Samsung trabajando en la solución a la vulnerabilidad de dispositivos con procesador Exynos

Samsung ha confirmado que está trabajando en ofrecer una solución lo más pronto posible para el reciente caso de vulnerabilidad que permite acceso a la memoria física de algunos dispositivos. En particular a los móviles que utilizan los procesadores Exynos 4210 y Exynos 4412.

El principal problema radica en el kernel que está utilizando Samsung, éste permite a cualquier aplicación sin importar si es externa o descargada de Google Play, acceder a la memoria física y tomar el control del dispositivo, tanto para lectura como para escritura de datos. Samsung declara que es problema conocido y se realizará una actualización de software tan pronto como sea posible para solucionarlo.

Estamos conscientes del problema de seguridad relacionado con el procesador Exynos y planeamos proporcionar una actualización de software para resolverlo lo antes posible. El problema puede surgir cuando una aplicación maliciosa opera en los dispositivos afectados, sin embargo, no hay riesgo si se utilizan aplicaciones autenticadas y confiables. Samsung continuará vigilando de cerca la situación hasta que la solución de software sea puesta a disposición de los dispositivos móviles afectados.

Si posees uno de los móviles de la siguiente lista es recomendable que estés al pendiente de la actualización de software por parte de la compañía coreana:

Exynos 4210:

  • Samsung Galaxy Note GT-N7000

  • Samsung Galaxy S2 GT-I9100

  • Samsung Galaxy S2 GT-I777

Exynos 4412:

  • Samsung Galaxy S3 GT-I9300

  • Samsung Galaxy S3 GT-I9305

  • Samsung Galaxy Note 2 GT-N7100

  • Samsung Galaxy Note 2 GT-N7105

  • Samsung Galaxy Note 10.1 GT-N8000

  • Samsung Galaxy Note 10.1 GT-N8010

  • Meizu MX

La solución, mientras Samsung trabaja a marchas forzadas, está en manos de la comunidad de XDA-Developers, tal y como reportábamos cuando fue descubierto el problema, sólo implicaría algunos problemas en el uso de la cámara, pero es muy recomendable instalar el parche o bien, tener mucho cuidado con las aplicaciones que instalas en tu dispositivo.

 A.C.

Predicción de las 6 mayores amenazas para 2013 (Fortinet)

Fortinet, proveedor de dispositivos de seguridad de red especializado en gestión unificada de amenazas, ha listado las que a su juicio serán las grandes amenazas que marcarán la seguridad TI el próximo año.
Con las APTs para móviles y exploits a través de comunicaciones máquina-máquina como las principales tendencias, Fortinet ha listado las seis grandes amenazas predichas por el equipo de investigación de los Laboratorios FortiGuard y que se concretan en:

1. Las APTs atacan al usuario a través de las plataformas móviles

Las APTs, también conocidas como amenazas avanzadas persistentes, se definen como la capacidad para utilizar tecnología sofisticada, múltiples métodos y vectores para alcanzar un objetivo específico con el fin último de obtener información sensible o clasificada. Los ejemplos más recientes han sido Stuxnet, Flame y Gauss. En 2013 prevemos que las APTs tendrán como objetivo a individuos concretos, como CEOs, famosos y figuras políticas.
La verificación de esta predicción será difícil porque los atacantes después de obtener la información que están buscando, pueden eliminar el malware del dispositivo antes de que la víctima sea consciente de que ha sido atacada. Y lo que es más, los individuos que descubran que han sido víctimas de una APT no querrán hacerlo público ya que son ataques que afectan a individuos, no a infraestructuras críticas, gubernamentales o empresas, por lo que la información sustraída es de carácter personal. Los criminales buscan información que puedan aprovechar para actividades delictivas como el chantaje o la amenaza de fuga de información a cambio de un pago.

2. El modelo de seguridad de autenticación de doble factor sustituye al de clave única

El modelo de seguridad de clave única está muerto. Hay herramientas en la red que permiten descifrar una clave de cuatro o cinco caracteres en minutos. Utilizando las nuevas herramientas de cracking de claves basadas en cloud, los cibercriminales pueden conseguir 300 millones de passwords diferentes en solo 20 minutos y por menos de 20$. Incluso pueden descifrar una clave alfanumérica en una hora. Las credenciales almacenadas en bases de datos cifradas (a menudo violadas a través de portales Web y de inyección SQL), junto con la seguridad inalámbrica (WPA2) serán blancos populares de craqueo utilizando dichos servicios cloud. Podemos predecir que el próximo año habrá un aumento en el negocio de desarrollo de sistemas de autenticación de dos factores para empleados y clientes. Consistirá en un inicio de sesión basado en la web que requerirá una contraseña de usuario y una contraseña secundaria que, o bien llegará a través del dispositivo móvil del usuario o de un token de seguridad independiente. Si bien es cierto que hemos visto al botnet Zitmo romper la autenticación de dos factores en dispositivos Android y en el token de seguridad SecurID de RSA (hackeado en 2011), este tipo de sistemas sigue siendo el método más eficaz para garantizar las actividades online.

3. Los exploits dirigidos a comunicaciones máquina-máquina (M2M)

La comunicación máquina-máquina (M2M) hace referencia a las tecnologías que permiten a los sistemas cableados e inalámbricos comunicarse con otros dispositivos de la misma capacidad. Puede ser un frigorífico que se comunica con el servidor de la casa para notificar que es necesario comprar leche o huevos, o una cámara de un aeropuerto que capta la foto de la cara de una persona y cruza referencias con la base de imágenes de conocidos terroristas o incluso un dispositivo médico que regula el oxígeno de una víctima de accidente y alerta al personal del hospital si el latido es débil. Si bien las posibilidades prácticas tecnológicas de M2M son esperanzadoras, ya que tiene el potencial de eliminar el error humano de muchas situaciones, todavía hay muchas preguntas sobre su seguridad. Creemos que el próximo año veremos el primer caso de piratería informática en sistemas M2M, muy probablemente en una plataforma relacionada con la seguridad nacional como un centro de desarrollo de armas. Es probable que suceda por flujos de información envenenada que atraviesa el canal de M2M – haciendo que la máquina maneje esta información, creando una vulnerabilidad y permitiendo a un atacante acceder a este punto vulnerable.

4. Exploits para eludir el Sandbox

Sandboxing es una práctica frecuentemente empleada en el mundo de la seguridad TI para separar la ejecución de programas y aplicaciones de forma que el código malicioso no pueda transferirse de un proceso (como un lector de documentos) a otro (véase el sistema operativo). Algunos proveedores como Adobe y Apple utilizan estos sistemas y desde que lo comenzaron a implantar los atacantes tratan de eludirlo. El equipo FortiGuard Labs ya ha detectado algunos exploits capaces de romper la máquina virtual (VM) y entornos de espacio aislado, como la vulnerabilidad de Adobe Reader X. Los exploits frente a sandboxing más recientes han permanecido en modo invisible (lo que sugiere que el código malicioso está aun en fase de desarrollo y prueba) o han intentado activamente eludir ambas tecnologías. En 2013 esperamos ver un código de explotación innovador dirigido a evitar ambientes sandbox específicamente utilizados por los aparatos de seguridad y dispositivos móviles.

5. Botnets en distintas plataformas

En 2012, los laboratorios FortiGuard analizaron botnets para móviles como Zitmo y descubrieron que comparten muchas de las características y funcionalidades de las tradicionales botnets para PC. Para 2013, el equipo predice que, gracias a la paridad entre plataformas, vamos a empezar a ver nuevas formas de ataques denegación de servicio distribuida (DDoS) que aprovechará tanto el PC como los dispositivos móviles simultáneamente. Por ejemplo, un dispositivo móvil infectado y un PC compartirán el mismo servidor de comando y control (C&C) y protocolo de ataque, y actuarán conjuntamente, lo que potenciará el impacto de la botnet. Lo que eran dos botnets independientes que se ejecutaban en el PC y en el sistema operativo para móviles, como Android, se convertirá ahora en una operación botnet monolítica sobre múltiples tipos de endpoints.

6. El crecimiento de malware móvil se acerca al de portátiles y PCs

Actualmente el malware se dirige tanto a dispositivos móviles como a PCs y portátiles. Históricamente, sin embargo, la mayoría de los esfuerzos de desarrollo se han dirigido a los ordenadores por ser los más populares. Los Laboratorios FortiGuard han monitorizado cerca de 50.000 tipos de malware para móvil, frente a millones para PC. Los investigadores ya han observado un aumento significativo en el volumen de malware móvil y creemos que este sesgo cambiará más drásticamente a partir del año que viene. Esto se debe al hecho de que en la actualidad hay más móviles en el mercado que ordenadores portátiles o de sobremesa, y los usuarios están abandonando estas plataformas tradicionales a favor de nuevos dispositivos. Si bien los investigadores de los Laboratorios FortiGuard creen que todavía pasarán años antes de que se iguale el malware en móviles al de PCs, sí se producirá un crecimiento acelerado de malware en dispositivos móviles, ya que los creadores de malware saben que es más complejo asegurar los dispositivos móviles que los PCs.

Diego Garabal Montes – 5385

Dos ejemplos de phishing que están circulando (MMS falso y bancario)

Los siguientes son un par de ejemplos de phishing que he recibido en las últimas horas.

El primero de ellos se hace pasar por una entidad bancaria para solicitar los datos de los clientes en una página falsa. El contenido del mensaje es una imagen que simplemente enlaza a un destino sospechoso, como se puede apreciar en la siguiente captura:

correo falso banco

Correo falso que simula ser enviado por el banco

La web falsa del banco ya fue dada de baja, pero es posible que los atacantes levanten otra para aprovechar el enlace redireccionador. Si bien a simple vista el engaño no es difícil de detectar… como regla general al recibir alguna notificación del banco lo ideal es acceder directamente a la web escribiendo la URL en el navegador, nunca por medio de los enlaces o archivos que se reciban.

El segundo ejemplo tiene un diseño mucho más pulido, simula ser un mensaje multimedia (MMS) enviado por una chica. Para verlo hay que hacer clic en un enlace que termina descargando un troyano llamado ver_mensaje.exe:

mms correo falso mensaje

El dominio utilizado para este ataque se parece mucho al de Movistar, pero no pertenece a la empresa, fue registrado el pasado 5 de diciembre (ver whois) y aún se encuentra activo, aunque algunos filtros ya lo están bloqueando (por seguridad procura no entrar).

index of movistar mms

El archivo que se descarga es un troyano que infecta el sistema para robar información y convertirlo en un bot, es decir un equipo que forma parte de una botnet. La siguiente es una captura de VirusTotal:

analisis ver_mensajes virustotal

Para que el engaño sea más creíble al troyano le han agregado un icono personalizado como se puede ver en la siguiente captura:

troyano mms

No aparece la extensión .exe del archivo porque por defecto en Windows la visualización de las extensiones se encuentra desactivada. Por seguridad es bueno activarlas para al menos saber qué tipos de archivos se están abriendo.

Recuerda tener sentido común con los correos que recibas y mucho cuidado con los enlaces

Los hackers ya están trabajando en la nueva Wii U

Los hackers responsables del Wii Homebrew Channel han conseguido que su software funcione en la nueva Wii U de Nintendo.

El Homebrew Channel de la Wii fue introducido en primer lugar mediante el Twilight hack, un exploit encontrado por el Team Twiizers de Wiibrew.org en el videojuego de lanzamiento The Legend of Zelda: Twilight Princess, que permitía, tanto a desarrolladores como a usuarios de a pie, poner a funcionar software ilegal desde una Secure Digital card insertada en el slot de la parte frontal de la Wii. Más tarde, a medida que los hackers iban conociendo mejor el terreno, este sistema dejó de usarse en favor de Bannerbomb y Letterbomb.

Según explica DHEWG, uno de los desarrolladores del Homebrew Channel, la nueva versión del Homebrew Channel se puede instalar con la misma facilidad en ambas consolas de sobremesa de Nintendo.

Por ahora el canal sólo funciona dentro del modo Wii de Wii U, un modo que no emula la consola anterior sino que más bien está incorporado como una subrutina de la nueva consola. Sin embargo, el canal no funciona en el modo Wii U completo. Básicamente esto significa que el Homebrew Channel funciona en el modo Wii de Wii U exactamente igual que en la vieja Wii.

Según DHEWG, la comunidad de hackers de Wii puede encontrar una forma para acceder al modo Wii U completo, pero aclara que todavía falta algún tiempo para llegar a ese punto.

“Podemos intentar hackear la Wii U desde dentro del modo Wii.”, explica.

Nintendo, obviamente, no apoya la instalación del Homebrew Channel y, de hecho, está tomando medidas, con actualizaciones de seguridad que teóricamente pueden brickear (inutilizar) la consola. Por descontado, este tipo de modificaciones internas también invalidan la garantía de la consola, ya que se trata de software no autorizado.

~msanchez

Lecturas complementarias:

http://en.wikipedia.org/wiki/Wii_homebrew

http://en.wikipedia.org/wiki/Twilight_hack

http://en.wikipedia.org/wiki/Softmod

Una vulnerabilidad en Internet Explorer permite rastrear los movimientos del ratón

Un fallo de seguridad ha sido descubierto en Internet Explorer por una pequeña compañía de Reino Unido especializada en análisis web llamada Spider.io, que permite rastrear los movimientos que hacemos con el ratón en la pantalla. Afectaría desde la versión 6 hasta el recientemente liberado Internet Explorer 10.

Uno de sus principales peligros radica en el tipo de teclados utilizados en páginas en las que se proporciona información personal, como los bancos virtuales. Muchas de las páginas web bancarias imponen un teclado virtual en la pantalla que obliga al usuario a pinchar sobre cada carácter, en vez de escribir la contraseña desde el teclado. Este sistema protege la privacidad de los datos frente a numerosos virus (keyloggers), pero se descubre vulnerable ante el seguimiento del ratón.

¿Cómo funciona? Lo único que tiene que hacer un atacante para aprovecharse de esta vulnerabilidad es comprar un anuncio/banner en una web que visitemos. Puede ser YouTube, un diario online, da igual, cualquier página que muestre ese banner. Mientras tengamos esa ventana abierta, incluso si está minimizada, al otro lado pueden ver y almacenar los movimientos del ratón sobre la pantalla. Es una trampa muy similar al phishing, que combinado con técnicas adicionales como el CSS history hack, haría posible conocer el historial de navegación del usuario, sabiendo en cada momento, sobre que páginas se están aplicando esos movimientos del ratón.

Microsoft ha dado su visión del asunto en uno de sus blogs corporativos reconociendo la existencia de la vulnerabilidad pero de momento no tiene planes inmediatos de lanzar una actualización, a pesar de que la compañía Spider.io, ha hecho público que dos grandes agencias de publicidad online están ya aprovechando el fallo, para saber si los anuncios que insertan son vistos o no por los internautas, aunque de momento, dicen, no pueden desvelar los nombres.

Video demostrativo de esta vulnerabilidad proporcionado por la compañía Spider.io.

REFERENCIAS:

El malware para smartphones Android crece más de un 480 por ciento

Puesto que Android es la plataforma más usual para smartphone, el crecimiento del malware para esta plataforma es evidente. El tipo más común de malware en esta plataforma son las versiones falsas de aplicaciones legítimas de Android, creadas para desviar datos o controlar el smartphone del usuario, con el consiguiente riesgo de recibir facturas muy elevadas por el envío de SMS a números de tarificación especial. Para evitarlo, es muy importante que los usuarios entiendan bien las autorizaciones que les solicitan las apps al instalarlas, si no se arriesgan a compartir sus datos personales (incluyendo la localización de un usuario, llamadas efectuadas y mucha más información). Así lo indica un estudio de Trend Micro, que también alerta del incremento de adware agresivo.

“Los delincuentes tienen particular interés en Android y esta tendencia proseguirá, a menos que se produzca un cambio fundamental a nivel de la infraestructura y que se saque provecho de lo aprendido, por lo que respecta a la problemática de seguridad a nivel del sistema operativo”. Así de categórico se muestra Rik Ferguson, director de un informe deTrend Micro que señala que, en septiembre, el volumen de programas de malware y adware para Android alcanzó cerca de 175.000, lo que indica un crecimiento de nada menos que un 483 por ciento en solo tres meses.

A Raimund Genes, director de tecnologías de la información deTrend Micro, esta explosión de malware en smartphones no le pilla por sorpresa, y, como señala, “Android es la plataforma más usual para smartphone, como lo indican los datos estadísticos y estudios de mercado, que además suelen consultar los cibercriminales. No olvidemos que así han encontrado nuevas fuentes de ingresos a través del malware en móviles”.

El adware agresivo para Android también ha experimentado un importante crecimiento, en su mayoría para recabar más datos personales de los que autoriza el usuario para utilizarlos en redes publicitarias, legítimas o no.

Además se debe añadir que a pesar de las crecientes amenazas de seguridad que acechan a los smartphones y tablets con Android, más de la mitad de sus usuarios no han instalado nunca un antivirus en sus dispositivos, tal y como pone de manifiesto un reciente estudio.

El 59% de usuarios Android afirma no haber instalado un antivirus en su smartphone o tableta por estar seguros cuando navegan con su dispositivo móvil. Así se desprende de un estudio publicado por la empresa SPAMfighter que señala además que aunque los usuarios conocen la existencia de programas maliciosos y son conscientes de las oleadas de ataques de spam, para un 39,2 % la mayor preocupación con respecto a su smartphone es el problema de la privacidad, mientras que para un 35,3% es el robo y solo un 25,5 por ciento se preocupa por los riesgos de navegar sin hacer uso de una herramienta que le garantice protección y seguridad.

El estudio también señala cuáles son las actividades preferidas de los usuarios de smartphones y tablets. Entre ellas, enviar correos electrónicos, navegar por Internet y acceder a servicios de banca por Internet. El uso corriente de smartphones y tabletas en este sector de la banca privada y empresas ha hecho que estos dispositivos móviles también estén en el punto de mira de los creadores de malware. El objetivo de los cibercriminales es vulnerar los datos privados de los usuarios, como información de identificación, códigos PIN, nombres de usuario, o contraseñas e infectar estos dispositivos.

“Con el malware para móviles, los cibercriminales han descubierto un nuevo modelo de negocio“, ha explicado Ralf Benzmüller, responsable de G DataSecurity Labs. “Ahora mismo, los autores de malware usan principalmente backdoors, programas espía y abusivos servicios SMS para estafar a sus víctimas. Desafortunadamente, podemos decir que estamos asistiendo al nacimiento de un nuevo y potencialmente muy lucrativo nicho de mercado para los cibercriminales y esperamos un continuo crecimiento del malware mobile de aquí a finales de año”, añadió.

Para protegernos e intentar no ser víctimas de estos ataques a continuación algunas recomendaciones para tener en cuenta:

Lo que debe hacer:

– Asegúrese que su sistema operativo esté actualizado a la última versión.
– Descargar aplicaciones de sitios prestigiosos y revisar los permisos que requieren.
– Asegúarese de leer los comentarios sobre la aplicación antes de descargarla, pueden advertir que se trata de un virus o malware.
– Utilice un firewall personal.
– Use una contraseña confiable.
– Desconecte el bluetooth y otras conexiones si no las usa.
– Instale una aplicación de seguridad móvil.

Lo que no debe hacer:

– Descargar aplicaciones de mercados externos al oficial.
– Hacer jailbreak o rootear su teléfono.
– Dejar sus opciones Wi-Fi encendidas.
– Acceder a sitios de comercio electrónico como tiendas o bancos desde conexiones de Wi-Fi públicas.
– Dejar su teléfono desatendido en sitios públicos.

Por último, cabe destacar que iPhone no se libra de los ataques de malware; para ello se puede leer el siguiente artículo de Chema Alonso, uno de los referentes de seguridad informática y hacking a nivel mundial. Ingeniero Informático de Sistemas por la Universidad Politécnica de Madrid, e Ingeniero Informático y Master en Sistemas de Información por la Universidad Rey Juan Carlos:

Hay mucho fanboy que piensa que tener los datos en un iPhone es como tenerlos almacenados dentro un bunker al que ni la NSA puede acceder porque el algoritmo de cifrado es incrackeable en una vida. Por otro lado, algunos creen que por dar al botón de borrar datos remotamente desde Find my iPhone automáticamente todos los datos van a ser eliminados del terminal. Por último – y no asustar mucho a la gente – hay quien piensa que en iPhone no te pueden meter un troyano que te robe los datos.

Los tres pensamientos son falsos, así que si te preocupa la seguridad de tu iPhone siéntate y disfruta la lectura.

El cifrado el iPhone incrackeable

iPhone utiliza un algoritmo de cifrado robusto que si se quisiera romper con un sistema de fuerza bruta sería inviable. Sin embargo, las técnicas de acceso a los datos de un terminal no se basan en rompen el cifrado, pues el sistema operativo ya se encarga de hacer esa tarea. En el momento en que se arranca un terminal iPhone (sin poner el Passcode) el sistema operativo iOS ha utilizado una clave de descifrado del disco que se deriva del UDID del equipo para descifrar la mayoría de los datos del disco duro de iPhone. Lo que hacen todas las herramientas forenses es atacar al passcode, o explotar una vulnerabilidad de iOS (que tiene cientos y cientos) para hacer una especie de “tethering jailbreak” y acceder al terminal sin poner el passcode. El resto es trivial, volcado de datos y listo. Esto lo hacen todas las herramientas de análisis forense de dispositivos móviles, como por ejemplo Oxigen Forensics.

Puedo borrar remotamente los datos de un iPhone perdido

Eso dice la leyenda, siempre y cuando el terminal se conecte a Internet de alguna forma. Lo que se hace para evitar que un terminal robado reciba la señal de eliminar los datos es no permitir que se conecte a ninguna red. Para ello solo hay que hacer dos cosas tan sencillas como retirar la tarjeta de telefonía del iPhone y arrancar el terminal iPhone con una herramienta de análisis forense dentro de una caja de Faraday para que no se pueda conectar a ninguna red. Estas cajas de Faraday no penséis que son tan difíciles de construir, ya que con unas telas y unas maderas te haces una, pero es que además basta con que se arranque en algún sitio donde no hay

a cobertura WiFi, y seguro que todos conocéis algunos sitios donde no se puede conectar vuestro iPhone a Internet. De hecho, hay directivos que usan cajas de galletas como cajas Faraday.

En iPhone no hay troyanos

Error. Sí que los hay, y seguirán apareciendo. Hay varias formas de “comerse” un malware en un iPhone. La primera de ellas es hacer jailbreak al terminal e instalar software desde tiendas de aplicaciones de dudosa reputación. En una de esas aplicaciones puede que te llegue un spyware que se está comiendo tu conexión de datos, como ya vimos que sucedió en la propia Cidya

La segunda forma es que a Apple se le cuele un malware, como demostró Charly Miller con InstaStock , los estafadores rusos con Find & Call o incluso los que han conseguido meter en el App Store una app llamada NFC para iPhone 5 (WTF!) .

La tercera es que te envíen el troyano por correo electrónico haciendo uso de un provisioning profile, que es la manera en la que se distribuyen aplicaciones entre los desarrolladores sin pasar por la App Store. Cuidado.

Si con esto te has asustado deberías empezar a preocuparte de muchas más cosas, como usar VPNs, tener cuidado de borrar las redes WiFi una vez te desconectes, no aceptar ningún perfil de dispositivo por correo electrónico o no usar redes que no sean 3G, ya que las GPRS o Edge pueden ser falsas… pero lo mejor es que no te asustes y seas feliz con tu iPhone.

@pdíaz

Una vulnerabilidad en VLC Media Player podría permitir la ejecución de código en el sistema de forma remota

VLC Media Player es un reproductor multimedia de código abierto desarrollado por VideoLAN Proyect. Soporta múltiples formatos como MP3, MPEG, DIVX, VCD, DVD o Flash y está disponible para diversas plataformas y sistemas operativos.

Kaveh Ghaemmaghami ha descubierto un error en el reproductor VLC al procesar ficheros Flash . Se debe a un error de desbordamiento de búfer al acceder a un objeto de imagen en memoria ya eliminado, durante la decodificación de vídeo en formato Flash. Esto provocaría una referencia a memoria ya liberada que podría ser utilizada para causar una denegación de servicio y, potencialmente, ejecutar código arbitrario.

¿Como funciona este tipo de exploit? El código arbitrario es un código muy largo que no es interpretado ni por la aplicación o por el sistema operativo sino el que provoca un desbordamiento de bufer (ya sea de la aplicación o del sistema operativo), y es ese trozo desbordado el que es interpretado y/o ejecutado por el sistema bajo unas condiciones mas favorables y se utiliza para llevar a cabo el ataque. Este es un bug realmente grave, ya que gracias a el, el atacante puede ganar el control por completo del sistema. Normalmente, una vez que el atacante que consigue introducir este código arbitrario en el sistema, intentara ganar privilegios con la intención de obtener un control adicional. Esto puede involucrar el kernel en si mismo o una cuenta como Administrador, SYSTEM o root. A pesar de que esto pueda suceder o no, este exploit tiene la posibilidad de crear serios daños en el ordenador o convertirlo en un “zombie”, pero conseguirlo ayudaría al atacante a esconder el ataque del propio administrador del sistema.

El error ha sido comprobado en la última versión disponible del reproductor, la 2.0.4, aunque otras versiones también podrían ser vulnerables. Por el momento no existe una solución oficial y tampoco se ha asignado ningún identificador CVE a esta vulnerabilidad, sin embargo Kaveh Ghaemmaghami ha publicado una prueba de concepto para demostrarla.

Fuentes:

Noticia Hispasec:

http://unaaldia.hispasec.com/2012/12/ejecucion-de-codigo-remoto-en-vlc-media.html

Arbitrary code execution:

http://en.wikipedia.org/wiki/Arbitrary_code_execution

@dvalverde

En Dubai se votó el futuro de internet

Fue en la conferencia de la (CMTI – 12) Unión Internacional de Telecomunicaciones (sitio oficial en español y acta oficial final). La propuesta para que los gobiernos autoricen contenidos fue encabezada por China y Rusia. EE.UU. y sus aliados, en contra.

La UIT es una institución especializada de la ONU, en la que entran los ciento noventa y tres miembros de la comunidad mundial. La última vez la Unión rectificó las normas internacionales de comunicaciones y telecomunicaciones en 1988. Entonces en el mundo había apenas 4,5 millones de abonados a la comunicación móvil. Hoy los hay seis mil millones. El número de usuarios de Internet llega a 2,5 mil millones de personas.

Al término de dos semanas de conversaciones sobre un acuerdo internacional de telecomunicaciones que se llevó a cabo en Dubai, Argentina sumó su voto a favor de que a partir de ahora los gobiernos puedan controlar los contenidos que circulan por Internet.

El artículo más polémico del acuerdo dice: “Los Estados Miembros deben tomar las medidas necesarias para evitar la propagación de comunicaciones masivas no solicitadas y minimizar sus efectos en los servicios internacionales de telecomunicación. Se alienta a los Estados Miembros a cooperar en ese sentido”.

Esta posición, encabezada por China y Rusia, fue acompañada por el voto de 89 países, entre los que están Irán, Sudáfrica, Colombia, Uruguay, Chile, Cuba, Venezuela, México, Paraguay, Alemania, Italia, Holanda, España Suecia, República Checa, y varios países de Africa, entre otros.

Estados Unidos y sus aliados europeos, la rechazaron. EEUU, Gran Bretaña, Australia y una serie de otros países se negaron a firmar los acuerdos alcanzados. Rusia y China propusieron pasar parte del control sobre la distribución de nombres web a los propios estados miembros de la UIT, o bien crear una organización bajo la égida de la ONU. Actualmente es un derecho prácticamente monopólico de compañías estadounidenses. En primer lugar, de la denominada Corporación de Internet para la Asignación de Nombres y Números. Se la llama independiente, pero en realidad es controlada por el Departamento de Comercio de EEUU.

Así, Argentina firmó, aunque con reservas, una regulación de la red de redes. Otros 88 países también lo hicieron. Y 55, finalmente, decidieron no votarlo.

Argentina dijo que se reserva “el derecho a adoptar toda medida que considere necesaria, según leyes locales y según el derecho internacional, para salvaguardar así los intereses nacionales en caso de que otros estados miembro no cumplan con las Actas Finales de la Conferencia Mundial sobre Telecomunicaciones Internacionales (Dubai 2012) o en caso de que las reservas expresadas por otros estados miembro afecten los servicios de telecomunicación internacional de la República Argentina o sus derechos soberanos”.

Los Estados Unidos, Gran Bretaña y Canadá, entre otros, se manifestaron en contra del acuerdo debido a que consideran que limita la libertad online y porque propone el control gubernamental de internet. Estados Unidos sostuvo de forma repetida que Internet no debía ser mencionado en el tratado, que aborda cuestiones técnicas como conectar las llamadas telefónicas internacionales, ya que al hacerlo ello podría conducir a frenos para la libertad de expresión y al reemplazo de la forma existente de control de Internet de abajo hacia arriba por un modelo controlado por los gobiernos . “No podemos apoyar un tratado que no es solidario con el modelo de manejo de Internet de múltiples partes interesadas” dijo Kramer. Sus palabras se conocieron poco después de que la UIT anunció la aprobación de la versión final del texto.

J. C. González Oujo

Fuente: > http://blog.segu-info.com.ar/#axzz2F9fD4AbR

Noticia publicada: el sabado 15/12/2012

Ataques dirigidos: Phishing por correo electrónico

El 91% de los ataques cibernéticos comienzan con un ataque conocido como “spear phishing” (pesca con arpón) por correo electrónico, según una investigación de la firma de software de seguridad Trend Micro.

El spear phishing se caracteriza por servirse de información personal del objetivo para realizar ataques personalizados.

El objetivo es engañar al usuario para que abra un archivo malicioso adjunto o haga clic en un enlace a un malware o sitio web cargado con exploits, lo que hacen que las víctimas comprometan sus redes.

Según Trend Micro, el 94% de los correos electrónicos usan un archivo malicioso adjunto como payload o fuente de infección. El 6% restante utiliza métodos alternativos, como la instalación de malware a través de enlaces maliciosos.

Los tres tipos de archivos más utilizados para realizar ataques de spear phishing son:

.RTF (38%)

.XSL (15%)

.ZIP (13%).

Los archivos ejecutables (.EXE) no son tan usados por los cibercriminales porque los correos electrónicos con archivos adjuntos de este tipo suelen ser detectados y bloqueados por los sistemas de seguridad.

Las industrias más atacadas con spear phishing son el gobierno y los grupos activistas. La información acerca de las agencias gubernamentales y los funcionarios nombrados se encuentra fácilmente en Internet y en ciertas ocasiones en sitios públicos de gobiernos.

Debido a que los grupos de activistas son muy afines a redes sociales y muy rápidos para proporcionar información de sus miembros, (a fin de facilitar la comunicación, organizar campañas o reclutar nuevos integrantes) los perfiles de los miembros son objetivos muy visibles.

El 75% de las direcciones de correo electrónico para los blancos de envío de phishing se encuentran con facilidad a través de búsquedas en la web o con el uso de formatos comunes de dirección de correo electrónico.

Phishing hotmail

En este vídeo observamos que el cibercriminal crea en un alojamiento gratuito un dominio con un nombre parecido a hotmail. Allí mete un index.html con el código tal cual la página original de hotmail. Entonces cuando un usuario se autentica en esta web falsa se genera un archivo en el dominio con el email y la contraseña.

Valonso

Las 2 vulnerabilidades en android mas recientes y sus posibles soluciones

Descubierta una vulnerabilidad en Android que facilitaría ataques de phising por SMS (noviembre 2012)

El problema del smishing o phishing vía SMS es prácticamente tan antiguo como los propios teléfonos móviles, pero un estudio de la Universidad Estatal de Carolina del Norte vuelve a recordarnos sus peligros con un giro malvadamente creativo. Concretamente, un equipo de investigadores ha descubierto un agujero de seguridad en Android que afecta a las versiones Gingerbread, Ice Cream Sandwich y Jelly Bean, que podrían recibir falsos mensajes para cometer cualquier fechoría.

Explicando el mecanismo de forma sencilla, el usuario debe instalar una aplicación infectada; acto seguido, el programa activa su ataque simulando la recepción de “un mensaje de texto de alguien en la lista de contactos del teléfono o de un banco de confianza”. Este falso mensaje, lógicamente, puede solicitar información personal como contraseñas o datos bancarios sensibles; detalles que nunca te pediría un banco responsable a través de un SMS o e-mail, pero que mucha gente envía sin pensárselo dos veces. Por lo de ahora no se publicado las pruebas que lo demuestran hasta que sea cerrado el agujero con una actulización.

Fuente: http://es.engadget.com/2012/11/02/android-vulnerabilidad-smishing/

Se puede borrar el terminal remotamente (octubre 2012)

Esta seria una vulnerabilidad bastante grave que afectaba a los móviles Samsung con Android. La vulnerabilidad permitiría borrar remotamente un terminal (wipe) por el simple hecho de entrar en una página web maliciosa. La noticia es en parte correcta, pero no del todo. Entremos en los detalles.

Primero, la vulnerabilidad no es de Samsung, sino del navegador web de serie de Android. El problema es que un enlace específicamente diseñado podría hacer que nuestro terminal marcara un número concreto de teléfono sin pedirnos confirmación. Existe un código USSD que puede borrar los terminales, así que de ahí el problema.

Segundo, el fallo es conocido desde hace mucho tiempo, y por tanto está corregido en muchos terminales, incluido el Samsung Galaxy SIII. El problema es, como no, la lentitud de las actualizaciones. Es decir, aunque el fallo es conocido y existen parches desde hace mucho tiempo todavía quedan terminales vulnerables.

Video que lo demuestra

Fuente: http://www.xatakandroid.com/seguridad/nueva-vulnerabilidad-android-que-deberia-estar-resuelta

Prensa: http://www.lavozdegalicia.es/noticia/vidadigital/2012/10/02/fallo-seguridad-android-eliminar-informacion-almacenada/00031349187356028418520.htm

ESET ya presento su herramienta para vulnerabilidades USSD que corrige este error y se puede descargar desde google play

fuente: http://blogs.eset-la.com/laboratorio/2012/10/02/herramienta-eset-vulnerabilidad-ussd-android/

X-ray la Aplicación gratuita que controla las vulnerabilidades de Android

La aplicación X-Ray necesita sólo un minuto para detectar si el smartphone está en situación de vulnerabilidad frente a un gran número de agujeros de seguridad.

Lamentablemente para los desarrolladores de X-Ray, Google no acepta en Google Play aplicaciones cuya funcionalidad será, precisamente, detectar agujeros de seguridad. Esto implica que el software debe ser descargado lateralmente, es decir, sin poder contar con la seguridad relativa que proporciona Google Play. El usuario incluso desde autorizar explícitamente la actividad de X-Ray, aceptando que se trata de un software de “origen desconocido”. Entonces es posible descargar la aplicación dirigente del navegador a xray.io/dl. Se recomienda desmarcar la opción de “origen desconocido” después de haber instalado X-Ray.

La aplicación requiere únicamente derechos para escribir en la tarjeta SD y obtener acceso a Internet. Los desarrolladores explican claramente qué información les está siendo enviada, recalcando que, en ningún caso, se trata de información personal del usuario. La información técnica recibida tampoco es re-enviada a terceros.

Fuente: http://www.diarioti.com/noticia/Aplicacion_gratuita_controla_vulnerabilidades_de_Android/33048

Esto pone de manifiesto que la política de actualización de ciertos fabricantes y operadores es nefasta. Tiene que agilizarse, porque con la base de terminales Android que hay en el mundo tenemos un claro objetivo de los crackers. Al igual que antes sólo se intentaban explotar las vulnerabilidades de Internet Explorer sobre Windows y la proliferación de otros navegadores hizo que se atacaran, Android también está siendo examinado. La rapidez por corregir estas vulnerabilidades y sobre todo por lanzar las actualizaciones es fundamental.

También hay que darse de cuenta que es problema que le puede afectar a cualquiera con un dispositivo o smartphone con android, ya que a los usuarios que le afectan son cientos de millones en todo el mundo.

Un grupo de investigadores ha descubierto 41 aplicaciones para Android que dejan a sus usuarios vulnerables a robos de contraseñas, de credenciales bancarias e información personal. Todas las aplicaciones en cuestión están disponibles en Google Play, el mercado aplicaciones para Android, y algunas de ellas se han descargado hasta 185 millones de veces.

Investigadores de la Universidad de Leibniz en Hanover y la Universidad de Philipps de Marburgo, ambas en Alemania, trabajaron juntos para poner a prueba la seguridad de las aplicaciones más populares de Google Play.

Los expertos analizaron 13.500 aplicaciones “populares y gratuitas” y descubrieron que 41 de ellas tenían vulnerabilidades de seguridad que permitían que se filtrara información de los teléfonos afectados para ponerla en manos de desconocidos. Las vulnerabilidades se encuentran en el modo en el que las aplicaciones manejan los protocolos SSL y TSL, que codifican los datos que intercambian los sitios web con los usuarios.

Fuente : http://www.viruslist.com/sp/news?id=208275059

O. Costas