27/11/2014

Gerente de Twitter erra al twittear y revela compra de empresa

Ni siquiera los gerentes de Twitter se libran de publicar por error mensajes reservados en la red social: el jefe de Finanzas, Anthony Noto, publicó un tuit, ya borrado, sobre la inminente compra de una firma cuyo nombre no especificó.
"Sigo pensando que deberíamos comprarla", escribió en la noche del lunes, según recogen varios medios. "Tengo un plan", añadía en el mensaje luego borrado. No está claro a quién iba dirigido el mensaje, sino sólo que esta persona debía reunirse a mediados de diciembre con un representante de la firma que quieren comprar. Un portavoz de Twitter confirmó a la agencia Bloomberg que Noto envió por error de forma pública un mensaje privado. Las acciones de Twitter no sufrieron ningún cambio por la metida de pata.

Twitter cuenta con un perfil personal de mensajes públicos, pero también el chat privado "Direct Message DM", que sólo recibe el destinatario. Pero es bastante común que los usuarios se equivoquen y envíen este tipo de intercambios por error a la pantalla pública.

Uno de los casos más sonados fue el del diputado estadounidense Anthony Weiner, que quiso enviar en 2011 a una seguidora de Twitter una foto sensual que acabó publicada en su perfil público. Tras admitir que coqueteaba con la mujer renunció finalmente al Congreso.

Fuente: Ambito

Demostración de beneficios de un Microkernel vs Kernel Monolítico

Por Alejandro Hernández BrainOverflow.org

Día a día, la mayoría de nosotros los mortales usamos sistemas operativos con núcleos monolíticos, es decir, la mayoría de las operaciones de interacción directa con el hardware radican en modo privilegiado, es decir en modo kernel, a diferencia del modelo de micronúcleo, donde su nombre lo dice, el núcleo es muy pequeño. En este esquema, solamente las operaciones más básicas trabajan en modo kernel, mientras las demás, incluyendo la pila TCP/IP, residen en modo usuario:

Ahora bien, ¿cuál es mejor?, pues esta interminable discusión, como la interminable de VIM vs Emacs, ya ha sido abordada y discutida por muchos investigadores y expertos en ciencias de la computación, entre ellos, Linus Torvalds y Andrew S. Tanenbaum. Sin embargo, entre los varios pros y contras, el motivo de este artículo es para sencillamente demostrar uno de los beneficios de un microkernel ante un fallo de seguridad en su pila de red, la cual como he mencionado antes, trabaja en modo usuario y por lo tanto, un fallo grave en esta, no dejaría al sistema operativo inservible por completo (Kernel Panic) a diferencia de los otros con núcleo monolítico (Linux, Free/Net/OpenBSD, AIX, HP-UX, Solaris). Fallos famosos en núcleos monolíticos van desde el infame Ping de la Muerte que afectaba a sistemas Windows, hasta encabezados IP malformados que tiran al sistema operativo más seguro del Mundo (OpenBSD).

Para dicha demostración, es importante recalcar y observar a nivel conceptual, que la pila de red trabaja en modo no privilegiado, y regularmente, es posible interactuar con ella a través de IPC (comunicación entre procesos). Como se observa en la siguiente figura, si esta falla, las demás aplicaciones y servicios del sistema operativo residentes en modo usuario continuarán con su operación normal sin afectar a otras partes del núcleo:
Recientemente he estado "jugando" con MINIX 3, creado por Andrew S. Tanenbaum, el cual está basado en un micronúcleo y es el sistema operativo por excelencia para fines educativos, aunque últimamente el mismo Andrew ha apostado por el mercado de dispositivos embebidos [3].

Contenido completo en fuente original DragonJAR

Error 0x80248015: Microsoft Update no funciona en Windows 2000/XP/2003

Las causas del problema siguen siendo una incógnita, pero los síntomas son bastante claros. A partir del 18 de noviembre, algunos Server 2003, Windows Home Server 2003 y equipos con Windows XP SP3 de repente se negaron a conectarse a Microsoft Update. Microsoft aún no ha respondido oficialmente al problema pero con el tiempo han aparecido soluciones alternativas.

Tenga en cuenta que, a pesar de que Windows XP ya no es compatible, las actualizaciones para Security Essentials en XP siguen pasando por Microsoft Update, y aún todos los anteriores parches para XP están todavía disponibles (cuando Microsoft Update está funcionando).

El hilo principal en TechNet sobre el tema dice que el error se ve así:
El sitio web ha detectado un problema y no puede mostrar la página que está intentando acceder. Las opciones que aparecen a continuación pueden ayudarle a resolver el problema.
Número de error: 0x80248015
También hay largas discusiones en SANS Internet Storm Center y en el sitio de MSFN.

Algunas personas han informado que simplemente ajustando el reloj del sistema a un par de semanas atrás y volviendo a ejecutar la actualización, el problema se soluciona. Para la mayoría, sin embargo, este enfoque no funciona.

Las alternativas van desde la eliminación de la carpeta C:\WINDOWS\SoftwareDistribution a ejecutar wuauclt.exe /detectnow.

En un post de Steve en el hilo de SANS ISC señaló un detalle importante: en las máquinas que reciben el error, cuando nos fijamos en los archivos C:\WINDOWS\SoftwareDistribution\AuthCabs\muauth.cab y C:\WINDOWS\SoftwareDistribution\AuthCabs\authcab.cab ves una entrada sospechosa:

[expirydate]2014-11-17T17:27:43.5251853-08:00[/expirydate]

Eso sucedió coincidiendo, más o menos cuando comenzó a fallar Microsoft Update .

En un un par de máquinas que aún están trabajando muy bien, y el archivo authcab.cab en ellos tiene esta entrada:
[expirydate]2018-06-01T17:27:43.5251853-08:00[/expirydate]
El archivo muauth.cab tiene:
2014 [expirydate][/expirydate]

No se sabe porqué el archivo authcab.cab en algunas máquinas tiene la fecha 2014, mientras que en otras tiene la fecha del 2018. Pero esto puede ser la diferencia que delatan que todavía las maquinas aún se pueden conectar a Microsoft Update y otras no lo puedan hacer.

El post de b3270791 en el hilo de MSFN tiene una solución que parece funcionar, pero se trata de sustituir los archivo muweb.dll y MicrosoftUpdateCatalogWebControl.dll en las máquinas con el problema con un archivo muweb.dll (versión 7.6.7600.256) y MicrosoftUpdateCatalogWebControl.dll (versión 7.4.7057.248) descargados desde Internet. Mientras que el enfoque no presenta exactamente las mejores prácticas de seguridad a nivel mundial, parece que funciona.

Los administradores de Server 2003 han estado cruzados de brazos por una semana, ya que no pueden instalar los parche de noviembre y en especial la actualización fuera de banda MS14-068. Los usuarios de XP se ven afectados, también, pero ¿a quién le importa? Microsoft debe respetar su promesa de entregar actualizaciones para Security Essentials a los clientes de XP.

Fuente: Foro Spyware y Infoworld

26/11/2014

Actualización crítica de Flash Player (Parchea!)


Adobe ha lanzado una actualización urgente fuera de ciclo para una vulnerabilidad crítica de ejecución remota de código en su popular reproductor Flash Player. La vulnerabilidad está siendo actualmente explotada in-the-wild.

La vulnerabilidad crítica (CVE 2014-8439) en Flash Player para Windows, Mac y Linux fue mitigada originalmente hace más de un mes en la versión del 14 de octubre de 2014, pero un investigador francés de Kafeine encontró un exploit activo en los Angler Exploit Kit y Nuclear Exploit Kit después de que Adobe publicara el parche.

Según F-Secure, a vulnerabilidad permite a un atacante ejecutar código arbitrario debido a una debilidad en la forma en que se maneja un puntero sin referencia a memoria. Un atacante podría crear un archivo Flash especialmente diseñado para activar la vulnerabilidad, que conduciría a la ejecución del código del atacante con el fin de tomar el control del sistema de la víctima.

En su boletín APSB14-26, Adobe clasificó la vulnerabilidad como crítica y por eso recomendados actualizar a la brevedad a Flash versión 15.0.0.239 en sistemas Windows, Mac OS X y Linux... o bien dejar de utilizar Flash Player.

Microsoft lanzará pronto actualizaciones de seguridad para Internet Explorer 10 y 11 y Google hará lo mismo para que Chrome. Para conocer su versión de Flash Player actual, visite esta página.

Cristian de la Redacción de Segu-Info

Shuabang botnet: BlackHat App Store Optimization (BlackASO) en Google Play

ElevenPaths ha detectado apps maliciosas alojadas en Google Play (que ya han sido retiradas por la propia Google), destinadas en un principio posiblemente al Shuabang, o BlackASO (Black Hat App Store Optimization). Las apps maliciosas vinculaban cuentas falsas con el dispositivo real de la víctima, consiguiendo así cuentas muy creíbles. Con estas cuentas, el atacante enviaba tareas a las víctimas para que descargasen nuevas aplicaciones (aunque no se hacían efectivas en el dispositivo de la víctima). La cuenta del usuario permanece a salvo, no así sus datos personales sobre el teléfono. Describimos en el siguiente informe los detalles del curioso ataque.

Shuabang

El Shuabang o BlackASO (Black Hat App Store Optimization) es toda una industria en China, y desarrolla su actividad desde hace años. El objetivo del Shuabang es crear una infraestructura que permita valorar o inflar artificialmente las descargas de apps para posicionar mejor los programas en los mercados. La infraestructura precisa fundamentalmente cuentas de Google o iOS con las que falsear las acciones, de manera que parezcan que provienen de usuarios reales. Este "servicio" de posicionamiento se suele vender a terceros. En general, empresas que dicen dedicarse a mejorar el posicionamiento pero que se "abstraen" de los métodos empleados para conseguirlo.
Para realizar este fraude, el atacante necesita principalmente cuentas de Google activas, asociadas a dispositivos reales, y que no parezcan sospechosas para Google, pues de lo contrario las eliminará rápidamente. Para ello, utilizan diferentes técnicas. La más habitual es la contratación manual de usuarios, que crearán cuentas en el market y valorarán las apps que se les pida. Con estas apps maliciosas, sin embargo, han ideado un sistema por el que, a partir de un conjunto de cuentas falsas, las distribuye y asocia a diferentes dispositivos, de forma que se reaprovecha y automatiza al máximo el número de teléfonos distintos asociados a una cuenta.

Además, permite enviar tareas a los dispositivos para que, bajo las cuentas falsas, simulen la descarga de apps y así las posicionen más alto en los mercados. Estas apps detectadas para realizar Shuabang tienen un potencial por encima de la media, puesto que demuestran un profundo conocimiento del funcionamiento concreto de los protocolos de autenticación con Google. Antes de entrar en detalle, veamos cómo funcionan las cuentas en Google.

Un informe completo de la amenaza en formato PDF está disponible desde esta dirección [PDF]

Contenido completo en fuente original ElevenPath

Cómo proteger las cámaras IP hogareñas

Aunque el espionaje a través de las webcams es un asunto conocido y repetido desde hace años, la publicación por una página web rusa de grabaciones y transmisiones de miles de cámaras IP, de circuitos de vigilancia comerciales, de instalaciones caseras o de webcams instaladas en equipos informáticos, ha tenido amplia repercusión mediática tras la alerta por parte de las autoridades británicas de telecomunicaciones y protección de datos.
Las transmisiones y grabaciones alcanzan al mercado corporativo, locales comerciales de todo tipo o cajeros automáticos y cajas registradoras y también al mercado de consumo, dormitorios privados y estancias de bebés, entre otros.

Podríamos pensar que esta invasión a la privacidad se ha producido por un exploit programado aprovechando una vulnerabilidad en el firmware de los equipos, el software de control o como el que vimos por un error de Flash Player en Chrome, pero nada más lejos de la realidad.

Simplemente estaban al alcance de cualquiera ya que eran equipos cuya contraseña de acceso no había sido modificada y conservaban los valores por defecto que implementan los fabricantes y que son ampliamente conocidos en Internet. En otros casos, incluso, estaban totalmente abiertas sin autenticación de ningún tipo.

Modelos de Panasonic, Foscam o Linksys se encuentran entre los dispositivos vulnerables aunque esto es solo la punta del iceberg y la responsabilidad se extiende a la industria en general y no solo a los fabricantes de cámaras IP o webcams porque el -mal- hábito de poner el mismo usuario y contraseña por defecto es extensible a routers, smart tv y otros productos electrónicos conectados.

La actualización del firmware y del último software del fabricante es otra de las medidas a realizar por el usuario, cuidando en extremo, la instalación de software adicional de terceros. Bloquear el acceso remoto y apagar cámaras IP y webcams cuando no sean utilizadas es otra medida recomendable a realizar por el usuario.

Consejos

  • Desconectar el acceso remoto de la cámara siempre que no lo necesiten.
  • Actualizar el firmware de la cámara
  • Asegurarse de que se ha cambiado la contraseña que la cámara trae por defecto por uno "más solida" y fácil de recordar. "Incluso mejor, usar una frase como contraseña, como por ejemplo 84LoveEatingPizzaWatchingFootball!".
  • Cerciorarse de que se han aplicado y se están utilizando todos los ajustes para seguridad que provee el fabricante.
  • Instalar una VPN y conectarse a la misma antes de a la cámara web.
Es imposible asegurar al 100% un dispositivo conectado pero no lo pongamos tan fácil. La forma real de asegurarlas en realizar una conexión VPN hacia el hogar y desde allí conectarse a la cámara web.

Fuente: BBC y Muy Seguridad

Posible fuga de datos masiva en Sony Pictures Entertainment

En las últimas horas se ha conocido, a falta de confirmación oficial, que Sony Pictures, la división de cine de Sony, habría sufrido una intrusión en su red interna que habría obligado a sus empleados a desconectar los equipos e incluso detener la actividad laboral.
Aunque ya han pasado 3 años desde la guerra que mantuvo Sony con Geohot, Lulzsec y centenares de anonymous, parece que le siguen apareciendo cadáveres en los armarios. En este caso, uno realmente grande, ya que según informó "el amigo de un empleado" de la compañía, los trabajadores veían una imagen en pantalla con una terrible amenaza.

Tras ello, los empleados recibieron instrucciones para apagar los ordenadores, no acceder a las redes corporativas ni al correo electrónico, así como desactivar las redes Wi-Fi en todos los dispositivos móviles. A muchos de ellos les ordenaron que se fueran a casa. Los atacantes habrían tomado el control de algunas de las cuentas de Twitter de Sony Pictures, aunque ya habrían sido recuperadas por la compañía.

Mediante una nota en Reddit se da a conocer lo que parece una escandalosa intrusión en la compañía Sony Pictures Entertainment realizada por un grupo autodenominado #GOP o "Guardians of Peace" y en la que reclaman que se cumplan sus requisitos o publicarán sus secretos. Como prueba, publican dos ficheros, "list1.txt" y "list2.txt", con la información que han robado.

Aun no se conocen muchos más detalles, salvo que a los empleados se les ha solicitado apagar sus equipos, desactivar la wifi de sus móviles y, a algunos de ellos, volver a casa.

Según el aviso GOP o Guardians of Peace (Guardianes de la paz), como se autodenominan el grupo de atacantes detrás de la intrusión. Han dejado un archivo ZIP de más de 200 megas que incluyen dos listas con detalles del nombre de archivos que habrían sido borrados, dos archivos en formato texto de cerca de un Giga de tamaño entre los dos.

Si el listado de ficheros es real (y lo parece), Sony Pictures tendrá un problema muy muy serio, ya que contiene miles de archivos que, por el nombre, parecen muy comprometedores. Personalmente me parece imposible que esta cantidad de información vea la luz, si lo hace, seguro que supone el cierre de la compañía.

También se ha visto en Twitter alguna cuenta hackeada.

Como decía, en los listados de archivos hay cosas muy interesantes y ahora voy a poner unos cuantos ejemplos que me han llamado la atención. A tener en cuenta que en total hay más de 37.937.159 de ficheros y que muchos de ellos llevan el día, mes y el año en el título, por lo que parece que son realmente actuales, por ejemplo:
list2.txt:LBL_2014-11-27_LBL BLACK FRIDAY PROMO_v1.xlsb
list1.txt:Bill Backup 2014-11-01.xls
list1.txt:Closer - Icarus Prods tolling 2014-11-20.pdf

Como sé que os gustan los detalles y aquí no estamos para repetir lo que se lee en todas partes, vamos a ver un poco de sangre.

Sony y su preocupación por la piratería (pequeño ejemplo):
list1.txt:Netflix Is Killing BitTorrent in The US _ TorrentFreak.pdf
list1.txt:Torrent Spy Damages List.xls
list1.txt:Article- Hollywood Studios Fuming Over BitTorrent, Cinedigm 'Deal With the Devil'-TheWrap-4-24-13.doc
list1.txt:Article-File-Sharers Will Not Be Held Liable For Piracy, Russia Says-Torrentfreak-4-8-13.doc
list1.txt:Article- Operator of Germany's Torrent.to Gets Prison Sentence Amid Piracy Crackdown-THR-5-6-13.doc
list1.txt:Article-France Set To Dump 3 Strikes Anti-Piracy Law But Automated Fines Will Live On-TorrentFreak-5-14-13.doc
list1.txt:MASTER TORRENT STATS SHEET_021712.xlsx

Las listas contienen los archivos supuestamente robados de los ordenadores de la red de Sony. Uno de los archivos contiene más de 18 millones de entradas y otro con más de 19 millones. Casi 38 millones de archivos en total, que incluyen hojas de cálculo, documentos (doc y pdf), archivos de texto, contraseñas, bases de datos, imágenes, claves privadas, etc…

Según el grupo estas listas contendrían todos los archivos sustraídos. La lista es real, puede ser descargada por cualquiera. Si se confirma, será mucho material robado, una cantidad masiva de datos y documentación sensible que perjudicaría seriamente a Sony. Hasta el momento no hay ninguna comunicación oficial por parte de la compañía. Por otra parte, tampoco han faltado voces que dudan sobre la realidad del ataque. Seguramente en los próximos días habrá más información sobre el transcurso de las investigaciones.

Fuente: Hispasec y SbD

25/11/2014

86% de los Wordpress vulnerables a ataques masivos (Parchea!)

La empresa finlandesa Klikky Oy ha descubierto un error en WordPress 3.X (3.0 a 3.9.2) que se están utilizando para lanzar una gran variedad de ataques basadas en scripts maliciosos.
Basado en estadísticas sobre el uso actual de WordPress, la vulnerabilidad podría afectar hasta un 86% por ciento de los sitios basados en WordPress (aproximadamente 10 millones de sitios).

La vulnerabilidad, descubierta por Jouko Pynnonen, permite a un atacante crear un comentario en un blog e incluir código JavaScript persistente y malicioso en él. En los sitios que permiten comentarios sin autenticación -ajuste predeterminado de WordPress- esto permite a cualquiera dejar scripts maliciosos en los comentarios.

La vulnerabilidad se encuentra en la forma en que se evalúan las regular expression de los tags HTML/JS admitidos en los comentarios HTML/JS en wp-includes/formatting.php.


Klikky Oy desarrolló una prueba de concepto del ataque y fue capaz de secuestrar la sesión del administrador de un sitio cualquiera de WordPress, crear una nueva cuenta administrativa, cambiar la contraseña administrativa actual y ejecutar código malicioso PHP en el servidor. Eso significa que un atacante podría bloquear el administrador existente del sitio y secuestrar la instalación de WordPress con fines maliciosos.

La versión actual de WordPress 4.x, lanzada en septiembre, no es vulnerable al ataque.¡Actualiza!

Cristian de la Redacción de Segu-Info

Regin: APT de espionaje en Rusia y Arabia Saudí

Symantec ha revelado un nuevo programa de espionaje informático muy sofisticado que ha estado infiltrado en ordenadores de Arabia Saudí, Rusia y otros países por lo menos desde 2008. Bautizado como Regin, este sypware ha provocado numerosas infecciones entre los años 2008 y 2011, tras lo cual se retiró. Una nueva versión reapareció en 2013 desplegando capacidades diferentes para distintos objetivos.
La compañía de seguridad ha especificado que los desarrolladores de Regin han hecho un gran esfuerzo porque el programa sea muy poco visible, permitiendo que se utilizara en campañas de espionaje duran varios años. Lo ha conseguido a través de varias características ocultas, incluyendo capacidades antiforenses, un sistema de archivos virtual cifrado hecho a medida y otras funciones de cifrado.

Tal y como explican en The Wall Street Jornal, el spyware se ha dirigido a empresas privadas, entidades gubernamentales, institutos de investigación y empresas de telecomunicaciones. Estas últimas fueron el blanco de una forma diseñada para acceder a llamadas a través de su infraestructura. La mayoría de las personas y organizaciones afectadas estaban en Rusia y Arabia Saudí.

Por su complejidad y forma, este software es similar al virus informático Stuxnet, que ex funcionarios estadounidenses han declarado que fue creado por Estados Unidos para atacar las instalaciones nucleares de Irán.

Fuente: Muy Seguridad

PayPal tardó 18 meses en corregir una vulnerabilidad de ejecución de código remota

La vulnerabilidad de ejecución de código arbitrario había sido reportada hace 18 meses por Benjamin Kunz Mejri y afectaba a la API y al sitio oficial PayPal.

La explotación exitosa de la vulnerabilidad permitía ejecutar código arbitrario y no autorizado para inyectar una Shell mediante el método POST, solicitar la descarga de un path/archivo no autorizado y comprometer la aplicación o los componentes del sitio.

Esa vulnerabilidad se encontraba en el portal de la API de desarrolladores pero Kunz Mejr también encontró otras vulnerabilidades y parámetros vulnerables. Los atacantes, con una cuenta de usuario válida, podrían subir scripts y ejecutar código remotamente para acceder a las configuraciones y a los archivos de servidor web. Mejr publicó una PoC que mediante un POST a la API de Paypal, podía inyectar código.
La vulnerabilidad fue notificada el 23 de abril de 2013 y solucionada el 25 de octubre pasado (18 meses después) y Mejr fue recompensando a través del programa de recompensas de eBay.

Fuente: The Register