Categoría : Vulnerabilidades

Inicio/Seguridad Informática/Archivo por Categoría Vulnerabilidades (Page 9)

Las Presentaciones del Black Hat USA 2015

Ya tenemos disponible la mayoría de las presentaciones de la Black Hat USA 2015.

La lista es la siguiente:

Fuente: Segu-Info

Nueva vulnerabilidad descubierta en Facebook

Una vulnerabilidad en Facebook permitiría a un atacante acceder a los datos personales de sus usuarios utilizando números de teléfono.

Facebook se toma muy en serio la seguridad de sus usuarios, pero debe seguir mejorando. Así lo pone de manifiesto el último agujero de seguridad descubierto en esta red social, que permitiría a un atacante acceder a los datos personales de miles de usuarios tan solo utilizando sus números de teléfono, señala Perú21.

Reza Moaiandin, el ingeniero que ha alertado de esta falla, ha explicado que creó un algoritmo capaz de generar miles de números de teléfono por segundo y después envió esos números a la API de Facebook, una aplicación que permite a terceros crear servicios basados la red social. Moaiandin descubrió que, si un número está vinculado con una cuenta de la plataforma, se puede acceder a la información de esa cuenta, como el nombre de usuario, la localización o las fotografías, entre otros datos.

La información a la que accedió el investigador era pública, pero la posibilidad de unir números de teléfonos con datos personales a gran escala permitiría a un ciberdelincuente hacerse con una enorme base de datos que podría vender en el mercado negro.

Por ello, Moaiandin considera que Facebook debería tomar medidas, como encriptar las comunicaciones con su API o limitar el número de búsquedas que se pueden hacer. Los responsables de la red social han dicho que ya hay límites establecidos y no hay de qué preocuparse.

Fuente: CCM

Vulnerabilidad en Android permite robar huellas digitales

Hace unos días advertimos de la vulnerabilidad Stagefright, que ponía en peligro el 95% de los dispositivos Android. Ahora se trata de los lectores de huellas dactilares incluidos en algunos modelos de estos móviles.

Los investigadores de la empresa de seguridad FireEye, Tao Wei y Yulong Zhang, develaron estos fallos en su presentación Fingerprints on Mobile Devices: Abusing and Leakingdes durante la conferencia Black Hat en Las Vegas. Para su investigación los trabajadores tomaron los modelos Samsung Galaxy S5 y HTC One Max. Sin embargo, se trataría de un problema compartido por el resto de teléfonos Android.

El problema está en que los posibles atacantes podrían robar masivamente huellas dactilares. Obteniendo, además, una imagen en alta definición. Para empeorar las cosas, el sensor en algunos dispositivos sólo está controlado por “system” en vez de “root”, haciendo más fácil el ataque. En otras palabras: el rooting o jailbreaking del teléfono puede exponer a un mayor riesgo el dispositivo. Una vez logrado el ataque, el sensor puede seguir recoger datos de las huellas dactilares de cualquier persona que utilice el sensor.

“En este ataque, los datos de las huellas dactilares de las víctimas caen en manos del atacante y este podrá utilizarlas el resto de su vida” dijo Zhang. Este es un gran problema porque las huellas dactilares son moneda corriente en los pagos a través de dispositivos móviles y se utilizan para probar identidad, en inmigración y para antecedentes penales.

Los proveedores afectados ya han proporcionado los parches después de ser alertados por los investigadores pero deberán ser distribuidos a los clientes, un proceso que mediante OTA suele llevar bastante tiempo.

Los investigadores señalaron que el iPhone de Apple, que fue pionero en el sensor de huella digital moderno, es “absolutamente seguro” al menos a este ataque porque cifra los datos de la huella digital del escáner. Incluso si el atacante puede leer directamente el sensor, sin obtener la clave de cifrado, no podría obtener la imagen de la huella digital.

El problema no se limita a dispositivos móviles. Los investigadores advirtieron que muchos de los ataques también se aplican a los ordenadores portátiles de gama alta con sensores de huellas digitales.

Una estimación, de la que se hace eco ZDNet, calcula que para 2019 la mitad de los dispositivos incorporarán huellas entre sus funcionalidades.

Fuente: Segu.Info

Chrysler Retira 1.4 Millones de Autos tras Hack Remoto

Fiat Chrysler está retirando del mercado 1.4 millones de vehículos a raíz de un fallo de software que podría permitir a los hackers tomar el control remoto de un coche.

El fabricante de automóviles anunció el viernes que la retirada voluntaria de seguridad actualizará el software en alrededor de 1.4 millones de vehículos estadounidenses equipados con ciertos radios. La causa del problema radica en el sistema Uconnect, que permite a los usuarios de teléfonos inteligentes comunicarse con algunos coches de Fiat Chrysler a través de Internet utilizando la red de Sprint. La función permite a los propietarios activar de forma remota el motor, hacer un seguimiento de la ubicación de sus coches a través de GPS y aprovechar las diversas funciones antirrobo.

El error en el software del sistema Uconnect fue descubierto a principios de esta semana por dos investigadores de seguridad trabajando en conjunto con el escritor Andy Greenberg, de la revistaWired. Los investigadores fueron capaces de controlar de forma remota un Jeep a través de su dirección IP usando el Internet, lo que les permitió activar y desactivar los frenos, encender los limpiaparabrisas e incluso apagar el motor.

La vulnerabilidad subraya los riesgos y peligros inherentes que existen ahora que nuestros dispositivos y gadgets están mejor conectados entre sí, especialmente a través de un Internet abierto. Los fallos son pan de cada día en la vida de un software, pero en este caso, el error en este software en particular puede resultar mortal para un conductor.

Aunque Fiat Chrysler tomó la medida de sacar de circulación todos los vehículos afectados, la compañía ya ha tratado de abordar el problema y suavizar las preocupaciones de los propietarios de automóviles. La fabricante de automóviles dijo que ha aplicado “medidas de seguridad a nivel de su red” que impedirían el tipo de acceso de control remoto demostrado por los investigadores. Probadas y lanzadas el jueves por la red celular que utiliza Uconnect, estas medidas bloquean el acceso remoto a determinados vehículos, de acuerdo con Fiat Chrysler.

La compañía dijo que el hackeo demostrado por los investigadores requiere de un “conocimiento técnico único y extenso; del acceso físico prolongado a un vehículo y de largos períodos de tiempo para escribir código”.

Los vehículos afectados son aquellos equipados con pantallas táctiles de 8.4 pulgadas e incluyen los siguientes:

  • Vehículos especiales 2013-2015 MY Dodge Viper
  • 2013-2015 Ram 1500, 2500 y 3500 pickups
  • 2013-2015 Ram 3500, 4500, 5500 Chassis Cabs
  • 2014-2015 Jeep Grand Cherokee y Cherokee SUVs
  • 2014-2015 Dodge Durango SUVs
  • 2015 MY Chrysler 200, Chrysler 300 y Dodge Charger sedans
  • 2015 Dodge Challenger deportivos

Los clientes también pueden visitar la página de Uconnect software aquí para ingresar su número de identificación de vehículo (VIN, por sus siglas en inglés) para descubrir si su auto forma parte de esta retirada de vehículos. En lugar de llevar su coche a la distribuidora, los propietarios afectados recibirán un dispositivo USB que podrán usar para actualizar el software en cuestión. El USB también ofrece funciones adicionales de seguridad, dijo Fiat Chrysler.

Fuente: Cnet

Continuar leyendo

Samsung y Google publicarán actualizaciones mensuales para sus dispositivos Android

Samsung y Google mueven ficha. Las últimas vulnerabilidades en sistemas Android como el ya conocido Stagefright han conseguido que ambas firmas tomen la decisión de publicar actualizaciones para solucionar vulnerabilidades de forma mensual. Una decisión que puede estar destinada a revolucionar la seguridad de los dispositivos Android.

En un anuncio en su blog oficial, Samsung Electronics confirma que implementará un nuevo proceso de actualización de seguridad quedistribuirá actualizaciones de seguridad vía OTA (“over the air“) cuando se descubran nuevas vulnerabilidades. Estas actualizaciones ocurrirán regularmente aproximadamente una vez al mes.

Según Dong Jin Koh, vicepresidente ejecutivo y director de la oficina de investigación y desarrollo móvil de Samsung Electronics:

Con los recientes problemas de seguridad, nos hemos replanteado un enfoque para tener actualizaciones de seguridad en nuestros dispositivos de una manera más oportuna. Puesto que el software se explota continuamente en nuevas formas, el desarrollo de un proceso de respuesta rápida para ofrecer parches de seguridad para nuestros dispositivos es esencial para que estén protegidos. Creemos que este nuevo proceso mejorará enormemente la seguridad de nuestros dispositivos y tendrá como objetivo proporcionar a nuestros usuarios la mejor experiencia móvil posible.

El fabricante coreano confirma que se encuentra en conversaciones con operadores y socios de todo el mundo para implementar esta nueva política.

De forma similar, Google confirma que desde esta semana los dispositivos Nexus recibirán actualizaciones de seguridad vía OTA de forma regular cada mes. La primera actualización de esta clase se empezó a desplegar el miércoles día 5 para los Nexus 4 al 10 y Nexus Player. Esta actualización incluye la corrección para el comentado StageFright. Al mismo tiempo, los parches se liberarán al público a través del Android Open Source Project.

Los dispositivos Nexus continuarán recibiendo las actualizaciones principales durante al menos dos años y los parches de seguridad durante tres años desde la disponibilidad inicial o 18 meses desde la última venta del dispositivo en la Google Store.

Sin duda un movimiento que puede revolucionar a toda la industria y a fabricantes de dispositivos Android, muy acostumbrados al inmovilismo y a facilitar escasas (y tardías) actualizaciones del firmware de los dispositivos una vez que éstos han salido de sus instalaciones. Esperamos que Google y Samsung puedan llevar a cabo este movimiento de forma exitosa y que sirva como ejemplo y acicate para otros fabricantes.

Fuente: Hispasec

El hackeo de Ashley Madison pone en jaque a 37 millones de adúlteros

Un total de 37 millones de personas de todo el mundo están en jaque y no porque tengan dificultades para llegar a final de mes o porque se hayan quedado sin trabajo, sino porque el hackeo de la web de citas extramatrimoniales Ashley Madison puede poner fin a su matrimonio si el grupo The Impact Team decide airear los datos personales de todos los usuarios.

La petición de este grupo de hackers para no revelar los datos de todos los usuarios de esta conocida aplicación está ya sobre la mesa, y no es otra que cerrar y retirar todos los servicios de Ashley Madison, algo que parece poco improbable.

Para quien no conozca este servicio, bajo el lema “La vida es corta. Ten una aventura” ofrece la posibilidad a personas casadas de tener una aventura sexual al margen de su matrimonio, con la mayor de las discreciones y sin riesgo de ser descubierto por su actual pareja.

Según ha trascendido este ataque que ha puesto en la picota a una enorme cantidad de usuarios, se habría producido por el incumplimiento de Ashley Madison que ofrece eliminar todos los datos de cualquier usuario por 19 dólares, algo que según el grupo de hackers no cumple después.

“Gran parte de la población va a tener un día muy malo. Tenemos el conjunto completo de perfiles en nuestros volcados de la base de datos, y los publicaremos pronto si AM sigue online. Y con más de 37 millones de miembros, la mayoría de EE.UU. y Canadá, un porcentaje significativo de la población va a tener un día muy malo, incluyendo a gente muy rica y poderosa”

Este el mensaje del grupo de hackers que de momento ya ha publicado datos de varios usuarios, que ya han sido eliminados de la red. Sin embargo el miedo sigue metido en el cuerpo de muchos usuarios de este servicio, a la espera de que Ashley Madison tome una decisión o la policía consiga poner fin a todo esto.

Visto en: Actualidad Gadget

Continuar leyendo

Ebook Gratuito – Guía de Estudio para el CEH Certified Ethical Hacker

Después de muchos correos y amigos que nos pidieron textos sobre el CEH, acá les traigo una muy buena guía de estudio para lo que deseen prepararse para rendir el examen de certificación CEH. Si bien esta guía es para entrenarse para el CEHv6 les comento que es muy completa y les servirá también para la CEHv8 que es la actual con pequeñas modificaciones.

La guía esta muy bien estructurada en cuanto al contenido y cubre todos los temas importantes y claves para lograr la certificación CEH, desde la parte de obtención de información, escaneo de puertos, servicios y vulnerabilidades, hasta la parte de explotación, elevación de privilegios, mantener el acceso y borrado de huellas, con bastantes ejemplos y un examen de auto evaluación de lo aprendido en cada módulo que termines.

Si bien la certificación no es la mas fuerte a nivel técnico como otras del mercado, pero es una de las mas solicitadas a la hora de presentarse para cargos gerenciales y ejecutivos en Seguridad o como Pentester para prestar servicios a terceros, por lo que tenerla es mas que necesario.

Detalles del Libro:

Editorial: Wiley Publishing Inc.
Por: Kimberly Graves
ISBN: 978-0-470-52520-3
Año: 2011
Paginas: 439
Idioma: Inglés
Tamaño: 9.26 MB
Formato: PDF y EPUB