22 de dic. de 2014

Pydio: alternativa Open Source a Dropbox para la empresa

Recientemente, la plataforma de gestión de documentos en la nube Pydio ha lanzado la versión 6.0 de su servicio de código abierto de sincronización e intercambio de archivos, buscando convertirse en la solución más viable para departamentos corporativos de TI y de desarrollo que buscan una alternativa de código abierto (licencia AGPL) a la clase de servicios en la nube que hasta ahora ofrecían, fundamentalmente, Box y Dropbox. Pydio 6.0 es ofrece "un control riguroso de la información, demandado por empresas y proveedores de servicio".

"Hasta ahora, las soluciones de intercambio de archivos de código abierto han fallado en el momento de proveer una alternativa empresarial viable para servicios de almacenamiento en la nube enfocados en el usuario", explica Charles du Jeu, CTO de Pydio y fundador del antiguo proyecto open source en el que éste se basa, ajaXplorer. "Pydio 6.0 refuerza la escalabilidad empresarial, la flexibilidad multi-dispositivo (Windows, Mac, Linux, iOS, Android, etc.) y extiende los controles de administración centralizados de la plataforma".
"Pero lo más importante, hemos combinado esto con una remodelación completa de la experiencia de usuario de la interfaz: sin una alternativa usable y amigable, a los departamentos de TI les resultará imposible evitar que los empleados sigan utilizando estos servicios gratuitos y fáciles de usar en línea", continúa du Jeu. Ahora, la interfaz de usuario incluye pequeñas guías de vídeo sobre las opciones de uso compartido, y las características empresariales avanzadas siguen disponibles para superusuarios y administradores de sistemas, aunque se han movido a un segundo plano para evitar confundir a la mayoría de los usuarios. Entre otras novedades, podemos destacar la introducción de la previsualización de los archivos sin necesidad de descarga, y de un nuevo panel de administración con logs más detallados.

Otras funciones útiles de Pydio, introducidas en actualizaciones anteriores son:
  • La posibilidad de crear "minisites" públicos para la publicación de las listas de documentos en Internet (muy útil para las organizaciones que desean compartir archivos públicos).
  • Acceso a medios de almacenamiento externo como servidores FTP y Amazon Web Services.
  • La opción de crear usuarios y grupos gestionados mediante LDAP o Active Directory. Además, cada usuario puede tener asignado una serie de permisos concretos.
  • Integración con CMS como Drupal, WordPress y Joomla para unificar la autenticación de usuarios.
  • Pydio utiliza la tecnología EncFS como sistema de cifrado de datos en el sistema de archivos: los datos sólo se descifran mientras la sesión de usuario está abierta.
  • Acceso a un amplio catálogo de plugins (ya elaborados por el equipo de desarrollo, ya por la comunidad) que amplían las funciones de la plataforma.
En Pyd.io se puede encontrar un completo resumen de la nueva versión 6.0 con todos los recursos y enlaces para un tour completo del producto, vídeos y recursos para desarrolladores, mientras que el software puede ser descargado aquí, y su correspondiente código fuente, está disponible en GitHub. Al igual que ocurre en WordPress, esta herramienta Open Source tiene un dominio .com con su equivalente comercial, con servicio de soporte.

Fuente: TicBeat

APTnotes: histórico de APTs

APTnotes es un repositorio de varios documentos y notas relacionadas a APTs, disponibles públicamente y ordenados por año. Algunos de estos reportes inckuso contienen hashes de muestras de malware para analizar en un entorno de laboratorio.

La idea del proyecto es tener una copia de cada documento publicado y que cualquiera pueda contribuir y agregar documentos.

2006

2008

2009

2010

2011

2012

2013

2014

Fuente: APTNotes

    SMB Worm Tool: la herramienta usada contra Sony

    US-CERT fue notificado por un tercero de confianza que los delincuentes están usando un gusano que utiliza el protocolo Server Message Block (SMB) para llevar a cabo los ataques a la empresa Sony Pictures. De acuerdo al informe de US-CERT y el FBI, este SMB Worm Tool está "equipado" con cinco componentes diseñados para realizar distintos tipos de intrusión y ataques.


    SMB Worm Tool utiliza un ataque de fuerza bruta para propagarse mediante el servicio de SMB en el puerto 445 sobre Windows. El gusano se conecta a casa cada cinco minutos para enviar el registro de datos obtenidos a su Centro de Comando y Control (C&C). La herramienta también acepta nuevos comandos y tareas desde el C&C: el primer subproceso llama a casa y envía registros de los comandos exitosos y el segundo subproceso intenta adivinar las contraseñas para las conexiones SMB. Si se acierta la contraseña, se establece un recurso compartido, se copia y se ejecuta un archivo para infectar al host.

    Los cinco componentes de SMB Worm Tool son :
    • Componente de escucha: durante su instalación, una porción de los binarios es descifrada usando AES, con una llave que derivada de la frase "National Football League". A partir de este momento comienza a escuchar en el puerto TCP 195 (para "sensvc.exe" y "msensvc.exe") y en el puerto TCP 444 (para "netcfg.dll"). Cada mensaje enviado desde y hacia este componente es precedido con su longitud y una cadena codificada con XOR con el byte "0x1F". En la conexión inicial, la víctima envía la cadena "HTTP/1.1 GET /dns?" y el controlador responde con la cadena "200 www.yahoo.com! \x00" (para "sensvc.exe" y "msensvc.exe") o con la cadena "RESPONSE 200 OK!!" (para "netcfg.dll"). El controlador envía el byte "!" (0x21) para poner fin a la conexión.
    • Backdoor: este componente está diseñado como un servicio DLL. Incluye funcionalidades tales como transferencia de archivos, relevamiento del sistema, manipulación de procesos y capacidades de proxy. El listener puede también realizar la ejecución de código arbitrario y ejecutar comandos. Esta herramienta incluye una función para abrir puertos en firewall de la víctima y sacar provecho de los mecanismos Plug and Play universal (UPNP) para descubrir routers y dispositivos de puerta de enlace, añadir puertos, permitir conexiones entrantes a la víctima, etc.
    • Proxy: este componente se instala como un servicio y se configura para escuchar en el puerto TCP 443 u otro configurable. Esta herramienta tiene funcionalidades básica de backdoor, incluida la capacidad de realizar un fingerprinting de la máquina víctima, ejecutar comandos remotos, realizar listados de directorios, realizar listados de procesos y transferencia de archivos.
    • Destrucción del disco: esta herramienta limpia disco el duro a medida que se pretende destruir los datos más allá del punto de recuperación y complicar la recuperación de la máquina de la víctima. El programa escribe sobre porciones de hasta las primeras cuatro unidades físicas y sobrescribir el registro Master Boot Record (MBR) con un programa diseñado para causar más daño si el disco es reiniciado. Si el agente sólo tiene acceso a nivel de usuario, el resultado incluye la eliminación de archivos específicos y la máquina víctima seguiría siendo utilizable.
    • Propagación en la red: este malware tiene la capacidad de propagarse en la red de a través de los recursos compartidos de Windows. Basado en la contraseña proporcionada en su archivo de configuración el malware tendrá acceso a recursos compartidos de red con el fin de cargar una copia del componente de destrucción y comenzar el proceso de limpieza en los sistemas remotos. El malware utiliza varios métodos para acceder a archivos compartidos en los sistemas remotos y comenzar a borrar archivos. La comprobación se realiza en "\\hostname\admin$\system32" y "\\hostname\shared$\system32".
    US-CERT dispones de una lista de los indicadores de compromiso (IOCs) que deben añadirse a las soluciones de seguridad de red para determinar si están presentes en una red.

    La investigación sobre el ataque a Sony continúa y si bien Sony no ha proporcionado muchos detalles a la opinión pública, la empresa presuntamente está trabajando FireEye Mandiant en el aspecto de la investigación forense.

    Fuente: US-CERT

    21 de dic. de 2014

    Disponible Wordpress 4.1 y Joomla! 2.5.58

    La versión 4.1 de WordPress, llamada "Dinah" en honor de la conocida como reina del blues Dinah Washinton, está disponible para su descarga o actualización desde el panel de administrador de WordPress, incluso los que tengan activada la actualización automática no tendrán que hacer nada.

    Esta nueva versión incorpora bastantes novedades como un nuevo tema de nombre Twenty Fifteen, la posibilidad de añadir idiomas cómodamente desde los ajustes, inserción fácil de vídeos Vine o mejoras en la gestión de elementos multimedia, especialmente, desde dispositivos móviles. Se puede ver una lista completa de novedades en la correspondiente página del codex.

    Se ha liberado la que en principio y salvo catástrofe inesperada va a ser la última versión de la rama 2.5 de Joomla! 2.5.28 que tiene fecha de caducidad en cuanto al soporte de la misma y es el día 31 de este mismo mes. Es una versión de mantenimiento que soluciona 25 errores en las versiones precedentes.

    Fuente: DaboBlog

    Tendencias en cibercrimen y predicciones para 2015

    Tal como nuestros lectores están acostumbrados, el Equipo de Investigación de ESET Latinoamérica ha trabajado en realizar las predicciones en torno a los ataques del cibercrimen para 2015. El año pasado, pusimos el enfasis en la privacidad en Internet, los ataques a Android y una nueva ola de malware de alta tecnología; temas que ya han sido repasados a lo largo de 2014 en los posts publicados en We Live Security en español.

    En las próximas líneas podrán leer un resumen de lo que esperamos que sean las principales tendencias para el año que viene. En las próximas semanas pondremos a su disposición el reporte completo para que puedan descargarlo y encontrar mucha más información sobre nuestras predicciones.

    Ataques dirigidos

    Si hay una lección que hemos aprendido en los últimos años es que los ataques dirigidos son una tendencia creciente, y el año que viene no será la excepción. Comunmente conocidas como APTs (Advanced  Persistent Threats, o en español, Amenazas Avanzadas Persistentes), estas tienen como diferencia principal con los ciberataques tradicionales que tienen un objetivo definido, y no persiguen a cualquier objetivo disponible.
    Además, este tipo de ataques busca mantenerse sin ser detectado por largo períodos de tiempo. En este contexto, es importante notar que el vector de ataque más utilizado son exploits 0-day o ataques que se valen de técnicas de Ingeniería Social.
    De acuerdo al repositorio APTnotes (un sitio web que recolecta ataques APT de varios documentos y notas públicos, ordenados por año), este tipo de ataques ha crecido en los últimos años, desde tres ataques identificados en 2010 a 53 ataques conocidos en 2014, y con la posibilidad que existan varios sin ser descubiertos aún. Durante 2014, hemos publicado en We Live Security algunos ejemplos de estos ataques tales como la nueva campaña de BlackEnergy o la Operación Windigo.

    De acuerdo al Identity Theft Resource Center de Estado Unidos, han habido 720 fugas de información en 2014, con 304 de los casos afectando a la industria de la salud (42,2%):
    Estas estadísticas se basan únicamente en los ataques reconocidos de forma pública, por lo que es razonable pensar que el crecimiento mostrado por las estadísiticas es real. La cantidad, en cambio, debería ser mayor, dado que existen varios ataques que no son admitidos públicamente por razones de confidencialidad de las empresas.

    El foco puesto en los sistemas de pago

    En paralelo con el crecimiento de los métodos de pago online, el interés de los cibercriminales en estos también ha aumentado. Es obvio que los cibercriminales continuarán destinando esfuerzos en atacar sistemas de pago, en la medida en la que mayor cantidad de dinero circule por Internet.

    Solo en 2014, hemos visto ataques tal como el que afectó a los usuarios de Dogevault en mayo, cuando algunos reportaron pérdidas de dinero poco antes que el sitio fuera dado de baja. Aparentemente, los fondos fueron destinados a una “billetera” que contenía más de mil millones de Dogecoins, una moneda online.
    Por el otro lado, los sistemas de punto de venta son aún una tecnología vigente, y es algo que no ha pasado desapercibido por los creadores de malware. A medidados de 2014 publicamos información sobre el gusano Win32/BrutPOS que intenta realizar ataques de fuerza bruta en máquinas PoS (aquellas utilizadas para realizar transacciones en locales) al utilizar una variedad de contraseñas utilizadas normalmente para lograr un acceso remoto a dicho dispositivo.
    Existen otras familias de malware orientadas a PoS tales como JacksPoS o Dexter, que podrían ser los responsables de los grandes ataques a Target (se robó información de 40 millones de tarjetas de crédito) o a Home Depot, en el que se filtró la información de 56 millones de tarjetas luego de 5 meses de haber comenzado el ataque, cuando la compañía anunció la fuga de información.
    Es interesante notar que desde que el código fuente de BlackPOS fue filtrado en 2012, es muy probable que haya facilitado la creación de nuevas variantes de esta amenaza, y que serán utilizadas en los próximos años.

    Bitcoins, ransomware y malware

    En la misma línea con la tendencia anterior, los desarrolladores de malware continuarán dedicando esfuerzos a dinero online y sistemas de pago en 2015. Por ejemplo, en la operación más grande conocida hasta el momento, un atacante afirma haber “cosechado” más de $600.000 en moneda digital utilizando una red de máquinas comprometidas. A través de dispositivos NAS infectados, el atacante creó una carpeta llamada “PWNED” en la que alojó el programa CPUMiner para generar Bitcoins y también Dogecoins.Algo interesante para notar es que este tipo de ataques crea dinero en lugar de robarlo de usuarios comprometidos. Digamos que es una nueva manera de robar.

    De manera similar, el sitio SecureMac reportó en febrero un generador de Bitcoin que afecta a usuarios de Mac OS. El ataque se propagó como una aplicación legítima de Bitcoins recompilada para incluir un troyano.

    Finalmente, el ransomware será clave para los desarrolladores de malware, y seguramente se posicione como una de las amenazas más relevantes para los años venideros. Durante 2014, hemos visto a grandes compañías golpeadas por el ransomware (como Yahoo, Match o AOL), y además investigadores de ESET han publicado un análisis de Android/SimpLocker, el primer ransomware para Android. En diciembre de 2014, en un panel de discusión en Georgetown, se dijo que “el ransomware es el futuro del cibercrimen orientado a usuarios finales“.

    Internet de las Cosas

    No hay razón para pensar que los nuevos dispositivos que estarán conectados a Internet, almacenando información valiosa, no serán un objetivo para el cibercrimen. La Internet de las cosas seguramente creará interés para los cibercriminales. Durante este año hemos visto evidencia de esta tendencia creciente, tales como ataques a autos, como el demostrado en la conferencia Defcon utilizando dispositivos ECU o la prueba de concepto realizada por Nitesh Dhanjani que permitía abrir las puertas de un auto Tesla en movimiento. Además se han visto ataques y pruebas de concepto en televisores Smart, dispositivos Boxee TV, sistemas biométricos, smartphones, y hasta en Google glass.

    Nuestro estilo es no exagerar sobre este tipo de cuestiones, pero es importante notar que ya habíamos mencionado esta tendencia y, a pesar que no será un problema masivo en un futuro cercano, no deja de ser un espacio emergente para que los cibercriminales encuentren un nuevo vector de ataque. Teniendo en cuenta esto, estos ataques no serán una tendencia a partir de la cantidad sino por su innovación.

    Conclusión

    Estas son las principales cuestiones de lo que hemos identificado como las principales tendencias para 2015 en lo referido al malware y los ataques informáticos. Por supuesto que existen otras tendencias que tienen que ver con los ataques a dispositivos móviles, y que seguirán estando a la orden del día. Recuerden estar atentos ya que en las próximas semanas estaremos publicando el informe completo con un análisis detallado de cada una de las tendencias.

    Fuente: ESET Research, ESET

    20 de dic. de 2014

    Tribler: Torrent anónimo

    ¿Creías que la red Bittorrent tenía ya su ración de seguridad por ser P2P? Me temo que los problemas que ha tenido The Pirate Bay recientemente demuestran lo contrario. Y es por ese motivo que en la Universidad Tecnológica de Delft han decidido crear un protocolo que convierte la red Bittorrent en anónima e "imposible de cerrar".

    Este protocolo se llama Tribler, y aunque lleve ya años existiendo su última versión riza el rizo con una red específica cifrada con Tor para que los usuarios descarguen y compartan contenido sin ser delatados por su dirección IP. Además, si se diera el caso de que cerraran todos los trackers y motores de búsqueda de torrents, la red de Tribler seguiría existiendo como si nada.
    El responsable del proyecto, el profesor Pouwelse, ha comentado a TorrentFreak que con los recientes eventos le queda claro que "los gobiernos no se lo piensan dos veces a bloquear Twitter, atacar webs, confiscar servidores y robar dominios". Su idea para impedirlo es una red que no dependa de servidores centrales, y que por lo tanto sea inmune a medidas de los gobiernos. Esa misma descentralización incluso sirve para eliminar el SPAM que pueda aparecer si aplicamos medidas sociales a lo que se comparta: si un archivo torrent tiene una valoración muy negativa, queda descartada de facto ya que nadie se la descargaría.

    Tribler es, una vez más, la enésima prueba de que cuando alguien intenta bloquear algo en la red el problema se vuelve todavía peor para él. Podemos probar Tribler en Windows, OS X y Ubuntu Linux; aunque las descargas anónimas están en fase experimental.

    Para detalles de cómo funciona el protocolo se puede leer el documento publicado por los desarrolladores.

    Fuente: Genbeta

    Sistemas NAS de QNAP atacados por ShellShock (Parchea!)

    Expertos de SANS Institute descubrieron un gusano que está explotando la vulnerabilidad Shellshock para comprometer sistemas Network Attached Storage (NAS) de la empresa coreana QNAP. Los sistemas NAS se utilizan en las empresas para almacenar grandes volúmenes de archivos y bases de datos y esto hace que un NAS sea un objetivo atractivo para los atacantes, dado los amplios tipos de datos que almacenan.

    FireEye ha estado monitoreando los ataques relacionados con Shellshock y ha observado que los atacantes intentan aprovechar esta vulnerabilidad de inyección de código remoto Bash para obtener un shell remoto en el sistema comprometido y acceder al contenido de los NAS. Los objetivos se han ubicado principalmente en Japón, Corea y Estados Unidos.

    Prácticamente todos los dispositivos NAS ejecutan un Linux embebido que es vulnerable a CVE-2014-6271 más conocida como ShellShock. Esta vulnerabilidad es particularmente grave porque concede privilegios de root al atacante. La Prueba de Concepto se discute públicamente aquí.
    $ curl -A '() { :;}; echo Content-Type: text/html; echo; echo
    `/usr/bin/id`' http://QNAP_QTS:8080/cgi-bin/restore_config.cgi
    *uid=0(admin) gid=0(administrators)*
    HTTP/1.1 200 OK
    Basado en la cantidad de dispositivos que ejecute un sistema operativo Linux embebido y la ventana de tiempo para parchearlos, existe un potencial compromiso a gran escala de dispositivos almacenamiento y del tipo IoT. Hay pruebas de que los atacantes están aprovechando activamente la vulnerabilidad dirigida a dispositivos embebidos de QNAP con el fin de subir su clave SSH al archivo "authorized_keys" e instalar un ELF Backdoor.

    En el post publicado por SANS explican que, a pesar de QNAP ya lanzó el parche en octubre, muchos dispositivos fueron infectados por el gusano y todavía hay un montón de usuarios que no han actualizado sus sistemas. El ataque apunta al script CGI de QNAP "cgi-bin/authLogin.cgi", un conocido vector de ataque para Shellshock.

    El escenario de ataque es muy interesante: una vez modificado el sistema QNAP el gusano crea un nuevo usuario administrativo para obtener una backdoor persistente. El gusano también parchea Shellshock para evitar que otro malware pueda explotarlo. El dispositivos infectado también ejecutan un script que permite realizar fraudes de click contra la red de publicidad JuiceADV. Además los dispositivos infectados buscan otros dispositivos vulnerables. Parte del código ya se encuentra en Pastebin.

    La lista detallada de las acciones realizadas por el gusano:
    • Establece el servidor DNS 8.8.8.8
    • Crea un servidor SSH en el puerto 26
    • Agrega un usuario admin llamado "request"
    • Descarga y copia una secuencia de comandos CGI a to cgi-bin: armgH.cgi y exo.cgi
    • Modifica el autorun.sh para ejecutar backdoors en el reinicio
    • Descargar e instala el parche de Shellshock para QNAP y reinicia el dispositivo.
    El gusano instala también muchos otros componentes maliciosos. A los administradores que todavía no parcheado su sistema QNAP, deben hacerlo con urgencia. Según el comunicado de prensa de QNAP, los usuarios deberían desconectar los sistemas que son directamente accesibles desde Internet hasta que se aplique la actualización. Aquí explican cómo remover la infección.

    Fuente: Security Affairs

    19 de dic. de 2014

    Software permite vulnerar la verificación de dos pasos de iCloud

    Muchos recordarán el penoso incidente el que decenas de fotos de famosas fueron filtradas a internet conocido como Celebgate (o The Fappening). Una de las aplicaciones que se utilizaron para filtrarlas es Phone Breaker de Elcomsoft, quien acaba de liberar una nueva actualización compatible con la verificación de dos pasos de iCloud.

    Phone Breaker puede extraer fotos y otra clase de información privada como registros de llamadas, archivos de iWork o eventos del calendario. También es capaz de descargar registros de aplicaciones de terceros, como los chats de WhatsApp que hayas respaldado en iCloud.

    Para tener acceso a iCloud existen dos opciones.
    • Si no cuentas con Apple ID y contraseña, pero tienes una computadora que usaste para sincronizar con iCloud, el programa puede extraer el token de autenticación del PC o Mac por medio de un escaneo exhaustivo. Esto puede hacerse desde el computador o conectando el disco duro que se uso para sincronizarse.
    • Si tienes el Apple ID y contraseña de la persona puedes introducirlos en Phone Breaker y hacer la descarga. En caso que la verificación de dos pasos esté activa, es indispensable tener acceso a uno de los dispositivos de confianza o la clave de recuperación.
    Elcomsoft asegura que si no tienes acceso a alguno de estos dos, no será posible acceder a la cuenta. Si son cuidadosos, al menos aquí podrían respirar tranquilos. Aunque hay que tomar en cuenta que no muchos usuarios de Apple tienen activada la verificación de dos pasos.
    De momento el software solo puede acceder a los archivos antes mencionados, sin embargo se planea ofrecer una versión compatible con iCloud Drive a principios del próximo año. Sus creadores también dijeron que continuarán trabajando para ofrecer soporte a nuevos métodos de autenticación.

    Debido a que esta noticia está generando tracción en varios medios, será interesante conocer la respuesta de Apple. Elcomsoft asegura que tiene fines legítimos ya que Phone Breaker puede usarse por las agencias de inteligencia o el ejército.

    El problema es que no parece hacer una verificación exhaustiva de sus clientes, quienes por USD $799 pueden tener acceso a todas las funciones para extraer información de iCloud.

    Fuente: Fayerwayer

    Misfortune Cookie: vulnerabilidad que permitiría tomar el control de millones de routers

    Más de 12 millones de dispositivos en todo el mundo estarían expuestos a esta nueva vulnerabilidad, bautizada como Misfortune Cookie ("galleta de la desgracia") que ya tiene su sitio oficial.
    Check Point Software Technologies Ltd. ha anunciado el descubrimiento de Misfortune Cookie, una vulnerabilidad crítica identificada como CVE-2014-9222 y que permitiría a los intrusos tomar control de muchos de los gateways domésticos que dan acceso a Internet y utilizarlos para atacar a los dispositivos conectados a ellos.

    Check Point ha detectado esta vulnerabilidad al investigar el uso del protocolo TR-069 y estaría presente en millones de routers domésticos de diferentes modelos y fabricantes en todo el mundo, y que podría llegar a permitir a un atacante tomar control del dispositivo y sus privilegios de administración.

    La investigación ha detectado por lo menos 200 modelos [PDF] diferentes de dispositivos de diferentes fabricantes y marcas vulnerables Internet. La mayoría de estos dispositivos son residenciales. La lista incluye modelos de D-Link, Edimax, Huawei, ZTE, TP-Link y ZyXEL, entre otros.

    El problema es el uso de una pieza de software vulnerable en el chipset de estos dispositivos. El software afectado sería el servidor web RomPager de la empresa AllegroSoft, que normalmente está embebido en el firmware de los dispositivos. Los dispositivos con versiones de RomPager menores a 4.34 (específicamente la versión 4.07) son vulnerables.

    Hasta la fecha, los investigadores de Check Point han detectado al menos 12 millones de dispositivos útiles para ser fácilmente explotados, lo que convierte esta nueva vulnerabilidad en una de las más extendidas de los últimos años.

    Un atacante podría tomar el control de millones de routers de todo el mundo para controlar y robar datos de los dispositivos, cableados e inalámbricos, conectados a sus redes.

    Misfortune Cookie es una grave vulnerabilidad presente en millones de hogares y pequeñas empresas de todo el mundo y, si no se detecta y se controla, podría permitir a los delincuentes no sólo robar datos personales, sino también controlar las casas de las personas", ha explicado Shahar Tal, director del Grupo de Malware y Vulnerabilidades de Check Point Software Technologies.

    AllegroSoft publicó una versión que soluciona la vulnerabilidad pero la misma fue proporcionada a los fabricantes con licencia y el ciclo de instalación del parche automático, es increíblemente lento (a veces inexistente) en estos tipos de dispositivos. En general, todos los fabricantes de dispositivos vulnerables necesitan obtener una versión actualizada de RomPager o parchearla manualmente.

    Para más información sobre esta nueva vulnerabilidad, sobre los dispositivos afectados y sobre cómo consumidores y empresas pueden protegerse de ella, visite Mis.Fortunecook.ie. Check Point ha publicado un whitepaper 'Protecting against Misfortune Cookie and TR-069 ACS Vulnerabilities' [PDF] explicando los detalles.

    Fuente: Checkpoint y Mis.Fortunecook.ie

    Google sigue trabajando en PGP para GMail

    En junio de este año, Google anunció una versión Alfa de una extensión llamada "End-to-End" para Google Chrome, que permite enviar y recibir mensajes de correo electrónico en forma segura. Finalmente, la compañía ha publicado el código fuente vía GitHub para que los investigadores pueden revisarlo.

    En un intento de cifrar totalmente los mensajes de GMail, Google está desarrollando una herramienta fácil de usar por cualquier usuario y basado en el estándar de cifrado Pretty Good Privacy (PGP).

    PGP es estándar de cifrado punto a punto (end-to-end) utilizado para cifrar correos electrónicos durante casi 20 años. PGP proporciona cifrado y autenticación pero su implementación es demasiado complicada para la mayoría de la gente, por lo tanto, la nueva herramienta fue diseñada para facilitar el cifrado.

    Llevar el servicio de PGP a GMail resultará en un cifrado fuerte y fácil de utilizar por todos en el correo electrónico. La extensión End to-End de Chrome se basa en OpenPGP (IETF RFC 4880), todavía está en fase de desarrollo y cualquier investigador pueden revisarlo porque su código es Open Source.

    El proyecto también incluye contribuciones del equipo de seguridad de Yahoo! y cuando su código sea más estable, Google lo dará a conocer en su Chrome Web Store."Todavía no creemos que sea tan útil como debe ser y de hecho en el código fuente hay referencias a nuestro servidor de claves, sobre el que también estamos trabajando", dijo

    Anteriormente, cuando Google liberó el código en su repositorio de Google Code, pidió a la comunidad que lo probara y evaluara a cambio de recompensas financieras. La empresa agradeció a quienes presentaron los fallos y se registraron dos vulnerabilidades.

    Según Somogyi, "El principal desafío para los ingenieros es desarrollar un sistema adecuado para manejar el proceso de distribución y administración de claves, que es uno de los más difíciles problemas de usabilidad con relacionados con la criptografía".

    La extensión podría ser lanzada como "alfa" durante el próximo año.

    Fuente: The Hacker News