Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2011 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.
Abril 2011:
- RSA confirma que el ataque en el que le robaron información relativa a su producto SecurID, fue a través de una vulnerabilidad 0 day en Flash.
- Se descubre un nuevo ataque masivo de inyección SQL. Bajo el nombre de LizaMoon, los atacantes contaminaron más de un millón de páginas web legítimas con código JavaScript para redirigir al visitante a páginas maliciosas.
- Microsoft publica 17 boletines destinados a solucionar 64 vulnerabilidades, uno de los números más altos alcanzados en un mes. Por su parte Oracle publica un conjunto de parches para múltiples de sus productos para solventar 73 nuevas vulnerabilidades.
- Sony reconoce una intrusión en los sistemas de PlayStation Network, dando lugar a uno de los incidentes de este tipo de mayor gravedad, al verse afectados más de más de 70 millones de usuarios de la popular consola.
- Se genera una gran polémica en torno a la privacidad de los usuarios al conocerse que el iPhone almacena una serie de datos de localización. Concretamente se puede conocer a qué antenas se conectó el teléfono (normalmente cerca de donde se encuentra el terminal) desde que ejecuta iOS 4.
Mayo 2011:
- Dropbox, el servicio online de hospedaje de ficheros "en la nube" utilizado por más de 25 millones de usuarios, se ve obligada a rectificar sus cláusulas de seguridad; al demostrarse que no protege adecuadamente los ficheros de los usuarios, o al menos, no como anunciaba inicialmente en su web.
- Investigadores de
la Universidad de Ulm (Alemania), descubren un fallo en el protocolo utilizado por algunas aplicaciones para autenticarse en ciertos servicios de Google. El problema permite a un atacante remoto tener acceso a los servicios Calendar, Picassa y la lista de contactos de Google de dispositivos Android. - Microsoft Ibérica publica el libro "Esquema Nacional de Seguridad con Tecnología Microsoft", también disponible en formato PDF de forma gratuita.
Junio 2011:
- Hispasec participa en el IV Curso de Verano de Seguridad y Auditoría Informática en
la Universidad Europea de Madrid. - En su ciclo habitual de actualizaciones, Microsoft publica 16 boletines de seguridad para resolver 34 vulnerabilidades. Por otra parte, el mismo día Adobe publica cinco boletines para corregir 42 vulnerabilidades en sus productos.
Más información:
una-al-dia (04/04/2011) El ataque a la RSA se produjo a través de un 0 day en Flash
una-al-dia (06/04/2011) LizaMoon, otro ataque de inyección SQL masivo
una-al-dia (08/04/2011) Microsoft publicará 17 boletines el próximo martes
una-al-dia (27/04/2011) Grupo de parches de abril para múltiples productos Oracle
una-al-dia (26/04/2011) Sony reconoce una intrusión en PlayStation Network
una-al-dia (29/04/2011) Práctico: Cómo funciona el almacenamiento de datos de localización del iPhone
una-al-dia (15/05/2011) Piden investigar a Dropbox por mentir en su cláusula de seguridad
una-al-dia (17/05/2011) Robo de credenciales en Android
una-al-dia (26/05/2011) Libro-PDF: Esquema Nacional de Seguridad con Tecnología Microsoft
una-al-dia (13/06/2011) Hispasec participa en el IV Curso de Verano de Seguridad y Auditoría Informática en la UEM
una-al-dia (14/06/2011) Boletines de seguridad de Microsoft en junio
una-al-dia (17/06/2011) Múltiples vulnerabilidades en Productos Adobe
una-al-dia (16/06/2011) BitCoin: fabricando dinero digital ¿a costa de terceros?
una-al-dia (23/06/2011) BitCoin: pronósticos cumplidos
Antonio Ropero
Twitter: @aropero
