27 jul. 2015

Vulnerabilidad crítica en todos los dispositivos Android

Joshua Drake, Vicepresidente de investigación de la empresa Zimperium, ha confirmado que el 95% de dispositivos Android ejecutando la versión 2.2 (Froyo) a 5.X (la última Lollipop) son vulnerable a un fallo de seguridad, que afecta a más de 950 millones de dispositivos.

La vulnerabilidad reside en un componente del Kernel de Android llamado "Stagefright", una biblioteca que permite procesar, grabar y reproducir archivos multimedia y archivos PDF. Drake es co-autor del libro Android Hackers Handbook y según afirma sólo los dispositivos ejecutando versiones anteriores a Android 2.2 no son afectados, debido a que no incluyen el componente vulnerable. Las vulnerabilidades incluyen las CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829.

Drake ha desarrollado un exploit que utiliza un simple mensaje de texto especialmente diseñado y utilizando el formato de mensaje multimedia (MMS). Un atacante sólo necesita el número de teléfono del dispositivo Android de la víctima y entonces podría enviar el mensaje malicioso que subrepticiamente ejecutará el código malicioso en el dispositivo vulnerable, sin ninguna acción por parte del usuario final.

"Estas vulnerabilidades son extremadamente peligrosas ya que no requieren que la víctima realice ninguna acción" dijo Drake en el blog de Zimperium.

La misma vulnerabilidad también puede explotarse mediante otras técnicas de ataque y Drake presentará sus hallazgos completos, incluyendo seis técnicas de ataque adicionales para explotar la vulnerabilidad, en Conferencia de seguridad Black Hat en Las Vegas el próximo 5 de agosto y DEFCON 23 el 7 de agosto.

Google ha actualizado el código y lo envió a los fabricantes de dispositivos, pero debido a que los dispositivos Android requieren actualizaciones OTA por parte de los fabricantes y operadoras de telefonía, no se sabe cuánto tiempo llevará a las empresas actualizar los dispositivos Android vulnerables. Además, aunque se publique la actualización, la mayoría de los usuarios Android seguirán siendo vulnerables debido a que las versiones más antiguas del sistema operativo no son soportadas y por lo tanto no serán actualizadas.

Silent Circle ya ha parcheado su Blackphone y HTC ha informado que se encuentra trabajando. Por su lado Mozilla, que utiliza Stagefright en Firefox OS ya ha actualizado.

Fuente: HackerNews

20 sitios = 500 Trackers

Según Monday Note si cargas 20 portadas de sitios conocidos de Internet te rastrean unos 500 trackers en total, entendiéndose por tracker elementos del tipo cookies y similares: se utilizan para saber quién eres, seguirte de unos sitios a otros para mostrarte publicidad más acorde a tu "perfil" y para cuestiones tales como las analíticas de tráfico y estadísticas.


El uso de algunos de estos trackers está en muchos casos justificado... Pero parece que a otros se les ha ido de las manos: el popular Politico, una web de información y opinión, te envía 100 trackers (!) nada más pisas su portada. El Daily Mail o el Financial Times, más de 50.
Incluso sitios supuestamente más "cuidadosos" con los cibernautas como Qz o Wired envían 12 o 20 trackers de una tacada.

Esto no solo es un problema de privacidad para muchas personas, a quienes simplemente no les gusta ese seguimiento salvaje; también es un problema en cuanto al tiempo de carga de las páginas: el envío desmesurado de distintos objetos individuales, ya sean trackers, iconcitos sociales o imágenes sin optimizar es una aberración; hay páginas que te envían más de 600 objetos para totalizar 3, 5, 10 MB o incluso más.

La tabla de tracker está disponible en Google Docs Spreadsheet here y PDF. Para evitarlos se puede usar las extensiones Adblock y Ghostery.

Fuente: Microsiervos

La OEA apoya a Paraguay en el Desarrollo de su Plan Nacional de Ciberseguridad

La Secretaría General de la Organización de los Estados Americanos (OEA), en cooperación con la Secretaría Nacional de Tecnologías de la Información y Comunicación (SENATICs) y el Ministerio de Relaciones Exteriores de Paraguay, inauguró este martes 5 de mayo la misión de Asistencia Técnica Nacional, con el propósito de desarrollar una Estrategia Nacional de Seguridad Cibernética en el país sudamericano.

Representantes de la Secretaría General de la OEA, expertos del Instituto de Ciberseguridad de España (INCIBE) y representantes de la Comunidad de Dominios de Alto Nivel de la región, específicamente de Colombia (.co), trabajarán en conjunto con actores de diferentes sectores de Paraguay para definir las prioridades de seguridad cibernética del país y generar una propuesta apropiada, que será estudiada por las autoridades del gobierno paraguayo.

El Secretario General de la OEA, José Miguel Insulza, reconoció que el gobierno de Paraguay ha realizado importantes esfuerzos en la promoción de la seguridad cibernética en la región, y resaltó que el apoyo que la OEA brinda en esta materia al país sudamericano se inicia luego del encuentro entre el ministro David Ocampos, titular de la SENATICS, y la Embajadora Elisa Ruiz Díaz Bareiro, Representante Permanente de Paraguay ante la Organización. El líder del organismo exhortó a las autoridades del gobierno de Paraguay a avanzar en el proceso de desarrollo de esta estrategia, y a considerar la posibilidad de destinar los recursos financieros y humanos necesarios para su implementación.

Por su parte, el ministro David Ocampos recordó que Paraguay ejerce actualmente la presidencia del Comité Interamericano contra el Terrorismo (CICTE), y que el Programa de Seguridad Cibernética ha prestado un apoyo incondicional durante los últimos años en materia de capacitación y concientización al país. Del mismo modo, anticipó que solicitará el apoyo de la Secretaría del CICTE para la implementación de actividades técnicas en beneficio para el país. El ministro Ocampos también mencionó que su país ha sido invitado a participar en la Convención de Budapest, primer tratado internacional que busca hacer frente a los delitos informáticos y los delitos en Internet, en reconocimiento a los esfuerzos que tanto la SENATICS, el Ministerio Público, la Cancillería y otras instituciones han realizado en esta materia.

Además del trabajo en Paraguay, la OEA ya ha colaborado con Colombia, Panamá, Trinidad y Tobago y Jamaica para desarrollar y adoptar sus estrategias nacionales de seguridad cibernética y mantiene procesos en curso con Costa Rica, Dominica, Perú y Surinam. Este apoyo es posible gracias a las generosas contribuciones al Programa de Seguridad Cibernética de la OEA que realizan los gobiernos de Canadá, Estados Unidos, Estonia y el Reino Unido.
Adicionalmente, el Informe de la OEA y Symantec en 2014 [PDF] apunta que 15.4% de los ataques dirigidos registrados en América Latina en 2013, tuvieron como blanco organizaciones que tienen entre 501 y 1000 colaboradores. El Reporte también incluye un ranking Latinoamericano de actividad maliciosa generada por país, en el que Argentina aparece en el segundo lugar según los datos registrados el año pasado. Asimismo, nuestro país tiene una cobertura de Internet del 55,8%.

Fuente: OAS

Commix: herramienta para explotar vulnerabilidades de inyección de comandos

Commix ([comm]and [i]njection e[x]ploiter) es una herramienta de Anastasios Stasinopoulos que te permitirá encontrar y explotar de forma muy fácil y rápida vulnerabilidades de inyección de comandos en ciertos parámetros y cadenas vulnerables de un servidor web.
Está escrito en Python (2.6.x o 2.7.x) y está incluida en los repositorios oficiales de:
Pre-instalada en:
O puedes clonar directamente el repositorio Git:
git clone https://github.com/stasinopoulos/commix.git commix
Para obtener una lista de todas las opciones disponibles:
python commix.py -h

Fuente: HackPlayers

26 jul. 2015

Colección completa de E-Zines

Hace unas semanas se había publicada un sitio web en Tor en el que se recopilaba una enorme cantidad de e-zines o revistas electrónicas sobre sobre hacking. Para poder acceder a dicho contenido, tenías que estar conectado a Tor, o bien usar unos de esos proxies que te permiten acceder al contenido Tor sin estar conectado a la misma.
Antes del boom de la web 2.0 y la blogosfera, el formato de revista electrónica (e-zine) era la forma en que se publicaban y compartían contenidos sobre temas de hacking, seguridad, anarquía, etc. Sin olvidar por supuesto los canales de IRC o la innombrable Usenet.

Ahora, sin tener que usar Tor o un proxy, ya podemos acceder a esta enorme colección de e-zines desde Github. Aunque el contenido es anticuado, seguro que se pueden encontrar textos aún relevantes y auténticas joyas. De cualquier forma a muchos les traerá muy buenos recuerdos.

Si deseas conocer cómo nacieron recomiendo leer HackStory.

Fuente: CyberHades

"El cifrado obstaculiza las investigaciones" [FBI]

James Comey, director del FBI, se presentó ante el Comité Judicial del Senado para argumentar a favor de un apoyo legal que debilite el cifrado fuerte porque, según él, obstruye a las investigaciones penales. El título de la audiencia fue Going Dark: Encryption, Technology, and the Balance Between Public Safety and Privacy y usa la caracterización que Comey hace del cifrado como una manera de ocultar pruebas de actos delictivos.

"Estamos viendo más y más casos donde creemos que la evidencia significativa reside en un teléfono, tableta o un ordenador portátil y esa evidencia puede ser la diferencia entre un delincuente condenado o absuelto", dijo Comey y Sally Quillian Yates, adjunto del Fiscal General de EU, en declaraciones conjuntas. "Si no podemos acceder a esta evidencia, tendrá impactos significativos en nuestra capacidad de identificar, detener y enjuiciar a estos delincuentes", advirtieron los funcionarios.

Las preocupaciones de Comey y Yates fueron repetidas por Cyrus Vance Jr., fiscal de distrito del Condado de Nueva York, quien el pasado otoño se quejó de la encriptación de los dispositivos de Apple y Google: "Antes de septiembre de 2014, los investigadores podían acceder a un iPhone bloqueado con una orden. Hoy en día, a menos que tengamos un código de acceso, no podemos…los criminales literalmente se están riendo de la aplicación de la ley", dijo Vance en la audiencia.

Los funcionarios del FBI han estado utilizando el término "going dark" desde 2008. Y las preocupaciones acerca de las tecnologías que pueden inhibir la vigilancia pueden oscurecer esto mucho más. En 1994, la Communications for Law Enforcement Act se aprobó para responder a las preocupaciones del FBI de que el cambio hacia el cable de fibra óptica volvería obsoletas las escuchas telefónicas.

Sin embargo, expertos jurídicos y técnicos en la reciente audiencia judicial del Senado, argumentaron en contra de cualquier requisito para que las empresas proporcionen una manera de evitar el cifrado. Peter Swire, profesor de derecho y ética en el Instituto de Tecnología de Georgia, desafió la premisa del argumento de Comey: "Es más exacto decir que estamos en una ‘edad de oro de la vigilancia’ que decir que para la aplicación de la ley es un momento oscuro".

Concediendo que el cifrado fuerte en dispositivos puede hacer que algunos datos sean inaccesibles a los investigadores, Swire destacó que cualquier pérdida de acceso es más que compensado por la disponibilidad de los datos de ubicación, conexiones de red sociales y bases de datos llenas de detalles sobre las vidas digitales de los sospechosos.

Swire y Kenesa Ahmad hablaron de esta problemática en un artículo de 2011 titulado, "Vivimos en una era donde la mayoría de la gente lleva un dispositivo de seguimiento: un teléfono móvil". En mayo, decenas de técnicos destacados, organizaciones cívicas y empresas firmaron una carta abierta al presidente Obama instándolo a preservar el cifrado para proteger la seguridad nacional y los intereses comerciales de Estados Unidos.

"Mientras usted los llama 'front doors' o 'back doors' introduciendo vulnerabilidades intencionales en productos seguros para uso gubernamental, esas acciones harán que esos productos sean menos seguros contra otros atacantes", sostienen los expertos firmantes de la carta, y agregaron que dicho requisito dañaría el mercado de este tipo de productos en el extranjero.

Unos investigadores en criptografía publicaron un documento similar donde argumentan que el acceso excepcional a los datos cifrados, por aplicación de la ley, está plagado de problemas: "Nos parece que la concesión de la aplicación de la ley de acceso excepcional plantearía riesgos de seguridad más graves, pondría en peligro la innovación y plantearía temas espinosos para los Derechos Humanos y las relaciones internacionales".

Como ejemplos de los riesgos que conlleva comprometer la criptografía, la Electronic Frontier Foundation ha citado pasados fallos de seguridad como las escuchas telefónicas de Cisco y el cumplimiento de las normas legales de Google en China.

En la década de 1990, la comunidad tecnológica y empresarial reaccionó contra los controles para el cifrado y un esfuerzo del gobierno por alentar a los fabricantes de teléfonos móviles para utilizar el Clipper Chip, un chipset móvil desarrollado por la NSA que proporcionaba a las autoridades una backdoor.

La comunidad tecnológica prevaleció en esta Crypto Guerra, o al menos eso parecía hasta 2013. Los documentos puestos a disposición por Edward Snowden revelaron que la NSA ha desarrollado una variedad de herramientas y técnicas para acceder a la información electrónica. Esto demuestra que el cifrado fuerte no puede compensar las prácticas de seguridad débiles en otros lugares, y que algunos cifrados no son tan fuertes como se supone. Más recientemente, el hackeo del proveedor de software de vigilancia Hacking Team sirvió para recordar que la NSA no está sola en la práctica de estas técnicas. La guerra de la aplicación de la ley en contra de la criptografía) y los códigos de computadora nunca terminó. Pero no es una guerra que se puede ganar por decreto. Exigir un cifrado comprometido para proteger a la sociedad, sólo asegurará su vulnerabilidad universal.

Fuente: Information Week

25 jul. 2015

¿Qué deben saber los abogados frente a una brecha de seguridad?

Cuando ocurre una brecha de seguridad de la información, por lo general la atención se centra en todo el proceso que se adelanta para identificar, analizar, controlar y asegurar el incidente, donde con frecuencia los profesionales de tecnología de información son los protagonistas, como quiera que la disponibilidad y el servicio son prioridades para recuperar la operación.

Sin perjuicio de lo anterior, la falla en sí misma genera un cambio en las condiciones de un servicio o producto que tenemos pactados con un cliente o con un tercero y por lo tanto, se tendrá que adelantar el tratamiento del riesgo jurídico, que impone exigencias diferentes a las prácticas propias de los estándares de seguridad de la información.

En este ejercicio, el área jurídica de la organización debe estar enterada de la dinámica que la organización tiene alrededor del tratamiento de la información, habida cuenta que ellos deberán configurar los argumentos necesarios para enfrentar las reclamaciones propias de los clientes y/o terceros, así como el cumplimiento de las obligaciones establecidas tanto en contratos como en regulaciones o normativas propias de su sector de negocio o del orden nacional.

Así las cosas, como mínimo los profesionales del derecho deberán tener claro al menos las respuestas a las siguientes preguntas, como marco general del entendimiento del incidente, para luego indagar en profundidad sobre el gobierno y gestión de la seguridad de la información en la empresa:
  1. ¿Se tenía la responsabilidad de proteger la información?
  2. ¿El tipo de información que se comprometió estaba cubierto con las prácticas de seguridad y control definidas por la organización? 
  3. ¿Dicha información contaba con el nivel de protección requerido?
  4. ¿La medidas de seguridad y control implementadas sobre la información comprometida, estaban acordes con su nivel de sensibilidad y exposición al riesgo identificado?
  5. ¿Se ha comunicado adecuadamente a los clientes y entes reguladores la brecha de seguridad de la información que ha ocurrido?
Fuente: Jeimy Cano, Ph.D, CFE

24 jul. 2015

Las actualizaciones en Windows 10 serán obligatorias

Semanas antes de la comercialización de Windows 10 aparecen nuevas informaciones que nos permiten hacernos a la idea cómo será la versión definitiva del próximo sistema operativo de los de Redmond. Según las últimas informaciones todo parece indicar que el usuario hogareño no podrá configurar nada relacionado a las actualizaciones y Microsoft impondrá al usuario una configuración automática.
Hasta el día de hoy, el usuario podía elegir si instalar actualizaciones de forma manual o automática y en el primero de los casos disponer de la potestad de elegir cuáles, algo que en el nuevo sistema operativo parece que será imposible, generando con ello la aparición de algunos problemas. Y es que en el caso de que se publique alguna actualización que genere problemas en los equipos el usuario no podrá hacer nada para evitar su descarga.

Desde Microsoft afirman que este aspecto formará parte de los términos de uso que el usuario deberá aceptar antes de instalar el sistema. Sin embargo, desde la propia compañía no han descartado que este comportamiento se pueda modificar en algunas versiones, aunque es bastante predecible que esto se aplique a aquellas versiones más completas (como por ejemplo las enterprise).

Hay quien esta nueva configuración no le disgusta, afirmando que mejora la seguridad de aquellos usuarios más inexpertos. Sin embargo, también los hay que para los que puede suponer un problema y que en un momento determinado aparezcan conflictos entre aplicaciones que se están ejecutando, provocando el cierre forzoso de estas.

Como suele suceder, hay opiniones para todos los gustos, pero sin lugar a dudas son mayoría los que creen que Windows Update debería configurarse en Windows 10 de la misma forma que se ha hecho en los sistemas operativos previos, permitiendo escoger en qué momento y cuáles se instalan.

Fuente: Redes Zone

Herramientas para detectar malware de Hacking Team

Investigadores en seguridad de Rook Security han lanzado una herramienta que busca el malware desarrollado por Hacking Team en el sistema y también han publicado una serie de indicadores de compromiso (IOC), para ayudar a las organizaciones que buscan signos de una posible infección.

La herramienta gratuita denominada Milano está diseñada para automatizar el proceso de encontrar malware desarrollado por Hacking Team. Milano dispone de dos modos de funcionamiento: análisis rápido y análisis profundo. En el análisis rápido, la herramienta busca hashes conocidos de los archivos de Hacking Team y sólo tarda unos pocos segundos. El análisis profundo puede tomar hasta una hora dependiendo del sistema.

Mientras tanto, Facebook ha actualizado su herramienta OSquery que, entre otras cosas, permite encontrar backdoor en OS X, y ahora también permite identificar el software de Hacking Team.

Fuente: ThreatPost

Cuatro vulnerabilidades 0-day en Internet Explorer

Todo apunta a que este julio va a convertirse en un mes record en lo que a publicación de vulnerabilidades críticas se refiere. Por si no tuviésemos suficiente con todo lo publicado hasta ahora relacionado con el Hacking Team y las vulnerabilidades 0-Day en Flash Player o las solucionadas recientemente en Java, hoy se han publicado nada menos que cuatro vulnerabilidades de este tipo en el navegador Internet Explorer.

En qué consisten estas vulnerabilidades

Según la empresa que ha publicado estas vulnerabilidades, Zero Day Initiative, todas ellas permiten la ejecución remota de código por parte de un atacante en una versión vulnerable de Internet Explorer. Para que el ataque tenga éxito se necesita la interacción del usuario, ya que se debe acceder a una página especialmente modificada o abrir un archivo malicioso. Veamos a continuación en qué consisten cada una de estas vulnerabilidades:
  • ZDI-15-359: Esta vulnerabilidad está relacionada en la forma en la que Internet Explorer procesa los arrays que representan celdas en tablas HTML. Mediante la manipulación de los elementos de un documento un atacante podría forzar a Internet Explorer que usara memoria una vez sobrepasado el final de un array de celdas HTML. El atacante podría entonces utilizar esta vulnerabilidad para ejecutar código en el contexto del proceso que se esté ejecutando.
  • ZDI-15-360: Esta vulnerabilidad se produce en el manejo de los objetos CAttrArray. Al manipular los elementos de un documento, un atacante podría forzar a un puntero suspendido que fuese reutilizado una vez haya sido liberado. El atacante podría entonces utilizar esta vulnerabilidad para ejecutar código en el contexto del proceso que se esté ejecutando.
  • ZDI-15-361: Esta vulnerabilidad se produce en el manejo de objetos CCurrentStyle. Esta ocasión se daría al manipular los elementos de un documento y un atacante podría forzar a un puntero suspendido que fuese reutilizado una vez haya sido liberado. El atacante podría entonces utilizar esta vulnerabilidad para ejecutar código en el contexto del proceso que se esté ejecutando.
  • ZDI-15-362: Esta vulnerabilidad se produce en el manejo de objetos CTreePos. En este caso, al manipular los elementos de un documento, un atacante podría forzar a un puntero suspendido que fuese reutilizado una vez haya sido liberado. El atacante podría entonces utilizar esta vulnerabilidad para ejecutar código en el contexto del proceso que se esté ejecutando

Cómo mitigar los posibles daños

Debido a que la publicación de estas vulnerabilidades se ha producido cuando no existe aún un parche que las solucione (y por eso se consideran 0-Day) existe la posibilidad de que atacantes intenten aprovecharlas lo antes posible.

Esto deja a millones de usuarios de Internet Explorer en todo el mundo expuestos hasta que Microsoft publique el boletín de seguridad correspondiente. No obstante, se pueden realizar una serie acciones para mitigar estos posibles ataques:
  • Debido a que el atacante debe convencer a su víctima para que acceda a un enlace o abra un archivo malicioso, la primera línea de defensa es el usuario. Un usuario prevenido de estas vulnerabilidades debería ser capaz de reconocer enlaces o archivos sospechosos (adjuntos en un email, por ejemplo) y evitar pulsar sobre ellos.
  • Se puede configurar Internet Explorer para que pregunte al usuario antes de ejecutar Active Scripting o, directamente, desactivar Active Scripting en las zonas de seguridad de Internet como en la Intranet Local, dentro de las configuraciones de Internet de Internet Explorer.
  • El Kit de Herramientas de Experiencia de mitigación mejorada (EMET) de Microsoft ayuda a prevenir la explotación de ciertas vulnerabilidades, si bien su uso se recomienda especialmente en entornos corporativos y por administradores con experiencia.
  • La utilización de sistemas de bloqueo de exploits como los integrados en las soluciones de seguridad de ESET permite el bloqueo de este tipo de códigos, incluso de aquellos que hacen uso de vulnerabilidades 0-day, basándose en un análisis de comportamiento. Aunque es probable que no detecten todos los exploits, sí que resulta una buena primera línea de defensa contra este tipo de ataques.

Conclusión

Parece que no tardaremos en ver cómo estas vulnerabilidades se introducen en los kits de exploits más usados. Por eso es importante permanecer informados y aplicar el parche correspondiente tan pronto como Microsoft lo publique. Mientras tanto, siempre podemos utilizar temporalmente otros navegadores o aplicar alguna de las soluciones que hemos ofrecido para mitigar posibles ataques.

Fuente: WeLiveSecurity