viernes, 30 de septiembre de 2011

Cross site scripting en Sonicwall Viewpoint

Se ha publicado un fallo de seguridad, descubierto por Benjamin Kunz Mejri en mayo, en el producto Viewpoint de la casa Sonicwall.

Sonicwall es una de las principales casas de productos de networking dirigidos principalmente a la seguridad informática. Viewpoint es una herramienta de informes basada en web que permite a los administradores de sistema tener acceso al estado, rendimiento y seguridad de las redes en los que se encuentra instalado.

El problema se encuentra en diferentes scripts al no procesar correctamente los parámetros pasados por los usuarios antes de ser devueltos, de esta forma podría permitir a un atacante remoto la ejecución de código javascript en el contexto del navegador de la víctima. Los cross site scripting encontrados son tanto persistentes como no persistentes.

La vulnerabilidad se ha descubierto en la versión 6.0 SP2 del producto aunque no se descarta que otras versiones se encuentren afectadas. Sonicwall recomienda aplicar el hotfix con referencia DTS 104767.


Borja Luaces
bluaces@hispasec.com


Más información:

Sonicwall Viewpoint v6.x - Multiple Web Vulnerabilities
http://www.vulnerability-lab.com/get_content.php?id=195

jueves, 29 de septiembre de 2011

La fundación Mozilla publica diez boletines de seguridad para sus productos

Se han publicado múltiples boletines de seguridad por parte de la fundación Mozilla en referencia a vulnerabilidades encontradas en diferentes productos de la firma.

La fundación Mozilla es una organización sin ánimo de lucro dedicada a la creación de software libre. Sus pilares fundamentales son: el código abierto, el respeto por los estándares establecidos y en desarrollo y la portabilidad o posibilidad de interacción del software en múltiples plataformas.

Según la propia clasificación de la fundación Mozilla, siete de los boletines han sido clasificados con un impacto crítico, uno de ellos con un impacto alto y dos con un impacto moderado.

Los boletines críticos son:

* MFSA 2011-36: Tres problemas de corrupción de memoria.
* MFSA 2011-37: Desbordamiento de enteros al emplear expresiones JavaScript RegExp (sólo afecta a la rama 3.x).
* MFSA 2011-40: Dos problemas de instalación de software al presionar la tecla "Intro".
* MFSA 2011-41: Dos fallos de potencial ejecución de código a través de WebGL.
* MFSA 2011-42: Un problema de potencial ejecución de código a través de la librería de expresiones regulares YARR.
* MFSA 2011-43: Elevación de privilegios a través de JSSubScriptLoader.
* MFSA 2011-44: Ejecución de código a través de ficheros .ogg.

Los boletines clasificados con un impacto alto son:

* MFSA 2011-38: XSS a través de plugins y objetos "window.location"

Y finalmente los boletines clasificados con un impacto moderado son:

* MFSA 2011-39: Problemas de potencial inyección CRLF a través de cabeceras Location.
* MFSA 2011-45: Captura de pulsaciones a través de "motion data".

Cabe destacar que las vulnerabilidades clasificadas con un impacto crítico permitirían a un atacante ejecutar código e instalar software sin requerir la interacción con el usuario.

Los productos afectados han sido principalmente su navegador web Firefox y el cliente de correo electrónico Thunderbird. Se recomienda la actualización a la última versión de dichos productos.


Borja Luaces
bluaces@hispasec.com


Más información:

MFSA 2011-36 Miscellaneous memory safety hazards (rv:7.0 / rv:1.9.2.23)
http://www.mozilla.org/security/announce/2011/mfsa2011-36.html

MFSA 2011-37 Integer underflow when using JavaScript RegExp
http://www.mozilla.org/security/announce/2011/mfsa2011-37.html

MFSA 2011-38 XSS via plugins and shadowed window.location object
http://www.mozilla.org/security/announce/2011/mfsa2011-38.html

MFSA 2011-39 Defense against multiple Location headers due to CRLF Injection
http://www.mozilla.org/security/announce/2011/mfsa2011-39.html

MFSA 2011-40 Code installation through holding down Enter
http://www.mozilla.org/security/announce/2011/mfsa2011-40.html

MFSA 2011-41 Potentially exploitable WebGL crashes
http://www.mozilla.org/security/announce/2011/mfsa2011-41.html

MFSA 2011-42 Potentially exploitable crash in the YARR regular expression library
http://www.mozilla.org/security/announce/2011/mfsa2011-42.html

MFSA 2011-43 loadSubScript unwraps XPCNativeWrapper scope parameter
http://www.mozilla.org/security/announce/2011/mfsa2011-43.html

MFSA 2011-44 Use after free reading OGG headers
http://www.mozilla.org/security/announce/2011/mfsa2011-44.html

MFSA 2011-45 Inferring Keystrokes from motion data
http://www.mozilla.org/security/announce/2011/mfsa2011-45.html

miércoles, 28 de septiembre de 2011

Se celebra en Madrid Asegúr@IT! Camp 3


Del 21 al 23 de octubre se celebra en Madrid el evento Asegúr@IT! Camp 3. Esta versión se diferencia de las anteriores por realizarse en un camping cerca del Escorial. Cuenta con la partición de ponentes de empresas como Microsoft, Telefónica, Informatica64, Hispasec y Bitdefender.

Los ponentes serán Sergio de los Santos, Mikel Gastesi, Dani Creus, Pedro Sánchez, Horatiu Bandoiu, Nikotxan, Chema Alonso... aunque todavía no está cerrada por completo.

La entrada incluye la cena del viernes, el desayuno, la comida y la cena del sábado 22 y el desayuno del domingo 23. Alojamiento cabañas de cuatro personas, con baño, terraza, cocina y nevera. Habrá también competiciones deportivas y el regalo para los inscritos del libro "Aplicación del Esquema Nacional con tecnologías Microsoft" y una camiseta de "No Lusers".

Durante el registro, si se indica el código UAD_BASE, se disfrutará de un descuento en el precio. La promoción es válida durante los tres días siguientes a la publicación de este boletín.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Asegúr@IT Camp
http://www.informatica64.com/aseguraITCamp3/

martes, 27 de septiembre de 2011

Cross-Site Request Forgery en IBM WebSphere Application Server

IBM ha publicado un Fix Pack para corregir una vulnerabilidad en IBM WebSphere Application Server que podría permitir a un atacante remoto forzar a un administrador a realizar acciones no deseadas en la consola de administración.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Afecta a IBM WebSphere Application Server versiones 8.0. La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios cruzados. El servidor no comprueba la procedencia de las peticiones HTTP sobre la interfaz de administración del servidor. Si un administrador con una sesión válida visita una página especialmente manipulada los atacantes podrían ejecutar acciones con privilegio de administrador sobre el servidor.

Para corregir este problema IBM ha publicado el Fix Pack 1 (APAR PM36734) para IBM WebSphere Application Server V8.0 (8.0.0.1) disponible desde
http://www-01.ibm.com/support/docview.wss?uid=swg27022958


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Fix list for IBM WebSphere Application Server V8.0
http://www-01.ibm.com/support/docview.wss?uid=swg27022958

lunes, 26 de septiembre de 2011

El usuario root de MySQL.com, a la venta por 3.000 dólares

El sitio oficial de MySQL ha sido comprometido y ha servido malware durante un tiempo. Además, la contraseña de usuario root al servidor se vende por 3.000 dólares en un foro.

El sitio MySQL.com, donde se aloja la popular base de datos, fue comprometido y modificado para intentar infectar con malware a los visitantes. A través de un iframe en la página, se redirigía a otra URL que acababa en un exploit pack llamado BlackHole. Esto es un kit conocido que permite servir diferentes exploits según las características del visitante para poder aprovechar vulnerabilidades de su navegador, Java o Flash.

Lo curioso es que Brian Krebs encontró el 21 de septiembre en un foro un mensaje de un supuesto atacante ruso que, a través de capturas, mostraba haber tenido acceso a MySQL.com y poseer contraseña de root. La vendía por 3.000 dólares. Actualmente el hilo del foro ha sido borrado. El atacante se podía contactar en la dirección sourcec0de@neko.im. Él mismo vendedor reconocía que, con 40.000 visitas diarias, MySQL.com era un excelente punto donde colocar un exploit kit.

Armorize ha publicado un video en YouTube donde se muestra qué ocurría al visitar MySQL.com cuando estaba infectado, disponible desde:
http://www.youtube.com/watch?v=J7prODlHniU

Todavía quedan dudas por resolver con respecto al compromiso. No se tienen datos oficiales sobre el tiempo que ha estado comprometido el sistema y cómo ha ocurrido. En estos parece que la página opera correctamente.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

MySQL.com Sold for $3k, Serves Malware
http://krebsonsecurity.com/2011/09/mysql-com-sold-for-3k-serves-malware/

domingo, 25 de septiembre de 2011

Elevación de privilegios a través de NetworkManager en Red Hat Enterprise Linux

Se ha hecho pública una vulnerabilidad que afecta al producto NetworkManager que podría permitir un atacante local elevar privilegios en el sistema.

NetworkManager es un conjunto de utilidades destinadas a simplificar la configuración de redes WIFI, Ethernet, 3G, o bluetooth disponible para la mayoría de sistemas Linux.

La vulnerabilidad reportada por Matt McCutchen, se encuentra en el plug-in 'ifcfg-rh', más concretamente en el fichero 'src/settings/plugins/ifcfg-rh/shvar.c' al no realizar correctamente la validación de los datos introducidos por el usuario. Un atacante local podría elevar privilegios a través de la creación de un nombre de conexión especialmente manipulado.

Los pasos a seguir para explotar la vulnerabilidad ,como usuario sin privilegios, serían los siguientes:

* Crear una conexión ethernet con nombre, por ejemplo, "test".
* Cambiar el nombre a "test\nUSERCTL=true\n/bin/bash" donde '\n' se refiere a una nueva línea introducida a través de Ctrl+Shift+U, A.
* Introducir el comando "usernetctl test up"

Nos devuelve una shell con privilegios root.

Las versiones afectadas por esta vulnerabilidad son la NetworkManager-0.9.0-1.fc15 y anteriores.

Red Hat recomienda la actualización de dicho software.


Borja Luaces
bluaces@hispasec.com


Más información:

NetworkManager security update
https://rhn.redhat.com/errata/RHSA-2011-1338.html

sábado, 24 de septiembre de 2011

Práctico: Fundamentos de shellcoding en Windows XP SP3 en español

Muchas veces hablamos en una-al-día del "desbordamiento de memoria" y de la "inyección de código". Pocas veces explicamos en profundidad qué son estos conceptos. ¿Qué es ese código y en qué formato se "inyecta"? ¿Cómo se construye? Voy a explicar los fundamentos del shelcoding de la forma más sencilla posible.

Hace unos días buscaba shellcode probado para XP SP3 en español, y comprobé que no había demasiado en la red. Shellcode es esto:




Ese código lanza una consola. Serviría para inyectar código ante un desbordamiento de búfer. Normalmente, en las pruebas de concepto, se utiliza la calculadora o la consola (cmd.exe) para demostrar la
ejecución, mientras que "en la vida real" se utiliza shellcode más complejo que descarga un archivo e infecta la máquina, por ejemplo. En la imagen se pueden observar dos direcciones de memoria y los códigos de
los caracteres "cmd". ¿De dónde salen esos "números"? ¿Cómo sé que funciona? En realidad, es sencillo.

Probando shellcode

Para saber si un shellcode funciona, debemos lanzarlo con un programa en C. La estructura es siempre más o menos la misma, sólo cambia la variable "shellcode".




Compilarlo también es sencillo. Yo uso mingw. "gcc pruebashellcode.c –o pruebashellcode.exe". Este programa debería hacer aparecer una consola. Pero depende de las direcciones. Vamos a ver de dónde ha salido ese código.

Creando shellcode

Lo primero es crear un programa en C que haga lo que necesitamos. Por "comodidad", traduzco un poco el programa. Así veremos más fácil cómo calcular las direcciones de dos funciones.



Compilamos de nuevo, y vemos que sigue funcionando (aparece la consola). Ahora lo depuramos con gdb (se pueden usar otros). Usamos el comando "disassemble main". Comprobamos cómo se estructura el programa "a bajo nivel" en código ensamblador.



Con el comando "x/42b main+10" le pedimos al GDB que nos devuelva 42 bytes en hexadecimal a partir de main+10 (que es realmente donde comienza el programa). Y de ahí, limpiando código redundante y eliminado los caracteres "0x00" (que al usarse en una cadena en C, la acabarían y no seguiría leyendo), saldrá nuestro shellcode.



Calculando las direcciones

Mirando un poco el código, se advierten las direcciones de las funciones que nos interesan (Winexec y Exit), que son 0x00401d00 y 0x00401ca8 respectivamente. Lo que ocurre es que estas direcciones son relativas a mi programa (que se carga por defecto en 0x400000). Cuando un programa se ejecuta en Windows, se le reserva una memoria virtual (nada que ver con el "swap") para él que va desde el 0x00000000 al 0xFFFFFFFF. Luego el sistema se encarga de traducir esto a memoria "real", pero cada programa "cree" que tiene todo ese espacio para él. Los ejecutables se suelen cargar en su dirección 0x400000 por defecto, así se define en su cabecera PE. En direcciones de memoria más altas (sobre 0x7C000000) estarán las DLL de programa y sistema. Queremos por tanto direcciones absolutas para que este código funcione en cualquier Windows. Si se dejan las "relativas", el shellcode funcionará sólo en mi sistema circunstancialmente. Con las absolutas funcionará en un Windows u otro. Para calcular dónde está en Windows la dirección de la función WinExec por ejemplo, hay que saber en qué dirección se carga la DLL (la colección de funciones) que la contiene, y el "Offset" hasta esta dirección en concreto donde se encuentra la función. Con el programa "Dependency Walker), esto es muy sencillo.




El programa muestra que kernel32.dll es la que aloja la función. Kernel32.dll es común a todos los programas del sistema y siempre se carga en esa dirección 0x7C800000 en Windows SP3 en español. El Offset hasta WinExec es 0x00006250d. Sumado obtenemos 0x7C86250D. Igual para la función "Exit": 0x7C81CB12. Observamos que esas direcciones están en nuestro shellcode. Ahora el código ya es portable a cualquier Windows XP SP3. Precisamente ASLR en Vista y 7 lo que intenta es que estas direcciones de memoria sean diferentes en cada arranque de cada ordenador y por tanto, el shellcode "común" no funcione universalmente. En la práctica, lo que ha conseguido ASLR es hacer el shellcode mucho más complejo para eludir esta protección, pero todavía es posible conseguir shellcode válido.

Es habitual observar en exploits que las direcciones son modificadas por los creadores para que no funcione a la primera el código y eludir así a los principiantes que se dedican a "copiar y pegar". Sólo el que sepa
realmente cómo se crea shellcode podrá emplear el exploit donde quiera. Con este conocimiento, el shellcode que he presentado aquí podría extrapolarse a otros Windows con otras direcciones base sin problema. Pero en realidad, esto ya está "anticuado" puesto que en apenas dos años, XP dejará de tener soporte y todos los sistemas de Windows funcionarán bajo ASLR. Aun así, la explicación sirve para entender los fundamentos del shellcoding.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Mingw
http://www.mingw.org/

GDB
http://www.gnu.org/software/gdb/download/

Dependency Walker
http://www.dependencywalker.com/

viernes, 23 de septiembre de 2011

Múltiples vulnerabilidades en AWStats

Se han detectado vulnerabilidades en AWStats 6.95 y 7.0 que podrían permitir a un atacante remoto realizar diferentes tipos de ataques.

AWStats es una herramienta open source para la realización de informes de los accesos a servidores web, streaming, mail y FTP, y mostrar los resultados en formato HTML. Los informes resultantes presentan la información de forma visual en tablas y gráficos de barra.

Se han detectado diversas vulnerabilidades en el script Advanced Web Redirector (awredir.pl) al no validar correctamente los datos introducidos a través de los parámetros "url" y "key". Los problemas podrían permitir a un atacante remoto realizar ataques de cross-site scripting, inyección SQL o inyección CRLF.

No existe una actualización oficial disponible, por lo que las medidas recomendadas pasan por valorar el uso del script afectado y restringir su uso; o editar el código fuente para que las entradas afectadas sean adecuadamente tratadas.


Antonio Ropero
antonior@hispasec.com
http://www.twitter.com/aropero


Más información:

Aviso original
http://websecurity.com.ua/5380/

jueves, 22 de septiembre de 2011

Actualización de seguridad para Adobe Flash Player

Adobe ha publicado una actualización de seguridad destinada a corregir seis vulnerabilidades críticas en Adobe Flash Player versión 10.3.183.7 (y anteriores) para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.186.6 (y versiones anteriores) para Android.

Las vulnerabilidades, con identificadores CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430 y CVE-2011-2444, pueden permitir a un atacante provocar la caída del sistema e incluso llegar a tomar el control de los sistemas afectados.

Según confirma Adobe, al menos una de las vulnerabilidades, se está explotando activamente en ataques dirigidos a través de correos electrónicos.

Las vulnerabilidades están relacionadas con problemas de cross-site scripting, desbordamientos de pila en AVM (ActionScript Virtual Machine), errores lógicos y evasión de controles de seguridad.

Adobe recomienda a los usuarios de Adobe Flash Player 10.3.183.7 (y anteriores) para Windows, Macintosh, Linux y Solaris la actualización a la versión 10.3.183.10 disponible en
http://get.adobe.com/flashplayer/ o desde la opción de actualización automática.
A los usuarios de Adobe Flash Player 10.3.186.6 (y anteriores) para Android actualizar a la versión 10.3.186.7 desde Android Market:
https://market.android.com/details?id=com.adobe.flashplayer&hl=en


Antonio Ropero
antonior@hispasec.com
http://www.twitter.com/aropero


Más información:

Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb11-26.html

miércoles, 21 de septiembre de 2011

Oracle corrige (por fin) la grave vulnerabilidad de Apache en Fusion Middleware y Application Server

A finales de agosto se descubría una grave vulnerabilidad de denegación de servicio en el servidor httpd de Apache y vimos como de inmediato todas las firmas que lo utilizaban actualizaban sus sistemas. Oracle lo ha tomado en cuenta tras 20 días de espera y finalmente ha publicado un parche crítico para actualizar las ediciones de Oracle Fusion Middleware y Application Server que se sirven internamente de este servidor.

Esta es la quinta vez desde 2005 que se publica un parche fuera de los periodos oficiales de actualización de Oracle (cada tres meses). La gravedad de la misma lo explica todo.

La plataforma Oracle Fusion Middleware y su componente Oracle Applicaction Server ofrecen un conjunto de aplicaciones y soluciones de desarrollo, implementación y gestión integrado para empresas basados en la arquitectura SOA.

Recordamos que la vulnerabilidad CVE-2011-3192, de la que ya hablamos en una anterior UAD "Denegación de servicio en Apache a través de Range header" se caracterizaba por una denegación de servicio a través del envío de peticiones Range especialmente manipuladas que originan un consumo excesivo de memoria en el módulo 'mod_deflate'.

Las versiones afectadas son las siguientes:

* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0

* Oracle Application Server 10g Release 3, versiones 10.1.3.5.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).

* Oracle Application Server 10g Release 2, versión 10.1.2.3.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).

Desde Oracle se recomienda encarecidamente la aplicación urgente de ésta actualización.


José Mesa
jmesa@hispasec.com


Más información:

Official Patch:
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1357871.1

Oracle Security Alert for CVE-2011-3192:
http://www.oracle.com/technetwork/topics/security/alert-cve-2011-3192-485304.html

Denegación de servicio en Apache a través de Range header:
http://www.hispasec.com/unaaldia/4688/denegacion-servicio-apache-traves-range-header

martes, 20 de septiembre de 2011

Múltiples vulnerabilidades en programas SCADA (con ejemplo práctico)

A principios de esta semana se hicieron públicas múltiples vulnerabilidades en software SCADA descubiertas por el reputado investigador Luigi Auriemma, con decenas de alertas de seguridad destapadas por durante los últimos dos años. Incluimos una curiosa prueba de concepto.

Los sistemas SCADA son sistemas de "adquisición de datos y control de supervisión", muy utilizados en infraestructuras críticas, industrias, laboratorios y almacenes. Son especialmente relevantes porque, un problema de seguridad en su software, implica un problema traducido a sistemas físicos críticos de control de funciones. Pueden usarse para controlar desde la temperatura de neveras industriales, hasta el suministro eléctrico de una central nuclear.

Ocho firmas han sido las analizadas, detectándose errores en sus servidores para la gestión remota de los sensores y alarmas SCADA, que en los peores casos pueden producir desde revelación de información sensible hasta denegaciones de servicio. Las siguientes versiones de software son las afectadas:

* Cogent DataHub 7.1.1.63: Denegaciones de servicio al puerto 80, 4052 y 4053 (SSL), salto de restricciones y revelación de información sensible a través de su servidor web.

* DAQFactory 5.85 build 1853: Denegación de servicio al puerto UDP 20034 para NETB.

* Progea Movicon / PowerHMI 11.2.1085: Denegaciones de servicio al puerto 808 de su servidor.

* Carel PlantVisor 2.4.4: salto de restricciones a través del servidor web.

* Rockwell RSLogix 19: Ejecución de código que afectan a los servicios "RsvcHost.exe" y "RNADiagReceiver.exe" a través del puerto 4446 y otros.

* Measuresoft ScadaPro 4.0: Denegaciones de servicio y salto de restricciones que afectan al servicio "service.exe" a través del puerto 11234.

* Beckhoff TwinCAT 2.11.0.2004: Denegación de servicio.

* BroadWin WebAccess Client 1.0.0.10: Denegación de servicio.

El propio investigador ha facilitado pruebas de concepto que demuestran las vulnerabilidades, por lo que se recomienda la actualización urgente de dichos sistemas.

En el blog del laboratorio de Hispasec hemos realizado una prueba de concepto sobre este tipo de vulnerabilidades:
http://blog.hispasec.com/laboratorio/391


José Mesa
jmesa@hispasec.com


Más información:

Luigi Auriemma Advisories
http://aluigi.altervista.org/adv.htm

Code Execution in Rockwell RSLogix 19:
http://rockwellautomation.custhelp.com/app/answers/detail/a_id/456144

lunes, 19 de septiembre de 2011

Reflexiones sobre la seguridad en navegadores: ¿sirven o no las comparativas?

Estamos en la era de la guerra entre navegadores. El concepto de "la nube" pasa por una huida del disco duro hacia Internet, y esto hace que los navegadores cobren especial importancia. Leemos titulares sobre cuál es más seguro, pero pocos informes completos o información sobre la metodología empleada. ¿Cómo valorar realmente la seguridad de un navegador?

Ejemplos

No hace mucho, la compañía NSS Labs realizó un estudio sobre los diferentes navegadores más populares. Internet Explorer aparecía en el titular como el "más seguro". Como es de esperar ante estas afirmaciones que contradicen una especie de axioma popular establecido, se pone en duda el estudio y se le tacha de parcial. En este caso hay indicios de que está "patrocinado" pero no es lo más importante. Realizaron unas pruebas que medían la capacidad de reacción de los navegadores ante amenazas de malware por ingeniería social. O sea, la capacidad del navegador de detectar automáticamente que están intentando engañar al usuario e impedir, por ejemplo, que visite un sitio donde se aloja malware y descargarlo. Esto es solo una pequeña parte de lo que se debe considerar "seguridad" del navegador. Es más, para los usuarios más avispados, esta opción es poco útil porque por experiencia sabrán quién o qué intenta engañarlos. No necesitan que les avise el navegador. Además, si se quiere hilar más fino, en el informe del NSS se puede cuestionar el tipo de muestras escogidas para realizar el estudio.

Otro ejemplo. En octubre de 2010 en Hispasec publicamos un informe muy simple: puesto que disponemos del comprobador de URLs fraudulentas en virustotal.com, comparamos qué navegador detecta más URLs como tal. Resultó ganador Firefox y así rezó el titular "Firefox el navegador más seguro contra el fraude". De nuevo, para corroborar otra especie de axioma popular, el titular fue mutilado por otras webs: "Firefox es el navegador más seguro". En realidad, sólo se comprobaba otra pequeña parte de la seguridad de un  navegador. Sería como afirmar que un utilitario es "más seguro" en general que un coche blindado porque su
alarma antirrobo es más sensible.

¿Qué medir?

Estudiar la seguridad global de un navegador es complicado. Uno de los estudios recientes más completos en este sentido (y aun así no se midieron todos los factores) fue realizado por Informatica64 en abril de 2010. Se estudiaban tanto las opciones de seguridad, como sus protecciones y las vulnerabilidades. Pero incluso en este informe, es discutible la metodología seguida para el cálculo de vulnerabilidades. Se tomaron en cuenta varias versiones de otros navegadores (y no sólo la última) mientras que de Internet Explorer sólo se hablaba de su más reciente versión por entonces, la 8 (y no la 6, que todavía es soportada y resulta un desastre en seguridad). Esta es una de sus gráficas comparativas.

No hace mucho, IntecoCert publicó otro estudio de vulnerabilidades en el primer semestre de 2011. Este está basado en el NIST y en el número de vulnerabilidades exclusivamente. Podríamos decir que ambas organizaciones son bastante "neutras". Observamos cómo el número de fallos de Chrome es muy superior al resto.




Pero también podemos decir que, gracias a los métodos preventivos y mitigadores que utiliza Chrome (MIC, ASLR, DEP, las actualizaciones automáticas en las que es único en su especie), esas  vulnerabilidades, aunque bastante más numerosas, son mucho más complejas de explotar. Siguiendo con la comparación con los coches, Chrome viene "blindado" de serie en Windows: aunque le disparen, es complicado que la bala llegue al conductor. Lo curioso es que también Internet Explorer 9 (que es un gran navegador) implementa muy acertadamente algunas de estas medidas de seguridad. El problema es que la forma en la que maneja los plugins y la actualización mensual (a menos que una amenaza sea lo  suficientemente peligrosa como para romper el ciclo), hacen que sea más fácil aprovechar las vulnerabilidades que sufre, independientemente de su número.

También podemos hablar de la velocidad de parcheo. En este caso, tal y como publicamos en otro estudio en Hispasec, quizás Mozilla sea la solución para quien busca esa rapidez. De nuevo, si se calificara a un navegador como "el más seguro" sólo por esta característica, sería como afirmar que un turismo es más seguro que otro sólo porque su reparación lleva menos días.


¿Cuál es la verdad entonces? 

Pues, tal y como respondemos cuando nos preguntan cuál es el mejor antivirus, aconsejamos el que más convenga al interesado. Sería erróneo apostar simplemente por el que "más malware detecta" sin tener en cuenta todos los factores como, tipo de muestras utilizadas, capacidad de reacción, coste, sencillez, consumo de recursos, etc. Como los antivirus, los navegadores son ahora software muy complejo y las comparativas requieren rigor e imparcialidad. Los informes suelen mirar el problema desde un ángulo concreto y es trabajo del lector procesar toda esa información para tomar sus decisiones. El error que creo más común es confundir un navegador "seguro" con un navegador "que protege". Son dos cualidades diferentes.

En resumen, el mejor navegador es el que más cómodo haga sentir al usuario en cuestión de seguridad. Pero siendo prácticos, la realidad es que el navegador más seguro es el que proteja de raíz contra los
peligros considerados más graves. Y estos son a nuestro juicio las vulnerabilidades que se pueden aprovechar para ejecutar código y que aparecen en forma de 0-day (o sea, se descubren mientras los atacantes las están aprovechando y cuando aún no existe parche). Y esto, por popularidad, deja en muy mal lugar a Internet Explorer hoy en día.



Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Estudio: Mozilla es el fabricante que menos tarda en resolver vulnerabilidades. RealNetworks, el que más. La media global son 6 meses
http://www.hispasec.com/unaaldia/4666

INTECO-CERT publica el «Informe de vulnerabilidades del primer semestre de 2011
http://cert.inteco.es/cert/Notas_Actualidad/intecocert_publica_informe_vulnerabilidades_primer_semestre_2011_20110912

Publicada comparativa de seguridad de navegadores de Informática 64
http://www.informatica64.com/Noticias.aspx?id=66

NSS Labs Performs International Tests of Web Browsers Against Socially Engineered Malware
http://www.nsslabs.com/company/news/press-releases/nss-labs-performs-international-tests-of-web-browsers-against-sem.html

domingo, 18 de septiembre de 2011

Boletín de seguridad para Adobe Reader y Acrobat

El pasado martes coincidiendo con los boletines de Microsoft, Adobe publicó un boletín de seguridad (APSB11-24) avisando de 13 vulnerabilidades que afectan a Adobe Reader y Acrobat en sus versiones 10, 9 y 8 para Windows, Mac y UNIX.

Todas ellas son calificadas como críticas, caracterizadas por elevaciones de privilegios y ejecución de código. Los CVE asignados son los siguientes: CVE-2011-1353, CVE-2011-2431, CVE-2011-2432, CVE-2011-2433, CVE-2011-2434, CVE-2011-2435, CVE-2011-2436, CVE-2011-2437, CVE-2011-2438, CVE-2011-2439, CVE-2011-2440, CVE-2011-2441, CVE-2011-2442.

Especialmente significativa es la vulnerabilidad CVE-2011-1353 que sólo afecta a la versión de Adobe Reader X de Windows, permitiendo elevación de privilegios al evadir la propia sandbox incorporada en Adobe Reader X desde dentro: gracias a ciertas reglas de seguridad preestablecidas, un pdf especialmente manipulado conseguiría saltarse el modo protegido y desactivarlo por completo.

Las versiones afectadas son las siguientes:
* Adobe Reader y Acrobat X (10.1) y anteriores versiones para Windows y Macintosh
* Adobe Reader y Acrobat 9.4.5 y anteriores versiones para Windows y Macintosh y UNIX.
* Adobe Reader y Acrobat 8.3 y anteriores versiones para Windows y Macintosh

Se recomienda actualizar estas versiones lo antes posible con las últimas actualizaciones disponibles: 10.1.1, 9.4.6 y 8.3.1 respectivamente.


José Mesa
jmesa@hispasec.com


Más información:

APSB11-24 Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb11-24.html

Adobe Reader X Sandbox Bypass Vulnerability
http://xforce.iss.net/xforce/xfdb/69717

sábado, 17 de septiembre de 2011

Múltiples vulnerabilidades en Wireshark

Se ha publicado una nueva versión de Wireshark Wireshark 1.6 en la que se solucionan múltiples vulnerabilidades de distinto impacto.

Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

Existe un error en la función 'unxorFrame' del dissector OpenSafety, al calcular un tamaño. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de trafico especialmente diseñado.

Existe un fallo en la función 'proto_tree_add_item' del dissector encargado del protocolo IKEv1 que provoca un bucle infinito. Esta vulnerabilidad está identificada como CVE-2011-3266.

Existe un error al procesar un fichero de capturas mal formado, que provoca un fallo en el manejo de la memoria y causa una denegación de servicio.

Existe un error no especificado que permite a un atacante ejecutar código LUA a través de técnicas similares al DLL hijacking.

Existe un error en la función 'csnStreamDissector' del disector 'CSN.1' al asignar el valor de 'type' que permite a un atacante causar una denegación de servicio.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Wireshark 1.6.2 Release:
http://www.wireshark.org/docs/relnotes/wireshark-1.6.2.html

OpenSafety Fix:
http://anonsvn.wireshark.org/viewvc?view=revision&revision=38213

CSN1 Fix
http://anonsvn.wireshark.org/viewvc?view=revision&revision=38430

viernes, 16 de septiembre de 2011

Resumen de boletines de Microsoft en septiembre

Tal y como adelantamos, este martes Microsoft ha publicado cinco boletines de seguridad (del MS11-070 hasta el MS11-074) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft todos los boletines presentan un nivel de gravedad "importante" y en total se han resuelto 15 vulnerabilidades.

* MS11-070
Elevación de privilegios en el Servicio de Nombres Internet de Windows (WINS) a través del envío de paquetes especialmente manipulados, afectando a Windows Server 2003 y 2008 (CVE-2011-1984).

* MS11-071
Ejecución remota de código en Windows Components (CVE-2011-1991) afectando a todas las versiones de Windows: XP, Vista, W7 y Server 2003 y 2008. Esta vulnerabilidad se basa en la falta de políticas de seguridad a la hora de controlar la ruta de ejecución de librerías externas, permitiendo que un atacante utilice DLLs especialmente manipuladas situadas en el mismo directorio donde la víctima ha ejecutado el archivo .txt o .doc, por ejemplo.

* MS11-072
Ejecución remota de código en Microsoft Excel, a través de ficheros .xls especialmente manipulados, afectando a la familia Office 2003, 2007 y 2010 para Windows, Office 2004, 2008 y 2011 para Mac y los visores de Excel, paquetes de compatibilidad con Office 2007, Sharepoint Server 2007 y Office Web Apps 2010 (CVE-2011-1986, CVE-2011-1987, CVE-2011-1988, CVE-2011-1989 y CVE-2011-1990).

* MS11-073
Ejecución remota de código en Microsoft Office 2003, 2007 y 2010, a través de la carga de librerías externas (CVE-2011-1980) o a través de ficheros .docx especialmente manipulados, debido a un fallo de inicialización de punteros en MSO.dll (CVE-2011-1982).

* MS11-074
Elevación de privilegios en Sharepoint Server y Workspace 2007, 2010 y Services 2 y 3, y en la familia Office Groove y Forms 2007, a través de ataques cross-site scripting y permitiendo revelación de información sensible (CVE-2011-1252, CVE-2011-0653, CVE-2011-1890, CVE-2011-1891, CVE-2011-1892 y CVE-2011-1893).

Cabe reseñar como elemento común de vulnerabilidad, y particular de Microsoft, la impermutable vigencia de errores a la hora de cargar DLL externas tanto en CVE-2011-1991 como en CVE-2011-1980 y que de muchas de ellas existe disponible un exploit público.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Aunque Microsoft ha puntuado las vulnerabilidades como 'Importantes', el hecho de que existan exploits públicos recomienda la actualización de los sistemas con la mayor brevedad posible.


José Mesa Orihuela
jmesa@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de septiembre 2011
http://technet.microsoft.com/en-us/security/bulletin/ms11-sep

MS11-070 - Una vulnerabilidad en WINS podría permitir la elevación de privilegios
http://technet.microsoft.com/en-us/security/bulletin/ms11-070

MS11-071 - Una vulnerabilidad en los componentes de Windows podría permitir la ejecución remota de código
http://technet.microsoft.com/en-us/security/bulletin/ms11-071

MS11-072 - Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código
http://technet.microsoft.com/en-us/security/bulletin/ms11-072

MS11-073 - Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código
http://technet.microsoft.com/en-us/security/bulletin/ms11-073

MS11-074 - Vulnerabilidades en Microsoft SharePoint podrían permitir la elevación de privilegios
http://technet.microsoft.com/en-us/security/bulletin/ms11-074

jueves, 15 de septiembre de 2011

Libro: "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos

Sergio de los Santos de Hispasec Sistemas ha realizado un libro sobre seguridad editado en la colección de Informatica64. El libro abarca técnicas de seguridad avanzada en Windows, y está destinado a profesionales y usuarios preocupados por la seguridad que quieran proteger realmente un Windows actual sin recurrir a los consejos tradicionales y desfasados. "El primer libro de seguridad para Windows que no recomienda explícitamente un antivirus".


El libro trata de forma técnica y en profundidad las nuevas ventajas técnicas de Microsoft Windows, además de las funcionalidades anteriores que (a juicio del autor) no se han sabido aprovechar desde que fueron creadas. Incluye consejos prácticos, ideas y demostraciones. Entre otros muchos, los temas tratados son: ASLR, DEP, UAC, MIC, SysKey, LM/NTLM, ACLs, SRP, EMET, MBR, AppLocker, permisos y privilegios, BitLocker y EFS, seguridad real en el navegador... y otros tantos.

Los objetivos impuestos para la creación del libro han sido:

* Ofrecer información condensada que soporte revisiones y relecturas. Un libro que merezca la pena conservar.

* Ser eminentemente práctico.

* Evitar las explicaciones "académicas" o de Wikipedia.

* Evitar dar información redundante que puede encontrarse a simple vista en las opciones de un programa o funcionalidad.

* Aportar siempre que sea posible datos de la experiencia real y práctica de la vida del administrador o el usuario avanzado.

* No convertir un libro en la enumeración de un arsenal de herramientas. Es más importante entender los conceptos que conocer muchos programas.

* Independencia y rigor.

Reproducimos a continuación el texto en la contraportada:

"Hoy en día no sufrimos las mismas amenazas (ni en cantidad ni en calidad) que hace algunos años. Y no sabemos cuáles serán los retos del mañana. Hoy el problema más grave es mitigar el impacto causado por las vulnerabilidades en el software y la complejidad de los programas. Y eso no se consigue con una guía "tradicional". Y mucho menos si se perpetúan las recomendaciones "de toda la vida" como "cortafuegos", "antivirus" y "sentido común". ¿Acaso no disponemos de otras armas mucho más potentes? ¿Acaso seguimos luchando con versiones ligeramente avanzadas de las mismas piedras y palos de hace diez años mientras nos encontramos en medio de una guerra futurista? Disponemos de las herramientas "tradicionales" muy mejoradas, cierto, pero también de otras tecnologías avanzadas para mitigar las amenazas. El problema es que no son tan conocidas ni simples como piedras y palos. Por tanto es necesario leer el manual de instrucciones, entenderlas... y aprovecharlas... El primer libro de seguridad para Windows que no recomienda explícitamente un antivirus".

El libro sale a la venta por 20 euros y puede comprarse en:

http://www.informatica64.com/libros.aspx?id=mswindows

Más información:

Máxima Seguridad en Windows: Secretos Técnicos
http://www.informatica64.com/libros.aspx?id=mswindows

miércoles, 14 de septiembre de 2011

Reemplazan uTorrent por malware en utorrent.com

El día 13 de septiembre los servidores de la compañía BitTorrent fueron atacados, con el resultado del reemplazo de los clientes P2P legítimos por malware.

BitTorrent es la empresa desarrolladora de los clientes Torrent más populares entre los usuarios de redes P2P: BitTorrent y uTorrent.

El día 13, durante un par de horas, las versiones para Windows de los clientes torrent alojados en los servidores utorrent.com fueron reemplazados por un malware que simula ser un antivirus. Después de la instalación, un programa llamado "Security Shield" lanza mensajes de alerta acerca de detecciones de virus, y solicita al usuario un pago para la desinfección del sistema. Este es el resultado de la instalación del malware (típico rogueware):




Se calcula que alrededor de 28.000 usuarios han descargado el programa durante ese tiempo. Aunque en un principio afirmaron que bittorrent.com también había sido comprometido, parece que el software descargado desde esa web finalmente no ha sido atacado.

Según nuestros datos en VirusTotal, la primera muestra de este rogueware llega el día 13 a las 16:27 GMT, y era detectado (por firmas) por 9 de 44 motores.

BitDefender Gen:Variant.FakeAlert.88
DrWeb Trojan.Fakealert.22515
GData Gen:Variant.FakeAlert.88
K7AntiVirus Trojan
McAfee FakeAlert-SecurityTool.bt
Microsoft Rogue:Win32/Winwebsec
NOD32 a variant of Win32/Kryptik.SSY
Norman W32/FakeAV.AEQY
Sophos Mal/FakeAV-KL

En estos momentos ya es detectado por 21 de 44 motores.

Juan José Ruiz
jruiz@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Security Incident
http://blog.bittorrent.com/2011/09/13/security-incident/

martes, 13 de septiembre de 2011

Vulnerabilidad de escalada de directorios en BlueCoat Reporter

Existe un error al filtrar el contenido accesible por un usuario no autenticado en BlueCoat Reporter 9.x. Esto permite a un atacante remoto acceder a cualquier archivo del sistema a través de HTTP, mediante la modificación de la URL.

BlueCoat Reporter es un software que permite obtener reportes de la actividad de red detectada por otros programas como ProxySG o MACH5.

Un atacante remoto podría usar esta vulnerabilidad para acceder (ni modificar ni eliminar) a datos confidenciales fuera del entorno web, y solo afecta cuando el programa está alojado en sistemas Windows.

Por el momento solo está disponible el parche para la versión 9.3. BluCoat otorga una criticidad máxima a la vulnerabilidad si el producto se encuentra disponible en una red pública sin protección.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Security Advisories:
https://kb.bluecoat.com/index?page=content&id=SA60

lunes, 12 de septiembre de 2011

Atacan los servidores de la Linux Foundation

Después de que los servidores de kernel.org se viesen comprometidos, la Linux.com ha detectado brechas de seguridad en sus propios servidores posiblemente relacionadas con los sufridos en agosto por el repositorio del núcleo. Debido a esto, las infraestructuras de Linux Foundation se encuentran en estado de mantenimiento con objeto de mejorar y fortalecer la seguridad en sus servidores.

Linux Foundation es un consorcio sin ánimo de lucro surgido en 2007 de la unión de Open Source Development Labs (OSDL) y Free Standards Group (FSG) con el objetivo de fomentar el crecimiento del sistema operativo GNU/Linux. Promociona, protege y estandariza los recursos y servicios necesarios para que el software libre pueda competir con plataformas cerradas.

En estos momentos y desde el día 8, al visitar los sitios web LinuxFoundation.org, Linux.com, y sus correspondientes subdominios se puede observar un mensaje que informa del mantenimiento que se está llevando a cabo. Además se insta a los usuarios a cambiar las contraseñas y claves SSH que hayan utilizado en estos sitios comprometidos, así como aquellas contraseñas que sean reutilizadas en sitios ajenos a ellos por motivos de seguridad.


Juan José Ruiz
jruiz@hispasec.com



domingo, 11 de septiembre de 2011

OpenSSL 1.0.0e soluciona dos vulnerabilidades

Se ha publicado la versión 1.0.0e de OpenSSL que soluciona dos vulnerabilidades.

OpenSSL es un proyecto para desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3), de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.

La primera de las vulnerabilidades corregidas, identificada como CVE-2011-3207, es un error al validar CRL. Este fallo permite a un atacante validar como correcto un certificado especialmente diseñado, por ejemplo haciendo uso de X509_V_FLAG_CRL_CHECK o X509_V_FLAG_CRL_CHECK_ALL.

El segundo fallo solucionado es un error en 'ephemeral ECDH ciphersuites', que permite provocar una denegación de servicio a través de peticiones en un orden incorrecto. Como contramedida se puede desactivar 'ephemeral ECDH ciphersuites'. Este fallo se ha identificado con el CVE-2011-3210.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

OpenSSL Security Advisory:
http://www.openssl.org/news/secadv_20110906.txt

sábado, 10 de septiembre de 2011

Cross Site Scripting en jQuery 1.6

Se ha arreglado una vulnerabilidad que permitía realizar ataques cross site scripting (XSS ) en jQuery 1.6. La vulnerabilidad podía ser explotada en ciertos sitios que utilizaran la variable 'location.hash' en un contexto que no fuera el de Cascading Style Sheets (CSS).

jQuery es una biblioteca o framework JavaScript de software libre y código abierto. Es compatible con la mayoría de navegadores actuales y ofrece una serie de funcionalidades basadas en JavaScript que de otra manera requerirían muchas líneas de código. Así, permite simplificar la manera de interactuar con los documentos HTML, manipular el árbol DOM, manejar eventos, desarrollar animaciones y agregar interacción con la técnica AJAX a páginas web.

El error se produce cuando se introduce el símbolo '#' en la URL seguido del código que se desee inyectar, puesto que jQuery espera (erróneamente) que la cadena que se va a encontrar a continuación sea código CSS. Debido a esto no realizan las comprobaciones necesarias para limpiar el contenido de la variable 'location.hash'. Al parecer es una costumbre bastante extendida en algunas webs, utilizar el contenido de esta variable para fines diferentes a los originales (para ser insertada en código CSS). Es el caso de evernote.com o skype.com, entre otras. Por esto, se ha optado en la solución por que sea el propio jQuery el que filtra el código HTML que pueda ser incrustado a través de esta variable, y no delegar esta responsabilidad a todos los programadores que vayan a utilizarla.

La vulnerabilidad, que era funcional en Internet Explorer, Firefox, Chrome y Opera, se ha arreglado en la versión 1.6.3 de jQuery. Los usuarios del navegador Safari no se veían afectados porque este navegador se encargaba de codificar el contenido de esta variable mediante el símbolo de porcentaje '%'.


Javier Rascón
jrascon@hispasec.com
Twiter: @jvrrascon

Más información:

Changelog jQuery 1.6.3
http://blog.jquery.com/2011/09/01/jquery-1-6-3-released/

Bug XSS
http://bugs.jquery.com/ticket/9521

Ejemplo de XSS y explicación de cómo filtrar esta variable
http://ma.la/jquery_xss/

viernes, 9 de septiembre de 2011

Microsoft publicará cinco boletines de seguridad el próximo martes

Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará el próximo 13 de septiembre cinco boletines de seguridad, del MS11-070 al MS11-074, con un número indeterminado de vulnerabilidades cada uno.

Los fallos afectan a toda la gama de sistemas operativos Windows, Office, Groove Server 2010, SharePoint Services 2.0 y 3.0, y SharePoint Foundation 2010.

La totalidad de los boletines presentados son calificados como importantes.

Hace unos días se ha hecho público un problema en Windows 2008 R1 que podría permitir a un atacante local provocar una denegación de servicio (Blue Screen of Death). Sin embargo según parece, Microsoft ha informado a su descubridor que no se publicará un parche específico para este problema, y sólo será solucionado en un futuro Service Pack.

Además, como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool que estará disponible desde Microsoft Update, Windows Server Update Services, y centro de descarga.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Juan José Ruiz
jruiz@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for September 2011
http://technet.microsoft.com/en-us/security/bulletin/ms11-sep

jueves, 8 de septiembre de 2011

Ekoparty Security Conference 2011

Ekoparty (http://www.ekoparty.org) presenta su 7ª edición en Buenos Aires del 19 al 23 de septiembre en Ciudad Cultural Konex. La edición 2010 fue un éxito rotundo en convocatoria con más de 850 asistentes, duplicando la cantidad de participantes del año anterior. Contó con más de 24 conferencias, 11 de ellas con speakers internacionales, que fueron seleccionados entre 71 papers presentados para participar en el evento. Este año el evento se amplía aún más, sumando un auditorio adicional por la creciente demanda de participantes.

El evento anual más esperado de seguridad de la información se desarrolla en un ámbito amigable para que los asistentes, invitados, especialistas y referentes de todo el mundo tengan la oportunidad de involucrarse con innovación tecnológica, vulnerabilidades y herramientas en un ambiente distendido y de intercambio de conocimientos. La Ekoparty reúne speakers extranjeros y locales, invitados de Latinoamérica y el
mundo. La idea surgida del circuito underground de IT, nació ante la necesidad de generar un espacio más amplio para el intercambio de conocimientos. Ekoparty Security Conference permite a consultores,
oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, Nerds y entusiastas de la tecnología reunirse y actualizarse de los descubrimientos más importantes en
seguridad informática.

Conferencias Ekoparty 2011 (21 y 23 de septiembre):

* BEAST: Surprising crypto attack against HTTPS, Juliano Rizzo

"Durante esta charla se mostrará el ataque criptográfico contra HTTPS, que podría permitir a un atacante romper la seguridad de sitios web seguros, como un homebanking o un webmail".

* The Baseband Playground, Luis Miras. "Se utilizará una técnica similar a la que se utiliza para desbloquear un celular y utilizar un operador diferente, pero con el objetivo de inyectar nuestro propio código y realizar modificaciones más que interesantes".

* Snakes on a Payload: Bundling Python with your shellcode, Pedro Varangot y Fernando Russ

"Durante esta charla, se analizarán técnicas que pueden ser utilizadas durante la etapa de post-explotación de una vulnerabilidad, que permitirán realizar acciones avanzadas en el sistema de la víctima".

* Deep boot, Nicolás Economou: "Durante esta charla, se analizarán técnicas que permitirán tomar
control del sistema operativo de la víctima, desde el primer momento en que este comienza a correr".

* Reversing the State: gastopublicobahiense.org ,Manuel Aristaran

"Se presentará una herramienta que permitió el análisis del gasto público de Bahía Blanca, tomando datos publicados por la intendencia, y que permitió descubrir cómo gasta el municipio el dinero de los contribuyentes".

* iOS Code Injection and Function Hooking, Michael Price: "Se demostrarán técnicas avanzadas para hackear el iOS, el sistema operativo del iPhone, entre otros productos de Apple".

* Your crown jewels online: Attacks to SAP Web Applications, Mariano Di Croce

"Se demostrará como atacar SAP, el sistema de base de datos que es el corazón del negocio de las grandes corporaciones".

* Attacking the Webkit Heap, Agustin Gianni: "Se demostrará como atacar el WebKit Heap, una librería que es utilizada por sistemas como Chrome, Safari, Android, Kindle y Blackberry, entre otros, y que permitiría conseguir acceso a estos".

* Defeating x64: Modern Trends of Kernel-Mode Rootkits, Eugene Rodionov, Aleksandr Matrosov

"Durante esta charla, se presentarán métodos para saltear los mecanismos de seguridad implementados por las versiones de Microsoft Windows de 64 bits, que originalmente fueron consideradas resistentes contra rootkits en modo kernel debido a los chequeos de integridad de código realizados por el sistema".

* Setting The Evil Bit: Malicious Traffic Hiding In Plain Sight, Alex Kirk: "Durante esta charla, se realizará un análisis de las extrañas conexiones que realizan gran parte de los malwares del mundo, por uno de los mayores expertos en el tema".

* Bosses love Excel, Hackers too, Chema Alonso: "Durante esta charla, se analizarán técnicas para descubrir las redes internas de una organización a través de metadatos publicados en Internet, y cómo eludir la protección de seguridad de Excel para insertar código malicioso en una planilla".

* Análisis Forense en dispositivos iOS, Jaime Restrepo: "Se analizarán técnicas de Análisis Forense en dispositivos iOS, como el iPhone, entre otros productos de Apple".

* Experiments using IDA Pro as a data store, Aaron Portnoy: "Esta charla cubrirá los experimentos realizados por el equipo de seguridad de TippingPoint utilizando el programa IDA Pro para copiar un
datasource".

* Exprimiendo la web: obteniendo datos de a gotas para ownear a cualquier argentino, Cesar Cerrudo

"Los asistentes aprenderán como se pueden extraer datos fácilmente de casi cualquier sitio web, y como prevenirse para no ser el blanco de ataques".

* SCADA trojans: Attacking the grid + 0dayz, Rubén Santamarta: "Como, cuando, donde, porque y quien puede atacar los sistemas de control industrial, específicamente los de manejo de energía, son algunas de las cuestiones que conducirán la charla. Se hará un recorrido sobre los ataques teóricos, añadiendo nuevos vectores y métodos de ataque más prácticos. La charla tendrá un importante contenido práctico, exponiendo 0days en software y hardware SCADA. Finalmente se modelara un ataque destinado a *apagar* un país."


Ekoparty Security Trainings 2011


Al igual que en las ediciones anteriores, previas a los dos días de conferencias (del 19 y 20 de septiembre) los disertantes más importantes del sector dictarán una serie de trainings:

Algunas de las propuestas de actividades que participativas de Ekoparty son:

* Desafío de Lockpicking, un taller donde los asistentes pueden aprender sobre las vulnerabilidades de diferentes cerraduras, las técnicas utilizadas para explotar estas vulnerabilidades, y practicar con
cerraduras de diversos niveles de dificultad.

* Wardriving en Buenos Aires, es un recorrido con un vehículo por la ciudad de Buenos Aires para descubrir enlaces Wi Fi y tratar de crear un mapa mostrando los accesos.

* Wargames, es una competencia donde se ponen a pruebas los conocimientos prácticos de seguridad de los concursantes, se puede jugar solo o en grupo y consiste en un juego en el cual tienen que pasar
distintos niveles, cada nivel es un desafío que involucra vulnerar un sistema. Gana la competencia quien consiga más niveles.

* Zona de relax.

* Exposición y actividades relacionadas con el arte digital.

* After Party.

* Promoción de las redes sociales.

Además de brindar un espacio único para el intercambio de conocimientos, la Ekoparty tendrá una serie de actividades extras, dinámicas y distendidas, relacionadas a lo lúdico, arte digital, shows de música,
video juegos, entre otras.


A quienes está dirigido la Ekoparty:


A los que están profundamente involucrados en implementaciones de IT y en decisiones de negocios, consultoras y empresas.

* Target: entre 18 y 35 años

* Especialistas trabajando en corporaciones líderes de la región.

* Estudiantes

* Profesionales altamente calificados en seguridad informática.

* Entusiastas de la tecnología

* A todos aquellos interesados en el intercambio, y análisis de ideas,
experiencias y proyectos en el mundo de la Seguridad Informática.

Los sponsors que apoyan la Ekoparty son: Tipping Point, Eset, Microsoft, Intel, Immunity Sonicwall, Fortinet, IOActive Core, Checkpoint, SonicWall, Google, Blackberry. Los organizadores son las empresas
Infobyte, Emips y Base 4.



Organización Ekoparty
organizacion@ekoparty.org


Más información:
http://www.ekoparty.org

miércoles, 7 de septiembre de 2011

DigiNotar: La tercera revocación masiva en 10 años

Hoy Microsoft ha publicado en forma de actualización automática su tercera revocación masiva en 10 años... y la segunda de 2011. Y no solo ha avanzado en número sino en "calidad" de las revocaciones. El incidente del compromiso de DigiNotar ha disparado las dudas sobre el funcionamiento PKI. Y lo peor es que parece que lo interesante está por llegar.

Marzo 2001. VeriSign

VeriSign, la empresa líder en emisión de certificados para Internet, protagonizó en marzo de 2001 uno de los fiascos más importantes de su historia. Emitieron dos certificados a un impostor que se hizo pasar por trabajador de Microsoft. Esto hubiera permitido, por ejemplo, firmar programas o cualquier software malicioso como si fueran aplicaciones originales de Microsoft. McAfee y Symantec se apresuraron en anunciar que sus antivirus cuentan con actualizaciones para detectar los certificados fraudulentos, como si de un virus se tratara. Los certificados fueron revocados en la actualización de Microsoft MS01-017. El origen del fallo fue el protocolo de validación, usando la ingeniería social.

Este era el aspecto por defecto (hasta marzo de 2011) del manejador de certificados de cualquier Windows (ejecutar certmgr.msc en la línea de comandos):



Marzo 2011. Comodo

Comodo reconoció que un atacante con IP de Irán se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para hacerse pasar por esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org...

Si en la ocasión anterior se revocaron certificados de firma de código, era la primera vez que se hacía una revocación masiva de certificados SSL y a nivel de dominios importantes.

Este era el aspecto por defecto (hasta septiembre de 2011) del manejador de certificados de cualquier Windows:




Septiembre 2011. DigiNotar

Al parecer, el mismo intruso que consiguió emitir los certificados fraudulentos de Comodo, compromete por completo la compañía DigiNotar (de Vasco) y se detectan certificados de decenas de dominios importantes. La "calidad" de la revocación aumenta, y no sólo se invalidan certificados concretos por "fraudulentos" sino a la entidad entera (sus certificados raíz) por "no confiables". El atacante entró hasta el último recodo de la empresa.

Este es el aspecto del manejador de certificados de cualquier Windows actual:




Futuro...

Rota por completo la confianza en DigiNotar, probablemente desaparezca o, como se suele hacer, cambiará de nombre para intentarlo de nuevo.

GlobalSign, otra importante empresa certificadora, acaba de confirmar que ha sufrido una intrusión.

El atacante iraní que afirma ser el autor del compromiso de DigiNotar, también asegura tener acceso a otras entidades certificadoras y la posibilidad de emitir nuevos certificados falsos.

Aunque PKI esté concebida para sufrir este tipo de revocaciones ocasionales, el hecho de que se utilicen con tanta asiduidad merma la confianza en el modelo. Además en dispositivos móviles, por ejemplo, cada vez más utilizados para navegar, no es tan sencillo actualizar y revocar certificados...

Habrá que estar atentos.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Más información:

Incident Response
http://www.globalsign.com/company/press/090611-security-response.html

Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard
http://technet.microsoft.com/en-us/security/bulletin/ms01-017

Another status update message
http://pastebin.com/85WV10EL

Microsoft Security Advisory (2607712)
Fraudulent Digital Certificates Could Allow Spoofing
http://www.microsoft.com/technet/security/advisory/2607712.mspx

martes, 6 de septiembre de 2011

Ejecución remota de código arbitrario en Novell Cloud Manager y PlateSpin Orchestrate

Existe un fallo en Novell Cloud Manager y PlateSpin Orchestrate que podría permitir a un atacante remoto no autenticado causar una denegación de servicio y, potencialmente, ejecutar código arbitrario con los permisos del contexto sobre el que esté funcionando el servicio explotado.

El fallo se encuentra en la implementación de los métodos RPC. Al no realizar una validación suficiente de los datos suministrados por el usuario, proceden a la creación de una sesión parcialmente inicializada. Esta sesión parcialmente inicializada es la que permitirá, sin necesidad de ningún tipo de autenticación, realizar llamadas RPC privilegiadas en el servidor, y por lo tanto, ejecutar código arbitrario en el contexto sobre el que esté funcionando el servicio explotado. No se han dado más detalles de dicha vulnerabilidad.

Las versiones afectadas son Novell Cloud Manager 1.1.x y PlateSpin Orchestrate 2.6.0, para las cuales Novell ya ha puesto a disposición un parche que solventa esta vulnerabilidad. El CVE asignado a esta vulnerabilidad es el CVE-2011-2654.


Javier Rascón
jrascon@hispasec.com
Twiter: @jvrrascon


Más información:

Parche Novell:
http://download.novell.com/Download?buildid=NSONlV5PqMo~

ZDI Advisory
http://www.zerodayinitiative.com/advisories/ZDI-11-278/

lunes, 5 de septiembre de 2011

Conversaciones sobre certificados, seguridad y pornografía

Transcribo una conversación (ficticia sólo en parte) con un usuario de Internet normal y corriente, preocupado por la seguridad y que se ha interesado por los últimos incidentes con certificados falsos. Quiere saber qué postura adoptar. Con actitud desenfadada, pretendo concienciar sobre la enorme distancia que separa SSL/TLS del usuario común, y cómo está "socialmente roto".

-Entonces, lo que ha ocurrido es que se han robado los certificados de Google, ¿no? Como si te roban el DNI. Es lo que he leído -mi amigo pregunta realmente convencido, pues es cierto que se documenta en prensa reputada.

-No se han robado exactamente. Alguien ha violado la seguridad de una empresa (DigiNotar) de certificación y ha generado sus propios certificados falsos que pasan por válidos para los programas que lo utilizan.

-Entonces es como si engañara a todo el mundo, y se pueden hacer pasar por Google. ¿no? Vaya, no puedo fiarme de esta empresa... cada vez tiene más problemas de seguridad...

-No es un problema de seguridad de Google. De hecho no tiene nada que ver ni es su responsabilidad. Es más, se ha descubierto que no sólo ha sido de Google... hay muchos certificados creados de otro dominios importantes.

-¿De quién es la responsabilidad entonces?

-De las entidades certificadoras que no validan bien los certificados o que por cualquier motivo, dejan sus sistemas expuestos para que los atacantes puedan acceder.

-¿Y por qué eso no lo controla una empresa más importante o un gobierno? DigiNotar no parece muy potente, no hay más que ver la página...

-Excelente pregunta. Solo te diré que con los certificados digitales se mueve mucho dinero... y cuantos más intermediarios, más volumen de negocio. En cualquier caso el problema para el usuario de a pie es que pueden engañarle y llevarle a una página falsa, sí, pero previamente tendrían que redirigir tu tráfico.

-¿Quién? ¿Un troyano?

-Un troyano o tu ISP (bajo órdenes de un gobierno, se supone)... y esto es lo más preocupante.

-Pero entonces, me estás diciendo que aunque me conecte a mi banco y aparezca como "web segura", la barra de direcciones en verde, y todo parezca correcto como me has enseñado, puede que realmente no esté en una "web segura".

-Exacto. Tendrías que mirar la cadena de validación del certificado, y comprobar que no solo la entidad final, sino que las entidades intermediarias son de confianza. Esto es complicado, lo mejor sería comprobar en un sistema no contaminado cuál es la ruta de certificación adecuada y comprobar en cada conexión que no varía. Además ver si realmente resuelve a la IP que debería...

-¿¿Cómo?? ¿Acaso necesito estudiar una carrera para saber simplemente si me he conectado o no a mi banco?

-Es igual que si alguien pega en tu puerta y quiere revisar la instalación del gas... deberías pedirle acreditación cada vez... pero bueno, no importa. El caso es que sí, con este tipo de problemas, estar o no en una "web segura" por el hecho de que lo indique el navegador, no es relevante ni concluyente.

-¡Pero si estoy harto de leer en todas las recomendaciones que si la barra de direcciones está en verde la web es de confianza! ¿Me estás diciendo que esta regla no es válida siempre?

-Bueno, no es del todo cierto. No es lo "único" que hay que hacer... Además de este problema con certificados "duplicados", hay fallos más "sencillos" de reproducir, sin necesidad de que redirijan tu tráfico ni nada de eso. Hay páginas de phishing que utilizan certificados baratos y se mostrarán como webs de "confianza" y "seguras" en el navegador por el simple hecho de que coinciden con el domino.

-¡¿Cómo?! ¿Aunque mi ordenador esté "limpio" no puedo confiar en el SSL?

-Bueno, no tienes por qué... pero creo que el problema más grave es que puedes estar troyanizado y que tu navegador te muestre información que irá a parar a los atacantes. Y realmente seguirás visitando la "web segura" de tu banco... e incluso nadie habrá atacado a ese banco... solo que desde tu ordenador tus datos serán robados.

-¡¡¿Cómo?!! ¿Conectado a una web segura sin problemas de seguridad, puede que los datos no vayan a parar a mi banco?

-Bueno... sí... da igual. Lo importante es que no te fíes de nada.

-Pero si eso ya lo hago... el problema es que tanta desconfianza me paraliza. Al menos intentaré no conectarme a ningún sitio que dé un error SSL... ¿no? Porque eso sí que no es seguro. Además ahora los navegadores te lo ponen complicado para entrar en webs sin certificados válidos.

-Pues... la verdad es que no. Las páginas seguras y legítimas pueden dar errores SSL. Por ejemplo si se les caduca el certificado, o si el certificado está autofirmado.

-Auto... ¿firmado?

-Sí, porque no se utiliza o no se confía en ninguna CA. En ese caso tendrías que ir a la página en cuestión e importar a mano el certificado.

-Creo que me he perdido hace un rato.

-Pues las páginas legítimas que, aun así, aparecen bloqueadas por fallos en sus certificados son más comunes de lo que parece. Por ejemplo hay bancos que han asociado el certificado al dominio con las "www", y si visitas el dominio sin "www", dará un error de certificado. Sin embargo no hay problema, estarás en la página legítima. Por ejemplo, https://lacaixa.es



-¡¡¡¿Cómo?!!! ¿Las páginas legítimas pueden dar un error de SSL? ¿A qué me atengo entonces?

-No es el peor ejemplo... Si te vas a https://www.download.windowsupdate.com/ verás también un error de certificado. Sin embargo, es uno de los sitios oficiales de descarga de Microsoft, solo que pasa por Akamai por el volumen de tráfico, supongo... y el certificado está emitido a su nombre...

-¡¡¡¡¿Cómo?!!!! ¡¿Para qué demonios sirve entonces el SSL, los candaditos, las barras verdes y toda esta historia entonces?!

-Pues no es lo más grave. Si tenemos en cuenta los navegadores... En 2002 se descubrió que Internet Explorer no validaba que el emisor de certificados intermedios tuviese en realidad el poder de emitir certificados... y hace bien poco a iOS de Apple se le detectó la misma vulnerabilidad. En estos casos no hacía falta hacerse con ningún certificado (como lo que ha ocurrido con DigiNotar)... cualquiera con un certificado válido podía realizar este ataque y ni el navegador (ni el usuario) se daría cuenta. Y si quieres te cuento el problema de los certificados con hash MD5 con sus colisiones...

Mi amigo se queda callado durante unos segundos. Parece reflexionar.

-Creo que voy a dejar de usar Internet para asuntos importantes...

-Bueno, es una decisión respetable... Si te quedas más tranquilo, no hace mucho se publicó un estudio que afirmaba que de 269.000 sitios pornográficos estudiados, el 96% estaba limpio de malware.

Más información:

30/06/2010 El divorcio entre el malware y la pornografía

Fallo de validación de certificados en iOS

03/06/2008 Mitos y leyendas: "Compruebe el candadito del navegador
para estar seguro" I (Phishing)

31/12/2008 Investigadores consiguen hacer que cualquier certificado
SSL parezca válido

Sergio de los Santos
Twitter: @ssantosv

domingo, 4 de septiembre de 2011

Nuevos contenidos en la Red Temática CriptoRed (agosto de 2011)

Breve resumen de las novedades producidas durante el mes de agosto de 2011 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS EN LA RED EN EL MES DE AGOSTO DE 2011
* Documento Fraudes Informáticos: Fundamento de responsabilidad de las Instituciones del Sistema Financiero, Santiago Acurio Del Pino, PDF 29 páginas.
http://www.criptored.upm.es/guiateoria/gt_m592f.htm

2. VÍDEOS RECUPERADOS DE CICLOS DE CONFERENCIAS UPM TASSI 2008
* Seguridad: un aspecto esencial para la tutela de la protección de datos, Celia Fernández, Universidad Politécnica de Madrid
http://www.youtube.com/watch?v=IhjoGNqtNh0
* Introducción a la criptografía cuántica: alternativas y retos actuales, Fernando Acero, Hispalinux
http://www.youtube.com/watch?v=En_IsCYQNwM
* Evolución del Malware: Malware 2.0, Antiphising y Antitroyanos, Sergio de los Santos, Hispasec
http://www.youtube.com/watch?v=ejFpdv4THMk
* Documentos Electrónicos que Conviven con los de Papel, Julián Inza, Albalia Interactiva
http://www.youtube.com/watch?v=ip7-oagWuHU
* Auditoría de Seguridad. Certificaciones de Seguridad, Eva Muñoz, Applus+
http://www.youtube.com/watch?v=Pp-02wboAcE

3. VÍDEOS RECUPERADOS DE CICLOS DE CONFERENCIAS UPM TASSI 2009
* La seguridad en los documentos de identidad, Juan Crespo del Cuerpo Nacional de Policía
http://www.youtube.com/watch?v=B13-nLCyiMs
* Perspectiva española en seguridad (estándar ISO/IEC 27001), Alejandro Corletti
http://www.youtube.com/watch?v=rC56SKnAns0
* Protección de datos personales en Internet, Samuel Parra, Blog Protección de Datos Personales, ePrivacidad
http://www.youtube.com/watch?v=QSjkOnkZjoc
* Seguridad en la red, confianza en línea para tod@s, Víctor Domingo, Asociación de Internautas
http://www.youtube.com/watch?v=SpFkbeEJJo0
* Amenazas de seguridad. Realidad o ficción. Evolución de las técnicas de ataque, Chelo Malagón, RedIRIS
http://www.youtube.com/watch?v=WSDZ83tgQ0k
* Privacidad y Gestión de Identidades, Rosa García Ontoso, Agencia de Informática de la Comunidad de Madrid
http://www.youtube.com/watch?v=ONv5RBTaF1M

4. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE AGOSTO DE 2011
* Informe de la Red de Sensores del mes de julio de 2011 sobre virus y malware (INTECO, España)
https://ersi.inteco.es/informes/informe_mensual_201107.pdf

5. RELACIÓN DE CONGRESOS, SEMINARIOS Y CONFERENCIAS POR ORDEN CRONOLÓGICO
DE CELEBRACIÓN
* Agosto 29 a septiembre 2 de 2011: 3er Workshop de Seguridad Informática (Córdoba - Argentina)
* Septiembre 11 al 15 de 2011: Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (Castillo de Cardona - España)
* Septiembre 15 al 16 de 2011: International Conference on Information Technologies InfoTech 2011 (Varna - Bulgaria)
* Septiembre 15 al 16 de 2011: 4th SETOP International Workshop on Autonomous and Spontaneous Security (Lovaina - Bélgica)
* Septiembre 15 al 16 de 2011: 6th DPM International Workshop on Data Privacy Management ((Lovaina - Bélgica)
* Septiembre 16 al 17 de 2011: VIII edición Congreso No cON Name 2011 (Barcelona - España)
* Octubre 17 al 21 de 2011: First International Workshop on Rational, Secure and Private Ad-Hoc Networks RASEP '11 (Creta - Grecia)
* Octubre 26 al 28 de 2011: 17th International Congress on Computer Science Research CIICC'11 (Morelia - México)
* Noviembre 2 al 4 de 2011: VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Bucaramanga - Colombia)
* Noviembre 7 al 11 de 2011: Workshop sobre Seguridad de la Información e Inteligencia Artificial en la Internet de las Cosas SIIAIC (La Laguna - España)
* Noviembre 7 al 11 de 2011: XXIII Encuentro Chileno de Computación ECC2011 (Talca - Chile)
* Noviembre 7 al 11 de 2011: 30th International Conference of the Chilean Computer Science Society SCCC2011 (Talca - Chile)
* Noviembre 17 al 18 de 2011: Jornadas de Criptografía Spanish Cryptography Days SCD2011 (Murcia - España)
* Noviembre 28 al 30 de 2011: 2nd International Symposium on Innovation and Technology ISIT 2011 (Lima - Perú)
* Noviembre 28 a diciembre 2 de 2011: Workshop on Computational Security 2011 en el Centre de Recerca Matemàtica (Bellaterra - España)
* Diciembre 13 al 15 de 2011: 10th International Information and Telecommunication Technologies Conference (Curitiba - Brasil)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

6. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE AGOSTO DE 2011
* El 15 de septiembre vence el plazo para el envío de las encuestas sobre la enseñanza en grado de SI (España)
* Tercer y último llamado para el envío de presentaciones al Taller TIBETS 2011 (Colombia)
* CFP para el 2nd International Symposium on Innovation and Technology ISIT 2011 de Lima (Perú)
Acceso al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2011.htm#ago11

7. OTROS DATOS DE INTERÉS EN LA RED TEMÁTICA
* Número actual de miembros en la red: 894
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas criptored: 29.840 visitas, con 125.377 páginas solicitadas y 34,39 Gigabytes servidos en agosto de 2011, descargándose 20.342 archivos zip o pdf
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html
* Estadísticas intypedia: 6.904 reproducciones en agosto de 2011
http://www.criptored.upm.es/paginas/intypediamensual.htm

8. VI Congreso Iberoamericano CIBSI 2011
Buracamanga, Colombia, del 2 al 4 de noviembre
Primer Taller Iberoamericano TIBETS 2011
Buracamanga, Colombia, 3 de noviembre
http://www.cibsi.upbbga.edu.co/


Jorge Ramió Aguirre
Coordinador de Criptored
Twitter: @criptored



sábado, 3 de septiembre de 2011

Denegaciones de servicio en Cisco Unified Communications Manager

Cisco ha confirmado cinco vulnerabilidades en Cisco Unified Communications Manager (versiones 4.x, 6.x, 7.x y 8.x) que podrían permitir a un atacante remoto causar condiciones de denegación de servicio.

Cisco Unified Communications Manager es el componente de procesamiento de llamadas de la solución de telefonía IP de Cisco (Cisco IP Telephony).

Las vulnerabilidades están asociadas al servicio de captura de paquetes (Packet Capture Service), a determinadas configuraciones de Media Termination Points (MTP), al tratamiento de determinados mensajes SIP INVITE y las dos últimas al servicio Service Advertisement Framework (SAF). Estos dos últimos problemas también afectan a Cisco Intercompany Media Engine.

Cisco ha publicado actualizaciones para corregir los problemas, mediante las versiones 6.1(5)SU3, 7.1(5b)SU4, 8.0(3a)SU2, 8.5(1)SU2 y 8.6(1).


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Cisco Security Advisory: Cisco Unified Communications Manager Denial of Service Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20110824-cucm.shtml

Cisco Security Advisory: Denial of Service Vulnerabilities in Cisco Intercompany Media Engine
http://www.cisco.com/warp/public/707/cisco-sa-20110824-ime.shtml

viernes, 2 de septiembre de 2011

Nueva versión de Opera soluciona un engaño a través de la barra de direcciones

Se ha publicado una nueva versión del navegador Opera que solventa un fallo que permitiría a una página sin conexión SSL mostrarse como si estuviera protegida por ese protocolo. Se engañaría así a los usuarios que accediesen a ella.

Opera es un navegador web gratuito (no libre) cuyo principal mercado se orienta a los smartphones, donde se mueve por los primeros puestos de uso.

En principio, una página que no se encuentre bajo una conexión segura (SSL) debería ser mostrada como tal, sin ninguna notificación en la barra de navegación. Este fallo, sin embargo, permitía que una página web sin conexión SSL, fuese mostrada como "segura". Esto se conseguía a través de una pagina web (con conexión "habitual", sin cifrar ni autenticar) especialmente manipulada que sí cargaba contenido SSL, del que se mostrada la información de seguridad en la barra de direcciones de la web principal. No han trascendido más detalles de cómo se conseguía explotar esta vulnerabilidad.

La última versión del navegador (Opera 11.51) soluciona este fallo junto con otra vulnerabilidad de severidad baja, descubierta y reportada por Thai Duong y Juliano Rizzo, de la que no se ha dado ningún detalle hasta la fecha. Con respecto a los certificados fraudulentos emitidos por DigiNotar, no ha sido necesaria una actualización del navegador por el propio funcionamiento de Opera al comprobar las listas de revocación.

Javier Rascón
jrascon@hispasec.com
Twiter: @jvrrascon

Más información:

Opera security advisory
http://www.opera.com/support/kb/view/1000/

Opera changelogs
http://my.opera.com/desktopteam/blog/2011/08/30/opera-11-51-released