Categoría : Seguridad Informática

Inicio/Archivo por Categoría Seguridad Informática (Page 6)

Google publica Chrome 47 y corrige 41 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 47. Se publica la versión 47.0.2526.73 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 41 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 41 nuevas vulnerabilidades, solo se facilita información de 23 de ellas (una crítica, 13 de gravedad alta, seis de importancia media y las tres restantes bajas). Entre los problemas corregidos cabe señalar que se ha solucionado la vulnerabilidad en el motor v8 de JavaScript anunciada durante el último pwn2own.

Las vulnerabilidades descritas están relacionadas con lecturas fuera de límites en v8, Skia y PDFium. También se solucionan vulnerabilidades por uso después de liberar memoria en AppCache, DOM, Infobars y Extensions. Salto de políticas de orígenes cruzados en el core y en DOM. Un desbordamiento de entero en Sfntly, una confusión de tipos en PDFium y falsificación de contenido en Omnibox. Por último otras vulnerabilidades en Android Crazy Linker, en CSP y en las páginas grabadas. Los CVE asignados van del CVE-2015-6764 al CVE-2015-6786.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-6787). Así como múltiples vulnerabilidades en el motor V8 en la rama de 4.7 (actualmente 4.7.80.23).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 105.837 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de “Información sobre Google Chrome” (chrome://chrome/).

Por otra parte, Google ha anunciado que en marzo del año que viene cesará el soporte para las versiones del navegador bajo Linux 32bits (esto no afecta a las versiones 64bits).

To provide the best experience for the most-used Linux versions, we will end support for Google Chrome on 32-bit Linux, Ubuntu Precise (12.04), and Debian 7 (wheezy) in early March, 2016.

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2015/12/stable-channel-update.html

Updates to Google Chrome Linux support

https://groups.google.com/a/chromium.org/forum/#!topic/chromium-dev/FoE6sL-p6oU

Fuente: Hispasec

Día Internacional de la Seguridad Informática

Los juegos on-line, la internet de las cosas (IoT) , y las estafas en las redes sociales aparecen encabezando la lista de preferencias de los ciberatacantes, a la hora de atentar contra nuestra instalaciones.

Con decenas de millones de practicantes en el mundo entero, en su gran mayoría jóvenes sin mayor temor de ingresar a cualquier sitio que se les ponga a tiro, los juegos on-line están entre las más buscadas brechas de los piratas. Mortal Kombat X, Minecraft o Gran Thef Auto V son los que más han recibido ataques en los últimos tiempos, según publica elandroidelibre.com.

La internet de las cosas (IoT) es un área de gran preferencia para ataques, y requiere de protocolos seguros, advierten los expertos. Recuerdan que sin ellos, o con nula protección detallada, nuestras comunicaciones están casi a la vista de cualquier hacker.

En cuanto a las estafas en las redes sociales, el problema es más de corte “humano” ya que se basa más en la confiabilidad y el engaño que en falta de seguridad en la web. Desde timos en supuestas webs de las grandes cadenas, con gangas y obsequios que nos invitan a cliquear sin mucha detención, a situaciones como la web Ashley Madison que dejó a la vista 44 millones de potenciales infieles a su pareja, todo es posible, si no estamos atentos.

Cada día más necesidad de protección

El último día de noviembre como fecha anual para recordar la creciente necesidad de protección fue una idea original de la “Association for Computer Machinery” de Estados Unidos, lanzada en 1988.

El Día Internacional de la Seguridad de la Información. Su propósito era que en ese día se recordara, a todo el que utiliza la tecnología, la necesidad de proteger sus sistemas, sus programas y su información, lo que de inmediato logró la aceptación de los países más desarrollados y con el tiempo se han ido sumando otros.

La idea original es que el último día de noviembre se desarrolles actividades conjuntas a nivel institucional, educativo y en las empresas a la búsqueda de optimizar los buenos hábitos en materia tecnológica con las mejores intenciones para el año entrante.

Fuente: La red 21

Linkedin corrige persistente vulnerabilidad XSS

Desarrolladores de LinkedIn corrigen una vulnerabilidad persistente de por parte de una Cross-site scripting (inseguridad informática) que estuvo persistente en la red social esta semana, estas podrían haberse aprovechado para difundir un gusano en foros de ayuda del servicio.

Fue una muy una respuesta rápida para la empresa de acuerdo con el investigador, quien dijo LinkedIn corrige el problema apenas tres horas después de que lo reportó.

De acuerdo con Rohit Dua, un investigador de seguridad con sede en la India, el problema existía en un portal en el sitio del Centro de Ayuda de LinkedIn. Para explotar el tema, el usuario habría tenido que iniciar sesión en LinkedIn, ido al Foro de ayuda del sitio y comenzar una discusión. Al participar en unas pocas líneas de código, Dua afirma que un atacante podría haber ejecutado un script (guión).

“Una vez que la problemática es expuesta, junto con la ejecución del script, se puede ver de inmediato en el foro de ayuda, sus debates o en la lista pública de preguntas” escribió Dua en su prueba de concepto, publicado el miércoles.

Si un atacante encontró una manera de explotar la vulnerabilidad, que podría haber sido fácilmente aprovechado para un gusano XSS afirma Dua.

Dua alertó a la compañía del error poco después de las 11 pm del lunes, y de acuerdo a su cronograma de divulgación, LinkedIn implementó una solución poco después de las 2 am del martes.

Al llegar el miércoles un portavoz de LinkedIn corroboró la vulnerabilidad y la solución correspondiente y aseguro a los usuarios que no hay datos comprometidos de ningún miembro.

“Este problema se da a conocer de manera responsable en nuestro centro de ayuda, no en el sitio principal, y ningún dato de nuestros miembros estuvo en riesgo. El investigador estuvo complacido de trabajar con las personas que ayudaron a solucionar el problema de una manera muy oportuna. No ha habido explotación o abuso de este tema en nuestro portal de ayuda. Nos gustaría dar las gracias al investigador por su gran relato y por ayudar a proteger a nuestros miembros “, dijo LinkedIn.

LinkedIn anunció el pasado verano que comenzó su propio programa de recompensas de errores privada, en octubre de 2014. Si bien la iniciativa sigue siendo privada, LinkedIn ha invitado Dua a unirse al programa.

Fuente: Thread Post

Agencia de Aviación Europea advierte sobre posible hacking a los sistemas de aeronaves.

El director de una agencia de aviación Europea advirtió éste jueves que los hackers podrían infiltrarse en los sistemas de un Avión desde tierra.

El Director de Seguridad Aérea Patrick Ky de la Agencia Europea, dijo que se podrían explotar vulnerabilidades en el ACARS (Aircraft Communications Addressing and Reporting System), sistema que se utiliza para transmitir los mensajes entre aviones y las estaciones terrestres.

Ky dijo en una conferencia de prensa que a un experto le llevó cinco minutos acabar con ACARS y un par de días para acceder al sistema de control de aeronaves en tierra.

“Por razones de seguridad, no voy a decirte cómo lo hizo, pero me permitirá juzgar si el riesgo es alto o bajo,” Ky fue citado en un artículo publicado por el francés Les Echos.

Algunos de estos temas fueron expuestos por el investigador de seguridad Teso durante una presentación de 2013 en Hack in the Box. Teso dirigio específicamente su tema contra ACARS y divulgo una serie de vulnerabilidades de los sistemas de a bordo. Teso dijo que encontró relativamente poca seguridad que protege la comunicación entre la aeronave y tierra.

“Punto débil del sistema es que no verifica los paquetes de comunicación en el camino desde el suelo hasta el avión”, dijo Andrey Nikishin, jefe de desarrollo de proyectos de las tecnologías del futuro de Kaspersky Lab. “Debido a esto, es posible suplantar el sistema mediante la inserción de un nuevo paquete en el camino.”

Nikishin dijo que un atacante podría enviar a los pilotos de los mensajes falsos que podrían afectar la toma de decisiones en el aire.

“En teoría, un usuario malintencionado puede influir en la decisión de un piloto para cambiar la ruta, si, a través del flujo de spoofing, envía a el avión un mensaje falso sobre una próxima tormenta”, dijo Nikishin. “El mismo esquema malintencionado podría aplicarse para suplantar el GPS, haciendo que el sistema cree que se encuentra en un lugar diferente de donde lo que realmente es.”

“ACARS utiliza un esquema de codificación / decodificación de propiedad que ha estado en uso desde 1978 – cuando el equipo de la aeronave no fue diseñado con la seguridad cibernética en mente, dijo Nikishin. “Esto hace que sea anticuado, y creemos que los fabricantes de aeronaves deben ya haber comenzado a desarrollar un nuevo sistema, con un nuevo enfoque.”

La revelación de Ky se produce un día antes de la introducción de un nuevo sistema de control del tráfico aéreo europeo llamado Sesar.

“Mañana, con la introducción de Sesar y la posibilidad para el control del tráfico aéreo a través de instrucciones al sistema de control de la aeronave, se multiplicará este riesgo”, dijo Ky. “Tenemos que empezar por poner en marcha una estructura para alertar a las compañías aéreas sobre los ataques cibernéticos.”

Esta no es la primera vez que la seguridad de las aeronaves se ha cuestionado. En mayo del presente año, el investigador Chris Roberts fue retirado de un vuelo de United Airlines después de Twittear acerca de hackeo realizado al vuelo ene l que se encontraba. Roberts fue detenido e interrogado por el FBI, que informó de que Roberts dijo que él había excavado a través de centro de entretenimiento a bordo de la aeronave para llegar a los sistemas críticos y ejecutar comandos para el avión.

Los fabricantes de aeronaves fueron entrevistados; Boeing, por ejemplo, dijo a CNN sus sistemas de entretenimiento y navegación no estaban conectados y que las afirmaciones de Roberts era imposible.

Fuente: ThreatPost

Te Esperamos en el CELAES 2015

Este 15 y 16 de Octubre, Ethical Hacking Consultores participará como Sponsor en el CELAES 2015, donde estaremos haciendo algunas demostraciones en vivo en materia de ciber ataques a canales alternos y cajeros ATM junto con las recomendaciones y soluciones de seguridad necesarias para protegerse de los mismos.

Te invitamos a que nos visites en el Stand No. 58, recojas tu souvenir y te diviertas con nosotros aprendiendo temas nuevos en Seguridad Informática aplicada a la Banca y Entidades Financieras.

A demás estaremos entregando información detallada de todos nuestros servicios, brochures, cartera de clientes con los que trabajamos actualmente, los proyectos innovadores que estamos desarrollando y algunos obsequios geeks.

Flyer CELAES - EHC (1)

 

No olvides recoger tu souvenier en nuestro Stand N° 58.

 

Si desees agendar una reunión con nosotros durante tu estadía en el CELAES 2015, puedes contactarnos a través de los siguientes medios:

www.ehacking.com.bo | info@ehacking.com.bo | T. +507 297-4019 | M. +507 6983-6454

Nos encontramos ubicados en el Edificio Tower Bank Financial Center, Piso 35, Ofc. 26, Calle 50, Ciudad de Panamá, Panamá.

TE ESPERAMOS.

Vulnerabilidades de las centrales nucleares a los ataques informáticos

Cuando se habla de seguridad nuclear enseguida se piensa en medidas por garantizar la seguridad física de las centrales para evitar desastres como el de Fukushima, en 2011, o Chernobyl, en 1986.

Pero hay un aspecto importante que, al parecer, se ha dejado de lado: su vulnerabilidad ante posibles ataques de hackers.

Esa es al menos la opinión de 30 expertos que en algún momento han trabajado en alguna de estas centrales en el mundo y que han mostrado su preocupación en un informe internacional promovido por el Real Instituto de Asuntos Exteriores de Reino Unido.

El informe derriba el “mito omnipresente” que dice que las instalaciones nucleares no están conectadas a internet y que eso las hace inmunes a ciberataques.

Nada más lejos de la realidad, dicen los expertos, quienes alertan que en su investigación (que duró 18 meses) encontraron evidencias de redes virtuales y conexiones a internet dentro de las infraestructuras nucleares.

Y dejan un apunte inquietante: muchas de ellas se encontraban olvidadas, o su existencia era desconocida para los responsables de las plantas.

Además, explican, para sufrir un ciberataque ni siquiera es necesaria la conexión a la red: es suficiente con que alguien introduzca un pendrive con el código maligno, como ocurrió en una central iraní en 2010.

Y una vez desterrado el mito de la inmunidad, los expertos señalan que, de hecho,el riesgo de “un serio ciberataque” de “delincuentes, terroristas o hackers pagados por Estados” está muy “presente”.

Según los investigadores, la actividad criminal cibernética “es cada vez más fácil de llevar a cabo y más extendida” y que con “los motores de búsqueda [de internet] se pueden identificar fácilmente las instalaciones nucleares y otras infraestructuras críticas que están conectadas” a la red.

Sin preparación para afrontar ataques

Los expertos sugieren que las plantas nucleares no están preparadas para dar una respuesta adecuada para estas amenazas.

Un trabajador participa en una simulación de ataque cibernético en una central de Corea del Sur. El personal de las plantas no está preparado para ello, según el informe.
Un trabajador participa en una simulación de ataque cibernético en una central de Corea del Sur. El personal de las plantas no está preparado para ello, según el informe.

Por el lado del aspecto técnico, señalan que muchos de los sistemas de control de las centrales son “inseguros por definición”, ya que no fueron diseñados para afrontar esta serie de amenazas.

Y por otra parte advierten de una acuciante “falta de formación” en el personal y una comunicación ineficiente entre los ingenieros y el personal de seguridad.

“La calidad de la formación en seguridad cibernética es insuficiente”, apuntan. “Faltan simulaciones y el personal tiene un pobre entendimiento de los procedimientos claves”.

En definitiva, el informe duda seriamente de que las centrales nucleares estén preparadas para afrontar “una emergencia de seguridad cibernética a gran escala”.

Perder la guerra de la propaganda

El documento también remarca otro daño colateral que podría tener un ataque a una instalación nuclear, además de las obvias y catastróficas consecuencias: significaría perder la guerra de la propaganda.

En torno a la energía nuclear hay un enconado debate entre defensores de la misma y los detractores.

Hay un enconado debate social sobre la conveniencia o no de la energía nuclear.
                                           Hay un enconado debate social sobre la conveniencia o no de la energía nuclear.

Mientras unos piensan que es una fuente de energía abundante, eficiente y con pocos desechos, los activistas antinucleares creen que es muy peligrosa y potencialmente contaminante, ya que sus residuos radiactivos tardan cientos de años en desintegrarse.

A ese respecto, el informe dice: “Incluso un incidente a pequeña escala en una instalación nuclear tendría probablemente un desproporcionado efecto en la opinión pública y en el futuro de la industria nuclear”.

Numerosos ejemplos

Es ahora cuando los gobiernos comienzan a tomarse en serio este tipo, ya que antes de junio de este año la Agencia Internacional de Energía Atómica (AIEA) no había convocado nunca un gran congreso internacional sobre esta materia.

Los sistemas de protección de las plantas nucleares no fueron concebidos para este tipo de amenaza, alertan los  expertos.
                Los sistemas de protección de las plantas nucleares no fueron concebidos para este tipo de amenaza, alertan los expertos.

Sin embargo, ya se habían registrado ataques cibernéticos considerables, además del comentado en Irán.

El primer incidente de este cariz se registró en la central nuclear de Ignalina, Lituania, en 1992.

Un técnico introdujo un virus en el sistema de control industrial de la central.

No tenía un fin terrorista, pretendía poner el foco en la falta de seguridad ante estos ataques.

Pero eso no le libró de ser detenido, pero consiguió su objetivo.

Si la intención hubiera sido real, “podría haber ocurrido un desastre similar al de Chernobyl”, dijo tiempo después Valentin Sobolev, un alto representante del Consejo Ruso de Seguridad.

Y la central nuclear David-Besse, en Ohio, EE.UU., también fue protagonista de una situación problemática en 2003.

Esta planta estadounidense fue infectada por un virus que infectó la red de la compañía eléctrica que operaba en la planta.

Así, a distancia y durante cuatro horas, fue capaz de controlar los sensores de temperatura, los detectores de radiación y los de refrigeración.

Por fortuna, el reactor no estaba operativo en esos momentos.

Vulnerabilidades y amenazas

Otro caso es el de la planta de Browns Ferry, en Alabama, aunque esta no fue víctima de un ciberataque.

Pero lo que le ocurrió en 2006 muestra el riesgo de las redes Ethernet (redes internas que conectan los sistemas informáticos) de una planta nuclear.

Por un incidente cibernético, hubo que desconectar la planta de Alabama manualmente: había riesgo de fusión en el reactor.
    Por un incidente cibernético, hubo que desconectar la planta de Alabama manualmente: había riesgo de fusión en el reactor.

Una sobrecarga en el tráfico de datos de esa red hizo que fallaran una serie de dispositivos cruciales para el correcto funcionamiento del reactor.

La planta tuvo que ser desconectada manualmente para evitar la fatal fusión del mismo.

Un hacker podría atacar la planta simplemente reproduciendo esa situación y además de ataques contras plantas rusas y estadounidenses, el último registrado es el sufrido en 2004 por la red de Korea Hydro and Nuclear Power, una empresa que controla 23 centrales de Corea del Sur.

A través de emails robaron datos y documentos que incluían los manuales y planos de varias centrales y los cálculos de exposición a radiación de poblaciones cercanas a las mismas.

Los hackers pidieron a la compañía que parara tres centrales bajo una amenaza difundida en Twitter con una palabra: “Destrucción”.

El gobierno no detuvo las centrales. Finalmente no ocurrió nada.

Fuente: BBC

Invertiremos 20.000 $us en patrocinios hasta febrero de 2016

Como parte de nuestra política de branding y expansión a nivel internacional, la empresa ha decidido empezar con una pequeña inversión de 20.000 $us para patrocinar diferentes eventos de seguridad de acá a febrero del 2016 en los que veamos como potencial la difusión de nuestra marca y las oportunidades de clientes potenciales al poder tener presencia como firma de Seguridad Informática.

Debido a que hoy en día vivimos en un mundo globalizado donde las fronteras van desapareciendo y la competencia va en crecimiento día a día, es que estamos apostando a esta iniciativa, la cual tiene como primer objetivo patrocinar eventos de seguridad informática en toda Latinoamérica y el Caribe hasta febrero del 2016 para hacer una evaluación de las metas cumplidas y oportunidades conseguidas.

Para el 2016, de marzo en adelante, tenemos como objetivo ampliar este presupuesto de patrocinio a 50.000 $us para poder participar como patrocinadores en los eventos mas importantes de Seguridad a nivel internacional, expandiendo nuestros servicios a EEUU, Europa y Asia con quienes ya estamos iniciando algunas negociaciones actualmente.

Nuestros primeros 5.000 $us de patrocinio fueron para el CELAES 2015, uno de los eventos mas grandes a nivel internacional en seguridad bancaria que este año se realizará en Panamá y cuenta con la presencia de mas de 150 bancos internacionales, donde podrás encontrarnos en nuestro stand, para conocer a fondo toda la gama de servicios y productos de seguridad bancaria que ofrecemos. No me extiendo más en esta información porque ya hay otro artículo entero que habla sobre este evento pero los invito a que se informen un poco más en el website del congreso celaes2015.com.

Así que si eres el organizador de algún evento de Seguridad Informática o conoces de alguno que se esté organizando en tu país o ciudad durante estas fechas y creas que sería interesante que participemos como Patrocinador (sponsor), puedes contactarnos fácilmente con un correo a la dirección info@ehacking.com.bo y nuestro equipo se pondrá en contacto contigo.

Que tengas excelente semana.