TiSA. Los datos personales de millones de ciudadanos para las multinacionales

La primera versión del Anexo sobre Comercio Electrónico del TiSA, ya planteaba permitir a las empresas operar con datos personales de los ciudadanos de otros estados sin contar siquiera con una sede física en estos países. La nueva versión del documento viene a ratificar esta posición, plasmando además la insistencia de Washington porque ninguno de los estados "pueda impedir a un suministrador de servicios" que maneje estos datos a su antojo.

La única excepción al cumplimiento del apartado sobre Comercio Electrónico que acepta EEUU es la defensa de los "intereses esenciales de seguridad" de los 51 países que firman el pacto secreto sobre servicios.

El TiSA pondrá en bandeja de plata a las empresas el control de los datos de los cientos de millones de ciudadanos que viven en los 50 países que lo firman. Las multinacionales tendrán carta blanca para almacenar, procesar o transferir información personal "siempre que esa actividad esté en conexión con la gestión del negocio de ese proveedor de servicios", lo que en la práctica supone dar carta blanca a las corporaciones y a sus filiales. De hecho, la única excepción al cumplimiento de este acuerdo que contempla EEUU es la defensa de los "intereses esenciales de seguridad" de los países firmantes del Trade in Services Agreement (TiSA), que la Comisión Europea negocia con el máximo sigilo en nombre de los 28 estados de la Unión.

Público ha tenido acceso en exclusiva en España a los últimos documentos filtrados por WikiLeaks al respecto, mientras los negociadores intentan mantener en secreto estos textos hasta cinco años después de la ratificación del acuerdo. Una ratificación que requiere del visto bueno del Parlamento Europeo, institución que hasta la fecha ni siquiera se ha pronunciado sobre el TiSA.

Fuente: Publico.es

NSA. Espionaje intensivo a los aliados europeos

A la Unión Europea aún sigue sorprendiéndole que la NSA espíe, y ha pedido explicaciones oficiales a EE. UU., aunque supuestamente no tan agresivas como a los griegos, porque claro esto es solo privacidad y lo otro es dinero, y eso lo cambia todo.

El escándalo de PRISM, destapado por Edward Snowden‎ sigue dando titulares. Ahora desde el diario Der Spiegel comentan que han visto documentación que confirma el espionaje a ciudadanos Europeos y Alemanes, interceptando hasta 500 millones de llamadas, mensajes y correos electrónicos por mes sólo en Alemania.

El diario alemán ha publicado un nuevo artículo en el que asegura que NSA ha estado espiando las comunicaciones en Alemania de forma intensiva. En documentos vistos por Spiegel pero no publicados, se concluye que se han espiado entorno a 500 millones de llamadas de teléfono, correos electrónicos y mensajes de texto cada mes en Alemania.

Ya conocemos que PRISM es algo más elaborado de lo que nos pensábamos, capaz incluso de hacer espionaje en tiempo real, pero que exista documentación real citada por Spiegel que certifique esta invasión a la privacidad de ciudadanos ajenos a EE. UU. abre una importante brecha diplomática entre dos grandes potencias.

La información que la NSA almacena de estas comunicaciones podría albergar información de desde cuando y donde se hizo la llamada o enviado el mensaje de texto.

Esta clase de espionaje a ciudadanos no es única de Alemania, según Spiegel y las informaciones publicadas por medios como The Guardian los 27 países de la Unión Europea serían sometidos a este tipo de espionaje. Pero incluso países como China con el que EE.UU. mantiene una fuerte disputa diplomática por hacking y espionaje, Iraq o Arabia Saudí estarían sometidos a este tipo de infiltraciones en sus comunicaciones.

Por supuesto, la encriptación siempre es una solución para evitar que tus datos sean interceptados. Invertir en un buen VPN siempre es buena idea.

Más información

·         Der Spiegel  http://www.spiegel.de/international/germany/nsa-spies-on-500-million-german-data-connections-a-908648.html

·         The Verge  http://www.theverge.com/2013/6/30/4481670/nsa-spying-in-germany-revealed-der-spiegel

Fuente: Fayerwayer.com

FRANCIA. Espía millones de llamadas, correos y mensajes de sus ciudadanos

La Dirección General de la Seguridad Exterior recolecta los datos de toda actividad que pase por Google, Facebook, Microsoft, Apple y Yahoo!, según informa el diario 'Le Monde'

Francia cuenta con un sistema de espionaje de comunicaciones que escruta en su territorio millones de llamadas de teléfono, correos electrónicos o mensajes de móvil bajo un marco legal poco claro, según reveló este jueves el diario Le Monde.

"La Dirección General de la Seguridad Exterior (DGSE) recolecta sistemáticamente las señales electromagnéticas emitidas por los ordenadores o los teléfonos en Francia, así como los flujos entre Francia y el extranjero: la totalidad de nuestras comunicaciones son espiadas", señaló ese diario.

Esos procedimientos, preciados por los servicios antiterroristas, no se centran en el contenido de las comunicaciones, sino en los "metadatos", es decir, quién contacta a quién. "La DGSE recolecta los datos de las llamadas de millones de abonados, identificando a los interlocutores, el lugar, la fecha, la duración y el peso del mensaje. Lo mismo con los correos electrónicos -con la posibilidad de leer el asunto del correo-, los SMS, los faxes... Y toda actividad que pase por Google, Facebook, Microsoft, Apple, Yahoo!", agrega el diario.

"Los políticos lo saben perfectamente, pero el secreto es la regla", añade Le Monde. Según el rotativo, el almacenamiento de esos datos "durante años" se trata de una práctica ilegal, a lo que las fuentes de los servicios secretos del diario precisan que es "alegal", es decir, que no está regulado pero tampoco prohibido.

El espionaje está legislado, "no hay nada previsto sobre el almacenamiento masivo de datos por los servicios secretos". Esos datos estén a disposición de una serie de agencias francesas a cargo de la seguridad, desde los servicios aduaneros a la inteligencia militar, interior, exterior y financiera, entre otras.

Le Monde no dice que Francia espíe de esa forma fuera de su territorio, pero sí que detalla una "larga tradición" de espionaje industrial y comercial que data, al menos, de los años cincuenta del siglo XX, durante la guerra fría. "La DGSE pone a disposición de los responsables de las grandes empresas francesas, en una sala protegida de su sede de París, documentos comerciales confidenciales robados gracias a los potentes medios de interceptación de los que dispone la agencia francesa", apunta el periódico.

Francia pone a disposición de las grandes empresas documentos comerciales confidenciales robados

Como ejemplo concreto de ese tipo de espionaje, el diario se remonta a noviembre de 2011, cuando en su habitación del hotel Crowne Plaza de Toulouse, el presidente de la compañía aérea China Eastern se encontró "frente a frente" con tres hombres que registraban sus maletas. Los individuos, que abandonaron "precipitadamente" la habitación, olvidaron un ordenador, llaves maestras y un lector de DVD.

"La justicia desestimó el caso", precisa el diario, que recuerda también cómo en 1989 el FBI estadounidense desmanteló una red de agentes franceses infiltrados en compañías como IBM, Texas Instruments y Corning Glass. Seis años después, fue París quién expulsó a varios agentes de la CIA y diplomáticos estadounidenses por haber desplegado una "amplia red de espionaje económico" en territorio galo.

"Como desveló en enero de 2011 WikiLeaks, Francia está considerada en el mundo del espionaje como una de las naciones más activas en ese campo, una apreciación que se extrajo de telegramas redactados por diplomáicos estadounidenses en Berlín", precisa "Le Monde".

Fuente: Publico.es

EUROPA. Autoridades desmantelan organización criminal que usaban Zeus y FireEye

Dos de los troyanos bancarios más importantes eran utilizados por esta organización que ha sido desmantelada esta misma semana en Europa. Se valían de Zeus y FireEye para estafar a los usuarios y conseguir accesos a las cuentas que disponían en  las entidades bancarias. La cantidad sustraída podría alcanzar los 2 millones de euros solo en Europa.

La comodidad que ofrece Internet a los usuarios también está disponible para los ciberdelincuentes. Y es que si los primeros consiguen el acceso a lo que buscan de una forma casi inmediata, la difusión de las estafas de los segundos es prácticamente instantánea.

En lo referido a los troyanos utilizados, Zeus es sin lugar a dudas el más antiguo y también el más utilizado. Para encontrar su primera aparición hay que remontarse al año 2007 y desde ese instante hasta el día de hoy casi todos los meses nos hemos visto obligados a hablar de una oleada de correos spam o una página web hackeada que distribuía la amenaza.

SpyEye por el contrario es mucho más actual y compleja que la primera. Sin embargo, la finalidad de ambas y el funcionamiento es muy similar: instalarse en el equipo del usuario y realizar un monitoreo de la actividad realizada por los usuarios, sobre todo en lo referido al texto introducido haciendo uso del teclado, ya que es ahí donde se encuentran las credenciales de acceso que más interesan. Sin embargo, tal y como ya hemos visto en otras ocasiones, a la hora de recopilar información el virus informático no hace discriminaciones y podría recopilar datos de Facebook, Twitter o cualquier otro servicio. En el caso de no ser de provecho es probable que al final lleguen al mercado negro donde serán vendidos.

8 personas detenidas por la distribución de Zeus y FireEye

• Finalmente, la operación ha finalizado con un total de 8 detenidos distribuidos entre Países Bajos, Ucrania y Reino Unido. Las autoridades ahora buscan la manera de cifrar (o al menos estimar) la cantidad de dinero que han robado a los usuariosy empresas. Según las primeras estimaciones, estaríamos hablando de al menos dos millones de euros, pero tal y como ya hemos mencionado al comienzo, solo se está computando los correspondiente a los ciudadanos europeos, por lo que la cifra sería aún mayor.

Fuente: Softpedia

GOOGLE. Rectifica y retira el código de Chromium que espiaba a los usuarios

Las últimas decisiones llevadas a cabo por el Gigante de Internet no han sido demasiado acertadas. Después de descubrir varios investigadores que Chromium espiaba el micrófono de los usuarios los de Mountain View se han visto obligados a retirar este código tras la controversia generada.

Desde Google siempre buscaron defender esta función, sin embargo, las declaraciones justificando la existencia de este código como feedback para mejorar el producto no convenció a los usuario y ahora se han visto obligados a eliminar la función, o al menos de momento.

El problema es que Chromium no poseía esta función, sino que era posteriormente cuando el navegador de forma autónoma procedía a la instalación de esta complemento que suponía una extensión de las funciones de “Ok Google”.

En un principio se pensó que después probarse en Chromium la función daría el salto a Chrome, pero esta no ha sido así, y durante varios meses la función ha estado presente en ambos navegadores.

La cámara web podría haber sido objeto de espionaje en el caso de Chromium

• Mientras lo del micrófono esta confirmado, hay algunos usuarios que manifiestan comportamientos anómalos con la cámara web integrada en su ordenador portátil, activándose al acceder a determinadas páginas web. Evidentemente esto no implica que la extensión encargada por el navegador también realizase el espionaje de este recurso hardware, ya que dicha página podría a poseer algún exploit para controlar la cámara o bien ciberdelincuentes podrían hacer uso de alguna vulnerabilidad de las muchas que han sido detectadas en Adobe Flash Player y controlar esta.
• Evidentemente los más fácil en esta situación es culpar a los de Mountain View pero de entrada parece poco probable que Google se encuentre detrás de lo que han comentado estos usuarios, aunque tampoco podemos descartarlo.
• El problema no reside en la instalación de este software y las consecuencias posteriores sino cómo se ha instalado, es decir, sin el consentimiento de los usuarios.

Fuente: MalwareTips

BIG DATA versus Verdad Absoluta

Los estudios han empezado a demostrar esta realidad. Los consumidores dan datos falsos. Los millennials ya lo están haciendo.

Según un estudio de Shop+, que recoge AdWeek, el 26% de los millennials da una fecha de cumpleaños falsa si con eso van a conseguir mejores ofertas en sus compras. La cifra es muy superior a la media generalizada de los adultos.

Pero no solo los millennials mienten en sus cumpleaños si con ello conseguirán mejores precios. También dan diferentes cuentas de correo electrónico si con ello pueden conseguir ofertas variadas (un 36% emplea ese truco), comparten cuentas premium para beneficiarse del servicio (un 36% comparte una cuenta de Amazon Prime para beneficiarse de los envíos gratis) o echan mano del borrar el historial de navegación (un 31% lo hace) para que sus vuelos les salgan más baratos.

En definitiva, los millennials mienten lo suficiente (y todo lo que sea necesario) si de ese modo logran hacerse con mejores ofertas y precios mejores en los productos que les interesan. Y obviamente no sienten remordimientos al pensar que las marcas están recibiendo una información que no es la más ajustada.

Pero las marcas no quieren que les mientan

• Las marcas en realidad, las marcas no quieren que les mientan. Todos esos datos falsos no son solo basura cibernética sino que además funcionan como señales en el camino que llevan a un destino que no es el adecuado. Es como si le pides a una aplicación de mapas que te lleve por el camino más rápido a la playa y acabas en un basurero. No es absoluto lo que buscabas.

¿Cómo pueden evitar las marcas las mentiras de sus consumidores ?

• En primero lugar, deberían esforzarse por dotar de valor a este esfuerzo. Es decir, los consumidores deberían sentirse recompensados por decir la verdad y las marcas deberían establecer una serie de estrategias para premiar la información verídica.
•  Además, no se debe confiar únicamente en los consumidores. Las marcas tendrían que establecer fuentes de recolección de datos que no fueran únicamente las confesiones de los consumidores. Más que lo que dicen que quieren o que les gusta, las compañías deberían guiarse por lo que los clientes realmente hacen. Que sus hábitos de consumo reales sean la pauta que marca lo que las compañías hacen.
•  Por otro lado, las marcas no se pueden quedar con una única fuente de datos. Optar por una única fuente de información es casi como un pasaporte hacia el error: las empresas tienen que tener varias fuentes de datos y cruzar unas con otras para poder establecer así la foto final real.

Fuente: Puro Marketing.com

ANDROID. Cuota de mercado de la plataforma cae en Europa y aumenta en Estados Unidos

El último informe de Kantar Worldpanel sobre el trimestre finalizado en mayo de 2015 muestra el calmado, pero continuo, crecimiento en cuota de Android en los Estados Unidos, donde ha crecido un 2.8%, con respecto al mismo periodo en 2014, hasta el 64.9% de cuota de mercado. La tendencia en Europa es bien diferente, donde en los grandes mercados (Reino Unido, Alemania, Francia, Italia y España) la cuota de mercado se ha reducido un 2.9%.

Lo más destacado de este periodo es las primeras conclusiones que podemos extraer sobre la salida del Galaxy S6 y cómo de bien continua vendiéndose el iPhone 6. El primer mes completo con el Galaxy S6 en las tiendas logró que Samsung aumentase su cuota dentro de los fabricantes Android desde el 52% en los tres meses acabados en abril al 55% en los tres meses acabados en mayo según Carolina Milanesi de Kantar. Su cuota creció periodo a periodo, siendo el Galaxy S6 el tercer smartphone más vendido en los Estados Unidos tras el iPhone 6 y el Galaxy S5. Año tras año el desempeño de Samsung también ha mejorado, su cuota en el mercado estadounidense se ha visto mermado sólo un 0,5% en comparación con el 1,6% en los tres meses hasta abril.

En los EE.UU., el crecimiento de iOS se frena, tanto en período a periodo como año tras año. Las ventas de smartphones Android propiciadas por Samsung y LG, cuya cuota de mercado se ha doblado comparando con el mismo periodo de 2014, son los responsables. Motorola o HTC siguen perdiendo cuota de mercado y otros como Huawei todavía no convencen a los estadounidenses.

La situación cambia en el viejo continente: la demanda del iPhone 6 sigue siendo muy fuerte, es el smartphone más vendido en Reino Unido, Alemania, Italia y Francia. Lo más destacado es que hay muchos más consumidores que migran de Android a iOS que al revés. Sólo un 5% de las compras Android son de clientes provenientes de iOS (en el mismo periodo del año pasado eran el 11%).

Tomando los datos de Kantar en España observamos como BlackBerry desaparece por completo con un 0% de cuota de mercado en este trimestre y Windows Phone reduce su cuota a la mitad con respecto al mismo periodo en 2014. iOS continua creciendo en un país donde la cuota de mercado de Android es cercana al 90%.

El mercado más interesante de estos últimos años es China, por su inmensidad, competencia y posibilidad para los nuevos fabricantes y firmas de beneficiarse de un rápido crecimiento. La carrera entre Xiaomi y Apple en la China urbana tiene ahora un tercer protagonista: Huawei, que ahora adquiere el segundo lugar en cuota de mercado. Pese a que los tres tienen apenas un 0.5% de diferencia máxima entre su porcentaje de cuota, hay que tener en cuenta el tipo de consumidores de cada marca. Apple vende iPhone con un alto margen al mismo nivel que Xiaomi y Huawei venden dispositivos económicos a bajo margen.

Fuente: Hipertextual.com

ANDROID. Vulnerabilidad en plataforma permite acceder a contenido de memoria

Investigadores de Trend Micro han anunciado una vulnerabilidad en Debuggerd, el depurador integrado en Android, que podría permitir acceder al contenido de la memoria de dispositivos con Android 4.0 (Ice Cream Sandwich) a 5.0 (Lollipop).

 El problema reside en que a través de un archivo ELF (Executable and Linkable Format) específicamente creado podría dar lugar a la caída del depurador y exponer el contenido de la memoria a través de archivos tombstones y los correspondientes archivos logd. El ataque por sí mismo no sirve de mucho, salvo para realizar denegaciones de servicio, aunque sí podrá ayudar para la realización de otros ataques o exploits, que permitan la ejecución de código y evitar la protección ASLR.

 Aunque el impacto inicial quede limitado, una aplicación reempaquetada o descargada en el dispositivo podrá explotar esta vulnerabilidad; que afecta a dispositivos Android 4.0 (Ice Cream Sandwich) hasta 5.x (Lollipop).

 Principalmente la vulnerabilidad reside en que Debuggerd usa "sym->st_name" como offset para un comando de copia de cadenas sin comprobación de errores. Este valor puede ser controlado de forma sencilla por el ELF manipulado de forma que el valor del offset apunte a memoria inaccesible, lo que provoca la caída de Debuggerd.

 Trend Micro reportó el problema a Google el pasado 27 de abril, que lo confirmó al día siguiente calificándolo como de gravedad baja. Se incluyó una actualización en el código del Android Open Source Project (AOSP) el 15 de mayo. También se ha confirmado que la vulnerabilidad quedará resuelta en la próxima versión, Android M.

Más información:

• Trend Micro Discovers Android Vulnerability that Can Lead to Exposure of Device Memory Content http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-android-vulnerability-that-can-lead-to-exposure-of-device-memory-content/

Fuente: Hispasec

CVEs. Los identificadores de vulnerabilidades superaron los 70.000

Según ha informado Mitre.org, el pasado 24 de junio la lista de CVEs sobrepasó los 70.000 identificadores únicos con nombres públicamente conocidos. 

 El CVE es el Common Vulnerabilities and Exposures, un estándar (administrado por la organización Mitre.org) que se encarga de identificar unívocamente a las vulnerabilidades. El CVE ha tenido gran aceptación entre todos los fabricantes porque la mayor parte de las veces es muy complejo saber a qué vulnerabilidad nos estamos refiriendo solo por ciertas características. Se hace necesario una especie de número de identidad único para cada fallo, puesto que en ocasiones son tan parecidas, complejas o se ha ofrecido tan poca información sobre ellas que la única forma de diferenciar las vulnerabilidades es por su CVE.

 La lista de identificadores CVEs, también conocidos en la comunidad como nombres CVE, números CVE, entradas CVE, CVE-IDs o simplemente CVEs, empezó en 1999 con solo 321 entradas. En la actualidad se ha convertido en un estándar internacional para la identificación de vulnerabilidades. Tanto los profesionales de la seguridad, como los fabricantes de todo el mundo usan el identificador CVE como un método estándar que no solo permite identificar las vulnerabilidades; sino que también facilita el trabajo de clasificación y las referencias cruzadas entre productos, servicios y repositorios.

 El identificador CVE, tiene la forma CVE-AAAA-NNNN (p.ej. CVE-2015-1234), donde AAAA representa el año en que se reportó o se conoció la vulnerabilidad, y el número NNNN se asigna según el organismo tiene conocimiento de la vulnerabilidad. Hasta 2014 se estimaba que con cuatro dígitos para el número de vulnerabilidad era suficiente para identificar todas las vulnerabilidades del año. Pero dado el aumento del número de vulnerabilidades anuales, se estimó la necesidad de ampliar el número de dígitos y en la actualidad no hay un límite de dígitos.

 Cada uno de los 70.000 identificadores de la Lista CVE incluye el identificador CVE, una breve descripción de la vulnerabilidad y todas las referencias pertinentes como análisis de la vulnerabilidad, avisos o parches.

La lista de CVEs se encuentra disponible en https://cve.mitre.org/cve desde donde se pueden realizar consultas individuales o descargar la lista completa en diversos formatos.

Más información:

• CVE List Surpasses 70,000 CVE-IDs https://cve.mitre.org/news/index.html#june262015_CVE_List_Surpasses_70,000_CVE_IDs

Fuente: Hispasec

IBM. Multiples vulnerabilidades en IBM Security Directory Server

 IBM ha solucionado seis vulnerabilidades en IBM Security Directory Server que podrían permitir a atacantes remotos autenticados ejecutar comandos arbitrarios, a usuarios remotos obtener información sensible y realizar ataques de cross-site scripting y a usuarios locales obtener información.

 IBM Security Directory Server, anteriormente conocido como IBM Tivoli Directory Server, es un software de gestión de identidad de IBM basado en tecnología LDAP (Lightweight Directory Access Protocol), que proporciona una infraestructura de datos de identidad de confianza para la autenticación. Soporta plataformas IBM AIX, i5, Solaris, Windows, HP-UX...

Detalle de las vulnerabilidades

•  El primero de los problemas corregidos (con CVE-2015-1978) reside en una vulnerabilidad de cross-site scripting. Un segundo problema (con CVE-2015-1972) podría permitir a un atacante remoto obtener información sensible a través de los logs de error. Un usuario local podría subir y descargar archivos cifrados potencialmente sensibles (CVE-2015-1959).
•  Por otra parte, la herramienta de administración web podría permitir a un usuario local autenticado ejecutar comandos que de forma habitual no debería tener acceso (CVE-2015-1974). Algunas páginas SSL pueden ser guardadas en caché lo que podría permitir a un atacante local obtener información sensible (CVE-2015-2019).
•  Por último, con CVE-2015-2808, corrige la vulnerabilidad conocida como "Bar Mitzvah Attack" que reside en el uso de RC4 con claves débiles en los protocolos TLS y SSL, lo que podría permitir a un atacante obtener información sensible. Un atacante remoto podría emplear esta vulnerabilidad para exponer credenciales de usuarios sin necesidad de realizar un ataque de hombre en el medio.

Recomendación

•  Se han publicado actualizaciones para corregir estos problemas para las versiones 6.0 a 6.4 desde http://www-01.ibm.com/support/docview.wss?uid=swg21960659

Más información:

• Security Bulletin: Multiple Vulnerabilities fixed in IBM Security Directory Server http://www-01.ibm.com/support/docview.wss?uid=swg21960659

Fuente: Hispasec

LINUX. Actualización del kernel para Red Hat Enterprise Linux 7

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa siete nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio, obtener contenido de la memoria o elevar sus privilegios en el sistema .

 Un problema en la lectura y escritura de tuberías podría dar lugar a una corrupción de memoria que podría permitir a un atacante provocar condiciones de denegación de servicio o elevar sus privilegios en el sistema (CVE-2015-1805). Una condición de carrera en el subsistema de administración de llaves puede causar la caída del sistema (CVE-2014-9529). Una elevación de privilegios por un fallo en la implementación de la emulación 32 bits del kernel de Linux (CVE-2015-2830).

 Un fallo en la implementación del sistema de archivos ISO podrá permitir a un atacante con acceso físico al sistema provocar un bucle infinito en el kernel, con la consiguiente denegación de servicio (CVE-2014-9420). Una fuga de información en la implementación del sistema de archivos ISO9660 podrá permitir a un atacante con acceso físico al sistema obtener hasta 255 bytes de la memoria del kernel (CVE-2014-9584). Una denegación de servicio local en la implementación de tablas netfilter por un error en la función nft_flush_table() (CVE-2015-1573). Por último, un desbordamiento de entero en la forma en la que el kernel de Linux aleatoriza el stack para procesos en determinados sistemas 64 bits (CVE-2015-1593).

 Además se han solucionado otros fallos de menor importancia. Detalles sobre la aplicación de ésta actualización se encuentran disponibles desde https://access.redhat.com/articles/11258

Más información:

• Important: kernel security and bug fix update https://rhn.redhat.com/errata/RHSA-2015-1137.html

Fuente: Hispasec

DYRE. Detectan aumento de la infraestructura de este malware

Expertos en seguridad han detectado un aumento de tamaño de la infraestructura de Dyre.

En lo referido a las cifras, estaríamos hablando de 284 servidores de control con los que contactan los equipos infectados y otras 44 máquinas adicionales cuya actividad es especial y no corresponde con el patrón de los servidores, llegando a sugerir varios expertos en seguridad que podrían tratarse de equipos pertenecientes a los responsables del malware y la botnet.

Sin embargo, aunque la infraestructura ha sufrido un aumento de tamaño hay que decir que ni las funciones ni la finalidad se han visto alteradas. Dyre sigue desempeñando la tarea de robar de dinero y lo realiza gracias al seguimiento que realiza de la navegación del usuario, almacenando todas las pulsaciones de teclado realizadas y las páginas visitadas para así realizar posteriormente el filtrado y escoger las claves de aquellas cuentas pertenecientes a servicios de banca en línea.

¿Dónde se encuentran los servidores que controlan Dyre?

• Tras realizar un informe, los responsables de Symantec han puntualizado que una cantidad bastante significativa sobre el total de servidores se encuentra en Polonia, Bulgaria, Andorra, Holanda, Serbia, Austria, Alemania, Reino Unido y Hungria. Un malware que afecta en todo el mundo y 227 servidores de 284 se encuentran en territorio europeo.
• También se han encargado de analizar el comportamiento del virus informático, deduciendo que los propietarios se encuentra en Europa del Este o Rusia.

Usuarios de Francia, Reino Unido y Estados Unidos los más afectados

• En lo referido a qué usuarios se encuentran entre los más afectados hay que decir que tampoco existen grandes cambios y los ciberdelincuentes siguen apostando por los usuarios británicos y estadounidenses, es decir, atacar a aquellos países en donde las transacciones bancarias se realizan principalmente recurriendo a un ordenador doméstico o bien desde una oficina de una gran empresa.

Fuente: Softpedia

ESET. Corrige grave fallo de seguridad de su motor búsqueda

ESET ha solucionado un grave fallo de seguridad en su motor de búsqueda que podría permitir que un usuario malintencionado comprometa el sistema y se hiciera con el control total del mismo. Un análisis al emulador de código de ESET ha mostrado que este módulo de la suite antivirus no es lo suficientemente robusto y puede ser comprometido fácilmente.

Si un atacante explota este fallo de seguridad, dicho atacante podría tomar el control completo del sistema en el que esté instalado ESET independientemente del sistema operativo que esté usando.

La emulación de código que ha sido integrado en los productos antivirus permite ejecutar archivos y scripts en una “sandbox” de ESET para monitorizar la actividad del sistema. Este proceso se supone que se realiza en un entorno completamente aislado del sistema operativo y no tiene ningún impacto contra el sistema real. Los datos recogidos después de ejecutarlo son examinados por el análisis heurístico para decidir si el programa o script es malicioso o únicamente sospechoso.

Tavis Ormandy es un investigador de seguridad que trabaja en Google Project Zero, el proyecto de Google que examina la seguridad de múltiples programas como navegadores, programas de mensajería, sistemas operativos e incluso productos de seguridad como ESET con la finalidad de encontrar vulnerabilidades. 

Según Tavis Ormandy, otros productos de ESET también están afectados incluyendo software para otros sistemas operativos como Mac OS X. Lo que hace ESET es usar un pequeño filtro en el kernel para interceptar todas las lecturas y escrituras del disco para posteriormente analizarlas. Sin embargo estas operaciones de entrada salida pueden ser causadas de varias maneras por lo que no se aisla por completo el código malicioso.

Este investigador de Google Project Zero creó un exploit en pocos días comprometiendo la seguridad del sistema por completo, tanto en sistemas Windows como en sistemas Mac y Linux donde es posible elevar privilegios a root.

Fuente: Softpedia

ADF.LY Utilizado para distribuir malware entre los usuarios

Los servicios que ofrecen publicidad en páginas web son una de las mejores vías para alcanzar el mayor número de los usuarios y distribuir malware. Primero fue Google Adsense el utilizado y en esta ocasión es el servicio Adf.ly el que se ha visto afectado.

Expertos en seguridad han detectado que ciertos anuncios disponibles lo que hacen es redirigir al usuario a ciertas páginas donde se encuentra disponible el exploit HanJuan. Aunque no se conocen muchos detalles sobre este, parece que utiliza vulnerabilidad disponibles en los navegadores de Internet y complementos para realizar la descarga en el equipo de un ejecutable que contiene un malware que posteriormente se encargará de robar información del equipo del usuario.

Concretamente, el virus informático busca el robo de las credenciales de acceso de los servicios que el usuario hace uso en el equipo infectado.

Dos de las vulnerabilidades que utiliza son  la CVE-2015-0359, perteneciente a Adobe Flash Player y la CVE-2014-1776 de Internet Explorer. Ambas aplicaciones poseen actualizaciones que resuelven estos problemas, sin embargo, poco son los usuarios que han realizado el proceso.

Tinba es el troyano que se distribuye haciendo uso de Adf.ly

• Con respecto al malware distribuido, hay que decir que ya es conocido por la amplia mayoría de usuarios de nuestro portal y que ya tiene varios años de antigüedad. Tiny Banker (o Tinba) es uno de los troyanos bancarios más utilizados por los ciberdelincuentes. Cuando este se instala en el sistema utiliza el proceso explorer.ex para inyectar de forma satisfactoria código en Firefox, Google Chrome o Internet Explorer. Esto permitirá al virus informático monitorizar la actividad del usuario y recopilar las credenciales de acceso introducidas por el usuario.
• Redes sociales, cuentas de entidad de banca en línea, servicios de mensajería, y así hasta confeccionar una larga lista de servicios que podrían verse afectados.

Fuente: Softpedia

SEGURIDAD. Kaspersky pone en funcionamiento una herramienta scaner antivirus desde Facebook

Nuevo avance relacionado con la seguridad: un escaneo del equipo gracias a Kaspersky. Sin lugar a dudas en la red social Facebook están trabajando duro y esta nueva función es una muy buena noticia para los usuarios.

Esta función solo está disponible cuando el equipo de seguridad de la madre de las redes sociales ha detectado una actividad sospechosa en la cuenta, como por ejemplo, la publicación masiva de mensajes con enlaces páginas web maliciosas. Una vez detectado el problema, se impide que el usuario inicie sesión con normalidad y se obliga en primer lugar a que el usuario pase una serie de controles, o mejor dicho, el equipo desde donde ha iniciado sesión.

Es algo que los usuarios demandaban desde hace mucho tiempo y que puede evitar que las cuentas se utilicen para finalidades ilícitas, una práctica que resulta bastante frecuente hoy en día y de la que muchos usuarios no son conscientes.

Facebook analizará tu equipo en busca de malware

• Aquí es donde entra en juego la utilidad desarrollada por Kaspersky. Al acceder a realizar el escaneo al usuario le aparece la siguiente ventana en su navegador:
• El escaneo invierte bastante tiempo por lo que desde la red social piden a los usuarios paciencia. A medida que se detecten problemas se ofrecerán instrucciones a los usuarios para resolver cada uno de forma individual.
• Desde Kaspersky han hablado sobre la utilidad y han confirmado que posee una eficiencia muy alta y unos resultados fiables que ayudarán al usuario a eliminar de su equipos los posibles problemas de seguridad existentes.
• En Facebook están siguiendo la política de ofrecer al usuario el máximo de servicios posibles para evitar que tengan que acudir a otros para encontrar lo que necesitan.

Fuente: MalwareTips

PFSENSE . La nueva versión 2.2.3 soluciona varios fallos de seguridad de OpenSSL

pfSense, la popular distribución orientada a cortafuegos para nuestro hogar y también de carácter profesional, se ha actualizado a la versión 2.2.3, siendo la tercera versión de mantenimiento de la versión estable de pfSense 2.2. En esta nueva versión de pfSense 2.2.3 se han actualizado un gran número de vulnerabilidades de seguridad por lo que muy recomendable actualizar nuestro sistema.

Detalle de la nueva versión

·         Esta nueva versión de pfSense 2.2.3 soluciona graves vulnerabilidades que fueron encontradas hace tiempo en la librería OpenSSL, uno de los fallos solucionados es la vulnerabilidad conocida como Logjam.

·         Además del fallo en OpenSSL, se han solucionado múltiples vulnerabilidades XSS en la interfaz web (GUI) del sistema operativo, se han solucionado varios problemas de corrupción del sistema de archivos cuando no apagamos correctamente el sistema operativo (reset físico, pérdida de alimentación o cuando el sistema se cae y hay que resetearlo). Esta versión también ha eliminado el parche “forcesync” que se incorporó en anteriores versiones debido a que podría corromper el sistema de archivos de pfSense.

·         Respecto a las novedades de software, se ha añadido a esta nueva versión strongSwan 5.3.2 y PHP 5.5.26, además también se han solucionado errores en el HTML y XHTML de la interfaz gráfica, se ha mejorado el soporte para IPv6 y se han realizado optimizaciones en:

1. NTP
2. DHCP
3. RA (Para IPv6)
4. DNS
5. CARP
6. OpenVPN
7. IPsec

Los autores del proyecto pfSense insisten que esta versión no es como otra cualquiera, es una versión con múltiples cambios y mejoras por lo que se recomienda que se use a partir de ahora esta versión.

Más información

• pfSense 2.2.3 (descarga ) https://www.pfsense.org/

Fuente: Softpedia

WIRESHARK. Actualizaciones de seguridad

Wireshark Foundation ha publicado dos boletines de seguridad que solucionan otras tantas vulnerabilidades en la rama 1.12.

 Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

 Todos los errores de seguridad corregidos podrían llegar a provocar condiciones de denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados. En esta ocasión las vulnerabilidades residen en los disectores 'WCCP' y 'GSM DTAP'.

 Las vulnerabilidades se han solucionado en la versión 1.12.6 ya disponible para su descarga desde la página oficial del proyecto.

https://www.wireshark.org/download.html

Más información:

• wnpa-sec-2015-19 · WCCP dissector crash https://www.wireshark.org/security/wnpa-sec-2015-19.html
• wnpa-sec-2015-20 · GSM DTAP dissector crash https://www.wireshark.org/security/wnpa-sec-2015-20.html

Fuente: Hispasec

CACTI . Corregidas vulnerabilidades en la aplicación

Se ha publicado una nueva versión de Cacti (0.8.8d) destinada a corregir, entre otros problemas, varios fallos de seguridad. Estos errores permitirían a un atacante remoto realizar ataques de inyección SQL y de Cross-Site scripting.

 Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.

 Los errores se detallan a continuación:

• CVE-2015-4342: Debido a un error de validación de entradas, un atacante remoto podría ejecutar comandos SQL en la base de datos subyacente a través de parámetros especialmente manipulados. El parámetro "cdef id" se encuentra relacionado con esta vulnerabilidad.
• CVE-2015-2665: Se debe a un error al no filtrar correctamente código HTML proporcionado por el usuario. Un atacante remoto podría ejecutar código arbitrario en el contexto del usuario que lanza el navegador, lo que le permitiría obtener acceso a las cookies del usuario, incluidas las de autenticación.

Recomendación

·         Se recomienda actualizar a la última versión 0.8.8d.

Más información:

·         Multiple vulnerabilities fixed in Cacti 0.8.8d http://www.cacti.net/release_notes_0_8_8d.php

Fuente: Hispasec

GOOGLE. Actualización de seguridad para su navegador Chrome.

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) que se actualiza a la versión 43.0.2357.130 para corregir cuatro nuevas vulnerabilidades.

 Se ha corregido un error de validación de esquemas en WebUI (CVE-2015-1266), dos saltos de la política de mismo origen en Blink (CVE-2015-1267 y CVE-2015-1268) y un error de normalización en la lista precargada HSTS/HPKP (CVE-2015-1269).

 Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

·         Stable Channel Update http://googlechromereleases.blogspot.com.es/2015/06/chrome-stable-update.html

Fuente: Hispasec

CISCO. Claves SSH por defecto en algunos de sus dispositivos

Cisco ha publicado actualizaciones para sus dispositivos Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv) y Security Management Virtual Appliance (SMAv) después de encontrar que incluían claves SSH por defecto.

Recursos afectados

 En esta ocasión son tres los dispositivos afectados:

• Cisco Virtual Web Security Appliance (WSAv)
• Cisco Virtual Email Security Appliance (ESAv)
• Cisco Virtual Security Management Appliance (SMAv)
• Que incluyen en dos tipos de claves SSH por defecto.

Detalle de las vulnerabilidades

• El primero de los problemas se debe a la inclusión de una llave SSH autorizada por defecto que es compartida en todas las instalaciones de WSAv, ESAv y SMAv. Un atacante podrá explotar la vulnerabilidad obteniendo la llave privada SSH y empleándola para conectar a cualquier a cualquier dispositivo afectado con privilegios de "root".
• Por otra parte, también incluyen llaves de host SSH por defecto compartidas, igualmente, en todas las instalaciones de WSAv, ESAv y SMAv. Un atacante podrá obtener una de las llaves privadas SSH y emplearla para descifrar o falsificar la comunicación entre los dispositivos afectados.

Recomendación

·         Cisco ha publicado actualizaciones para los tres productos afectados. El parche borrará todas las llaves SSH preinstaladas en el dispositivo, tras lo cual se indicarán los pasos precisos para completar el proceso.  La actualización está disponible mediante el proceso de actualización habitual. Aparecerá como "cisco-sa-20150625-ironport SSH Keys Vulnerability Fix" y se debe instalar de forma manual empleando CLI.

Más información:

• Multiple Default SSH Keys Vulnerabilities in Cisco Virtual WSA, ESA, and SMA http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport

Fuente: Hispasec