OPENSSL . Nueva vulnerabilidad

El proyecto OpenSSL ha confirmado una nueva vulnerabilidad cuyo impacto no ha desvelado.

Detalle y supuesto Impacto de la vulnerabilidad

• El problema reside en una condición de carrera si un cliente multihilo recibe un NewSessionTicket cuando intenta reusar un ticket anterior, lo que podría dar lugar a problema de doble liberación de memoria en los datos del ticket.
• Se le ha asignado el CVE-2015-1791

Recomendación

• OpenSSL ha publicado una actualización en forma de código disponible desde https://git.openssl.org/?p=openssl.git;a=commit;h=98ece4eebfb6cd45cc8d550c6ac0022965071afc

Más información:

• Fix race condition in NewSessionTicket https://git.openssl.org/?p=openssl.git;a=commit;h=98ece4eebfb6cd45cc8d550c6ac0022965071afc

Fuente: Hispasec

CISCO CATALYST 6500. Denegación de servicio

Se ha confirmado una vulnerabilidad en Cisco Catalyst series 6500 que puede permitir a un atacante remoto autenticado provocar condiciones de denegación de servicio.

Detalle e impacto de la vulnerabilidad

• El problema, con CVE-2015-0771, reside en una vulnerabilidad en el subsistema IKE (Internet Key Exchange) del módulo de servicio Cisco WS-IPSEC-3, que podría permitir el reinicio del switch Catalyst. La vulnerabilidad se debe a una validación insuficiente en mensajes específicos durante el establecimiento de un túnel IPsec. Para explotarlo el atacante podrá establecer una sesión IKE y enviar el paquete malicioso en sucesivas negociaciones. Una repetición del ataque podrá forzar la denegación de servicio.

Recomendación

• Aunque Cisco ha confirmado la vulnerabilidad; sin embargo no existen actualizaciones disponibles.

Más información:

• Cisco Catalyst 6500 Series Switches IPsec Tunnel Handling Denial of Service Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=39233

Fuente: Hispasec

ACTUALIZACIÓN. Para Adobe Flash Player

Adobe ha publicado una actualización para Adobe Flash Player (APSB15-11) para evitar 13 nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Recursos afectados

• Las vulnerabilidades afectan a las versiones de Adobe Flash Player 17.0.0.188 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.289 (y versiones 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.460 (y anteriores) para Linux. También afecta a Adobe AIR.

Detalle de la actualización

• Se ha corregido una vulnerabilidad de desbordamiento de búfer (CVE-2015-3100), otra de desbordamiento de entero (CVE-2015-3104), otra de corrupción de memoria (CVE-2015-3105) y tres de uso después de liberar (CVE-2015-3103, CVE-2015-3106, CVE-2015-3107), que permitirían la ejecución de código arbitrario.
• Por otra parte una vulnerabilidad de elevación de privilegios en Flash para Internet Explorer (CVE-2015-3101). Una fuga de memoria que podría permitir evitar la protección ASLR (CVE-2015-3108). Una vulnerabilidad (CVE-2015-3096) que podría permitir evitar la corrección para la CVE-2014-5333 (CSRF). Se mejora la aletoriedad de las direcciones de memoria del heap de Flash para la plataforma 64 bits de Window 7 (CVE-2015-3097).
• Y por último tres vulnerabilidades que podrían permitir evitar la política de mismo origen y facilitar la obtención de información sensible (CVE-2015-3098, CVE-2015-3099, CVE-2015-3102).

Recomendación

• Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

1.   Flash Player Desktop Runtime 18.0.0.160

2.   Flash Player Extended Support Release 13.0.0.292

3.   Flash Player para Linux 11.2.202.466

• Igualmente se ha publicado la versión 18.0.0.160 de Flash Player para Internet Explorer y Chrome (Windows and Linux) y 18.0.0.161 de Flash Player para Google Chrome  (Macintosh).
• También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler y AIR para Android a las versiones 18.0.0.143 (Macintosh) y 18.0.0.144 (Windows).

Más información:

• Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb15-11.html

Fuente: Hispasec

ACTUALIZACIONES. Para PHP 5.6.10, 5.5.26 y 5.4.42

PHP ha publicado sus nuevas versiones para las ramas 5.6, 5.5 y 5.4, que corrigen fallos tanto en el núcleo como en sus componentes, catalogadas de Importancia: 4 - Alta

Recursos afectados

• Versiones de la rama 5.6 anteriores a la 5.6.10
• Versiones de la rama 5.5 anteriores a la 5.5.26
• Versiones de la rama 5.4 anteriores a la 5.4.42

Detalle de la actualización

• Las actualizaciones resuelven múltiples errores, entre los que destacan fallos de segmentación de memoria, un desbordamiento de pila y una denegación de servicio.

Recomendación

• Los sistemas de la rama 5.6 deben actualizar a la 5.6.10
• Los sistemas de la rama 5.5 deben actualizar a la 5.5.26
• Los sistemas de la rama 5.4 deben actualizar a la 5.4.42

Más información

• PHP 5 ChangeLog http://php.net/ChangeLog-5.php

Fuente: INCIBE

ACTUALIZACIÓN. Nuevos boletines de seguridad para las librerías OpenSSL

OpenSSL ha publicado nuevos boletines de seguridad donde se informaba de la solución de una serie de fallos de seguridad que afectaban directamente a la seguridad de las conexiones seguras que se realizaran a través de este componente.

OpenSSL es un conjunto de librerías utilizado por millones de servidores de toda la red para establecer conexiones seguras punto a punto.

Detalle e Impacto potencial de las vulnerabilidades corregidas

Los fallos que se han solucionado con los últimos boletines de seguridad son:

Logjam, un fallo en el protocolo TLS

• El primero de los fallos de seguridad ha sido denominado como Logjam y catalogado con el identificador CVE-2015-4000. Este fallo se debe principalmente a un problema con el protocolo TLS donde piratas informáticos mediante ataques man-in-the-middle podían rebajar la seguridad de las claves Diffie-Hellman de 512 bits y comprometer así las comunicaciones.
• Por suerte la vulnerabilidad no se ha estado explotando durante demasiado tiempo y la versión más reciente de OpenSSL ya ha aplicado un parche de seguridad bloqueando todas las negociaciones entre Diffie-Hellman inferiores a 768 bits. En un futuro cercano el límite se va a ampliar hasta 1024 bits para garantizar una mayor seguridad.

Un fallo en las estructuras de ECParameters causa loops infinitos

• Se podía crear una estructura ECParameters maliciosa que causara que OpenSSL entrara en un loop infinito dando lugar así a ataques de denegación de servicio contra cualquier sistema que gestione claves públicas.

Este fallo afecta tanto a clientes TLS como a servidores que tienen la autenticación de clientes habilitada.

• Lectura fuera de los límites del componente X509_cmp_time
• Un atacante puede generar certificados erróneos y mal formados causando un fallo de segmentación y dando lugar a un ataque DoS sobre las aplicaciones que verifican los certificados.
• Al cerrarse estas aplicaciones se modifican las reglas y se pueden llegar a leer varios bytes de zonas restringidas de la memoria Ram.

Cierre inesperado de PKCS7 si no se detecta Enveloped Content

• Un fallo en PKCS7 hace que si no se detecta contenido “Enveloped Content ” correcto se pueda dar lugar a un ataque de denegación de servicio que deje el sistema totalmente bloqueado. Un atacante puede generar paquetes ASN.1-encoded malicioso que omite contenido y hace referencia a punteros nulos de manera que al descifrarlos no se obtengan los valores esperados dando lugar a este falo.
• Este fallo no afecta ni a clientes ni a servidores OpenSSL sino que sólo afecta a las aplicaciones encargadas de descifrar los paquetes PKCS7.

Fallo en CMS al verificar una función de Hash desconocido

• Este fallo ocurre al verificar un mensaje con datos firmados si al comprobarlo alguna de las funciones tiene un Hash desconocido. Esto puede dar lugar a ataques de denegación de servicio contra cualquier sistema simplemente utilizando el módulo de CMS.

Fallo al liberar la memoria de DTLS

• Si un cliente de DTLS recibe datos entre la función ChangeCipherSpec y los mensajes de cierre de sesión es posible que se dé un estado de fallo de liberación, dando lugar a problemas de corrupción de memoria y causando el bloqueo de la herramienta.

Problema al controlar los eventos NewSessionTicket

• Este es el único fallo que no ha sido catalogado como crítico ni moderado.
• En este fallo si se intenta procesar un evento NewSessionTicket mientras se reutiliza un “ticket de sesión” anterior se puede llegar a desencadenar una fuga de datos de ambas sesiones.

Recomendación

Para asegurarnos de que estamos protegidos ante estos nuevos fallos de seguridad que explicamos a continuación debemos actualizar nuestras librerías OpenSSL a las versiones más recientes:

1. Los usuarios de la versión 1.0.2 deben actualizar a 1.0.2b
2. Los usuarios de la versión 1.0.1 deben actualizar a to 1.0.1n
3. Los usuarios de la versión 1.0.0 deben actualizar a to 1.0.0s
4. Los usuarios de la versión 10.9.8 deben actualizar a to 0.9.8zg

Todas estas versiones se encuentran disponibles desde http://openssl.org/source/

También recuerda OpenSSL que las versiones 1.0.0 y 0.9.8 acaban su soporte a finales de año.

Más información

• Web principal de OpenSSL https://www.openssl.org/news/secadv_20150611.txt

Fuente: Web principal de OpenSSL

LINUX. Ubuntu parchea kernel y soluciona vulnerabilidades persistentes de OpenSSL

 Canonical ha publicado una serie de parches que solucionan fallas en el kernel de Linux y OpenSSL, que habían dejado a los usuarios de Ubuntu expuestos a una escalada de privilegios y ataques de denegación de servicio (DoS).

El parche de carácter más crítico soluciona una serie de vulnerabilidades que podrían utilizarse para obtener privilegios extendidos en el sistema vulnerado.

Según Canonical, las vulnerabilidades permitirían a un atacante remoto provocar caídas del sistema o potencialmente escalar privilegios en equipos basados en Intel. Del mismo modo, un usuario local podría aprovechar el problema para ocasionar una denegación de servicio o mejorar sus privilegios, haciéndose así del control del sistema afectado.

Ubuntu publicó además una mejora general de la seguridad que modifica las rutinas de OpenSSL, que ahora rechazará automáticamente claves Diffie-Hellman (DH) inferiores a 768 bits. La gravedad de los errores de Ubuntu llevó a US-CERT a emitir una recomendación instando a los usuarios instalar las actualizaciones y parches.

La vulnerabilidad de Ubuntu se sumó a una preocupación generalizada por la seguridad de OpenSSL, que llegó a nivel crítico en 2014 cuando se descubrió Heartbleed.

Fuente: Diarioti.com

HEAP OVERFLOW. En el controlador QEMU PCNET de Xen

 Un heap overflow en el controlador QEMU PCNET permite escapar del guest al host, catalogada de Importancia: 4 - Alta

Recursos afectados

• Todos los sistemas Xen corriendo x86 HVM sin stubdomains que utilicen el modelo de driver emulado PCNET.

Detalle e Impacto de la vulnerabilidad

• El controlador PCNET no permite enviar frames de un tamaño mayor a 4096, sin embargo si permite enviar frames marcados como TXSTATUS_DEVICEOWNS, TXSTATUS_STARTPACKET y TXSTATUS_ENDPACKET, lo cual permite saltarse la primera limitación, lo que puede provocar un heap overflow.
• Se ha asignado el identificador CVE-2015-3209 a esta vulnerabilidad

Recomendación

• Aplicar los parches disponibles en http://xenbits.xen.org/xsa/advisory-135.html

Más información

• Heap overflow in QEMU PCNET controller, allowing guest->host escape  http://xenbits.xen.org/xsa/advisory-135.html

Fuente: INCIBE

ESTUDIO. El 95% de empresas españolas están en redes sociales, pero deben mejorar

 El índice del modelo de atención al cliente social se sitúa en España en un estado básico (34%), según un estudio pionero realizado por Altitude: El Consumidor Social. Madurez del Social Customer Service en el Mercado Español 2015.

El 95% de las empresas españolas habla con sus clientes a través de las redes sociales pero sólo el 55% establece una atención al cliente mediante estas herramientas. Esta es una de las conclusiones que se pueden extraer del informe “El Consumidor Social. Madurez del Social Customer Service en el Mercado Español 2015” que ha presentado Altitude.

El informe es pionero en España ya que por primera vez analiza directamente el comportamiento de estas empresas en RRSS y el servicio que ofrecen a sus clientes. El informe recoge más de 50.000 interacciones en redes sociales de 77 grandes empresas españolas divididas en 11 sectores de actividad. Mediante la monitorización de las mismas y la realización de 380 encuestas, Altitude ha dividido el mercado actual en cuatro escalones en función de su grado de madurez en atención al cliente a través de las redes sociales: No SCS (Social Customer Service), Básico, Consolidado y Avanzado.

Detalle del estudio

• Se ha realizado una valoración y selección de marcas atendiendo a su presencia en los medios sociales, su disponibilidad de perfiles para atención al cliente y su tipo y volumen de conversación.
• De este modo, se extrae que el índice MACS (Modelo de Atención al Cliente Social) se sitúa en nuestro país en el estado básico (34%) es decir, las marcas proporcionan un soporte en estos canales y tienen una estrategia disponible pero los procesos están compartimentados en silos y las operaciones son reactivas.
• La gran mayoría de las compañías que conforman el estudio, un 45%, ofrecen una atención limitada y no resolutiva. Sus perfiles contienen, en su mayoría, contenidos de marketing y las interacciones con los clientes se desvían a los canales tradicionales.
• En el modelo básico se encuentra el  42% de las empresas analizadas que tienen una atención reactiva con reglas básicas de respuesta y ofrecen una resolución de interacciones simples mientras transfieren las complejas.  Por el contrario,  el 13% de las marcas se encuentran en un estado consolidado, que se traduce en procesos integrados, una organización colaborativa, una tecnología integral y una experiencia omnicanal, entre otras.
• Dentro del estudio El Consumidor Social. Madurez del Social Customer Service en el Mercado Español, llama la atención que ninguna de las compañías analizadas ha logrado situarse en el punto álgido de la atención al cliente en redes sociales y ninguna de ellas otorga a sus usuarios atención a lo largo de toda la cadena de valor.
• “Dependiendo de la actividad de la marca, podemos encontrar una diferenciación clara. Telecomunicaciones y banca han sido los primeros en ver el potencial de estos nuevos canales y han tomado la delantera a los demás en cuanto a promoción, visibilidad y su alto nivel de interacción con los clientes”, ha explicado Raquel Serradilla, vicepresidenta para el sur de Europa de Altitude Software.
• En concreto, cuenta con un índice MACS de un 56% y un 44%, respectivamente. En el extremo contrario se sitúan consumo, alimentación y turismo, industrias muy rezagadas en cuanto a atención al cliente por medio de las RRSS.

Para el usuario, las RRSS son impresdindibles

• Los usuarios, por su parte, se muestran muy partidarias de estas herramientas para seguir a las empresas. “Los consumidores siguen las novedades de sus marcas favoritas a través de las redes sociales y reclaman, cada vez más, una verdadera atención a través de ellas. Por ejemplo, este estudio revela que el 30% de los consumidores sigue a las marcas para conseguir información que les ayude a completar su proceso de compra”, ha añadido la directiva.
• De hecho, según el estudio El Consumidor Social, un 62% de los usuarios utilizan estos canales para informarse sobre productos y promociones, un 38% para estar al día sobre los eventos organizados por las marcas, y un 26% para solicitar soporte y atención.
• En cuanto a las redes usadas, Twitter es la favorita, el 95% de las marcas analizadas cuentan con un canal en ella. Le siguen Facebook con el 79% y Google+ a mucha distancia, con el 8% de presencia. Blogs y foros colaborativos son los grandes olvidados por las compañías a la hora de atender a sus clientes.

CONCLUSION

• Las conclusiones de este estudio demuestran que el consumidor ha cambiado y reclama la atención de las empresas por todas las vías posibles: establecer canales de atención al cliente en las redes sociales debe ser una prioridad para las empresas si quieren satisfacer a sus usuarios y lograr su máxima satisfacción.

Fuente: diarioti.com

CA TECHNOLOGIES. Actualiza plataforma de Business Intelligence para decisiones estratégicas

CA Technologies (NASDAQ: CA) anuncia una nueva versión de su solución CA Project and Portfolio Management. CA PPM proporciona información crítica detallada sobre el negocio de toda la empresa con el fin de mejorar la toma de decisiones estratégicas en las compañías que operan con agilidad en la competitiva economía de las aplicaciones.

CA PPM está disponible tanto en la nube como en local, y permite a empresas de todos los tamaños priorizar las iniciativas estratégicas y utilizar los recursos adecuados. Según CA, esto da a los responsables de la empresa un acceso más rápido y fácil a la información crítica sobre los proyectos y las iniciativas, necesaria para colaborar y tomar decisiones sobre el portafolio de proyectos según se avanza. “Al facilitar una toma de decisiones rápida y precisa, CA PPM ayuda a asegurar que los equipos ejecutan los proyectos dentro del plazo y presupuesto fijados. CA PPM SaaS forma parte de la oferta CA Management Cloud, una gama de soluciones fácil de utilizar y de adquirir que ayuda a las organizaciones a gestionar sus activos tecnológicos de la misma forma que se gestiona un negocio”, agrega CA.

Business Intelligence

• Según la empresa, la nueva versión de CA PPM “democratiza los datos clave porque presenta el primer y único sistema de business intelligence integrado para PPM, que sintetiza la información sobre los proyectos, los productos y los datos financieros que necesitan las organizaciones para la toma de decisiones sin sacrificar el rendimiento”.
• CA cita un estudio de Gartner, según el cual “las organizaciones están pidiendo mejores capacidades de colaboración en los proyectos para abordar aquellos más complejos y también mejores funciones de análisis del portafolio de proyectos para gestionar mejor el riesgo del portafolio”. Al respecto, la empresa asegura que CA PPM resuelve esta necesidad proporcionando un Data Warehouse integrado que “no requiere configuración ni personalización, es la primera experiencia de un sistema de business intelligence integrado en la gestión de los proyectos y el portafolio de proyectos”.

Fuente: Diarioti.com

MOTOROLA SOLUTIONS. Aportará análisis de Big Data para resolución de delitos

Motorola Solutions y Wynyard Group combinarán sus tecnologías para analizar grandes volúmenes de datos.

Motorola Solutions  (NYSE: MSI) se asocia a Wynyard Group para integrar estudios analíticos de actividad delictiva con el  fin de ayudar a los organismos públicos a interconectar distintas fuentes de datos, como antecedentes delictivos, redes sociales, registros de propiedades, anotaciones de campo y otras fuentes probatorias. El software ayuda a identificar ciertos patrones de conducta delictiva y determinar relaciones analizando datos en pocos minutos, y no en días, liberando recursos de organismos para que puedan dedicarse a investigar pistas y resolver casos.

En abril pasado, Motorola Solutions adquirió PublicEngines y sus productos CommandCentral Predictive y CommandCentral Analytics para ampliar sus Soluciones de Seguridad Pública Inteligente. El software de Wynyard Group optimiza CommandCentral conectando los puntos entre múltiples bases de datos y bibliotecas de pruebas a fin de ayudar a los investigadores a prevenir y resolver delitos.

Refiriéndose a la nueva alianza, Bob Schassler, Vicepresidente Ejecutivo de Motorola Solutions, declaró: “Las adquisiciones, alianzas e inversiones que Motorola Solutions continúa haciendo este año están consolidando de manera significativa la capacidad de nuestros clientes de prevenir, detectar y resolver delitos con más información a su alcance que nunca. Las Soluciones de Seguridad Pública Inteligente de Motorola Solutions y el software de estudio analítico de Wynyard Group proporcionan a la seguridad pública una potente ventaja que le permite obtener rápidamente inteligencia ejecutable de un volumen creciente de datos disponibles.”

Ambas empresas recalcan que, con la tecnología resultante de su alianza, los organismos de seguridad pública de todo tipo “podrán hacer más con menos, actualizando su inteligencia y su capacidad investigativa por una fracción del costo con esta solución de Software como Servicio (SaaS)”. La plataforma de Seguridad Pública Impulsada por la Inteligencia de Motorola Solutions ayuda a los organismos a compartir datos a nivel regional o nacional, rápida y fácilmente a fin de contribuir a prevenir delitos que se extienden a otras jurisdicciones.

“Wynyard Group ofrece soluciones avanzadas de estudio analítico de actividad delictiva para grandes organismos de seguridad nacional y encargados del cumplimiento de la ley de todo el mundo,” dijo Craig Richardson, director general de Wynyard Group. “La alianza con Motorola Solutions abre nuevas posibilidades para ayudar a estos organismos a identificar personas, relaciones y eventos de interés, y ofrecer una única vista del entorno delictivo para ayudar a detener a los delincuentes y proteger a las víctimas”.

Fuente: Diarioti.com

FACEBOOK. Añade cifrado PGP a los correos electrónicos

Facebook ha empezado a habilitar de manera progresiva una nueva medida de seguridad en las cuentas de sus usuarios: la posibilidad de asociar una clave pública PGP para cifrar las comunicaciones entre la empresa y el usuario.

En ocasiones es posible que al comunicarnos con Facebook a través de correo manejemos información sensible que si cae en malas manos puede comprometer nuestra seguridad. Un ejemplo de correo electrónico sensible es el de restauración de la contraseña que facilita un enlace desde donde accederemos a nuestra cuenta y podremos establecer una contraseña nueva.

Aunque esta función que ahora se incluye en la red social está aún en fase experimental y sólo los usuarios más expertos podrán hacer uso de ella es sin duda un importante movimiento por parte de la red social para mantener la privacidad lo más elevada posible en cuanto a la comunicación entre el cliente y la empresa.

Para añadir a Facebook una clave pública para cifrar nuestros mensajes simplemente debemos acceder a nuestro perfil principal desde el siguiente enlace y añadirla en el apartado correspondiente.

Una vez añadida automáticamente la red social nos enviará un correo de prueba. En nuestra bandeja de entrada podremos ver sólo un mensaje en blanco junto con un archivo .acs adjunto. Este archivo es el que contiene el mensaje que la red social nos ha enviado, por lo que para acceder a él simplemente debemos abrirlo con un editor de texto (Sublime Text o Notepad++, por ejemplo) y veremos el contenido del mismo, eso sí, cifrado.

Lo único que nos queda por hacer es utilizar la clave privada para descifrar el contenido del mensaje. En nuestro caso el primer mensaje que nos ha enviado la red social era para verificar la dirección de correo y la clave pública de cifrado, por lo que la descifrar el contenido hemos encontrado un enlace desde el cual lo hemos verificado.

A partir de ahora las comunicaciones más sensibles de Facebook se realizarán mediante correo cifrado y seguro utilizando para ello nuestra clave pública y sólo nosotros podremos acceder a dicha información con nuestra clave privada que, sin ella, nadie más conseguirá descifrar el contenido del mensaje.

El nuevo cifrados de correos PGP junto a la implementación de conexiones seguras HTTPS va a permitir que los usuarios disfruten de la máxima seguridad al usar la red social de cara a evitar que usuarios malintencionados puedan acceder a nuestras comunicaciones (por ejemplo con un ataque MITM) y comprometer nuestra privacidad.

Fuente: Redeszone.net

ESPAÑA. Casi el 40% de los PC`s están infectados por malware

Panda Labs ha publicado un nuevo informe de amenazas con los resultados obtenidos durante el primer trimestre de 2015 (enero-marzo). En estos tres primeros meses del año la empresa de seguridad ha identificado más de 225.000 nuevas piezas de malware cada día, un dato muy superior al reportado en el mismo periodo del pasado año 2014. El malware por excelencia siguen siendo los troyanos con algo más del 72% del total y la mayor parte de las nuevas piezas de software malicioso detectadas corresponden con variantes de amenazas conocidas que compilan los piratas informáticos para saltarse los sistemas de detección actuales.

Durante estos tres primeros meses de 2015 la amenaza más peligrosa ha sido el ransomware, concretamente en su variante CryptoLocker. Este tipo de amenaza cifra los datos de los usuarios para pedir posteriormente un pago económico por la clave privada para descifrar los archivos y recuperar la posesión sobre ellos. Usuarios y grandes empresas han sido víctimas de este software y en los próximos meses la tendencia de distribuir ransomware va a seguir en aumento.

Otras amenazas reseñables de los tres primeros meses del año han sido las falsas tarjetas regalo para supermercados y grandes superficies de ropa (Zara) y la distribución de nuevo malware a través de SMS para dispositivos móviles.

España ocupa el puesto 15 en la lista de los países con mayor porcentaje de ordenadores infectados por malware. Según el estudio de la firma de seguridad en nuestro país el 38.37% de los ordenadores son víctimas de un virus, un troyano, un gusano o forman parte de una botnet controlada por piratas informáticos.

Noruega, Suecia y Japón son los países con menor ratio de infección con unos porcentajes del 22%, 23% y 24% respectivamente. Por otro lado los países más infectados son China, Turquía y Perú con unos ratios del 48%, 43% y 42% respectivamente.

Ya nos llegamos por la mitad de 2015 y los valores no han ido a mejor. Los ciberdelincuentes cada vez tienen más fácil el poder desarrollar nuevas piezas de malware cada vez más peligrosas con las que poder lucrarse y tener una suite de seguridad instalada, actualizada y funcionando no nos garantiza estar seguros al 100% si no tenemos sentido común. Nunca debemos olvidar que en las redes sociales nadie regala nada ni que un correo electrónico de un desconocido pueda tener un archivo adjunto que nos sea de interés.

Fuente: Panda Labs

CRYPTOWALL. Envían una copia como archivo adjunto en un correo electrónico

Solo los servicios de mensajería y redes sociales disponen de una capacidad mayor de difusión. Aunque sea un truco bastante antiguo, los ciberdelincuentes aún recurren a estos servicios y de nuevo nos tenemos que hacer eco de una nueva oleada que está distribuyendo entre los usuarios una copia del malware CryptoWall.

En esta oleada se está distribuyendo utilizando un archivo comprimido en ZIP que contiene un ejecutable SCR, algo que contrasta con la información ofrecida por el cuerpo del correo electrónico donde se indica que se puede encontrar más información relacionada con el cuerpo del mensaje en el archivo PDF que se encuentra en el interior del adjunto. Sin embargo, el archivo falso no es el que procede a la descarga e instalación del virus ya que este solo redirige la navegación del usuario hacia páginas web que están infectadas con código malicioso.

Las herramientas de seguridad están actualizadas frente a CryptoWall

• El punto positivo que se puede extraer de esta oleada es que las herramientas de seguridad ya están actualizadas para hacer frente a esta amenaza y una amplia mayoría detecta de forma correcta y procede a su eliminación el troyano antes de que este logre instalarse de forma satisfactoria en el sistema.
• A pesar de tratarse de una nueva variante, las modificaciones en los antivirus han sido mínimas, demostrando que esta nueva versión no varía mucho de la ya existentes.
• Los usuarios están siendo redirigidos a páginas web que contienen el ejecutable que sirve para instalar el virus o bien se remiten a carpetas pertenecientes al servicio Google Drive donde se encuentra alojado este archivo. Estos espacios de almacenamiento ya han sido reportado al Gigante de Internet que ya ha procedido al cierre de la mayoría aunque hay que decir que aún quedan disponibles algunas carpetas.

Fuente: Softpedia

UNFRIENDALERT. La falsa aplicación diseñada para robar las cuentas de Facebook

 UnfriendAlert está destinada a afectar a los usuarios de Facebook y hasta hace poco su página web en la red social estaba disponible donde se podían leer muchos comentarios de usuario totalmente satisfechos con el funcionamiento de ésta (evidentemente corresponden con perfiles falsos creados por los propios ciberdelincuentes para crear expectación). 

El programa “permitía” comprobar qué personas habían dejado de seguir el perfil y quién había visitado cada una de las publicaciones, sin embargo esto no es así y el programa es una estafa.

Cuando realizábamos la descarga del instalador se iniciaba un proceso de instalación en el que se solicitaba al usuario las credenciales de acceso a la cuenta de la red social. La finalidad no era completar la instalación de forma satisfactoria como se indica en este sino proceder al robo del usuario y de la contraseña y posteriormente de la cuenta.

Pero la estafa aún no termina aquí ya que el instalador concluye y el usuario se encuentra con que lo que se ha instalado en su equipo no es el programa que se indicaba.

UnfriendAlert es un adware

• Se trata de un software no deseado que muestra publicidad intrusiva en el equipo y que instala barras de herramientas adicionales en el navegador, provocando que en muchos casos el equipo realice ciertas operaciones con una lentitud considerable, sobre todo si hablamos de tareas desempeñadas por el navegador web.
• Si todavía tienes acceso a tu cuenta de la red social y has sido víctima de esta estafa lo primero que debes hacer es modificar la contraseña de cuenta para evitar que sea secuestrada. En segundo lugar se debe proceder a la desinstalación del adware y esto es sumamente sencillo ya que se puede realizar desde el Panel de Control de nuestro equipo Windows. Una vez finalizado el proceso el equipo volverá a la normalidad y solo tendremos que modificar la página de inicio de nuestro navegador que también se habrá visto modificada.

Fuente: The Hacker News

WINDOWS 10 RTM. Copias falsas utilizadas para distribuir malware

Aunque su salida al mercado está prevista para el 29 de julio, son muchos los usuarios que buscan la forma de conseguir una copia, provocando que los ciberdelincuentes recurran al ingenio para distribuir amenazas malware. En esta ocasión se están distribuyendo copias falsas de Windows 10 RTM para instalar virus en los equipos de los usuarios.

Operativa de la estafa

• La acción se está realizando principalmente a través de vídeos de Youtube donde se explica cómo conseguir una copia de esta versión y realizar su instalación de forma satisfectoria, incluyendo en la descripción del vídeo un enlace desde donde el usuario debe descargar el material necesario.
• Para realizar la descarga de los contenidos al usuario se le pide rellenar una serie de formularios en los que este debe introducir una cuenta perteneciente a una red social, bien Google+, Facebook o Twitter. Se trata de un trampa para proceder al robo de la cuenta y recopilar las credenciales. De las tres opciones sin lugar a dudas la peor es la cuenta de los servicios del Gigante de Internet, ya que con esta se pueden acceder a muchos servicios de forma simultánea.
• Una vez que el usuario ha “iniciado sesión” se procederá a la descarga de la ISO con la “imagen” del sistema operativo.

La ISO de Windows 10 RTM contiene un keylogger

• Lo que se encuentra el usuario al extraer la imagen es un único ejecutable que parece un el gestor que se encargará de realizar la descarga del contenido necesario. Sin embargo esto no es así y cuando está descargando documentos se suceden una serie de fallos provocados de forma intencionada por el software que se está ejecutando para fingir un problema. Mientras el usuario se resigna los ciberdelincuentes ya han cumplido su cometido: instalar un keylogger en el equipo.
• Mientras se ha simulado una descarga de archivos que nunca se ha realizado, lo que sí se ha hecho con éxito es la instalación de esta pieza malware que se encargará de grabar todas las pulsaciones de teclado realizadas en un afán por conseguir muchas más credenciales del usuarios mientras este hace uso del navegador web y por ejemplo programas de mensajería.

Fuente: Softpedia

SHIELA USB SHIELD. Protege tus puertos USB con esta aplicación libre

Shiela USB Shield es una herramienta gratuita y de código abierto que nos permite bloquear todo tipo de contenido peligroso en las memorias UBS y evitar así terminar infectados por malware simplemente por conectar una memoria a nuestro ordenador.

Las principales características de Shiela USB Shield son:

• Totalmente gratuito y de código abierto.
• Bajo consumo de recursos.
• Detecta y soluciona los problemas de virus en las memorias.
• Bloquea los archivos “autorun.ini” cuando estos están vinculados a un fichero .exe.
• Ofrece protección contra escritura de las unidades USB.
• Permite “vacunar” las memorias USB para evitar que se infecten en otros ordenadores.
• Cuenta con una herramienta para mostrar archivos y carpetas ocultos.

Lo primero que debemos hacer es descargar Shiela USB Shield desde su página web principal e instalarla en nuestro ordenador. Aunque la descarga se realiza desde SourceForge la aplicación está libre de software no deseado.

Una vez instalada la aplicación comenzará a funcionar automáticamente. No necesitamos hacer nada más. Para controlarla podremos ver un nuevo icono en la bandeja del sistema, junto al reloj, que si pulsamos sobre él podemos acceder a una serie de funciones y abrir el menú de configuración de la aplicación.

• Configurar el análisis en tiempo real.
• Mostrar notificaciones cuando conectemos nuevas unidades y cuando se detecten amenazas.
• Analizar memorias USB conectadas.
• Vacunar memorias USB.
• Mostrar los archivos ocultos.

Otras opciones

• También podemos abrir las opciones del programa desde este apartado para acceder a algunas opciones adicionales como que el programa. En el primer apartado podemos configurar el arranque automáticamente con Windows o asociar a un antivirus adicional para un análisis más en profundidad.
• En el apartado “Detection” podemos elegir el comportamiento por defecto al detectar una amenaza.
• En el apartado “Miscellaneous” podemos desactivar los puertos USB de nuestro ordenador o activar la protección contra escritura. También podemos indicar cada cuanto tiempo analizará la memoria para mantener así el menos uso de RAM posible.
• Para finalizar en el apartado de “Exceptions” podemos elegir varios archivos que no se analizarán y que se asociarán siempre como “de confianza”.

Como podemos ver Shiela USB Shield es una sencilla pero completa herramienta gracias a la cual reduciremos notablemente el riesgo de infectar nuestro ordenador a través de otras memorias USB que puedan estar infectadas. Igualmente podemos utilizarlas para vacunar nuestras memorias USB y evitar así que si se las dejamos a un amigo o las conectamos a ordenadores públicos estas puedan infectarse

Fuente: Redeszone.net

PIN 6 DÍGITOS. ¿Suficiente para proteger nuestros dispositivos a largo plazo?

En la WWCD 2015, se presentaron varios sistemas operativos, el Mac OS X y la nueva versión de iOS 9. Y se explicaron las mejoras que se habían introducido durante el desarrollo tanto nuevas funciones como optimizaciones de rendimiento y mejoras de seguridad. Uno de los aspectos a los que se hizo referencia es al bloqueo de dispositivos móviles y a cómo evitar que usuarios no autorizados puedan hacer uso de ellos.

Realmente existen dos métodos de protección. 

• El primero es proteger el dispositivo con una contraseña alfanumérica. Esto es lo más seguro que podemos encontrar, sin embargo, es muy molesto tener que escribir igual una contraseña de 8 o 10 caracteres cada vez que queremos desbloquear el dispositivo. Por ello la mayoría de la gente suele utilizar un código pin como sistema de bloqueo para sus dispositivos.
• Por lo general los pins suelen ser de 4 dígitos y los smartphones se bloquean tras un número de intentos fallidos (10 en el caso de Apple). Pese a ello hay algunas vulnerabilidades que permiten realizar ataques de fuerza bruta para desbloquear un dispositivo iOS que si está protegido con un código de 4 dígitos el proceso podría no llevar más de unas horas.

Con iOS 9 se va a aumentar el número de dígitos del código pin predefinido de 4 a 6. De esta manera ante un ataque de fuerza bruta los atacantes podrían tardar varios días en poder acceder al dispositivo.

Pin de 6 dígitos: ¿Me siento seguro?

• Aunque el uso de 6 dígitos mejora nuestra privacidad y seguridad repercute directamente sobre nuestra productividad. Con 6 dígitos es más probable equivocarse al introducirlos en nuestro smartphone (especialmente en espacios reducidos, cuando estemos nerviosos o cuando tengamos prisa). También implica una pérdida de tiempo (aunque apenas son segundos) en introducir los dos números adicionales.
• Si un ladrón roba un teléfono protegido por un código Pin y sabe cómo explotar los fallos para tener intentos ilimitados le da igual esperar unas horas que unos días sabiendo que, tarde o temprano, conseguirá acceder a él. Igualmente lo que hoy es un pin de 6 dígitos mañana deberá ser uno de 8 debido al aumento de la potencia de los ordenadores y las nuevas técnicas de ataque que aparecen en el día a día para explotar piezas de software.
• Un código pin de 6 dígitos puede estar bien como medida de protección adicional siempre que se utilice junto a otras técnicas como el TouchID, sin embargo, como bloqueo único se debe buscar la forma más cómoda y sencilla para el usuario y, sobre todo, solucionar todos los fallos existentes que pueda haber en el sistema operativo para que los intentos no sean ilimitados.

Fuente: Redeszone.net

MOZILLA. Enfatiza en la seguridad y aumenta las recompensas del Bug Bounty

Mozilla lleva ya 5 años con un programa de recompensas Bug Bounty con el que anima a expertos de seguridad a auditar sus aplicaciones (Firefox, Thunderbird, etc) en busca de posibles fallos de seguridad que puedan comprometer la seguridad de los usuarios.

Hasta ahora la recompensa máxima por un fallo de seguridad crítico era de 3.000 dólares (2.650 euros). Tras 5 años sin modificar estas recompensas finalmente la compañía ha decidido aumentarlas de cara a animar a un mayor número de investigadores a auditar la seguridad de sus productos. A partir de ahora un fallo de seguridad grave correctamente reportado y demostrado puede pagarse con hasta 7.500 dólares (unos 6.650 euros).

Mozilla afirma también que si se reporta un fallo de seguridad y se envía junto a un exploit o se descubre una nueva forma de aprovecharse de un fallo de seguridad las recompensas podrían alcanzar hasta los 10.000 dólares (8.870 euros).

El mínimo que se pagará por un fallo de seguridad crítico aportando únicamente un volcado de memoria es de 3.000 dólares y los fallos de seguridad no críticos recibirán una recompensa de entre 500 y 2000 dólares según su peligrosidad y la calidad de la información aportada sobre la vulnerabilidad.

En la web principal de la compañía podemos ver más información detallada sobre su programa Bug Bounty así como los pasos a seguir para reportar una vulnerabilidad. Estos pasos se resumen principalmente en crearse una cuenta de Bugzilla, reportar el fallo indicando que es confidencial y aportar toda la información que se pueda durante el proceso.

Un excelente movimiento por parte de Mozilla para mejorar la seguridad de sus productos, especialmente la de Firefox debido a la alta competencia existente en el mercado de los navegadores con Google Chrome e Internet Explorer y con la llegada inminente de Microsoft Edge, el nuevo navegador de la compañía que no va a poner las cosas fáciles a sus rivales.

Fuente: Redeszone.net

VPN. ¿ Los gratuitos son fiables ?

Las conexiones VPN nos aportan una capa de seguridad adicional aplicando un cifrado a todo el tráfico desde que sale de nuestro dispositivo hasta que llega al servidor. Por ello muchos usuarios optan por utilizar servidores gratuitos, pero a lo mejor no son del todo fiables. Pero ¿por qué? 

Los servidores cuestan dinero

• Los servidores no son gratis. Un servidor cuesta dinero en cuanto a hardware, electricidad y mantenimiento. Si una empresa nos ofrece acceso a un VPN gratuito debe estar consiguiendo la inversión por otro lado y corremos el riesgo de que este dinero venga de la venta de información privada de sus clientes.
• Hay muchas empresas que pagan a cambio de información sobre los usuarios, por lo que aunque protejamos nuestras conexiones de cara a ataques MITM esta seguirá comprometida de cara a empresas y grandes organizaciones.

¿Por qué es Tor gratis?

• Tor protege las conexiones de forma similar a un servidor VPN pero no es exactamente lo mismo. La red Tor se basa principalmente en enmascarar la dirección IP de origen y el contenido de los paquetes reenviándolos a través de una serie de routers o nodos repartidos por todo el mundo.
• Tor necesita aplicaciones y configuraciones específicas para poder funcionar y la velocidad a la que navegamos por lo general suele ser bastante reducida, por lo que dentro de las opciones gratuitas es la mejor forma de proteger nuestra privacidad, pero siempre nos darán mayor privacidad y rendimiento un servidor especializado de pago.

Hola, un claro ejemplo de lo anterior

• Hola era uno de los servidores VPN gratuitos más utilizados de la red. Este servicio se integraba perfectamente con nuestro navegador web y nos permitía proteger nuestras conexiones de miradas indiscretas.
• Aunque parecía que todo funcionaba perfectamente la semana pasada hemos podido ver cómo la compañía se estaba provechando de la extensión para ofrecer “nodos de salida” a los usuarios de otro servicio de pago de manera que se utilizara el ancho de banda de sus clientes gratuitos para dar acceso a los clientes de pago.
• Hola se convirtió en una botnet sin que los usuarios se dieran cuenta.

Qué debe tener un VPN para ser fiable

• A la hora de proteger nuestra privacidad debemos pagar por ello. De esta forma nos aseguraremos de que la compañía tenga dinero para cubrir los gastos y que no se optará por vender información para conseguir dicha inversión.
• Igualmente necesitamos un servidor que no guarde registros de actividad ni de conexiones en sus bases de datos y que permita el pago mediante sistemas seguros y privados como puede ser el Bitcoin.
• Para finalizar si la compañía que contratamos tiene servidores DNS propios sería lo mejor para evitar que se pueda filtrar la información de las solicitudes DNS por un fallo en nuestra conexión.

Entonces ¿Cuales son los servidores de los que podemos fiarnos?

• En el siguiente enlace os dejamos una completa lista de servidores VPN de pago que se toman en serio la privacidad de los usuarios. De todos ellos podemos elegir el más barato y el que se adapte mejor a nuestras necesidades en cuanto a velocidad, ubicación y servicios:
• Listado de servidores VPN anónimos seguros ( http://www.redeszone.net/2013/12/23/recopilatorio-de-servidores-vpn-anonimos-para-navegar-seguros-este-2014/

Fuente: Guidingtech

VAWTRAK. Utiliza Tor2Web para conectarse a servidores de control ocultos en la red Tor

Según los investigadores de seguridad los piratas informáticos responsables de Vawtrak han movido todos los servidores de control de este malware hacia la red Tor y han dotado a la herramienta de una serie de conexiones hacia Tor2Web desde donde establecer de forma oculta y cifrada la conexión con éstos.

Detalles de la operativa del troyano 

• Vawtrak es un troyano que roba contraseñas por todo el mundo llegando a causar problemas incluso a grandes multinacionales. En los orígenes del malware su funcionamiento se limita sólo al robo de contraseñas, sin embargo, con el paso del tiempo se ha ido mejorando el software y se le han añadido nuevas y preocupantes funcionalidades hasta convertirlo en un troyano de lo más completo.
• A diferencia de otros piratas informáticos que configuran sus troyanos y demás malware directamente para que se conecten a través de la red Tor a sus servidores de control, este aún establece conexiones HTTP hacia Tor2Web para, desde allí, establecer una conexión hacia los servidores de control de este. Esta forma de establecer conexiones es poco segura ya que en un análisis de paquetes se podría ver que se intentan establecer conexiones con esta plataforma, sin embargo, como la mayor parte del público general de este malware son usuarios domésticos no hay problema con esto.
• Al analizar el profundidad el código del troyano se puede ver cómo se le ha añadido un algoritmo de generación de dominios .onion (DGA). En la red Tor los dominios se generan a partir de hashes generados sobre la base de la clave pública del servicio oculto, por lo que lo más probable es que esa función a nivel interno sólo se utilice para generar dominios ya conocidos y registrados por los piratas informáticos, evitando que estos puedan ser registrados por otros usuarios de la Deep Web.

CONCLUSION

• Los responsables de Vawtrak están cambiando muchos aspectos de su herramienta maliciosa y hasta es posible que cuando asienten todos los cambios y todo funcione correctamente se lleve a cabo una nueva campaña de distribución de este software malicioso a través de las redes sociales y el correo electrónico, por lo tanto y como siempre sigo siendo recomendable tener un software antivirus instalado y actualizado.

Fuente: Virus Bulletin