Google actualiza su navegador Chrome antes del Pwn2Own

Google ha publicado una actualización de su navegador Chrome que corrige
hasta 19 vulnerabilidades. 16 de importancia alta y tres calificadas de
media.

Supone un total de 14.000 dólares que Google pagará a los investigadores
que las han reportado de acuerdo a su programa de recompensas. Un
programa que ya ha rebasado los 100.000 dólares desde su comienzo.

Google publica esta actualización una semana antes del popular concurso
Pwn2Own. Donde se premia a aquellos investigadores que presenten una
vulnerabilidad inédita que permita la ejecución de código arbitrario
en los navegadores más populares.

Este año Google ha apostado 20.000 dólares, desafiando a aquel que
pretenda demostrar un fallo crítico en Chrome, si la vulnerabilidad
se presenta en el primero de los tres días que dura el concurso.

Cabe destacar que ninguna de las vulnerabilidades tiene la máxima
gravedad, la denominada como importancia "crítica" que conlleva la mayor
recompensa.

Apple también ha corregido más de 50 vulnerabilidades en Webkit de
iTunes, y se espera que lo haga en Safari también justo antes del
concurso Pwn2Own.

La versión actualizada de Chrome (versión 9.0.597.107) puede descargarse
desde la página del producto o puede ser actualizada desde el mismo
navegador.

Ya sabéis chicos, si queréis sacaros un dinero curioso investigar para sacarle vulnerabilidades a Google que dan una buen dineral. ;)


PD: no os olvidéis de actualizar vuestro navegador Chrome a la última versión ( 9.0.597.107)


Un saludo.

Denegación de servicio en Oracle Solaris Express

Oracle ha anunciado una actualización de seguridad para Solaris 11
Express, para evitar una vulnerabilidad que podría permitir a un
atacante provocar condiciones de denegación de servicio.

La vulnerabilidad reside en un error de validación de entradas en
memcached cuando procesa datos introducidos por el usuario. Esto
podría ser aprovechado por un atacante para causar la caída del
demonio afectado con la consiguiente denegación de servicio.

Se recomienda actualizar Oracle Solaris 11 Express a snv_151a y
aplicar el parche 6955181.


Pues ya sabeis gente! a actualizar Oracle.


Enlace de la nocitia:  http://www.hispasec.com/unaaldia/4501

El CNCCS presenta el "Informe sobre Malware en Smartphones"

El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) presenta el
primer Informe sobre Malware en Smartphones, en el que Hispasec ha
participado de forma directa. El estudio pretende constituir una
radiografía que refleje la situación actual de los smartphones en lo
referente a seguridad, describiendo las principales amenazas a las que
se enfrentan, así como las medidas existentes para mitigar los riesgos
asociados. Los dispositivos móviles ya no son simples teléfonos y no
pueden ni deben ser tratados como tal.

El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) es una
organización privada que cuenta con los asociados: AEDEL, Amper,
Bdigital, EIIEO, Eside Deusto, Hispasec, Indra, Informática 64, Isec
Auditors, Kinamik, Optenet, Panda Security, S2grupo, Secuware, TB
security y S21sec. Su misión es poner a disposición de las diversas
organizaciones que operan en España, gubernamentales o no, el
conocimiento y experiencia de sus miembros en asuntos relacionados
con la ciberseguridad nacional o global; con el fin de hacer más
segura Internet y las redes de Información, a la vez que potenciar
la innovación y el crecimiento económico.

Los dispositivos móviles han ido evolucionando hasta converger
prácticamente en cuanto a funcionalidades con los ordenadores
personales, hecho que se traduce en un notable incremento en la
usabilidad de los móviles en cualquier ámbito. Pero como nota negativa
debemos destacar un aumento en los riesgos que se asocian a los mismos.

La generalización de la oferta de tarifas planas para smartphones
ha supuesto una popularización de estos dispositivos totalmente
vertiginosa, pero el problema es que los usuarios no son conscientes
de los peligros que entraña no tener protegido su terminal ni de la
cantidad de información personal que se almacena en el mismo. Como
consecuencia de esto, las mafias existentes han ampliado sus horizontes
de actuación y han incluido este sector entre sus objetivos. Un objetivo
de gran crecimiento y alta remuneración.

La limitada concienciación en lo referente a seguridad de los usuarios
de estos dispositivos y el consecuente comportamiento pueden ser los
factores de mayor riesgo para los smartphones a corto plazo. Es de gran
importancia comprender que un dispositivo móvil de estas características
ya no es un simple teléfono y no puede ni debe ser tratado como tal.

Según mi punto d vista es bastante interesante esta noticia ya que como dicen, han subido bastante el números de usuarios que usan Smartphones y el principal motivo para mantenernos seguro de que nuestros archivos sean confidenciales es la seguridad y para ello el Consejo Nacional Consultivo de Cyberseguridad nos da unos consejos muy útiles para mantener nuestro Smartphones seguro de posibles Malware.


Son las siguientes:


-Habilitar medidas de acceso al dispositivo como el PIN o contraseña si
está disponible.

-Configurar el smartphone para su bloqueo automático pasados unos
minutos de inactividad.

-Antes de instalar una nueva aplicación revisar su reputación. Sólo
instalar aplicaciones que provengan de fuentes de confianza.

-Prestar atención a los permisos solicitados por las aplicaciones y
servicios a instalar.

-Mantener el software actualizado, tanto el Sistema Operativo como las
aplicaciones.

-Deshabilitar características mientras no se usen: Bluetooth,
infrarrojos o Wi-fi.

-Configurar el Bluetooth como oculto y con necesidad de contraseña.

-Realizar copias de seguridad periódicas.

-Cifrar la información sensible cuando sea posible.

-Utilizar software de cifrado para llamadas y SMS.

-Siempre que sea posible no almacenar información sensible en el
smartphone, asegurándose que no se cachea en local.

-Al deshacerse del smartphone borrar toda la información contenida en
el smartphone.

-En caso de robo o pérdida del smartphone informar al proveedor de
servicios aportando el IMEI del dispositivo para proceder a su bloqueo.

-En determinados casos pueden utilizarse opciones de borrado remoto o
automático (después de varios intentos de acceso fallidos).

-Monitorizar el uso de recursos en el smartphone para detectar
anomalías.

-Revisar facturas para detectar posibles usos fraudulentos.
-Mantener una actitud de concienciación en el correcto uso de estos
dispositivos y los riesgos asociados.

-Extremar la precaución al abrir un correo, un adjunto de un SMS o
hacer click en un enlace. Cabe destacar que esta fue una de las vías de
entrada del Zeus-Mitmo.

-Desconfiar de los archivos, enlaces o números que vengan en correos o
SMS no solicitados.

-Evitar el uso de redes Wi-fi que no ofrezcan confianza.

-Tener en cuenta este tipo de dispositivos en su política de seguridad
corporativa.




Para más información acerca deL Malware en Smartphones, el Consejo Nacional Consultivo de Cyberseguridad (CNCCS) nos publica un pdf con bastante información referente a este tema.


Link pdf: http://www.hispasec.com/laboratorio/Malware%20en%20Smartphones%20CNCCS%20.pdf

Link de la noticia: http://www.hispasec.com/unaaldia/4495

Saludos.

Facebook y la (in)seguridad

Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha
convertido en un punto de referencia en Internet. En los últimos meses,
además, la seguridad en Facebook ha dado demasiados dolores de cabeza a
la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la
protección del portal.

El problema de Facebook ha sido, históricamente, la privacidad. Un punto
de encuentro tan popular donde 600 millones de personas introducen
tantos datos y fotografías requiere que sus usuarios confíen en el
portal al máximo y además de unos mecanismos y una infraestructura
adecuados que garantice su intimidad. Y Facebook está proporcionando
esta seguridad... poco a poco. Como es habitual, han aprendido a base de
ensayo y error, y cada error ha sido un pequeño golpe a su imagen.
Aunque sí es cierto que no ha sido el centro de enormes escándalos y que
goza de una salud envidiable, sí que se ha visto obligada a ponerse
manos a la obra para mejorar la seguridad global de portal. El 26 de
enero anunciaban mejoras en este aspecto, curiosamente, tras sufrir una
serie de problemas y ataques. Repasemos algunos hitos interesantes.

El 26 de enero Alex Rice, responsable de seguridad de Facebook anunciaba
dos mejoras importantes con respecto a la seguridad.

* La primera es el uso de conexión segura (SSL) no solo a la hora de
introducir la clave, sino durante toda la sesión. Esto es una medida que
llega muy tarde, y en respuesta directa a herramientas como Firesheep.
Se trata de un plugin para Firefox aparecido en octubre de 2010 que aúna
varias herramientas de forma muy cómoda. Pone la tarjeta de red del
sistema en modo promiscuo (a "escuchar" todo el tráfico de red local no
segmentada) y extrae automáticamente los datos que le interesan (la
cookie de sesión) de ciertas páginas no protegidas (entre ellas
Facebook) y permite que un usuario suplante la identidad de otros que
naveguen en la misma red local. Esto ya se puede hacer con un sniffer,
un proxy local, envenenamiento ARP, etc... pero Firesheep demostró lo
fácil que puede resultar para cualquiera robar la sesión a través de un
solo click. La solución es también sencilla: cifrar toda la información.
Facebook ha reaccionado permitiendo que toda la sesión se base en SSL,
pero de forma opcional, lo que todavía deja en manos del usuario la
decisión de que su sesión permanezca protegida o no. Es una medida
necesaria pero insuficiente.

Además existe Borogove, otro programa que facilita con mecanismos
similares la obtención de conversaciones de chat dentro de Facebook.
Aunque se supone que debería estar protegido por el cifrado, el sistema
de chateo no funciona correctamente bajo el cifrado.

* Autenticación Social. Esto, en resumen, es eliminar el tradicional
CAPTCHA y utilizar el reconocimiento de caras de amigos para demostrar
que eres un ser humano. Troyanos como koobface han demostrado que los
CAPTCHA no son infalibles. Recordemos que el troyano Koobface,
"secuestraba" el sistema y pedía a la víctima la resolución de varios
CAPTCHA de Gmail. Así conseguía crear cuentas fantasma automáticamente
para poder difundirse mejor, entre otros objetivos. Usaba a sus víctimas
como esclavos o "CAPTCHA brokers".

Estas dos nuevas medidas se añaden a un continuo esfuerzo en Facebook
por demostrar que están comprometidos con la seguridad y la privacidad
de los datos. Ya anunciaron mejoras en marzo de 2008 (introdujo la
categoría "amigos de amigos"), en diciembre de 2009 (facilitó los
controles para proteger la seguridad de las cuentas), etc...

En la siguiente entrega, veremos cuáles han sido los problemas de
seguridad con los que se han enfrentado en los últimos tiempos.




Sobre este artículo me ha llamado la atención Firesheep, que es simplemente una extensión que se instala en el navegador Mozilla Firefox y te puede dejar en bragas, ya que te permite capturar información que pasa por la red abierta, y una vez encontrada una clave de sesión ya sea de facebook, tuenti.. etc..  te puede robar la cuenta con solo un click.


Pero bueno como ya anunciaron, para impedir que Firesheep se salga con la suya, lo que todo usuario debe haceer es basarse en el protocolo SSL ;)


Un saludo.


Link de la noticia:  http://www.hispasec.com/unaaldia/4493

Las claves por defecto de los routers de Movistar y Jazztel, al descubierto

Se ha hecho público el algoritmo que genera las contraseñas de los
routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y
Jazztel a sus clientes para dar acceso a Internet. A efectos prácticos,
significa que si los clientes de Telefónica o Jazztel no han cambiado su
contraseña Wi-Fi desde que recibieron el router, su cifrado es inútil.
Actualmente, esto es más sencillo incluso que romper una clave WEP.

Hace algunos años, los routers que ofrecían los proveedores venían con
cifrado WEP. WEP siempre ha sido un estándar sencillo de romper, por
tanto, "colarse" en este tipo de redes Wi-Fi resultaba relativamente
sencillo si su dueño no saltaba a WPA. No hace mucho, los routers
comenzaron a ofrecerse con el estándar de cifrado WPA y una contraseña
por defecto (escrita en el propio router). Esto supuso un gran avance
porque, por el momento, al estándar WPA no se le conocen graves
problemas de seguridad. El punto débil se encontraba pues en la
generación de la clave por defecto. Se trata de un proceso automático,
así que si se descubría este proceso de generación, se podrían conocer
las contraseñas de todos los usuarios que utilizaran estos routers y no
hubieran cambiado su contraseña.

Hace unas semanas hubo un tímido intento de divulgación del algoritmo,
pero ha sido ahora cuando se ha hecho totalmente público. Se ha
descubierto el mecanismo de generación de claves, basado en el BSSID y
el ESSID del router (uno es lo que se conoce como el "nombre la red,
habitualmente WLAN_XXX en routers de MoviStar) y otro la dirección MAC
del router (escrita normalmente en su base). Estos dos datos son
públicos cuando se usa Wi-Fi, por tanto, cualquiera puede calcular la
clave.

El algoritmo combina estos dos valores, les concatena la cadena
“bcgbghgg” al comienzo, calcula el hash MD5 y se queda con los 30
primeros caracteres. Los detalles pueden ser consultados, en diferentes
lenguajes de programación en el apartado de más información. Incluso
existen ya aplicaciones para Android que calculan la clave...

Todo apunta a que el algoritmo ha sido filtrado por alguien con acceso a
esta información desde alguna de las empresas implicadas. La otra opción
sería el haber realizado ingeniería inversa a una gran muestra de
routers, y esto pensamos que es extremadamente complejo (aunque no
imposible) por el hecho de que el algoritmo usa hashes criptográficos.
Aunque utilizar MD5 no es lo más seguro hoy día, todavía requiere de una
importante fuerza bruta el romperlo si tiene una especie de "sal" como
la cadena fija indicada.

Por tanto, a partir de ahora el escenario es el siguiente: Un atacante
esnifa una red Wi-Fi de un usuario cualquiera cifrada con el estándar
WPA (por defecto). Obtiene el BSSID y ESSID (se transmiten en claro por
la red). Con este sencillo algoritmo, descubre la clave que MoviStar o
Jazztel han calculado por defecto. Se conecta a esa y red y una vez
dentro podrá utilizar esa red como plataforma de ataques o intentar
ataques internos a los equipos que estén conectados a ella. También
esnifar su tráfico y ver los datos que no se transmitan por SSL o
cifrados, como pueden ser contraseñas, conversaciones de chat... etc.
Actualmente, esto es más sencillo incluso que romper una clave WEP

Lo recomendado es (ya lo era incluso antes de conocerse este algoritmo)
entrar en el router y cambiar la contraseña. Habitualmente, hay que
introducir en el navegador la dirección 192.168.1.1, introducir la
contraseña del router, buscar la configuración de seguridad de la red
inalámbrica (WLAN) y modificar la contraseña WPA introduciendo una nueva
de más de 16 caracteres que contenga números, letras y símbolos. Mejor
aún, si el router los soporta, cambiar al estándar WPA2. El problema es
que esto puede resultar una operación compleja para el usuario medio,
que no quiere arriesgarse a modificar aspectos técnicos que no termina
de asimilar. Será de ellos de los que se aprovechen los atacantes.




Enlace de la noticia: http://www.hispasec.com/unaaldia/4487



Esta noticia es bastante interesante así que al lío, cambiar cuanto antes vuestra contraseña del router tanto si sois jazztel como telefónica por el bien de vuestra seguridad.  ;)

El Phishing de Verified by Visa se hizo internacional

En el día de hoy nos han reportado un caso de Phishing a VISA con la particularidad de que el correo y el sitio se encuentran en francés. El sitio se ve de la siguiente manera:

Estas páginas falsas suelen estar alojadas en servidores con un alto riesgo de vulnerabilidades con lo que también ha sufrido un caso de defacing:

Con respecto al código fuente se puede observar que, como siempre, el usuario puede perder todos los datos de su tarjeta de crédito.

Este caso confirmar que el problema de phishing es internacional y que siempre son las mismas empresas las más propensas a sufrir estos ataques, mientras ellas no hagan nada para intentar disminuir los casos y alertar a sus usuarios.

Mi opinion personal sobre este articulo es un tanto.. preocupante, ya que es una estafa bastante frecuente y muy "puteante" para el usuario ya que le pueden dejar a 0 su tarjeta de crédito.
Como las empresas no hagan nada para intentar solucionar este tipo de  phishing... mal vamos!


Aquí dejo el enlace de la noticia:  http://blog.segu-info.com.ar/2010/11/el-phishing-de-verified-by-visa-se-hizo.html#axzz16hiuy9Px


Un saludo!


Diccionario de términos:
-Defacing:  Es la modificación de una página web sin autorización del dueño de la misma.

Grave fallo de seguridad en Android 2.2

Buenos días a todos, aquí os informo de una noticia bastante buena desde mi punto de vista.
Es un fallo de seguridad en Android 2.2. 


Se ha descubierto un fallo de seguridad en el sistema operativo para
teléfonos Android 2.2 que podría permitir a un atacante obtener
cualquier fichero del usuario almacenado en el teléfono si la víctima
visita una web especialmente manipulada.

El fallo, descubierto por Thomas Cannon, reside en que el navegador, al
visitar una página web, podría tener acceso a cualquier fichero del
usuario siempre que conozca su ruta exacta. Esto no es problema, por
ejemplo, para obtener fotografías realizadas por el dispositivo, puesto
que el nombre de archivo consta de un número incrementado

secuencialmente. El atacante no puede acceder a ficheros de sistema
porque el navegador corre dentro de una sandbox.

Para aprovechar este fallo, la víctima debe visitar un enlace. Éste, a
través de JavaScript, podría obtener el fichero deseado y subirlo al
servidor del atacante, por ejemplo. El descubridor ha eliminado de su
blog (a petición de Google) los detalles técnicos del problema, pero
básicamente describe que el fallo se da por una combinación de factores:

* El navegador de Android no pide permiso al usuario a la hora de
descargar un fichero HTML. Se almacena automáticamente.
* Con JavaScript, es posible lanzar una vez descargado ese fichero y el
navegador lo procesa.
* En ese contexto, Android ejecutará el JavaScript sin pedir permiso al
usuario y además será capaz de acceder a ficheros del usuario.

Se recomienda a usuarios con Android 2.2 en sus teléfonos (Google Nexus
One, Samsung Galaxy Tab, HTC Desire?) que deshabiliten JavaScript o
utilicen un navegador alternativo como Opera. Este último confirma con
el usuario antes de descargar un fichero.




Ya sabéis chicos! los que tengáis en dispositivo móvil con Android 2.2 a usar Opera! jeje o deshabilitar javascript de los navegadores Google Nexus One, Samsung Galaxy Tab, HTC Desire.
Esta noticia quizás no os resulte interesante.. pero pensar si fuerais algún empresario o tuvierais información valiosa en tu dispositivo móvil, entonces la cosa cambiaría.


Aquí os dejo el enlace de esta noticia: http://www.hispasec.com/unaaldia/4416
Un saludo!.;)


Diccionario de Términos:
Sandbox: Es un filtro de seguridad que te proporciona Google.