Categoría : Herramientas de Seguridad

Inicio/Archivo por Categoría Herramientas de Seguridad (Page 6)

Vulnerabilidades en PHP

Recientemente el equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Las actualización incluye la corrección de múltiples problemas y vulnerabilidades, entre las que se incluyen vulnerabilidades de uso después de liberar un serialize en el núcleo de PHP (CVE-2015-6834 y 2015-6835), en GMP y en SPL (CVE-2015-6834). Problemas de referencia a puntero nulo en SPL y XSLT (CVE-2015-6837, CVE-2015-6838), múltiples vulnerabilidades relacionadas con funciones PCRE, una confusión de tipos en SOAP y escalada de directorios en el servidor CLI y en ZIP cuando se crean directorios al extraer archivos.

Se recomienda actualizar a las nuevas versiones 5.6.13, 5.5.29 y 5.4.45 desde:

http://www.php.net/downloads.php

Más información:

PHP 5 ChangeLog

http://php.net/ChangeLog-5.php

Fuente: Hispasec

La versión 4.3.1 de WordPress corrige tres vulnerabilidades

Vulnerabilidades en el motor principal de WordPress no son raras, pero si poco frecuentes. La mayoría de los problemas que afectan a la integridad de los sitios que se ejecutan en el sistema de gestión de contenidos se introducen por los plugins de terceros y éstos ponen los sitios en riesgo de una serie de ataques.

Hoy WordPress se ha actualizado a la versión 4.3.1, donde ha parcheado tres vulnerabilidades, dos de los cuales fueron reportadas por los investigadores de Check Point Software Technologies.

La más grave de las vulnerabilidades parcheadas implica una función de WordPress específica llamada shortcodes. Que no son otra cosa que etiquetas HTML que se introdujeron en la versión 2.5 como una forma sencilla de incorporar macros en el código, lo que ahorra a los desarrolladores la molestia de volver a escribir HTML. WordPress es compatible con una gran cantidad de códigos short predeterminados, como permite la incrustación automática y dinámica de un archivo de vídeo Vimeo en un sitio de WordPress.

El jefe de investigaciones de vulnerabilidades de Check Point, Shahar Tal informó sobre un trío de vulnerabilidades a los ingenieros de seguridad de WordPress hace unos meses y se ha tomado el tiempo para arreglar todos los errores, dijo, sobre todo debido a los posibles problemas de compatibilidad con una serie de plugins de terceros.

Cuando la vulnerabilidad Short se aborda un atacante podría abusar de cómo la plataforma procesa los shortcode e inyectar código JavaScript arbitrario que podría ejecutar cuando una página de WordPress lo hace. Tales ataques cross-site scripting no son nada nuevo en lo que respecta a la seguridad de las aplicaciones basadas en la web y han sido la plataforma de lanzamiento de una serie de ataques, ya sea criminal o patrocinado por el estado.

Además de la vulnerabilidad de cross-site scripting, Tal y su colega Netanel Rubin, que pasó meses investigando las vulnerabilidades de la plataforma, también descubrieron una vulnerabilidad que permitía a los usuarios sin permisos adecuados publicar mensajes en un sitio. En el lapso de unos pocos meses, Rubin fue capaz de encontrar al principio vulnerabilidades que afectan sólo a los usuarios abonados en WordPress hasta el final a los ataques de inyección SQL remoto y cross-site scripting contra fallas en el motor central.

Check Point ha publicado hoy un informe sobre sus conclusiones de cómo sus investigadores fueron capaces de saltarse las protecciones en el lugar que se suponía iban a mantener los atacantes, se logro despojarlos de la whitelisting que niega etiquetas y atributos que no están aprobados.

“Hemos sido capaces de abrir una etiqueta e insertar algo en los atributos shortcode”, dijo Tal. [WordPress] no pensó en todo cuando agregaron la función, que es muy rica y propenso a errores “.

Tal dijo que los ingenieros de WordPress investigaron la base de código en busca de problemas similares en otras áreas también.

Fuente: threatpost

Arrestos atados a los Malware Citadel y Dridex

Las autoridades en Europa han detenido a presuntos implicados en el desarrollo y despliegue de los sofisticados Malware Bancarios Dridex y Citadel. Uno de los arrestados es de nacionalidad rusa y el otro es moldavo, quienes residen fuera de sus países de origen y ahora se enfrentan a la extradición a los Estados Unidos.

cuffed

La semana pasada, el joven de 30 años de edad, de Moldavia que era buscado por las autoridades de Estados Unidos fue detenido en Paphos, al parecer un lugar de vacacional costero en Chipre, donde el acusado se hospedaba con su mujer. Las autoridades creen que el hombre es responsable de más de $ 3.5 millones en fraude bancario utilizando solo una PC.

Fuentes cercanas a la investigación dicen que el hombre es una figura clave en una banda del crimen organizado responsable del desarrollo y el uso de un potente troyano bancario conocido como “Dridex” . La pandilla Dridex se cree que se separó de la “Business Club”, una pandilla de ciberdelincuencia organizada del este de  Europa acusada de robar más de $ 100 millones de los bancos y empresas de todo el mundo.

En junio de 2014, el Departamento de Justicia de Estados Unidos se unió a varios organismos internacionales encargados de hacer cumplir la ley y a empresas de seguridad  para derribar la clave de la pandilla Business Club: La botnet Gameover ZeuS, una ultra-sofisticada máquina, la delincuencia mundial que infectó a más de medio millón de ordenadores y era utilizado en innumerables cyberheists. Dridex sería primero en emerger en julio de 2014, un mes después de que la botnet Zeus Gameover fuese desmantelado.

Por otra parte, la prensa en Noruega escribe sobre un hombre ruso de 27 años de edad, identificado sólo como “Mark” que al parecer fue detenido en la ciudad noruega de Fredrikstad, a petición del FBI. La historia señala que las autoridades estadounidenses creen que Mark es el desarrollador de software detrás de Citadel, un producto de software malicioso-as-a-service que jugó un papel clave en innumerables cyberheists contra las pequeñas empresas estadounidenses y europeas.

Por ejemplo, Citadel se cree que ha sido el mismo de malware utilizado para robar nombres de usuario y contraseñas de un sistema del proveedor de calefacción y aire acondicionado de Pennsylvania; Según los informes, esas mismas credenciales robadas fueron aprovechadas en la brecha que resultó en el robo de casi 40 millones de tarjetas de crédito de Target Corp. en noviembre y diciembre de 2013.

El periódico noruego VG escribe que Mark ha estado bajo arresto domiciliario durante los últimos 11 meses, mientras que el FBI intenta averiguar cómo lograr su extradición a los Estados Unidos. Su detención se está luchando por Rusia, que se opone naturalmente al tratamiento que puede recibir en los Estados Unidos y dice que la evidencia en contra de Mark es escasa.

Según VG, el Departamento de Justicia de Estados Unidos cree que Mark no es otro que “Aquabox”, el apodo elegido por el titular del malware Citadel, que fue creado ha base del código fuente del malware troyano ZeuS. Citadela fue vendido y comercializado como un servicio que permitía a los compradores y los usuarios interactuar con el desarrollador, para solicitar la opinión sobre cómo corregir errores en el programa de malware, y solicitar nuevas características en el software malicioso en el futuro.

VG señala que Marcos sigue manteniendo su inocencia.

Ars Technica lleva una pieza interesante sobre Deniss Calovskis, un hombre de Letonia, que fue detenido en febrero y extraditado a los Estados Unidos por su papel en la creación del virus Gozi, otra poderosa familia de malware que se ha utilizado en innumerables cyberheists. El joven de 30 años de edad, Calovskis mantuvo siempre su inocencia, pero al final reconoció su papel en una declaración de culpabilidad entrando en una corte federal de Manhattan la semana pasada.

Fuente: krebsonsecurity

Entrevista a Álvaro Andrade Sejas, CEO de Ethical Hacking por Diario La República

“Abrir un cajero no debería tomar más de diez minutos”

Ponerse el sombrero blanco a cambio del negro hace 15 años fue la propuesta de Álvaro Andrade Sejas, un hacker boliviano que enseña a las empresas e instituciones de gobierno cómo protegerse de los ataques informáticos.
El CEO de Ethical Hacking ayuda a proteger la red de cajeros automáticos de 97 entidades financieras panameñas y vino a compartir su conocimiento con varias entidades costarricenses.
El tema de la seguridad informática es relevante en el país, incluso por el hacking descubierto la semana pasada a las bases de datos de pensionados de la Caja.

¿El sector bancario es el más afectado por los hackers?
Es una industria muy golpeada en los últimos tres años, donde hoy es más fácil atacar un cajero automático y sustraer el dinero que ingresar a las bases de datos del mismo banco.

¿Cuáles son los puntos vulnerables en un cajero automático?
Si uno tiene las herramientas y el conocimiento adecuados, no debería tomar más de diez minutos abrirlo y sustraer el dinero, atacando los puertos USB y el sistema operativo, que son vulnerables a técnicas como malware, exploting o jack potting.

¿Cuáles son las normas para proteger los cajeros automáticos?
La norma siempre va a decir que no se guarde información del cliente ni de sus transacciones, utilizar comunicaciones cifradas entre el cajero y el banco, pero hemos encontrado hardware certificado que no cumple con los niveles adecuados.

¿Qué pasa entonces con las auditorías de seguridad?
Muchos bancos y otras entidades pasan las auditorías de seguridad por puro cumplimiento, porque tienen un hardware o software dentro de la certificación PCI, pero que son posibles de violentar.

¿Conoce las medidas implementadas por la banca nacional?
Los entes costarricenses cumplen con regulaciones internacionales en materia de seguridad, como PCI o ISO 27001, pero no existe ninguna entidad que cumpla al 100% con las normas y que se proteja de nuevas amenazas.

¿Cómo protegerse de las amenazas de seguridad a nivel interno?
La seguridad no es un producto que se compra.
Un firewall de $15 mil y un IPS de $500 mil y creen que están seguros, pero son productos y tienen falencias.
Tu institución va a ser segura hasta que alguien decida romperla.

¿Entonces de qué forma enfrentamos las amenazas?
Unos 30 o 15 días antes de la auditoría todos comienzan a correr para cumplir con lo que dice la norma, pero cuando lo revisan, no han cumplido con el esquema de políticas, procesos y procedimientos.

¿Cada cuánto debe una entidad auditar su seguridad?
Está el “penetration test”, una o dos veces por año, y sirve para ver cuán expuesto se está y sobre eso establecer las políticas, procesos y procedimientos.
Pero lo más importante es dar seguimiento, porque hay cumplimientos semanales, quincenales, mensuales o semestrales.

Fuente: La Republica

G Data descubre más De 20 Smartphones con Malware preinstalado

Hay casi 2.000 millones de personas en todo el mundo que ya usan smartphone (eMarketer). Pero son muy pocos lo que saben o reparan en todo lo que uno de estos dispositivos puede “contar” a terceros acerca de su propietario. A raíz del descubrimiento en 2014 de las funciones espía preinstaladas en el smartphone Star N9500, los expertos de G DATA pusieron su atención en los propios terminales.

Desde entonces, G DATA ha descubierto funciones similares a las del ya mencionado Star N9500 en el firmware de más de 20 modelos diferentes, algunos de fabricantes tan reconocidos como Huawei, Lenovo o Xiaomi. Puede consultar la lista completa aquí. Los expertos de G DATA sospechan que hay otros dispositivos aún no localizados cuyo firmware también puede estar comprometido.

Lo habitual es que el malware se camufle en una app legítima que mantiene sus funciones originales pero que es capaz de permitir el acceso al dispositivo a los creadores del malware, mostrar anuncios o descargar nuevas aplicaciones no deseadas. Lo más probable es que estas apps manipuladas hayan sido preinstaladas en el firmware durante el proceso que siguen los terminales desde que salen de fábrica hasta que llegan al usuario final. Además del margen asociado a la venta del terminal, un dispositivo infectado facilita el lucro a partir del robo de datos personales, el envío de SMS no autorizados o la “comercialización” indiscriminada de anuncios.

«Se estima que alrededor de 2.500 millones de personas en todo el mundo usan un smartphone o tableta para conectarse a Internet. Mensajería instantánea, navegación y compras online son posible en cualquier momento y desde cualquier lugar gracias a smartphones y tabletas. En paralelo a esta adopción generalizada de móviles conectados, el número de apps maliciosas y malware móvil ha crecido exponencialmente en los últimos tres años. Además, a lo largo del último año, hemos observado un crecimiento significativo de dispositivos que ya llegan al usuario con programas espía en el propio firmware de los terminales» Christian Geschkat, responsable de las soluciones para dispositivos móviles de G DATA

Record negativo: Más de un millón de nuevas amenazas Android en solo seis meses

Durante el segundo trimestre de 2015, los expertos de G DATA registraron una media de 6.100 muestras de nuevo malware cada día, frente a las 4.900 nuevas muestras del primer trimestre, lo que supone un incremento de casi un 25 por ciento.

El primer semestre del año ha superado las expectativas más negativas con más de un millón de nuevas amenazas para Android (1.000.938) en apenas seis meses, casi tantas como las que se registraron en todo el año 2013. G DATA estima que a finales de 2015 se habrán alcanzado la cifra de dos millones de amenazas en solo un año.

Puede comprobar si su smartphone está infectado descargando la solución de seguridad gratuita para dispositivos Android G DATA INTERNET SECURITY LIGHT en Google Play

Pronóstico para 2015

  • Año de records negativos: Los expertos de G DATA afirman que el malware para Android seguirá creciendo en la segunda mitad del año y se superará la cifra de dos millones de nuevas amenazas para esta plataforma en todo 2015.
  • El malware para Android, cada vez más sofisticado: el ataque informático a la empresa italiana Hacking Team, que ha estado detrás de las herramientas de vigilancia de policías, agencias de inteligencia y gobiernos de muchos países, ha provocado la publicación de una gran cantidad de documentación sensible y código fuente relacionado con malware para Android. Los expertos de G DATA sospechan que los cibercriminales aprovechen toda esta información y la utilicen para desarrollar código malicioso para Android cada vez más sofisticado y maduro.

Descarga el informe completo en https://secure.gd/dl-en-mmwr201502

Fuente: G Data

Google, Mozilla y Microsoft planean cortar su apoyo a RC4 a principios de 2016

Google, Microsoft y Mozilla anunciaron el día de hoy que retiraran su apoyo de manera permanente al algoritmo RC4, ya que el mismo es inestable.

Ataques prácticos contra RC4 están creciendo cada vez más, lo que hace el algoritmo cada vez menos confiable. Los fabricantes de los navegadores planean cortar el apoyo a RC4 a finales de enero, principios de febrero el 2016.

Por parte de Mozilla, Richard Barnes dijo que la fecha de cierre debe coincidir con el lanzamiento de Firefox versión 44, programada para el 26 de enero, por parte de Google, Adam Langley dijo que Chrome alcanzará un canal estable en enero o febrero, pero no especificó una fecha, sólo que los servidores que requieran RC4 dejaran de funcionar.

“La Desactivación RC4 significará que Firefox ya no se conectará con servidores que requieren RC4”, dijo Barnes en un post en el foro de la plataforma de desarrolladores de Mozilla.

Langley escribió al security@chromium.org un correo que dice: “Cuando Chrome realiza una conexión HTTPS tiene un deber implícito de hacer todo lo posible para garantizar que la conexión sea segura. En este punto, el uso de RC4 en una conexión HTTPS está siendo inseguro y por lo tanto tenemos la intención de desactivar el soporte para RC4 en un comunicado a futuro”.

Actualmente, Firefox Beta y versiones de lanzamiento no restringen RC4, pero sin embargo, sólo el 0,05 por ciento y 0,08 por ciento de las conexiones a las versiones respectivas utilizan RC4. Los números de Google son un poco más alto para Chrome, un 0,13 por ciento.

Microsoft ha anunciado fin de la vida de RC4 en Microsoft Edge e Internet Explorer 11, y que será desactivado por defecto.

“Microsoft Edge e Internet Explorer 11 sólo se utiliza RC4 durante un repliegue de TLS 1.2 o 1.1 de TLS 1.0. Un retorno a TLS 1.0 con RC4 es más a menudo el resultado de un error inocente, pero esto es indistinguible de un ataque man-in-the-middle “, dijo David Walp, Senior Program Manager, Microsoft Edge. “Por esta razón, RC4 se desactivará enteramente por defecto para todos los usuarios de Microsoft Edge e Internet Explorer en Windows 7, Windows 8.1 y Windows 10 a partir de principios de 2016.”

Durante más de una década, los investigadores han estado haciendo agujeros en RC4, la búsqueda de sesgos en bytes no tan al azar del cifrado de flujo se utilizan para cifrar texto plano. Un atacante con suficiente tiempo y poder de procesamiento y el acceso a suficientes solicitudes TLS podría averiguar todo el texto plano.

En 2013, la investigación realizada por la Universidad de Illinois ‘Daniel J. Bernstein logro un ataque práctico contra una debilidad conocida en RC4 que conduce a una sesión de compromiso TLS, uno de los primeros ataques factibles que se han hecho públicos.

En julio, los investigadores belgas publicaron ataques contra RC4 que permite a un hacker capturar y descifrar una cookie mucho más rápido que nunca.

El documento “Todos sus prejuicios nos pertenece: Rompiendo RC4 en WPA-TKIP y TLS”, escrita por Mathy Vanhoef y Frank Piessens de la Universidad de Lovaina, explica el descubrimiento de nuevas tendencias en el algoritmo que llevó a los atacante a romper el cifrado en los sitios web corriendo TLS con RC4, así como el WPA-TKIP.

Vanhoef y Piessens explican cómo un atacante puede utilizar estos resultados para descifrar las cookies de un usuario, por ejemplo, que debe ser asegurada sobre un canal cifrado. Sus ataques, sin embargo, no se limitan a las cookies.

“Esto significa que el atacante puede realizar acciones bajo el nombre de la víctima (por ejemplo, enviar actualizaciones de estado y enviar mensajes), tener acceso a la información personal (por ejemplo, a los correos electrónicos y el historial de chat), y así sucesivamente”, dijeron los académicos

Fuente: Threat Post

Google detendrá los anuncios FLASH en Chrome la próxima semana

Google el martes comenzará haciendo una pausa en los anuncios de Flash por defecto en Chrome, un movimiento que está diseñado principalmente para ayudar a mejorar la velocidad del navegador, pero que también será una actualización de seguridad para los usuarios.

La compañía anunció el plan en junio y dijo esta semana que hará la actualización de la configuración de Chrome el 1 de septiembre. Los anuncios flash son una parte importante de la web sobre todo en estos momentos, pero la gran frustración de muchos usuarios y expertos en seguridad es que el ver la auto-reproducción de estos contenidos son una amenaza potencial.

Google ha estado convirtiendo muchos anuncios nuevos de Flash en sus plataformas a HTML5 cuando están subidos a través de AdWords y otras herramientas. La compañía ahora está animando a los anunciantes para convertir a HTML5 cualquiera de sus anuncios que no son elegibles para la conversión automática por el propio Google.

Flash es un objetivo común para los atacantes y ha habido numerosas campañas de ataque en los últimos años donde han utilizado los anuncios maliciosos y otros contenidos Flash que los navegadores reproducen automáticamente. Chrome ofrece a los usuarios la posibilidad de desactivar la ejecución automática de Flash, Java y otros contenidos a través de una opción de clic-to-play. Esto obliga al usuario a tomar una decisión consciente para reproducir el contenido en lugar de dejar que el sitio tome esa decisión por él.

Google dijo que el cambio en Chrome para hacer una pausa en los anuncios de Flash por defecto es principalmente sobre el aumento de la velocidad del navegador y lo mismo amplía la duración de la batería de los dispositivos móviles.

“El vídeo y los medios interactivos lleva a los consumidores ricas y atractivas experiencias en la web, pero también pueden afectar la velocidad del navegador y la duración de la batería. Hace unos meses, Chrome introduce un entorno diseñado para aumentar la velocidad de la página web y reducir el consumo de energía deteniendo determinados contenidos plugin, incluyendo muchos anuncios de Flash. En septiembre, este ajuste se activará de forma predeterminada para los usuarios de Chrome y podran disfrutar de un rendimiento más rápido y ver más contenido antes de cargar sus baterías “, dijo Google en un blog de ​​AdWords puesto en junio.

Para los anunciantes, el cambio puede significar un poco de trabajo en su campo. Los anunciantes tendrán que empezar a construir sus anuncios en HTML5, a menos que planeen continuar con el uso de Flash y que Google los  convierta automáticamente. Pero ese programa de conversión no puede durar para siempre.

Para los usuarios de Chrome, la pausa de los anuncios de Flash les da una forma más para evitar ataques basados ​​en Flash.

Fuente: threatpost