martes, 30 de junio de 2009

Desbordamiento de búfer en HP OpenView Network Node Manager

Se ha descubierto un problema de seguridad en HP OpenView Network Node Manager para Linux versión 7.53 (y anteriores) que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

HP Openview Network Node Manager (NNM) es la herramienta que dio origen a la familia productos HP Openview. Se trata de un conjunto de herramientas para la administración de redes, posee funciones de monitorización de dispositivos, recolección, almacenamiento y tratamiento de información SNMP.

La vulnerabilidad se ha identificado en HP OpenView Network Node Manager (OV NNM) para Linux, y podría ser explotada por un atacante remoto para comprometer los sistemas vulnerables. El problema está provocado por un desbordamiento de búfer en la aplicación "rping" al procesar los datos introducidos por el usuario.

HP ha publicado un parche que soluciona este problema, disponible desde:
http://support.openview.hp.com/selfsolve/patches


Antonio Ropero
antonior@hispasec.com


Más información:

HP Network Node Manager rping Stack Buffer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=810

lunes, 29 de junio de 2009

Actualización del kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa cinco vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, acceder a información sensible o ejecutar código script.

Los problemas corregidos son:

* No se elimina la capacidad CAP_MKNOD antes de manejar una petición de usuario en un hilo. Esto puede permitir a atacantes locales crear nodos y provocar una denegación de servicio.

* Se ha corregido un fallo en el subsistema agp localizado en el archivo "drivers/char/agp/generic.c", que podría permitir a un atacante local acceder a información sensible.

* Existe un fallo en la función e1000_clean_rx_irq del kernel de Linux en "drivers/net/e1000/e1000_main.c". Esto podría ser aprovechado por un atacante para provocar un kernel panic si se envían paquetes especialmente manipulados al sistema afectado.

* Se ha encontrado una vulnerabilidad en "nfs_permission" a la hora de revisar el permiso "MAY_EXEC". Esto podría ser aprovechado por un atacante local para ejecutar código script sin los permisos adecuados en un recurso compartido NFS si soporta "atomic_open".

* Existe un error de segmentación en la función "hypervisor_callback" de Xen. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través un vector no especificado.

Además se han solucionado cientos de fallos de menor importancia y se
han añadido ciertas mejoras.

Se recomienda actualizar a través de las herramientas automáticas
up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
http://rhn.redhat.com/errata/RHSA-2009-1132.html

domingo, 28 de junio de 2009

Vulnerabilidad de desbordamiento de búfer en el reproductor VLC

Se ha descubierto una vulnerabilidad en el reproductor de archivos multimedia VLC que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

El problema reside en un desbordamiento de búfer en la función "Win32AddConnection()" de modules/access/smb.c, que puede ser explotado por atacantes para lograr la ejecución de código y comprometer los sistemas Windows afectados.

Se ha publicado el siguiente parche:
http://git.videolan.org/?p=vlc.git;a=commit;h=e60a9038b13b5eb805a76755efc5c6d5e080180f


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

VLC Media Player SMB "Win32AddConnection()" Buffer Overflow Issue
http://www.vupen.com/english/advisories/2009/1714

sábado, 27 de junio de 2009

Vulnerabilidades en Cisco ASA

Cisco ha confirmado la existencia de dos vulnerabilidades en los dispositivos Cisco ASA (Adaptive Security Appliance).

El primero de los problemas reside en un fallo de validación de entrada a la hora de procesar componentes URL codificados con Rot13 en la funcionalidad SSL VPN. Un atacante remoto no autenticado podría aprovechar esto para ejecutar código script o HTML arbitrario (Cross Site Scripting) mediante URLs especialmente manipuladas.

Un segundo problema se debe a un fallo de validación de entrada en el componente WebVPN que podrían permitir a un atacante remoto no autenticado eludir ciertos mecanismos de protección relativos a la reescritura HTML y URL. Esto podría ser aprovechado para, manipulando el primer carácter hexadecimal de una URI de Cisco, ejecutar código script o HTML (Cross Site Scripting).

Estos problemas se han corregido en las versiones 8.0.4.34 y 8.1.2.25 del software de Cisco ASA que puede descargarse desde:
http://www.cisco.com/public/sw-center
http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco ASA Bugs Permit Cross-Site Scripting and HTML Injection Attacks
http://www.securitytracker.com/alerts/2009/Jun/1022457.html

viernes, 26 de junio de 2009

Diversas vulnerabilidades de seguridad en Solaris Kerberos

Sun ha publicado una actualización de Solaris Kerberos que corrige cuatro fallos de seguridad que podrían permitir a un atacante remoto lograr la ejecución de código arbitrario.

El primero de los problemas reside en un fallo en la función get_input_token de la implementación de SPNEGP en Kerberos 5 que podría permitir a un atacante provocar una denegación de servicio y potencialmente obtener información sensible a través de un valor de longitud especialmente manipulado.

Otro un fallo se presenta en la función asn1_decode_generaltime en lib/krb5/asn.1/asn1_decode.c en el decodificador ASN.1 GeneralizedTime de Kerberos 5. Esto podría permitir a un atacante provocar una denegación de servicio (referencia a puntero nula) y potencialmente ejecutar código arbitrario.

Una tercera vulnerabilidad está relacionada con la función spnego_gss_accept_sec_context de la librería lib/gssapi/spnego/spnego_mech.c de la implementación de SPNEGP en Kerberos 5 que podría permitir a un atacante provocar una denegación de servicio.

Por último, un fallo en la función asn1buf_imbed en el decodificador ASN.1 de Kerberos 5 cuando se usa PK-INIT. Esto podría permitir a un atacante provocar una denegación de servicio a través de valores de longitud relacionados con el cálculo incorrecto de aritmética de punteros.

Según versión y plataforma, las actualizaciones están disponibles desde:

Plataforma SPARC:
Solaris 10 aplicar parche 140074-08 o superior:
http://sunsolve.sun.com/pdownload.do?target=140074-08&method=h
OpenSolaris compilación snv_116 o posterior.

Plataforma x86:
Solaris 10 aplicar parche 140130-09 o superior:
http://sunsolve.sun.com/pdownload.do?target=140130-09&method=h
OpenSolaris compilación snv_116 o posterior.

De igual forma, Sun anuncia que quedan pendiente de publicación los parches para Solaris 9 y SEAM (Sun Enterprise Authentication Mechanism).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Security Vulnerabilities in the Solaris Kerberos 'Mech' Libraries May Lead To Execution of Arbitrary Code, Unauthorized Access to Data or a Denial of Service (DoS) Condition
http://sunsolve.sun.com/search/document.do?assetkey=1-66-256728-1

jueves, 25 de junio de 2009

Mitos y leyendas: El Directorio Activo (I) (Conceptos)

El Directorio Activo es la joya de la corona de los productos de Microsoft. Destronó a Novell Netware en este ámbito cuando decidió estandarizar sus protocolos de autenticación, resolución de nombres, etc. O sea, cuando apareció Windows 2000, puesto que NT mantenía sus propios protocolos para realizar (de forma discutible) tareas que ya estaban resueltas por estándares más que probados.

El Directorio Activo (nombre comercial que da Microsoft a un servicio de directorio en una red distribuida) es uno de los puntos de negocio fuertes de Microsoft. Las redes de grandes empresas (compuestas por miles de puestos y decenas de servidores todos Windows) suelen basarse en este servicio que facilita enormemente la labor de un administrador. En ocasiones, Microsoft antepone (comercial y técnicamente) este tipo de sistemas sostenidos por grandes empresas a las necesidades de los clientes individuales. De ahí que a veces precise de tanto tiempo para desarrollar un parche de seguridad efectivo: debe asegurarse de que infraestructuras críticas de empresas no dejen de funcionar, puesto que son buena parte del motor de su mercado.

Microsoft plantea la estrategia de aparición de sus sistemas operativos como clientes o servidores para que sean aprovechados al máximo según este esquema. Windows NT era el controlador de dominio ideal para Windows 95 y 98. Windows 2000 Server se suponía el servidor perfecto para Windows 2000 Professional (arquitectura con la que una buena parte de las empresas todavía se sienten cómoda), Windows 2003 para XP y 2008 Server para Vista o Windows 7 (a la mayoría les costará años evolucionar hacia esta última combinación). Aunque con ciertas limitaciones o asumiendo riesgos de seguridad que hay que tener en cuenta y subsanar, casi todos pueden convivir todavía en una red.

Windows implementa el concepto de dominio mediante el de directorio, que no es más que un almacén de datos jerárquico que guarda información sobre recursos (objetos) en la red. El directorio se implementa como una base de datos optimizada para operaciones de lectura sobre la que se pueden realizar búsquedas de grandes cantidades de información, y con capacidades de exploración (un árbol, básicamente). El Directorio Activo se convierte así en un medio de organizar, administrar y controlar centralizadamente el acceso a los recursos de la red.

Microsoft, a partir de Windows 2000, decidió seguir estándares para implementar toda la infraestructura que se intercomunica e interactúa para conformar un Directorio Activo. No pudo dejar atrás de golpe lo que venía sosteniendo con Windows NT, pero poco a poco ha ido quedando obsoleto. Entre los estándares que componen un Directorio Activo, y que han ayudado a mejorar su seguridad, destacan:

* DNS (Domain Name System): Windows NT funcionaba básicamente con WINS, una alternativa poco eficiente al DNS. WINS mantenía una tabla con la correspondencia entre direcciones IP y nombres NetBIOS, y la forma de intercambiar esta información entre servidores era realmente poco eficiente.

* LDAP (Lightweight Directory Access Protocol): Protocolo ligero (o compacto) de acceso a directorio. Este es el protocolo mediante el que las aplicaciones acceden y modifican la información existente en el directorio.

* Kerberos: Protocolo utilizado para la autenticación de usuarios y máquinas. Este protocolo es sin duda mucho más eficiente y efectivo que NTLM, usado para autenticar en una red controlada por Windows NT. El servidor de Kerberos coincide con el controlador de dominio. En ciertas circunstancias bajo un dominio, se sigue usando LM/NTLM o LMv2/NTLMv2 para autenticar. La combinación de los dos primeros sufría enormes problemas de diseño que lo hacían realmente poco fiable. La fuerza bruta funcionaba muy bien sobre ellos. Su evolución, LMv2/NTLMv2, aunque bastante más sofisticada, no puede competir con el estándar Kerberos. Aun así, en Windows 2003 todavía estos protocolos no estaban activados por defecto para ser usados obligatoriamente.

Además de adoptar los estándares, la implementación que ha hecho Microsoft de estos protocolos ha dado buenos resultados en cuestión de fallos de seguridad. Apenas se reportan desde hace tiempo 3 ó 4 fallos de seguridad al año en protocolos o servicios exclusivos de los servidores de dominio. Por supuesto, independientemente de las vulnerabilidades encontradas en el sistema operativo que los sostiene. Una de las más graves ocurrió en abril de 2007. Se encontró un 0day en la implementación DNS de Microsoft. Un desbordamiento de memoria intermedia en la interfaz RPC del servidor DNS a la hora de procesar peticiones mal formadas. Podía ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se enviaba una petición especialmente manipulada al sistema vulnerable.


Sergio de los Santos
ssantos@hispasec.com


Más información:

7/04/2007 Detalles y evolución de la vulnerabilidad RPC/DNS de Microsoft Windows
http://www.hispasec.com/unaaldia/3097

miércoles, 24 de junio de 2009

Las nuevas versiones de Samba corrigen dos vulnerabilidades

Las nuevas versiones de Samba (3.0.35, 3.2.13 y 3.3.6) corrigen dos vulnerabilidades que podrían permitir a un atacante eludir restricciones de seguridad e incluso ejecutar código arbitrario, lo que podría llegar a comprometer el servidor que alojase este servicio.

Samba es una implementación Unix "Open Source" del protocolo SMB/NetBIOS, utilizada para la compartición de archivos e impresora en entornos Windows. Gracias a este programa, se puede lograr que máquinas Unix y Windows convivan amigablemente en una red local, compartiendo recursos comunes. Incluso es factible utilizar un servidor Samba para, por ejemplo, actuar como controlador de un dominio Microsoft Windows.

El primero de los errores se trata de un acceso a una zona de memoria que no se ha inicializado previamente. Ocurre cuando se deniega el acceso a la modificación de las listas de control de acceso (ACL) restringidas, al no leer la zona correcta de memoria para aplicar la restricción. Esto podría ser aprovechado por un atacante para modificar las ACL de ficheros sin que posea los permisos correspondientes. La directiva "dos filemode" debe estar establecida a "yes" en smb.conf.

El segundo se debe a un error de formato de cadena en la utilidad smbclient, a la hora de procesar nombres de ficheros recibidos como parámetros. Un atacante podría inducir a un usuario a ejecutar algún comando de smbclient (con nombres de ficheros especialmente manipulados como argumentos) y ejecutar código arbitrario en el servidor. También podría aprovecharse como vector de ataque algún automatismo legítimo que utilice smbclient, haciéndole procesar ficheros con nombres manipulados.

Se recomienda descargar las últimas versiones del servidor desde:
http://www.samba.org/samba/security/


Sergio de los Santos
ssantos@hispasec.com


Más información:

CVE-2009-1886: Formatstring vulnerability in smbclient
http://us1.samba.org/samba/security/CVE-2009-1886.html

CVE-2009-1888: Uninitialized read of a data value
http://us1.samba.org/samba/security/CVE-2009-1888.html

martes, 23 de junio de 2009

El Senado aprueba por unanimidad iniciativa sobre Plan Europeo de CyberSeguridad

Hace dos semanas el Senado aprobó por unanimidad una moción donde se insta al Gobierno de España a impulsar una serie de medidas para mejorar la seguridad del denominado ciberespacio, incluyendo un "Plan Europero de Ciberseguridad" aprovechando la presidencia española de la Unión Europea, durante el primer semestre de 2010. El texto finalmente aprobado hace referencia explícita al Consejo Nacional Consultivo de Ciberseguridad (CNCCS), como futurible participante en la elaboración del Plan Estrategico de España en esta materia.

La iniciativa fue defendida ante el Senado por el portavoz socialista en la comisión de Industria, Comercio y Turismo de la Cámara Alta, Félix Lavilla, "una iniciativa sobre ciberseguridad que consideramos positiva para el Senado de España porque lidera una propuesta al Gobierno en el ámbito de la Unión Europea desde nuestro Parlamento, es positiva para España porque es un eje estratégico para proteger su seguridad, para impulsar la I+D+i, y aprovechar el fuerte impulso de las empresas del sector en materia de seguridad, y es positiva también para el conjunto de la Unión Europea."

Según palabras del senador Iñaki Anasagasti, en su turno de intervención desde el Grupo Parlamentario de Senadores Nacionalistas, "Internet no es siempre un lugar seguro, el 50% de usuarios ha sufrido un ataque o engaño cibernético alguna vez, y es que la mayoría de asaltos en la red, el 95%, se dirigen a consumidores domésticos, según datos ofrecidos por la propia Policía", y más tarde apostilló, "Indudablemente esto no es un alegado contra Internet sino a favor de la protección que debe tener la propia seguridad del funcionamiento de Internet."

Por el Grupo Parlamentario Catalán en el Senado de Convergència i Unió, el senador Josep Maldonado afirmó "Apenas en unos años se han desarrollado nuevas formas de comunicación y de negocio al filo del avance de Internet en nuevas redes de comunicación social. Ello ha provocado un gran desfase entre la realidad, muy dinámica y cambiante, y el espíritu de las normas legales y convencionales que regulan su funcionamiento, pues en la mayoría de los casos lo que existe es un gran vacío. Esta situación cambiante, que ha comportado una gran facilidad para la comunicación, también ha constituido una oportunidad para el delito y el crimen.".

"En un mundo global necesitamos instrumentos que también lo sean. Igual que en la sociedad hay todo tipo de personas, algunas con muy buenas intenciones y otras con no tantas, en el ciberespacio encontramos a personas que utilizan los instrumentos globales con una visión positiva y enriquecedora de la sociedad y a otras que emplean estos mismos instrumentos para fines ilícitos e ilegales que pueden perjudicar a los demás.", dijo María Assumpta Baig, del Grupo Parlamentario Entesa Catalana de Progrés.

En palabras de Jose María Chiquillo, por el Grupo Parlamentario Popular, "tengo que decir que a los políticos nos preocupa, al Senado le preocupa, y a este senador le preocupa y apasiona esta materia, y los expertos en el cibercrimen andan muy preocupados también por el aumento exponencial de los ataques informáticos contra las infraestructuras críticas de información y comunicación de los gobiernos en los últimos tiempos. El uso pervertido de las tecnologías de la información y de la comunicación electrónica, el llamado cibercrimen, está aumentando de manera preocupante en los últimos años, y ante ello hay que actuar."

El texto final, aprobado por consenso, comprende los tres puntos iniciales de la iniciativa defendida por el Grupo Parlamentario Socialista y dos enmiendas del Grupo Parlamentario Popular:

* Impulsar un Plan Europeo de Cyberseguridad en la Red en el marco de la Unión Europea durante la Presidencia de España 2010.

* Implantar en INTECO un laboratorio de certificación de sistemas de gestión de infraestructuras críticas que permita elaborar un catálogo de empresas y productos certificados, tanto de España como de la Unión Europea.

* Definir un Plan Estratégico de Seguridad Nacional que sea referente y ayude a trabajar de forma continua en los modelos de prevención. Dicho Plan permitirá identificar las oportunidades para la industria, el desarrollo del Sector de la Seguridad Digital, la creación de empleo para profesionales de alta cualificación y la potenciación internacional de la industria. Igualmente, se fomentará la creación de actividad económica basada en la aplicación práctica de la I+D+i nacional.

* En la elaboración de dicho Plan Estratégico de Seguridad Nacional se fomentará la participación de los sectores implicados, en particular el Consejo Nacional Consultivo de CiberSeguridad (CNCCS).

* A Ratificar el Convenio del Consejo de Europa sobre la Ciberdelincuencia - nº 185 - (Budapest 23.11.2001) y proponer en el seno de los organismos europeos que la Unión Europea devenga Parte del Convenio.

Desde Hispasec nos alegramos del acuerdo y consenso alcanzado por todos los grupos políticos en un asunto tan importante y estratégico como el que nos atañe. Sinceramente fue un placer seguir las distintas intervenciones de los senadores, uno no acostumbra a escuchar a nuestros representantes tratar asuntos como el phishing, troyanos o ciberataques, y todo ello lo hicieron aportando datos y con criterio.


Bernardo Quintero
bernardo@hispasec.com


Más información:

09/06/2009 El CNCCS apoya iniciativa parlamentaria para la creación del Plan Europeo de CyberSeguridad en la Red
http://www.hispasec.com/unaaldia/3881/cnccs-apoya-iniciativa-parlamentaria-para-creacion-del

lunes, 22 de junio de 2009

Hemeroteca de seguridad: Epic Fail

De forma casual, mientras buscaba algunas referencias, he encontrado dos predicciones de seguridad que a día de hoy pueden despertar alguna sonrisa, y con ese ánimo quería compartirla con nuestros lectores. Vayan por delante mis respetos a sus autores, que espero se lo tomen con sentido del humor. Ya lo decía el maestro Yoda: "De ver difícil es, en movimiento el futuro está siempre".

* 2002, los creadores de virus a través de Internet se convierten en inofensivas reliquias del pasado

"Ya no son la amenaza que eran", dice Mark Toshack, analista de la firma británica de seguridad MessageLabs. Los virus de informática todavía son un peligro para los usuarios de ordenador, como mostraron Code Red el año pasado y Klez este año. Pero los avances en los software antivirus y un público más alerta han derrotado en gran medida lo mejor que los jóvenes programadores de virus pueden lanzarles a la comunidad de la informática. Y ahora, después de un período de relativa calma, los especialistas de seguridad están comenzando a regodearse en su aparente triunfo. "Los ataques de este grupo están declinando", afirma Raimund Genes, presidente europeo de la firma de especialistas en detección de virus Trend Micro. "Hace dos años, pensábamos que esto sería un gran problema, pero hoy no lo es".

* 2004, al spam no le quedan más de dos años de vida

José Antonio Mañas, catedrático de Ingeniería de Sistemas Telemáticos de la Universidad Politécnica de Madrid, habló sobre los problemas que genera el 'spam', conocido también como correo basura. El catedrático auguró que al 'spam' "no le quedan ya más de dos años de vida", pero dio algunos consejos a los asistentes para que aceleren este proceso.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Los creadores de virus a través de Internet se convierten en inofensivas reliquias del pasado
http://www.abc.es/hemeroteca/historico-13-08-2002/abc/Internet/los-creadores-de-virus-a-traves-de-internet-se-convierten-en-inofensivas-reliquias-del-pasado_121096.html#

Expertos aseguran que desaparece la amenaza de los virus
http://www.elmundo.es/navegante/2002/08/13/seguridad/1029227742.html

Al spam no le quedan más de dos años de vida
http://www.belt.es/noticias/2004/junio/8/organizacones.htm

15/08/2002 MessageLabs provoca a los creadores de virus
http://www.hispasec.com/unaaldia/1390

domingo, 21 de junio de 2009

Protegiéndonos de las soluciones de seguridad

Acabo de recibir un mensaje de una gran consultora, de esas que hacen estudios basándose en estadísticas tras recopilar la opinión de terceros supuestamente expertos. Muy amables, solicitan corrija una errata en una de las respuestas que rellené en su cuestionario. La pregunta pedía que, según mi criterio, enumerara el top 10 de amenazas de seguridad a las que se deberían enfrentar las empresas a corto y medio plazo. La respuesta que suponen una errata es: las soluciones de seguridad.

Supongo que la mayoría estamos de acuerdo en que, en casos puntuales, una solución de seguridad puede introducir nuevas amenazas, bien por mal funcionamiento en sus funciones de protección, bien por nuevas vulnerabilidades que se derivan del propio producto o servicio de seguridad. No obstante, incluir esa remota y puntual posibilidad en un top 10 de amenazas no es muy acertado. Así que entono el mea culpa por una mala descripción de lo que quería decir (tampoco había mucho espacio en el campo de texto libre del cuestionario), y les voy a enviar la rectificación: marketing falso en soluciones de seguridad.

En su día me molestaba mucho leer el eslogan de "100% de protección contra virus", una herencia de aquella molestia se puede encontrar aun hoy día en el aviso que escribí hace 5 años en la web de VirusTotal: "No existe solución en el mundo que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general. Si le ofrecen un producto con el 100% de efectividad, está siendo víctima de publicidad falsa.". Afortunadamente el marketing de los antivirus ha evolucionado y ya nadie se atreve a decir nada parecido.

Sin embargo, en términos generales, el marketing en las soluciones de seguridad sigue siendo poco honesto, tanto con el usuario final como con el cliente corporativo. Un buen momento que tengo para afianzar esa sensación es cuando presento los resultados de auditorías y test de penetración a clientes corporativos. Es entonces cuando escucho frases como: "pero el vendedor nos dijo que este sistema de prevención de intrusiones evitaba cualquier tipo de inyección", "no puede ser, el portátil tiene un sistema de cifrado y nos dijeron que era imposible extraer ninguna información", etc.

Ya sabemos que cualquier solución de seguridad que nos ofrezcan, u ofrezcamos, no es perfecta. Así que el vender las soluciones de seguridad exagerando sus virtudes y omitiendo sus debilidades podría entenderse como picaresca, parte del juego entre vendedor-comprador. Pero los efectos en realidad son mucho más perniciosos que el del anuncio del detergente que nos asegura que lava más blanco que ninguno, porque puede llegar a crear una falsa sensación de seguridad en el comprador y las consecuencias pueden ser desastrosas para la empresa.

No se trata simplemente de que el comprador haya adquirido una solución que no es la mejor de su categoría, como ocurre en el caso del detergente, sino que probablemente no le hayan explicado las limitaciones de esa tecnología y de la que adolece cualquier otro producto de la misma categoría. El resultado es que el comprador no entenderá la necesidad de añadir capas adicionales de seguridad para proteger sus activos, una verdad que en el mejor de los casos descubrirá durante una auditoría o test de penetración, y en el peor de los escenarios ya sería demasiado tarde.

Mi humilde consejo: cuando intenten venderle una tecnología o solución de seguridad, desconfíe de cualquier presentación que no incluya explícitamente una descripción de sus debilidades o limitaciones.


Bernardo Quintero
bernardo@hispasec.com


Más información:

01/02/2005 Publicidad falsa de Terra en relación a su antivirus
http://www.hispasec.com/unaaldia/2292

15/08/2002 MessageLabs provoca a los creadores de virus
http://www.hispasec.com/unaaldia/1390

sábado, 20 de junio de 2009

Ejecución remota de código a través de libtt en IBM AIX

IBM ha publicado una actualización para AIX 5 y 6 que soluciona un fallo que podría permitir a un atacante remoto lograr la ejecución de código arbitrario en los sistemas afectados.

El problema reside en un desbordamiento de memoria intermedia en la librería libtt.a. Este fallo podría ser aprovechado por un atacante remoto para ejecutar código arbitrario con permisos de root a través de vectores no especificados. La vulnerabilidad solo es explotable si el servidor rpc.ttdbserver está habilitado en /etc/initd.conf.

Las actualizaciones publicadas están disponibles desde:
http://aix.software.ibm.com/aix/efixes/security/libtt_fix.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX libtt.a rpc.ttdbserver remote buffer overflow vulnerability
http://aix.software.ibm.com/aix/efixes/security/libtt_advisory.asc

viernes, 19 de junio de 2009

iPhone OS 3.0, más que una actualización de funciones

Apple ha solucionado 46 fallos de seguridad en la versión 3.0 del sistema operativo de su iPhone, además de añadir numerosas funcionalidades que los usuarios han ido requiriendo con el tiempo. Algunas de las vulnerabilidades permitían la ejecución de código arbitrario en el sistema con solo visitar una página web con su Safari integrado.

La mayoría de los parches de seguridad se concentran en Webkit (componente esencial del navegador Safari) y CoreGraphics, con 21 y 8 fallos corregidos respectivamente. Algunos de los fallos corregidos ahora fueron hechos públicos en noviembre de 2008.

Probablemente, una vez más como con cada actualización, habrán solucionado los fallos de seguridad que permiten que, con acceso físico al sistema, se pueda realizar un "jailbreak" del teléfono. Esto significa que se pueden ejecutar programas no firmados criptográficamente por Apple en él. Así, los usuarios encuentran un buen puñado de aplicaciones de todo tipo, no oficiales, que aumentan las posibilidades del teléfono mucho más allá de lo que le gustaría a la propia Apple. Pero igualmente, es muy probable que como con cada actualización, la comunidad encuentre la forma de saltarse estas restricciones. Con la beta de la versión 3 ya lo consiguieron.

Además, hace unos días se dio a conocer que en la próxima Black Hat de Las Vegas, Charles Miller y Vincenzo Iozzo presentarán una fórmula para ejecutar código no firmado, pero de forma remota, en el sistema. En la versión 1 del sistema operativo, esto era bastante sencillo (el "jailbreak" se podía realizar en remoto) pero a partir de la versión 2 se endureció la seguridad en este sentido.

Se recomienda actualizar el software a través de iTunes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The difficulty of running nonapproved code on the iPhone has turned off security researchers--until now.
http://beta.technologyreview.com/communications/22782/

About the security content of iPhone OS 3.0 Software Update
http://support.apple.com/kb/HT3639

jueves, 18 de junio de 2009

Múltiples vulnerabilidades en IBM WebSphere 6.x

Se han encontrado varias vulnerabilidades en el servidor de aplicaciones de IBM WebSphere. Se ha publicado la versión 6.0.2 que corrige numerosas vulnerabilidades. De la mayoría no existen detalles concretos por parte de IBM.

IBM WebSphere Application Server es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos como AIX, Linux, Microsoft Windows y Solaris.

Brevemente, las actualizaciones más importantes son:

[PK77010] CVE-2009-1898: Un error a la hora de redirigir a https permite que por http se pueda capturar el trafico de la consola de administración. Esto podría se usado por un atacante en la red adyacente para leer el contenido enviado.

[PK77495] CVE-2009-1899: Un error no especificado en el componente wsadmin de System Management/Repository produce un impacto no especificado a través de vectores desconocidos.

[PK84999] CVE-2009-1900: Un error en el componente Configservice de Administrative Console permite que un atacante remoto pueda obtener información sensible.

[PK73246] CVE-2009-1901: Un error no especificado en el componente Security permite el uso de "non-standard http methods," a través de vectores desconocidos.

Se recomienda actualizar desde:
http://www-01.ibm.com/support/docview.wss?uid=swg27006876


Víctor Torres
laboratorio@hispasec.com


Más información:

Fix list for WebSphere Application Server Version 6.0.2
http://www-01.ibm.com/support/docview.wss?uid=swg27006876

miércoles, 17 de junio de 2009

Denegación de servicio a través de rpc.nisd en Sun Solaris

Sun ha publicado actualizaciones para Sun Solaris 8, 9 y 10 para evitar vulnerabilidades de denegación de servicio a través del demonio rpc-nisd.

El problema reside en un error, del que Sun no ha facilitado detalles, en el demonio rpc-nisd que podría ser aprovechado por un atacante remoto con privilegios en ciertos clientes NIS+ para causar una denegación de servicio en el servidor NIS+ a través de vectores no especificados.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para plataforma SPARC:

Solaris 8 instalar el parche 128624-09 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=128624-09&method=h

Solaris 9 instalar el parche 112960-65 o superior disponible desde http://sunsolve.sun.com/pdownload.do?target=112960-65&method=h

Solaris 10 instalar el parche 140917-01 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=140917-01&method=h

OpenSolaris: compilación snv_104 o posterior

Para plataforma x86:

Solaris 8 instalar el parche 128625-09 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=128625-09&method=h

Solaris 9 instalar el parche 114242-50 o superior disponible desde http://sunsolve.sun.com/pdownload.do?target=114242-50&method=h

Solaris 10 instalar el parche 140918-01 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=140918-01&method=h

OpenSolaris: compilación snv_104 o posterior


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability in the Solaris rpc.nisd(1M) Daemon may Cause a Denial of Service (DoS) Condition to a NIS+ Server
http://sunsolve.sun.com/search/document.do?assetkey=1-66-256748-1

martes, 16 de junio de 2009

Parches gigantescos

Microsoft ha batido su propio récord: ha solucionado 31 problemas de seguridad en su última tanda de diez boletines. Este argumento puede ser utilizado como un arma arrojadiza contra la seguridad de Microsoft, o de cualquier otro. ¿Se puede medir la seguridad por un número?

No. Los tiempos han cambiado. Igual que hace apenas unos 5 años las casas antivirus se jactaban de ser capaces de reconocer unos pocos cientos de miles de virus, hoy esa publicidad es impensable. Los números no significan nada cuando las cifras son tan elevadas que ya no tienen sentido para un usuario. Nadie podría cuantificar el número de "virus" que existen hoy, mucho menos cuántos miles más aparecerán, literalmente, mañana. Sería necesaria otra métrica mucho más precisa para evaluar la gestión de seguridad de un producto. Los antivirus hablan de protección global, de heurística, de seguridad en tiempo real con nubes e inteligencia colectiva. Los responsables de programas deben hablar de claridad, velocidad, efectividad, respuesta, información, planificación y servicio.

Quedarse en las cifras es tan ambiguo que puede significar cualquier cosa, dependiendo de la intención del que lo anuncie. Oracle se mueve en la media de 50 vulnerabilidades corregidas cada tres meses. Hace un par de años su media era de más de 100. Pero eso no es lo que lo hace especialmente inseguro. Oracle es inseguro básicamente por las pocas facilidades e información que ofrecen a un administrador y porque puede pasar meses o años sin solucionar un fallo conocido. Otro ejemplo: Apple publica cuando puede o quiere (cada pocos meses) parches "jumbo" que corrigen más de 60 vulnerabilidades. El problema es que no se caracteriza por ser especialmente claro o rápido a la hora de solucionar fallos de seguridad. Microsoft no es rápido, pero sí es muy claro en sus boletines, ofreciendo una información muy útil al administrador que deba aplicar los parches. Sun, por ejemplo, independientemente de los números, es especialmente lento a la hora de corregir fallos de seguridad en Solaris.

Para evaluar, hay que tener en cuenta a todos los actores condicionantes. Ocho de estas últimas vulnerabilidades están dedicadas a Internet Explorer. Quizás lo relevante es que ha solucionado por fin (el último tras Safari y Firefox) el fallo en el navegador que permitió ganar el concurso Pwn2Own en marzo. Sin embargo, independientemente de los números, Apple fue también el último gran fabricante en solucionar el fallo de seguridad en DNS descubierto por Kaminsky. Microsoft ya ha corregido el grave problema en WebDAV pero no el 0day en DirecShow...

Adobe, por ejemplo, ante una avalancha de problemas de seguridad que no ha sabido manejar, ha tomado la decisión de agrupar la publicación de parches periódicamente, al igual que hizo Microsoft en 2003, y al que siguieron Cisco con su IOS y Oracle. Acaba de publicar (el mismo día que Microsoft, en un movimiento poco respetuoso con los administradores) nada menos que parches para 13 vulnerabilidades. Pero no debemos detenernos aquí: Adobe está intentando manejar un problema nuevo para él, con el que Microsoft se está enfrentando desde hace muchos años (la seguridad) y parece positivo que tome decisiones que puedan ayudar a mejorar este aspecto.

De las cifras, por tanto, se pueden extraer muchas conclusiones. Tan buenas o malas como quiera el que recopile la información. Se puede hablar de que si se detectan más fallos es porque se está realizando una mejor labor en ese aspecto, o porque el software sigue siendo inseguro después de muchos años en producción (más probable esto último en el caso concreto de XP, concebido cuando la seguridad para Microsoft era secundaria)... Para evaluar la gestión de la seguridad de un producto no podemos detenernos en interpretar cifras. Es necesario realizar un seguimiento objetivo sobre la gestión, incorporando aspectos como la claridad de la información, la velocidad de aparición de parches efectivos (que no contengan regresiones, como suele ocurrir con los paquetes de Debian), el momento en el que son emitidos (es inevitable pensar en la comodidad de los administradores), los canales y facilidades que ofrecen para el parcheo, etc... y vigilar esto durante un tiempo.

Las cifras adornan titulares y rellenan gráficas. Pero sin olvidar que informan en un contexto. Por sí solas no siempre tienen valor. Hay que reconocer que es complicado ofrecer un estudio objetivo en este aspecto.

Nada nuevo bajo el Sol:
http://www.hispasec.com/unaaldia/1884


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft sets record with monster Windows, IE, Office update
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9134156

lunes, 15 de junio de 2009

Nueve boletines de seguridad para Firefox 3.0.11

Mes y medio después de corregir nueve vulnerabilidades con la última 3.0.9 (la versión 3.0.10 corregía sólo un fallo), Mozilla lanza la nueva versión 3.0.11 de su navegador Firefox que soluciona otros once fallos de seguridad. Seis de ellos críticos.

La nueva versión de Firefox soluciona once vulnerabilidades aglutinadas en nueve boletines. Cuatro de estos boletines tienen carácter crítico (permite ejecución remota de código con solo visitar una página web), uno es considerado de alto riesgo y dos de carácter bajo.

Específicamente, cada boletín, ordenados por gravedad:

Críticas:

* MFSA 2009-32 (CVE-2009-1841): Ejecución de código con privilegios de
Chrome mediante JavaScript. Por un error en nsSidebar.prototype.getInterfaces que permite crear objetos en este contexto.

* MFSA 2009-29 (CVE-2009-1838): Ejecución de código JavaScript en el contexto de Chrome. Esto ocurre si tras una recolección de basura el usuario es nulo.

* MFSA 2009-28 (CVE-2009-1837): Posible ejecución de código mediante el uso de un applet de Java. Un error en xul.dll permite un acceso indebido a NPObject JS wrapper antes de la carga del applet permitiría la inyección de código arbitrario.

* MFSA 2009-24 (CVE-2009-1833, CVE-2009-1392, CVE-2009-1832): Varios errores de la base de Mozilla crean varios desbordamientos de memoria intermedia que podrían ser usadas para ejecutar código.

Altas:

* MFSA 2009-27 (CVE-2009-1836): Un error en el procesado de las respuestas que no son 200 durante el 'connect', cuando se está usando un proxy, puede permitir que un atacante remoto modifique el contenido de la respuesta incluso en una conexión SSL.

Moderadas:

MFSA 2009-30 (CVE-2009-1839): Salto de restricciones de lectura local mediante el uso de iframe que salta las restricciones de acceso hacia atrás, es decir, desde /a/b/index.htm podríamos ver /a/index.htm

MFSA 2009-26 (CVE-2009-1835): Salto de restricciones de lectura local de cookies de cualquier dominio mediante el uso de file://. Por ejemplo en file://example.com/C:/foo.html leeríamos foo.html local pero con los datos en el dominio de example.com

Bajas:

MFSA 2009-31 (CVE-2009-1840): Salto de la comprobación de las políticas a través de ficheros XUL script.

MFSA 2009-25 (CVE-2009-1834): Suplantación de la URL en MacOS X al no tratar correctamente los caracteres unicode, de este modo una URL especialmente modificada podría hacerse pasar por otra.

La mayoría de estos fallos, como de costumbre, también afectan al cliente de correo Thunderbird y SeaMonkey. Para los usuarios de Thunderbird, solo queda deshabilitar JavaScript para intentar mitigar solo algunos de estos problemas, o bien lanzarse a buscar las versiones en pruebas en los servidores FTP de la fundación Mozilla.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/

domingo, 14 de junio de 2009

Se reduce la complejidad para provocar colisiones en SHA1

Unos investigadores australianos acaban de dar con una nueva combinación de métodos para provocar colisiones en el algoritmo de hash SHA1 de forma mucho más rápida. Sólo se necesitarían 2^52 intentos. Esto podría resultar en ataques prácticos posibles a este sistema de hash.

SHA1 es un sistema criptográfico de cálculo de hash heredero de MD5. Cualquier entrada de datos que se introduzca en la función, es reducida a una secuencia de 160 bits (2^160 posibilidades). Se puede calcular el SHA, virtualmente, de cualquier flujo de datos independientemente de su longitud, y en la práctica (no en teoría) dar un SHA distinto. Se utiliza en muchas circunstancias y ámbitos como un identificador único de un fichero o mensaje. Pero el enemigo natural de los hashes son las colisiones: la posibilidad de encontrar por fuerza bruta un identificador que no sea único, esto es, que un mismo SHA1 represente a dos flujos de datos entrantes diferentes. Como la entrada es infinita, por definición existen las colisiones, pero se confía en que sean tan complejas de calcular (que se necesite tanto tiempo) que la fuerza bruta sea poco práctica.

Pero si se reduce el cálculo de esa fuerza bruta... Cuanta más cantidad de bits de salida de la función, más complicado encontrar colisiones. Se sabe, según la paradoja del cumpleaños, que al menos son necesarios 2^(k/2) cálculos para encontrar con una probabilidad mayor al 50% colisiones en una función con k bits de salida. En el caso de la función de hash SHA1, se necesitaría calcular el hash de 2^80 mensajes cualesquiera para tener más del 50% de probabilidad de encontrar dos de ellos con el mismo hash (una colisión). Una función hash se considera rota si se puede calcular esta colisión en menos pasos. Pero lo peor, el mayor enemigo de las funciones hash, es que se pueda manipular un flujo de entrada para que se obtenga de él un hash deseado. Esto es mucho más grave.

MD5, con solo 128 bits de salida para representar a las infinitas posibilidades de entrada, hace tiempo que se considera obsoleto y roto en todos los sentidos, aunque se sigue usando en multitud de ámbitos. MD5 ha sufrido varios reveses a lo largo de los años, el último a finales de 2008, cuando se consideró inválido para ser usado por las autoridades certificadoras.

SHA1 también se consideraba "tocado". No es la primera vez que SHA1 se ve dañado por investigaciones matemáticas que reducen considerablemente el tiempo de fuerza bruta necesario para crear una colisión. A principios de 2005 un grupo de investigadores chinos consiguió reducir el número de intentos para acelerar el proceso de colisión de dos mensajes cualesquiera a 2^69. Poco después se avanzó hasta 2^63. El departamento de algoritmos y criptografía de la Universidad de Macquarie (Australia) ha conseguido reducirlo ahora a una complejidad de 2^52.

Las posibilidades son muchas: validación de ficheros, autenticación, certificados ... en cualquier ámbito en el que se use la criptografía de clave pública, encontramos funciones hash SHA1 donde un ataque por colisión tendría un serio impacto. La buena noticia es que aún así, llevar a la práctica este tipo de ataque recién descubierto lleva una buena cantidad de fuerza bruta asociada y en la "vida real" es todavía complejo que tenga utilidad.

También es bueno saber que el National Institute of Standards and Technology (NIST) hace ya tiempo que lanzó un concurso para determinar qué algoritmo será conocido como SHA3 y se usará como estándar en 2012. El problema es que el peso de la herencia es grande, y deshacerse de algoritmos usados durante años no siempre es sencillo. MD5 sigue siendo ampliamente utilizado. Incluso los pocos que se plantean dar el salto, lo hacen a SHA1... por lo que la adopción de algoritmos mucho más robustos como SHA512 o el futuro SHA3 es algo que en la práctica se estandarizará a muy largo plazo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Differential Path for SHA-1 with complexity O(2^52)
http://eprint.iacr.org/2009/259.pdf

La paradoja del cumpleaños
http://www.jcea.es/artic/birthday.htm

sábado, 13 de junio de 2009

Actualización del kernel de Windows

Dentro del conjunto de boletines de seguridad de abril publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-025) de una actualización del kernel de Windows destinada a solucionar cuatro nuevas vulnerabilidades sobre sistemas Windows 2000, XP, Vista, Windows Server 2003 y 2008.

Se ha corregido un problema en el kernel de Windows debido a que no valida correctamente los cambios en determinados objetos del kernel. Esto podría permitir a un atacante local ejecutar código arbitrario con privilegios elevados.

Se ha corregido una vulnerabilidad de elevación de privilegios en el kernel de Windows debida a una validación insuficiente de determinados punteros pasados desde el modo de usuario.

También se ha corregido otra vulnerabilidad de elevación de privilegios debida a que el kernel de Windows no valida correctamente un argumento pasado a una llamada del sistema del kernel de Windows.

Por último, una vulnerabilidad de elevación de privilegios cuando el kernel de Windows valida incorrectamente la entrada pasada desde el modo de usuario al kernel al editar un parámetro de escritorio específico.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/technet/security/bulletin/MS09-025.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-025 - Importante
Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (968537)
http://www.microsoft.com/technet/security/bulletin/MS09-025.mspx

viernes, 12 de junio de 2009

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de seguridad de abril publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-019) de una actualización acumulativa para Internet Explorer 5, 6 y 7; que además solventa ocho nuevas vulnerabilidades.

La primera de las vulnerabilidades corregidas se trata de un fallo en que podría permitir a un atacante remoto obtener información acerca de otra ventana del explorador, otro dominio o otra zona de Internet Explorer, a través de una página web especialmente manipulada.

También se ha corregido un fallo en la cache de Internet Explorer, por el que un atacante remoto podría ver el contenido la maquina local o de cualquier ventana del navegador, en otro dominio o zona de Internet Explorer, a través de una página web especialmente manipulada.

Otro de los problemas corregidos reside en la forma en que llama a determinados métodos de objetos HTML. Un atacante remoto podría aprovechar esta vulnerabilidad para ejecutar código arbitrario bajo el contexto del usuario que ejecuta la aplicación a través de una página web especialmente manipulada.

Por último se han corregido cinco vulnerabilidades, que permitían a Internet Explorer acceder a un objeto o partes de la memoria no inicializadas o incorrectamente borradas de la memoria. Un atacante remoto podría ejecutar código arbitrario a través de una página web especialmente manipulada.

Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/spain/technet/security/bulletin/ms09-019.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-019 – Crítico
Actualización de seguridad acumulativa para Internet (969897)
http://www.microsoft.com/spain/technet/security/bulletin/ms09-019.mspx

jueves, 11 de junio de 2009

Malware en cajeros automáticos

SpiderLabs ha publicado un estudio en el que analizan un ejemplar de malware que afecta a cajeros automáticos. Se le ha seguido por Europa del Este durante 18 meses. Ya en marzo, a través del blog de Hispasec, se anunció la noticia de un ejemplar que afectaba a los cajeros de la marca Diebold en Rusia. En ese caso las muestras fueron analizadas por SophosLabs y suministradas a través de VirusTotal donde llegaron el 11 de noviembre de 2008.

Con un total de 16 actualizaciones hasta ahora y una calidad de código etiquetada de "profesional" en su factura, el ejemplar estudiado por SpiderLab es instalado, al parecer, por personal desde dentro de la entidad bancaria, y permanece en la máquina afectada monitorizando la cola de mensajes de las transacciones esperando a que un usuario inserte su tarjeta y pin para ser copiados.

¿Dónde envía los datos robados?

No los envía. El troyano no hace uso de la red, no tiene capacidad alguna para efectuar comunicaciones, posiblemente para no levantar sospechas en los sistemas de monitorización de tráfico del banco.

En su lugar, lo que hace es esperar a que una tarjeta de control sea insertada, en ese momento el troyano presentará en pantalla un menú con diversas opciones, entre las cuales se encuentran la de imprimir por la impresora del cajero los datos robados, resetear los logs a cero (para no amontonar los datos ya extraídos), desinstalar el troyano, resetear el cajero y la más lucrativa aunque también notoria: sacar todo el dinero en efectivo que tenga el cajero en ese momento.

Aunque no todas las opciones están disponibles para todos los usuarios. Hay dos tipos de niveles, para los administradores y otra con funciones recortadas, supuestamente para colaboradores, léase “muleros”.

De momento todos los casos han necesitado de un colaborador para infectar manualmente la máquina, dificultad que impide la proliferación de casos de este tipo de malware.


David García
dgarcia@hispasec.com


Más información:

Troyano para cajeros automáticos
http://blog.hispasec.com/laboratorio/335

Data-sniffing trojans burrow into Eastern European ATMs
http://www.theregister.co.uk/2009/06/03/atm_trojans/

ATM - Malware Analisys Briefing
http://regmedia.co.uk/2009/06/03/trust_wave_atm_report.pdf

miércoles, 10 de junio de 2009

Boletines de seguridad de Microsoft en junio

Tal y como adelantamos, este martes Microsoft ha publicado diez boletines de seguridad (del MS09-018 al MS09-027) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "crítico", otros tres son "importantes" y un último con nivel moderado". En total se han resuelto 31 vulnerabilidades.

Los boletines "críticos" son:

* MS09-018: Actualización para corregir dos vulnerabilidades en Directorio Activo en Microsoft Windows 2000 Server y Windows Server 2003, y Modo de Aplicación del Directorio Activo (ADAM, Active Directory Application Mode), instalado en Windows XP Professional y Windows Server 2003m, que podrían permitir la ejecución remota de código.

* MS09-019: Actualización acumulativa para Microsoft Internet Explorer que además soluciona siete nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS09-021: Actualización destinada a corregir hasta siete vulnerabilidades en Microsoft Office Excel, que podrían permitir la ejecución remota de código arbitrario si un usuario abre un archivo Excel especialmente manipulado.

* MS09-022: Actualización que soluciona tres vulnerabilidades en la "cola de impresión" de Windows, la más grave podría permitir la ejecución remota de código arbitrario si un servidor afectado recibe una petición RPC específicamente manipulada.

* MS09-024: Actualización que soluciona una vulnerabilidad en los conversores de texto de Works que pueden permitir la ejecución remota de código arbitrario, si un usuario abre un archivo específicamente manipulado.

MS09-027: Actualización destinada a corregir dos vulnerabilidades en Microsoft Office Word, que podrían permitir la ejecución remota de código arbitrario si un usuario abre un archivo Word especialmente manipulado.

Los boletines clasificados como "importantes" son:

* MS09-020: Actualización destinada a solucionar dos vulnerabilidades en Microsoft Internet Information Services (IIS), que podría permitir a un atacante elevar sus privilegios en los sistemas afectados al evitar la configuración del IIS que especifica que tipo de autenticación está permitida.

* MS09-025: En este boletín se ofrece una actualización para resolver cuatro vulnerabilidades en el kernel de Windows y que podrían ser aprovechadas por un atacante local para lograr el control completo de un sistema afectado. Afecta a Windows 2000, Windows XP, Vista, Windows Server 2003 y 2008.

* MS09-026: En este boletín se corrige una vulnerabilidad de ejecución de código en el RPC de Windows. Afecta a Windows 2000, Windows XP, Vista, Windows Server 2003 y 2008.

Por último, el boletín clasificado como "moderado":

* MS09-023: Esta actualización de seguridad resuelve una vulnerabilidad de revelación de información sensible a través de Windows Search.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for June 2009 http://www.microsoft.com/technet/security/bulletin/ms09-jun.mspx

Microsoft Security Bulletin MS09-018 - Critical
Vulnerabilities in Active Directory Could Allow Remote Code Execution (971055)
http://www.microsoft.com/technet/security/bulletin/ms09-018.mspx

Microsoft Security Bulletin MS09-019 - Critical
Cumulative Security Update for Internet Explorer (969897)
http://www.microsoft.com/technet/security/bulletin/ms09-019.mspx

Microsoft Security Bulletin MS09-020 - Important
Vulnerabilities in Internet Information Services (IIS) Could Allow Elevation of Privilege (970483)
http://www.microsoft.com/technet/security/bulletin/ms09-020.mspx

Microsoft Security Bulletin MS09-021 - Critical
Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (969462)
http://www.microsoft.com/technet/security/bulletin/ms09-021.mspx

Microsoft Security Bulletin MS09-022 - Critical
Vulnerabilities in Windows Print Spooler Could Allow Remote Code Execution (961501)
http://www.microsoft.com/technet/security/bulletin/ms09-022.mspx

Microsoft Security Bulletin MS09-023 - Moderate
Vulnerability in Windows Search Could Allow Information Disclosure (963093)
http://www.microsoft.com/technet/security/bulletin/ms09-023.mspx

Microsoft Security Bulletin MS09-024 - Critical
Vulnerability in Microsoft Works Converters Could Allow Remote Code Execution (957632)
http://www.microsoft.com/technet/security/bulletin/ms09-024.mspx

Microsoft Security Bulletin MS09-025 - Important
Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (968537)
http://www.microsoft.com/technet/security/bulletin/ms09-025.mspx

Microsoft Security Bulletin MS09-026 - Important
Vulnerability in RPC Could Allow Elevation of Privilege (970238)
http://www.microsoft.com/technet/security/bulletin/ms09-026.mspx

Microsoft Security Bulletin MS09-027 - Critical
Vulnerabilities in Microsoft Office Word Could Allow Remote Code Execution (969514)
http://www.microsoft.com/technet/security/bulletin/ms09-027.mspx

martes, 9 de junio de 2009

El CNCCS apoya iniciativa parlamentaria para la creación del Plan Europeo de CyberSeguridad en la Red

El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) apoya la iniciativa parlamentaria que propone la creación del Plan Europeo de CyberSeguridad en la Red. Dicho plan está contemplado dentro de la moción presentada por el Grupo Socialista en el Senado en el que se insta al Gobierno a impulsar en el marco de la UE, y coincidiendo con la Presidencia europea durante el primer semestre de 2010, un Plan Europeo de CyberSeguridad en la Red.

El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) es una organización privada que tiene, como miembros fundadores, a Panda Security, S21Sec, Hispasec Sistemas y Secuware. Su misión es poner a disposición de las diversas organizaciones que operan en España, gubernamentales o no, el conocimiento y experiencia de sus miembros en asuntos relacionados con la cyberseguridad nacional o global, con el fin de hacer más segura Internet y las redes de Información, a la vez que potenciar la innovación y el crecimiento económico.

El Senado discute una moción para impulsar en el marco de la UE, coincidiendo con la presidencia Española, un Plan Europeo de CyberSeguridad en la Red. La puesta en marcha y ejecución de dicho plan tiene como finalidad el liderar iniciativas encaminadas a innovar en materia de seguridad con el fin de establecer un marco regulador de un uso saludable y seguro de las Nuevas Tecnologías de forma preventiva. Además, se busca dinamizar la economía del país mediante la generación de empleo y la estimulación de las inversiones en I+D+i.

La moción presentada en el Senado contiene tres vías de actuación principales:

1. Impulsar un Plan Europeo de Cyberseguridad en la Red en el marco de la Unión Europea durante la Presidencia de España 2010.

2. Definir un Plan Estratégico de Seguridad Nacional que sea referente y ayude a trabajar de forma continua en los modelos de prevención. Dicho Plan permitirá identificar las oportunidades para la industria, el desarrollo del Sector de la Seguridad Digital, la creación de empleo para profesionales de alta cualificación y la potenciación internacional de la industria. Igualmente, se fomentará la creación de actividad económica basada en la aplicación práctica de la I+D+i nacional.

3. Implantar en INTECO un laboratorio de certificación de sistemas de gestión de infraestructuras críticas que permita elaborar un catálogo de empresas y productos certificados, tanto de España como de la Unión Europea.

Según Juan Santana, Presidente del CNCCS, "Desde el CNCCS apoyamos esta iniciativa que esperamos reciba el apoyo de todos los grupos parlamentarios porque creemos que responde a la realidad del cybercrimen y a las crecientes cyberamenazas que vemos en circulación y que contribuirá al desarrollo económico de toda la sociedad".

La iniciativa será defendida ante el Senado por el portavoz socialista en la comisión de Industria, Comercio y Turismo de la Cámara Alta, Félix Lavilla.





lunes, 8 de junio de 2009

Corregidas dos vulnerabilidades en IBM DB2

Se han corregido dos vulnerabilidades en IBM DB2 (versiones 9.5 y 9.1), que podrían ser explotyadas por atacantes remotos para evitar restricciones de seguridad o provocar denegaciones de servicio.

El primero de los problemas está provocado por un error en Common Code Infrastructure, que podría permitir conexiones no autorizadas en servidores de bases de datos con autenticación LDAP.

La segunda vulnerabilidad está provocada por un error cuando un clientes DRDA de terceras partes realiza conexiones a DB2 usando direcciones en formato IPv6 del token de correlación.

Se recomienda actualizar a IBM DB2 versión 9.5 Fixpak 4 o 9.1 Fixpak 7 disponible desde :
http://www.ibm.com/software/data/db2/9/


Antonio Ropero
antonior@hispasec.com


Más información:

DB2 can crash when third-party drda client connects to DB2 and uses IPV6 address format of the correlation token
http://www-01.ibm.com/support/docview.wss?uid=swg1IZ36683
http://www-01.ibm.com/support/docview.wss?uid=swg1IZ38874

DB2 Version 9.5 for Linux, UNIX and Windows APARs by fix pack
http://www-1.ibm.com/support/docview.wss?rs=71&uid=swg21293566

DB2 Version 9.1 for Linux, UNIX and Windows APARs by fix pack
http://www-1.ibm.com/support/docview.wss?rs=71&uid=swg21255607

domingo, 7 de junio de 2009

Vulnerabilidad de Cross-Site Scripting en Joomla!

Se ha anunciado una vulnerabilidad en Joomla! que podría permitir a atacantes remotos realizar ataques de cross-site scripting.

Joomla! es un sistema de código abierto de gestión de contenidos (Content Management System o CMS), que permite la creación sencilla de sitios y aplicaciones web. Este administrador de contenidos está
construido principalmente en PHP y requiere una base de datos MySQL. Joomla! incluye tres plantillas por defecto entre las que se encuentra JA_Purity.

La plantilla JA_Purity no filtra de forma adecuada el código HTML introducido por el usuario antes de mostrar la entrada. Esto permite a usuarios remotos la ejecución arbitraria de código script en el
navegador del usuario. El código se origina desde el sitio que ejecuta Joomla! en el contexto de seguridad de este sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a
información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Se ve afectada la versión 1.2.0 de la plantilla JA_Purity.
Se ha publicado la versión 1.5.11 disponible desde .
http://joomlacode.org/gf/download/frsrelease/10209/40308/Joomla_1.5.11-Stable-Full_Package.zip


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Joomla 1.5.11 Security Release Now Available
http://www.joomla.org/announcements/release-news/5235-joomla-1511-security-release-now-available.html

sábado, 6 de junio de 2009

Denegación de servicio a través de DTrace en Solaris 10

Sun han publicado una actualización para corregir múltiples vulnerabilidades de denegación de servicio en DTrace de Solaris 10.

Los problemas, que solo afectan a la versión 10 de Solaris, podrían permitir que un usuario local sin privilegios provocara una caida del sistema.

Se recomienda instalar los siguientes parches, según la plataforma:


Para la plataforma x86:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-141766-01-1

Para plataforma SPARC: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-141765-01-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in DTrace (dtrace(1M)) ioctl(2) Handlers May Lead to a Denial of Service (DoS) Condition
http://sunsolve.sun.com/search/document.do?assetkey=1-66-257708-1

viernes, 5 de junio de 2009

Microsoft publicará diez boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan diez boletines de seguridad. Las actualizaciones afectan a Office en general, Internet Explorer, Windows y Excel y Word en particular

Si en mayo se publicó una sola actualización para PowerPoint (que solucionaba 14 vulnerabilidades), este mes Microsoft prevé publicar diez actualizaciones el martes 9 de junio. Seis boletines son críticos, tres importantes y uno moderado. De los siete boletines dedicados a Windows, las versiones de 2000 y XP se llevan la peor parte, pues se ven afectados por todos. Vista y 2008, sin embargo, solo se ven afectados por cuatro de estos siete boletines, cosa que viene siendo habitual. Vista se ha desarrollado casi desde sus inicios dentro de un marco mucho más volcado en la seguridad dentro de Microsoft, y parece que el esfuerzo se va notando.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Después de un mes de relativa "calma", con un solo boletín para PowerPoint (aunque cargado de correcciones), Microsoft prepara un martes colmado de actualizaciones. Una vez más, parece que no le ha dado tiempo a preparar un parche para la grave vulnerabilidad en DirectX descubierta a finales de mayo cuando ya estaba siendo aprovechada.

Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora. Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

29/05/2009 0 day en Microsoft DirectX
http://www.hispasec.com/unaaldia/3870

Microsoft Security Bulletin Advance Notification for June 2009
http://www.microsoft.com/technet/security/Bulletin/MS09-jun.mspx

jueves, 4 de junio de 2009

Corregidas dos vulnerabilidades en Apache Tomcat

Se han publicado actualizaciones para corregir dos vulnerabilidades en Apache Tomcat, que podrían ser explotadas para provocar denegaciones de servicio o descubrir información sensible.

Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

El primero de los problemas está provocado por una insuficiencia de comprobación de errores en algunas clases de autenticación, lo que podría permitir a atacantes realizar una enumeración de nombres de usuario válidos mediante el envío al servidor de contraseñas codificadas como URLs específicamente creadas, cuando autenticación (j_security_check) basada en FORM se usa con "MemoryRealm", "DataSourceRealm" o "JDBCRealm".

La segunda vulnerabilidad está provocada debido a que Tomcat cierra conexiones AJP cuando procesa una petición con cabeceras no válidas mediante el conector Java AJP, esto podría provocar el bloqueo por un tiempo de un miembro de un balanceador de carga mod_jk, con la consiguiente condición de denegación de servicio.

Se ven afectadas las versiones:
Apache Tomcat versiones 4.1.0 a 4.1.39
Apache Tomcat versiones 5.5.0 a 5.5.27
Apache Tomcat versiones 6.0.0 a 6.0.18

Se recomienda la instalación de las actualizaciones publicadas según la versión afectada:
Apache Tomcat versión 6.0.20 :
http://tomcat.apache.org/download-60.cgi

Apache Tomcat versión 5.5.SVN :
http://svn.apache.org/viewvc?rev=781362&view=rev
http://svn.apache.org/viewvc?rev=781379&view=rev

Apache Tomcat versión 4.1.SVN :
http://svn.apache.org/viewvc?rev=781362&view=rev
http://svn.apache.org/viewvc?rev=781382&view=rev


Antonio Ropero
antonior@hispasec.com


Más información:

CVE-2009-0580: Tomcat information disclosure vulnerability
http://marc.info/?l=tomcat-dev&m=124404379413746&w=2

CVE-2009-0033: Apache Tomcat denial of service vulnerability
http://marc.info/?l=tomcat-dev&m=124404378213711&w=2

miércoles, 3 de junio de 2009

Acceso remoto a la base de datos en IBM DB2

Se ha anunciado una vulnerabilidad en IBM DB2 por la que en determinadas circunstancias un usuario remoto podrá llegar acceder al contenido de la base de datos.

En sistemas configurados con autenticación basada en LDAP, con el servidor LDAP permitiendo binds anónimos, y con funcionalidad de busqueda de grupos mediante módulos auxiliares (plug-in) LDAP de seguridad (IBMLDAPauthserver), un usuario remoto podrá conectar con la base de datos sin autenticación.

IBM ha corregido en este problema en la versión 9.5 fixpak 4 (APAR JR32268), o descargando los últimos plugins de seguridad LDAP desde:
https://www14.software.ibm.com/webapp/iwm/web/reg/pick.do?lang=en_US&source=swg-dm-db2ldap&S_TACT=swg-dm-db2ldap


Antonio Ropero
antonior@hispasec.com


Más información:

JR32268: Unauthorized connections possible on database servers with ldap-based authentication
http://www-01.ibm.com/support/docview.wss?uid=swg1JR32268

martes, 2 de junio de 2009

iTunes 8.2 soluciona una vulnerabilidad de desbordamiento de búfer

Apple ha publicado la versión 8.2 de iTunes que incluye una actualización destinada a corregir una vulnerabilidad en iTunes por la que un atacante remoto podría ejecutar código arbitrario en los sistemas afectados.

iTunes es una aplicación de Apple para la reproducción y gestión de archivos de sonido, grabación de CDs, sincronizar iPods e iPhones y, también, un "frontal" para la tienda de música "online" de Apple (conocida como iTunes Music Store o ITMS). Desarrollada originariamente para el entorno Mac OS X de Apple, la compañía la ha portado también a Microsoft Windows.

El problema reside en un desbordamiento de búfer (basado en pila) en el tratamiento de URLs "itms:" (iTunes Music Store) especialmente construidas. De forma que al ser cargadas por un usuario, un atacante podrá provocar la ejecución de código con los privilegios del usuario.

Para corregir el problema Apple ha publicado la versión 8.2 que se encuentra disponible desde:
http://www.apple.com/itunes/download/
Para Mac OS X, descargar el archivo: "iTunes8.2.dmg"
Para Windows XP/Vista, descargar el archivo: "iTunesSetup.exe".
Para Windows Vista 64 Bit, descargar el archivo: "iTunes64Setup.exe"


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of iTunes 8.2
http://support.apple.com/kb/HT3592

lunes, 1 de junio de 2009

Nuevos contenidos en la Red Temática CriptoRed (mayo de 2009)

Breve resumen de las novedades producidas durante el mes de mayo de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED Y CÁTEDRA UPM APPLUS+

* ¿Seguridad Informática versus Seguridad de la Información? (Carlos Ormella, PDF, 2 páginas, Argentina)
http://www.criptored.upm.es/guiateoria/gt_m327d.htm

* ¿Análisis de Impactos o Valuación de Riesgos? (Carlos Ormella, PDF, 2 páginas, Argentina)
http://www.criptored.upm.es/guiateoria/gt_m327e.htm

* Amenazas de Seguridad Realidad o Ficción (Chelo Malagón, PDF, 64 páginas, Conferencias UPM TASSI, España)
http://www.lpsi.eui.upm.es/GANLESI/2008_2009/gconferencia_chm.htm

* Privacidad y Gestión de Identidades (Rosa García, PDF, 13 páginas, Conferencias UPM TASSI, España)
http://www.lpsi.eui.upm.es/GANLESI/2008_2009/gconferencia_rgo.htm

* Vídeo Los menores y las nuevas tecnologías (Arturo Canalda, 30 minutos, Seminario Seguridad Redes Sociales, Canal YouTube UPM)
http://www.criptored.upm.es/paginas/docencia.htm#catedraredessociales2009ArturoCanalda

* Vídeo Las redes sociales como nuevo entorno de confianza (Ícaro Moyano, 16 minutos, Seminario Seguridad Redes Sociales, Canal YouTube UPM)
http://www.criptored.upm.es/paginas/docencia.htm#catedraredessociales2009IcaroMoyano

* Presentación Las redes sociales como nuevo entorno de confianza (Ícaro Moyano, PDF, 10 páginas, Seminario Seguridad Redes Sociales)
http://www.criptored.upm.es/descarga/UPMSeguridadRedesSocialesIcaroMoyano.zip

* Vídeo Redes sociales: nueva frontera para la privacidad de los digital babies (Emilio Aced, 29 minutos, Seminario Seguridad Redes Sociales, Canal YouTube UPM)
http://www.criptored.upm.es/paginas/docencia.htm#catedraredessociales2009EmilioAced

* Presentación Redes sociales: nueva frontera para la privacidad de los digital babies (Emilio Aced, PDF, 34 páginas, Seminario Seguridad Redes Sociales)
http://www.criptored.upm.es/descarga/UPMSeguridadRedesSocialesEmilioAced.zip

* Vídeo Diagnóstico sobre la seguridad de la información y privacidad en las redes sociales online (Pablo Pérez, 34 minutos, Seminario Seguridad Redes Sociales, Canal YouTube UPM)
http://www.criptored.upm.es/paginas/docencia.htm#catedraredessociales2009PabloPerez

* Presentación Diagnóstico sobre la seguridad de la información y privacidad en las redes sociales online (Pablo Pérez, PDF, 34 páginas, Seminario Seguridad Redes Sociales)
http://www.criptored.upm.es/descarga/UPMSeguridadRedesSocialesPabloPerez.zip

* Vídeo Coloquio Seguridad en Redes Sociales (1 hora 28 minutos, Seminario Seguridad Redes Sociales, Canal YouTube UPM)
http://www.criptored.upm.es/paginas/docencia.htm#catedraredessociales2009Coloquio

* Vídeo Conclusiones y Clausura Seminario Seguridad en Redes Sociales (13 minutos, Seminario Seguridad Redes Sociales, Canal YouTube UPM)
http://www.criptored.upm.es/paginas/docencia.htm#catedraredessociales2009Clausura

2. NUEVOS DOCUMENTOS Y SOFTWARE RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del mes de ABRIL de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200904.pdf

* Libro La Protección de Datos Personales Versión 2.0 de Microsoft (España)
http://technet.microsoft.com/es-es/dd756060.aspx

* Versión 0.7.53 de Marzo de 2009 del Libro Criptografía y Seguridad en Computadores (Manuel Lucena, PDF, 303 páginas, España)
http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Junio 10 al 12 de 2009: 2nd International Symposium on Distributed Computing and Artificial Intelligence DCAI 09 (Salamanca - España)
http://dcai.usal.es/

* Junio 15 al 19 de 2009: Third IFIP WG 11.11 International Conference on Trust Management (West Lafayette - Estados Unidos)
http://projects.cerias.purdue.edu/IFIPTM/

* Junio 17 al 19 de 2009: IX Jornada Nacional de Seguridad Informática ACIS 2009 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=1246

* Junio 17 al 19 de 2009: Octavo Coloquio Nacional de Teoría de Códigos, Criptografía y Áreas Relacionadas (México DF - México)
http://matematicas.reduaz.mx/home/index.php?option=com_content&view=article&id=70&Itemid=110

* Junio 17 al 20 de 2009: Cuarta Conferencia Ibérica de Sistemas y Tecnologías de la Información (Póvoa de Varzim - Portugal)
http://www.aisti.eu/cisti2009/

* Junio 17 al 23 de 2009: IADIS Multi Conference on Computer Science and Information Systems 2009 (Algarve - Portugal)
http://www.mccsis.org/

* Junio 18 al 19 de 2009: Cuarta Edición de SegurYnfo 2009 (La Paz - Bolivia)
http://www.segurinfo.com.bo/

* Junio 22 al 24 de 2009: E-Activity and Leading Technologies E-ALT2009 e InterTIC 2009 (Sevilla - España)
http://www.iask-web.org/e-alt09/e-alt09.html
http://www.iask-web.org/intertic09/intertic09.html

* Junio 28 de 2009: Workshop on CyberSecurity and Intelligence Informatics CSI-KDD 2009 (París - Francia)
http://www.csi-kdd.org/

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and Communications (Sousse - Túnez)
http://www.comsoc.org/iscc/2009/

* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de la Informática JENUI 2009 (Barcelona - España)
http://jenui2009.fib.upc.edu/

* Julio 13 al 16 de 2009: International Conference on Security and Management SAM '09 (Las Vegas - Estados Unidos)
http://www.world-academy-of-science.org/worldcomp09/ws/conferences/sam09

* Agosto 4 al 6 de 2009: Second International Conference on the Applications of Digital Information and Web Technologies (Londres – Reino Unido)
http://www.dirf.org/diwt2009/

* Septiembre 14 al 17 de 2009: VI Conference on Broadband Communications, Networks and Systems (Madrid - España)
http://www.broadnets.org/

* Septiembre 17 al 20 de 2009: 23rd International Conference SAER 2009 y Workshop eGovernance and Data Protection eG&DP 2009 (Varna - Bulgaria)
http://www.tu-sofia.bg/saer/

* Septiembre 23 al 26 de 2009: Workshop on Computational Intelligence for Security in Information Systems CISIS 09 (Burgos - España)
http://gicap.ubu.es/cisis2009/

* Septiembre 24 al 25 de 2009: Fourth International Workshop on Data Privacy Management DPM 2009 (Saint Malo - Francia)
http://dpm09.dyndns.org/

* Octubre 11 al 14 de 2009: IEEE 9th International Conference on Computer and Information Technology (Xiamen - China)
http://grid.hust.edu.cn/CIT2009/

* Octubre 14 al 16 de 2009: 14th Nordic Conference in Secure IT Systems NordSec 2009 (Oslo - Noruega)
http://nordsec2009.unik.no/

* Octubre 19 al 21 de 2009: 3rd International Conference on Network and System Security NSS 2009 (Gold Coast - Australia)
http://nss.cqu.edu.au/

* Octubre 21 al 23 de 2009: Conferencia Ibero Americana WWW Internet 2009 IADIS (Alcalá de Henares - España)
http://www.ciawi-conf.org/es/

* Noviembre 4 al 6 de 2009: 31a Conferencia Internacional de Protección de Datos y Privacidad (Madrid - España)
http://www.privacyconference2009.org/

* Noviembre 16 al 18 de 2009: V Congreso Iberoamericano de Seguridad
Informática CIBSI '09 (Montevideo - Uruguay)
http://www.fing.edu.uy/cibsi09

* Noviembre 30 a diciembre 4 de 2009: Ad Hoc, Sensor and Mesh Networking Symposium IEEE Globecom 2009 (Honolulu - USA)
http://www.ieee-globecom.org/2009

* Enero 25 al 28 de 2010: Fourteenth International Conference Financial Cryptography and Data Security (La Laguna - España)
http://fc10.ifca.ai/

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. OTRAS NOTICIAS SELECCIONADAS DEL MES DE MAYO DE 2009
Para ampliar estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#may09

* Talleres de Seguridad en SAP por CYBSEC a Celebrarse en Barcelona y Madrid (España)
http://www.criptored.upm.es//descarga/Taller_de_Seguridad_en_SAP_CYBSEC.pdf

* Curso de Protección de Datos en las Administraciones Públicas de la AEPD en la UIMP (España)
http://www.uimp.es/uimp/home/homeUIMPdina.php?jcj=ACADEMICAS_FICHA&juj=2003&jpj=IdActividad=7970306&pg=1&orden=6

* Libro Advances in Artificial Intelligence for Privacy Protection and Security (España)
http://unescoprivacychair.urv.cat/publication/17

* Programa en Gestión de la Seguridad Informática en la Universidad Austral (Argentina)
http://web.austral.edu.ar/ingenieria-posgrado-pgsi.asp

* Call for Workshop Proposals para el Financial Cryptography and Data Security 2010 (España)
http://fc10.ifca.ai

VI Conferencia Asegúr@IT, Curso de Verano en la USAL y eventos de Informática64 (España)
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032416523&Culture=es-ES
http://www.informatica64.com/CursoDeVeranoSalamanca/
http://www.informatica64.com/evento/
http://dlink.informatica64.com/
http://www.microsoft.com/spain/seminarios/hol.mspx

* Jornada La Privacidad del Menor en las Redes Sociales de Fundación Solventia (España)
http://www.criptored.upm.es/descarga/JornadaPrivacidadMenoRedesSociales.pdf

* Edición 2009 del Curso Seguridad Telemática en la Universidad de Vigo (España)
http://webs.uvigo.es/curso-seguridad/

* Seminario sobre Seguridad en el Desarrollo de Software de CYBSEC (Argentina)
http://www.cybsec.com/ES/servicios/cursos/sem09_2ar.php

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 770
207 universidades y 286 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 27.920 visitas, con 87.864 páginas solicitadas y 38,24 GigaBytes servidos en mayo de 2009
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

mayo 2009
http://www.criptored.upm.es/paginas/historico2009.htm#may09