPress es víctima de un gran ataque de denegación de servicio, que según las averiguaciones previas, podría estar motivado por temas políticos.

WordPress reconoció sufrir un "enorme ataque de denegación de servicio":

• Para hacerse idea de las dimensiones del ataque, basta decir que el ataque está enviando “múltiples gigabits por segundo y decenas de millones de paquetes por segundo”, por lo que la vuelta a la normalidad les “está resultando bastante difícil”.

• “Los posts han sido desactivados, volveremos a colgar todo de nuevo tan pronto como sea posible”, ése es el mensaje que se han encontrado los usuarios afectados por el ataque DDoS dirigido contra WordPress, uno de los principales sistemas de blogging del mundo.

• Los ataques han sido dirigidos contra los centros de datos que WordPress posee en Chicago, San Antonio y Dallas, por lo que la mayor parte de los afectados se encuentran en Estados Unidos, algunos de ellos blogs informativos muy destacados como TechCrunch, donde han experimentado problemas para acceder al servicio.
  

• Según las últimas informaciones facilitadas por la plataforma de blogs, el ataque ya ha remitido y poco a poco se está reinstaurando el servicio, aunque reconocen que les está costando mucho reinstaurar la normalidad y no descartan nuevos ataques en los próximos días.

Fuente: Techcrunch

ACTUALIZACIÓN PARA “Red Hat Enterprise Linux 5”

Red Hat ha lanzado una actualización del kernel para la versión 5 de su gama Enterprise Linux Server y Desktop.

Detalles técnicos:

La actualización corrige tres fallos de seguridad que podrían permitir a un atacante provocar una denegación de servicio y obtener información sensible.

Los códigos CVE asignados a las vulnerabilidades corregidas son:

1. CVE-2010-4249
2. CVE-2010-4251
3. CVE-2010-4655

Adicionalmente la actualización corrige múltiples fallos y aporta mejoras no relacionadas con la seguridad.

Recomendaciones:

• La actualización disponible a través de Red Hat Network, recomendable ejecutarla a la mayor brevedad de tiempo.
  

Fuente: Hispasec

ACTUALIZACIÓN PARA EL NAVEGADOR CHROME

Google ha lanzado una actualización para su navegador Chrome que soluciona 19 vulnerabilidades, de las cuales 16 fueron calificadas de importancia alta y tres de importancia media, pero ninguna fue calificada como crítica.

Coste de Invesgación de vulnerabilidades:

• El coste para Google ha supuesto unos 14.000 dólares, que pagará a los investigadores que informaron de las vulnerabilidades según el programa de recompensas de la compañía.
• Dicho programa ya ha rebasado los 100.000 dólares desde su comienzo.

Recomendaciones:

La versión actualizada de Chrome (versión 9.0.597.107) puede descargarse desde la página del producto o puede ser actualizada desde el mismo navegador, lo cual resulta de lo más aconsejable realizar lo antes posible.

Fuente: Hispasec

FALSA PÁGINA DE YOUTUBE DISTRIBUYE TROYANO

Localizada falsa página de YouTube utilizada por ciberdelincuentes para distribuir una copia del malware Trojan.Downloader.Java.C.

Según Bidefender, el malware descargado permite enviar mensajes con links maliciosos a través del chat de Facebook, registrar las conversaciones de mensajería instantánea o redirigir a páginas webs infectadas las búsquedas realizadas en Google y Bing, entre otras acciones.

Modus operandi:

• Los usuarios son llevados hasta esta página mediante la promesa de ver supuestos vídeos interesantes. Cuando llegan a ella, no sospechan porque es exactamente igual que la página de YouTube. La única diferencia es que se les pide que instalen un complemento de Java para poder ver los vídeos.
• Si se instala ese complemento, los usuarios estarán introduciendo en su equipo una copia del troyano Downloader.Java.C, un ejemplar de malware especializado en descargar otros virus en el equipo.

Fuente: BitDefender.

ACTUALIZACIÓN DE SAMBA PARA “Debian Linux”

Debian ha publicado una actualización de samba que soluciona una vulnerabilidad que podría permitir a un atacante causar una denegación de servicio.

• El fallo ha sido descubierto por Volker Lendecke de SerNet y tiene asignado el CVE-2011-0719.
• Samba es una implementación del protocolo SMB/CIFS para sistemas Unix para poder compartir archivos e impresoras con sistemas Microsoft Windows o aquellos que también tengan instalado Samba.

Detalles de la vulnerabilidad:

• La vulnerabilidad se debe a una falta de comprobación en los límites del valor asignado a los descriptores de archivo usados por la macro FD_SET.
  
• Esta falta de comprobación provoca una corrupción de la pila cuando son usados valores fuera de rango.

Recomendaciones :

• Se recomienda actualizar los paquetes samba.
  

Fuente: Hispasec

ACTUALIZACION DEL MOTOR DEL ANTIVIRUS DE “MICROSOFT”

Microsoft corrigió un fallo en su software antispyware y antivirus que podría permitir que un atacante autenticado en el sistema local ganara privilegios en el LocalSystem.

La vulnerabilidad calificada como “importante” para Windows Live OneCare, Microsoft Security Essentials, Windows Defender, Microsoft Malicious Software Removal tool, Forefront Client Security, y Forefront Endpoint Protection 2010.

Detalle de la vulnerabilidad:

• La actualización corrige una vulnerabilidad que podría permitir la elevación de privilegios si el Microsoft Malware Protection Engine explora un sistema después de que un atacante con credenciales válidas haya creado una clave de registro especialmente manipulada.
• Un atacante capaz de explotar con éxito la vulnerabilidad podría conseguir los mismos derechos de usuario que la cuenta LocalSystem.
• Desde Microsoft aseguran que la vulnerabilidad no puede ser explotada por “usuarios anónimos”.
  
• También afirma que las estaciones de trabajo y los terminal servers son los más afectados por la vulnerabilidad.

Recomendaciones:

• La solución para esta vulnerabilidad de escalada de privilegios está incluida en una actualización para el Microsoft Malware Protection Engine.
• Según la compañía, como las actualizaciones para la protección del malware se aplican automáticamente, la mayoría de los usuarios y administradores no necesitan hacer nada.

Fuente: Itesspreso

DENEGACIÓN DE SERVICIO EN “ISC BIND 9”

ISC confirmó la vulnerabilidad que afecta a BIND y que podría permitir a un ciberdelincuente causar denegación de servicio en los servidores afectados.

BIND (Berkeley Internet Name Domain) es el software para servidores de gestión del protocolo DNS más utilizado en Internet gracias a su alta compatibilidad con los estándares de este protocolo.

Detalles técnicos:

• El CVE-2011-0414 recoge esta vulnerabilidad, que se encuentra cuando se procesan transferencias IXFR o actualizaciones DDNS.
• Un atacante remoto podría aprovechar este problema para causar una denegación de servicio, mediante el envío de una consulta especialmente manipulada instantes después de haber procesado alguna de estas peticiones.

Versiones afectadas:

Las versiones afectadas por este problema son 9.7.1 y 9.7.2-P3, se recomienda actualizar a BIND 9.7.3. Tanto las versiones anteriores como BIND 9.8 no están afectadas.

Fuente: Hispasec

NUEVO TROYANO CONTRA “Mac OS X”

Expertos en seguridad advirtieron de un nuevo troyano, denominado BlackHole, capaz de controlar remotamente los equipos Mac OS X de Apple.

Características del troyano:

• Los investigadores lo han denominado MusMinim y explican que utiliza el sistema de puerta trasera para acceder al sistema, aunque al parecer está todavía en una fase muy inicial para considerarlo una amenaza.
• Al parecer, este troyano es capaz de suspender el equipo, mostrar falsas ventanas para pedir la contraseña de administrador, ejecutar comandos arbitrarios, colocar archivos de texto en el escritorio o mostrar una ventana a pantalla completa con un mensaje que sólo permite reiniciar el sistema.
• Los expertos en seguridad intentan determinar la capacidad de infección del nuevo troyano de acceso remoto, que al perecer es una variante de darkComet de Windows.

Se desconoce el origen geográfico del troyano y aunque según parece no ha comenzado a distribuirse masivamente, demuestra el creciente interés de los ciberdelincuentes por vulnerar la seguridad de los equipos Mac.

Fuente: The Inquirer

CIEN MIL CUENTAS DE CORREO AFECTADAS POR UN FALLO DE “GMAIL”

Un fallo de Gmail provoca la desaparición de los mensajes y de información personal en la cuenta del servicio de correo de Google.

• En el foro de la compañía se admitió que el fallo afectaba a un 0,08% de los usuarios de este servicio. En el mismo foro, las víctimas del fallo explican que como consecuencia de la avería solo aparece la lista de contactos y el calendario.
• Google asegura que tiene a sus ingenieros trabajando activamente para solucionar el problema e informa que los usuarios afectados no podán emplear la cuenta hasta su total restauración.

Recomendaciones:

En diferentes foros para previnir errores como los anteriormente citados se recuerda la existencia de una aplicación que permite hacer copia de seguridad (backup) de los mismos.

Fuente: www.elpais.com

ANUNCIADA VULNERABILIDAD EN “Cisco Firewall Services Module”

Cisco ha notificado una vulnerabilidad en su módulo FWSM (Firewall Services Module) versiones 3.1.x, 3.2.x, 4.0.x, y 4.1.x que los ciberdelincuentes podrían utilizar para realizar ataques de denegación de servicio.

Descripción del módulo y versiones afectadas :

• El FWSM es un módulo de firewall integrado en los switches Catalyst 6500 y routers Cisco 7600.
• El problema afecta las versiones 3.1.x, 3.2.x, 4.0.x, y 4.1.x sin parchear de Cisco FWSM Software si se encuentra activada la inspección SCCP (configuración por defecto).
  
• Cisco ASA 5500 Series Adaptive Security Appliances también se ve afectado por esta vulnerabilidad.

Recomendaciones :

• Cisco publicó la versión actualizada del software que corrige el problema y puede descargarse desde: http://www.cisco.com/cisco/software/navigator.html
• En Products > Security > Firewall > Firewall Integrated Switch/Router Services > Cisco Catalyst 6500 Series Firewall Services Module > Firewall Services Module (FWSM) Software.
• Para cualquier duda, siempre es recomendable consultar las tablas de versiones vulnerables, actualizaciones y contramedidas, publicadas por Cisco.

Fuente: Hispasec

NUEVA VULNERABILIDAD EN EL ANTIVIRUS “ClamAV”

Descubierta una vulnerabilidad en el antivirus ClamAV para las versiones anteriores a la 0.97, que un ciberdelincuente podría aprovechar para ejecutar código arbitrario en el sistema afectado.

ClamAV es un antivirus multiplataforma de código abierto que sirve para identificar malware tanto en servidores de correo electrónico como en otros equipos en los que se instale.

Detalle de la vulnerabilidad:

• La vulnerabilidad, a la que le ha sido asignado el cve CVE-2011-1003, aparece en sistemas GNU/Linux.
  

Recomendaciones:

• La última versión del antivirus (actualmente la 0.97), que contiene el parche que soluciona dicho fallo, se encuentra en la página oficial de ClamAV.

Fuente: Hispasec

VARIANTE DEL TROYANO ZEUS INTERCEPTA CLAVES BANCARIAS POR “SMS”

Expertos en seguridad informática descubrieron una variante del troyano bancario Zeus capaz de interceptar las claves de sus víctimas para acceder a los servicios de banca online.

Mitmo, que así se llama el nuevo troyano, ya habría intentado atacar a los usuarios de ING en Polonia para hacerse con sus contraseñas, aunque la entidad asegura que ninguna cuenta se ha visto vulnerada.

Modus operandi:

• Los ciberdelincuentes engañan a los usuarios para que descarguen en sus móviles una aplicación que simula ser una actualización necesaria para recibir las claves de acceso por SMS ofrecida por la entidad bancaria, según ha explicado el experto en seguridad Konieczny Piotr.
• La supuesta actualización permite hacerse con la clave de acceso que las entidades envían a los usuarios como parte del sistema de autentificación en dos pasos, a partir de ahí, el ciberdelincuente tiene acceso a los servicios bancarios.

Dispositivos afectados:

• Según los expertos en seguridad, los dispositivos vulnerables a Mitmo serían los gobernados por Symbian y BlackBerry OS, aunque al parecer también podrían verse afectados los terminales con Windows Mobile, según apuntan desde Kaspersky Labs.
• ZeuS está considerado como uno de los troyanos más sofisticados y peligrosos, ya que es capaz de robar información personal, capturar claves de acceso a la banca online y controlar equipos infectados.

Fuente: Eweek Europe

NUEVO TROYANO CONTRA LA BANCA ONLINE

Un nuevo troyano conocido como OddJob, roba dinero a usuarios que acceden a la banca online después de que ellos crean que han cerrado sesión, según asegura Amit Klein, director tecnológico de la compañía de seguridad Trusteer.

El troyano, afecta a ordenadores basados en Windows principalmente y está siendo utilizado por criminales en Europa del Este para robar dinero de cuentas en Estados Unidos, Polonia y Dinamarca.

Detalles técnicos:

• El troyano, intercepta las comunicaciones que los clientes establecen con los bancos a través de Internet Explorer o Firefox, robando o interceptando la información y terminando las sesiones después que el usuario lo haya hecho.
• Cuando un cliente está en la página web de un banco, el troyano aprovecha la sesión para suplantar al usuario y pasar por alto el cierre de sesión del cliente, de modo que la sesión no está realmente cerrada aunque el usuario lo crea así.
• Para evitar su desactivación por parte del software de seguridad, la configuración del malware no se guarda en el disco, sino que cada vez que se abre una sesión se envía una copia desde el servidor de comando y control.

Recomendaciones:

La empresa de seguridad Trusteer recomienda para protegerse del citado troyano:

1. Instalar todas las actualizaciones de seguridad.
2. No acceder a direcciones web desde mensajes de correo electrónico.
3. Utilizar software de seguridad que vigile el acceso a Internet.

Fuente: Itesspreso

“GOOGLE” REGALA PAGINA WEB A LAS PYMES

La multinacional lanza "Conecta tu Negocio", proyecto que ofrece página y dominio gratis a los pequeños negocios durante un año para paliar la mínima presencia de las PYMES en Internet.

La multinacional estadounidense ya ha llevado a cabo proyectos similares en Reino Unido y Polonia.En el primer país consiguió la adhesión de 100.000 empresas.

Colaboradores del proyecto :

1. La patronal CEPYME, que organizará los seminarios en sus sedes.
2. Strato, que ofrece la plataforma con el editor de sitios web para crear las páginas, el alojamiento y el dominio.
3. MRW (transporte).
4. Orange (comunicaciones y conexión a Internet).
5. Cuenta también con el apoyo institucional de Red.es, del Ministerio de Industria, aunque la financiación corre a cuenta de las empresas, en particular de Google, que no ha querido precisar el importe.

Objetivos a cubrir:

• El objetivo es ampliar el número de PYMES con presencia en Internet ya que en España sólo el 23% de los pequeños negocios de los 3,3 millones existentes tienen página web.
• Bernardo Lorenzo, secretario de Estado de Telecomunicaciones, indicó que el problema está en empresas de menos de 10 trabajadores. Anunció que a partir de marzo se volverán a poner en marcha los créditos y subvenciones para equipamiento de tecnologías de la información destinado a las pymes.

Detalles de la oferta :

• Para ello, se facilitará gratuitamente a todas las PYMES que lo soliciten la creación de una página web, el alojamiento y un dominio ".es" durante todo un año, y se llevarán a cabo cursos de formación tanto de forma presencial como a través de la web (www.conectatunegocio.es/entuciudad )y por teléfono.
• Un autobús completamente acondicionado, recorrerá hasta mediados de julio 17 localidades de España, en el que profesionales asesorarán a los empresarios que se acerquen, para ayudarles con la creación de su página web

Fuente: www.elpais.com

“AVAST! ANTIVIRUS 6.0” LLEGARÁ CON “SAFEZONE”

Avast incorporará SafeZone, que es como se llama la nueva tecnología, que permitirá aislar los contenidos y aplicaciones para evitar los riesgos de infección y fuga de datos.

Según Avast, se trata del primer antivirus gratuito que ofrecerá tecnología de virtualización con AutoSandBox, que combinado con su motor de detección de malware hacen del producto ideal tanto para usuarios como para pequeñas y medianas empresas en sus versiones de pago.

SafeZone genera entorno virtualizado que aisla la sesión del resto del sistema:

La tecnología SafeZone es capaz de crear un escritorio virtualizado para aislar los contenidos y aplicaciones con los que trabajan los usuarios.

• “Es un recinto de seguridad de adentro hacia afuera para proporcionar una mayor seguridad“, indica Ondrej Vlcek, director de tecnología de AVAST Software. “Mientras las virtualizaciones habituales crean un sandbox para prevenir la entrada de malware y dañar el equipo real, SafeZone previene que sus datos privados salgan al exterior a través de malware.”

• Por ejemplo, es muy interesante su ejecución cuando acceden a banca por Internet ya que evita el acceso de cualquier tipo de malware como keyloggers y capturadores de pantalla, anulando posibles fugas de datos personales. SafeZone estará disponible en las versiones de pago de Avast!

Fuente: Eweek Europe

DISPONIBLE "ANDROID 3.0 SDK " PARA TABLETS

Google ha lanzado el SDK para la plataforma Android 3.0, que incorpora un interfaz de usuario rediseñado específico para tablets y más opciones de conectividad.

Además, también se han lanzado herramientas SDK y ADT (Android Development Tools) para Eclipse.

Descripción de funcionalidades soportadas:

1. La multitarea, nueva en esta versión, permite a los usuarios acceder a la lista ‘Recent App’ para ver las tareas que están en proceso.
2. Las opciones de conectividad de Android 3.0 incluyen soporte para ‘Media Picture Transfer Protocol’, gracias al cual se pueden sincronizar archivos multimedia con una cámara conectada por USB sin necesidad de un sistema de almacenamiento.
3. Bluetooth también está soportado.
4. El teclado también se ha visto afectado para facilitar la escritura. Entre otras cosas se ha incluido la tecla ‘Tab’.

Opciones para los desarrolladores.-

• Android ofrece un nuevo marco de trabajo para interfaces de usuarios, rendimiento gráfico 2D y 3D, soporte para arquitectura de procesadores multinúcleo y mejores opciones de conectividad y multimedia.

Opciones empresariales para los desarrolladores:

• Se incluye apoyo para políticas de administración de dispositivo.

Fuente: Itespresso

ACTUALIZACIÓN DE SEGURIDAD PARA “IDA Pro”

Detectadas varias vulnerabilidades en IDA Pro (versiones 5.7 y 6.0) que podrían utilizarlas ciberdelincuentes para causar una denegación de servicio y ejecución de código si el usuario ejecuta archivos especialmente manipulados.

IDA Pro es un desensamblador multiplataforma (Windows, Linux y Mac OS X) que soporta una gran variedad de formatos de archivos ejecutables y que posee infinidad de funcionalidades adquiridas a través de plugins, lo cual explica su gran utilización en el mundo de la ingeniería inversa.

Recomendaciones:

• Hex-Rays, compañía encargada del desarrollo de la herramienta, ha facilitado una dirección donde se puede descargar las actualizaciones donde corregir los fallos : https://www.hex-rays.com/vulnfix.shtml
  

Fuente: Hispasec

DENEGACIÓN DE SERVICIO EN “SOLARIS 11 EXPRESS”

Oracle evita una vulnerabilidad por denegación de servicios con una actualización de seguridad para Solaris 11 Express.

Detalles técnicos:

• La vulnerabilidad reside en un error de validación de entradas en memcached cuando procesa datos introducidos por el usuario.
• Lo cual podría ser aprovechado por un atacante remoto para provocar la caída del sistema afectado con la consiguiente denegación de servicio.

Recomendaciones :

Se recomienda actualizar Oracle Solaris 11 Express a snv_151a y aplicar el parche 6955181.

Fuente: Hispasec

¿ LAS NUEVAS COOKIES SON DE CONFIANZA?

ENISA, la agencia de seguridad europea, ha lanzado una advertencia sobre un nuevo tipo de cookie llamada ‘Bittersweet’, que podría convertirse en una seria amenaza si no se le hace frente rápidamente.

• El informe, titulado “ENISA Privacy, Accountability and Trust”, afirma que el mercado de publicidad ha creado un nuevo tipo de cookie, particularmente potente y de gran alcance y que a menudo se utilizan sin el conocimiento del usuario.
• El informe sugiere que tanto el servidor de origen como el usuario deberían agregar algún tipo de mecanismo de consentimiento antes de aceptar una cookie, que además deberían poder ser eliminadas.

Recomendaciones :

ENISA ha pedido que los usuarios de Internet deberían dar su consentimiento para el uso de este nuevo tipo de cookie, y que deberían ser capaces de ver qué tipo de dato está almacenando.

Fuente: Itespresso

INTEL POTENCIA LA SEGURIDAD Y LA ADMINISTRACIÓN CON EL CHIP “vPro 2.0”

El chip vPro implementará una nueva versión de herramientas que mejorará y simplificará las tareas de seguridad y administración de equipos.

Intel anunció las novedades que incluirán las herramientas del chip vPro 2.0, disponibles en la próxima generación de procesadores ‘Sandy Bridge’ a finales del primer trimestre de 2011.

Características principales de las herramientas del chip vPro 2.0 :

• Posibilidad de bloquear ordenadores robados o perdidos directamente a través de un simple mensaje SMS vía 3G.

Esta nueva funcionalidad es llamada "Anti-Theft 3.0", y ahora permite bloquear un PC vía 3G, cuando hasta ahora era una función disponible mediante conexión WiFi y Ethernet.

Para ello existirá un controlador 3G integrado en el portátil que permitirá enviar un mensaje de texto para comenzar la localización del equipo y bloquearlo en el momento en que se ponga en funcionamiento. Mediante el envío de otro SMS se podrá desbloquear ya que los datos almacenados en él se mantendrán intactos.

• Mejoras en las capacidades de virtualización de vPro 2.0, que incluyen un control más exhaustivo y eficaz cuando se llevan a cabo estas tareas en los equipos. Permitiendo el cambio de un sistema virtualizado a uno físico, tarea que se realiza rápidamente, según el fabricante.

Intel vPro 2.0 utiliza el hipervisor XenClient, de Citrix Systems, aunque también es compatible con los productos de VMware y Microsoft.

Resumen final:

• La tecnología vPro ofrece a los usuarios diversas herramientas integradas directamente a nivel de procesador, por lo que no es necesario instalar ningún software adicional sino que estarán disponibles en aquellos equipos que comercializados con las últimas generaciones de microprocesadores.
• A estas nuevas funcionalidades del vPro se le unirán en un futuro capacidades de seguridad provenientes de la adquisición de McAfee.

Fuente: Eweek Europe

NUEVO TROYANO PARA ANDROID

El troyano llamado HongTouTou ó ADRD, descubierto por expertos de Lookout Mobile Security, se extiende por medio de tiendas de aplicaciones de terceros y foros de China, ocultándose en las apps.

Detalles técnicos:

1. Cuando se ejecuta una aplicación que contiene HongTouTou, envía datos cifrados que contienen el IMEI y el IMSI del dispositivo a un host remoto.
   
2. Después, HongTouTou recibe una serie de URL y palabras clave , comienzando una búsqueda a través de Google, sin que el usuario se percate de ello.
   
3. Además el troyano pide una serie de permisos adicionales, y también es capaz de descargar archivos APK destinados a monitorear las conversaciones vía SMS del usuario e inserta palabras clave específicas (spam) en los mensajes de texto.

Recomendaciones:

• Los expertos en seguridad aseguran que ya han constatado la presencia de HongTouTou en 14 aplicaciones diferentes y en varios fondos de escritorio.
• Por el momento el troyano sólo afecta a usuarios chinos que descargan apps en foros y tiendas no autorizadas.

Fuente: The Inquirer

NUEVA VULNERABILIDAD EN “Cisco Security Agent”

Descubierta una vulnerabilidad en versiones de Cisco Security Agent que podrían explotar ciberdelincuentes con objeto de ejecución de código arbitrario.

Las versiones afectadas son Cisco Security Agent 5.1, 5.2, y 6.0.

Detalles técnicos:

• Cisco anunció que el origen del problema está en el Centro de administración (Management Center) de Cisco Security Agent y podría permitir modificar las reglas de seguridad, la configuración del sistema o realizar cualquier otra tarea administrativa.
• Para utilizar la vulnerabilidad el atacante deberá enviar paquetes específicamente modificados al interfaz de administración web (que por defecto se encuentra en el puerto 443).

Recomendaciones:

Para corregir la vulnerabilidad actualizar a la versión Cisco Security Agent versión 6.0.2.145 y posteriores, que pueden descargarse desde:

http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278065206

Fuente: Hispasec

MÚLTIPLES VULNERABILIDADES DE “Oracle Java SE” y “Java for Business”

Anunciadas 21 vulnerabilidades diferentes en Oracle Java SE y Java for Business en las versiones 1.4.2_29, 5.0 Update 27, 6 Update 23; y anteriores que podrían permitir a ciberdelincuentes comprometer los sistemas afectados.

Detalles técnicos:

Los fallos encontrados tienen diversos efectos, de forma que un atacante remoto podría provocar denegaciones de servicio, obtener información sensible, modificar la información de usuario o ejecutar código arbitrario.

Se ven afectados los componentes:

• Deployment, Networking, Launcher, Install, Sound, Swing, JDBC, HotSpot, JAXP, 2D, XML Digital Signature, Java Language y el componente Security de JavaDB.

Recomendaciones :

A fin de corregir los problemas descritos, Oracle ha publicado las actualizaciones necesarias, disponibles en la dirección:

http://www.oracle.com/technetwork/topics/security/javacpufeb2011-304611.html

Fuente: Hispasec

GRAVE VULNERABILIDAD ZERO-DAY PARA ENTORNOS CON DIRECTORIO ACTIVO

Publicado un exploit que permite ejecutar código en servidores Windows (XP y Server 2003) desde un equipo en la misma red interna. No existe parche disponible.

Los expertos advierten que el fallo en SMB (Server Message Block) que afecta a Windows XP y Server 2003 podría utilizarse para secuestrar la máquina.

Detalles técnicos:

• El fallo se debe a un error al comprobar el tamaño de un búfer asignado a la cadena "Server Name" que podría provocar un desbordamiento de memoria intermedia basada en heap en el fichero mrxsmb.sys.
  
• Para llevar a cabo el ataque, se debe enviar un paquete de petición Browser Election al servidor SMB (de compartición de ficheros e impresoras) vulnerable.
• El exploit lo envía concretamente al puerto 138 sin necesidad de autenticación en un entorno de directorio activo.

Efectos y soluciones a la vulnerabilidad:

• Por ahora el exploit permite provocar una denegación de servicio, pero parece ser posible modificarlo para conseguir ejecución de código y secuestrar la máquina.
• Microsoft no ha publicado "advisory" oficial y por supuesto, no existe parche oficial disponible.

Fuente: Hispasec

“iBooks” DETECTA DISPOSITIVOS CON “jailbreak” PARA “iOS 4.2.1”

Quienes hayan ejecutado el “jailbreak” Greenpois0n para iOS 4.2.1, tendrán problemas para el acceso a contenidos comprados por medio de la aplicación iBooks.

• Los usuarios reciben un mensaje en pantalla que les informa de un problema en la configuración de su iPhone y les invita a reinstalar iBooks.
• Apple recuerda que los acuerdos comerciales, que tiene con las empresas que les suministran el contenido para iBooks, les obligan a bloquear el acceso a la aplicación en dispositivos que hayan ejecutado programas como Greenp0ison.
• Desde Grenpois0n anunciaron que han lanzado un parche para arreglar el problema.

Fuente: Cnet

ANONYMOUS CREA UNA WEB CON MILES DE CORREOS DE LA EMPRESA “HBGary”

Anonymous ha creado un sitio web en el que se ha colgado 70.802 correos de HBGary en respuesta a declaraciones y acusaciones vertidas por la compañía de seguridad informática HBGary sobre las actividades de Anonymous y WikiLeaks.

Detalles del portal:

1. Se trata de un portal en el que los usuarios pueden descargarse más de 27.000 direcciones de correo extraídas de HBGary.
2. Los responsables de la página han organizado paquetes de datos que se pueden descargar por torrent.
3. Entre los datos que se ponen a disposición de los usuarios están correos extraídos directamente del director de HBGary, Greg Hoglund.

Desecripción de la empresa HBGary:

• HBGary es una compañía de seguridad de alto nivel, que mantiene algunos acuerdos con el Gobierno Federal de Estados Unidos.
• Con la publicación de estos datos personales los miembros de Anonymous podrían tener problemas serios.
• La comunicación pública de este tipo de datos está penada, por la compañía podría emprender acciones legales contra la página y tratar de identificar a alguno de los responsables.

Dirección del nuevo portal:

Los usuarios que quieran pueden consultar el portal en http://hbgary.anonleaks.ru/.

Fuente: Europapress

PRESENTADO EL INFORME SOBRE “Malware en Smartphones"

El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) presenta el primer Informe sobre Malware en Smartphones.

El CNCCS en este informe propone una serie de buenas prácticas para ayudarnos a proteger nuestros dispositivos móviles:

1. Habilitar medidas de acceso al dispositivo como el PIN o contraseña si está disponible.
2. Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.
3. Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.
4. Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.
5. Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.
6. Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.
7. Configurar el Bluetooth como oculto y con necesidad de contraseña.
8. Realizar copias de seguridad periódicas.
9. Cifrar la información sensible cuando sea posible.
10. Utilizar software de cifrado para llamadas y SMS.
11. Siempre que sea posible no almacenar información sensible en el smartphone, asegurándose que no se cachea en local.
12. Al deshacerse del smartphone borrar toda la información contenida en el smartphone.
13. En caso de robo o pérdida del smartphone informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.
14. En determinados casos pueden utilizarse opciones de borrado remoto o automático (después de varios intentos de acceso fallidos).
15. Monitorizar el uso de recursos en el smartphone para detectar anomalías.
16. Revisar facturas para detectar posibles usos fraudulentos.
17. Mantener una actitud de concienciación en el correcto uso de estos dispositivos y los riesgos asociados.
18. Extremar la precaución al abrir un correo, un adjunto de un SMS o hacer click en un enlace. Cabe destacar que esta fue una de las vías de entrada del Zeus-Mitmo.
19. Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.
20. Evitar el uso de redes Wi-fi que no ofrezcan confianza.
21. Tener en cuenta este tipo de dispositivos en su política de seguridad corporativa.

Fuente: Hispasec