jueves, 30 de junio de 2011

Actualización de seguridad para Google Chrome

Google ha publicado la versión 12.0.742.112 para su navegador Chrome, corrigiendo siete vulnerabilidades, y costando a la compañía un total de 6.000 dólares según su política de recompensas.

De las siete vulnerabilidades cinco han sido calificadas de gravedad alta y reportadas por "miaubiz", que se ha ganado 4.500 dólares. Otra vulnerabilidad de gravedad alta ha sido reportada por Aki Helin, que ha recibido 1.000 dólares por ella. La de gravedad gravedad media, con un coste de 1.000 dólares para Google, ha sido reportada por Philippe Arteau.

Los errores encontrados han sido diversos: En el manejador de cadenas NPAPI y fuentes SVG, en el intérprete de CSS y HTML, errores al usar memoria liberada en los elementos SVG y en la sección text y un error de límites en v8.

A estos errores se les han asignado sus CVE correspondientes, que van consecutivamente desde el CVE-2011-2345 hasta CVE-2011-2351.

Chrome se actualizará automáticamente en los equipos así configurados.


Jose Ignacio Palacios Ortega
jipalacios@hispasec.com


Más información:

Stable Channel Update
http://googlechromereleases.blogspot.com/2011/06/stable-channel-update_28.html

miércoles, 29 de junio de 2011

Actualizaciones de seguridad de Java para Apple Mac OS X

Apple ha lanzado nuevas actualizaciones de seguridad de Java para su sistema operativo Mac OS X versiones 10.5 y 10.6 que solventan diversas vulnerabilidades que podrían ser aprovechadas con diversos efectos.

Esta es la décima actualización de Java para Mac OS X 10.5 y la quinta para MAC OS X 10.6. Se han corregido hasta un total de 11 problemas en Java, que podrían llegar a permitir a un atacante evitar restricciones de seguridad, provocar denegaciones de servicio o comprometer los sistemas afectados.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

About the security content of Java for Mac OS X 10.6 Update 5
http://support.apple.com/kb/HT4738

About the security content of Java for Mac OS X 10.5 Update 10
http://support.apple.com/kb/HT4739

martes, 28 de junio de 2011

Borrado remoto de archivos a través de HP OpenView Performance Agent

Se ha anunciado una vulnerabilidad en HP OpenView Performance Agent (OVPA) que podría permitir a un atacante remoto borrar cualquier archivo de los sistemas monitorizados.

El problema reside en el agente de rendimiento de HP OpenView ("ovbbccb.exe") versiones 6.20.50.0 y anteriores. Esta herramienta que se instala localmente en cada servidor se encarga de recolectar información de rendimiento de recursos de diferentes plataformas y/o sistemas operativos.

Un atacante remoto podrá enviar una petición específicamente manipulada al puerto TCP 383 que puede provocar el borrado de cualquier archivo de su elección del sistema atacado, o de cualquier otro sistema monitorizado a través de rutas UNC (como "\\servidor\archivo.ext").


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Aviso original:
http://aluigi.altervista.org/adv/ovbbccb_1-adv.txt

lunes, 27 de junio de 2011

Vulnerabilidades de desbordamiento de buffer en Winamp

Se han anunciado diversas vulnerabilidades en Winamp (versiones 5.61 y anteriores), que podrían permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

Winamp es un reproductor multimedia gratuito muy extendido entre los usuarios de la plataforma Windows, por su popularidad, uso de pocos recursos para el sistema y por su fácil y sencilla interfaz gráfica, permitiendo personalizar ésta última.

Los problemas residen en diversos desbordamientos de búfer en el tratamiento de diferentes tipos de archivos y codecs. Se ven afectados los codecs On2 TrueMotion VP6, H.263 de archivos flv, nsvdec_vp5, nsvdec_vp6 y nsvdec_vp3, así como el tratamiento de ficheros IT y midi.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Avisos originales:
http://aluigi.altervista.org/adv/winamp_2-adv.txt
http://aluigi.altervista.org/adv/winamp_3-adv.txt

domingo, 26 de junio de 2011

Diversas vulnerabilidades en Asterisk

Se han anunciado tres problemas de seguridad en Asterisk que podrían permitir a un atacante remoto provocar condiciones de denegación de servicio.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los problemas reside en el tratamiento de paquetes SIP específicamente manipulados que contengan un null, que podría modificar las estructuras en memoria y provocar la caída del sistema. Otro problema relacionado con paquetes SIP con el signo menor ("<") puede provocar el acceso a un puntero nulo con la consiguiente caída de servicio.

El último problema reside en el envío inadvertido de direcciones de memoria a través de la red vía enlace IAX2, de forma que la parte remota podría acceder a ella.

Se han publicado actualizaciones para solucionar estos problemas con las versiones 1.4.41.1, 1.6.2.18.1, 1.8.4.3 y Business Edition C.3.7.3. Disponibles desde: http://www.asterisk.org/downloads


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Remote crash vulnerability in IAX2 channel driver
http://downloads.asterisk.org/pub/security/AST-2011-010.html

Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/pub/security/AST-2011-008.html

Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/pub/security/AST-2011-009.html

sábado, 25 de junio de 2011

Actualización de seguridad para Mac OS X

Apple ha publicado una actualización de seguridad para Mac OS X que corrige un total de 36 vulnerabilidades, de las que 29 podrían permitir a un atacante remoto ejecutar código arbitrario.

De los errores que corrige, según Apple, uno podría ser aprovechado por atacantes simplemente si la víctima visita con Safari una web especialmente manipulada. Ocho podrían ser explotados al leer un documento con un formato incorrecto (una imagen, un documento office, etc.), y otros cinco podrán ser explotados a través de ficheros reproducibles por Quick Time, entre otros errores.

La actualización de seguridad también prepara al sistema operativo para la próxima distribución de Mac OS X, que se denominará "Lion". Estará disponible en julio por 30 dólares a través del AppStore.

Por último, la actualización añade 12 firmas a Xprotect para identificar distintas variantes de Macdefender, un rogueware para Mac que ha infectado a un importante número de usuarios de Mac desde que apareció a finales de mayo.


José Ignacio Palacios Ortega
jipalacios@hispasec.com


Más información:

About the Mac OS X v10.6.8 Update
http://support.apple.com/kb/HT4561

viernes, 24 de junio de 2011

Lulzsec: la botella medio llena

A principios de julio de 2003, el grupo Last Stage of Delirium (LSD) reporta de forma privada a Microsoft un fallo de seguridad. El 16 de ese mismo mes, Microsoft publica el boletín MS03-026 que lo soluciona. El día 25 el grupo chino XFocus hace pública, tras estudiar el parche, una prueba de concepto que permite aprovechar la vulnerabilidad. El 11 de agosto saltan todas las alarmas: se detectan las primeras apariciones del fatídico Blaster. El estudiante Jeffrey Lee Parson lo modifica ligeramente y crea Blaster B.

Blaster oscurece el verano de 2003. La plaga cobra dimensiones desproporcionadas. En verano de 2004 aparece el Service Pack 2. Es el que más modificaciones realiza sobre el sistema, se trata prácticamente
de una actualización de versión de sistema operativo. La seguridad de XP mejora considerablemente. El cortafuegos se activa por defecto, y se renombra a Windows Firewall (antes era llamado "Internet Connection Firewall" deshabilitado por defecto y escondido en unas opciones de configuración a las que el usuario medio no solía llegar). La interfaz se hace más amigable. Pocos años después, los gusanos tipo Blaster (que se conectaban a un puerto para aprovechar fallos y abrían otro para abrir puertas traseras) desaparecían prácticamente.

Otro ejemplo

A finales de 2008 aparece el sofisticado y misterioso gusano Conficker. El gusano aprovechaba como ningún otro el autorun.inf de Windows, poniendo en jaque a Microsoft y a las casas antivirus. Encuentra la
forma de ofuscar el contenido de manera que pasara desapercibido para los motores antivirus. También consigue saltarse la protección del Autorun propia de Microsoft. Conficker además consigue engañar a muchos usuarios modificando el diálogo de Autoplay. Desde entonces, Microsoft introduce con cuentagotas una serie de limitaciones (tímidas y opcionales) a esta funcionalidad. Finalmente, en marzo de 2011 publica
como actualización automática el parche que deshabilita el Autoplay en dispositivos USB en todos sus Windows. Aunque siempre fue un problema de seguridad, este movimiento fue una respuesta acelerada por Conficker. No mucho después de la desactivación, un reciente informe de Microsoft afirma que las infecciones por gusanos que usan este tipo de método de reproducción ha caído un 82%.

Mejoras en la seguridad

Sin duda Blaster y Conficker fueron fenómenos excesivos, con desagradables consecuencias, que tuvieron mucho que ver con la activación por defecto del cortafuegos y desaparición del Autorun. Espolearon a los responsables y mejoraron la seguridad, en definitiva. Microsoft ha tenido un miedo ancestral a romper la compatibilidad hacia atrás, y las modificaciones se introducían con cuentagotas. Necesitó que ocurrieran ciertas "desgracias" para que dar el paso definitivo. Y en realidad, el trauma no fue para tanto. Hoy los usuarios conviven con el cortafuegos por defecto activado (sólo el entrante... al saliente creo que nunca se activará por defecto) y sin Autorun... y se sobrevive.

¿Qué tiene que ver con LulzSec?

Como mencionábamos en un boletín anterior, es posible que en ocasiones acciones extremistas como las de LulzSec allanen el terreno a legisladores para recortar derechos. Pero también puede que, viendo la botella medio llena, salidas de tono de este tipo, ayuden en realidad a acelerar un cambio, una ruptura. Si concienciar a las empresas es complejo (siempre bajo el yugo de presupuestos y estudios de riesgo), los usuarios también deben pensar en qué están haciendo hoy en día con sus datos, cada vez más en la nube y menos en su escritorio. Si pensábamos que nuestras fotos podían ser accedidas por atacantes mientras se almacenaban en local, los sucesos de 2011 nos han mostrado que "ahí fuera" tampoco están tan seguros. Los datos de millones de usuarios alojados en cualquier empresa también pueden ser accedidos, y son un objetivo más jugoso. ¿Nos hemos detenido a pensar qué ocurriría si alguien tuviese acceso a todos nuestros archivos de Dropbox? ¿A todos nuestros correos almacenados desde hace años en Gmail? Pues esto ya ha ocurrido. ¿Y si algún día vulneran Facebook y crean un Torrent público con datos y fotografías privados? Los propios LulzSec lo expresaban así:

> > > > > > > > > > >


"El mayor argumento en contra de LulzSec sugiere que vamos a traer a Internet más leyes si continuamos con nuestras travesuras, y que  nuestras acciones hacen que payasos con plumas escriban reglas para ti. Pero ¿y si no hubiésemos publicado nada? ¿Y si nos mantuviésemos en silencio? Eso significaría que estaríamos secretamente dentro de  empresas afiliadas al FBI ahora mismo, dentro de PBS, de Sony...  vigilando y abusando."

"¿Crees que cada hacker anuncia todo lo que ha hackeado? Sin duda nosotros no lo hemos hecho, y estamos condenadamente seguros de que otros "juegan" en silencio. ¿Os sentís seguros con vuestras cuentas de Facebook, de Gmail, de Skype? ¿Qué os hace pensar que un hacker no está sentado ahora mismo dentro de esas cuentas ahora, vendiendo datos? Eres un peón para esa gente. Un juguete. Una cadena de caracteres con un valor."

"De esto es de lo que tendrías que tener miedo, no de nosotros publicando cosas, sino del hecho de que alguien lo haga público."

< < < < < < < < < < <

Viendo la botella medio llena, quizás esta filosofía extremista, esta orgía de revelación de cuentas y secretos, sirva para que los usuarios se conciencien de la importancia de sus propios datos personales, de lo
peligroso que es confiarlos a terceros sin tomar medidas, y de esta forma se produzca un cambio. Quizás estos días de LulzSec o de "sensación general de inseguridad" ayuden a, por fin, activar "nuestro"
cortafuegos por defecto.



Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv

José Mesa
jmesa@hispasec.com


Más información:

1000th tweet press release.txt
http://lulzsecurity.com/releases/1000th_tweet_press_release.txt

Autorun-abusing malware (Where are they now?)
http://blogs.technet.com/b/mmpc/archive/2011/06/14/autorun-abusing-malware-where-are-they-now.aspx

Pechos descubiertos y Lulzsec
http://www.hispasec.com/unaaldia/4621/pechos-descubiertos-lulzsec

Una al día cumple 12 años.
http://www.hispasec.com/uad/

jueves, 23 de junio de 2011

BitCoin: pronósticos cumplidos

Hace apenas una semana hablamos sobre BitCoin, el dinero virtual utilizado al margen de reguladores y autoridades, y barajamos algunos métodos "menos éticos" que podrían utilizarse para engordar el monedero. A día de hoy todos los pronósticos se han cumplido, tal y como era previsible.

Hipótesis (1):

"Sustracción directa del monedero virtual de usuarios legítimos, el 'wallet.dat', donde se encuentra la llave privada del usuario que facilita operar con su dinero."

Unas horas después de publicarse nuestra noticia, localicé un troyano que hacía precisamente eso, e hice un par de comentarios en Twitter:

https://twitter.com/#!/bquintero/status/81148103675215872
https://twitter.com/#!/bquintero/status/81282998372274176

Al día siguiente, a raíz de esos comentarios, Symantec publicaría un post en su blog sobre el troyano que, finalmente, obtuvo cierta repercusión mediática:

http://www.symantec.com/connect/blogs/all-your-bitcoins-are-ours
http://www.wired.com/threatlevel/2011/06/bitcoin-malware/


* Hipótesis (2):

"Existe otra vía que consistiría en poner a "minar" ordenadores de terceros para generar tu dinero, por ejemplo, si eres administrador de una red corporativa podrías utilizar servidores y estaciones de trabajo de la red."

Hoy saltaba a la luz el expediente abierto a un administrador de sistemas de ABC Innovation por un caso grave de mala conducta. El trabajador es acusado de usar los servidores y sistemas de la empresa para "minar" bitcoins: http://bit.ly/iWVP6p


* Hipótesis (3):

"También se podría hacer de forma distribuida y masiva por Internet aprovechando sistemas infectados, vía una botnet. De hecho, ya existen algunas versiones del software original diseñadas para ejecutarse de forma oculta y aprovechar los ciclos ociosos de los ordenadores para no levantar sospechas."

De nuevo detectamos un malware diseñado a tal efecto, también anunciado por Twitter:
https://twitter.com/#!/bquintero/status/83587807922241536
https://twitter.com/#!/bquintero/status/83590803255074817
https://twitter.com/#!/bquintero/status/83592020404338688

A raíz de estos casos hemos detectado más muestras similares, incluyendo droppers que instalan y ejecutan de forma oculta el demonio oficial "bitcoind.exe" y variantes muy similares, por lo que nos reiteramos en nuestro consejo original:

"ya existen algunas versiones del software original diseñadas para ejecutarse de forma oculta y aprovechar los ciclos ociosos de los ordenadores para no levantar sospechas.[...] En mi opinión, dadas las circunstancias, no estaría de más que fueran detectadas bajo la categoría de PUA (Potentially Unwanted Application) o similar, de
forma que los administradores y usuarios particulares tuvieran la
opción de identificar este tipo de software instalado en sus máquinas."

De momento, Symantec ha sido el único motor antivirus que ha seguido la recomendación:
http://bit.ly/j7nNQH


Bernardo Quintero
bernardo@hispasec.com


Más información:


BitCoin: fabricando dinero digital ¿a costa de terceros?
http://www.hispasec.com/unaaldia/4618/bitcoin-fabricando-dinero-digital-costa-terceros

miércoles, 22 de junio de 2011

Boletines de seguridad de la Fundación Mozilla

La Fundación Mozilla ha publicado diez boletines de seguridad (del MFSA2011-19 al MFSA2011-28) para solucionar 17 vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey).

Según la propia clasificación de Mozilla seis de los boletines presentan un nivel de gravedad "crítico", tres son de carácter "moderado" y un último considerado como "bajo".

Los boletines publicados son:

* MFSA 2011-19: Boletín crítico, que corrige cinco problemas de seguridad de la memoria en el motor del navegador.

* MFSA 2011-20: Considerado crítico. Resuelve un problema al visualizar documentos XUL con JavaScript desactivado.

* MFSA 2011-21: Boletín de carácter crítico, por un problema de memoria en imágenes multipart/x-mixed-replace.

* MFSA 2011-22: Boletín crítico, por una vulnerabilidad de desbordamiento de entero en Array.reduceRight() que puede permitir la ejecución arbitraria de código.

* MFSA 2011-23: Tres vulnerabilidades crítica en el tratamiento de punteros.

* MFSA 2011-24: Boletín de gravedad moderada por un problema en el aislamiento de cookies.

* MFSA 2011-25: Vulnerabilidades moderada que permite la carga de imágenes como texturas WebGL desde diferentes dominios.

* MFSA 2011-26: De gravedad crítica, dos vulnerabilidades en WebGL.

* MFSA 2011-27: Boletín de carácter moderado que resuelve un problema de cross-site scripting.

* MFSA 2011-28: Boletín de gravedad baja, que corrige un problema con que sitios no incluidos en la lista blanca pueden ofrecer cuadros de instalación de temas y add-ons.

Los problemas se han corregido en las versiones 5, 3.6.18 del navegador Firefox y en la versión 3.1.11 de Thunderbird, disponibles desde:

http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/


Antonio Ropero
antonior@hispasec.com
Twitter: http://www.twitter.com/aropero


Más información:

MFSA 2011-28 Non-whitelisted site can trigger xpinstall
http://www.mozilla.org/security/announce/2011/mfsa2011-28.html

MFSA 2011-27 XSS encoding hazard with inline SVG
http://www.mozilla.org/security/announce/2011/mfsa2011-27.html

MFSA 2011-26 Multiple WebGL crashes
http://www.mozilla.org/security/announce/2011/mfsa2011-26.html

MFSA 2011-25 Stealing of cross-domain images using WebGL textures
http://www.mozilla.org/security/announce/2011/mfsa2011-25.html

MFSA 2011-24 Cookie isolation error
http://www.mozilla.org/security/announce/2011/mfsa2011-24.html

MFSA 2011-23 Multiple dangling pointer vulnerabilities
http://www.mozilla.org/security/announce/2011/mfsa2011-23.html

MFSA 2011-22 Integer overflow and arbitrary code execution in Array.reduceRight()
http://www.mozilla.org/security/announce/2011/mfsa2011-22.html

MFSA 2011-21 Memory corruption due to multipart/x-mixed-replace images
http://www.mozilla.org/security/announce/2011/mfsa2011-21.html

MFSA 2011-20 Use-after-free vulnerability when viewing XUL document with script disabled
http://www.mozilla.org/security/announce/2011/mfsa2011-20.html

MFSA 2011-19 Miscellaneous memory safety hazards (rv:3.0/1.9.2.18)
http://www.mozilla.org/security/announce/2011/mfsa2011-19.html

martes, 21 de junio de 2011

Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico

Presentamos una nueva muestra "ransomware", con la particularidad de que suplanta la imagen de la policía española. Llama la atención la forma tan elaborada de conseguirlo. Hemos realizado un vídeo demostración. Intenta que el usuario pague 100 euros por recuperar su equipo, acusándolo de almacenar contenido pedófilo, zoofílico y de enviar spam a favor del terrorismo.

El troyano ha sido denominado por algunas casas antivirus como Trojan-Ransom.Win32.Chameleon.mw. En estos momentos, es detectado por firmas por solo 9 motores en VirusTotal. Aunque ayer mismo, cuando llegó por primera vez, era solo detectada de forma genérica, por un motor. No es técnicamente novedoso, ni siquiera en su planteamiento, puesto que ya hablamos en ocasiones anteriores de varios secuestradores del sistema que impedían el uso del ordenador culpando al usuario de haber realizado actos ilegales. Lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando. En nombre de la policía nacional, le acusa de:

"Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."



La imagen que utiliza es la de la policía nacional española, aunque se ha visto unos días atrás un troyano de la misma familia que hacía alusión a la legislación alemana. De hecho, si se observa la imagen, se puede comprobar que se les ha escapado el texto la frase "policía alemana". El procedimiento es el habitual. El troyano se ejecuta cada vez que se inicia sesión y no permite utilizar el sistema a no ser que se pague.

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Se puede acudir a cajeros automáticos de ciertas entidades, por ejemplo, y conseguir códigos que pueden valer entre 10 y 500 euros. Y además muestra logos de reputados bancos y casas antivirus para ganar credibilidad, pero ni la policía ni las empresas tienen nada que ver en el fraude, evidentemente, solo que soportan este tipo de pagos. En el
aspecto técnico, es interesante destacar que no es sencillo eludir la pantalla de bloqueo del troyano, puesto que impide arrancar el administrador de tareas.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:20 minutos).



Curiosidades:

* Se puede escapar del troyano cambiando de usuario. Pero los usuarios con XP tienen más complicado zafarse. XP lanza por defecto directamente el administrador de tareas cuando se pulsa CTRL+ALT+SUP, pero el programa no llega a mostrarlo. Así que no se puede ni cambiar de usuario ni matar la tarea. En Vista y 7, sin embargo, se lanza la pantalla de presentación que muestra las opciones de bloquear la sesión, cambiar la contraseña, etc. Esta sí va a permitir cambiar de usuario y matar la tarea. Obviamente, hay que haber creado dos usuarios definidos.

* Comprueba la dirección IP, el user agent del navegador y el país de la IP y los muestra en pantalla para ganar credibilidad. Lo toma del servicio http://tools.ip2location.com/ib2/.

* Utiliza el logotipo oficial del cuerpo nacional de policía.

* El trabajo de traducción y la redacción son muy malas.

* El troyano se ejecuta en el comienzo de cada sesión gracias a la clave
creada en:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv


Más información:

http://www.virustotal.com/file-scan/report.html?id=ef6980603136ffa42aebd6b9bfa864fe5223fa09c505bd80b386ee253a979aa7-1308643658

Vídeo: Troyano "Dot-Torrent" aprovecha el miedo a las descargas "ilegales"
http://www.hispasec.com/unaaldia/4301

lunes, 20 de junio de 2011

Cross-Site Request Forgery en IBM WebSphere Application Server

Se ha reportado una vulnerabilidad en IBM WebSphere Application Server que podría permitir a un atacante remoto forzar a un administrador realizar acciones no deseadas en la consola de administración.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Afecta a IBM WebSphere Application Server versiones 7.0.0.11 y 7.0.0.13, posiblemente versiones anteriores también se vean afectadas.

La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios cruzados. Este ataque podría emplearse por atacantes remotos para realizar acciones no autorizadas sobre la consola de administración, engañando o forzando al administrador a visitar una página web maliciosa.

IBM planea publicar una actualización para corregir esta vulnerabilidad en el tercer cuatrimestre del año. Como contramedidas de acuerdo a la OWASP este tipo de vulnerabilidades pueden evitarse, entre otras formas, comprobando la cabecera "referer" de las peticiones http.


Antonio Ropero
antonior@hispasec.com
Twitter: http://www.twitter.com/aropero


Más información:

IBM WebSphere Application Server Cross-Site Request Forgery
http://www.coresecurity.com/content/IBM-WebSphere-CSRF

Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet

domingo, 19 de junio de 2011

Pechos descubiertos y Lulzsec

El 2 de febrero de 2004, durante el intermedio de la Super Bowl, Justin Timberlake baila junto a Janet Jackson ante más de 100 millones de espectadores. Justin, en un supuesto movimiento "casual", arranca una parte del traje (oportunamente sujeta con velcro) a Janet, que deja ver uno de sus pechos. El teatrillo permite que se vea un pezón unos segundos antes de que sea ocultado con las manos.

Consecuencias

El incidente de 2004 con los pechos de Janet sirvió como excusa ¿perfecta? para modificar las emisiones en directo. Si se habían visto unas tetas por la tele, ¿quién sabe de qué otras terribles situaciones debían protegernos las televisiones? Desde entonces, muchas retransmisiones para todo el mundo dejaron de emitirse totalmente en directo, para incluir unos minutos de retraso suficientes para poder censurar actos espontáneos. Adiós al factor sorpresa de las reivindicaciones en grandes acontecimientos. Objetivo cumplido gracias a un montaje absurdo.

¿Qué tiene que ver esto con la seguridad?

Probablemente nada, quizás mezcle situaciones dispares sin motivo. Simplemente me ha recordado un poco a lo que estamos viviendo estos días en el mundo de la seguridad con "fenómenos" como Lulzsec.

Lulzsec desde el puro gamberrismo y descaro, es un grupo que lleva unas semanas en boca de todos. Robaron datos personales de una de las páginas oficiales de Sony, entraron en los servidores de Nintendo, consiguieron contraseñas de una compañía de seguridad vinculada al FBI... una de sus últimas hazañas ha sido publicar, sin motivo aparente, las contraseñas de cuentas de correo de 62.000 usuarios de Yahoo, Hotmail y Gmail. Sus objetivos son arbitrarios y su razón... la pura diversión.

Este juego irreverente y su ostentada "irresponsabilidad", puede tener una grave consecuencia indeseada, al igual que la pequeña "broma" que los lobbies de la comunicación montaron con Janet Jackson (aunque lo de Lulzsec no sea un montaje): puede servir de excusa para que se apliquen leyes más restrictivas en Internet y así protegernos de esta banda que "anda suelta", "sin control" y para la que "cualquiera" es objetivo. Además, si a esto unimos la oleada de ataques APT (Advanced Persistent Threat), una especie de cajón desastre donde se han refugiado muchas de las víctimas de la avalancha de ataques a gran escala y objetivos "jugosos" que hemos sufrido en 2011, la sensación de inseguridad general aumenta.

Así que alguien puede estar esperando el momento oportuno para hacer campaña, y querer proteger a todos esos pobres usuarios que pueden ser objetivo potencial de Lulzsec, o detener de una vez la sangría de grandes compañías que sufren APT... Y como todos sabemos, a veces nos ofrecen una "mayor" seguridad a cambio de que los ciudadanos sacrifiquemos un poco nuestra libertad o derechos. De esta forma será más sencillo digerir lo que probablemente se convierta en un control más estricto de todos los internautas. Esperemos que como ocurrió con la teta de Janet, estos incidentes no les abonen el terreno.


Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv

sábado, 18 de junio de 2011

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de seguridad de junio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS11-050) de una actualización acumulativa para Internet Explorer 6, 7, 8 y 9; que además solventa once nuevas vulnerabilidades.

Ocho de las vulnerabilidades corregidas residen en errores de desbordamiento de memoria al acceder a objetos no inicializados o borrados en Internet Explorer. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada. Los otros tres problemas pueden permitir a un atacante obtener información sensible a través de una pagina web especialmente manipulada.

Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/spain/technet/security/bulletin/MS11-050.mspx


Antonio Ropero
antonior@hispasec.com
Twitter: http://www.twitter.com/aropero


Más información:

Boletín de seguridad de Microsoft MS11-050 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (2530548)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-050.mspx

viernes, 17 de junio de 2011

Múltiples vulnerabilidades en Productos Adobe

Adobe ha publicado una serie de boletines de seguridad para solucionar diversas vulnerabilidades en sus productos (Acrobat Reader, Flash player, Coldfusion...), entre ellos, un parche para solucionar un fallo en Flash que está siendo aprovechado en estos momentos por atacantes para instalar malware.

Según la propia clasificación de Adobe, los boletines presentan un nivel de gravedad "crítico" por lo que recomienda la inmediata aplicación de las correspondientes actualizaciones. Además, el día de publicación y consiguiente parcheo, se une al de Microsoft, que el mismo día publicó 16 boletines para corregir 34 vulnerabilidades.

Los boletines publicados son:

* APSB11-14: Corrige dos vulnerabilidades en Coldfusion.

* APSB11-15: Corrige dos vulnerabilidades en LiveCycle Data Services, LiveCycle ES y BlazeDS

* APSB11-16: Boletín de gravedad crítica. Corrige 13 vulnerabilidades destacando principalmente la ejecución de código. Algunos fallos solo afectan a la versión X, y ya fueron corregidas anteriormente en versiones anteriores.

* APSB11-17: Boletín de gravedad crítica. Corrige 24 fallos de seguridad en Shockwave

* APSB11-18: Boletín de gravedad crítica. Corrige un fallo de seguridad en Flash Player. Este boletín aparece solo 9 días después de otro boletín que corregía otros fallos de seguridad críticos en Flash. La versión de Android del parche tendrá que esperar a finales de esta semana.

Las actualizaciones están disponibles desde:
http://get.adobe.com/flashplayer/


Borja Luaces
bluaces@hispasec.com


Más información:

Security update available for LiveCycle Data Services, LiveCycle ES, and BlazeDS
http://www.adobe.com/support/security/bulletins/apsb11-15.html

Security update: Hotfix available for ColdFusion
http://www.adobe.com/support/security/bulletins/apsb11-14.html

Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb11-16.html

Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb11-18.html

Security update available for Adobe Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb11-17.html

jueves, 16 de junio de 2011

BitCoin: fabricando dinero digital ¿a costa de terceros?

¿Sabías que tu ordenador puede, literalmente, producir dinero? Dinero virtual, para ser utilizado directamente y de forma anónima en Internet al margen de la regulación de gobiernos y entidades financieras tradicionales. Además, se puede convertir en dinero contante y sonante, gracias a los servicios de cambio de moneda que aceptan BitCoin. En el momento de escribir estas líneas la cotización era de 15 euros por 1 bitcoin.

BitCoin es una moneda electrónica descentralizada, basada en criptografía asimétrica, que reside en una plataforma distribuida P2P. Concebida y desarrollada como proyecto open source por Satoshi Nakamoto en 2009, se caracteriza por facilitar las transacciones por Internet sin intermediarios. BitCoin no está controlada por ninguna autoridad central y su diseño, gracias a la criptografía, garantiza aspectos básicos como la irreversibilidad, no falsificación y no reutilización de las transacciones.

Lo que en sus inicios fue visto como una prueba de concepto ahora comienza a ser aceptado por comercios online, mientras que los servicios de intercambio de moneda que trabajan con la moneda virtual están moviendo millones mensualmente. Prueba del éxito de BitCoin es que varios senadores estadounidenses ya han solicitado que se actúe contra esta nueva moneda, asociándola con el mercado negro y la compra de drogas online. Además, organizaciones como WikiLeaks han incorporado BitCoin como método de donación para evitar los bloqueos gubernamentales.

Al margen de injerencias políticas y el propio diseño de BitCoin, muy interesante, destaca el método de producción y distribución de la moneda. El sistema está concebido para que al final exista en el mercado un número determinado de bitcoins, en concreto 21 millones, hasta la fecha se han repartido más de 6 millones, por lo que aun quedan algo más de 14 millones por asignar. ¿Quién decide y reparte los bitcoins? Nadie, cualquiera los puede generar, o mejor dicho captar, en un proceso que se denomina "minar". La red distribuida crea y distribuye lotes de bitcoins de forma aleatoria a los usuarios que estén ejecutando el software en modo "generar bitcoins", estos lotes incluyen una especie de desafío criptográfico, que se resuelve en función de la capacidad de proceso del ordenador. Es decir, mientras más potente sea el ordenador, más posibilidades de ganar bitcoins.

A día de hoy existen auténticos profesionales en el campo de la "minería" que han construido granjas dedicadas a generar bitcoins, ver por ejemplo: http://www.youtube.com/watch?v=eLt8Se3vVNg. Para aquellos interesados en iniciarse en este terreno, recordarles que en este trabajo rinden mejor las GPUs que las CPUs, y que también deberían hacer cálculos del consumo para encontrar la configuración más óptima.

¿Cual es la "otra" forma de conseguir bitcoins? Por un lado estaría la sustracción directa del monedero virtual de usuarios legítimos, el "wallet.dat", donde se encuentra la llave privada del usuario que facilita operar con su dinero. Existe otra vía que consistiría en poner a "minar" ordenadores de terceros para generar tu dinero, por ejemplo, si eres administrador de una red corporativa podrías utilizar servidores y estaciones de trabajo de la red. También se podría hacer de forma distribuida y masiva por Internet aprovechando sistemas infectados, vía una botnet. De hecho, ya existen algunas versiones del software original diseñadas para ejecutarse de forma oculta y aprovechar los ciclos ociosos de los ordenadores para no levantar sospechas.

Hasta la fecha ninguno de los 42 motores antivirus de VirusTotal detectan estas versiones "especiales" del software cliente de BitCoin. En mi opinión, dadas las circunstancias, no estaría de más que fueran detectadas bajo la categoría de PUA (Potentially Unwanted Application) o similar, de forma que los administradores y usuarios particulares tuvieran la opción de identificar este tipo de software instalado en sus máquinas.


Bernardo Quintero
bernardo@hispasec.com


Más información:

BitCoin
http://www.bitcoin.org/

BitCoin (es.Wikipedia.org)
http://es.wikipedia.org/wiki/Bitcoin

BitCoin Chat Markets
http://bitcoincharts.com/markets/

BitCoin Exchange
https://mtgox.com/

BitCoin Market
https://www.bitcoinmarket.com/

WikiLeaks Asks For Anonymous Bitcoin Donations
http://blogs.forbes.com/andygreenberg/2011/06/14/wikileaks-asks-for-anonymous-bitcoin-donations/

U.S. Senators Want to Shut Down Bitcoins, Currency of Internet Drug Trade
http://www.pcworld.com/article/230084/us_senators_want_to_shut_down_bitcoins_currency_of_internet_drug_trade.html

miércoles, 15 de junio de 2011

Malware para Mac. Vamos a contar mentiras (y III)

En la anterior entrega dábamos algunos ejemplos de malas prácticas publicitarias de Apple y posibles razones por las que se ha llegado a una situación complicada en la que cuesta librarse de ciertos estigmas. Nos centramos en esta entrega en lo que ha ocurrido últimamente con el malware para Mac.

Todo ha empezado con MacDefender, un rogueware específicamente diseñado para Mac. Como de costumbre, iba disfrazado de programa de seguridad y contaba con rápidas variantes basadas en el mismo principio como MacSecurity y MacProtector. MacGuard, su última mutación, no pedía contraseña de administrador para instalarse. Este es un movimiento inteligente. El rogueware vive de chantajear al usuario para hacerle creer que debe pagar por un programa. La actividad en el sistema se limita habitualmente a insistir (o sea, molestar con alertas falsas y recordatorios) para conseguir que el usuario pague. La víctima no tiene por qué ser administrador en el sistema para conseguir eso.

No sabemos cuánto dinero han ganado los atacantes con esta campaña, pero quizás haya sido exitosa por varias razones.

* VirusTotal: Las muestras de MacDefender llegadas a nuestra base de datos se dispararon durante el mes de mayo, con un número mayor que otras muestras para Mac "habituales".

* Han utilizado Black SEO. Los atacantes han difundido el malware usando técnicas de posicionamiento en Google, habitualmente utilizadas para esparcir malware "típico" para Windows. Esto son los mismos recursos invertidos que en ligas mayores.

* Han aparecido numerosas y mejoradas variantes en un corto espacio de tiempo, lo que indica que los atacantes están al día, trabajando en solucionar los problemas de detección y mejorando su producto.

* Al parecer AppleCare en Estados Unidos, el centro de ayuda al usuario de Mac, se vio desbordado durante días por las llamadas de miles de usuarios consultando o pidiendo ayuda para desinfectar MacDefender. Parece que la política de empresa impedía a los operadores ayudar a los usuarios, previendo que esto les animara a llamar de nuevo cuando sufrieran otra infección.

* Alerta de Apple. Como decíamos en la entrega anterior, en su página web oficial, Apple afirma orgulloso que una de las ventajas de su sistema operativo es que no es atacado por los "virus para PC". A Apple seguro que no le hizo demasiada gracia tener que publicar un anuncio oficial sobre cómo eliminar MacDefender, un "virus para Mac". Su explicación hablaba de una "estafa de phishing" (sic.) para redirigir al usuario a la descarga del malware. Se daban además instrucciones de cómo eliminar el programa de forma manual (puesto que no "infectaba" el sistema ni contaminaba sus archivos legítimos, esto es viable) y además se comprometían a publicar una actualización para eliminarlo. Nunca había realizado un anuncio de este tipo, incluso cuando los DNSChangers estaban muy de moda en 2007.

* xProtect: Se introdujo en septiembre de 2009. Se trata de un rudimentario sistema "antivirus". Tan rudimentario que reconocía cuando apareció solo dos familias que solían atacar al sistema operativo de Apple y solo comprobaba ciertas descargas. En junio de 2010 incluyó otra firma para detectar HellRTS. No limpia el sistema ni nada parecido, solo aconseja de la peligrosidad del archivo. Fue un movimiento que causó sorna entre la industria, pero en aquel momento parecía un gesto positivo, puesto que Apple asumía por fin el malware como uno de los potenciales frentes que debía combatir. Pero más de un año después el panorama no ha cambiado demasiado. Apple incluyó la "firma" de una de las variantes de MacDefender y los atacantes consiguieron eludirlo sin problema alguno. Acostumbrados a programar complejas mutaciones que complican las detecciones en el mundo Windows, eludir xProtect es un juego de niños.

Cabe destacar que Apple se ha guardado mucho en esta ocasión de recomendar abiertamente un antivirus. Cuando a final de 2008, se propagó (luego se demostraría que el mensaje era más antiguo) la noticia de que Apple escribió (y luego borró) en su web: "Apple encourages the widespread use of multiple antivirus utilities so that virus programmers have more than one application to circumvent, thus making the whole virus writing process more difficult".

Los propios usuarios de Mac OS se le echaron encima y recibió duras críticas, a pesar de lo genérico y diluido del mensaje. Era como despertarlos de un sueño y un jarro de agua fría. Durante algunas semanas, hubo que leer una vez más despropósitos y bulos sobre el malware para Mac como los mencionados en entregas anteriores. Apple pagaba el precio de una publicidad históricamente "ambigua" sobre los virus, jugándose ella misma una encerrona.

Lo cierto es que Apple debe aprender a gestionar estos casos de forma más honesta desde el punto de vista del compromiso con sus clientes y eficaz desde el punto de vista técnico. Sería una pena que no aprovechara la experiencia adquirida en estos campos por el resto de la comunidad. Si no actúa de forma responsable y tajante contra un problema que, vaya a más o no, es una realidad, Apple tropezará con todas y cada una de las piedras con las que se ha topado la industria de la seguridad desde hace años, y sufrirá las mismas heridas que todavía arrastra este negocio.


Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv


Más información:

An AppleCare support rep talks: Mac malware is "getting worse"
http://www.zdnet.com/blog/bott/an-applecare-support-rep-talks-mac-malware-is-getting-worse/3342

How to avoid or remove Mac Defender malware
http://support.apple.com/kb/HT4650

una-al-dia (28/05/2011) Malware para Mac. Vamos a contar mentiras (I)
http://www.hispasec.com/unaaldia/4599

una-al-dia (29/05/2011) Malware para Mac. Vamos a contar mentiras (II)
http://www.hispasec.com/unaaldia/4600

martes, 14 de junio de 2011

Boletines de seguridad de Microsoft en junio

Tal y como adelantamos, este martes Microsoft ha publicado 16 boletines de seguridad (del MS11-037 y el MS11-052) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft nueve boletines presentan un nivel de gravedad "crítico", mientras que los siete restantes se clasifican como "importantes". En total se han resuelto 34 vulnerabilidades.

Aunque parecido en volumen de boletines al que Microsoft publicó en abril, no se acerca al número de vulnerabilidades que se corrigieron entonces: 64 vulnerabilidades en 17 boletines en abril, y 34 repartidas en 16 boletines en esta ocasión. Por otra parte, no deja de ser una de las ocasiones en que más boletines se han publicado.

Los boletines críticos, corrigen vulnerabilidades de ejecución remota de código en OLE Automation, Internet Explorer, en .NET Framework, en Microsoft Silverlight, en el cliente Threat Management Gateway Firewall, en los drivers modo-kernel de Windows, en Distributed File System (DFS), en el cliente SMB y en la implementación VML (Vector Markup Language).

Los boletines importantes resuelven problemas de elevación de privilegios, obtención de información sensible, de denegación de servicio y de ejecución remota de código. Afectas a Microsoft Excel, al tratamiento del protocolo MHTML, a Ancillary Function Driver (AFD), a Windows Server 2008 Hyper-V, al servidor SMB, al editor XML y al Active Directory Certificate Services Web Enrollment.

Como es habitual, también se ha publicado una actualización para la
herramienta Microsoft Windows Malicious Software Removal Tool.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com
http://www.twitter.com/aropero


Más información:

Microsoft Security Bulletin Summary for April 2011
http://www.microsoft.com/technet/security/bulletin/ms11-jun.mspx

Vulnerability in MHTML Could Allow Information Disclosure (2544893)
http://www.microsoft.com/technet/security/Bulletin/MS11-037.mspx

Vulnerability in OLE Automation Could Allow Remote Code Execution (2476490)
http://www.microsoft.com/technet/security/Bulletin/MS11-038.mspx

Vulnerability in .NET Framework and Microsoft Silverlight Could Allow Remote Code Execution (2514842)
http://www.microsoft.com/technet/security/Bulletin/MS11-039.mspx

Vulnerability in Threat Management Gateway Firewall Client Could Allow Remote Code Execution (2520426)
http://www.microsoft.com/technet/security/Bulletin/MS11-040.mspx

Vulnerability in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2525694)
http://www.microsoft.com/technet/security/Bulletin/MS11-041.mspx

Vulnerabilities in Distributed File System Could Allow Remote Code Execution (2535512)
http://www.microsoft.com/technet/security/Bulletin/MS11-042.mspx

Vulnerability in SMB Client Could Allow Remote Code Execution (2536276)
http://www.microsoft.com/technet/security/Bulletin/MS11-043.mspx

Vulnerability in .NET Framework Could Allow Remote Code Execution (2538814)
http://www.microsoft.com/technet/security/Bulletin/MS11-044.mspx

Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2537146)
http://www.microsoft.com/technet/security/Bulletin/MS11-045.mspx

Vulnerability in Ancillary Function Driver Could Allow Elevation of Privilege (2503665)
http://www.microsoft.com/technet/security/Bulletin/MS11-046.mspx

Vulnerability in Hyper-V Could Allow Denial of Service (2525835)
http://www.microsoft.com/technet/security/Bulletin/MS11-047.mspx

Vulnerability in SMB Server Could Allow Denial of Service (2536275)
http://www.microsoft.com/technet/security/Bulletin/MS11-048.mspx

Vulnerability in the Microsoft XML Editor Could Allow Information Disclosure (2543893)
http://www.microsoft.com/technet/security/Bulletin/MS11-049.mspx

Cumulative Security Update for Internet Explorer (2530548)
http://www.microsoft.com/technet/security/Bulletin/MS11-050.mspx

Vulnerability in Active Directory Certificate Services Web Enrollment Could Allow Elevation of Privilege (2518295)
http://www.microsoft.com/technet/security/Bulletin/MS11-051.mspx

Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2544521)
http://www.microsoft.com/technet/security/Bulletin/MS11-052.mspx

lunes, 13 de junio de 2011

Hispasec participa en el IV Curso de Verano de Seguridad y Auditoría Informática en la UEM

Por cuarto año consecutivo se va a celebrar, durante los días 28, 29 y 30 de junio, el Curso de Verano de Seguridad y Auditoría Informática, de nuevo, en la Universidad Europea de Madrid.

El Curso está dentro del marco de actividades del Master Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones, de la Universidad Europea de Madrid. Sergio de los Santos participará con una ponencia sobre malware.

Además, el curso cuenta con otros profesionales desempeñan su actividad laboral en el mundo de la Seguridad y la Auditoría Informática: José Selvi de S21Sec, Alejandro Ramos de Security By Default, Chema Alonso, Juan Garrido, Pedro Sánchez de Bitdefender, Juan Luís G. Rambla, Rubén Alonso, Jorge Ramió de Criptored, Sergio de los Santos de Hispasec Sistemas, José Picó de Taddong Security, Rubén Santamarta, Fernando Guillot de Microsoft, Miguel López de Smartaccess o Alejandro Martín Bailón de Informatica64.

El registro en este curso cuenta con 3 tramos, permitiendo que los registros más tempranos disfruten de un descuento económico. Además, todos los alumnos de la Universidad Europea de Madrid podrán disponer de un descuento especial.

La información detallada de la agenda, la información de registro y los precios puede ser consultada directamente desde la página web de
http://www.informatica64.com/4cursodeveranouem/index.html.


Sergio de los Santos
ssantos@hispasec.com



domingo, 12 de junio de 2011

Ejecución de comandos con privilegios de root en Barracuda NG Firewall

Se ha publicado una vulnerabilidad que considerada como crítica, que afecta a Barracuda NG Firewall y permitía ejecutar código arbitrario con los privilegios de root.

Barracuda NG Firewall es una familia de hardware y dispositivos virtuales diseñados para la protección de la infraestructura de una red, mejorar su conectividad y simplificar los operaciones administrativas de la red.

Un error no especificado en NG Firewall y Phion Netfence, permitía a un atacante remoto ejecutar comandos con privilegios de root. Para ello era necesario que estos dispositivos tuvieran habilitado algún esquema de autenticación externo como por ejemplo Active Directory y conocer el nombre de una cuenta de administrador, no así su contraseña.

No han trascendido más datos de la vulnerabilidad puesto que los descubridores han llegado a un acuerdo con el fabricante por el que tampoco harán público el código de la prueba de concepto que la aprovecha.

Las versiones vulnerables del producto son la Phion Netfence 4.0.x, las anteriores a la 4.2.15 de Phion Netfence y aquellas hasta la 5.0.2 de NG Firewall. Para todas estas el fabricante ya ha publicado los parches que solucionan este fallo.


Javier Rascón
jrascon@hispasec.com


Más información:

phion netfence / Barracuda NG Firewall: Remote Command Execution with root Privileges
http://lists.grok.org.uk/pipermail/full-disclosure/2011-June/081364.html

sábado, 11 de junio de 2011

Llamada a la participación en el Primer Taller Iberoamericano de Enseñanza de la Seguridad TIBETS

Del 2 al 4 de noviembre de 2011 se celebrará en la Universidad Pontificia Bolivariana de Bucaramanga, Colombia, el VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 y, dentro de este evento, el primer Taller Iberoamericano de Enseñanza e Innovación Educativa en Seguridad de la Información TIBETS.

Se trata de un foro abierto sobre lo que ya se está haciendo, o bien lo que se desea hacer, en cuanto a la enseñanza y la innovación educativa en seguridad de la información en Iberoamérica.

Las siglas del taller, TIBETS, además de estar sus letras en el nombre del evento, sugieren un reto y una cima de calidad a la que todos los centros e institutos de investigación desean llegar en la enseñanza y la formación de esta especialidad en los países iberoamericanos.

No es necesario presentar una ponencia para participar en el taller.

En esta primera edición del taller, las ponencias no deberán cumplir un formato específico; por tanto no es necesario enviar previamente la documentación sino llevarla al congreso para entregarla a los interesados.

De acuerdo a la cantidad de ponencias y presentaciones recibidas, se distribuirá el tiempo asignado a TIBETS dentro del CIBSI.

Aproximadamente un mes antes del congreso se pedirá a todos quienes vayan a presentar una ponencia en el taller, que envíen una presentación en Power Point o PDF con un formato y extensión determinados, y se les indicará de cuánto tiempo disponen para ello.

Además de las ponencias del taller, que serán en todo caso de corta duración, se abrirá un Coloquio donde todos los asistentes puedan debatir sobre esta temática, aportar ideas, realizar consultas, pedir información, colaboración, ayuda, establecer contactos, etc.

Se trata de una excelente oportunidad para poner sobre la mesa toda la oferta de formación de alto nivel que en la actualidad existe en Iberoamérica en cuanto a Seguridad de la Información, los proyectos educativos que se encuentran en fase de desarrollo y preparar las bases en esta primera reunión para próximos encuentros y talleres de TIBETS.

Se irá anunciando la marcha e inscripciones del taller en la página Web del congreso: http://www.cibsi.upbbga.edu.co/

Para participar en TIBETS es necesario inscribirse en CIBSI, lo cual da derecho además a lo que se indica en la página Web del congreso. Los gastos de viaje y alojamiento son, como en cualquier congreso, por cuenta del participante.

Para cualquier consulta o necesidad de contar con una invitación personal y oficial, por favor contactar con los siguientes correos electrónicos o teléfonos que se indican.

Angélica Flórez
Presidenta Comité Organizador CIBSI 2011
cibsi2011.bga@upb.edu.co (Colombia)
Tel.: +57 (7) 679 6220 Exts. 548-532


Jorge Ramió
Coordinador de Criptored
jramio@eui.upm.es (España)



viernes, 10 de junio de 2011

Microsoft publicará 16 boletines de seguridad el próximo martes

Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará el próximo 14 de junio 16 boletines de seguridad, correspondientes a los boletines MS11-037 y MS11-052, con un número indeterminado de vulnerabilidades cada uno, pero que completarán 34 vulnerabilidades.

Los fallos afectan a toda la gama de sistemas operativos, toda la gama de Office, Microsoft Forefront Threat Management Gateway 2010 Client, Microsoft Visual Studio, Microsoft Silverlight 4 y SQL Server.

El fallo en Microsoft Forefront Threat Management Gateway es crítico, lo que conlleva ejecución remota de código. Otro de los boletines, calificado como importante, afecta a Office, SQL Server y Visual Studio, por lo que se deduce que afecta a un componente común compartido por estos paquetes.

Además, como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool que estará disponible desde Microsoft Update, Windows Server Update Services, y centro de descarga.

Aunque parecido en volumen de boletines al que Microsoft publicó en abril, no se acerca al número de vulnerabilidades que se corrigieron entonces: 64 vulnerabilidades en 17 boletines en abril, y 34 repartidas en 16 boletines en junio.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com
twitter: http://www.twitter.com/ssantosv


Más información:

Microsoft Security Bulletin Advance Notification for June 2011
http://www.microsoft.com/technet/security/Bulletin/MS11-jun.mspx

jueves, 9 de junio de 2011

Múltiples vulnerabilidades en cliente Novell iPrint

Se han anunciado diez vulnerabilidades de ejecución de código en el cliente Novell iPrint para Windows (versiones anteriores a la 5.64), que podrían permitir a un atacante remoto lograr comprometer los sistemas afectados.

Los problemas reportados por ZDI, residen en desbordamientos de búfer relacionados con todos ellos con la librería "nipplib.dll" en el tratamiento de diferentes parámetros. Estos problemas podrían permitir a un atacante remoto lograr el compromiso del sistema de un usuario al visitar una página web específicamente creada

Todos los problemas quedan resueltos en la versión 5.64 de Novell iPrint, disponible desde:
http://download.novell.com/Download?buildid=6_bNby38ERg


Antonio Ropero
antonior@hispasec.com
http://www.twitter.com/aropero


Más información:

History of iPrint Client fixes (version 5.40 thru 5.64)
http://www.novell.com/support/viewContent.do?externalId=7008708

Security Vulnerability - Novell iPrint nipplib.dll uri Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7008720

Security Vulnerability - Novell iPrint nipplib.dll profile-time Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7008722

Security Vulnerability - Novell iPrint nipplib.dll profile-name Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7008723

Security Vulnerability - Novell iPrint nipplib.dll file-date-time Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7008724

Security Vulnerability - Novell iPrint op-printer-list-all-jobs url Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7008726

Security Vulnerability - Novell iPrint nipplib.dll driver-version Remote Code Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7008727

Security Vulnerability - Novell iPrint nipplib.dll core-package Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7008728

Security Vulnerability - Novell iPrint nipplib.dll client-file-name Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7008729

Security Vulnerability - Novell iPrint nipplib.dll iprint-client-config-info Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7008730

Security Vulnerability - Novell iPrint op-printer-list-all-jobs cookie Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7008731

miércoles, 8 de junio de 2011

Jailbreak de iOS 5 en menos de un día

MuscleNerd, componente del grupo iPhone Dev Team, ha anunciado desde su cuenta de Twitter que ha conseguido hacer el Jailbreak de la recién estrenada beta1 del nuevo iOS 5.

EL nuevo sistema operativo de Apple para los próximos iPhone, iPad e iPod touch fue presentado en la WWDC, con lo que la versión beta del nuevo iOS ya estaría a disposición de un número limitado de desarrolladores. El jailbreak de iOS fue revelado antes de que este cumpliese su primer día desde que fuera presentado de forma oficial (menos de 17 horas).

El jailbreak del sistema operativo implica realizar modificaciones en el sistema (normalmente aprovechando una vulnerabilidad) para poder ejecutar código sin firmar. Oficialmente, con esto se pierde la garantía del teléfono pero a cambio se consigue dotar al dispositivo de características que normalmente tardan en estar disponibles para el sistema o que no llegan a aparecer oficialmente. Además de disponer de una amplia gama de aplicaciones que oficialmente no han sido autorizadas por la compañía.

El jailbreak se ha realizado sobre un iPod Touch de cuarta generación, y para ello se ha utilizado el exploit 'limera1n'. Curiosamente, este exploit ya fue utilizado con anterioridad por GeoHot para liberar el primer iPhone, exclusivo para AT&T, y hacer que pudiera ser utilizado colimn cualquier operador móvil. 'limera1n' se aprovecha de una vulnerabilidad presente durante el arranque del sistema, por lo que se trata de un jailbreak 'tethered', es decir, cada vez que se reinicie el dispositivo, será necesario que éste se encuentre conectado a un ordenador que ejecute el código encargado del jailbreak. Por ahora no se ha hecho ninguna referencia a la existencia de un "jailbreak untethered".

Lógicamente, para poder explotar dicha vulnerabilidad era primero necesario hacer correr la nueva versión de iOS, lo que implicaba saltarse las restricciones que permitían que sólo unos pocos desarrolladores pudieran hacerla funcionar. De ello se encargó Mert Erdir, quien ha explicado los sencillos pasos para actualizar la versión de iOS y evadir la pantalla de activación mediante un fallo en el sistema de accesibilidad para personas con discapacidades llamado VoiceOver.

Según Apple, la fecha en la que la versión definitiva del iOS 5 estará disponible para los usuarios será para otoño de este año. Para entonces ya habrán arreglado el agujero por el que se ha conseguido el jailbreak.


Javier Rascón
jrascon@hispasec.com


Más información:

Tweet anunciando el jailbreak:
https://twitter.com/#!/MuscleNerd/status/78032693262168064

Cómo actualizar a iOS 5:
http://gizmodo.com/5809621

martes, 7 de junio de 2011

Actualización de seguridad para Adobe Flash Player

Adobe ha publicado una actualización de seguridad destinada a corregir una vulnerabilidad importante en Adobe Flash Player versión 10.3.181.16 y anteriores para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.185.22 y versiones anteriores para Android.

La vulnerabilidad, con CVE-2011-2107, consiste en un cross-site scripting, que según informa Adobe se está explotando activamente en ataques dirigidos.

Adobe afirma que sigue investigando el impacto al componente Authplay.dll incluido con Adobe Reader y Acrobat X (10.0.3) y versiones anteriores 10.x y 9.x de Adobe Reader y Acrobat para Windows y Macintosh. Según confirma Adobe no se han detectado ataques realizados mediante Adobe Reader o Acrobat.

Adobe recomienda a los usuarios de Adobe Flash Player Windows 10.3.181.16 y anteriores para Windows, Macintosh, Linux y Solaris la actualización a la versión 10.3.181.22.
http://get.adobe.com/flashplayer/
A los usuarios de Adobe Flash Player 10.3.185.22 para Android actualizar a la versión 10.3.185.23 desde Android Market:
market://details/?id=com.adobe.flashplayer


Antonio Ropero
antonior@hispasec.com
http://www.twitter.com/aropero


Más información:

Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb11-13.html

lunes, 6 de junio de 2011

Ejecución de comandos en WebSVN

Se ha publicado una prueba de concepto que permite ejecutar comandos arbitrarios en WebSVN a través de una petición POST con un valor de "path" especialmente diseñado.

WebSVN es un proyecto Open Source que permite visualizar de forma cómoda uno o varios repositorios SVN. Está implementado bajo PHP y licenciado bajo GPL v2. A su vez, SVN es un sistema de control de versiones Open Source, inspirado en el popular pero prehistórico CVS. Subversion es un diseño y desarrollo nuevo, 100% desde cero, supliendo la mayoría de las carencias y defectos del vetusto CVS y proporcionando un entorno eficiente y muy flexible.

El fallo se da al no validar correctamente el valor recibido como nombre del fichero. Esto podría ser aprovechado por un atacante remoto sin autenticar, para ejecutar comandos arbitrarios si inyecta a través de POST una variable "path" especialmente manipulada, que ejecutaría comandos en el sistema. Para poder explotar esta vulnerabilidad es necesario encontrar un recurso que pueda ser descargado, puesto que el fallo se encuentra en la función "exportRepositoryPath()", que solo es accesible cuando nos descargamos un elemento.

Este fallo no está solucionado por el momento.

Una posible solución sería comprobar en la función "exportRepositoryPath" que el fichero existe en el sistema.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

WebSVN 2.3.2 Unproper Metacharacters Escaping exec() Remote Command
Injection
http://www.exploit-db.com/exploits/17360/

domingo, 5 de junio de 2011

Lección 8 de intypedia: Protocolo de reparto de secretos

Se encuentra disponible en el servidor Web de intypedia la octava lección de la Enciclopedia de la Seguridad de la Información: "Protocolo de reparto de secretos": http://www.intypedia.com.

Esta lección cuenta con la autoría de Dr. Luis Hernández Encinas, investigador del Consejo Superior de Investigaciones Científicas de Madrid CSIC, España.

El vídeo tiene una duración de 13:54 minutos y está formado por 4 escenas o capítulos:

Escena 1. Cómo proteger un secreto
Escena 2. Protocolos de reparto de un secreto
Escena 3. Realización efectiva de un protocolo de reparto de secretos
Escena 4. Recuperando el secreto

En esta ocasión Alicia y Bernardo nos enseñan cómo es posible diseñar y llevar a cabo un protocolo para proteger un secreto contra su posible pérdida, robo o deterioro. En particular, se presenta y estudia el protocolo propuesto por Adi Shamir para proteger, por ejemplo, una clave secreta con la que se ha cifrado un documento o la clave privada que se usa para firmar digitalmente, utilizado entre otras aplicaciones por Pretty Good Privacy PGP.

Una manera entretenida de comprobar cómo las matemáticas nos permiten hacer cosas que a simple vista parecen magia y que, no obstante, tienen muchas aplicaciones en el mundo real.

La lección viene acompañada por los siguientes documentos en pdf que pueden descargarse desde el sitio Web de intypedia: el guión, unas diapositivas de apoyo y cinco preguntas para autoevaluación.


Jorge Ramió Aguirre
intypedia: http://www.intypedia.com/
twitter: @intypedia



sábado, 4 de junio de 2011

Vulnerabilidad en los visualizadores de archivos de IBM Lotus Notes

IBM ha confirmado una vulnerabilidad en IBM Lotus Notes (versiones 6.0, 6.5, 7.0, 8.0 y 8.5), que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

El problema reside en un desbordamiento de búfer en los visualizadores de determinados tipos de archivos, se ven afectados los formatos: LZH, documentos RTF, hojas de cálculo Applix, documentos
Microsoft Excel, documentos Microsoft Office, y archivos Lotus Notes .prz y .zip.

Un usuario remoto podría crear un archivo malicioso de estos formatos de tal forma que provocaría la ejecución de código arbitrario en los sistemas afectados, si un usuario llega a abrirlo. El código se ejecutaría con los privilegios del usuario atacado.

IBM ha publicado la siguiente actualización para corregir este problema:
Interim Fix 1 para Notes 8.5.2 Fix Pack 2
http://www.ibm.com/support/docview.wss?uid=swg21500632
En julio tiene planeado la publicación del Fix Pack 3 y en el tercer cuatrimestre la versión 8.5.3.

Se recomienda consultar el aviso de IBM para contramedidas posibles para otras versiones de Lotus Notes.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Fixes for potential security vulnerabilities in Lotus Notes file viewers
https://www-304.ibm.com/support/docview.wss?uid=swg21500034

viernes, 3 de junio de 2011

Dudosa política de permisos en Chrome Web Store

El especialista en la industria de móviles David Rogers ha expresado su preocupación por la política de permisos de ciertos juegos de la tienda de aplicaciones para el navegador Google Chrome.

En concreto se analizan los permisos que requiere la instalación de una aplicación para un juego flash (Super Mario 2). El juego declara que necesita los permisos de acceso a datos en todos los sitios web, el historial de navegación del usuario y el acceso a los marcadores personales.

¿Para qué necesita un simple juego, que no aporta ninguna funcionalidad adicional, estos datos tan personales? A continuación vamos a ver dos de estos permisos según aparecen explicados en la página de la tienda de Google.

* Acceso a datos en todos los sitios web: implica que la aplicación puede leer todos los sitios a los que accede el usuario, desde su Facebook o webmail hasta la página del banco. A todo esto, Google alerta de que hay que pensar que la aplicación posee la libertad de utilizar las cookies para hacer peticiones a dichos sitios. Parece ser que esta funcionalidad es bastante utilizada (según Google) con el objetivo de monitorizar estas páginas al estilo de un feed RSS.

* Acceso a los marcadores: No sólo implica que la aplicación pueda ver los marcadores que se tienen instalados en Chrome, sino que puede añadir nuevos y modificar los ya existentes.

* Acceso al historial de navegación. Que no necesita explicación.

Aunque se avise al usuario de qué permisos requerirá el juego o programa en Chrome y deba aprobarlo explícitamente, uno de los problemas más graves es que es el programador el que decide qué opciones tendrá su programa sin que Google revise las aplicaciones a no ser que haya alguna queja por parte de los usuarios. Las únicas aplicaciones revisadas antes de su publicación, serán aquellas que requieran el permiso más potente: acceso a los datos del ordenador (esto es, si utiliza el plug-in NPAPI).

David Rogers propone un método alternativo para la gestión de los permisos en Chome que funcionaría como un firewall con unas políticas que podrían venir ya predefinidas o ser gestionadas por los propios usuarios en caso de querer un control más personalizado.


Javier Rascón
jrascon@hispasec.com


Más información:

Chrome app security model is broken
http://blog.mobilephonesecurity.org/2011/05/chrome-app-security-model-is-broken.html

Permissions requested by apps, extensions, and themes
http://www.google.com/support/chrome_webstore/bin/answer.py?hl=en&answer=186213&rd=1

jueves, 2 de junio de 2011

Cross Site Scripting en Nagios 3.2.3

Stefan Schurtz ha anunciado a través del bugtracker de Nagios que el famoso programa de código libre para la monitorización de redes es vulnerable a ataques de Cross Site Scripting.

La vulnerabilidad radica, como en la mayoría de los casos de XSS, en una falta de validación de valores suministrados por el usuario. Para ello, el usuario objetivo del ataque debería acceder a una URL especialmente manipulada, que, en concreto, contendría el ataque en el parámetro 'expand' del archivo 'config.cgi'. Como se puede ver en los siguientes ejemplos:



Desde la web oficial de Nagios indican que la solución es tan simple como escapar los caracteres especiales presentes en dicha variable a través de la función 'escape_string'.

La vulnerabilidad se ha verificado con éxito en la versión 3.2.3 de Nagios, aunque no se descarta que haya otras versiones afectadas.


Javier Rascón
jrascon@hispasec.com


Más información:

0000224: Cross-Site Scripting vulnerability in Nagios
http://tracker.nagios.org/view.php?id=224

miércoles, 1 de junio de 2011

Nuevos contenidos en la Red Temática CriptoRed (mayo de 2011)

Breve resumen de las novedades producidas durante el mes de mayo de 2011 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS VÍDEOS DE INTYPEDIA EN EL MES DE MAYO DE 2011
* Lección 7: Seguridad en aplicaciones Web (José María Alonso, Informática64, 15:46 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=seguridad-web&lang=es
* Lesson 7: Web application security (José María Alonso, Informática64, 14.55 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=web-security&lang=en

2. NUEVOS VÍDEOS DE LA CÁTEDRA UPM APPLUS+ EN EL MES DE MAYO DE 2011
* El Dr. Justo Carracedo entrevista al Dr. Taher Elgamal, V Día Internacional de la Seguridad de la Información, 13.10 minutos
http://www.youtube.com/user/UPM#p/u/8/MO-hiR8Rb_8
* ¿Seguro que estás seguro? Default Passwords: Adelante por favor!, VII Ciclo de Conferencias UPM TASSI 2011, Chema Alonso, Informática64, 01:12:15 horas. Vídeo y diapositivas:
http://www.lpsi.eui.upm.es/GANLESI/2010_2011/gconferencia_jma.htm
* El documento electrónico en el Esquema Nacional de Interoperabilidad, VII Ciclo de Conferencias UPM TASSI 2011, Miguel Ángel Amutio, Jefe del Área de Planificación y Explotación del Ministerio de Política Territorial y Administración Pública, 01:13:13 horas. Vídeo y diapositivas:
http://www.lpsi.eui.upm.es/GANLESI/2010_2011/gconferencia_maa.htm

3. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE MAYO DE 2011
* Informe de la Red de Sensores del mes de abril de 2011 sobre virus y malware (INTECO, España)
https://ersi.inteco.es/informes/informe_mensual_201104.pdf
* Pensar como el atacante: Mente y corazón de la inseguridad de la información, Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2011/05/pensar-como-el-atacante-mente-y-corazon.html
* Entrevista en el Blog Security Art Work al coordinador de la Red Temática Criptored y director de Intypedia
http://www.securityartwork.es/2011/05/16/entrevista-a-jorge-ramio-12/
http://www.securityartwork.es/2011/05/18/entrevista-a-jorge-ramio-22/

4. RELACIÓN DE CONGRESOS, SEMINARIOS Y CONFERENCIAS POR ORDEN CRONOLÓGICO DE CELEBRACIÓN
* Junio 7 al 10 de 2011: 9th International Conference on Applied Cryptography and Network Security (Nerja - España)
* Junio 8 al 10 de 2011: 4th International Conference on Computational Intelligence for Security in Information Systems CISIS '11 (Torremolinos - España)
* Junio 8 al 11 de 2011: Eighth International Workshop on Security In Information Systems WOSIS-2011 (Beijing - China)
* Junio 15 al 17 de 2011: XI Jornadas Nacionales de Seguridad Informática (Bogotá - Colombia)
* Junio 15 al 18 de 2011: 6a Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2011 (Chaves - Portugal)
* Junio 21 de 2011: The First International Workshop on Information Systems Security Engineering - WISSE'11 en (Londres - Reino Unido)
* Junio 28 al 30 de 2011: IV Curso de Verano de Seguridad Informática en la Universidad Europea de Madrid (Madrid - España)
* Junio 22 al 24 de 2011: I Curso de Verano de Informática Forense en Universidad de A Coruña (A Coruña - España)
* Julio 18 al 21 de 2011: International Conference on Security and Cryptography SECRYPT 2011 (Sevilla - España)
* Agosto 29 a septiembre 2 de 2011: 3er Workshop de Seguridad Informática (Córdoba - Argentina)
* Septiembre 11 al 15 de 2011: Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (Castillo de Cardona - España)
* Septiembre 15 al 16 de 2011: International Conference on Information Technologies InfoTech 2011 (Varna - Bulgaria)
* Septiembre 15 al 16 de 2011: 4th SETOP International Workshop on Autonomous and Spontaneous Security (Lovaina - Bélgica)
* Septiembre 15 al 16 de 2011: 6th DPM International Workshop on Data Privacy Management ((Lovaina - Bélgica)
* Septiembre 16 al 17 de 2011: VIII edición Congreso No cON Name 2011 (Barcelona - España)
* Octubre 17 al 21 de 2011: First International Workshop on Rational, Secure and Private Ad-Hoc Networks RASEP '11 (Creta - Grecia)
* Octubre 26 al 28 de 2011: 17th International Congress on Computer Science Research CIICC'11 (Morelia - México)
* Noviembre 2 al 4 de 2011: VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Bucaramanga - Colombia)
* Noviembre 7 al 11 de 2011: Workshop sobre Seguridad de la Información e Inteligencia Artificial en la Internet de las Cosas SIIAIC (La Laguna - España)
* Noviembre 7 al 11 de 2011: XXIII Encuentro Chileno de Computación ECC2011 (Talca - Chile)
* Noviembre 7 al 11 de 2011: 30th International Conference of the Chilean Computer Science Society SCCC2011 (Talca - Chile)
* Noviembre 17 al 18 de 2011: Jornadas de Criptografía Spanish Cryptography Days SCD2011 (Murcia - España)
* Noviembre 28 a diciembre 2 de 2011: Workshop on Computational Security 2011 en el Centre de Recerca Matemàtica (Bellaterra - España)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

5. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE MAYO DE 2011
* IV Curso de Verano de Seguridad Informática en la Universidad Europea de Madrid (Madrid - España)
* I Curso de Verano de Informática Forense en Universidad de A Coruña (A Coruña - España)
* CFP para la cuarta edición de Autonomous and Spontaneous Security SETOP 2011 en Lovaina (Bélgica)
* CFP para las Jornadas de Criptografía Spanish Cryptography Days SCD 2011 en Murcia (España)
* CFP para la Sexta Edición del Workshop internacional Data Privacy Management DPM 2011 en Lovaina (Bélgica)
* Curso SEC580 Metasploit Kung Fu for Enterprise Pen Testing de Raúl Siles en SANS Institute de Madrid (España)
* Curso de Experto en Estrategia e Innovación TIC. Creación y preservación de valor del IAITG con 30% de descuento para miembros de la red (España)
* Seminario Respuestas SIC gratuito en Barcelona y Madrid de Seguridad en aplicaciones web, donde se cruzan los caminos (España)
* SEC542: Curso Web App Penetration Testing and Ethical Hacking del SANS Institute en Madrid (España)
* CFP para XXIII Encuentro Chileno de Computación y 30th International Conference of the Chilean Computer Science Society (Chile)
* Seminario Advanced Penetration Testing Tools and Techniques de CYBSEC en Buenos Aires (Argentina)
* Call for Book Chapters IT Security Governance Innovations: Theory and Research
Acceso al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2011.htm#may11

6. OTROS DATOS DE INTERÉS EN LA RED TEMÁTICA
* Número actual de miembros en la red: 878
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas criptored: 40.394 visitas, con 125.604 páginas solicitadas y 39,66 Gigabytes servidos en abril de 2011, descargándose 25.476 archivos zip o pdf
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html
* Estadísticas intypedia: 12.652 reproducciones en mayo de 2011
http://www.criptored.upm.es/paginas/intypediamensual.htm

7. VI Congreso de la Red Temática: CIBSI 2011
Buracamanga, Colombia, del 2 al 4 de noviembre
http://www.cibsi.upbbga.edu.co/


Jorge Ramió Aguirre
Coordinador de Criptored
Twitter: http://twitter.com/#!/criptored