Actualización crítica (¡y de emergencia!) de Adobe Flash

Ayer se han publicado actualizaciones de seguridad para Adobe Flash Player en Windows, Macintosh y Linux, que proveen un segundo parche a la vulnerabilidad CVE-2014-8439. Esta había sido parcheada en la actualización del 14 de octubre, pero al parecer, un exploit funcionaba de igual forma, por lo que la falla tuvo que ser reparada de nuevo.

La vulnerabilidad en cuestión podía permitir la ejecución de código, por lo que esta nueva actualización ha sido catalogada como crítica y se insta a todos los usuarios a que la descarguen en forma urgente. Según el informe, Adobe Flash instalado en Google Chrome e Internet Explorer será automáticamente actualizado, mientras que en Windows y Mac se deberá actualizar a la versión 15.0.0.239. En tanto, a Linux le toca la 11.2.202.424.

A continuación pueden ver la lista de versiones afectadas:

Para protegerse de esta vulnerabilidad, les recomendamos seguir este tutorial para comprobar que Adobe Flash está actualizado y habilitar la función click-to-play, escrito por Sébastien Duquette, Investigador de ESET y uno de los que reportó la falla a Adobe contribuyendo a proteger a los usuarios.

Las vulnerabilidades en Flash son cada vez más aprovechadas por exploit kits para distribuirmalware, por lo que es importante usar una versión actualizada -basta ver la frecuencia con la que la compañía se ve obligada a lanzar nuevas actualizaciones. Los exploit kits hacen que los visitantes de un sitio queden infectados en el momento en que se detecta que están utilizando programas con vulnerabilidades.

Sébastien Duquette, que sigue de cerca su comportamiento, afirma: “Parece claro que Flash ha reemplazado a Java como blanco de exploits en la web: la última vez que un nuevo exploit de Java fue añadido a un exploit kit fue hace más de un año. Esta es la sexta falla en Flash que se añade a un exploit kit en el último año, y hay otras vulnerabilidades en Flash como CVE-2014-0502 que no han sido añadidas pero se han explotado en ataques dirigidos”.

Créditos imagen: ©JD Hancock/Flickr

Autor Sabrina Pagnotta, ESET

Los vehículos autónomos también podrían ser hackeados

Los autos sin conductor están cada vez más cerca de ser una realidad, mientras el gobierno del Reino Unido invierte alrededor de 15.6 millones de dólares para que se hagan pruebas piloto en las ciudades el próximo año. Pero el Instituto de Ingeniería y Tecnología (Institute of Engineering and Technology o IET) del país alertó sobre la seguridad de esta tecnología.

Según reporta Mashable, Hugh Boyes, del IET, afirmó que el software tendrá que ser más robusto y confiable antes de que esta tecnología salga al mercado. Dijo: “Reportes recientes analizando elsoftware muestran que el 98% de las aplicaciones tienen serios defectos, y en muchos casos hubo entre 10 y 15 por aplicación. Si a la larga quieren usar vehículos autónomos, necesitamos asegurarnos de que no tienen defectos”.

La mayor preocupación de Boyes es la probabilidad que tienen estos sistemas de sercomprometidos, sobre la cual la industria automotriz no está bien informada -ya que se concentra más en la seguridad del auto en sí mismo. Pensemos las consecuencias que podría tener el hecho de que estos autos sean controlados remotamente por un cibercriminal. Podría haber “caos” si los atacantes pudieran comprometer fácilmente a los conductores de vehículos: “Si los cibercriminales empiezan a apuntar a vehículos en Londres, nos podemos imaginar un caos considerable en las calles. El terrorismo es un riesgo real, por lo que la ciberseguridad de los vehículos autónomos será crítica. Y tendremos que considerar tener cajas negras en los vehículos en caso de incidentes”.

Boyes agregó: “Si solo un vehículo de entre 100, o uno en mil, es interferido y deja de funcionar como se espera, podemos esperar que haya un caos en las calles. No queremos estar en ese lugar”.

Este es uno más de los puntos a considerar en lo que refiere a seguridad de dispositivos y sistemas que conformarán el Internet de las Cosas. Si bien es importante que la tecnología siga avanzando y nos dé cada vez más posibilidades, no hay que perder de vista que los cibercriminales seguirán buscando la forma de acceder a los sistemas informáticos y a las redes por las que se transmiten datos. Basta recordar la investigación del argentino César Cerrudo, que encontró la forma devulnerar los sistemas de control de tráfico inteligentes de grandes ciudades de Estados Unidos, Francia, Australia, Reino Unido y otros países.

La potencial amenaza de que se comprometan los sistemas podría poner en riesgo las garantías de seguridad de la tecnología de autos sin conductor, lo que constituye en verdad uno de los principales motivos por los que son atractivos. Tech Times reporta que en un millón de millas recorridas a modo de prueba, los coches autónomos solo vieron un accidente -y fue cuando un conductor humano tomó el control.

De hecho, The Guardian afirma que los vehículos autónomos podrían ser “malos ejemplos” para sus conteapartes humanos, ya que las investigaciones demuestran que los conductores humanos “cambian su comportamiento al recorrer el mismo camino que los coches autónomos, copiando los estilos de manejo y dejando menos espacio respecto al auto de adelante”. Los sensores de los vehículos autónomos permitirían reacciones instantáneas, mucho más rápidas que las de un piloto humano.

Autor Editor, ESET

Google publica Chrome 39 y corrige 42 vulnerabilidades

Google ya no sorprende con sus actualizaciones de Chrome, prácticamente todos los meses nos ofrecen una nueva versión. En octubre publicaba Chrome 38, y poco más de un mes después anuncia la nueva versión 39 del navegador. Se publica la versión 39.0.2171.65 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 42 nuevas vulnerabilidades.

Según el aviso de Google se ha incluido el soporte para 64 bits en Mac, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 42 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 42 vulnerabilidades, solo se facilita información de 13 de ellas.

Una vulnerabilidad de falsificación de la barra de direcciones (CVE-2014-7899), un error que permite la navegación a los intentos que no tienen la categoría de navegable (CVE-2014-7905), una vulnerabilidad de doble liberación en Flash (CVE-2014-0574) y otro problema por memoria sin inicializar en Skia (CVE-2014-7909).

Otras vulnerabilidades están relacionadas con el uso después de liberar memoria en pdfium (CVE-2014-7900 y CVE-2014-7902), en plugins pepper (CVE-2014-7906) y en blink (CVE-2014-7907). Dos vulnerabilidades por desbordamiento de entero en pdfium (CVE-2014-7901) y en media (CVE-2014-7908). Y vulnerabilidades de desbordamiento de búfer en pdfium (CVE-2014-7903) y en Skia (CVE-2014-7904).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-7910). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 41.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Fuente: Hispasec

Uno de cada 8 usuarios no cree en ciberamenazas

Según una encuesta conjunta realizada por B2B Internacional y Kaspersky Lab [PDF], el 13% de los usuarios de Internet no cree que los ataques cibernéticos sean reales. Sienten que la amenaza es una exageración de las empresas de seguridad para Internet."Sin embargo, esa autosuficiencia los deja sin ningún tipo de protección contra un riesgo que amenaza sus datos y vidas virtuales cada día", escribe Kaspersky Lab.

De acuerdo con las estadísticas, incluso las personas que aceptan que las ciberamenazas son reales no siempre están convencidas que necesitan protección contra las mismas. "Sin embargo, en la realidad el dispositivo de cualquier persona puede ser de interés para los atacantes. Aun cuando el propietario no almacene datos valiosos en el dispositivo y no realice transacciones financieras en línea, los ciberdelincuentes pueden hacer uso de cualquier computador, smartphone o tableta – quizás convirtiéndola en un bot que envíe spam, llevar a cabo ataques DDoS o enviar enlaces de phishing a través de mensajería instantánea y correo electrónico", explica Karspersky.

Casi un tercio (32%) de los usuarios no siente preocupación ante la posibilidad de que sus cuentas en línea pudieran estar comprometidas, o están incluso ajenos a este riesgo. Lo más importante es que esto no sólo aplica a páginas personales en sitios de redes sociales sino a cuentas bancarias en línea, que podrían entregar las finanzas personales del usuario a un ciberdelincuente. Sin embargo, muchas personas sienten que las pérdidas financieras resultantes de ataques cibernéticos son extremadamente poco probables – el 42% de los encuestados no conocen o no están preocupados por la posibilidad de tales pérdidas. Ante ello, Kaspersky comenta: "Una cosa de la que no se dan cuenta es que tales pérdidas no forzosamente se pueden deber al robo directo de dinero de sus cuentas bancarias. Una infección por malware también puede conducir a gastos imprevistos, incluyendo costos relacionados con los servicios de un especialista en TI, la reinstalación de software o la indisponibilidad temporal de un dispositivo. En general, el 21% de los encuestados que han tenido malware en sus dispositivos han incurrido en pérdidas como resultado del incidente".

Según los resultados de la encuesta, el 20% de los encuestados no están conscientes que el uso de redes Wi-Fi públicas es arriesgado porque los datos que se envían a través de estas redes pueden ser interceptadas por ciberdelincuentes. Una proporción ligeramente mayor de usuarios, el 27%, están conscientes de esta amenaza, pero no creen que se deben preocupar por ello. Al mismo tiempo, el 55% de los encuestados utilizan redes públicas y 12% introducen sus credenciales en sitios web mientras están conectado a una red pública.

"Las personas que piensan que están seguras, porque los ciberdelincuentes no los molestarán o que no estarán interesados, simplemente no entienden la naturaleza de las amenazas en línea. Los hackers no suelen centrarse en objetivos específicos, tratan de tener tantas víctimas como sea posible. Esta es la razón por la que resulta muy arriesgado utilizar Internet sin una solución de seguridad", dice Elena Kharchenko, Jefa de Administración de Productos de Consumo, Kaspersky Lab.

Fuente: DiarioTI

Ciberataque el correo del Departamento de Estado de EE.UU.

El Departamento de Estado estadounidense confirmó ayer que sus sistemas de correo electrónico no confidenciales fueron víctimas de un ciberataque en las últimas semanas, en el mismo periodo de tiempo en el que fueron violados los sistemas de la Casa Blanca, aunque agregó que no hay datos clasificados comprometidos.

El Departamento cerró parte de su sistema no confidencial el fin de semana con el objetivo de mejorar su seguridad y aseguró que éstos "deberían estar funcionando en poco tiempo", aunque declinó hacer estimaciones al respecto.

Como resultado del cierre, los empleados del Departamento de Estado no pueden acceder a Internet a través de su sistema no confidencial o recibir correos electrónicos seguros desde afuera de la agencia. Los correos internos del Departamento, por su parte, continúan fluyendo.

"El Departamento de Estado, como cualquier otra organización de envergadura global, es un objetivo constante de ciberataques", explicó el portavoz del organismo gubernamental, Jeff Rathke. "Detectamos actividad preocupante hace varias semanas", manifestó.
Según Rathke los sistemas confidenciales del Departamento de Estado no fueron violados y señaló que"no hay razones para creer que información clasificada estuviera comprometida".

Por otra parte, el portavoz también afirmó que el ciberataque era parte del mismo incidente sobre el que ya informó recientemente la Oficina Ejecutiva del Presidente en la Casa Blanca.

Fuente: MinutoUno

una nueva actualización lo hará posible WhatsApp recula y permitirá desactivar el doble 'check' azul

La implementación de los checks azules en WhatsApp ha generado tal controversia entre los usuarios de la aplicación que la compañía ya está preparando una nueva actualización, en la que se permita desactivar esta nueva marca que notifica la lectura del mensaje.

WhatsApp todavía no ha confirmado nada al respecto, aunque, según han compartido algunos de los tester de la app, la compañía planea incorporar una opción por la que los usuarios pueden decidir si quieren tener activada o no la confirmación de lectura del mensaje.

La aparición por sorpresa de las dos palomitas de color azul en la popular aplicación ha generado todo tipo de reacciones. Para unos, supone la implementación de una nueva función que ya pedían desde hacía tiempo.

Para otros, plantea la intromisión en la privacidad de las personas, ya que da un paso más en el control del uso que hacen de la app los clientes por sus contactos.

Cómo huir del signo azul

No obstante, desde el mismo momento en que la nueva característica ha aparecido en los móviles de los usuarios, las trampas para escapar de la notificación tampoco se han hecho esperar.

De momento, la mejor opción para evitar esta invasión de la privacidad es no actualizar a la última versión. Los usuarios de Android que ya lo hayan hecho siempre pueden desinstalar la aplicación y descargar una versión antigua de un sitio de confianza en internet.

Para aquellos que no puedan o quieran instalar una versión anterior, siempre pueden echar mano del modo avión. Al activar esta opción se deja de estar conectado a internet, por lo que se puede entrar en la app, leer todos los mensajes. Al salir (y muy importante, cerrar la aplicación) desactiva este modo y WhatssApp será incapaz de decir a nuestros amigos si hemos leído o no sus textos.

fuente: El Confidencial

iOS 8: cómo cambiar el motor de búsqueda de Safari para más privacidad

Si eres uno de los millones de los usuarios de iPhone y iPad que lograron actualizarse a iOS 8, ¡felicitaciones! Se dice que la nueva versión del sistema operativo móvil de Apple brinda muchas características necesarias (incuyendo un teclado mejorado y mejor soporte de extensiones), así como también se agregaron arreglos en la seguridad.

Por supuesto, no se sorprendan si Apple lanza pequeñas actualizaciones en las próximas semanas ya que en el pasado, las nuevas versiones de su sistema operativo han presentado bugs, incluyendo fallas que permitían a usuarios no autorizados sobrepasar la pantalla de bloqueo,pudiendo hacer llamadas o acceder a los contactos.

Pero este artículo no se trata de cuestiones de seguridad, sino más bien sobre la privacidad. Porque con iOS 8, Apple ha presentado una nueva opción importante en su navegador web Safari. Por primera vez, puedes seleccionar si quieres cambiar el motor de búsqueda por defecto de Google a cualquier otro. Las opciones son: Google, Bing, Yahoo y DuckDuckGo.

Ahora, al menos tres de esos motores de búsqueda son muy conocidos… y luego está Bing. Hablando en serio, dejen de burlarse de Microsoft. Estoy seguro de que algunas personas aman Bing.

No, el motor de búsqueda al que quiero que le presten atención es DuckDuckGo. Este motor de búsqueda se ha ido ganando un nombre por sí mismo, porque no recolecta ni comparte tu información personal o lo que buscas en Internet. Se proclama a sí mismo como “el motor de búsqueda que se focaliza en respuestas inteligentes, menor confusión y privacidad real”. A diferencia de Google, por ejemplo, que sabe más sobre ti que tu pareja.

Cuando buscas en Google, estás ayudando a alimentar con información a una de las redes de publicidad más exitosas del mundo. Y no olvidemos que Google ha sido multado con millones de dólares por haber salteado los ajustes de Safari sobre el rastreo de usuarios para mostrarles publicidad.

DuckDuckGo, por otra parte, afirma no hacer ningún tipo de rastreo, además de no almacenar información personal de los usuarios tales como direcciones IP.

Si deseas cambiar el buscador utilizado por Safari en iOS 8, así es como puedes hacerlo:

• Ve a “Ajustes”
• Ingresa a Safari
• La primera opción que debería aparecer es “Motor de Búsqueda”, donde podrás saber cuál es tu motor de búsqueda vigente, y cambiarlo si así lo deseas

Simple.

¿Por qué no querrías cambiar tu motor de búsqueda?

Hasta ahora he explicado por qué querrías cambiar el buscador que el navegador Safari usa en tusmartphone. Pero aquí vienen los motivos por los cuáles podrías pensar que no es una buena idea.

En primer lugar, familiaridad. A la gente le gusta aquello a lo que está acostumbrada y en general es resistente al cambio (¿recuerdan el “furor” cuando Apple presentó la interfaz gráfica minimalista para iOS 7?).

Si estás acostumbrado a ver tus resultados de búsqueda desplegados de una manera particular, por ejemplo la de Google, quizás no estés tan feliz con lo que DuckDuckGo tiene para ofrecer. DuckDuckGo puede ofrecer mejor anonimato, pero también es menos atractivo.

Pero quizás algo más importante que la familiaridad es la calidad de los resultados de búsqueda. Google es un motor de búsqueda fenomenal, y fue lo que ha llevado a la compañía a ser uno de los negocios de tecnología más exitosos del mundo. DuckDuckGo por su parte, tiene menos recursos.

Sí tiene la capacidad de explorar las páginas, pero no está ni cerca de tener la potencia que tiene Google. Por esta razón, DuckDuckGo es muy dependiente de fuentes externas tales como Wikipedia y WolframAlpha para generar sus resultados.

No me sorprendería si mucha gente elige probar DuckDuckGo porque siente como que “es hacer lo correcto” en esta era en la que hay mucha conciencia sobre la privacidad. Pero tampoco me sorprendería que dejaran de utilizarlo como consecuencia de no recibir la misma calidad de los resultados.

Pero no deberían tomar esa decisión sin antes haberlo intentado por ustedes mismos. Las buenas noticias son que si terminan decidiendo que no les gusta un motor de búsqueda en particular para el navegador de su iPhone, fácilmente pueden cambiar por uno alternativo. Esperemos que aquellos motores de búsqueda que están preparados para proteger la privacidad de los usuarios sean soportados correctamente, y que continúen ofreciendo sus servicios en los años venideros.

Traducción del post de Graham Cluley en We Live Security.

Autor Graham Cluley, We Live Security

Cómo utilizar OpenVAS para la evaluación de vulnerabilidades

En la publicación anterior tratamos el tema de las debilidades relacionadas con la infraestructura tecnológica y la importancia de identificar, analizar y evaluar las vulnerabilidades de seguridad, así como de las tareas relacionadas con estas actividades.

En esta ocasión conoceremos la forma de poner en práctica la evaluación a través de OpenVAS(Open Vulnerability Assessment System), un escáner de vulnerabilidades de uso libre utilizado para la identificación y corrección de fallas de seguridad.

Características de OpenVAS

Se trata de un framework que tiene como base servicios y herramientas para la evaluación de vulnerabilidades y puede utilizarse de forma individual o como parte del conjunto de herramientas de seguridad incluidas en OSSIM (Open Source Security Information Management).

Distribuciones como Kali Linux ya cuentan con esta herramienta instalada de forma predefinida, misma que puede ser utilizada a través de dos clientes, desde línea de comandos (OpenVAS CLI) o una interfaz web (Greenbone Security Assistant). Una vez instalada en el sistema, también puede utilizarse desde Metasploit, el framework para la explotación de vulnerabilidades.

A través de las interfaces se interactúa con dos servicios: OpenVAS Manager y OpenVAS Scanner. El gestor es el servicio que lleva a cabo tareas como el filtrado o clasificación de los resultados del análisis, control de las bases de datos que contienen la configuración o los resultados de la exploración y la administración de los usuarios, incluyendo grupos y roles.

Por su lado, el escáner ejecuta las denominadas NVT (Network Vulnerability Tests), es decir, laspruebas de vulnerabilidades de red, conformadas por rutinas que comprueban la presencia de un problema de seguridad específico conocido o potencial en los sistemas. Las NVT se agrupan en familias de pruebas similares, por lo que la selección de las familias y/o NVT individuales es parte de la configuración de escaneo.

El proyecto OpenVAS mantiene una colección de NVT (OpenVAS NVT Feed) que crece constantemente y que actualiza los registros semanalmente. Los equipos instalados con OpenVAS se sincronizan con los servidores para actualizar las pruebas de vulnerabilidades.

Cómo configurar el escáner de vulnerabilidades

En este ejemplo vamos a conocer la manera más rápida y sencilla de utilizar OpenVAS, a través de la interfaz web y con el sistema operativo Kali Linux. Para comenzar es necesario configurar la herramienta a través del script openvas-setup que se ubica en la siguiente ruta:

Applications -> Kali Linux -> Vulnerability Analysis –> OpenVAS -> openvas-setup

Entre otras cosas, esta secuencia de comandos permite sincronizar los NVT, iniciar los servicios para el gestor y escáner, inicializar y actualizar las bases de datos, así como cargar los plugins que permiten utilizar herramientas de seguridad integradas en OpenVAS, como nikto, nmap, amap,snmpwalk, w3af, entre otras.

Cuando se ejecuta por primera vez, se solicita la asignación de una contraseña al usuario por defecto (admin), para iniciar la interacción de la interfaz con los servicios de OpenVAS.

Uso básico de OpenVAS

Una vez que el script ha concluido con éxito la configuración, se comienza a utilizar el escáner desde la siguiente URL:

https://localhost:9392

En este momento, solo existe la cuenta de acceso inicial con el usuario admin y la contraseña generada durante la configuración:

Luego de iniciar la sesión de trabajo, se tienen las siguientes opciones para configurar e iniciar el gestor y escáner de OpenVAS:

• Scan management: la gestión del escáner permite crear una nueva tarea de exploración, modificar aquellas que se hayan creado previamente, revisar las notas (comentarios asociados con un NVT que aparecen en los informes), o invalidaciones (reglas para cambiar amenazas de elementos dentro de uno o varios informes, especialmente utilizando falsos positivos).

• Asset management: en la pestaña de gestión de activos se enlistan los hosts que han sido analizados, con el número de vulnerabilidades identificadas, principalmente.

• Configuration: la tercera pestaña permite configurar los objetivos, asignar credenciales de acceso para revisiones de seguridad locales, configurar el escaneo (selección de NVT, parámetros generales y específicos para el servidor de exploración), programar escaneos, configurar la generación de los informes, entre otros.

• Extras: en general, muestra información sobre las opciones de configuración, desempeño o de la gestión de seguridad de la información de OpenVAS.

• Administration: permite gestionar los usuarios del escáner, la configuración para la sincronización de NVT Feed y muestra las opciones de configuración de OpenVAS.

• Help: como su nombre lo indica, la sexta pestaña ofrece información de ayuda para todos los elementos de la interfaz web.

El inicio rápido se realiza desde la pestaña Configuration, a través de configurar un objetivo o un conjunto de sistemas (hosts) a analizar. Los sistemas se pueden identificar a través de sus direcciones IP, nombres de host o por su notación de red CIDR (Classless Inter-Domain Routing):

Una vez realizada la configuración del objetivo, en la sección Scan Management es necesario generar una nueva tarea (new task) para la ejecución del análisis y evaluación. La tarea se conforma por un objetivo y una configuración de escaneo. La ejecución de significa iniciar el escaneo, como resultado se obtiene un informe con los resultados. A continuación se muestra la forma de configurar la tarea:

Por último, es necesario ejecutar la tarea para obtener los resultados de las comprobaciones realizadas por las NVT. En las siguientes imágenes se muestra el proceso del escaneo:

Con la conclusión del escáner, se obtienen los resultados de las vulnerabilidades priorizadas de acuerdo al impacto sobre los sistemas (alto, medio o bajo) y la cantidad de las mismas para cada categoría:

En el informe se muestra con mayor detalle la vulnerabilidad identificada y evaluada. Incluye la prueba de red utilizada (NVT), un resumen del hallazgo, así como una posible solución a la falla:

Idealmente, los escáneres deben utilizarse como una medida que permita complementar las prácticas de seguridad ya existentes y con base en los resultados, se debe generar un plan remediación, que debe tener seguimiento para corregir cualquier vulnerabilidad. En ese sentido, elVulnerability Assessment es una técnica utilizada para evaluar los recursos y activos presentes en una organización; este tipo de auditoría se basa en la identificación de puertos abiertos, servicios disponibles y a partir de ello la detección de posibles fallas presentes en los sistemas objetivos.

La finalidad de un Vulnerability Assessment es conocer qué vulnerabilidades existen en los sistemas de una compañía y de esa manera poder elaborar un plan de acción adecuado.

De esta manera, se puede llevar a cabo una evaluación de seguridad a los sistemas de una organización en busca de aumentar la seguridad en los mismos. Adicional a esta actividad, existen otras preocupaciones, por lo que es necesario complementarla con soluciones de seguridad, como aquellas contra códigos maliciosos, firewalls, herramientas de detección de intrusos y buenas políticas de seguridad contribuyen a la protección de los activos (incluida la información) y a la conjunción de distintos enfoques de seguridad.

Créditos imagen: ©West Midlands Police/Flickr

Autor Miguel Ángel Mendoza, ESET

Composiciones

Refugiado la película de Julieta Diaz

Fotos

La Mosca en la Flor

Record de registros robados y fuga de información en 2014

  

Según el informe de Risk Based Security [PDF] hasta la mitad de 2014 se han expuesto 502 millones de registros de distintas bases de datos, superando con creces la primera mitad del año 2013 y marcando un récord absoluto en la fuga de información.

El informe muestra que 2014 ya representa un record con respecto a la cantidad de registros robados y todavía no se han agregado al informe de la exposición recientemente divulgada de 1.200 millones de direcciones de correo electrónico y nombres de usuarios. En los 1.331 incidentes ocurridos durante la primera mitad de 2014 se expusieron 502 millones de registros, lo cual representa el 61% de los 814 millones de registros de todo el año 2013.

El informe también revela que en los 57% de los incidentes se expusieron nombres de usuario, contraseñas y direcciones de correo electrónico y en el 70,1% de los incidentes se expusieron contraseñas.

Fuente: Datalossdb

Cómo evadir antivirus de Yahoo!, varios IDS y otros antivirus

MIME describe el formato de transferencia de cualquier correo electrónico que contenga archivos adjuntos, imágenes incrustadas, etc. Este formato se remonta a los inicios de Internet y dado que los protocolos utilizados (UUCP y el actual SMTP) se basaban en texto ASCII, cualquier binario o mensaje no ASCII tenía que ser codificado previamente para el transporte. 
Para especificar el tipo de codificación se utiliza la cabeceraContent-Transfer-Encoding.

Dado que para el transporte sólo es necesaria una única codificación la especificación permite el uso de un único encabezado. Pero ¿qué ocurre si se utilizan de todas formas varios encabezados?

Resulta que la mayoría de clientes de correo y los interfaces web usarán el primer encabezado, mientras que los IDS como Bro y Snort y un montón de productos antivirus sólo usarán la última cabecera. Los resultados que se detallan a continuación se basan en pruebas realizadas a 9 de octubre:

Comportamiento observado: clientes de correo, Web mail, MTA, IDS

La primera cabecera Content-Transfer-Encoding es usada por:

• google MTA (bloquea virus directamente en la conversación SMTP)
• gmail Web interface
• GMX Web interface (bloqueará el correo si contiene virus, ver abajo)
• AOL Web interface
• Thunderbird
• Apple Mail
• Opera Mail
• Perl MIME::Tools, que es usado por amavisd
• KDE kmail
• horde Web interface

La última cabecera Content-Transfer-Encoding es usada por:

• mutt
• Outlook.de Web interface (Windows Live Mail)
• basado en el análisis del código fuente: snort 2.9.6.2. Interesante que solo acepta "Encoding" en lugar de "Content-Transfer-Encoding".
• basado en el análisis del código fuente: bro 2.3.1

Otros comportamientos:

• Al correo en Android parece que no le gusta el conflicto con varias cabeceras y no mostrará el archivo adjunto.
• GMX encuentra el virus sin importar el orden de los encabezados que utilizamos y reemplaza el correo afectado por un correo informativo acerca de la infección por el virus
• AOL MTA encuentra el virus también en ambos casos y bloquea el correo inmediatamente en el diálogo SMTP. Bien hecho!

Comportamiento observado: productos Antivirus

Los productos de antivirus muestran una gran variedad de comportamiento. Se han probado mediante virustotal.com con archivos en formato mbox o RFC822. Cualquier motor que no encontrara el virus Eicar en cualquiera de estas pruebas fue ignorado, ya que parece no entender estos formatos. resultados: 

• El escáner de virus Rising sólo encontrará el virus si se da una sola cabecera.
• 7 productos antivirus sólo comprueban el primer encabezado y por lo tanto están en línea con la mayoría de los clientes de correo: Jiangmin, Kaspersky, Panda, Symantec, TrendMicro, TrendMicro-HouseCall, Zoner.
• 12 productos antivirus sólo comprueban la última cabecera y se comportan de este modo contrario a la mayoría de clientes de correo, lo que hace posible el fraude: Agnitum, Avast, Avira, Comodo, Cyren, DrWeb, ESET NOD32-, Fortinet, F-Prot, NANO-Antivirus, Tencent, VBA32.
• 11 productos detectan el virus independiente del orden de las cabeceras y por lo tanto no pueden ser evadidos de esta manera, no importa qde correo utilizado: BitDefender, ClamAV, a-squared, F-Secure, GData, Ícaro, McAfee, McAfee-GW-Edición , Microsoft, MicroWorld-eScan, Sophos.

El comportamiento más divertido: Correo Web de Yahoo!

El MTA de Yahoo parece no tener incorporado el análisis de virus, pero la interfaz de correo Web utiliza Norton de Symantec para escanear los archivos adjuntos antes de la descarga. El problema es que la interacción entre el antivirus y la descarga es totalmente independiente lo que permite la evasión inmediata del escáner antivirus:

• El antivirus analiza la última cabecera Content-Transfer-Encoding y por lo tanto no va a encontrar el virus en nuestro correo de ejemplo.
• La descarga de los datos adjuntos mirará la primera cabecera Content-Transfer-Encoding y por lo tanto el contenido (el virus) será descargado correctamente.
• La vista previa del correo usará de nuevo la última cabecera.

El problema se comunicó a Yahoo a través de hackerone en 09/10/2014, pero lo cerraron como "no se corregirá", porque dijeron "Ya estamos al tanto de esta funcionalidad en nuestro sitio y estamos trabajando en una solución.". No se recibió respuesta cuando le preguntaron si era buena idea publicar el fallo. La última vez que se comprobó (28/10/2014) el bug seguía allí.

Fuente: HackPlayers y Noxxi