jueves, 31 de marzo de 2011

Lección 6 de intypedia: Malware

Se encuentra disponible en el servidor Web de intypedia la sexta lección de la Enciclopedia de la Seguridad de la Información: Malware, que verás destacado como último vídeo: http://www.intypedia.com. Esta lección cuenta con la autoría de D. Bernardo Quintero, de Hispasec – VirusTotal.

Esta sexta entrega sobre malware puede visitarse desde http://www.criptored.upm.es/intypedia/video.php?id=malware&lang=es está realizada por D. Bernardo Quintero, uno de los fundadores de Hispasec y VirusTotal (http://www.hispasec.com - http://www.virustotal.com).

El vídeo tiene una duración de 13:26 minutos y está formado por 4 escenas o capítulos:
Escena 1. Introducción al malware: conceptos
Escena 2. Difusión del malware. ¿Cómo se infecta?
Escena 3. El negocio del malware
Escena 4. Contramedidas: detección y eliminación del malware

Alicia entrega a Bernardo su ordenador infectado por malware para que lo inspeccione. Antes de limpiar y actualizar el sistema, Bernardo le explica qué es el malware, cómo se clasifica y difunde, así como el negocio que hay detrás de ello. Comenta, además, qué medidas básicas son recomendables tener en cuenta para proteger nuestros equipos informáticos y analiza los dos tipos de malware que se encuentra en ese ordenador y que justifican su mal funcionamiento.

El vídeo viene acompañado por los siguientes documentos en pdf que pueden descargarse desde el sitio Web de intypedia:

El guión de la lección.
Diapositivas de apoyo.
Ejercicios para autoevaluación.

En los próximos días estará disponible en el servidor Web de intypedia la versión en inglés de esta sexta lección.

La siguiente entrega para el mes de abril de 2011 de la enciclopedia visual de la seguridad de la información es:
Lección 7: Seguridad en aplicaciones Web. Introducción a las técnicas de inyección SQL, del autor D. José María Alonso de Informática64.


Jorge Ramió Aguirre
intypedia: http://www.intypedia.com/



miércoles, 30 de marzo de 2011

Actualización del kernel para Ubuntu 10.10 y 10.04

La ampliamente utilizada distribución Ubuntu ha publicado un lote de parches para el kernel que corrige un total de 57 vulnerabilidades conocidas en su mayoría en 2010.

A continuación se detallan las de mayor gravedad.

CVE-2010-2954
Existe un fallo en la función irda_bind del archivo net/irda/af_irda.c a la hora de liberar ciertos objetos que podría llegar a causar una referencia a puntero nulo. Esto podría ser aprovechado por un atacante local para provocar una denegación de servicio y potencialmente elevar privilegios a través del enlace de un socket AF_IRDA y forzando un error.

CVE-2010-2960
Existe un fallo en la función keyctl_session_to_parent del archivo security/keys/keyctl.c que podría llegar a causar una referencia a puntero nulo. Esto podría ser aprovechado por un atacante local para provocar una denegación de servicio y potencialmente elevar privilegios a través si llama a la función keyctl con KEYCTL_SESSION_TO_PARENT

CVE-2010-2962
Existe un error en las funciones 'i915_gem_pread_ioctl' y 'i915_gem_pwrite_ioct' de '/drivers/gpu/drm/i915/i915_gem.c' al no comprobar las direcciones de destino durante copiados de memoria. Esto podría ser aprovechado por un atacante local para elevar privilegios a través de vectores no especificados.

CVE-2010-2963
Existe un error en la llamada a 'copy_from_user' localizada en 'drivers/media/video/v4l2-compat-ioctl32.c' que no comprueba la memoria de destino. Esto podría ser aprovechado por un atacante local que tenga acceso al dispositivo v4l para escribir en una parte de kernel aleatoria y elevar privilegios.

CVE-2010-3080
Existen varios errores de dereferencia a memoria liberada y doble liberación de memoria en la función 'snd_seq_oss_open' en 'sound/core/seq/oss/seq_oss_init.c'. Esto podría ser aprovechado por un atacante local para ejecutar código arbitrario a través de vectores no especificados.

CVE-2010-3084
Existe un error en la función 'niu_get_ethtool_tcam_all' que provoca un desbordamiento de memoria intermedia basado en pila. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio y posiblemente ejecutar código arbitrario con privilegios elevados.

CVE-2010-3442
Existe un error de desbordamiento de entero en la función 'snd_ctl_new' de 'sound/core/control.c'. Un atacante local podría causar una denegación de servicio y potencialmente elevar privilegios a través de vectores no especificados. El atacante debe tener permiso de escritura sobre el dispositivo '/dev/snd/controlC*'.


CVE-2010-3848
Existe un desbordamiento de memoria intermedia basado en pila en el protocolo Econet. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio y potencialmente elevar privilegios a través de un valor muy alto en 'msg->msgiovlen'.

CVE-2010-3865
Existe un error de desbordamiento de entero en la función 'rds_rdma_pages' de 'net/rds/rdma.c'. esto podría ser aprovechado por un atacante local para elevar privilegios a través de una llamada especialmente manipulada a esta función.

CVE-2010-3904
Existe un error al copiar memoria en el protocolo RDS. Esto podría ser aprovechado por un atacante local para elevar privilegios a través de una conexión RDS especialmente diseñada.

CVE-2010-4527
Existe un error de comprobación de límites en la función 'load_mixer_volumes' localizada en 'sound/oss/soundcard.c' que podría provocar un desbordamiento de memoria intermedia. Esto podría ser aprovechador por un atacante local para ejecutar código arbitrario, y potencialmente, elevar privilegios a través de una llamada a la función 'SOUND_MIXER_SETLEVELS' especialmente manipulada.

Se recomienda actualizar mediante la herramienta apt-get.


Alejandro J. Gómez López
agomez @ hispasec.com


Más información:

USN-1093-1: Linux Kernel vulnerabilities (Marvell Dove)
http://www.ubuntu.com/usn/usn-1093-1

martes, 29 de marzo de 2011

¿Spotify intenta infectarte?

Las infecciones a través de anuncios incrustados en páginas legítimas no son ninguna novedad. Desde hace años, estas técnicas se ha venido usando con más o menos asiduidad. La última víctima ha sido una aplicación, Spotify, que durante un tiempo, ha mostrado a sus usuarios anuncios que intentaban infectar al usuario. Desde el punto de vista del atacante, esto cambia el modelo de infección y lo hace mucho más efectivo.

El popular programa Spotify ha sido la última "víctima". Los usuarios que utilizan el servicio gratuito, reciben publicidad incrustada en el programa. Por lo que parece, alguno de estos servidores ha sido comprometido y los atacantes han modificado el anuncio para que intente explotar una vulnerabilidad en Java (o en PDF según otras fuentes). Si el usuario era vulnerable, se descargaba un ejecutable en el sistema y quedaba infectado.

Según la noticia original, AVG denomina al malware "Trojan horse Generic_r.FZ". Esto en realidad no aporta demasiada información. Realizando una consulta a la base de datos de VirusTotal, observamos que el nombre en sí es utilizado para una amplia gama de malware. A esas muestras otros la llaman Zbot, o FakeAV, o Papras... como es habitual, no existe ningún tipo de consenso ni patrón en la nomenclatura de las firmas. Además, no sabemos si se detecta de esta forma el exploit o el binario descargado una vez que tiene éxito el exploit. Incluso en este segundo caso, el binario descargado podría ser modificado en cualquier momento.

Por lo que se deduce de la captura de pantalla que muestra NetCraft en la noticia original, vemos que el binario se descarga en la carpeta C:\users\... Esto quiere decir que se almacena en el "home" del usuario Windows. Si suponemos que hablamos del binario descargado y no del exploit en sí (que se almacenaría en la carpeta temporal del usuario) hoy en día es una práctica habitual de los troyanos más "modernos". Si bien antes no les importaba dónde descargarse, puesto que daban por hecho que tendrían permisos de escritura en cualquier punto del sistema de archivos, últimamente los más avanzados buscan descargarse en la carpeta "Users". Esto es así porque que Windows Vista y 7 impiden por defecto escribir en otras zonas. Este, por ejemplo, es un comportamiento típico de las últimas versiones de Zbot. Las primeras se alojaban en c:\windows\system32, punto del sistema donde los usuarios por defecto de Vista y 7 deben ya dar permiso explícito para escribir.

Comprometer servidores de anunciantes y llegar así a muchas páginas legítimas que simplemente reservan un hueco en sus webs para los banners, es una técnica que se ha utilizado con asiduidad en el pasado, y al parecer con éxito. Los atacantes consiguen así eludir ciertos filtros, llegar a un mayor número de personas, etc. El hecho de elegir una aplicación como Spotify que incrusta publicidad web, tiene además como valor añadido para el atacante que afecta potencialmente a unos 15 millones de usuarios (según datos de septiembre de 2010), en un corto periodo de tiempo sin necesidad de que sean estos los que activamente visiten una web. Estas cifras son superiores a las que puede manejar una página web en forma de visitas únicas en el mismo periodo.

Spotify optó por deshabilitar estos anuncios de terceros para iniciar una investigación y encontrar qué anuncio exactamente fue el que intentaba aprovechar el fallo.

El hecho de que la amenaza venga en un formato u otro es irrelevante en este caso, la única forma de protegerse es la de siempre: mantener el sistema actualizado y no usar cuentas con privilegios. Al haber utilizado una vulnerabilidad conocida en Java, el mantenerse actualizado protege al usuario. Si el atacante hubiese usado un fallo desconocido o no parcheado hasta el momento, estar actualizado no impediría la infección, por tanto es necesario al menos proteger al sistema no dando demasiados permisos a este tipo de programas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Spotify Turns Off Third-Party Display Ads Following Malware Attacks
http://techcrunch.com/2011/03/25/spotify-turns-off-third-party-display-ads-following-malware-attacks/

Spotify
http://es.wikipedia.org/wiki/Spotify

Spotify Free users attacked by malware
http://news.netcraft.com/archives/2011/03/25/spotify-free-users-attacked-by-malware.html

Dilbert intenta infectarme
http://blog.hispasec.com/laboratorio/43

MySpace intenta infectarme
http://blog.hispasec.com/laboratorio/140

23/07/2006 Páginas "de confianza" como fuente de troyanos
http://www.hispasec.com/unaaldia/2829/

lunes, 28 de marzo de 2011

Atacan el sitio web de MySQL a través de una inyección SQL

El sitio web de MySQL ha sido objeto de un ataque a través de una vulnerabilidad de inyección ciega de código SQL. Se trata de un fallo en el código de la aplicación web y no de la base de datos.

MySQL es una popular base de datos de código abierto. MySQL es propiedad de Oracle tras la compra de SUN, su antigua propietaria.

El ataque se atribuye a TinKode y Ne0h del grupo Rumano Slacker.Ro. Los datos extraídos han sido publicados en el sitio pastebin.com; algo que viene siendo habitual en este tipo de "hazañas".

Además del sitio principal los atacantes replicaron el ataque en las versiones localizadas de MySQL.com. En concreto las versiones francesa, alemana, italiana y japonesa.

Los datos expuestos se corresponden con las credenciales de los usuarios del servidor MySQL y el volcado de la base de datos principal del sitio. Entre las credenciales pueden observarse nombres de usuario, contraseñas hasheadas, correos y direcciones.

Algunos de los hashes han sido además publicados en texto claro ya que eran tan sencillos que posiblemente a los atacantes les llevo escaso tiempo encontrar su correspondencia utilizando fuerza bruta con tablas rainbow. Sorprende (o no) observar contraseñas tan débiles como un simple número de 4 cifras para la cuenta de administrador.

Se da la circunstancia que el sitio de MySQL contenía ya una vulnerabilidad de cross-site scripting activa. Dicha vulnerabilidad se hizo pública a través de twitter el pasado mes de enero y aún sigue sin ser solucionada.


David García
dgarcia@hispasec.com


Más información:

MySQL.com Hacked by TinKode & Ne0h
http://pastebin.com/BayvYdcP

MySQL.com Vulnerable To Blind SQL Injection Vulnerability
http://seclists.org/fulldisclosure/2011/Mar/309

domingo, 27 de marzo de 2011

Vulnerabilidades en IGSS (Interactive Graphical SCADA System) de 7-system

Luigi Auriemma ha descubierto un total de 13 vulnerabilidades en este software de diverso impacto, desde revelación de información y denegación de servicio a ejecución de código arbitrario.

Los sistemas SCADA son sistemas de "adquisición de datos y control de supervisión", muy utilizados en infraestructuras críticas. Las vulnerabilidades se detallan a continuación.

1. Un error de comprobación de restricciones en IGSSdataServer.exe al procesar ciertos comandos puede ser aprovechado para leer y escribir ciertos ficheros del sistema, a través de un paquete especialmente diseñado, enviado al puerto TCP/12401

2. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "ListAll" que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

3. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "Write file" que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

4. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "ReadFile" que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

5. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "Delete" que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

6. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "RenameFile" que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

7. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "FileInfo" que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

8. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "Add" de RMS Reports que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

9. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "ReadFile" de RMS Reports que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

10. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "Rename" de RMS Reports que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

11. Existe un error de formato, al crear mensajes de log en la función 'LogText' en 'shmemmgr9.dll'. Esto podría ser aprovechado por un atacante para causar una denegación de servicio a través del envío de un comando RMS Report "Delete" al puerto TCP/12401

12. Existe un desbordamiento de memoria intermedia basado en pila al crear una consulta SQL para ejecutar la petición STDREP que podría permitir ejecutar código arbitrario a través del envío de un paquete especialmente diseñado al puerto TCP/12401

13. Un error de comprobación de restricciones en dc.exe al procesar ciertos comandos puede ser aprovechado para ejecutar cualquier aplicación del sistema a través de un paquete especialmente diseñado enviado al puerto TCP/12397

No existe parche disponible.


Alejandro J. Gómez López
agomez@hispasec.com


Más información:

IGSS (Interactive Graphical SCADA System)
http://aluigi.altervista.org/adv/igss_1-adv.txt
http://aluigi.altervista.org/adv/igss_2-adv.txt
http://aluigi.altervista.org/adv/igss_3-adv.txt
http://aluigi.altervista.org/adv/igss_4-adv.txt
http://aluigi.altervista.org/adv/igss_5-adv.txt
http://aluigi.altervista.org/adv/igss_6-adv.txt
http://aluigi.altervista.org/adv/igss_7-adv.txt
http://aluigi.altervista.org/adv/igss_8-adv.txt

sábado, 26 de marzo de 2011

Ejecución de código en VLC Player

La empresa Core Security Technologies ha hecho públicas dos vulnerabilidades encontradas en el extendido software VLC que permiten la ejecución de código arbitrario al reproducir cierto tipo de ficheros con VLC.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux.

Al primer fallo se le ha asignado el CVE-2010-3275 y consiste en un desbordamiento de memoria intermedia basado en heap al procesar ficheros AMV con un valor en su offset 0x41 mayor que 90.

Al segundo fallo se le ha asignado el CVE-2010-3276 y consiste en un desbordamiento de memoria intermedia basado en heap al procesar ficheros NSV en los que se ha modificado el valor comprendido entre los offsets 0x0b y 0x0e.

Ambas vulnerabilidades han sido descubiertas mediante 'fuzzing'. El fuzzing es una técnica de búsqueda de vulnerabilidades que consiste en lanzar una serie de entradas mal formadas a una aplicación para tratar de encontrar un comportamiento anómalo.

Las vulnerabilidades han sido descubiertas por Ricardo Narvaja, conocido en el mundo de la ingeniería inversa por su guía "Introducción al Cracking con OllyDbg desde cero" considerada por muchos como el primer paso para adentrarse en el mundo de la ingeniería inversa.

La versión 1.1.8 soluciona estos problemas.


Alejandro J. Gómez López
agomez@hispasec.com


Más información:

VLC Vulnerabilities handling .AMV and .NSV files
http://www.coresecurity.com/content/vlc-vulnerabilities-amv-nsv-files

VLC 1.1.8
http://www.videolan.org/vlc/releases/1.1.8.html

viernes, 25 de marzo de 2011

Más sobre los certificados fraudulentos. ¿Qué debe hacer el usuario?

Según anunciamos, Comodo reconoció que un atacante con IP de Irán se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para hacerse pasar por esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org... Veamos algo más sobre estos certificados y qué deben hacer los usuarios y administradores.

Lo primero que hizo Comodo fue incluirlos en una lista de revocación, disponible desde http://crl.comodo.net/UTN-USERFirst-Hardware.crl. Esta lista puede descargarse e importarse manualmente en el sistema o programa (Windows, Mac, Firefox...). Esto incluiría los certificados comprometidos en la lista de inválidos. Si fueran empleados contra una víctima, a ésta le aparecería a la hora de navegar por la página en cuestión, que el certificado no es válido (otra cuestión es que el usuario haga caso a esta advertencia...).

Importar una lista de revocación manualmente

La lista de revocación CRL es eso: una lista (que puede o no puede estar actualizada) y que comprueba la validez de un certificado. Es un método "offline" de comprobación manual. Existe para remediarlo un protocolo que, basado en HTTP, comprueba "al vuelo" la validez de los certificados y se llama Online Certificate Status Protocol (OCSP). OCSP sirve para comunicarse con los servidores de revocación y comprobar el estado de los certificados. No todas las autoridades lo utilizan. Ahora bien, también se da la condición de que el navegador debe estar configurado para usar OCSP y aprovechar esa característica.

Activar OCSP

Firefox 3 y los nuevos Firefox 4 e Internet Explorer 9, cuentan con OCSP activo por defecto. Así que, en teoría, estarían a salvo de estos certificados fraudulentos desde que Comodo los calificó como tal, sin necesidad de importar la lista a mano. Para el resto de versiones, se debe activar manualmente la comprobación de revocación. Aun así, no está de más aplicar las actualizaciones necesarias para bloquear los certificados fraudulentos.

Importar una lista de revocación automáticamente
Esto se consigue en Firefox y Chrome, simplemente actualizando la versión. En Windows, se debe aplicar la actualización KB2524375 (aparecerá en Windows Update). Esto importará los certificados automáticamente.

No es la primera vez

Al comprobar la lista de certificados revocados en Windows, he observado que no está vacía, y recordado por qué.

VeriSign, la empresa líder en emisión de certificados para Internet, protagonizó en marzo de 2001 uno de los fiascos más importantes de su historia. Emitieron dos certificados a un impostor que se hizo pasar por trabajador de Microsoft. Esto hubiera permitido, por ejemplo, firmar programas o cualquier software malicioso como si fueran aplicaciones originales de Microsoft. McAfee y Symantec se apresuraron en anunciar que sus antivirus cuentan con actualizaciones para detectar los certificados fraudulentos, como si de un virus se tratara. Los certificados serían revocados en una posterior actualización de Microsoft. El origen del fallo fue el protocolo de validación. Desde entonces pueden ser vistos en el repositorio de certificados revocados de los sistemas Windows. De hecho, este es el aspecto por defecto del manejador de certificados de cualquier Windows actual (ejecutar certmgr.msc en la línea de comandos):




Tras la actualización de estos días, este es el aspecto que debería mostrar:





Alternativas

El modelo de confianza de las autoridades certificadoras funciona, aunque como se ha comprobado, mantiene el punto débil en las autoridades. Estas pueden ser objetivo de atacantes, pueden cometer errores o, sujetas a un negocio, a veces sacrificar calidad por cantidad. Una alternativa (ni mejor ni peor, solo una alternativa con sus pros y sus contras) a este modelo de confianza es GPG, por ejemplo, en el que no existe una autoridad que emita confianza sino que son los propios usuarios entre sí los que "firman" certificados para darles "validez". Es la propia comunidad la que actúa firmando otras claves GPG de usuarios. Tiempo atrás se realizaban "quedadas" en los que los usuarios de GPG se encontraban físicamente para firmarse mutuamente las claves GPG que llevaban en disquetes.

Sergio de los Santos
ssantos@hispasec.com



jueves, 24 de marzo de 2011

Certificados fraudulentos en Windows, Chrome y Firefox. Un problema mucho más inquietante de lo que parece

Chrome advirtió el día 17 de que se actualizaba para revocar una serie de certificados digitales. Mozilla advirtió el día 22 de marzo de que actualizaba su navegador porque había incluido en él certificados fraudulentos. El día 23 es Microsoft la que confirma que debe actualizar su lista de certificados porque incluye varios inválidos. ¿Qué significa todo esto? ¿Qué pasa con los certificados?

¿Para qué sirven los certificados?

SSL debería cumplir dos funciones. Establecer una conexión cifrada sobre un canal público y también autentica al servidor. Nos ayuda a estar seguros de que el servidor es quien dice ser y también que pertenece a la empresa a la que debería pertenecer. Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Comodo...) certifica con su firma que la clave pública realmente pertenece al sitio.

El sistema de confianza en certificados tiene una estructura de árbol invertido y las raíces son estos certificados. El sistema confiará en todo lo que emitan. Si esto no ocurriese de esta forma y los navegadores o sistemas operativos no contasen con una serie de certificados raíz por defecto, no podríamos confiar en la identidad de las páginas, puesto que nadie lo acreditaría. Por el contrario (y como ocurre en realidad) se introducen demasiadas autoridades certificadoras en las que se confía (demasiados "Estados" que emitan el DNI), estas se vuelven el punto débil de la cadena, puesto que se confía en ellas y a su vez, en todo lo que ellas confíen. Un árbol con demasiadas "raíces" es más difícil de controlar. Además, las autoridades certificadoras confían en autoridades intermedias que le alivian el trabajo.

Qué ha pasado

Tanto Chrome como Mozilla como Internet Explorer (a través de la Trusted Root Certification Authorities Store) incluyen de serie una serie de certificados raíz en los que se confía, emitidos por autoridades certificadoras. Varios de estos certificados pertenecientes a Comodo han sido revocados porque se ha comprobado que han sido emitidos de forma fraudulenta sin su consentimiento.

Según ha anunciado Comodo (en una nota de prensa tardía, una vez que ya se había descubierto el asunto), un atacante con IP de Irán se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para hacerse pasar por esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org... Traducido: un atacante quería obtener certificados de esos dominios para hacerse pasar por ellos. Pero... ¿cómo puede ser, si ya existen? ¿Para qué emitir certificados válidos de dominios a los que no puedes suplantar? Esta es la segunda parte del problema: para que esto le sea útil al atacante, necesita:

* Emitir certificados válidos. Lo consiguió comprometiendo a esta entidad de Comodo.

* Que se le muestren como válidos a la víctima en su navegador. Esto es lo que hacen ya de por sí los navegadores con sus certificados raíz. Ahora que la mayoría los han revocado, esto no sería tan sencillo.

* Interponerse en el sistema DNS de la víctima. Bien por pharming, por "hombre en el medio", troyanos o por cualquier otro método que redirija la resolución de dominios de la víctima.

Así, el atacante redirige a "otro" dominio a la víctima, e instala ahí el certificado que ha robado. A partir de ahí, podría o bien suplantar a la otra página o bien redirigir a la víctima a la original. El asunto es que, en cualquier caso, tendría acceso a toda la información, cifrada, que se transmita entre la víctima y el dominio al que quiere acceder. Aunque estuviese cifrada, aunque aparezca el candado en el navegador al visitar esta página, o la barra de navegación en verde, e incluso se compruebe la cadena de certificación... no solo el navegador dará por legítima la página, sino que el atacante podrá leer toda la información cifrada que se transmite.

Si unimos que el ataque a Comodo no habrá sido "sencillo" (se trata de uno muy sofisticado y dirigido), que la IP proviene de Irán, que el atacante emitió certificados para páginas muy conocidas, y que necesita además, para que esto sea efectivo, tener acceso a un cambio en los DNS... todo apunta a un ataque que, cuando menos, inquieta.

Sergio de los Santos
ssantos@hispasec.com


Más información:

The Recent RA Compromise
http://blogs.comodo.com/it-security/data-security/the-recent-ca-compromise/

Stable and Beta Channel Updates
http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates_17.html

Microsoft Security Advisory (2524375)
http://www.microsoft.com/technet/security/advisory/2524375.mspx

03/06/2008 Mitos y leyendas: "Compruebe el candadito del navegador para estar seguro" I (Phishing)
http://www.hispasec.com/unaaldia/3510

miércoles, 23 de marzo de 2011

Publican vulnerabilidad en IBM Lotus Domino Server Controller después de esperar 6 meses una solución

Existe un error al autenticar un usuario en Lotus Domino Server Controller que podría permitir a un atacante ejecutar código arbitrario. La vulnerabilidad se ha hecho pública sin existir parche disponible.

El servidor Lotus Domino Server Controller escucha en el puerto 2050 y utiliza un COOKIEFILE (fichero que guarda la información de autenticación) para comparar los datos usuario y sesión enviados por el cliente. El fallo radica en que el servidor se encuentran en una ruta UNC que puede ser accesible para el atacante, por lo que éste tendría control sobre los datos que se envían y los datos que se comparan y, por tanto, podría autenticarse.

Una vez que el atacante logra acceso al sistema, puede ejecutar código bajo el contexto del usuario 'SYSTEM' en Windows, esto es, con totales privilegios.

Este fallo ha sido revelado por ZDI (Zero Day Initiative) acogiéndose a su reciente política de divulgación pública de fallos sin parche tras no recibir contestación después de 180 días por parte del fabricante. En agosto de 2010 Zero Day Initiative de TippingPoint impuso una nueva regla destinada a presionar a los fabricantes de software para que solucionen lo antes posible sus errores: si pasados seis meses desde que se les avise de un fallo de seguridad de forma privada, no lo han corregido, lo harían público.

Las contramedidas propuestas son: Establecer una contraseña para la consola del sistema y limitar el acceso a hosts confiables.

Este fallo recuerda a los problemas que sufren los clientes de Hastings compartidos. En ocasiones, guardan la información de sesión en claro y en carpetas comunes, como puede ser '/tmp/'.


Alejandro J. Gómez López
agomez@hispasec.com


Más información:

04/08/2010 La industria de las vulnerabilidades impone un límite de seis meses para corregirlas
http://www.hispasec.com/unaaldia/4302

(0day) IBM Lotus Domino Server Controller Authentication Bypass Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-11-110/

martes, 22 de marzo de 2011

Actualización de seguridad para Apple Mac OS X

Apple ha publicado una nueva actualización de seguridad para su sistema operativo Mac OS X 10.6 que solventa múltiples vulnerabilidades.

Esta actualización, publicada como actualización de seguridad 2011-001, corrige 53 fallos en los siguientes componentes y servicios: AirPort, Apache, AppleScript, ATS, bzip2, CarbonCore, ClamAV, CoreText, File
Quarantine, HFS, ImageIO, Image RAW, Installer, Kerberos, Kernel, Libinfo, libxml, Mailman, PHP, QuickLook, QuickTime, Ruby, Samba, Subversion, Terminal y X11.

Los problemas podrían permitir a un atacante local o remoto acceder a información sensible, evitar restricciones de seguridad, provocar condiciones de denegación de servicio o llegar a comprometer los sistemas afectados.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of Mac OS X v10.6.7 and Security Update 2011-001
http://support.apple.com/kb/HT4581

lunes, 21 de marzo de 2011

Revelación de información en el Kernel Linux 2.6.x

Se han publicado tres vulnerabilidades en el kernel de Linux que podrían ser aprovechadas para revelar información sensible a un atacante.

* CVE-2011-1170
Un error al no terminar determinadas estructuras en las funciones 'compat_do_replace', 'do_replace' y 'do_arpt_get_ctl', localizadas en el fichero 'net/ipv4/netfilter/arp_tables.c', podría permitir a un atacante local acceder a información del sistema.

* CVE-2011-1171
Un error al no terminar determinadas estructuras en las funciones 'compat_do_replace', 'do_replace' y 'do_arpt_get_ctl', localizadas en el fichero 'net/ipv4/netfilter/ip_tables.c', podría permitir a un atacante local acceder a información del sistema.

* CVE-2011-1172
Un error al no terminar determinadas estructuras en las funciones 'compat_do_replace', 'do_replace' y 'do_arpt_get_ctl', localizadas en el fichero 'net/ipv4/netfilter/arp_tables.c', podría permitir a un atacante local acceder a información del sistema.

Es obvio que se trata de la introducción del mismo error en a lo largo del código fuente. El problema radica en que no se comprueba la terminación "\x00" de las cadenas de las estructuras de datos, por lo que la solución propuesta, común a las tres vulnerabilidades consiste en el forzado de dicha terminación en las cadenas de texto de las estructuras.

Se observa en las lineas introducidas del parche:

tmp.name[sizeof(tmp.name)-1] = 0;
rev.name[sizeof(rev.name)-1] = 0;

Hay que destacar que para poder explotar esta vulnerabilidad, es necesario que la funcionalidad CAP_NET_ADMIN se encuentre habilitada.

Sirve para administrar interfaces de red, modificar las tablas de ruta, establecer el modo promiscuo, etc.

netfilter: ip_tables: fix infoleak to userspace
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=78b79876761b86653df89c48a7010b5cbd41a84a

ipv6: netfilter: ip6_tables: fix infoleak to userspace
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=6a8ab060779779de8aea92ce3337ca348f973f54

netfilter: arp_tables: fix infoleak to userspace
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=42eab94fff18cb1091d3501cd284d6bd6cc9c143


Alejandro J. Gómez López
agomez@hispasec.com



domingo, 20 de marzo de 2011

Denegación de servicio en CGIT

Ha sido reportada una vulnerabilidad en CGIT que podría permitir a un atacante remoto provocar una denegación de servicio.

CGIT es un interfaz web que permite visualizar y gestionar un repositorio git. CGIT es un programa de código abierto escrito en C.

Esta vulnerabilidad se debe a error en la función "convert_query_hexchar", localizada en 'html.c'. En esta función se decrementa de forma indebida el valor de una variable, causando un bucle infinito.

A esta vulnerabilidad se le ha asignado el código CVE-2011-1027.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

CGIT path:
http://hjemli.net/git/cgit/commit/?h=stable&id=fc384b16fb9787380746000d3cea2d53fccc548e

sábado, 19 de marzo de 2011

Denegación de servicio en Asterisk 1.6.x y 1.8.x

Nuevas versiones de Asterisk ha sido publicadas para solucionar dos fallos de denegación de servicio.

Asterisk es una implementación de código abierto de una central telefónica (PBX). Como cualquier PBX, permite interconectar teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP o a la línea telefónica tradicional. Asterisk incluye características como buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

El primer fallo se produce cuando el interfaz de administración está activa. Un error en la función 'send_string' de 'manager.c' permitiría a un atacante remoto causar una denegación de servicio abriendo conexiones, por un consumo excesivo de CPU.

El segundo error solucionado se produce al abrir y cerrar conexiones TCP con ciertas API. No se valida correctamente el valor de un puntero, pudiendo causar una referencia a NULL y por tanto, una denegación de servicio.

Recomendamos actualizar desde http://www.asterisk.org/downloads a las versiones 1.6.1.23, 1.6.2.17.1 o 1.8.3.1 que solucionan estos problemas.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Asterisk Blog:
http://www.asterisk.org/node/51595

viernes, 18 de marzo de 2011

Comprometen la seguridad de RSA y roban información sobre el producto SecurID

RSA es una de las compañías de seguridad más importantes a nivel mundial. Han emitido un comunicado oficial en el que admiten que su seguridad interna se ha visto comprometida por atacantes y que han robado información relativa a su famoso producto SecurID. El problema es tan grave que involucra al gobierno de los Estados Unidos.

Arthur W. Coviello, Jr., director ejecutivo de RSA ha emitido un comunicado en el que confiesa que RSA ha sido víctima de un "ataque cibernético extremadamente sofisticado" que, por lo que se deduce, viene de tiempo atrás y ahora ha sido detectado. Esto es lo que se llama un ATP (Advanced Persistent Threat), en resumen, un ataque específicamente diseñado contra la compañía, por el que los atacantes obtienen acceso a información interna confidencial. Habitualmente estos ataques llevan meses de preparación y es necesaria una importante investigación posterior para ver cómo y cuándo comenzó. Sobre todo, hasta dónde han llegado.

Al parecer lo que se sabe es que han tenido acceso a "cierta" información relacionada con uno de sus productos estrella: SecurID. Se trata de un token físico que proporciona autenticación segura de dos factores (algo que se sabe y algo que se tiene). En vez de necesitar una sola contraseña para acceder a cualquier recurso, con el token es necesario un PIN y un número de seis cifras que genera el propio dispositivo. Ese código sólo es válido durante un tiempo limitado. Es utilizado por grandes compañías concienciadas con la seguridad para, habitualmente, acceso externo a las redes.

Según el comunicado, la información robada podría "reducir la efectividad de la implementación actual de la autenticación de dos factores". ¿Qué quiere decir esto? Realmente toda deducción no serán más que especulaciones, pero es posible que los ladrones hayan tenido acceso a información que permita deducir de qué forma se calculan las contraseñas de un solo uso y, por tanto, permitir a un atacante acceder a recursos ajenos sin necesidad de disponer del token físico. Pero no es posible asegurarlo en estos momentos. Además, el atacante necesitaría también el PIN del atacado, que es algo que, supuestamente, solo debería estar en la memoria del usuario.

Ante la gravedad del asunto, EMC (a la que pertenece RSA) ha rellenado un formulario llamado 8-K. Se trata de un documento gubernamental que se utiliza para informar de un evento importante e inesperado a la "U.S. Securities and Exchange Commission"

Hay que tener en cuenta que, como ha ocurrido en otras ocasiones con el robo de material secreto en empresas, a la larga puede hacerse público. Hoy en día podemos encontrar en redes P2P y puntos de descarga directa, desde partes del código fuente de Windows y del antivirus de Kaspersky, hasta todos los correos privados del último año del dueño la compañía de seguridad HBGary.

Quizás resulte extraño que una empresa dedicada por entero a la seguridad, y que lleva el nombre de los inventores de la criptografía moderna, haya sido comprometida. Pero es necesario recordar que esto ha pasado en los últimos años con muchas empresas importantes, desde Google a la propia HBGary (a la que destriparon por completo), y que nadie está a salvo de ataques si son lo suficientemente sofisticados.

Los consejos que da RSA a sus clientes son muy genéricos por ahora. Básicamente, mejorar la seguridad y estar más atentos. Pide, especialmente, concentrarse en "social media applications".

Además del golpe a la imagen, suponemos que es posible que RSA deba en un futuro cercano, o bien actualizar o bien reemplazar todos los tokens de sus clientes para garantizar su seguridad, lo que supondrá igualmente un coste económico importante para la compañía.


Sergio de los Santos
ssantos@hispasec.com


Más información:

8K
http://www.sec.gov/Archives/edgar/data/790070/000119312511070159/0001193125-11-070159-index.htm

Open Letter to RSA Customers
http://www.rsa.com/node.aspx?id=3872

jueves, 17 de marzo de 2011

Inyección SQL en Joomla 1.6

Se ha publicado una vulnerabilidad de inyección SQL que afecta a la rama 1.6.0 del popular gestor de contenidos Joomla. El fallo ha sido descubierto por Aung Khant que forma parte de 'YGN Ethical Hacker Group'.

Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.

El fallo fue puesto en conocimiento de Joomla el pasado 24 de enero y tuvo que esperar hasta principios de marzo para que fuera publicada una actualización que solucionase este fallo de seguridad, concretamente la versión 1.6.1. El grupo ha esperado una semana desde la publicación de la actualización para hacer público el fallo, dando este plazo para que los usuarios lleven a cabo la actualización del mismo.

Desde Hispasec recomendamos la actualización del gestor, y aprovechamos para recordar a todos los usuarios de este o cualquier gestor similar, que se mantengan al día de actualizaciones o posibles fallos encontrados en todos los componentes que tengan instalados junto a su gestor de contenidos.


Fernando Ramírez
framirez@hispasec.com


Más información:

Joomla! 1.6.0 | SQL Injection Vulnerability
http://bl0g.yehg.net/2011/03/joomla-160-sql-injection-vulnerability.html

miércoles, 16 de marzo de 2011

Twitter añade cifrado SSL

Twitter se suma a las iniciativas para proteger el contenido del tráfico web. Como ya hiciera hace tiempo Google, o Facebook, entre otros, Twitter añade soporte para conexiones seguras a través de SSL.

SSL (Secure Sockets Layer, capa de conexión segura) y TLS (Transport Layer Security, capa de seguridad del transporte) son dos métodos utilizados para ofrecer cifrado y integridad de datos en las comunicaciones entre dos entes a través de una red informática.

Desde ahora, un usuario de Twitter podrá configurar su cuenta para que utilice este cifrado por defecto. Se debe acceder a la configuración de la cuenta y marcar "Usar siempre HTTPS". Esto lo protegerá de robo de tráfico en redes internas, por ejemplo. Además de que permitirá garantizar en todo momento que el usuario se comunica con el servidor legítimo.

Las aplicaciones de terceros basadas en Twitter pueden desde este momento implementar esta nueva medida de seguridad para sus clientes.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Making Twitter more secure: HTTPS
http://blog.twitter.com/2011/03/making-twitter-more-secure-https.html

martes, 15 de marzo de 2011

Actualización de seguridad para Adobe Flash Player

Adobe ha publicado una actualización de seguridad destinada a corregir trece vulnerabilidad críticas en Adobe Flash Player versión 10.1.102.64 (y anteriores) para Windows, Macintosh, Linux y Solaris.

En total son trece vulnerabilidades corregidas por Adobe, doce de las cuales han sido puntuadas con un 9.3 como puntuación CVSS, debido a que podrían permitir la ejecución de código arbitrario por un atacante remoto, la vulnerabilidad restante se trata de una elevación de privilegios.

Adobe recomienda a los usuarios de Adobe Flash Player de todas las plataformas afectadas la actualización a la versión 10.2.152.26, disponible desde:
http://www.adobe.com/go/getflash


Fernando Ramírez
framirez@hispasec.com


Más información:


Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb11-02.html

lunes, 14 de marzo de 2011

0 day en Adobe Flash, Reader y Acrobat

Adobe informa de que se ha encontrado que una vulnerabilidad que permite la ejecución de código en sus productos Flash, Reader y Acrobat que está siendo aprovechado por atacantes.

El fallo en Flash está ya siendo explotado activamente a través de la difusión por correo de ficheros Excel que contienen un archivo .swf (Flash) en su interior. Afecta a los sistemas Windows, Macintosh, Linux, Solaris y Android.

El fallo en Reader y Acrobat X y las versiones 10.x y 9.x se encuentra en el componente authplay.dll y solo afecta a las versiones para Windows y Macintosh. Por el momento no se han detectado ficheros PDF que exploten esta vulnerabilidad. Esta librería es una "vieja conocida". Sufrió un problema de seguridad grave a finales de octubre de 2010, otro en junio de ese mismo año y otro más en julio de 2009.

Puesto que para Reader X se puede prevenir la explotación de este fallo activando "Protected Mode", en esta versión Adobe solucionará el problema el 14 de junio durante el ciclo normal de actualizaciones. Para el resto de versiones afectadas Adobe está trabajando en una solución que tiene previsto hacer pública en la semana del 21 de marzo.

El CVE asignado a esta vulnerabilidad es el CVE-2011-0609.

Para mitigar el problema en Reader mientras se publica la solución, se recomienda renombrar temporalmente el fichero authplay.dll o impedir el acceso a través de permisos.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Security Advisory:
http://www.adobe.com/support/security/advisories/apsa11-01.html

domingo, 13 de marzo de 2011

Resumen de Pwn2own

Pwn2Own es el evento que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares. Pwn2Own, que se celebra en la ciudad canadiense de Vancouver, está patrocinado por la empresa Zero Day Initiative ZDI, una compañía que se encarga de poner en contacto a investigadores de seguridad y compañías de software para garantizar una publicación coordinada de vulnerabilidades.

El primer día comenzó con una sorpresa. En apenas cinco minutos "caía" Safari. Lo hacía Chaouki Bekrar, miembro del grupo formado por la empresa francesa VUPEN. Demostró un error que permitía la ejecución de código remoto, comprometiendo todo el sistema con solo visitar una web especialmente manipulada. La plataforma sobre la que se llevó acabo fue un Mac OS X Snow Leopard de 64bits, lógicamente con todas las actualizaciones al día. Chaouki confirmó más tarde que el fallo está localizado en el motor WebKit, y que es mérito de un grupo formado por tres personas que trabajaron en ello durante dos semanas para encontrar el fallo, la arquitectura x64 resultó ser una traba para conseguir un exploit viable. El fallo encontrado les permitió embolsarse 15.000 dólares y el Mac Book Air que le proporcionaba la organización.

Apenas unas horas después le toco el turno a Internet Explorer 8, esta vez de la mano de Stephen Fewer, desarrollador de Metasploit. Fewer necesitó utilizar tres vulnerabilidades diferentes encadenadas para comprometer el Windows 7 SP1 de 64bits a través del navegador. El primer paso fue conseguir la ejecución de código y esto lo consiguió mediante el uso de dos 0 day. Una vez conseguido esto, la parte más complicada era saltarse las protecciones DEP y ASLR, dos mecanismos que ofrecen Windows Vista y 7 para evitar la ejecución de código. Basándose en un nuevo error en este sistema, todo encajó perfectamente cuando se visitó una web especialmente manipulada y se ejecutó el código arbitrario. De esta forma Stephen Fewer era el segundo en embolsarse 15.000 dólares y obtener portátil nuevo.

Al día siguiente tocó el turno del iPhone 4 y de Blackberry. Charlie Miller que ya en 2007 y 2009 logró vulnerar estos teléfonos, aprovechó un fallo en MobileSafari que le permitió capturar la agenda completa del dispositivo a través de la visualización de una web especialmente manipulada. La vulnerabilidad no afecta a la versión 4.3 de iOS debido a la inclusión que ha hecho Apple de ASLR en esta última versión.

En el caso de Blackberry, se llevó a acabo bajo una BlackBerry Torch 9800 con la versión de firmware 6.0.0.246. El trabajo lo llevó a cabo un grupo formado por tres personas: Vincenzo Iozzo, Willem Pinckaers y Ralf Philipp Weinmann .Este último ya logró comprometer el iPhone en el Pwn2Own del año anterior. El equipo aprovechó un fallo en Webkit (que recientemente ha sido añadido como motor en el navegador de Blackberry) y mediante una fuga de memoria lograron conocer algo sobre el funcionamiento de la memoria del teléfono. Cabe resaltar que no existe documentación sobre el funcionamiento interno de estos dispositivos y que no poseen de mecanismos de ASLR ni DEP. Aun así lograron hacerse con el control del teléfono móvil visitando una web especialmente manipulada y consiguieron robar la agenda, imágenes del dispositivo y escribir un archivo de texto dentro del mismo.

La noticia del evento fue que dos de los navegadores más usados como son Firefox y Chrome han salido indemnes de la cita anual. En parte porque corrigieron un gran número de vulnerabilidades justo antes del concurso.


Fernando Ramírez
framirez@hispasec.com



sábado, 12 de marzo de 2011

"Cae" un nuevo router de MoviStar y publican cómo descubrieron las claves WPA por defecto del anterior

Seguridadwireless.net ha hecho público todos los detalles sobre cómo se generan las claves WPA por defecto para los routers Zyxel distribuidos por MoviStar. Este descubrimiento llega tras la controvertida publicación de los detalles de generación de calves de los routers Comtrend, también de MoviStar y Jazztel a principios de febrero. Ahora, además, han revelado cómo se realizó el descubrimiento.

Antecedentes polémicos

Seguridadwireless.net descubrió el algoritmo de generación de claves WPA por defecto de los routers Comtrend el 24 de noviembre de 2010. Al no recibir respuesta del fabricante, el 15 de diciembre se publica en seguridadwireless.net el fallo sin desvelar el algoritmo, facilitando sólo una interfaz web para generar la contraseña. Ese mismo día retiran todo lo publicado tras recibir una llamada de un responsable de la compañía Comtrend. Desde la comunidad, son muy criticados por ello. De forma independiente, una fuente anónima publica el viernes 4 de febrero, todos los detalles del algoritmo. Aparecen numerosas herramientas para calcular las contraseñas.

Hasta entonces no se sabía cómo lo había conseguido seguridadwireless.net, puesto que no podían realizar ningún comunicado oficial hasta que no caducase el acuerdo de confidencialidad que firmaron con Comtrend. El 8 de marzo, una vez expirado, han revelado los detalles técnicos del descubrimiento.

En realidad, el método empleado es sencillo. Esto, lejos de restarle mérito al descubrimiento, lo revaloriza. Muy al contrario, "devalúa" la seguridad del router. Una vez estudiada la técnica, se observa que realmente, el router podía haber mejorado muchísimo la seguridad necesaria para impedir la deducción de su algoritmo.

Cómo se hizo


Básicamente, se conectaron por Telnet al router y observaron unos archivos temporales que dejaba en el directorio var/ una vez calculada la clave y que debía haber borrado. Con esta información el algoritmo podía deducirse. Además, los métodos básicos empleados para evitar que se recorriera el sistema de ficheros del router, eran fácilmente eludibles. Por ejemplo impedía el uso del comando "ls" para listar ficheros, pero se podía conseguir el mismo efecto con la combinación de otros comandos.

Previamente ya se había filtrado un método diferente para conseguir también las claves por defecto de Comtrend. En este caso ni siquiera era necesario conectarse al router ni disponer de uno. Descargando el firmware y montándolo, era posible hurgar en su interior y deducir las pistas necesarias para encontrar el algoritmo de generación. En resumen, existían dos formas diferentes y relativamente simples de dar con el algoritmo.

"Cae" otra marca de router


Además, el sábado 5 de marzo seguridadwireless.net publica también cómo calcular la clave WPA por defecto de los routers Zyxel, el otro modelo (además de los Comtrend) que distribuye MoviStar. Esta vez, se hacen públicos también todos los detalles de cómo calcularlo, aunque no el método empleado para conseguirlo. Quizás por la experiencia con el descubrimiento anterior (fueron muy criticados por realizar una especie de "half-disclosure") optan esta vez por una divulgación total desde el principio.

Ni MoviStar, ni Jazztel ni Comtrend ni Zyxel se han pronunciado oficialmente sobre estos descubrimientos. Como decíamos en una entrega anterior, deben pensar bien cuál es el siguiente paso para actuar responsablemente. En concreto MoviStar, puesto que distribuye los dos routers comprometidos y a cuyos clientes finales afecta más este hallazgo.

Se recomienda, como siempre, modificar la clave por defecto del cifrado WPA, bien a través del panel de configuración del router o bien del CD que lo suele acompañar.


Sergio de los Santos
ssantos@hispasec.com



viernes, 11 de marzo de 2011

Actualización de Apple iOS soluciona 59 problemas de seguridad

Apple ha publicado actualizaciones para iOS, AppleTV y Safari que solucionan numerosos problemas de seguridad. En concreto, para el sistema operativo iOS (usado por sus terminales iPod touch, iPhone e iPad) ha actualizado a la versión 4.3 que soluciona 59 vulnerabilidades.

Los fallos podrían permitir la revelación de información sensible, ejecución de código Javascript e inyección de código HTML, denegaciones de servicio y ejecuciones de código arbitrario por un atacante remoto.

En esta ocasión se ha corregido principalmente el componente WebKit, sobre el que se han solucionado 52 fallos de seguridad. WebKit es el motor de renderizado HTML de código abierto utilizado, entre otros, por el navegador web Safari.

Cabe destacar que esta no es la actualización que parchea el mayor número de problemas de seguridad en iOS. La versión 4.2 corregía un total de 85 y la versión 4.0 solucionaba 70 sobre su predecesora.

Se recomienda actualizar a las versiones iOS 4.3, Safari 5.04 y Apple TV 4.2.


Sergio de los Santos
ssantos@hispasec.com


Más información:

iOS 4.3:
http://support.apple.com/kb/HT4564

Safari 5.04:
http://support.apple.com/kb/HT4566

Apple TV 4.2:
http://support.apple.com/kb/HT4565

jueves, 10 de marzo de 2011

Elevación de privilegios en Windows a través de .NET Runtime Optimization Service

De manera casi simultanea a los boletines de Microsoft del mes de marzo, se ha hecho público un exploit capaz de aprovechar un error en los permisos de . NET Runtime Optimization Service y que podría permitir a un atacante elevar privilegios.

.NET Runtime Optimization es un servicio de precompilador que trabaja una vez se ha instalado .NET y cuando el equipo se encuentre inactivo asignado tareas de baja prioridad. Se instala con .NET Framework.

El fallo y los detalles para explotarlo han sido publicado directamente sin previo aviso a Microsoft. El problema se ha confirmado para Windows XP SP3, Windows Server 2003 R2 y Windows 7, pero no se descarta que afecte a todas las versiones de Microsoft Windows.

El error reside en los permisos de escritura de .NET Runtime Optimization Service y podría ser aprovechado por un atacante local (usuario de dominio o usuario avanzado) para elevar privilegios sustituyendo el fichero mscorsvw.exe por otro que se ejecutaría con privilegios de SYSTEM al iniciarse el servicio.

Se recomienda desactivar el servicio o modificar los permisos del fichero c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe


Fernando Ramírez
framirez@hispasec.com


Más información:

.NET Runtime Optimization Service Privilege Escalation
http://xenomuta.tuxfamily.org/exploits/ngen-pwn3r.c

miércoles, 9 de marzo de 2011

Actualización de libcgroup para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización del paquete libcgroup para la versión 6 de su producto Enterprise Linux.

La actualización soluciona dos vulnerabilidades que podrían permitir a un atacante local escalar privilegios y causar una denegación de servicio.

"libcgroup es un paquete que provee herramientas y librerías para el control y monitorización de grupos de control".

Por orden de CVE las vulnerabilidades corregidas son:

CVE-2011-1022: Existe un error al no comprobar el origen de los mensajes Netlink. Un atacante local podría causar una denegación de servicio a través del envío de mensajes Netlink especialmente manipulados.

CVE-2011-1006: Existe un error de desbordamiento de memoria intermedia basada en heap al convertir una lista de controladores de una tarea en un array de cadenas. Esto podría ser usado por un atacante local para elevar privilegios a través de una lista especialmente manipulada de controladores.

Fallo reportado por Nelson Elhage. Esta actualización está disponible a través de Red Hat Network.


David García
dgarcia@hispasec.com


Más información:

libcgroup security update
http://rhn.redhat.com/errata/RHSA-2011-0320.html

martes, 8 de marzo de 2011

Boletines de seguridad de Microsoft en marzo

Tal y como adelantamos, este martes Microsoft ha publicado tres boletines de seguridad (del MS11-015 y el MS11-017) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft un boletín presenta un nivel de gravedad "crític", mientras que los dos restantes se clasifican como "importantes". En total se han resuelto cuatro vulnerabilidades.

Los boletines publicados son:

* MS11-015: Actualización "crítica" destinada a resolver una vulnerabilidad en DirectShow y otra en el Reproductor de Windows Media y Windows Media Center. La más grave de ellas podría permitir la ejecución remota de código si un usuario abre un archivo de grabación de vídeo digital de Microsoft (.dvr-ms) especialmente diseñado. Afecta a Windows XP, Vista, Windows 7 y Windows Server 2008.

* MS11-016: Se trata de una actualización "importante" destinada a solucionar una vulnerabilidad en Microsoft Groove 2007. El problema podría permitir la ejecución remota de código si un usuario abre un archivo legítimo relacionado con Groove, que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado.

* MS11-017: Boletín "importante" destinado a corregir una vulnerabilidad en el cliente de Escritorio remoto de Windows. Este problema permitiría la ejecución remota de código si un usuario abre un archivo legítimo de configuración de Escritorio remoto (.rdp), que se encuentre en la misma carpeta de red que un archivo de biblioteca especialmente diseñado. Afecta a los Clientes de Conexión a Escritorio remoto 5.2, 6.0, 6.1 y 7.0.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de marzo de 2011
http://www.microsoft.com/spain/technet/security/bulletin/ms11-mar.mspx

Boletín de seguridad de Microsoft MS11-015 - Crítico
Vulnerabilidades en Windows Media podrían permitir la ejecución remota de código (2510030)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-015.mspx

Boletín de seguridad de Microsoft MS11-016 – Importante
Una vulnerabilidad en Microsoft Groove podría permitir la ejecución remota de código (2494047)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-016.mspx

Boletín de seguridad de Microsoft MS11-017 – Importante
Una vulnerabilidad en el cliente de Escritorio remoto podría permitir la ejecución remota de código (2508062)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-017.mspx

lunes, 7 de marzo de 2011

Actualización de subversion para Debian Linux

Debian ha publicado una actualización del paquete subversion que soluciona una vulnerabilidad que podría permitir a un atacante remoto causar un ataque de denegación de servicio haciendo que la aplicación deje de responder.

Subversion es un popular sistema de control de versiones con licencia Apache.

El error reside en la función 'svn_fs_get_access' al devolver un puntero nulo cuando procesa un comando 'lock' si éste es enviado por un usuario no autenticado.

Un atacante remoto no autenticado podría causar una denegación de servicio a través del envío de comandos especialmente manipulados.

La vulnerabilidad solo puede ser explotada cuando subversion funciona a través del servidor Apache HTTPD cuando los usuarios no autenticados tienen acceso de lectura.

El fallo fue notificado por Philip Martin de la empresa WANdisco y tiene asignado el CVE-2011-0715.


David García
dgarcia@hispasec.com


Más información:

DSA-2181-1 subversion -- denial of service
http://www.debian.org/security/2011/dsa-2181

domingo, 6 de marzo de 2011

Microsoft publicará tres boletines de seguridad el próximo martes

Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará el próximo día 8 de marzo tres boletines de seguridad.

Los dos primeros boletines afectan a los sistemas operativos de la familia Windows. El primero está calificado de "Crítico" y afecta a las versiones XP, Vista y Windows 7. El segundo se califica de "Importante" y afecta a todas
las versiones soportadas de Windows.

El tercer boletín está calificado de "Importante" y afecta a Microsoft Groove 2007. Groove es una aplicación para compartición de archivos orientada a equipos de trabajo. Groove se renombró a SharePoint WorkSpaces en la versión 2010 de Microsoft Office.

El impacto subsanado en todos los boletines es la ejecución remota de código arbitrario.

Tras su publicación ofreceremos información detallada acerca de los fallos corregidos.


David García
dgarcia@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for March 2011
http://www.microsoft.com/technet/security/bulletin/ms11-mar.mspx?pubDate=2011-03-03

sábado, 5 de marzo de 2011

AutoRun en Windows: Se acerca el fin de esta funcionalidad (y II)

Microsoft acaba de publicar como actualización automática el parche que deshabilita el Autoplay en dispositivos USB en todos sus Windows (solo la versión 7 lo hacía correctamente por defecto hasta ahora). Con este movimiento, da (por fin) el paso final para aniquilar una funcionalidad que ha traído muchos problemas. Repasemos un poco la historia del Autorun.

En mayo de 2008, en un boletín de una-al-día llamado "Virus y promiscuidad. Del disquete al USB", ya se recomendaba configurar específicamente Windows para ignorar los archivos autorun.inf y atajar el problema de raíz, puesto que ya se conocían formas de eludir la protección "oficial", que consistía en la modificación de la directiva de registro NoDriveTypeAutorun.

Dos vulnerabilidades, un mismo problema

En julio de 2008, Microsoft publicó el boletín MS08-038 que, entre otros asuntos, corregía este comportamiento fallido de Autorun (CVE-2008-0951). Pero solo se ofrecía a través de Windows Update (obligatoriamente) para Windows Vista y 2008. Los usuarios de XP disponían del parche para solucionar el fallo (KB953252), pero había que ir a descargarlo e instalarlo expresamente. No se instalaba automáticamente como el resto de parches de seguridad porque Microsoft tenía miedo de "romper" demasiadas funcionalidades para su (todavía) amplio parque de usuarios de Windows XP. Además, de paso, daba un empujoncito para incentivar la actualización a su sistema operativo más moderno hasta la fecha.

Pero a finales de 2008 apareció Conficker, un malware bastante sofisticado con algunas funcionalidades sorprendentes. Aprovechaba de manera inédita hasta la fecha la funcionalidad Autorun. Creaba un archivo autorun.ini funcional pero disimulado con basura, que conseguía pasar desapercibido para los antivirus. Es decir: los métodos oficiales (a través de la política NoDriveTypeAutorun del registro) recomendados hasta la fecha para evitar la ejecución, seguían sin funcionar realmente. Debido al éxito de Conficker en XP, en febrero de 2009 tuvieron que corregir un nuevo fallo (CVE-2009-0243) a través de una actualización que cubría en parte la anterior vulnerabilidad y que esta vez, era obligatoria para todos. Aunque el parche KB967715 para XP se distribuyó automáticamente a través de Windows Update en esa fecha, sorprendentemente no fue considerado como "parche de seguridad" (no tiene un boletín de Microsoft asociado).

Además, el parche modificaba el comportamiento de Autorun: Después de aplicarlo, se añadía una nueva etiqueta en el registro que debía ser correctamente configurada. En la práctica, para usuarios poco avanzados, Autorun seguía siendo un problema.

Mejoras, pero solo para Windows 7

Después de tanta vulnerabilidad, en mayo de 2009 Microsoft decide mejorar la seguridad de la funcionalidad de "autoejecución" de los medios extraíbles en los que se pueda escribir, evitando el diálogo de ejecución automática (Autoplay) en memorias USB. Lo hacía por defecto en Windows 7 y, para las versiones anteriores de Windows publica en agosto de 2009 el parche KB971029. Una vez más, no era obligatorio, había que descargarlo manualmente. Otro supuesto empujón para motivar el cambio de sistema operativo. Ha sido necesario esperar año y medio para que ahora, a finales de febrero de 2011, se instale de forma obligatoria para todos los sistemas operativos anteriores a Windows 7 desde Windows Update.

Otros problemas con Autorun

Pero aún quedaban dolores de cabeza con la autoejecución. En julio de 2010 VirusBlokAda descubre Stuxnet. El troyano puede propagarse a través de memorias USB prescindiendo del tradicional archivo autorun.inf. Utiliza una vulnerabilidad en archivos .LNK que permitía la ejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados. A efectos prácticos, implica que se había descubierto una nueva forma totalmente nueva de ejecutar código en Windows cuando se insertaba un dispositivo extraíble, independientemente de que se hubiesen tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. Fuera del ciclo habitual, Microsoft publicó MS10-046 en agosto para solucionar la vulnerabilidad.

En resumen, un largo recorrido hasta hoy: vulnerabilidades que no son corregidas en todos los sistemas, parches de seguridad que no se califican como tal según qué versiones, mejoras que no se ofrecen de forma obligatoria, parches que se superponen a otros parches y parches que modifican la funcionalidad... todo un quebradero de cabeza que parece toca a su fin, con los parches que bloquean y mejoran Autorun y Autoplay difundidos de forma masiva.

Aun así, aún existe una funcionalidad por defecto que impide dar por aniquilado por completo el Autorun: Para los dispositivos que en los que se supone no se puede escribir (medios ópticos), Windows todavía lanza AutoPlay y sigue preguntando al usuario qué hacer. Entre esas opciones permite la ejecución automática.

Sergio de los Santos
ssantos@hispasec.com



viernes, 4 de marzo de 2011

AutoRun en Windows: Se acerca el fin de esta funcionalidad (I)

Microsoft acaba de publicar como actualización automática el parche que deshabilita el Autoplay en dispositivos USB en todos sus Windows (solo la versión 7 lo hacía correctamente por defecto hasta ahora). Con este movimiento, da (por fin) el paso final para aniquilar una funcionalidad que ha traído muchos problemas. Repasemos un poco la historia del Autorun.

Aunque Windows 9x disponía de AutoRun, era una especie de sistema primitivo que no podía ser comparado con el de XP. Además, por aquel entonces los dispositivos de almacenamiento USB no eran demasiado populares, mientras que los disquetes todavía se usaban. Por tanto, se puede decir que el verdadero problema comenzó a finales de 2001, con XP y su Autorun y Autoplay. Distingamos entre estos dos conceptos.

Autorun y Autoplay

Autorun: Es la capacidad del sistema operativo (no solo de Windows) de ejecutar dispositivos extraíbles cuando son insertados en el sistema. En Windows, los parámetros de la "autoejecución" se definen en un archivo de texto llamado autorun.inf, que aparece en la raíz de la unidad que se inserta.

Autoplay: Es la funcionalidad propia introducida en XP. Complementa y se basa en Autorun. Analiza el dispositivo que se inserta y según el tipo de archivo que encuentre, lanza un diálogo en el que se sugieren las mejores aplicaciones para reproducirlos. Si se elige una acción por defecto, el usuario no necesitará más este diálogo y el programa elegido se lanzará automáticamente la próxima vez gracias a Autorun y la "memoria" de Autoplay.

Hitos importantes

Ya en febrero de 2000, publicábamos en Hispasec un boletín titulado "Ataques a través del autorun". La funcionalidad se presentaba como el sustituto perfecto de la ejecución automática en disquetes pero aplicada a CDs y memorias USB.

Hacia 2005, las memorias USB se popularizaron y comenzaron a aparecer cada vez más muestras de malware que se propagaban por este medio. Hasta el punto de que, a mediados de 2010, ya se calculaba que un 25% del malware se esparcía a través de estos dispositivos.

Pero Microsoft no vio el problema hasta 2008. Se podía deshabilitar esta capacidad a través de políticas o cambios en manuales en el registro y, por tanto, no consideraba necesario cambiar su postura: Windows lo ofrecía como funcionalidad activa por defecto (como tantas otras facilidades) y quien quisiera protegerse, que lo desactivara. Pero esto no era del todo cierto: incluso desactivado, nunca se estuvo verdaderamente protegido. A partir de ahí comienza un recorrido para su desactivación y mejora que, a trancas y barrancas, se aplica ya automáticamente a todos sus sistemas operativos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Cómo deshabilitar la funcionalidad de la ejecución automática en Windows
http://support.microsoft.com/kb/967715

02/08/2010 Microsoft publica actualización fuera de ciclo para
vulnerabilidad en los .lnk

03/05/2009 Microsoft mejora la "autoejecución" de Windows 7. ¿Gracias,
Conficker?
http://www.hispasec.com/unaaldia/3844

19/02/2000 Ataques a través del autorun
http://www.hispasec.com/unaaldia/480

27/05/2008 Virus y promiscuidad. Del disquete al USB
http://www.hispasec.com/unaaldia/3503

25% Of Malware Spread Via USB Drives
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=227100125

jueves, 3 de marzo de 2011

Google actualiza su navegador Chrome antes del Pwn2Own

Google ha publicado una actualización de su navegador Chrome que corrige hasta 19 vulnerabilidades. 16 de importancia alta y tres calificadas de media.

Supone un total de 14.000 dólares que Google pagará a los investigadores que las han reportado de acuerdo a su programa de recompensas. Un programa que ya ha rebasado los 100.000 dólares desde su comienzo.

Google publica esta actualización una semana antes del popular concurso Pwn2Own. Donde se premia a aquellos investigadores que presenten una vulnerabilidad inédita que permita la ejecución de código arbitrario en los navegadores más populares.

Este año Google ha apostado 20.000 dólares, desafiando a aquel que pretenda demostrar un fallo crítico en Chrome, si la vulnerabilidad se presenta en el primero de los tres días que dura el concurso.

Cabe destacar que ninguna de las vulnerabilidades tiene la máxima gravedad, la denominada como importancia "crítica" que conlleva la mayor recompensa.

Apple también ha corregido más de 50 vulnerabilidades en Webkit de iTunes, y se espera que lo haga en Safari también justo antes del concurso Pwn2Own.

La versión actualizada de Chrome (versión 9.0.597.107) puede descargarse desde la página del producto o puede ser actualizada desde el mismo navegador.


David García
dgarcia@hispasec.com


Más información:

Stable Channel Update (googlechromereleases)
http://googlechromereleases.blogspot.com/2011/02/stable-channel-update_28.html

miércoles, 2 de marzo de 2011

Actualización del kernel para Red Hat Enterprise Linux 5

Red Hat ha publicado una actualización del kernel para la versión 5 de su gama Enterprise Linux Server y Desktop.

La actualización corrige tres fallos de seguridad que podrían permitir a un atacante provocar una denegación de servicio y obtener información sensible.

Por orden de CVE asignado las vulnerabilidades corregidas son:

CVE-2010-4249: Existe un error en la función 'wait_for_unix_gc function' de 'net/unix/garbage.c' al no seleccionar correctamente los tiempos de recolección de basura (liberación de memoria). Esto podría ser usado por un atacante local para provocar una denegación de servicio a través de las llamadas al sistema 'socketpair' y 'sendmsg' para sockets 'SOCK_SEQPACKET'.
Fallo reportado por Vegard Nossum.

CVE-2010-4251: Existe un error en la función '__release_sock' cuando el número de paquetes recibidos excede la capacidad de memoria reservada para su cacheo. Un atacante remoto podría causar una denegación de servicio a través del envío masivo de paquetes.

CVE-2010-4655: Existe un error de inicialización en la función 'ethtool_get_regs' que podría permitir a un atacante local provocar una revelación de información a través de vectores no especificados.
Fallo reportado por Kees Cook.

Adicionalmente la actualización corrige múltiples fallos y aporta mejoras no relacionadas con la seguridad.
Esta actualización está disponible a través de Red Hat Network.


David García
dgarcia@hispasec.com


Más información:

Red Hat: kernel security and bug fix update
http://rhn.redhat.com/errata/RHSA-2011-0303.html

martes, 1 de marzo de 2011

Nuevos contenidos en la Red Temática CriptoRed (febrero de 2011)

Breve resumen de las novedades producidas durante el mes de febrero de 2011 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE FEBRERO DE 2011
* Métricas de seguridad de la información y gestión del desempeño con el Balanced Scorecard (Carlos Ormella Meyer, 5 páginas, Argentina)
http://www.criptored.upm.es/guiateoria/gt_m327g.htm

2. NUEVOS VÍDEOS DE INTYPEDIA EN EL MES DE FEBRERO DE 2011
* Lesson 4: Introduction to network security (Justo Carracedo Gallardo, 13.35 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=introduction-network-security&lang=en
* Lección 5: Seguridad perimetral (Alejandro Ramos Fraile, 14.13 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=introduccion-seguridad-perimetral&lang=es

3. VÍDEOS RECUPERADOS DE DISI 2007 CON MEJOR CALIDAD DE IMAGEN
* A Fool's Errand Inventing Public Key Cryptography (Martin Hellman, 1.08.09 horas)
http://www.youtube.com/watch?v=zTGqP0nxX08
* Avances en la Factorización Entera (Hugo Scolnik, 49.04 minutos)
http://www.youtube.com/watch?v=Zrd8tM_1Pnk

4. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE FEBRERO DE 2011
* Informe de la Red de Sensores de INTECO del mes de enero de 2011 sobre virus y malware
https://ersi.inteco.es/informes/informe_mensual_201101.pdf
* Juego on-line Olvidados para concienciar la seguridad en las redes
sociales de la APDCM
http://www.olvidados.es/
* Estudio seguridad de las comunicaciones móviles e inalámbricas en los hogares españoles, Observatorio de la Seguridad de la Información de INTECO
http://www.inteco.es/Seguridad/Observatorio/Actualidad_Observatorio/noticia_estudio_inalambricas_3T2010
* Informe sobre análisis de tráfico con Wireshark de INTECO-CERT
http://cert.inteco.es/cert/Notas_Actualidad/informe_sobre_analisis_trafico_wireshark_20110211?postAction=getLatestInfo

5. RELACIÓN DE CONGRESOS, SEMINARIOS Y CONFERENCIAS POR ORDEN CRONOLÓGICO DE CELEBRACIÓN
* Marzo 1 a Mayo 24 de 2011: VII Ciclo de Conferencias UPM TASSI (Madrid - España)
* Marzo 3 al 5 de 2011: Rooted CON 2011 (Madrid - España)
* Marzo 11 al 13 de 2011: IADIS International Conference Information
Systems 2011 (Ávila - España)
* Marzo 15 de 2011: XI Congreso y Feria Interamericana de Seguridad de la Información SEGURINFO 2011 (Buenos Aires - Argentina)
* Marzo 30 de 2011: Seminario Wikileaks: el valor de la información
Cátedra UPM Applus+ (Madrid - España)
* Abril 12 al 14 de 2011: XXII edición del Congreso español de Seguridad de la Información Securmática (Madrid - España)
* Mayo 12 al 13 de 2011: IV edición Workshop Internacional Foundations & Practice of Security FPS 2011 (París - Francia)
* Mayo 16 de 2011: Workshop on Security for Grid and Cloud Computing (Anchorage - Alaska)
* Junio 7 al 10 de 2011: 9th International Conference on Applied Cryptography and Network Security (Nerja - España)
* Junio 8 al 10 de 2011: 4th International Conference on Computational Intelligence for Security in Information Systems CISIS '11 (Torremolinos - España)
* Junio 8 al 11 de 2011: Eighth International Workshop on Security In Information Systems WOSIS-2011 (Beijing - China)
* Junio 15 al 17 de 2011: XI Jornadas Nacionales de Seguridad Informática (Bogotá - Colombia)
* Junio 15 al 18 de 2011: 6a Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2011 (Chaves - Portugal)
* Junio 21 de 2011: The First International Workshop on Information Systems Security Engineering - WISSE'11 en (Londres - Reino Unido)
* Julio 18 al 21 de 2011: International Conference on Security and Cryptography SECRYPT 2011 (Sevilla - España)
* Septiembre 11 al 15 de 2011: Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (Castillo de Cardona - España)
* Septiembre 15 al 16 de 2011: International Conference on Information Technologies InfoTech 2011 (Varna - Bulgaria)
* Noviembre 2 al 4 de 2011: VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Bucaramanga - Colombia)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

6. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE FEBRERO DE 2011
* Jornada gratuita sobre Seguridad de la Información: Certificaciones ISO 15504, ISO 20000 e ISO 27001 en Madrid el 15 de febrero (España)
* Curso avanzado semipresencial en Seguridad Informática en la Universidad de Mondragón (España)
* Encuesta online sobre aplicaciones basadas en la localización para hacer check-ins a través del móvil del Grupo de Seguridad TI de UC3M (España)
* Seminario gratuito Wikileaks: el valor de la información organizado por la Cátedra UPM Applus+ el 30 de marzo en Madrid (España)
* Comienza hoy RootedLabs 2011, antesala de la RootedCON 2011 con todas
las entradas del aforo vendidas (España)
* Curso de Gobierno Corporativo de la Seguridad de la Información de ISMS Forum Spain en Madrid (España).
* Deadline 5 de marzo para CFP de cuarta edición del Workshops internacional Foundations & Practice of Security FPS 2011 en París (Francia)
* XI Congreso y Feria Interamericana de Seguridad de la Información SEGURINFO 2011 en Buenos Aires (Argentina)
* Ciberamenazas. Escenario 2010. Tendencias 2011. Conferencia UPM TASSI de D. Javier Candau de CCN-CERT el martes 1 (España)
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2011.htm#feb11

7. OTROS DATOS DE INTERÉS EN LA RED TEMÁTICA
* Número actual de miembros en la red: 863
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas del servidor: 33.877 visitas, con 112.182 páginas solicitadas y 33,05 GigaBytes servidos en febrero de 2011.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html
* Estadísticas intypedia: 11.410 reproducciones en febrero de 2011
http://www.criptored.upm.es/paginas/intypediamensual.htm

8. CIBSI 2011, Buracamanga, Colombia. Deadline para el envío papers: 15 de abril.
http://www.cibsi.upbbga.edu.co/


Jorge Ramió Aguirre
Director de CRIPTORED
http://www.criptored.upm.es/