Un fallo de Mac podría dar a acceso a datos cifrados

Fuente: Yahoo! España.

El renombrado investigador de Mac Dino Dai Zovi presentó el fallo de software en la conferencia de seguridad Black Hat en Las Vegas, uno de los mayores encuentros del mundo para intercambiar información sobre amenazas en Internet.

Asisten unos 4.000 profesionales de seguridad, incluyendo a algunos que en realidad son hackers. Aunque los expertos buscan los fallos de software para arreglarlos y proteger a los usuarios, los hackers utilizan la misma información para idear bromas o cometer delitos.

En EEUU no es ilegal publicar software que pueda utilizarse para acceder a sistemas informáticos, aunque va contra la ley utilizarlo para entrar en ellos.

Los ataques contra ordenadores de Apple son extremadamente raros, pero los expertos en seguridad señalan que eso cambiará a medida que los Mac vayan ganando cuota de mercado frente a los PC, que funcionan con el sistema operativo Windows de Microsoft. En el último año se han identificado al menos tres virus que afectaban a Macs.

El más sofisticado de ellos se extiende a través de versiones pirateadas del programa iWorks de Apple. Estas versiones permiten a los ciberdelincuentes tomar completamente el control del equipo infectado.

Otro virus, OSXPuper a, se transmite a través de páginas infectadas que dirigen a los usuarios a descargas de lo que dicen es un reproductor de vídeo, pero resulta ser un software malicioso. Ese software puede entonces descargar otros tipos de virus.

Dai Zovi, investigador de seguridad y coautor de "The Mac Hacker's Handbook", dijo el miércoles que una vez los hackers empiecen a poner recursos sustanciosos en atacar los ordenadores de Apple, serán al menos tan vulnerables como los que llevan Windows.

"No hay un polvo de hadas mágico que proteja a los Mac", dijo en una entrevista.

La técnica que Dai Zovi presentó el miércoles - apodada "Machiavelli" - sólo funciona con máquinas que ya han sufrido ataques. Puede asumir el control del navegador Safari de Apple, robando datos encriptados de las cuentas bancarias de un usuario.

No se pudo localizar a un portavoz de Apple para hacer comentarios.

FALLOS DE SEGURIDAD

Apple es el cuarto fabricante de ordenadores más grande de EEUU, y sigue ganando cuota de mercado. En el segundo trimestre del año poseía el 9 por ciento del mercado estadounidense, según Gartner.

"Están avanzando. Nuestra preocupación es que no estén avanzando tan rápido como están ganando cuota de mercado", dijo Charlie Miller, coautor de "The Mac Hacker's Handbook".

Los autores del libro señalan que el sistema operativo de los Mac será fácil de dominar para los hackers una vez se concentren en él, ya que tiene mucho más código que Windows, lo que deja espacio para más vulnerabilidades y fallos que pueden aprovecharse.

Aunque en la actualidad hay una gama limitada de software malicioso dirigido a los Mac, los expertos temen que las cosas puedan cambiar con rapidez, dejando sin protección a millones de usuarios de Apple.

"Cuando los autores de 'malware' (acrónimo de software malicioso) den con algo que sea muy sofisticado, vamos a tener toda una población muy vulnerable", dijo Joel Yonts, un experto en seguridad de Mac que asiste a Black Hat.

Si usas Internet Explorer, abandónalo - al menos una temporada

Fuente: Blog de Enrique Dans.

No, no tiene nada que ver con tenerle manía a Microsoft, ni con tener predilección por Firefox, ni por fobias o filias de ningún tipo. Es una alerta de seguridad seria, recogida ya por medios de todo el mundo, que recomienda a los usuarios de cualquier versión del Internet Explorer de Microsoft que se cambien a cualquier otro navegador (Firefox, Opera, Chrome, Safari…) al menos hasta que la vulnerabilidad pueda ser corregida. En este momento, la cuota de mercado estimada para el navegador de Microsoft esta en torno al 70%, muchos millones de usuarios con su seguridad comprometida si entran en alguna de las páginas que aprovechan el agujero para acceder a sus ordenadores. En esta ocasión, además, la vulnerabilidad no fue descubierta por la propia Microsoft ni por analistas, sino por los crackers que ahora la están utilizando. El agujero afecta a varias versiones de MSIE incluidas las más recientes, y es mucho más grave de lo que se pensaba inicialmente.

Las preguntas ahora son múltiples: cuántos usuarios no llegarán siquiera a enterarse de una vulnerabilidad reconocida como seria por la propia Microsoft, cuánto tiempo tardará la empresa en ser capaz de corregir el problema, cuántos usuarios probarán otros navegadores al hilo de esta alerta, y por supuesto, cuántos se quedarán en ellos una vez que la vulnerabilidad sea corregida. La reacción de Microsoft, por el momento, ha sido negar la mayor: afirmar que el exploit únicamente está presente en un 0.02% de las páginas de la red, que no recomiendan cambiarse tan solo por este problema, y que están trabajando en un parche que estará listo en un tiempo muy breve. Mientras tanto, la empresa recomienda poner las opciones de seguridad del navegador en alta, cambiar a un perfil de usuario que no tenga privilegios de administración, usar el modo protegido, y tener actualizado tanto Windows como todo el software de seguridad: antivirus, anti-spywares y cortafuegos. Los analistas de seguridad y muchos medios de comunicación poco sospechosos de odiar a Microsoft, como la BBC , sin embargo, ante la magnitud de la vulnerabilidad y facilidad de instalación y configuración de navegadores alternativos, recomiendan el cambio de navegador, al menos de manera temporal.

• Información en Microsoft TechNet
• Información en TrendMicro
• Información en Secunia

Los navegadores NO SON una religión. Son programas que usas para leer páginas en Internet, nada más. Nadie te va a excomulgar ni te va a mirar mal porque te descargues otro navegador y lo uses hasta que se arregle este problema. Tu ordenador funcionará exactamente igual, y tu experiencia de navegación será seguramente parecida: si usas favoritos, la mayoría de los navegadores toman tus favoritos de la configuración del que tengas instalado. No estás obligado a fijar el nuevo como navegador por defecto si no quieres, y tu configuración seguirá exactamente como estaba. Todos los navegadores pueden tener problemas de seguridad, esto no quiere decir que Microsoft sea malo malísimo, no estamos insultando a nadie, le puede pasar a cualquier empresa y producto.

Microsoft confirma una vulnerabilidad crítica en todos su IE

Fuente: the INQUIRER.

Microsoft ha confirmado que existe un problema sin parchear en Internet Explorer 7 que usuarios malintencionados podrían explotar. La confirmación se extiende aún más al confirmar que el mismo problema afecta a las versiones anteriores del navegador e incluso a la versión beta 2 de Internet Explorer 8.

Mientras parchean el bug recomiendan encarecidamente deshabilitar el archivo Oledb32.dll para permanecer seguros.

Un investigador de seguridad danés ha informado del problema a Microsoft y de que la medida original que Microsoft estaba tomando era insuficiente para solucionar el problema. En una auditoría de seguridad han confirmado que el bug se extiende a TODOS sus navegadores.

Microsoft ha confirmado que están trabajando activamente junto con sus compañeros del Microsoft Active Protections Program (MAPP) y su programa Microsoft Security Response Alliance (MSRA) para disponer de información que puedan usar para ofrecer mejor protección para sus usuarios. Mientras llega la solución Microsoft está monitorizando el horizonte de amenazas para tomar acción sobre sitios que intenten explotar dicha vulnerabilidad. Si aún alguien duda de que existen mejores opciones que las de Microsoft, es un buen momento para probar otras opciones.

Grave vulnerabilidad moviliza a los grandes de Internet

Fuente: HispaMp3.

Las principales compañías informáticas del mundo, como Microsoft, Sun Microsystems y Cisco, han trabajado en la corrección de un importante fallo de seguridad que afecta a Internet en todo el mundo, y distribuyen un parche para corregirlo.

(AFP) e trata de un error en el sistema de nombres de dominio (DNS, por sus siglas en inglés) descubierto hace ya seis meses por el experto en seguridad `online` Dan Kaminski, de IOActive. El sistema DNS es aquel que permite `traducir` los nombres de dominios de Internet en un sistema numérico (`193.110.128.200`), similar a los números de teléfono.

El error descubierto podría haber permitido a los delincuentes informáticos redirigir cualquier dirección de Internet a otros sitios falsos, incluso si la víctima teclea de manera correcta dicha dirección en el navegador.

Según informa la agencia AFP, los grandes grupos de Internet han trabajado en silencio durante meses para desarrollar una solución. De esta manera, los parches se están liberando esta misma semana, y de manera general se está realizando a través de las actualizaciones automáticas de los sistemas operativos.

El riesgo más importante de este grave agujero de seguridad es el de posibles ataques de `phishing`, es decir, la simulación de sitios web falsos con formularos (por ejemplo, aquellos que simulan páginas de bancos o comercios `online`) para captar datos personales de internautas, como números de tarjetas de crédito u otros datos sensibles. También podría permitir el robo de claves de e-mail.

"Nunca se había realizado una operación de seguridad de esta magnitud", comentó el Kaminsky, que ha creado un sitio (www.doxpara.com) para permitir a los usuarios de Internet para poner a prueba su vulnerabilidad frente a esta amenaza.

"Ésta es una cuestión fundamental que afecta toda la arquitectura de Internet", comentó por su parte el experto en seguridad Rich Mogull, de Securosis. "La gente puede estar preocupada pero no debe cundir el pánico, porque hemos invertido la menos cantidad de tiempo que hemos podido para probar y aplicar el parche", comentó Kaminsky.

Kaminsky y otros 16 investigadores han estado trabajando desde marzo en el campus de Microsoft en Redmond para arreglar la vulnerabilidad, en un esfuerzo de colaboración sin precedentes.

En general, los expertos en seguridad venden a las compañías detalles sobre las vulnerabilidades que descubren, pero Kaminsky decidió actuar de manera discreta debido a la importancia de la cuestión.

"Descubrí este fallo por casualidad, mientras investigaba algo que nada tenía que ver con la seguridad", comentó. "Este problema no sólo afecta a Microsoft y Cisco, sino que afecta a todo el mundo", dijo, aunque evitó cualquier precisión técnica para evitar dar ideas a los `crackers`.

Por primera vez, los principales gruposinformáticos mundiales han decidido unirse en el lanzamiento simultáneo de los parches para todas las plataformas, que debe proteger a la mayoría de los usuarios. Los detalles técnicos serán publicados en un mes, para dar tiempo suficiente a la instalación de dichos parches.

Jeff Moss, fundador de la conferencia Black Hat, se felicitaba por esta acción mundial de seguridad. "Estamos siendo testigos de la difusión masiva de un parche por parte de múltiples proveedores para luchar contra un error que, por ejemplo, podría haber permitido a alguien redirigir la dirección Google.com donde él quería".

"Lo que ha hecho Dan es muy importante para la estabilidad de Internet. No me atrevo a pensar en la cantidad de dinero que habría ganado si hubiera querido vender esta vulnerabilidad. Prefirió advertirlo de manera pública. ¡Tengo que pagarle una cerveza!", afirmó Moss.

Un fallo de diseño en los routers caseros facilita los ataques remotos

Fuente: the INQUIRER.

Expertos en seguridad han descubierto que un fallo en el UPnP hace que los routers domésticos sean hackeados y redireccionados a páginas web fraudulentas.

El exploit funciona incluso cuando el usuario ha cambiado la contraseña que trae por defecto el router y es independiente del sistema operativo o del navegador al que esté conectado el dispositivo, siempre y cuando tenga instalada una versión reciente de Adobe Flash.
El problema ha sido calificado de “grave” por Adrian Pastor, de la organización GNUCitizen. Reside en el Universal Plug and Play (UPnP), una arquitectura de software abierta presente en la mayoría de los routers domésticos y que se utiliza para que los equipos puedan hacer funcionar juegos, programas de mensajería instantánea y otras aplicaciones. Cuando el usuario está expuesto a un archivo Flash maligno escondido en una página web, los atacantes pueden utilizar la UPnP para modificar el router.
El ataque más serio que puede hacerse es cambiar los servidores que el router utiliza para acceder a las páginas web. Esto podría llevar al usuario a páginas de bancos que parecen verdaderas pero que no lo son y que van a robarle sus datos personales.
Entre los routers vulnerables se encuentran los de las marcas Linksys, Dlink y SpeedTouch. La mayoría de los routers vienen con la UPnP habilitada de fábrica. La única forma de evitar estos ataques es apagando la función, algo que puede hacerse en algunos dispositivos, pero no en todos.

Tu teclado inalámbrico, vulnerable a ataques

Fuente: the INQUIRER.

Según un grupo de investigadores de la empresa Dreamlabs Technologies, la tecnología inalámbrica de 27 MHz utilizada en teclados y ratones inalámbricos es un peligro para nuestra seguridad: cualquiera puede espiar lo que escribimos.

En un documento de dos de los miembros de dicha empresa - disponible en PDF - se demuestra que las señales enviadas por teclados inalámbricos como los modelos Microsoft Wireless Optical Desktop 1000 y 2000 están prácticamente libres de protección.

Únicamente se aplica un pequeño offset de un byte, lo que significa que sólo hay 256 claves de cifrado posibles, y que con algunos intentos cualquier curioso podría acceder a las pulsaciones de estos teclados.

En el documento se indica que no existe aún ningún programa o Prueba de Concepto (POF) que explote este sistema, pero no sería difícil lograrlo para alguien interesado en tales propósitos. Afortunadamente, el rango de acción de dichas señales es muy corto - en muchos casos, apenas 1 metro - de modo que el atacante debería estar muy cerca para poder acceder a este objetivo.

Google Presentations: problemas de privacidad

Fuente: the INQUIRER.

La nueva herramienta para la creación de presentaciones de Google deja al descubierto las cuentas de los usuarios de Google.
La vulnerabilidad se produce tanto si estás mirando la presentación como si no. En su blog Zorgloob, TomHTML ha explicado el problema de forma sencilla: “Lo que ocurre es que las presentaciones creadas por la herramienta de Google contienen por defecto un espacio para la discusión basado en Google Talk. Cualquiera que tenga una cuenta Google y haya alguna vez participado en el chat, aparecerá automáticamente en la presentación cada vez que se inicie esta, dejando al descubierto su dirección. La única forma de evitar que vuestra información sea visible es desconectaros de vuestra cuenta Google cuando naveguéis por Internet. Otra opción es desactivar las cookies, aunque esta opción no es tan fiable”.
Según Google Blogscoped, este problema puede darse en cualquier otro producto individual de Google, debido a su modelo de Cuentas de firma única. En el caso de Presentations, el problema es sólo de privacidad y no de seguridad, pero es muy probable que no siempre se tenga tanta suerte.

Vulnerabilidades en los micros multicore

Fuente: the INQUIRER.

Un investigador especializado en temas de seguridad informática ha descubierto un nuevo tipo de vulnerabilidad que afecta específicamente a los procesadores con varios núcleos, y que se aprovecha de la concurrencia de los procesos para saltarse la protección de los antivirus.

Robert Watson ha desarrollado un estudio según el cual un programa podría atacar al sistema justo aprovechando el hecho de que en este tipo de procesadores el software que utiliza cada núcleo se puede ejecutar sin interferencias. En ese momento sería posible cambiar el tráfico de datos, algo que podría poner en peligro cualquier aplicación. La técnica se basa en los llamados ’syscall wrappers’, un componente que analiza las llamadas al sistema que realiza la aplicación y que se puede ‘trucar’ para que funcionen de forma peligrosa.

Watson demostró que existen formas relativamente sencillas de aprovechar esta circunstancia, y que debido a ello es necesario modificar el código de estas aplicaciones.

Vulnerabilidad crítica en Yahoo! Messenger

Fuente: Hispasec Sistemas.

Una vulnerabilidad en el popular cliente Yahoo! Messenger podría comprometer los sistemas de forma remota al aceptar una invitación de conexión por webcam. A falta de la publicación de un parche por parte de Yahoo!, se recomienda a los usuarios tomen algunas medidas de prevención.

Según se ha publicado en el blog de McAfee Avert Labs, los detalles del exploit para aprovechar la vulnerabilidad se publicaron en algunos foros de seguridad en China, y ha podido ser reproducido con éxito en Yahoo! Messenger versión 8.1.0.413.

A falta del parche, las recomendaciones para prevenir incidentes son:

* No aceptar invitaciones por webcam de terceras partes no confiables

* Bloquear el tráfico de salida en el puerto TCP/5100

Esperamos que, hasta la publicación de una actualización, los usuarios de Yahoo! Messenger puedan resistirse a las invitaciones por webcam, por muy sugerentes que éstas puedan ser.

Grave vulnerabilidad en VMware 6... para Windows

Volvemos una y otra vez al dichoso debate de la seguridad de Windows frente a la de otros sistemas operativos, pero es que cada día surgen nuevos ejemplos que vienen a demostrar que las mismas aplicaciones pueden ser vulnerables o no dependiendo de si corren sobre Windows o no.

Así, y con el peligroso bug de Firefox-Explorer-Windows aún pendiente, surge hoy una grave vulnerabilidad en VMware 6 con parecidas particularidades: sólo existe en Windows XP y el exploit utiliza ficheros de Office.

Las consecuencias, también las mismas: ejecución de código arbitrario, con los privilegios del usuario... que en Windows XP suele ser Administrador, wow!...

Fuente: Kriptopolis.

Vulnerabilidad en Firefox: una puerta abierta a tu PC

Varios expertos en seguridad han descubierto una vulnerabilidad 'zero-day' en este navegador que afecta a la versión para Windows y que permite a los hackers controlar nuestro PC remotamente.

El fallo reside en los llamados Uniform Resource Identifiers, que se encargan de permitir a Firefox acceder al software y a otros recursos del PC. La identificación incorrecta de algunos URIs provoca que si accedemos a ciertos sitios web especialmente diseñados para ese propósito el hacker gane acceso completo al PC.

Según The Register, los URIs se están convirtiendo en un problema para Firefox, que ya solventó un problema relacionado con este protocolo la semana pasada.

Si tenéis instalada la extensión NoScript de Firefox estáis a salvo, ya que este plugin se encarga de controlar precisamente la ejecución de los llamados ataques 'cross-site scripting'.

Fuente: the INQUIRER.

Primera vulnerabilidad seria en el iPhone

Mientras en el popular iPhone Dev Wiki comienza a hablarse del primer programa no autorizado por Apple que puede ser ejecutado en el iPhone, The New York Times acaba de hacerse eco de la que puede ser la primera vulnerabilidad grave descubierta en el iPhone, que permite apoderarse por completo del aparato a partir de una simple visita a una web maliciosa.

El compromiso del iPhone puede partir también de la apertura de un enlace en un correo electrónico o un SMS, o de la conexión a un punto de acceso inalámbrico controlado por el atacante. En cualquier caso, a través del navegador Safari se produce la ejecución del código malicioso con privilegios de administrador...

En la prueba de concepto realizada, el fallo permite al atacante leer los mensajes de texto, la agenda de direcciones, el historial de llamadas y acceder a datos del buzón de voz. A continuación el iPhone transmite toda esa información al atacante. No obstante, cualquier cosa que el iPhone pueda hacer puede ser explotada también por un atacante: grabar conversaciones y enviarlas, robar contraseñas de correo, etc.

Además, los descubridores afirman que la vulnerabilidad explotada está también presente en las versiones de Safari para Windows y Mac, si bien no han verificado su explotabilidad en esas plataformas.

El descubrimiento procede de la empresa norteamericana ISE (Independent Security Evaluators), cuyo principal analista es Charles Miller, un doctor en informática que ha trabajado anteriormente para la NSA.

El hallazgo ha sido remitido a Apple y parece totalmente creíble, aunque los detalles se revelarán la semana próxima en BlackHat.

Fuente: Kriptopolis.

Nueva vulnerabilidad crítica en Firefox

Secunia ha publicado una vulnerabilidad crítica descubierta en Firefox 2.0.x, dando un total de 8 (sobre 12) agujeros de seguridad sin parchear (superando, por el momento, los de IE 7). El error, que aparentemente sólo afecta a la versión para Windows, se ejecuta al escribir una URL tipo "firefoxurl://" en Internet Explorer, pero sólo afecta al navegador libre. La única solución ofrecida hasta ahora es "no navegar por ninguna web que no sea de confianza" (o usar otro navegador más seguro :) ). Más información y pruebas de concepto.

Fuente: Barrapunto.

Vulnerabilidades en procesadores Intel Core 2

Vía Slashdot me entero de que Microsoft ha publicado un parche para algunos de los últimos procesadores de Intel. Theo de Raadt, fundador de OpenBSD, ha dado más detalles de algunos de estos importantes fallos hardware, algunos de los cuales puede que no sean solventables, que afecten a cualquier sistema operativo y que sean explotables por código de usuario. La cosa no está muy clara y aún no ha habido pronunciamiento oficial de Intel.

Fuente: Barrapunto.

Vulnerabilidades “zero day” en IE y Firefox

Michael Zalewski reportó públicamente varias vulnerabilidades del tipo Zero day en Microsoft Internet Explorer y Mozilla Firefox. Las mismas podrían permitir acciones como la descarga y ejecución de archivos, la falsificación de sitios web (phishing), o ataques de denegación de servicio (DoS). La primera de ellas afecta al Internet Explorer 6 y 7, con todos los parches al día.

Se produce por una “Race condition” o “condición de desincronización”. Este tipo de vulnerabilidades ocurren cuando un evento se lleva a cabo fuera del periodo previsto, con un resultado imprevisible.

En este caso, se produce durante la actualización de una página web, y está relacionada con el uso de JavaScript no seguro. Puede permitir acciones como el robo de cookies, la inyección de scripts maliciosos, o el secuestro de una página web.

También se produce una corrupción en la memoria utilizada por el programa, provocando una denegación de servicio (el programa deja de responder).

La segunda vulnerabilidad, del tipo Cross-Site-Scripting (XSS), afecta a Firefox, y permite eludir las restricciones del navegador para ejecutar scripts (archivos de comandos).

Esto podría ser utilizado para inyectar código malicioso en el equipo (por ejemplo keylogers y otros troyanos). Afecta a Firefox 2.0.0.4 inclusive, y es una variante de otra previamente reportada y solucionada en versiones anteriores.

La tercera vulnerabilidad, también relacionada con Firefox, habilita la descarga y ejecución de archivos sin el conocimiento del usuario.

El problema se produce en una característica implementada en algunas ventanas de diálogo de Firefox, para permitir cierto retraso en la descarga de archivos hasta que la misma es confirmada. La vulnerabilidad afecta a Firefox 2.0.0.4 y anteriores.

La cuarta vulnerabilidad afecta a Internet Explorer 6. Permite simular una barra de direcciones falsa y su contenido, pudiendo ser utilizada para ataques de phishing. Microsoft Internet Explorer 7 es inmune a este fallo.

Otros productos podrían ser afectados por algunas de estas vulnerabilidades, pero no se han realizado pruebas al momento de publicarse esta alerta.

Se han publicado en Internet, pruebas de concepto de estas vulnerabilidades.

Tanto Microsoft como Mozilla están enterados de los problemas y se espera que en próximas actualizaciones los corrijan.

Notamental: se define como “Zero Day” (o Día Cero), a cualquier exploit que no haya sido mitigado por un parche del vendedor.

Fuente: Climbo.

Nuevas vulnerabilidades en los servicios de Google

Me entero por The Register que han aparecido varias vulnerabilidades de Google a lo largo de esta última semana, por ejemplo un agujero de seguridad en el Desktop de Google que permite al atacante ejecutar cualquier archivo en el terminal del usuario. También, entre otras, apareció una vulnerabilidad de XSS en Gmail que deja a un atacante tener acceso o suprimir un email del usuario. El que descubrió que la vulnerabilidad de escritorio de Google explicó los detalles. Es un ataque tipo man in the middle (MITM) que mediante código fuerza al usuario a clicar sobre un resultado del Google Desktop. El ataque XSS sobre Gmail era más serio que el del Google Desktop, ya que permitía que el atacante hackeara la sesión de gmail a través de una visita a una web maliciosa por parte del usuario. Afortunadamente Google ya ha comunicado que esto ha sido solucionado.

El agujero más interesante está en una herramienta que los webmasters usan para hacer que sus páginas no aparezcan en las búsquedas. Cualquiera podría ir al arbol de directorios para ver los archivos en el servidor de Google, incluso los que están ocultos a la vista. Por ejemplo 0×000000 fue capaz de encontrar el password de una de las bases de datos de Google simplemente bajándose un archivo.

Fuente: Barrapunto.