Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2011 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.
Julio 2011:
- Se publican todos los detalles de un grave fallo de seguridad presente durante siete años en OpenSSH de FreeBSD 4.
- Tiene lugar el primer "workshop" del proyecto SysSec, una red de excelencia del campo de la seguridad de sistemas, en el que participa Hispasec.
- Microsoft publica cuatro boletines destinados a solucionar 22 vulnerabilidades. Apple corrige 57 vulnerabilidades en Safari y Oracle publica un conjunto de parches para múltiples de sus productos para solventar 78 nuevas vulnerabilidades.
- Se descubre una vulnerabilidad que permite el control total del firmware de las baterías de los portátiles (MacBook, MacBookPro y MacBook Air ) de Apple.
Agosto 2011:
- Hispasec realiza un estudio sobre once fabricantes para conocer cuánto tardan en corregir sus vulnerabilidades reportadas de forma privada. Como conclusiones Mozilla es el fabricante que menos tarda en resolver vulnerabilidades y RealNetworks el que más. La media global son 6 meses
- Se encuentra la primera vulnerabilidad en el estándar de cifrado AES reduciendo la longitud efectiva de la clave en 2 bits. En un sentido estrictamente académico, el algoritmo está "roto" sin embargo esta debilidad no afecta a su seguridad.
- Se detecta que la entidad de confianza DigiNotar ha firmado un certificado fraudulento que pretende legitimar páginas falsas de cualquier subdominio de Google (*.google.com).
Septiembre 2011:
- Se anuncia que los servidores de Kernel.org han estado comprometidos durante más de dos semanas. Aunque los atacantes llegan a tener acceso root a ciertos servidores, no se teme por la modificación de los archivos del kernel.
- El compromiso de DigiNotar, y la detección de certificados falsos emitidos por esta entidad obliga a Microsoft a publicar, en forma de actualización automática, su segunda revocación de certificados de 2011.
- Sergio de los Santos de Hispasec Sistemas publica el libro "Máxima Seguridad en Windows: Secretos Técnicos", editado en la colección de Informatica64. El libro abarca técnicas de seguridad avanzada en Windows, y está destinado a profesionales y usuarios preocupados por la seguridad que quieran proteger realmente un Windows actual sin recurrir a los consejos tradicionales y desfasados.
Más información:
una-al-dia (05/07/2011) Grave fallo de seguridad en OpenSSH de FreeBSD, descubierto siete años después
una-al-dia (08/07/2011) Primer workshop del proyecto SysSec
una-al-dia (13/07/2011) Boletines de seguridad de Microsoft de julio
una-al-dia (20/07/2011) Apple corrige 57 vulnerabilidades en Safari
una-al-dia (22/07/2011) Parches Críticos de julio para múltiples productos Oracle
una-al-dia (24/07/2011) Contraseña por defecto para manipular las baterías de los MacBook
una-al-dia (03/08/2011) Estudio: Mozilla es el fabricante que menos tarda en resolver vulnerabilidades. RealNetworks, el que más. La media global son 6 meses
una-al-dia (24/08/2011) El cifrado AES, ¿está roto o no?
una-al-dia (30/08/2011) Se detecta otro certificado falso de Google
una-al-dia (01/09/2011) Servidores de Kernel.org comprometidos durante más de dos semanas
una-al-dia (07/09/2011) DigiNotar: La tercera revocación masiva en 10 años
una-al-dia (15/09/2011) Libro: "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos
Antonio Ropero
Twitter: @aropero
