1/10/2014

Actualizaciones de seguridad de Joomla!

Se han anunciado dos vulnerabilidades en Joomla! que podrían permitir a atacantes remotos realizar ataques de cross-site scripting o evitar el mecanismo de autenticación.

El primero de los problemas reside en que determinadas entradas en el componente "com_media" no se limpian adecuadamente antes de mostrarse al usuario. Esto podría permitir la realización de ataques de cross-site scripting - CVE-2014-6631 con lo que el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Por otra parte un error al tratar la autenticación a través de LDAP - CVE-2014-6632 podría permitir evitar el mecanismo de autenticación.

Estas vulnerabilidades se dan en las versiones anteriores a la 3.2.5 y a la 3.3.4. Se puede actualizar a las últimas versiones desde el sitio oficial de Joomla.

Fuente: Hispasec

China bloquea Instagram para evitar difusión de protestas en Hong Kong

China bloqueó el acceso de sus ciudadanos a la red social de fotografías Instagram por las masivas protestas en Hong Kong con reclamos de elecciones libres. La plataforma Weibo, la versión china de Twitter, también presentó restricciones de acceso a su contenido, tal como ocurre con la búsqueda de algunas palabras clave. Por eso algunos usuarios se volcaron al uso de Firechat.

Un reporte del New York Times indica que las protestas comenzaron desde el viernes cuando miles de jóvenes pro-demócratas se posaron a las afueras de las oficinas gubernamentales de Hong Kong, ignorando la advertencia del gobierno de retirarse. Luego de dos días el gobierno decidió enviar a la policía para tomar el control de las calles.

Por medio del sitio Blocked In China se pudo verificar que Instagram fue bloqueado en ciudades como Beijing, Shenzen y el resto del país, aunque Hong Kong no se vio afectado de acuerdo a otro reporte de AP. En el caso de Weibo, las fotos con el hashtag fueron bloqueadas en pocas horas por lo que el resto de China no pudo enterarse de lo ocurrido.
Sin embargo, fuera del país asiático, el hashtag #OccupyCentral es tendencia en redes sociales como Twitter, donde los usuarios difunden información sobre las protestas que ocurrieron en Hong Kong.

Desde Instagram aseguran que están investigando la situación y están al tanto de las restricciones, según informó BBC.

Fuente: Ambito y Fayerwayer

El desastre de iOS 8.0.1 y la publicación de 8.0.2

Se mire por donde se mire, el lanzamiento de iOS 8.0.1 fue un desastre. Al contrario de lo que se piensa, esto no es algo exclusivo de la nueva Apple de Tim Cook. Por supuesto que sucedía cuando Steve Jobs estaba al frente de Apple, pero nunca se había dado el caso en un dispositivo como el iPhone y una característica tan crucial como hacer una llamada con un teléfono.
La forma en que Apple se organiza como una startup tiene sus ventajas e inconvenientes, algo que ya mencionamos la semana pasada. A pesar del error, Apple retiró la versión defectuosa de iOS en una hora. En ese tiempo, casi 40.000 usuarios de iPhone 6 y iPhone 6 Plus habían actualizado sus teléfonos.

Una vez metido la pata, la empresa reaccionó con rapidez. Al día siguiente ya teníamos una versión funcional de iOS para descargar, la 8.0.2. Pero lo cierto es que iOS 8.0.1 nunca debería haber superado los controles de calidad ni haber llegado al público. Esta versión estaba destinada a corregir los primeros problemas encontrados en iOS 8, sin embargo en esta ocasión el remedio fue peor que la enfermedad, lo que obligó a Apple a retirar la actualización apenas transcurridas unas horas desde su publicación, e incluso recomendar a los usuarios volver a iOS 8.

Tras los problemas iniciales Apple publica iOS 8.0.2, que más que fallos de seguridad está destinada a solucionar cuestiones relacionadas con la usabilidad y funcionalidad de los dispositivos. Se solucionan los errores de conectividad y con el Touch ID en iPhone 6 que dieron lugar a la retirada de iOS 8.0.1. Apple no ha detallado si la actualización referente al Touch ID es para mejorar su seguridad, en relación a los avisos que confirmaban que su funcionalidad había sido vulnerada. También corrige un fallo por el que las aplicaciones HealthKit están disponibles en la App Store. Se soluciona un problema de usabilidad en los teclados de terceras partes.

También se ha corregido un error que impedía que diversas aplicaciones pudieran acceder a las fotos desde la Librería de Fotos. Otro problema solucionado hacía relación a un aumento del uso de datos al recibir mensajes SMS/MMS. Y por último, otros fallos corregidos hacen relación a la restauración de tonos de llamada desde copias iCloud y a la subida de fotos y vídeos desde Safari.

Esta nueva versión está disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).

Fuente: Applesfera e Hispasec

30/9/2014

Absolution: análisis forense de datos a granel

Absolution es una herramienta de análisis forense que: recoge, analiza e informa sobre la evidencia digital. La premisa básica de Absolution es proporcionar un solo sistema integrado para examen exhaustivo y robusto de los datos a granel operados en la forma más sencilla posible.

Absolution también tiene como objetivo proporcionar una plataforma extensible utilizable por investigadores avanzados, investigadores, auditores, litigantes, entusiastas y cualquier otra persona que necesita realizar una búsqueda exhaustiva de grandes cantidades de datos.

Cumple con todos los estándares de software forense. Posee una arquitectura extensible que produce salida en formato XML de uso universal. Permite automatizar tantos pasos forenses como sea posible, mejorando el rendimiento de todos los pasos de análisis forenses. Es una herramienta muy útil para las personas que necesitan una rápida respuesta en analisis forense.

Características:
  • Coincidencia de patrones de expresiones regulares en los archivos, compatible con un montón de patrones prefijados para buscar en: ANSI, UTF-8, UTF-16...
  • Busca evidencias forenses ubicadas en el Registro de Windows.
  • Genera informes en HTML definidos por el usuario.
  • Genera la salida de datos en XML para la compatibilidad de herramientas de terceros.
  • Identificación de archivos por bytes mágicos, contenidos y extensión.
  • Recolección de datos de los navegadores web: cachés, listas, cookies...
  • Identificación de archivos HTML por contenido.
  • Extracción de metadatos del tipo: Microsoft, ODF, Exif, HTML, PDF, BitTorrent...
  • Recolección de datos de e-mail: Outlook PST, buzones RFC822...
  • Búsquedas en archivos adjunto de correo electrónico.
  • Búsquedas de  contenido en archivos comprimidos: ZIP, RAR, TAR, GZ, 7z, etc.
  • Registros de sucesos de Microsoft.
  • Herramientas investigación como: motor de búsqueda Lucene, línea de tiempo, índice maestro del sistema de archivos, datos primarios y generación de informe.
  • Comprobación de Hash utilizando la base de datos de hash NSRL.
  • Permite extracción de datos de geolocalización y consultas con motores de búsqueda.
Fuente: Gurú de la Informática

Webcast gratuito: como ganar siempre al poker con #OWASP ZAP

El próximo lunes 6 de Octubre a las 13 horas GMT-3 (Argentina time) el Lic. Cristian Borghello estará brindando a través de OWASP el Webcast "Cómo ganar siempre al Poker: Testing de Web Sockets con OWASP ZAP".

WebSocket es parte de la iniciativa de HTML5 para definir una API que permite a las páginas web la comunicación full-duplex y bidereccional a través de un solo conector TCP/HTTP para proporcionar una enorme la reducción del tráfico de red.

Se analizará este nuevo protocolo y la forma de analizar el tráfico a través del proxy web OWASP ZAP, el cual permite ver y modificar las peticiones de múltiples aplicaciones actuales, como por ejemplo las de poker.

Fecha: lunes 6 de octubre
Hora: 13hs GMT-3 (Argentina time)

Para ingresar a ver este webcast en línea:
http://www.youtube.com/watch?v=gSlis1pDc-4

Bleep: char seguro, privado y anónimo de BitTorrent

Bleep es un nueva aplicación de BitTorrent destinada a ofrecer un chat seguro y privado entre usuarios. En Genbeta ya hemos podido probarla, y aquí os traemos nuestro análisis junto con una revisión del funcionamiento interno de la aplicación.

BitTorrent promete seguridad, privacidad y anonimato con Bleep. Es decir, que ya no sólo nadie puede leer lo que escribes, sino que ni siquiera sabrá a quién se lo mandas ni si realmente eres tú el que está detrás de una cuenta determinada. ¿Cómo lo logran?

Por un lado, lo que hacen es descentralizar el control de las cuentas. Normalmente, cuando te registrar en un servicio de mensajería (Whatsapp o Telegram, por poner dos ejemplos) das tus datos y la aplicación los envía a un servidor central. La razón es que alguien tiene que almacenar tu contraseña, y además esos servidores tienen que saber dónde estás conectado para poder enviarte los mensajes.

Bleep no es distinto en ese sentido: tienes que autenticarte de alguna forma y tus contactos tienen que saber dónde estás. Lo primero se resuelve con un par de claves pública y privada: la pública es tu "nombre de usuario", por así decirlo, y la privada sería como tu contraseña, la prueba de que tú eres tú y no un impostor.
Bien, pero, ¿de qué sirve saber que no eres un impostor si no te encuentro? Como decíamos, en Bleep no hay ningún servidor central donde estén almacenados los datos de los usuarios. En su lugar, están distribuidos entre todos los usuarios, en lo que se llama una DHT (Distributed Hash Table, Tabla Hash Distribuida).

Contenido completo en fuente original Genbeta

29/9/2014

Nova: ofuscamiento y ocultamiento de nodos de red

El término ofuscación es habitualmente relacionado a fines ilegítimos, pero puede ser igualmente utilizado como una herramienta para mejorar la seguridad de sistemas, aplicando las técnicas asociadas, por ejemplo, a la protección frente ataques en entornos de redes.

De manera generalizada, podemos decir que existen tres etapas en todo ataque de red:
  • Obtención de acceso a la red, usualmente de la manera más práctica posible
  • Exploración de la red e identificación de hosts vulnerables, recolectando toda la información posible mediante técnicas de escaneos masivos
  • Explotación de las vulnerabilidades encontradas para tomar control de un host
  • Post explotación, expandiendo el ataque a otros hosts y redes internas
De todas estas fases, la defensa frente a exploraciones de red es tal vez aquella que menos atención ha recibido, debido en parte a que muchas veces se asume que cualquier atacante que haya logrado penetrar las defensas de frontera, ha logrado ya realizar un análisis exploratorio. Sin embargo, esto no tiene por qué ser así.

En este contexto, la ofuscación de la red nos permite disfrazar las características genuinas del tráfico y los dispositivos en su dominio, dificultando la tarea del atacante al momento de realizar el footprinting y fingerprinting de la red, los equipos que a ella pertenecen, y los servicios que ellos prestan.

Ofuscando la red

Es en este punto donde la ofuscación de la red –también llamada esteganografía de red- entra en juego. Consiste en la aplicación de diversas metodologías para lograr encubrir las verdaderas comunicaciones que tienen lugar en la red, permitiéndonos engañar al atacante durante la etapa de exploración.

Algunas técnicas se sustentan en la modificación de las funciones de los protocolos de red, como aquellas sobre el manejo de errores o la definición del tipo de datos a enviarse, basándose mayormente en la imperfección de los canales de comunicación como medio para el encubrimiento de los efectos introducidos por las alteraciones realizadas.
Otro enfoque se cimenta en la inclusión de nodos falsos con el objeto de impedir al atacante distinguir entre éstos y los equipos de red reales. De la mano de herramientas como Network Obfuscation and Virtualized Anti-Reconnaissance (Nova), podemos generar incontable cantidad de hilos de ejecución capaces de responder como verdaderos equipos informáticos, simulando peticiones y respuestas a servicios en base a un script que define su operatoria desde el punto de vista de la capa de red.

Contenido completo en fuente original We Live Security

#Celebgate: Apple sabía de las vulnerabilidades de iCloud y desestimó los errores

Meses antes de que se conocieran las revelaciones de las fotos de las famosas de Hollywood, un investigador de seguridad realizó múltiples reportes a Apple sobre las vulnerabilidades en el servicio iCloud de la compañía a través de ataques de fuerza bruta contra las contraseñas.

The Daily Dot reportó que Ibrahim Balić envió las descripciones de la vulnerabilidad a Apple en marzo pasado, además de presentar un informe sobre que el filtrado datos de usuario podía utilizarse para montar este tipo de ataques.

En un correo electrónico del 26 de marzo, Balić informó a Apple:
He encontrado un nuevo problema sobre cuentas de Apple (sic)... A través de un ataque de fuerza bruta, se puede intentar más de 20.000 veces la contraseña de cualquier cuenta. Creo que probablemente debería aplicarse un bloqueo de cuenta. Adjunto una pantalla. He encontrado el mismo problema en Google y ya tengo respuesta de ellos.

El empleado de Apple respondió: "Es bueno saber de ti. Gracias por la información".

Balić también informó del fallo a través las peticiones utilizando la API del servicio de iCloud vía HTTPS y mediante el cual se explota el parámetro "Authorization" de la solicitud Web, enviado un ID de cliente de iPhone falso y un token de Apple iCloud:


Apple respondió en mayo desestimando la vulnerabilidad porque "tomaría un tiempo extraordinario encontrar un token de autenticación válido para una cuenta".

Lo resultados están a la vista, sino pregúntenle a las famosas y usuarios afectados.

Fuente: Arstechnica

jQuery.com fue comprometido para servir malware

El sitio web oficial de la popular biblioteca de JavaScript multiplataforma jQuery.com ha sido comprometido para servir software malicioso y redirigir a los visitantes de un sitio web que utilice sus scripts al Exploit RIG, el mismo que distribuye Cryptowall.

La buena noticia es que no hay ningún indicio de que haya sido afectada la propia librería de jQuery.

Hay dos ventajas en permitir jQuery albergue el código:
  • Rendimiento: el código JS es entregado más rápido, y es probable que usuario ya lo tenga en su caché por haber visitado otro sitio que utiliza el CDN de jQuery.
  • Actualizaciones automáticas: las actualizaciones de jQuery son colocadas en sus CDN por los desarrolladores y, un sitio web que los utilice, recibirá la última copia automáticamente.
Por otro lado, hay un inconveniente importante: el código que se sirve desde los CDN puede ser modificado y se debe confiar a "ciegas" en los sitios de terceras partes y, ante un posible compromiso, este sitio de terceros afectará la seguridad del sitio propio.

El ataque se detectó primero el 18 de septiembre, y dado que el script redirector malicioso fue alojado en un dominio (jquery-cdn.com) que se registró ese mismo día, es muy probable que el ataque empezara en ese momento.

Los investigadores de RiskIQ notificaron inmediatamente a la Fundación jQuery sobre el compromiso. Si bien jQuery inicialmente no confirmó el ataque, el 24 de septiembre el Director de investigación de RiskIQ, informó que habían realizado análisis de los sitios web y se detectaron exploits que definitivamente provenían de jquery.com. Además pudieron verificar (mediante captura de tráfico [PDF]) que varias compañías de Fortune 100 habían visitado el dominio jquery-cdn.com  desde jQuery.com.

Finalmente el 25 de septiembre el equipo de infraestructura de jQuery, confirmó el compromiso de jQuery.com pero creen que se trata de incidentes distintos y que se podría haber utilizado el mismo vector de ataque. Al momento de escribir el presente blog.jquery.com está fuera de servicio, posiblemente por un ataque de DDoS.

Por otro lado jQuery ha confirmado que en ningún momento se pudo confirmar que se distribuyó malware desde cualquiera de sus sitios, desde el código de bibliotecas o desde sus CDN y hacen notar que que el dominio oficial de sus CDN es code.jquery.com.

Fuente: Net-Security

28/9/2014

Firechat: chat anónimo y sin conexión a Internet

Algo está ocurriendo en Hong Kong. Miles de personas han salido a la calle para protestar contra la restricción del gobierno chino, que impide que la ciudad semi-autónoma celebre unas elecciones en el año 2017. Las protestas son fuertes: la policía ha llegado a emplear el uso de gas lacrimógeno y el gobierno chino ha bloqueado la señal de internet para que ningún móvil pueda comunicarse. Pero aún sin tener internet, los manifestantes han podido comunicarse y coordinar sus acciones sin problemas. ¿Cómo es posible? La respuesta pasa por Firechat, un cliente de mensajería instantánea que ahora mismo está demostrando cómo su protocolo descentralizado puede ser un dolor de cabeza para las administraciones.
FireChat nos permite conversar anónimamente con cualquier persona que esté cerca, aún sin tener conexión a la red
¿Y cómo puede conseguir FireChat establecer un medio de comunicación sin internet? Ya hablamos de ello hace medio año en Applesfera (en el caso concreto de iOS): la aplicación utiliza las antenas Wi-Fi y Bluetooth para buscar otros dispositivos a su alrededor, creando una red de nodos que se puede comunicar entre sí formando una "red local" automáticamente.

En el caso de iOS, se aprovecha del llamado Framework Multipeer Connectivity, que permite a iOS conectar con otro usuario aunque éste no esté conectado a la red móvil ni a una Wi-Fi. ¿Cómo? utilizando las antenas Bluetooth y Wi-Fi para conectar directamente con los terminales, un peer-to-peer en vez de depender de un nodo central de conexión. Algo semejante se usa en la tecnología AirDrop, y ese es el motivo por el que necesita tener los módulos Wi-Fi y Bluetooth activados.

De este modo, aunque no haya señal de datos, si 1.000 personas se reúnen en la calle pueden chatear entre ellas sin problemas si cada uno se instala FireChat. El resultado es que aunque los manifestantes no puedan navegar en internet como mínimo pueden organizarse entre ellos y enviar avisos rápidos según convenga. Y si alguien está conectado a una Wi-Fi de la zona, siempre puede enviar lo que haga falta mediante FireChat a los demás.

Y ahora mismo estamos hablando de su uso en manifestaciones donde se priva de libertad de información, pero protocolos como estos pueden salvar vidas en catástrofes o accidentes graves donde varias víctimas estén involucradas. Como cuando un tren se queda atrapado en un túnel, por ejemplo.

Esto, combinado con que FireChat está disponible para iOS y Android, ha resultado en un "boom" de descargas de la aplicación en Hong Kong. Todos los manifestantes que tenían smartphone han podido coordinarse, corriendo la voz de la utilidad de FireChat directamente en el lugar de las protestas.

Fuente: Genbeta