Categoría : Seguridad Informática

Inicio/Archivo por Categoría Seguridad Informática (Page 5)

Kingston Data traveler 2000: un pendrive cifrado y con teclado

La privacidad de los usuarios y los intentos por proteger los datos están alcanzando límites insospechados. Ordenadores de sobremesa y portátiles, discos duros, NAS o terminales móviles son algunos de los ejemplos que permiten cifrado de archivos y así protegerlos de accesos no autorizados. Sin embargo, los siguientes elementos en implementar esto son las memorias USB y un ejemplo es el modelo Kingston Data traveler 2000.

La memoria USB posee un cifrado completo del volumen que hace uso de AES 256-bit y así evitar que se produzcan accesos no autorizados a la información. Esto quiere decir que cuando el pendrive se conecta a un ordenador, el usuario deberá teclear el PIN escogido que cifra y protege los datos. Aunque el fabricante ha confirmado que se trata de un dispositivo que está centrado sobre todo en un uso empresarial, esto nos permite hacernos una idea de cuál será el camino a seguir en los próximos años y qué dispositivos llegarán a nuestros hogares, siendo sin lugar a dudas este uno de ellos.

Al igual que sucede con los navegadores web, que permiten guardar las credenciales de los servicios a los que se accede por primera vez, el Kingston Data traveler 2000 permite que el usuario solo deba introducir la contraseña cuando se conecta por primera vez la memoria, desbloqueándose la próximas ocasiones de forma totalmente automática.

Seguro que muchos pensáis mientras leéis esto que teniendo en cuenta que se trata de un código numérico la posibilidad de realizar ataques de fuerza bruta es alta. Pero la verdad es muy distinta, ya que el dispositivo posee un sistema que protege la memoria y los datos frente a estos ataques. Tras 10 intentos el pendrive queda totalmente bloqueado y se procede al borrado de los archivos y claves que realizan el cifrado y descifrado de la información.

Kingston Data traveler 2000

Además del teclado y el cifrado, el diseño físico del dispositivo tampoco está dejado al azar y el fabricante ha utilizado aluminio. En lo referido a las capacidades, estará disponible con 16, 32 y 64 GB de almacenamiento y todo parece indicar que estará disponible durante la primera mitad de 2016. A todo esto hay que añadir que es resistente al agua y polvo, algo que está muy de moda en lo referido a terminales móviles.

Además de ser totalmente compatible con los sistemas operativos de sobremesa actuales, también lo es con Android y ChromeOS, no siendo necesario en ningún caso la instalación de software adicional en el equipo.

Fuente: Redes Zone

La falta de actualizaciones en Android permite el acecho de 6.400 virus

Acaba el año y de nuevo las actualizaciones de los dispositivos que hacen uso del sistema operativo móvil de los de Mountain View son tema de conversación. En esta ocasión, un estudio realizado por la compañía de seguridad GData revela que la falta de actualizaciones en Android provoca que los terminales móviles y tabletas estén expuestos a más de 6.400 códigos maliciosos.

Ya se sabe que esto siempre se ha considerado como un problema muy grave y que las partes implicadas siempre han mirado hacia otro sitios o han decidido echarse la culpa recíprocamente. Mientras desde Google acusan a los responsables de los fabricantes de terminales móviles y tabletas de publicar actualizaciones cuando ellos sí las ofrecen, desde los fabricantes tachan a Google de no enviar actualizaciones con frecuencia, dejando sin soporte a dispositivos con muy poca antigüedad.

Al final, los principales perjudicados tal y como suele suceder son los usuarios, que ven como sus equipos son vulnerables a una gran cantidad de malware que en la actualidad se encuentra en Internet. Para ser más exactos, según el informe emitido por GData el número de estas asciende a más de 6.000. También apuntan que solo los usuarios que poseen o han logrado actualizar a Lollipop or Marshmallows pueden estar más tranquilos que el resto.

Para GData la falta de actualizaciones en Android es culpa de los fabricantes

En muchas ocasiones existe un trasfondo económico para realizar o abandonar una tarea. Para los expertos de la compañía encargada de realizar el estudio parece bastante obvio que en este caso los culpables son los fabricantes. Indican que la supresión de actualizaciones para modelos que solo poseen un año o dos de antigüedad los permite incrementar los beneficios, algo que sin embargo pone en riesgo a los usuarios y sobre todo los datos que se manejan y almacenan en estos.

Según el estudio, el 80% de los dispositivos se encuentra en la actualidad entre las versiones Froyo y KitKat, permitiendo que los equipos se vean expuesto a posibles ataques, algo que seguirá siendo así por la falta de actualizaciones.

Una programa de actualizaciones más longevo resolvería el problema, sin embargo, existe un claro cruce de intereses que imposibilita que esto sea así. Cada vez son más los dispositivos Android existentes y los que a día de hoy reciben actualizaciones algún día verán como pasan a formar parte del otro porcentaje, es decir, del 80% actual que no recibe actualizaciones.

Fuentes: Redes Zone

ProxyBack, un malware que convierte el equipo infectado en un proxy

No es para nada inusual que los ciberdelincuentes rescaten viejas amenazas para afectar de nuevo a los equipos de sobremesa de los usuarios. En esta ocasión, un malware que fue localizado por primera vez el pasado año y conocido con el nombre de ProxyBack ha sido detectado infectando equipos y convirtiendo estos en proxys de Internet.

Podría decirse que el virus ha despertado de su periodo de letargo a principios de este mes y poco a poco ha incrementado el número de dispositivos afectados hasta superar la barrera de los 11.000. La finalidad no es otra que la utilización de estos equipos para que desempeñen funciones de este tipo de servicios y así redirigir el tráfico de Internet. El problema es que estos son ofertados en el mercado negro como un proxy real por el cual se percibe una cantidad de dinero que se convierte en beneficio, ya que los ciberdelincuentes apenas deben invertir en infraestructura, siendo solo necesario un servidor de control con el que se comunican los equipos infectados de forma periódica.

ProxyBack establece una comunicación con el servidor propiedad de los ciberdelincuentes, a la espera de que desde este se tome la decisión de enviar cierto tráfico hacia ese equipo o bien otro. El virus recibe instrucciones ayudándose de peticiones HTTP y podría decirse que el dispositivo desde el momento en el que es infectado pasa a formar parte de una botnet que funciona como un gran proxy.

proxyback ingfecta equipos de usuarios

Todo apunta a los responsables del servicio buyproxy.ru

Las autoridades han sospechado de los responsables de este servicio desde hace mucho tiempo pero nunca han tenido una prueba que sustente la acusación. Pero en esta ocasión, expertos en seguridad de la compañía Palo Alto Networks han detectado que algunas direcciones IP de equipos que están infectados con ProxyBack aparecen en el portafolios de servidores proxy que se ofertan en esta página. Por lo tanto, ahora las autoridades ya tienen la clave que les faltaba.

Sin embargo, lo que no se sabe a ciencia cierta es si son los propietarios de esta web los que se encuentran detrás de la distribución de este virus que afecta a equipos Windows o si los servicios ofertados en la web aparecen en esta tras llegar a un acuerdo con sus propietarios, siendo en este caso un mero intermediario que podría no estar al día de la actividad ilícita llevad a cabo.

¿Cómo se distribuye ProxyBack?

Aunque no se sabe muy bien cuál es la vía de difusión de esta amenaza, sí que han confirmado que en un principio se diseñó para afectar a usuarios rusos y en la actualidad se está distribuyendo en Internet para alcanzar el mayor números de usuarios y de países muy variados.

Algunos creen que se distribuye a través de aplicaciones que se encuentran en tiendas en línea y que están infectadas con esta pieza malware. Sin embargo, otros muchos creen que el correo electrónico sería la vía de difusión gracias a la utilización de otros PUP que facilitan su llegada.

Fuente: Redes Zone

Cisco hará una auditoría de seguridad a su software después del escándalo de Juniper

La semana pasada el fabricante de routers, switches y firewalls empresariales Juniper, hizo público que a raíz de una auditoría interna de sus sistemas operativos ScreenOS habían detectado varios backdoors críticos que permitirían acceder al sistema con permisos de administrador y capturar el tráfico VPN. Ahora Cisco, su más directo rival, va a realizar también una completa auditoría de seguridad.

 Todos los administradores de redes y sistemas que utilicen equipos de Juniper han tenido que actualizar sus dispositivos para evitar que cibercriminales exploten las vulnerabilidades descubiertas y pongan en peligro a su empresa.

La compañía Cisco, en un comunicado, ha declarado que uno de sus principios y política más importante es que no incorporan ningún backdoor en su código fuente. Las prácticas de desarrollo de Cisco prohíben específicamente la creación de puertas traseras o código malicioso que permita el acceso a un dispositivo de red cuando no tenemos autorización para ello, también prohíben de manera explícita cualquier método de desviación de tráfico, creación de canales de comunicaciones secretos con el dispositivo e incluso la creación de cuentas de usuario secretas.

Cisco también ha declarado que han estudiado a fondo el problema que ha tenido Juniper, y no han encontrado ningún código no autorizado en ninguno de sus productos, no obstante van a realizar una completa auditoría de seguridad con sus ingenieros y con investigadores de seguridad de otras empresas para garantizar que sus sistemas operativos están libres de este tipo de puertas traseras.

Si en cualquier momento de esta auditoría se encuentra un fallo de seguridad o una puerta trasera, se pondrá cuanto antes en su boletín de seguridad para avisar a todos sus clientes del fallo y que tomen las medidas pertinentes. Cisco ha hecho especial hincapié que nadie le ha obligado a realizar esta auditoría de su sistema operativo, pero viendo el gran problema que ha tenido Juniper, han decidido hacer lo propio para mantener intacta la confianza de sus clientes.

Por último, desde Cisco se pide a los clientes que reporten cualquier tipo de sospecha de vulnerabilidad o backdoor que tengan sus equipos.

Recomendamos visitar el blog oficial de Cisco donde encontraras todos los detalles sobre el comunicado.

Fuentes: Redes zone

Vulnerabilidades críticas en Samba

Se han descubierto una serie de vulnerabilidades críticas en el popular servicio Samba que la mayoría de sistemas operativos basados en Linux utilizan. Estas vulnerabilidades ya han sido corregidas por los desarrolladores del servicio, por lo que es crucial que los administradores de sistemas actualicen todos los equipos para no ser vulnerables a este tipo de ataques.

¿Qué fallos de seguridad se han detectado?

Algunos de los fallos de seguridad que se han detectado permitirían realizar una denegación de servicio. El primer fallo de seguridad afecta a los clientes Samba, y es que podría causar que el servidor LDAP no respondiera, impidiendo dar servicio al resto de la red cuando se realice cualquier otra petición, el identificador de esta vulnerabilidad es la CVE-2015-3223.

Otro fallo relacionado con el cliente Samba y LDAP permitiría que un cliente envíe paquetes de tal forma que el servidor LDAP consumiera memoria ilimitada y por tanto, provocar la parada completa del servicio, el identificador de este fallo de seguridad es el CVE-2015-7540.

La tercera denegación de servicio se podría dar en las versiones desplegadas en Active Directory en el mismo dominio que Windows DC, de esta manera se podría anular la protección contra una vulnerabilidad solucionada anteriormente (CVE-2015-2535), este fallo de seguridad que permite explotar la otra vulnerabilidad tiene como identificador CVE-2015-8467.

Active_Directory_Windows_Server_main

Otro fallo de seguridad relacionado con el cliente Samba es que podrían enviar paquetes de modo que el servidor LDAP devuelva memoria asignada del heap más allá de lo solicitado, por lo que podríamos ver datos a los que no deberíamos tener acceso. Este fallo de seguridad tiene como identificador CVE-2015-5330.

Otros fallos de seguridad que se han encontrado es por ejemplo en la verificación de los enlaces simbólicos a ficheros o directorios, si se comparte un directorio que comparte prefijo de ruta con otro, el servicio de Samba podría permitir al cliente seguir el enlace simbólico a un fichero o directorio en ese segundo directorio, incluso si el parámetro de Samba “wide link” no está activado. El identificador de esta vulnerabilidad es el CVE-2015-5252.

Los últimos dos fallos de seguridad que se han encontrado en Samba es que por ejemplo en un ataque MITM se podría degradar la conexión y conectarse al atacante usando las credenciales de la víctima en la conexión que no va firmada ni cifrada, asimismo también hay un fallo en la verificación de acceso en el módulo vfs_shadow_copy2. Los identificadores de estos dos fallos son el CVE-2015-5296 y CVE-2015-5299 respectivamente.

Versiones de Samba afectadas por estos fallos

Hay algunas versiones de Samba que no están afectadas por algunos de estos fallos que os hemos comentado anteriormente, aunque la mayoría de ellos sí afectan a las versiones desde la 4.0.0 hasta la 4.3.2 inclusive. A continuación os dejamos las versiones afectadas:

  • CVE-2015-3223: desde 4.0.0 a 4.3.2
  • CVE-2015-5252: desde 3.0.0 a 4.3.2
  • CVE-2015-5296: desde 3.2.0 a 4.3.2
  • CVE-2015-5299: desde 3.2.0 a 4.3.2
  • CVE-2015-5330: desde 4.0.0 a 4.3.2
  • CVE-2015-7540: desde 4.0.0 a 4.1.21
  • CVE-2015-8467: desde 4.0.0 a 4.3.2

Las nuevas versiones de Samba ya están disponibles

Samba ha publicado las nuevas versiones 4.3.3, 4.2.7 y también 4.1.22 que corrigen estos fallos de seguridad críticos, dependiendo de la versión que tengamos instalada podremos actualizar a una versión u otra.

Recomendamos visitar el sitio web oficial de Samba donde encontraréis el aviso de seguridad con un enlace a todos los parches para nuestras versiones.

Fuente: redes zone

Desarrollan un completo Jailbreak de Playstation 4

PlayStation 4  la consola de juegos más vendida en los Estados Unidos y que ha estado en el mercado por un tiempo ahora, y desde su lanzamiento, los hackers han estado jugando con él para encontrar una forma de ejecutar software no autorizado.

Aunque romper la protección en PlayStation 4 es un gran negocio, un hacker que se hace llamar CTurt ha pretendido desarrollar un completo jailbreak de la PlayStation 4 con la ayuda de un kernel exploit que creó anteriormente.

El jailbreak actual permite el vertido de la RAM del sistema de otros procesos y la instalación de firmware personalizado que se puede utilizar para ejecutar aplicaciones homebrew que no están aprobados por Sony.

Por supuesto, todavía hay algunos otros problemas de seguridad para salir adelante, pero es un pie en la puerta para la piratería del juego, que puede afectar el mercado del juego en su conjunto.

La cuenta de Twitter de CTurt parece indicar que en la actualidad el exploit sólo funciona para PlayStation 4 versión de firmware 1.76, pero al parecer puede ser ajustado para trabajar para el firmware más reciente.

CTurt logró con éxito para tomar ventaja de una explotación en la PlayStation 4 v1.76 para inyectar un código externo en el sistema, tomando así el control del hardware.

Sony sin duda sería infeliz con el lanzamiento de PlayStation 4 jailbreak y estaría tratando de eliminar las vulnerabilidades para la versión más reciente de firmware PS4

ps4-PlayStation-jailbreak

Diversas vulnerabilidades en IBM WebSphere Portal

Se han anunciado cuatro vulnerabilidades en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de cross-site scripting o de denegación de servicio en los sistemas afectados.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de “mashup” empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

Tres de las vulnerabilidades, con CVE-2015-4993, CVE-2015-4998 y CVE-2015-7413, residen en un error de validación de entradas. De forma que podrían permitir a un atacante remoto crear URLs, que al ser cargadas por el usuario permitan la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Por otra parte, con CVE-2015-5001, también por una insuficiente validación de entradas se confirma una vulnerabilidad de denegación de servicio. Mediante el envío de un documento específicamente creado un atacante podría conseguir el consumo de todos los recursos de memoria.

Se ven afectadas las versiones de WebSphere Portal 8.5, 8.0, 7 y 6. IBM ha publicado diferentes correcciones para evitar estos problemas. Dada la diversidad de versiones afectadas y parches se recomienda consultar el aviso

http://www-304.ibm.com/support/docview.wss?uid=swg21970176

Más información:

Security Bulletin: Fix Available for Security Vulnerabilities in IBM WebSphere Portal (CVE-2015-4993, CVE-2015-4998, CVE-2015-5001, CVE-2015-7413)

http://www-304.ibm.com/support/docview.wss?uid=swg21970176

Fuente: Hispasec