Resumen de seguridad de 2015 (I)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2015 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2015:

Dentro de su ciclo habitual de actualizaciones Microsoft publica ocho boletines de seguridad, que solucionan otras tantas vulnerabilidades. Adobe publica una actualización que corrige nueve vulnerabilidades en Adobe Flash Player, días después anuncia una actualización para evitar una nueva vulnerabilidad 0-day.
Mozilla publica Firefox 35 y corrige 10 nuevas vulnerabilidades. Mientras que Oracle soluciona 169 vulnerabilidades diferentes en una larga lista de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Se confirma que Google no desarrollará más parches de seguridad para las versiones de Android inferiores a la 4.4 ‘KitKat’.
A finales de mes se anuncia una de las vulnerabilidades más importantes del año, bautizada como GHOST, afecta a todas las distribuciones Linux que usen la librería glibc (y eglibc) versión 2.17 y anteriores.

Febrero 2015:

BMW confirma la actualización del software de 2,2 millones de coches de las marcas BMW, Mini y Rolls Royce debido a una vulnerabilidad que podía facilitar a un atacante la apertura del automóvil.
Se publica una nueva edición del anuario «Una al día. 16 Años de seguridad informática». El libro sigue editado por Sergio y continúa el mismo esquema u organización que los anteriores, añadiendo cuatro años más de contenido. Una revisión ampliada y llena de nuevas historias, noticias y la interesante entrevista a Cesar Lorenzana, capitán del grupo de delitos telemáticos de la Guardia Civil.
Dentro de su ciclo habitual de actualizaciones Microsoft publica nueve boletines de seguridad, que solucionan 56 vulnerabilidades. La Fundación Mozilla publica Firefox 36 y corrige 18 nuevas vulnerabilidades. Un nuevo 0-day en Flash empleado para infectar sistemas con solo visitar una web obliga a Adobe a publicar una nueva actualización del popular reproductor. Apenas tres días después publica su actualización «periódica» destinada a resolver 17 vulnerabilidades más.
ONTSI e INCIBE publican el «Estudio sobre la Ciberseguridad y Confianza en los hogares españoles» en el que Hispasec colabora de forma activa. INCIBE, el Instituto Nacional de Ciberseguridad, en colaboración con HISPASEC, publican un estudio sobre lasituación del malware en la plataforma Android.
Se confirma que la firma Lenovo ha incluido un malware (conocido como Superfich) en sus ordenadores portátiles. Un adware que además de la molesta publicidad indeseada deja todos los ordenadores expuestos a ataques «hombre en el medio» al incluir un certificado raíz autofirmado.

Marzo 2014

Se anuncia la vulnerabilidad FREAK(Factoring RSA Export Keys) que permite a un atacante en situación de interceptar las comunicaciones entre cliente y servidor renegociar la conexión segura y hacer que ambos usen uno de los cifrados de la categoría EXPORT, capturar dicho tráfico y descifrarlo con una capacidad computacional al alcance de cualquiera.
Dentro de su ciclo habitual de actualizaciones Microsoft publica 14 boletines de seguridad, que solucionan 45 vulnerabilidades. Google publica Chrome 41 y corrige 51 vulnerabilidades. Applepublica iOS 8.2 y Security Update 2015-002 (para sistemas OS X), Xcode 6.2 y Apple TV 7.1. Adobe publica una actualización para Adobe Flash Player para evitar 11 nuevas vulnerabilidades que afectan al popular reproductor. Por su parte, Mozilla publica Firefox 37 y corrige 17 nuevas vulnerabilidades.
Se confirma que una de las vulnerabilidades empleadas por Stuxnet en 2010 y que se creía parcheada por Microsoft en agosto de 2010, realmente no estaba corregida. El problema, que incomprensiblemente ha pasado desapercibido durante casi cinco años, permitía la ejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados queda corregido dentro del conjunto de boletines mensuales.
Se celebra una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Al igual que el año pasado se anuncian graves vulnerabilidades en Internet Explorer, Firefox, Chrome y Safari. Adobe Flash y Reader tampoco salieron indemnes. Días después los diferentes fabricantes anuncias las actualizaciones que corrigen dichos problemas.