Denegación de servicio en Oracle Solaris Express

Oracle ha anunciado una actualización de seguridad para Solaris 11
Express, para evitar una vulnerabilidad que podría permitir a un
atacante provocar condiciones de denegación de servicio.

La vulnerabilidad reside en un error de validación de entradas en
memcached cuando procesa datos introducidos por el usuario. Esto
podría ser aprovechado por un atacante para causar la caída del
demonio afectado con la consiguiente denegación de servicio.

Se recomienda actualizar Oracle Solaris 11 Express a snv_151a y
aplicar el parche 6955181.


Pues ya sabeis gente! a actualizar Oracle.


Enlace de la nocitia:  http://www.hispasec.com/unaaldia/4501

El CNCCS presenta el "Informe sobre Malware en Smartphones"

El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) presenta el
primer Informe sobre Malware en Smartphones, en el que Hispasec ha
participado de forma directa. El estudio pretende constituir una
radiografía que refleje la situación actual de los smartphones en lo
referente a seguridad, describiendo las principales amenazas a las que
se enfrentan, así como las medidas existentes para mitigar los riesgos
asociados. Los dispositivos móviles ya no son simples teléfonos y no
pueden ni deben ser tratados como tal.

El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) es una
organización privada que cuenta con los asociados: AEDEL, Amper,
Bdigital, EIIEO, Eside Deusto, Hispasec, Indra, Informática 64, Isec
Auditors, Kinamik, Optenet, Panda Security, S2grupo, Secuware, TB
security y S21sec. Su misión es poner a disposición de las diversas
organizaciones que operan en España, gubernamentales o no, el
conocimiento y experiencia de sus miembros en asuntos relacionados
con la ciberseguridad nacional o global; con el fin de hacer más
segura Internet y las redes de Información, a la vez que potenciar
la innovación y el crecimiento económico.

Los dispositivos móviles han ido evolucionando hasta converger
prácticamente en cuanto a funcionalidades con los ordenadores
personales, hecho que se traduce en un notable incremento en la
usabilidad de los móviles en cualquier ámbito. Pero como nota negativa
debemos destacar un aumento en los riesgos que se asocian a los mismos.

La generalización de la oferta de tarifas planas para smartphones
ha supuesto una popularización de estos dispositivos totalmente
vertiginosa, pero el problema es que los usuarios no son conscientes
de los peligros que entraña no tener protegido su terminal ni de la
cantidad de información personal que se almacena en el mismo. Como
consecuencia de esto, las mafias existentes han ampliado sus horizontes
de actuación y han incluido este sector entre sus objetivos. Un objetivo
de gran crecimiento y alta remuneración.

La limitada concienciación en lo referente a seguridad de los usuarios
de estos dispositivos y el consecuente comportamiento pueden ser los
factores de mayor riesgo para los smartphones a corto plazo. Es de gran
importancia comprender que un dispositivo móvil de estas características
ya no es un simple teléfono y no puede ni debe ser tratado como tal.

Según mi punto d vista es bastante interesante esta noticia ya que como dicen, han subido bastante el números de usuarios que usan Smartphones y el principal motivo para mantenernos seguro de que nuestros archivos sean confidenciales es la seguridad y para ello el Consejo Nacional Consultivo de Cyberseguridad nos da unos consejos muy útiles para mantener nuestro Smartphones seguro de posibles Malware.


Son las siguientes:


-Habilitar medidas de acceso al dispositivo como el PIN o contraseña si
está disponible.

-Configurar el smartphone para su bloqueo automático pasados unos
minutos de inactividad.

-Antes de instalar una nueva aplicación revisar su reputación. Sólo
instalar aplicaciones que provengan de fuentes de confianza.

-Prestar atención a los permisos solicitados por las aplicaciones y
servicios a instalar.

-Mantener el software actualizado, tanto el Sistema Operativo como las
aplicaciones.

-Deshabilitar características mientras no se usen: Bluetooth,
infrarrojos o Wi-fi.

-Configurar el Bluetooth como oculto y con necesidad de contraseña.

-Realizar copias de seguridad periódicas.

-Cifrar la información sensible cuando sea posible.

-Utilizar software de cifrado para llamadas y SMS.

-Siempre que sea posible no almacenar información sensible en el
smartphone, asegurándose que no se cachea en local.

-Al deshacerse del smartphone borrar toda la información contenida en
el smartphone.

-En caso de robo o pérdida del smartphone informar al proveedor de
servicios aportando el IMEI del dispositivo para proceder a su bloqueo.

-En determinados casos pueden utilizarse opciones de borrado remoto o
automático (después de varios intentos de acceso fallidos).

-Monitorizar el uso de recursos en el smartphone para detectar
anomalías.

-Revisar facturas para detectar posibles usos fraudulentos.
-Mantener una actitud de concienciación en el correcto uso de estos
dispositivos y los riesgos asociados.

-Extremar la precaución al abrir un correo, un adjunto de un SMS o
hacer click en un enlace. Cabe destacar que esta fue una de las vías de
entrada del Zeus-Mitmo.

-Desconfiar de los archivos, enlaces o números que vengan en correos o
SMS no solicitados.

-Evitar el uso de redes Wi-fi que no ofrezcan confianza.

-Tener en cuenta este tipo de dispositivos en su política de seguridad
corporativa.




Para más información acerca deL Malware en Smartphones, el Consejo Nacional Consultivo de Cyberseguridad (CNCCS) nos publica un pdf con bastante información referente a este tema.


Link pdf: http://www.hispasec.com/laboratorio/Malware%20en%20Smartphones%20CNCCS%20.pdf

Link de la noticia: http://www.hispasec.com/unaaldia/4495

Saludos.

Facebook y la (in)seguridad

Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha
convertido en un punto de referencia en Internet. En los últimos meses,
además, la seguridad en Facebook ha dado demasiados dolores de cabeza a
la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la
protección del portal.

El problema de Facebook ha sido, históricamente, la privacidad. Un punto
de encuentro tan popular donde 600 millones de personas introducen
tantos datos y fotografías requiere que sus usuarios confíen en el
portal al máximo y además de unos mecanismos y una infraestructura
adecuados que garantice su intimidad. Y Facebook está proporcionando
esta seguridad... poco a poco. Como es habitual, han aprendido a base de
ensayo y error, y cada error ha sido un pequeño golpe a su imagen.
Aunque sí es cierto que no ha sido el centro de enormes escándalos y que
goza de una salud envidiable, sí que se ha visto obligada a ponerse
manos a la obra para mejorar la seguridad global de portal. El 26 de
enero anunciaban mejoras en este aspecto, curiosamente, tras sufrir una
serie de problemas y ataques. Repasemos algunos hitos interesantes.

El 26 de enero Alex Rice, responsable de seguridad de Facebook anunciaba
dos mejoras importantes con respecto a la seguridad.

* La primera es el uso de conexión segura (SSL) no solo a la hora de
introducir la clave, sino durante toda la sesión. Esto es una medida que
llega muy tarde, y en respuesta directa a herramientas como Firesheep.
Se trata de un plugin para Firefox aparecido en octubre de 2010 que aúna
varias herramientas de forma muy cómoda. Pone la tarjeta de red del
sistema en modo promiscuo (a "escuchar" todo el tráfico de red local no
segmentada) y extrae automáticamente los datos que le interesan (la
cookie de sesión) de ciertas páginas no protegidas (entre ellas
Facebook) y permite que un usuario suplante la identidad de otros que
naveguen en la misma red local. Esto ya se puede hacer con un sniffer,
un proxy local, envenenamiento ARP, etc... pero Firesheep demostró lo
fácil que puede resultar para cualquiera robar la sesión a través de un
solo click. La solución es también sencilla: cifrar toda la información.
Facebook ha reaccionado permitiendo que toda la sesión se base en SSL,
pero de forma opcional, lo que todavía deja en manos del usuario la
decisión de que su sesión permanezca protegida o no. Es una medida
necesaria pero insuficiente.

Además existe Borogove, otro programa que facilita con mecanismos
similares la obtención de conversaciones de chat dentro de Facebook.
Aunque se supone que debería estar protegido por el cifrado, el sistema
de chateo no funciona correctamente bajo el cifrado.

* Autenticación Social. Esto, en resumen, es eliminar el tradicional
CAPTCHA y utilizar el reconocimiento de caras de amigos para demostrar
que eres un ser humano. Troyanos como koobface han demostrado que los
CAPTCHA no son infalibles. Recordemos que el troyano Koobface,
"secuestraba" el sistema y pedía a la víctima la resolución de varios
CAPTCHA de Gmail. Así conseguía crear cuentas fantasma automáticamente
para poder difundirse mejor, entre otros objetivos. Usaba a sus víctimas
como esclavos o "CAPTCHA brokers".

Estas dos nuevas medidas se añaden a un continuo esfuerzo en Facebook
por demostrar que están comprometidos con la seguridad y la privacidad
de los datos. Ya anunciaron mejoras en marzo de 2008 (introdujo la
categoría "amigos de amigos"), en diciembre de 2009 (facilitó los
controles para proteger la seguridad de las cuentas), etc...

En la siguiente entrega, veremos cuáles han sido los problemas de
seguridad con los que se han enfrentado en los últimos tiempos.




Sobre este artículo me ha llamado la atención Firesheep, que es simplemente una extensión que se instala en el navegador Mozilla Firefox y te puede dejar en bragas, ya que te permite capturar información que pasa por la red abierta, y una vez encontrada una clave de sesión ya sea de facebook, tuenti.. etc..  te puede robar la cuenta con solo un click.


Pero bueno como ya anunciaron, para impedir que Firesheep se salga con la suya, lo que todo usuario debe haceer es basarse en el protocolo SSL ;)


Un saludo.


Link de la noticia:  http://www.hispasec.com/unaaldia/4493

Las claves por defecto de los routers de Movistar y Jazztel, al descubierto

Se ha hecho público el algoritmo que genera las contraseñas de los
routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y
Jazztel a sus clientes para dar acceso a Internet. A efectos prácticos,
significa que si los clientes de Telefónica o Jazztel no han cambiado su
contraseña Wi-Fi desde que recibieron el router, su cifrado es inútil.
Actualmente, esto es más sencillo incluso que romper una clave WEP.

Hace algunos años, los routers que ofrecían los proveedores venían con
cifrado WEP. WEP siempre ha sido un estándar sencillo de romper, por
tanto, "colarse" en este tipo de redes Wi-Fi resultaba relativamente
sencillo si su dueño no saltaba a WPA. No hace mucho, los routers
comenzaron a ofrecerse con el estándar de cifrado WPA y una contraseña
por defecto (escrita en el propio router). Esto supuso un gran avance
porque, por el momento, al estándar WPA no se le conocen graves
problemas de seguridad. El punto débil se encontraba pues en la
generación de la clave por defecto. Se trata de un proceso automático,
así que si se descubría este proceso de generación, se podrían conocer
las contraseñas de todos los usuarios que utilizaran estos routers y no
hubieran cambiado su contraseña.

Hace unas semanas hubo un tímido intento de divulgación del algoritmo,
pero ha sido ahora cuando se ha hecho totalmente público. Se ha
descubierto el mecanismo de generación de claves, basado en el BSSID y
el ESSID del router (uno es lo que se conoce como el "nombre la red,
habitualmente WLAN_XXX en routers de MoviStar) y otro la dirección MAC
del router (escrita normalmente en su base). Estos dos datos son
públicos cuando se usa Wi-Fi, por tanto, cualquiera puede calcular la
clave.

El algoritmo combina estos dos valores, les concatena la cadena
“bcgbghgg” al comienzo, calcula el hash MD5 y se queda con los 30
primeros caracteres. Los detalles pueden ser consultados, en diferentes
lenguajes de programación en el apartado de más información. Incluso
existen ya aplicaciones para Android que calculan la clave...

Todo apunta a que el algoritmo ha sido filtrado por alguien con acceso a
esta información desde alguna de las empresas implicadas. La otra opción
sería el haber realizado ingeniería inversa a una gran muestra de
routers, y esto pensamos que es extremadamente complejo (aunque no
imposible) por el hecho de que el algoritmo usa hashes criptográficos.
Aunque utilizar MD5 no es lo más seguro hoy día, todavía requiere de una
importante fuerza bruta el romperlo si tiene una especie de "sal" como
la cadena fija indicada.

Por tanto, a partir de ahora el escenario es el siguiente: Un atacante
esnifa una red Wi-Fi de un usuario cualquiera cifrada con el estándar
WPA (por defecto). Obtiene el BSSID y ESSID (se transmiten en claro por
la red). Con este sencillo algoritmo, descubre la clave que MoviStar o
Jazztel han calculado por defecto. Se conecta a esa y red y una vez
dentro podrá utilizar esa red como plataforma de ataques o intentar
ataques internos a los equipos que estén conectados a ella. También
esnifar su tráfico y ver los datos que no se transmitan por SSL o
cifrados, como pueden ser contraseñas, conversaciones de chat... etc.
Actualmente, esto es más sencillo incluso que romper una clave WEP

Lo recomendado es (ya lo era incluso antes de conocerse este algoritmo)
entrar en el router y cambiar la contraseña. Habitualmente, hay que
introducir en el navegador la dirección 192.168.1.1, introducir la
contraseña del router, buscar la configuración de seguridad de la red
inalámbrica (WLAN) y modificar la contraseña WPA introduciendo una nueva
de más de 16 caracteres que contenga números, letras y símbolos. Mejor
aún, si el router los soporta, cambiar al estándar WPA2. El problema es
que esto puede resultar una operación compleja para el usuario medio,
que no quiere arriesgarse a modificar aspectos técnicos que no termina
de asimilar. Será de ellos de los que se aprovechen los atacantes.




Enlace de la noticia: http://www.hispasec.com/unaaldia/4487



Esta noticia es bastante interesante así que al lío, cambiar cuanto antes vuestra contraseña del router tanto si sois jazztel como telefónica por el bien de vuestra seguridad.  ;)