sábado, 28 de febrero de 2015

CIBSI y TIBETS 2015: Nueva cita con la seguridad de la información en Quito

Del 10 al 12 de noviembre de 2015 tendrá lugar en la ciudad de Quito, en Ecuador, la octava edición del Congreso Iberoamericano de Seguridad Informática CIBSI y el tercer Taller Iberoamericano de Enseñanza e Innovación Educativa en Seguridad de la Información TIBETS

La anfitriona será la Universidad de las Fuerzas Armadas ESPE y contará con la organización de la Red Temática de Criptografía y Seguridad de la Información Criptored, la Fundación In-Nova Castilla-La Mancha y el Centro de Transferencia y Desarrollo Tecnológico Innovativa. La sede de los eventos será el Auditorio de la ESPE en Sangolquí.

El Congreso Iberoamericano de Seguridad Informática CIBSI es una iniciativa de la Red Temática Criptored, una comunidad virtual compuesta por mil miembros y que aglutina a expertos de más de 250 universidades y centros de investigación y más de 300 empresas de la seguridad TIC de 23 países.

Por su parte, el Taller Iberoamericano de Enseñanza e Innovación Educativa en Seguridad de la Información TIBETS, se constituye en un espacio para que profesores y alumnos intercambien experiencias docentes y discentes en el marco de la seguridad de la información, desarrollando temáticas en torno de nuevos enfoques, propuestas y tendencias en la educación de la seguridad informática.

Estos dos eventos de carácter se vienen celebrando en el caso de CIBSI desde hace 15 años con ediciones en México dos ocasiones, Chile, Argentina, Uruguay, Colombia y Panamá. En el caso del taller TIBETS sus dos ediciones anteriores se han celebrado en Colombia y Panamá.

CIBSI y TIBETS han contado con la participación de destacados docentes, técnicos e investigadores de más de una docena de países, lo que permite analizar del estado del arte de la I+D+i en seguridad de la información y sus avances en la enseñanza, una especialidad que cada día juega un papel más importante en el desarrollo de las naciones y en la protección de los datos de sus ciudadanos, así como sus infraestructuras.

Las fechas de interés para los autores en ambos eventos son:
Límite para la recepción de trabajos: 15 de mayo de 2015.
Notificación de aceptación o rechazo: 15 de julio de 2015.
Versión final para actas del congreso: 22 de agosto de 2015.


Como invitado a la sesión plenaria de inauguración, dictará una conferencia magistral D. David Barroso, CTO de Eleven Paths y destacado experto internacional en seguridad y ciberdefensa. Se cuenta con una segunda conferencia plenaria a cargo de Dña. Esther Álvarez, presidenta de la Fundación de In-Nova, y la conferencia inaugural del Taller TIBETS la impartirá el Dr. Jorge Ramió, creador de Criptored y de estos dos eventos.

En un aspecto más lúdico, entre las actividades sociales que se están planificando ofrecer a los congresistas, se contempla el conocimiento del arte y la cultura del país anfitrión, en el cual amerita mención especial la visita a su famoso monumento a la Mitad del Mundo y a su centro histórico, declarado el mejor conservado de Latinoamérica.

Por todos estos motivos, de investigación y desarrollo en el CIBSI, académicos y de innovación educativa en el TIBETS y lúdicos, te recomendamos apuntes y reserves en tu agenda la participación y asistencia a estas dos citas obligadas de la seguridad en Iberoamérica para los días 10, 11 y 12 de noviembre del presente año.

Más información:

Nota de Prensa



Dr. Walter Fuertes, Universidad de las Fuerzas Armadas
Dr. Luis Enrique Sánchez Crespo, Universidad de las Fuerzas Armadas
Dr. Jorge Ramió Aguirre, Criptored - Universidad Politécnica de Madrid


viernes, 27 de febrero de 2015

Denegación de servicio en Cisco IOS XR

Cisco ha confirmado una vulnerabilidad de denegación de servicio remota que afecta a dispositivos con Cisco IOS XR para Cisco Network Convergence System 6000 (NCS 6000) y Cisco Carrier Routing System (CRS-X).

El problema reside en el tratamiento de paquetes IPv6 malconstruidos que incluyan cabeceras de extensión. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de un paquete IPv6 con formato incorrecto, incluyendo cabeceras de extensión, a través de un dispositivo Cisco IOS XR afectado. El problema solo afecta si el dispositivo está configurado para procesar tráfico IPv6.

Cisco ha publicado actualizaciones para evitar este problema
ncs6k-5.0.1.CSCuq95241.smu para la versión 5.0.1 para  NCS 6000
ncs6k-5.2.1.CSCuq95241.smu para la versión 5.2.1 para NCS 6000
hfr-px-5.1.1.CSCus54167.pie para versiones 5.1.1 para CRS-X
hfr-px-5.1.2.CSCus54167.pie para versiones 5.1.2 para CRS-X
hfr-px-5.1.3.CSCuq95241.pie para la versión 5.1.3 para CRS-X
hfr-px-5.1.4.CSCuq95241.pie para versiones 5.1.4 para CRS-X
Se recomienda consultar el boletín publicado disponible en:

Más información:


Cisco IOS XR Software IPv6 Malformed Packet Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150220-ipv6


Antonio Ropero
Twitter: @aropero



jueves, 26 de febrero de 2015

JetLeak: como revelar las últimas peticiones hechas a servidores Jetty

Según un reciente análisis realizado por el investigador Stephen Komal de Gotham Digital Science, existe una vulnerabilidad en el servidor Jetty que puede permitir extraer información sensible del sistema. Se ven afectadas las versiones 9.2.3 a la 9.2.8 y la rama 9.3.x beta

Jetty es un servidor Web y contenedor de 'servlets' basado en Java. Se distribuye y usa en entornos de desarrollo como Eclipse, o multitud de servidores de aplicaciones como JBoss, Apache Geronimo, Google GWT o App Engine entre otros.

La vulnerabilidad JetLeak (CVE-2015-2080) se debe a una incorrecta implementación de las peticiones realizadas al módulo 'HttpParser' a la hora de gestionar en detalle los eventos de error. Debido a esto, una petición especialmente manipulada conseguiría recabar los últimos 16 bytes del búfer compartido de peticiones, dentro de la respuesta HTTP 400. Lo que llevaría a mostrar por tanto información sensible como Cookies, credenciales, correos y diversa información del sistema.

Si entramos en detalle en la vulnerabilidad, una petición realizada a un servidor ya actualizado y que generara un error al utilizar caracteres incorrectos (no ASCII por ejemplo), debería dar una respuesta HTTP 400 similar a ésta:

HTTP/1.1 400 Illegal character 0x7
Content-Length: 0
Connection: close
Server: Jetty(9.2.9.v20150224)

Mientras que en un servidor vulnerable, ante esa misma petición especialmente manipulada daría como resultado el volcado del buffer en la misma respuesta, de la siguiente manera:

HTTP/1.1 400 Illegal character 0x7 in state=HEADER_IN_NAME in 'GET
/dummy/ HTTP/... localhost\nCoo\x07<<<kie: \x07\n\n>>>e:
application/x-...\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
Content-Length: 0
Connection: close
Server: Jetty(9.2.8.v20150217)

Como podemos comprobar, se concatena información del buffer de 'debug' y cualquier script modificado para realizar múltiples conexiones al servidor podría ir recabando todo tipo de información sobre las últimas peticiones hechas.

Se ha facilitado un script para comprobar los servidores afectados:

O a través del siguiente listado de versiones afectadas:
9.2.3.v20140905
9.2.4.v20141103
9.2.5.v20141112
9.2.6.v20141205
9.2.7.v20150116
9.2.8.v20150217
9.3.0.M0
9.3.0.M1

Se recomienda actualizar lo antes posible a la versión 9.2.9:

Más información:

JetLeak Vulnerability: Remote Leakage Of Shared Buffers In Jetty Web Server [CVE-2015-2080]

Jetleak Testing Script

CVE-2015-2080 : JetLeak Vulnerability Remote Leakage of Shared Buffers in Jetty

HttpParser Error Buffer Bleed Vulnerability

Powered by Jetty




José Mesa Orihuela

miércoles, 25 de febrero de 2015

No Me Han Hackeado. Stop.

Hace unos años, a la popular aplicación de mensajería que todo el mundo usa le salió un rival que aprovechaba los puntos débiles de su adversario: la seguridad y privacidad de las comunicaciones, además de otras funcionalidades no relacionadas con la seguridad. En el momento de su lanzamiento tuvo un espectacular crecimiento de usuarios, llegando al nivel de las más veteranas en poco tiempo. Hablemos de Telegram.

Sus creadores, los hermanos Durov, confiaban tanto en las características de cifrado de su creación, que no dudaron en ofrecer una recompensa de 200.000 dólares en bitcoins para aquel que consiguiera descifrar un texto que contenía una dirección de correo electrónico cifrada con MTProto, el protocolo de cifrado propio de la arquitectura.

El premio quedó desierto y volvieron a desafiar a la comunidad, elevando la cuantía a 300.000 dólares y permitiendo esta vez ciertos tipos de elementos más próximos a un escenario de ataque real. En concreto se podía emplear la captura de tráfico entre cliente y servidor, actuar como un servidor malicioso y usar lo que denominaron "ataques activos". Después veremos cómo esta definición tan abierta de "ataque activo" fue tensada hasta el extremo de toparse con su propio cuello.

Nadie consiguió los objetivos del segundo desafío. El premio quedó desierto de nuevo y en el aire la expectativa del lanzamiento de un tercer guante.

¿Sería posible que alguien consiguiera "romper" el cifrado, días después de expirar el reto, y dejara pasar la oportunidad de ganar 300.000 dólares o mucho más en el siguiente desafío?

Según algunos medios sí y por supuesto no tardaron mucho en hacer correr ríos de bits anunciando la noticia, sin más elementos de juicio que un enlace a un post donde se termina cantando las supuestas virtudes de sus propios productos y servicios.

A nadie le pasa desapercibido que un buen titular a tiempo es pegarle un buen empujón a las visitas. No viste lo mismo anunciar una denegación de servicio debido a una referencia a un puntero nulo que un titular del estilo: "Hackean tu Facebook a través de un ataque a tu WhatsApp debido a un exploit en GMail".

El supuesto "hackeo" a Telegram, no es un ataque basado en una debilidad en el protocolo de cifrado o una implementación defectuosa en el cliente que permita a un servidor controlado por el atacante explotarla. La técnica usada para acceder a los mensajes es general, de libro, se resume en un solo párrafo.

Envías a un objetivo un enlace que explota una vulnerabilidad en el navegador, estableces un canal, elevas privilegios y ya eres root. Listo, ya puedes acceder a cualquier rincón del sistema, memoria, disco, tarjeta, etc. con el añadido extra de que si se trata de un terminal móvil inteligente casi te aseguras una conexión persistente. O más fácil todavía, empaquetas todo eso en una aplicación maliciosa y se la regalas a tu objetivo, listo, ya tienes lo que necesitas.

Es fácil caer en ese fallo de concepto. No se trata de un ataque a una aplicación concreta, se trata de un compromiso total del sistema, una vez eres root se acabó el juego, no hay nada más después.

La intención del desafío de los Durov no era esa. Los mensajes se encuentran en dos estados distintos, en tránsito o en reposo. El supuesto ataque se apoya en el acceso a la información en reposo, esto es en disco o en la RAM, pero el reto estaba en acceder y descifrar u obtener la información en tránsito de dos clientes. El truco para justificar el post es ese "ataques activos". Esa definición tan abierta puede dar pie a interpretar el todo vale y en esa posición no hay ningún solo sistema o aplicación que se sostenga sola, todas caen, al final es una cuestión de tiempo.

Más información:

$200,000 to the hacker who can break Telegram

MTProto Mobile Protocol

$300,000 for Cracking Telegram Encryption

Crypto Contest Ends

David García
Twitter: @dgn1729


martes, 24 de febrero de 2015

Mozilla publica Firefox 36 y corrige 18 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 36 de Firefox, junto con 17 boletines de seguridad destinados a solucionar 18 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.

Apenas un mes después de publicar la versión 35 del navegador, Mozilla sorprende con una nueva versión del navegador que, entre otras novedades y mejoras, incluye soporte para el protocolo HTTP/2, así como numerosas mejoras en el soporte HTML5 que podrán mejorar la reproducción nativa de vídeos en HTML5.

Por otra parte, se han publicado hasta 17 boletines de seguridad (del MSFA-2015-15 al  MSFA-2015-27). Tres de ellos están considerados críticos, seis importantes, seis moderados y dos de gravedad baja. En total se corrigen 18 nuevas vulnerabilidades en los diferentes productos Mozilla.

Las vulnerabilidades críticas residen en un desbordamiento de búfer en la librería "libstagefright" durante la reproducción de vídeos en formato mp4 (CVE-2015-0829). Un uso de memoria después de liberarla en "IndexedDB" (CVE-2015-0831) y diversos problemas de corrupción de memoria en el motor del navegador (CVE-2015-0836 y CVE-2015-0835).

Otras vulnerabilidades corregidas son desbordamientos de búfer durante el remodelado CSS y durante la reproducción de MP3, lectura y escritura fuera de límites al mostrar contenido SVG, error de doble liberación al enviar una petición XmlHttpRequest (XHR) de longitud cero. Lectura de archivos locales mediante la manipulación del autocompletado de formularios o el uso del actualizador de Mozilla para cargar DLLs.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

Firefox Notes
Version 36.0

Mozilla Foundation Security Advisories

una-al-dia (16/01/2015) Mozilla publica Firefox 35 y corrige 10 nuevas vulnerabilidades


Antonio Ropero

Twitter: @aropero

lunes, 23 de febrero de 2015

Google por una navegación más segura

Google está dispuesta a mejorar la seguridad de los usuarios mientras navegan, para ello está implementando importantes medidas en su navegador Chrome, en Google Search y en sus anuncios para evitar que los usuarios descarguen malware o accedan a páginas de fraude on-line.

Google ha confirmado que recientemente ha realizado esfuerzos para mejorar la seguridad de Chrome, de las búsquedas, y de los anuncios para conseguir que sean más seguros ante las descargas de software malicioso.

Como principal novedad en Chrome, además de mostrar una advertencia antes de descargar el software no deseado, Chrome mostrará una nueva advertencia antes de visitar un sitio en el que se detecte algún tipo de malware. Esto es, incluso antes de cargar la página el usuario visualizará un aviso similar.

Un aviso suficiente alarmante ("El siguiente sitio contiene programas dañinos").

En la búsqueda de Google se incorporan señales para identificar sitios peligrosos. Este cambio está destinado a reducir las posibilidades de visitar páginas web maliciosas. De forma similar, la compañía confirma que está desactivando aquellos anuncios de Google que puedan dirigir a sitios con software no deseado.

Todas estas medidas se engloban dentro de la campaña "NavegaciónSegura" (SafeBrowsing) destinada a identificar los sitios web que no sean seguros e informar de ello a los usuarios y webmasters de modo que puedan protegerse frente a posibles peligros.

Google cifra en aproximadamente mil millones de personas los usuarios de la Navegación segura de Google. Pero no solo se centra en Chrome, sino que los usuarios de Google Chrome, Mozilla Firefox y Apple Safari también se benefician cuando intentan navegar a sitios web que podrían robar su información personal o instalar software diseñado para tomar el control de sus ordenadores. La compañía afirma descubrir miles de sitios no seguros nuevos, muchos de ellos sitios legítimos que se han puesto en peligro y muestra advertencias en la búsqueda de Google.

Más información:

More Protection from Unwanted Software

Conseguir que la Web sea un lugar más seguro


Antonio Ropero
Twitter: @aropero


domingo, 22 de febrero de 2015

Vulnerabilidad en Samba

Se ha anunciado una vulnerabilidad en las versiones de Samba 3.5.0 a 4.2.0rc4 que podría permitir a un atacante ejecutar código arbitrario.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

La vulnerabilidad, con CVE-2015-0240, reside en el tratamiento de paquetes en el demonio del servidor de archivos smbd. A través del envío de paquetes especialmente manipulados un cliente podría aprovecharlo para lograr la ejecución de código arbitrario con permisos de root.

Se recomienda actualizar a las versiones 4.2.0rc5, 4.1.17, 4.0.25 o 3.6.25 que solucionan este problema.
Adicionalmente, se han publicado parches para corregir este problema, disponibles en:

Como contramedida en versiones Samba 4.0.0 y superiores se puede añadir la línea:
rpc_server:netlogon=disabled
en la sección [global] del smb.conf.

Más información:

Unexpected code execution in smbd.



Antonio Ropero
Twitter: @aropero


sábado, 21 de febrero de 2015

Denegación de servicio en BIND 9

Se ha anunciado un problema en BIND 9 por el que bajo un raro conjunto de condiciones se pueden producir condiciones de denegación de servicio

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

El problema, con CVE-2015-1349, afecta a servidores BIND configurados para realizar validaciones DNSSEC y que usen managed-keys (que ocurre cuando se usa "dnssec-validation auto;" o "dnssec-lookaside auto;").
El proceso named terminará y denegará el servicio a los clientes si se reproducen las siguientes condiciones al mismo tiempo en una cadena de confianza:
* Una clave en la que se confiaba previamente está actualmente marcada como revocada.
* No hay otras claves de confianza disponibles
* existe otra llave en espera, pero todavía no es de confianza.

ISC ha demostrado en una prueba de concepto que un atacante puede reproducir un escenario en el que bajo condiciones limitadas y específicas podría provocar una denegación de servicio. Se considera que la complejidad del ataque es muy alta salvo que el atacante tenga una relación específica en la red del servidor BIND atacado.

Se ven afectadas las versiones BIND 9.7.0 a BIND 9.10.1-P1, así como las versiones de desarrollo b1 y rc1 (9.9.7b1 y rc1, 9.10.2b1 y rc1).
Se recomienda actualizar a la versión más reciente en
BIND 9.9.6-P2 y BIND 9.10.1-P2
También se ha corregido en las versiones en desarrollo BIND 9.9.7rc2 y BIND 9.10.2rc2.

Más información:

CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash



Antonio Ropero

Twitter: @aropero

viernes, 20 de febrero de 2015

Portátiles Lenovo con malware de regalo

No es la primera vez que ocurre, bien por descuido o de forma intencionada, un fabricante incluye algún tipo de malware, adware o spyware en sus productos, software o controladores. Esta vez, se ha descubierto que Lenovo ha incluido un malware en sus ordenadores portátiles

El regalo incluido por Lenovo, recibe el nombre de Superfish. Un adware que no solo se conforma con insertar publicidad como cualquier otro. Como todo adware inyecta anuncios no deseados de terceros sin permiso del usuario. Pero además de la molesta publicidad indeseada deja todos los ordenadores expuestos a ataques "hombre en el medio" al incluir un certificado raíz autofirmado.

Certificado emitido a www.bankofamerica.com
firmado por superfish
Si ya de por sí la inclusión del adware puede considerarse grave, ha sido el conocimiento de la existencia de este certificado raíz lo que ha hecho que saltaran todas las alarmas.

Chris Palmer, ingeniero de seguridad de Google, confirmó que Superfish genera certificados autofirmados para cualquier conexión cifrada, incluso las que se realizan con entidades bancarias.

Lo que es peor, ya han obtenido la contraseña que cifra la clave privada del certificado. Lo que significa que el certificado privado ya es público, y cualquiera podría interceptar las comunicaciones cifradas de los usuarios de los portátiles Lenovo infectados

Curiosamente la clave de cifrado ("Komodia") tampoco es un especialmente segura, ya que viene del nombre del SDK empleado para integrar servicios proxy e inyección de tráfico web. Realmente se ha comprobado que es Komodia Redirector SDK el que ha incluido ese certificado. Ya que todo el software que hace uso de este SDK también incluye certificados raiz (como Superfish Visual Discovery o KeepMyFamilySecure).

Lenovo ha reconocido el problema, no le quedaba otra, y ha confirmado que dejó de incluirlo en enero. Cuando la gente empezó a reportar los primeros problemas con Superfish.

La detección de esta adware por parte de los antivirus es de 17 de entre 55. A raíz de esta polémica muchos antivirus han actualizado sus firmas para detectarlo (y otros seguirán haciéndolo), ayer mismo la detección todavía era baja (6/57).

Eliminar Superfish

Ahora que se conoce la clave del certificado raíz en más importante aun que todos los usuarios afectados eliminen este componente de sus sistemas. Es fácil saber si se está infectado por este adware, ya que al navegar aparecerán anuncios inyectados marcados como "Powered by VisualDiscovery".

Para eliminar el software se puede hacer desde el Panel de Control. También es recomendable reiniciar la configuración de los navegadores. Y reiniciar después.
Pero esto solo elimina el componente encargado de inyectar los anuncios. Además se debe eliminar el certificado instalado por este software.
Se puede hacer desde
Internet Explorer: Herramientas/Opciones de Internet/Contenido/Certificados
Google Chrome: Configuración/Preferencias Avanzadas/HTTPS/SSL/Administrar certificados…
Mozilla Firefox: Preferencias/Avanzado/Certificados/Ver certificados
También desde "Administrar certificados de equipo"
También se puede seguir la guía publicada por Lenovo:

Listado de equipos Lenovo afectados

G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30

Más información:

VirusTotal: superfish_setup.zip

Komodia Redirector with SSL Digestor installs non-unique root CA certificates and private keys

Extracting the SuperFish certificate

LENOVO STATEMENT ON SUPERFISH

Instructions to determine if you have the SuperFish application installed and how to Uninstall it:



Antonio Ropero
Twitter: @aropero


jueves, 19 de febrero de 2015

INCIBE publica el informe de situación del malware para Android

INCIBE, el Instituto Nacional de Ciberseguridad, en colaboración con HISPASEC, ha publicado un estudio sobre la situación del malware en la plataforma Android.

El informe desgrana completamente el estado actual de la mayor amenaza que afecta al popular sistema operativo móvil. Los factores principales que justifican la proliferación del malware en Android y los perniciosos efectos que provoca el impacto de una infección en los terminales de los usuarios.

Para efectuar el estudio se ha recolectado y analizado 76.000 muestras de malware activo en los últimos seis meses. Para cada muestra individualizada se ha tenido en cuenta el dictamen de cinco motores antivirus, con el objeto de identificar y discriminar falsos positivos que afectasen al rigor de los resultados.

El informe también nos muestra la capacidad de defensa del sistema, las distintas capas de seguridad y mecanismos de mitigación de ataques. Una completa radiografía que pone en evidencia los esfuerzos que el fabricante está haciendo, encuadrada en la evolución del sistema y su mercado de aplicaciones principal: Google Play, para intentar paliar la problemática objeto de estudio.

El grueso del documento nos mete de lleno en la anatomía del malware. No se trata por tanto de un estudio que simplemente se limite a traernos un sesgo estadístico del análisis automatizado de las muestras, sino que nos permite adentrarnos en el complejo funcionamiento del malware actual y el entramado que sostiene la monetización de la industria criminal.

El informe está publicado tanto en español, como en inglés. Os invitamos a su lectura, a contemplar la fotografía más reciente que tiene el rostro del crimen en uno de los sistemas móviles más populares.

 Más información:

Situación del malware para Android

Android malware situation


David García
Twitter: @dgn1729

miércoles, 18 de febrero de 2015

Nueva versión de ClamAV corrige denegaciones de servicio

Se ha publicado una nueva versión del antivirus ClamAV que, entre otras correcciones, incluye la solución a diversas vulnerabilidades que podrían permitir a un atacante remoto provocar condiciones de denegación de servicio.

ClamAV es un antivirus multiplataforma de código abierto. Entre sus objetivos, además de ser un motor para identificar malware en equipos en los que se instale, también está destinado a trabajar en servidores de correo electrónico para combatir la propagación virus, troyanos y otras amenazas a través del servicio de mensajería electrónica.

La mayoría de los problemas se corresponden a condiciones de lectura fuera de límites del heap con archivos de diferentes "packers" manipulados. Los problemas se producen con los "packers": mew, upx, upack y petite; así como con el cifrador Yoda.

Se ha publicado la versión ClamAV0.98.6 del antivirus, que corrige los fallos. Disponible desde:

Más información:

ClamAV 0.98.6 has been released!


Antonio Ropero
Twitter: @aropero


martes, 17 de febrero de 2015

ONTSI e INCIBE publican el "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles"

El Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) y el Instituto Nacional de Ciberseguridad (INCIBE) de Red.es, presentan una nueva edición del "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles".

Esta investigación analiza el estado de la ciberseguridad en los hogares digitales españoles. En él se detallan la adopción de medidas de ciberseguridad, el nivel de incidencia real de situaciones que pueden constituir riesgos de ciberseguridad y el grado de confianza que los hogares españoles depositan en la Sociedad de la Información.

Las distintas informaciones del documento se han obtenido a través de dos vías: recopilación de datos declarados –mediante encuestas en más de 3.000 hogares españoles–, y datos reales –a través de un software específico que analiza los sistemas y la presencia de malware en los equipos gracias a la utilización conjunta de 50 motores antivirus–. Esta dualidad de fuentes permite contrastar el nivel real de incidentes que sufren los equipos con la percepción que tienen los usuarios.

Desde Hispasec hemos colaborado de forma activa en realización de este estudio, para el que se han realizado más de 3.000 encuestas en toda España a usuarios, y se han analizado más de 2.000 ordenadores con una herramienta específica para el análisis de parámetros de Ciberseguridad (como infecciones por malware, tipos de virus informáticos, configuraciones seguras, software de seguridad instalado, etc.)

Como es habitual en estos estudios, los datos son interesantes y reveladores:

Las principales medidas de seguridad utilizadas de manera "real" en los equipos informáticos españoles son los programas antivirus o antimalware (82%) y los cortafuegos (79,4%). Estos últimos a menudo están presentes en los equipos sin que los usuarios sean conscientes de ello, puesto que el nivel declarado es prácticamente la mitad del uso real.

El 12,5% de los usuarios wifi con conexión propia no protegen su red o desconocen si se aplica algún tipo de protección. Este porcentaje aumenta casi al 50% si se agregan aquellos que usan el estándar WEP (11,1%), obsoleto y fácilmente eludible, o desconocen la tecnología que usan (25,8%).

En lo referente a hábitos de comportamiento en la navegación y usos de Internet, destaca el uso de buenas prácticas de forma mayoritaria. En el ámbito de la banca en línea y comercio electrónico, más de un 73% sigue buenas prácticas (cerrar la sesión al terminar, vigilar periódicamente los movimientos de la cuenta bancaria online, evitar usar equipos públicos o compartidos…).

También se demuestran buenos hábitos en el uso de redes P2P. Dos de cada tres internautas no abren los ficheros descargados a través de estas redes si no tienen la certeza de haber sido analizados previamente mediante un antivirus. Tan solo el 13% de los usuarios de estas redes comparten todos sus archivos o no tienen control sobre lo que comparten (11,8%). Respecto a las redes sociales, más de la mitad de los usuarios (53,1%) configura su perfil para que sólo sea accesible para sus contactos.

Respecto a los incidentes, lo más habitual continúa siendo el spam. Entre los usuarios que declaran haber sufrido incidencias de seguridad, más del 85% sufren spam, mientras que un 31,7% confirman haber tenido algún virus o malware. Sin embargo, el impacto real, casi triplica al declarado. Ya que se ha detectado un 60% de ordenadores infectados de malware durante el periodo estudiado. Esta brecha sigue una tendencia ascendente en los últimos periodos, que indica que el malware se oculta cada vez mejor ante el usuario y los programas antivirus.

Además, el estudio determina que aunque los equipos totalmente actualizados están menos expuestos al malware (58,2%) que aquellos que no tienen aplicadas las actualizaciones (61,5%), la diferencia de infección no es excesiva, solo 3 puntos porcentuales por debajo.

Respecto a las consecuencias de los incidentes de seguridad, hay que destacar que el 48% de los usuarios encuestados han sufrido alguna vez un intento de fraude online.

La confianza que los usuarios depositan en Internet es elevada: un 45,3% confían mucho o bastante en la Red mientras que solo un 1,4% desconfía totalmente de Internet. Así, casi la mitad de los encuestados (46,2%) juzga Internet como más seguro cada día y un 72,3% estima que su ordenador está razonablemente protegido.

En el mismo documento, se ofrecen enlaces, a través del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) de Red.es, para que los usuarios puedan consultar consejos y ayudas para mejorar su ciberseguridad en los distintos ámbitos en que se centra el estudio.

El estudio completo se puede descargar desde la página del ONTSI en el siguiente enlace:

Más información:

Nueva edición del “Estudio sobre la Ciberseguridad y confianza de los hogares españoles”

El 82% de los equipos informáticos están protegidos con software antivirus, según el “Estudio sobre la Ciberseguridad y confianza de los hogares españoles”

Estudio sobre la Ciberseguridad y Confianza en los hogares españoles


Antonio Ropero

Twitter: @aropero

lunes, 16 de febrero de 2015

Vulnerabilidades en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir múltiples vulnerabilidades en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Request Forgery, de Cross-Site Scripting, obtener información sensible o evitar restricciones de seguridad. 
  
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Problemas corregidos:
  • Obtención de información sensible por una vulnerabilidad en cabeceras HTTP empleadas por Web Applications (CVE-2014-3021).
  • Salto de restricciones de seguridad por una creación inadecuada de cuentas con Virtual Member Manager SPI Admin Task addFileRegistryAccount (CVE-2014-3070).
  • Obtención de información sensible por un fallo al restringir el acceso a los recursos de la aplicación web (CVE-2014-3083).
  • El componente GSKit de IBM HTTP Server puede permitir a un atacante local obtener información sensible por un error de implementación en ECDSA (Elliptic curve Digital Signature Algorithm) (CVE-2014-0076).
  • Denegación de servicio en WebSphere Application Server en Windows con Load Balancer para IPv4 Dispatcher (CVE-2014-4764).
  • Diversas vulnerabilidades en IBM HTTP Server (CVE-2014-0226, CVE-2014-0231, CVE-2014-0118 y CVE-2013-5704).
  • La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de cross-site scripting y cross-site request forgery (CVE-2014-4770 y CVE-2014-4816).
  • Cross-site scripting en IBM WebSphere Application Server (CVE-2014-6167).
  • El servicio WebSphere Application Server Communications Enabled Applications (CEA) puede permitir a un atacante remoto obtener infromación sensible, al tratar datos XML (CVE-2014-6166).
  • La consola de administración de IBM WebSphere Application Server puede permitir a un atacante falsear las acciones de la víctima (CVE-2014-6174).
  • SSLv3 se ve afectado por la vulnerabilidad POODLE (CVE-2014-3566).


Se ven afectadas las versiones de IBM WebSphere Application Server 6.1, 7.0, 8.0, 8.5 y 8.5.5.

IBM ha publicado la versión IBM WebSphere Application Server 8.0.0.10 que soluciona estas vulnerabilidades.

Más información:

Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 8.0.0.10


Antonio Ropero

Twitter: @aropero

domingo, 15 de febrero de 2015

Vulnerabilidades en PostgreSQL

PostgreSQL ha publicado nuevas versiones para solucionar cinco nuevas vulnerabilidades que podrían ser empleadas por atacantes autenticados para conseguir información sensible, provocar denegaciones de servicio o ejecutar código arbitrario.

PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.

Esta actualización incluye correcciones para desbordamientos de búfer en funciones "to_char" (CVE-2015-0241), desbordamientos de búfer en el reemplazo de la familia de funciones printf (CVE-2015-0242), errores de memoria en funciones de la extensión pgcrypto (CVE-2015-0243), un error en la lectura de mensajes (CVE-2015-0244) y obtención de información sensible a través de mensajes de error (CVE-2014-8161).

Además de estas vulnerabilidades se han solucionado más de 60 problemas no relacionados directamente con la seguridad.

Se han publicado las versiones PostgreSQL 9.4.1, 9.3.6, 9.2.10, 9.1.15 y 9.0.19 disponibles desde:

Más información:

PostgreSQL 9.4.1, 9.3.6, 9.2.10, 9.1.15 & 9.0.19 Released


Antonio Ropero
Twitter: @aropero

sábado, 14 de febrero de 2015

IDA Pro corrige múltiples vulnerabilidades

Hex-Rays, compañía responsable de IDA, ha publicado actualizaciones para evitar un total de 26 problemas de diversa índole en diferentes versiones de la rama 6 de IDA Pro.

IDA es un software de depurado y desensamblado que permite al análisis de binarios. Proporciona una vista gráfica del flujo de funciones del programa y se utiliza habitualmente para análisis de malware e ingeniería inversa (cracking, por ejemplo).

No se ha dado información clara sobre el impacto que podría llegar a suponer estos problemas en un sistema afectado, aunque parece que podrían llegar a la ejecución de código.

Los errores residen en vulnerabilidades en el módulo de depuración WinDbg, en qrealloc(), en qrealloc_or_throw(), en idapython, en el motor de bases de datos btree, en el módulo procesador .net, en el pligin windbg y en el kernel. Problemas de corrupción de memoria en COFF, EPOC, DEX, PEF, ELF y PE. Fallos de doble liberación de memoria en el kernel y en el cargador .net. Desbordamientos de búfer en DEX y GDB. Y una vulnerabilidad de formato de cadenas y una corrupción de cabeceras en el cargador COFF.

También se han solucionado otros problemas, no relacionados directamente con la seguridad.

Los errores fueron reportados a la compañía entre 2011 y 2015 y han sido corregidos en parches para las versiones 6.1 a 6.6, disponible para su descarga desde:

Más información:

Cumulative fix of potentially critical bugs found in IDA



Antonio Ropero
Twitter: @aropero


viernes, 13 de febrero de 2015

Informe de Kaspersky sobre ciberamenazas financieras

El Laboratorio Kaspersky ha publicado un informe centrado en las ciberamenazasfinancieras registradas por sus sistemas durante el pasado año 2014.

El informe se divide claramente en los dos tipos de ataques principales de la actualidad, phishing y malware. Como aclaración hay que señalar que como ataques financieros se refieren a todos aquellos que tienen como objetivo un beneficio económico, en lo que incluyen ataques contra bancos, sistemas de pago y tiendas on-line.

Sorprendentemente según el informe de la compañía rusa la cantidad de ataques y de usuarios atacados disminuyó considerablemente, al igual que la cantidad de phishing bancario.

En 2014, los ataques de phishing financiero representaron el 28,73% de todos los ataques registrados (lo que significa un descenso del 2,72%). Concretamente el phishing bancario representó el 16,27% de todos los ataques (un descenso del 5,93% frete al 2013). Sin embargo, la cantidad de phishing lanzado contra sistemas de pagó aumentó en un 2,4% (de un 2,74% en 2013 a un 5,14% en 2014).

Por otra parte, el lo que se refiere al malware financiero durante el pasado año el laboratorio Kaspersky detectó 22,9 millones de ataques con programas maliciosos contra 2,7 millones de usuarios. Esto representa una disminución del 19,23% en comparación al año anterior respecto a los ataques, y del 29,77% respecto a los usuarios. Por otra parte, la cantidad de malware bancario aumentó en un 8,89%, alcanzando el 75,63% de todos los ataques financieros en 2014. Sin embargo, el mayor cambio se nota en los ataques relacionados con malware de minería para Bitcoin, que se triplicó; pasando de 360.065 ataques en 2013, a 1.204.987 en 2014.

Los investigadores de la firma rusa apuntan a varias razones para estos cambios tan notables. En primer lugar, el arresto de algunas de las principales bandas de delincuentes dedicados al fraude financiero. Por otra parte, apuntan a un cambio de tendencia de los atacantes, que en vez de atacar a usuarios finales, están apuntando a organizaciones que trabajan con información financiera y herramientas de pago.

Y por último, los técnicos de Kaspersky afirman que los ciberdelincuentes han dejado de interesarse por los ataques maliciosos “masivos" contra los usuarios, y prefieren lanzar menos ataques, pero más "dirigidos”. Esto es, los delincuentes se centran en un grupo concreto de usuarios (por ejemplo, los usuarios de un determinado banco, o una tienda concreta) en lugar de propagar correos masivos con enlaces maliciosos.

Más información:

Ciberamenazas financieras en 2014: las cosas han cambiado

Kaspersky Lab Report
Financial cyberthreats in 2014




Antonio Ropero
Twitter: @aropero