MuySeguridad http://muyseguridad.net Fri, 24 Feb 2017 10:00:38 +0000 es-ES hourly 1 Descubierta una vulnerabilidad en Linux que estaba presente desde hace 12 años http://muyseguridad.net/2017/02/24/vulnerabilidad-linux-12-anos/ http://muyseguridad.net/2017/02/24/vulnerabilidad-linux-12-anos/#respond Fri, 24 Feb 2017 10:00:38 +0000 http://muyseguridad.net/?p=27515 Descubierta una vulnerabilidad en Linux que estaba presente desde hace 12 años

Se ha descubierto recientemente en Linux otra escalada de privilegios, un tipo de vulnerabilidad muy común en el sistema Open Source, aunque este tiene la particularidad de llevar presente desde hace 12 años.

La escalada de privilegios, cuyo código es CVE-2017-6074, fue descubierta por el investigador en seguridad Andrey Konovalov mientras examinaba el Protocolo de Control de Congestión de Datagramas (DCCP/Datagram Congestion Control Protocol) utilizando Syzkaller, una herramienta de fuzzing liberada por Google.

La vulnerabilidad que provoca la escalada de privilegios es del tipo “usar después de liberar”, siendo el origen la manera en que la implementación del protocolo DCCP del kernel Linux libera recursos de SKB (buffer de socket) para un paquete DCCP_PKT_REQUEST cuando la opción IPV6_RECVPKTINFO está establecida en el socket.

Esta vulnerabilidad en DCCP podría permitir a un usuario sin privilegios alterar la memoria del kernel de Linux, permitiéndole causar un cuelgue en el sistema o escalar privilegios hasta conseguir acceder como administrador.

Por su parte, DCCP es una capa de protocolo de transporte orientada a mensajes que minimiza la superposición del tamaño de una cabecera de un paquete o un procesamiento de nodo final tanto como sea posible, proporcionando el establecimiento, mantenimiento y desmontaje de un flujo de paquetes no confiable, además del control de la congestión de ese flujo de paquetes.

La vulnerabilidad no ofrece ninguna manera para que alguien de fuera pueda acceder al sistema afectado, esto quiere decir que no puede ser explotada de forma remota y que el atacante necesita tener acceso de forma local.

La vulnerabilidad ya ha sido parcheada por los mantenedores del kernel Linux, así que los usuarios más avanzados pueden aplicar el parche directamente o bien esperar a que los mantenedores de la distribución en uso lo suministren a través de una actualización estándar.

Fuente | The Hacker News

]]>
http://muyseguridad.net/2017/02/24/vulnerabilidad-linux-12-anos/feed/ 0
Fallos en Java y Python permiten saltarse firewalls a través inyecciones de FTP http://muyseguridad.net/2017/02/23/fallos-java-python-saltar-firewalls-inyeccion-ftp/ http://muyseguridad.net/2017/02/23/fallos-java-python-saltar-firewalls-inyeccion-ftp/#respond Thu, 23 Feb 2017 11:21:13 +0000 http://muyseguridad.net/?p=27505 Fallos en Java y Python permiten saltarse firewalls a través inyección de FTP

Se han descubierto fallos en Python y Java que permiten enviar emails no autorizados y saltarse las defensas de un firewall. Mientras que ambas tecnologías no sean parcheadas, un hacker puede aprovecharse de estas para lanzar ciberataques contra redes y otras infraestructuras.

Los fallos no parcheados residen en cómo Python y Java manejan enlaces de FTP (File Transfer Protocol), debido a que no se realiza ninguna comprobación de sintaxis en el parámetro del nombre del usuario, lo que abre la puerta a la inyección de código a través de ese protocolo (inyección de protocolo).

Alexander Klink, investigador en seguridad, publicó en su blog de forma detallada una vulnerabilidad de inyección de protocolo en el componente de Java XML eXternal Entity (XXE), que permite a los atacantes inyectar órdenes maliciosas no pertenecientes a FTP dentro de una petición de conexión a FTP.

Para demostrar que el ataque es cierto, Alexander muestra cómo un email no autorizado es enviado a través de SMTP (Simple Mail Transfer Protocol) en un intento de conexión a FTP. A pesar de que la conexión falla a la hora de intentar conectarse a través de FTP, los servidores que soportan dicho protocolo sí soportan la autenticación, no comprobando la presencia de retornos de carro (CR) o saltos de líneas (LF) en los nombres de usuario. Según el investigador, este es un escenario “donde se puede alcanzar (de forma no restringida, o sin spam ni filtros de malware) a un servidor de email interno desde una máquina que realice análisis de XML.”

Sin embargo esto no es todo, ya que otro investigator, Timothy Morgan, que trabaja en Blindspot Security, descubrió más posibilidades de amenaza cuando los manejadores de URL de FTP en Java y Python pueden ser usados para saltarse firewalls. El ataque se basaría en engañar al firewall de la víctima haciendo que acepte conexiones FTP desde la web al host vulnerable a través un puerto con un número alto, del 1024 al 65535.

La vulnerabilidad está presente en un problema de seguridad de hace 10 años encontrada en la versión clásica del protocolo FTP, concretamente en un mecanismo inseguro hallado en las interacciones desde el lado del cliente, pero que muchos firewalls siguen soportando por defecto. Cuando la conexión al modo clásico de FTP es iniciada, el firewall abre temporalmente un puerto entre 1024 y 65535, introduciendo así un riesgo a nivel de seguridad.

Mediante esta posibilidad de inyección de protocolo a través de Java y Python, un atacante que conozca la IP interna del host objetivo podría iniciar una conexión a través del modo clásico de FTP y así llevar a cabo sus acciones maliciosas. Morgan ha determinado que un atacante puede abrir un puerto en el firewall objetivo con solo tres peticiones, a lo que se suma la posibilidad de abrir más puertos:

  1. Identificar la IP interna de la víctima, requiriendo para ello que el atacante envíe una URL para ver cómo se comporta el cliente. Después se realizan otros envíos hasta que el ataque resulte un éxito.
  2. Determinar el alineamiento de los paquetes y asegurar que la orden de puerto sea inyectada en el momento adecuado, haciendo que el ataque funcione.
  3. Explotar la vulnerabilidad.
  4. Cada petición adicional puede ser usada para abrir otro puerto TCP.

Morgan avisa que el exploit puede ser usado para ataques man-in-the-middle, falsificaciones de solicitudes en el lado del servidor (SSRF), ataques XEE (XML External Entity) y mucho más. Por otro lado, una vez se haya saltado el firewall, los equipos de escritorio pertenecientes a la red pueden ser atacados sin la necesidad de que estos tenga Java o Python instalado. Lo único que se necesita para llevar a cabo el ataque es convencer a las víctimas para que accedan a programas maliciosos en Java o Python sobre el servidor para saltarse el firewall.

El fallo en Python fue reportado a la comunidad encargada de su desarrollo y mantenimiento en enero de 2016, mientras que el fallo en Java fue reportado a Oracle en noviembre de 2016. A día de hoy ninguno está parcheado.

Morgan ha desarrollado una prueba de concepto, pero está esperando respuestas por parte de Oracle y la comunidad de Python para ver si responden ante los problemas que tienen delante. Por otro lado, el investigador ha conseguido saltarse soluciones comerciales conocidas como los firewalls de Palo Alto Networks y Cisco ASA.

Como medida de precaución se recomienda desinstalar Java y Python de los ordenadores de escritorio, así como inhabilitar el soporte para el modo clásico de FTP.

Fuente | The Hacker News

]]>
http://muyseguridad.net/2017/02/23/fallos-java-python-saltar-firewalls-inyeccion-ftp/feed/ 0
KasperskyOS es un sistema diseñado para la seguridad de ICS y sistemas embebidos http://muyseguridad.net/2017/02/22/kasperskyos-seguridad-ics-sistemas-embebidos/ http://muyseguridad.net/2017/02/22/kasperskyos-seguridad-ics-sistemas-embebidos/#respond Wed, 22 Feb 2017 11:10:51 +0000 http://muyseguridad.net/?p=27488 KasperskyOS es un sistema diseñado para la seguridad de ICS y sistemas embebidos

La compañía de ciberseguridad rusa Kaspersky Lab ha anunciado recientemente la disponibilidad de KasperskyOS, un sistema operativo centrado en la seguridad y basado en la arquitectura de microkernel. No, no se trata de otro Linux. Por otro lado, no tiene el foco puesto en el escritorio, sino en dispositivos de red, Sistemas de Control Industrial (ICS) y el Internet de las Cosas (IoT).

KasperskyOS tiene como objetivo proteger a sistemas industriales y dispositivos embebidos de ciberataques, además de prevenir que código malicioso o procedente de un tercero no autorizado sea ejecutado. El propio Eugene Kaspersky, CEO de Kaspersky Lab, confirmó la existencia de este nuevo sistema operativo, del cual explicó que ha estado en desarrollo durante 14 años bajo el nombre en clave de 11-11. La cantidad de tiempo empleada se explica en que KasperskyOS está diseñado desde cero, sin basarse aparentemente en ningún software anterior.

La mayor presencia de sistemas embebidos y de dispositivos IoT abre otro nicho de mercado para las compañías relacionadas con la ciberseguridad, algo a lo cual hay que sumar la gran cantidad de dispositivos IoT inseguros en funcionamiento.

Kaspersky Lab argumenta que la mayoría de las empresas lidian con malware instalado en PC, por lo que solo es necesario desconectar la computadora infectada de la red para evitar su propagación. Sin embargo, los ICS suelen gestionar operaciones críticas o infraestructuras que tienen que estar operativas todo el tiempo, sin que puedan ser desconectadas en ningún momento. Esa situación convierte el malware desarrollado contra los ICS en un problema con el que es difícil lidiar, requiriendo para ello, según Kaspersky Lab, de una solución que se apoye en un sistema operativo seguro con estrictos requerimientos de seguridad, el cual tendría que reducir las posibilidades de ejecución de una funcionalidad no conocida y las de ciberataques contra ICS y dispositivos IoT.

Características básicas de KasperskyOS

Como hemos comentado al principio, es un sistema operativo que usa microkernel, así que no está basado en Linux. Además carece de interfaz gráfica, forzando así a usuarios y administradores a utilizarlo desde una interfaz de línea de comandos.

Con el fin de dar más confianza a los clientes, el código de KasperksyOS está disponible para que lo puedan revisar y asegurarse de que no contiene capacidades no documentadas. Por otro lado, incluye un motor independiente de seguridad que permite forzar las políticas que se ajusten mejor a los objetivos de seguridad.

No se trata de un sistema operativo de propósito general, sino que está diseñado para funcionar sobre ICS y dispositivos embebidos, incluyendo el Internet de las Cosas, equipos de telecomunicaciones y coches conectados a la red.

Puede ser aplicado en diferentes áreas a través de una personalización granular, algo para lo cual Kaspersky Lab ha desarrollado tres productos:

  • El sistema operativo (KasperskyOS).
  • Un hypervisor independiente (KSH) para ejecutar máquinas virtuales.
  • Un sistema para la interacción segura entre los componentes del sistema operativo (KSS).

Además de resolver problemas de seguridad, el sistema que nos ocupa también corrige problemas organizacionales y de empresa relacionadas con el desarrollo de aplicaciones seguras para dispositivos embebidos.

Fuente | The Hacker News

]]>
http://muyseguridad.net/2017/02/22/kasperskyos-seguridad-ics-sistemas-embebidos/feed/ 0
Google publica una vulnerabilidad mal parcheada en Windows http://muyseguridad.net/2017/02/21/google-vulnerabilidad-mal-parcheada-windows/ http://muyseguridad.net/2017/02/21/google-vulnerabilidad-mal-parcheada-windows/#respond Tue, 21 Feb 2017 10:36:30 +0000 http://muyseguridad.net/?p=27471 Google publica una vulnerabilidad mal parcheada en Windows

Project Zero de Google ha publicado una vulnerabilidad mal parcheada en Windows que afecta a las versiones del sistema de Microsoft desde Windows Vista SP2 hasta Windows 10.

No es la primera vez que el gigante de Mountain View saca los colores a la compañía de Redmond, ya que en el último trimestre del año pasado también publicó otra vulnerabilidad tan solo diez días después de comunicársela a Microsoft, movimiento que enojó a esta última. Sin embargo, Google ha esperado en esta ocasión 90 días para ver si Microsoft publicaba el correspondiente parche para las diferentes versiones de Windows afectadas.

La historia de esta vulnerabilidad mal parcheada se remonta al segundo trimestre de 2016, cuando el miembro de Project Zero Mateusz Jurczyk reportó el pasado 9 de junio al Equipo de Seguridad de Microsoft (Microsoft Security Team) una vulnerabilidad hallada en la librería de Interfaz de Dispositivos Gráficos (GDI, Graphics Device Interface) de Windows que afectaba a cualquier programa que usase dicha librería. En caso de explotada, podría permitir a los atacantes robar información alojada en memoria. La compañía de Redmond publicó un parche el 15 de junio de 2016, sin embargo, este no corregía todos los problemas que Project Zero encontró en GDI, lo que forzó a Mateusz Jurczyk a reportar de nuevo el problema el 16 de noviembre junto a una prueba de concpeto.

Tras pasar tres meses sin respuesta por parte de Microsoft, Project Zero de Google decidió aplicar su política estándar y hacer pública la vulnerabilidad con todos los detalles encontrados, incluyendo cómo podrían actuar hackers y otros actores maliciosos.

Aunque estos movimientos de Google generan a veces bastante revuelo, se puede decir a favor de los usuarios de Windows que la vulnerabilidad requiere de acceso físico a la computadora, no siendo explotable de forma remota.

Sin embargo, este problema sí ha afectado a Microsoft, que ha decidido retrasar el parche mensual de seguridad debido a “un problema de último minuto que podría impactar a algunos clientes y que no fue resuelto a tiempo para los planes de actualización”, pudiendo estar relacionado con la vulnerabilidad que estamos cubriendo en esta noticia. Por otro lado, este movimiento deja expuestos a muchos usuarios al no corregirse problemas graves que fueron detectados hace tiempo.

Fuente | The Hacker News

]]>
http://muyseguridad.net/2017/02/21/google-vulnerabilidad-mal-parcheada-windows/feed/ 0
Se puede romper la protección ASLR sobre 22 modelos de CPU solo con JavaScript http://muyseguridad.net/2017/02/20/romper-proteccion-aslr-22-modelos-cpu-javascript/ http://muyseguridad.net/2017/02/20/romper-proteccion-aslr-22-modelos-cpu-javascript/#respond Mon, 20 Feb 2017 10:08:48 +0000 http://muyseguridad.net/?p=27444 Se puede romper la protección ASLR de 22 modelos de CPU solo con JavaScript

Cinco investigadores de Vrije University, situada en Países Bajos, han conseguido romper la protección ASLR sobre 22 modelos de CPU realizando ataques mediante código JavaScript. Entre las marcas afectadas por este fallo de seguridad nos encontramos a Intel, AMD, ARM, Allwinner y NVIDIA, entre otros muchos.

El ataque, que ha recibido el nombre de ASLR^Cache o AnC, se enfoca en la Unidad de Gestión de Memoria (MMU), un componente no muy conocido incluido en muchas microarquitecturas de CPU y que se encarga de mejorar el rendimiento de las operaciones de gestión de la caché. Lo que han descubierto los investigadores es que este componente comparte porciones de su caché con aplicaciones no confiables, incluyendo navegadores web. Esto significa que han podido enviar código JavaScript malicioso teniendo como objetivo dicho espacio de memoria compartido para leer su contenido.

Los investigadores cuentan que su ataque sobre una arquitectura x86_64 “puede encontrar desplazamientos (dentro de una arquitectura de datos) que son accedidos por la MMU en cada una de las cuatro páginas de la tabla de paginación. El desplazamiento dentro de cada página rompe los nueve bits de entropía, por lo que incluso una implementación perfecta con 36 bits de entropía no resulta segura”. Explicando esto de forma más sencilla y entendible, significa que el ataque AnC puede romper la protección ASLR y podría permitir a un atacante leer porciones de memoria en una computadora. Esto podría abrir la puerta al aprovechamiento de exploits más complejos y escalar hasta acceder al sistema operativo completo.

ASRL es un mecanismo de protección implementado en la mayoría de los sistemas operativos, que se dedica a hacer aleatoria la localización en la cual un código es ejecutado en memoria. Rompiendo ASRL, un atacante podría conocer dónde se ejecuta un código y preparar un ataque que iría dirigido a la misma sección de memoria, pudiendo robar información sensible almacenada en la memoria del PC.

Los investigadores han conseguido llevar a cabo el ataque AnC con Firefox y Chrome sobre 22 modelos de CPU diferentes para saltar o romper protecciones incluidas en los propios navegadores, como los temporizadores de JavaScript. Pero esto no es lo peor, sino que además este ataque puede ser utilizado para “resucitar” problemas de seguridad que fueron corregidos hace una década.

Ante esta situación, los investigadores recomiendan utilizar algún complemento para navegadores que no permita la ejecución de JavaScript no confiable, como NoScript. Por otro lado, el equipo tras este descubrimiento tiene experiencia en ataques de rowhamming sobre la memoria RAM, usando esta técnica para comprometer software como Microsoft Edge, máquinas virtuales Linux y dispositivos Android.

Modelos de CPU sobre los cuales la protección ASLR ha sido comprometida a través del ataque AnC

Modelo de CPU Microarquitectura Año de lanzamiento
Intel Xeon E3-1240 v5 Skylake 2015
Intel Core i7-6700K Skylake 2015
Intel Celeron N2840 Silvermont 2014
Intel Xeon E5-2658 v2 Ivy Bridge EP 2013
Intel Atom C2750 Silvermont 2013
Intel Core i7-4500U Haswell 2013
Intel Core i7-3632QM Ivy Bridge 2012
Intel Core i7-2620QM Sandy Bridge 2011
Intel Core i5 M480 Westmere 2010
Intel Core i7 920 Nehalem 2008
AMD FX-8350 8-Core Piledriver 2012
AMD FX-8320 8-Core Piledriver 2012
AMD FX-8120 8-Core Bulldozer 2011
AMD Athlon II 640 X4 K10 2010
AMD E-350 Bobcat 2010
AMD Phenom 9550 4-Core K10 2008
Allwinner A64 ARM Cortex A53 2016
Samsung Exynos 5800 ARM Cortex A15 2014
Samsung Exynos 5800 ARM Cortex A7 2014
Nvidia Tegra K1 CD580M-A1 ARM Cortex A15 2014
Nvidia Tegra K1 CD570M-A1 ARM Cortex A15; LPAE  2014

Vídeos demostrativos

Fuente | BleepingComputer
Más información | Vrije University (1 y 2)

]]>
http://muyseguridad.net/2017/02/20/romper-proteccion-aslr-22-modelos-cpu-javascript/feed/ 0
Aparece para Mac un nuevo spyware ruso que roba contraseñas y backups de iPhones http://muyseguridad.net/2017/02/17/mac-spyware-roba-contrasenas-backups-iphones/ http://muyseguridad.net/2017/02/17/mac-spyware-roba-contrasenas-backups-iphones/#respond Fri, 17 Feb 2017 11:28:57 +0000 http://muyseguridad.net/?p=27430 Aparece para Mac un nuevo spyware ruso que roba contraseñas y backups de iPhones

Investigadores en seguridad de Bitdefender han descubierto esta semana un nuevo malware para Mac desarrollado por APT28, un grupo de ciberesiponaje ruso que presuntamente tiene vínculos con el gobierno del país euroasiático.

El malware es una nueva variante del spyware X-Agent, del cual aparecieron antes versiones para el resto de sistemas operativos mayoritarios: Windows, iOS, Android y dispositivos Linux. Sobre sus capacidades, está diseñado para robar contraseñas alojadas en los navegadores web, tomar capturas de pantalla, detectar configuraciones del sistema, ejecutar ficheros y hacerse con copias de seguridad de iPhones almacenadas en una computadora.

El grupo de ciberespionaje ruso APT28 ha utilizado una gran cantidad de nombres, entre los cuales están Fancy Bear, Sofacy, Sednit y Pawn Storm. Como ya hemos comentado, tiene presuntos vínculos con el gobierno de Rusia y está operativo desde 2007. Según Bitdefender, X-Agent para Mac se distribuye a través de un binario y una vez instalado en el sistema hace acto de “presencia en algunos módulos como FileSystem, KeyLogger y Remote Shell, así como un módulo de red similar llamado HttpChanel”. Al igual que en las versiones disponibles para los otros sistemas, este spyware se dedica a actuar como una puerta trasera con capacidades de avanzadas de ciberespionaje que pueden ser modificadas según los objetivos del ataque.

Además, X-Agent está planteado de forma que explote una vulnerabilidad hallada en el software MacKeeper instalado en las computadoras objetivo, empleando para ello un “soltador de malware” llamado Komplex. Una vez instalada, la puerta trasera comprueba la presencia de algún depurador para evitar su ejecución en caso de encontrarlo. Si no puede hacer esto, la puerta trasera espera a una conexión a Internet para comunicarse con su mando y control.

Para la conexión con el mando y control utiliza una serie de URL que suplantan los dominios de Apple además de soltar su carga útil en los módulos. Una vez haya conseguido conectarse con el mando y control con éxito, la carga útil envía un mensaje de saludo, para luego generar dos hilos de comunicación que se ejecutan en bucles infinitos. Uno de los hilos utiliza POST para enviar información al mando y control, mientras que el otro supervisa las peticiones GET para los comandos. Tras todo lo descrito, los investigadores de Bitdefender todavía están investigando cómo se realiza el ataque completo, ya que de momento solo tienen la muestra para Mac.

No es la primera vez que APT28 desarrolla un malware que ataca ordenadores Mac. Por otro lado, es uno de los grupos acusados de haber hackeado los servidores del Comité del Partido Demócrata el año pasado, durante la elección del candidato a la presidencia de Estados Unidos.

Fuente | The Hacker News

]]>
http://muyseguridad.net/2017/02/17/mac-spyware-roba-contrasenas-backups-iphones/feed/ 0
Se destapa otro ataque masivo contra cuentas de Yahoo! http://muyseguridad.net/2017/02/16/ataque-masivo-cuentas-yahoo/ http://muyseguridad.net/2017/02/16/ataque-masivo-cuentas-yahoo/#respond Thu, 16 Feb 2017 12:18:23 +0000 http://muyseguridad.net/?p=27417 Se destapa otra brecha de datos en Yahoo! que mina todavía más la imagen de la compañía

Yahoo! está enviando otra vez desde el miércoles emails de aviso sobre un nuevo ataque hacker que recibió en 2016 o 2015. No, este no es el caso de 2013 que afectó a 1.000 millones de usuarios, sino que se trata de otro distinto. De momento la compañía está investigando qué ha sucedido, aunque parece que los hackers usaron cookies falsificadas para acceder a cuentas sin usar contraseñas.

La compañía comunicó de forma disimulada sobre una brecha de datos en una actualización de seguridad correspondiente a diciembre de 2016, lo que hizo que el hecho pasara inadvertido ante los medios hasta hace poco. El mensaje que está enviando Yahoo! a sus usuarios es el siguiente:

Basándonos en una investigación en curso, creemos que una cookie falsificada ha podido ser empleada en 2015 o 2016 para acceder a tu cuenta.

El número total de usuarios afectados por este ataque todavía es desconocido, aunque la compañía ha confirmado que se accedió a las cuentas a través del servicio de correo electrónico de Yahoo!. Unos atacantes presuntamente apoyados por un estado pudieron crear las cookies falsificadas con software robado de los sistemas internos de Yahoo!, consiguiendo acceder a las cuentas de los usuarios sin usar contraseñas.

Cómo funciona el ataque empleado para realizar esta brecha de datos

En vez de robar contraseñas, los hackers engañan a través del navegador web diciendo a los servidores de la compañía que la víctima ya accedió anteriormente, utilizando para ello cookies falsificadas. Por lo general, cada vez que un usuario accede a un servicio web, este comprueba si existe una cookie pidiendo que recuerde una sesión iniciada anteriormente, indicando que no es necesario volver volver a introducir usuario y contraseña.

En Yahoo! están investigando la creación las cookies falsificadas con la ayuda de expertos forenses en computación, siendo la conclusión inicial que los hackers accedieron a un número todavía indeterminado de cuentas utilizando dichas cookies.

Al mismo tiempo que Yahoo! avisaba a sus usuarios sobre este nuevo ataque hacker, Verizon anunciaba la revisión a la baja del precio de adqusición de la parte central del negocio de Yahoo! debido a estos sucesos, con un recorte que podría superar los 250 millones de dólares.

Fuentes | The Hacker News y Bloomberg

]]>
http://muyseguridad.net/2017/02/16/ataque-masivo-cuentas-yahoo/feed/ 0
Microsoft quiere una versión de la Convención de Ginebra adaptada a la ciberguerra http://muyseguridad.net/2017/02/15/microsoft-convencion-de-ginebra-ciberguerra/ http://muyseguridad.net/2017/02/15/microsoft-convencion-de-ginebra-ciberguerra/#respond Wed, 15 Feb 2017 15:24:01 +0000 http://muyseguridad.net/?p=27405 Microsoft quiere una versión de la Convención de Ginebra adaptada a la ciberguerra

El presidente y jefe en asuntos legales de Microsoft, Brad Smith, ha publicado en una entrada el los blogs de la compañía su deseo de que exista una versión Digital de la Convención de Ginebra, debido al incremento de la tensión a nivel global producida por los ciberataques. El propósito de la compañía es proteger el uso civil de Internet.

El manifiesto relacionado con esta propuesta fue publicado ayer, en San Francisco (California, Estados Unidos), durante el discurso de apertura de la conferencia de la RSA. Entre sus argumentos aboga por establecer un código de las recientes normas internacionales sobre ciberguerra y crear una agencia independiente para analizar y responder a ataques cibernéticos. Además de esto, el presidente de Microsoft también hizo un llamamiento a la industria para que se una a la hora de proteger a los usuarios.

Según Brad Smith, realizar dicha versión digital de la Convención de Ginebra es necesaria debido a que la guerra en el ciberespacio implica infraestructura controladas por compañías privadas, entre las cuales están la propia Microsoft. También se menciona el brutal ataque hacker contra Sony en 2014, el cual fue atribuido al polémico régimen de Corea del Norte y que tuvo como objetivo a civiles.

En la entrada publicada en el blog de Microsoft, Smith comenta que “el sector de la tecnología funciona como los primeros respondedores ante los ataques de un estado-nación en Internet. Un ciberataque realizado por un estado-nación no es respondido inicialmente por otro estado-nación, sino por ciudadanos privados”. Para defender su postura, citó algunos de los casos con los que tuvo lidiar la compañía, requiriendo en una ocasión de una orden judicial para poder redirigir el tráfico y así bloquear un ataque. Además de pedir a las compañías que protejan a sus usuarios, también les pide que no ofrezcan asistencia para llevar a cabo ataques cibernéticos.

Sobre la agencia independiente que tendría que gestionar los casos de ciberataques, su composición sería similar a la del Organismo Internacional de Energía Atómica, incluyendo a participantes variados como gobiernos, la industria privada, el mundo académico y la sociedad civil. Esta agencia tendría poderes para investigar ataques y atribuir acciones particulares a ciertas naciones.

Aunque las intenciones de Microsoft de crear una especie de Convención de Ginebra digital son buenas, el actual contexto internacional, donde se aprecia un notable aumento del nacionalismo en los países, hace difícil la llegada a un acuerdo de este tipo.

Fuente | CSO Online

]]>
http://muyseguridad.net/2017/02/15/microsoft-convencion-de-ginebra-ciberguerra/feed/ 0
Chrome viola 3 patentes y eso le cuesta 20 millones de dólares a Google http://muyseguridad.net/2017/02/14/sandbox-chrome-viola-3-patentes-20-millones-google/ http://muyseguridad.net/2017/02/14/sandbox-chrome-viola-3-patentes-20-millones-google/#respond Tue, 14 Feb 2017 12:01:02 +0000 http://muyseguridad.net/?p=27383 Sandbox de Chrome viola 3 patentes y le cuesta 20 millones de dólares a Google

Después de litigar durante 5 años a través de los distintos niveles del sistema legal de Estados Unidos, una sentencia ordena a Google a pagar 20 millones de dólares a dos desarrolladores por la violación de tres patentes por parte del sandbox (aislamiento de procesos) empleado por Chrome, el famoso navegador web.

Los legítimos poseedores de dichas patentes, según la justicia estadounidense, son Alfonso J. Cioffi y la familia de Allen Rozman, que murió en 2012, poco después de presentar la demanda contra Google por violación de patentes. Ambas personas argumentaron en su momento que Google había violado cuatro patentes cuando fueron incluidas en el sandbox de Chrome, detallando cosas como la ejecución de un proceso separado cuando el navegador detecta una página web sospechosa, encerrándola en un entorno seguro para proteger los ficheros cruciales de la aplicación.

La sentencia inicial dio la razón a Google en 2013, pero la otra parte apeló para conseguir ganar en 2015 en el Circuito Federal de la Corte de Apelaciones de Estados Unidos. El elemento más decisivo para dictaminar ambas sentencias fue la frase “proceso de navegador web”, la cual según Google es demasiado genérica para describir las características antimalware incluidas en Chrome. Además, el gigante de Mountain View también argumentó que los dos ingeniero escribieron la patente de forma genérica adrede para poder demandar toda tecnología que tuviera una similitud aparente.

Ante la derrota, Google decidió realizar en 2015 una petición a la Corte Suprema de Estados Unidos, la cual ha sido denegada, por lo que la causa fue devuelta a la Corte de Distrito de Estados Unidos ubicada en el Este de Texas, que terminó confirmando la sentencia contra la multinacional. Así que Google tendrá que pagar 20 millones de dólares en forma de royalties, por lo que la cantidad puede aumentar conforme la popularidad de Chrome vaya subiendo.

Fuente | BleepingComputer

]]>
http://muyseguridad.net/2017/02/14/sandbox-chrome-viola-3-patentes-20-millones-google/feed/ 0
Mozilla quita veracidad a la recopilación de datos a través de Firefox para iOS http://muyseguridad.net/2017/02/13/mozilla-no-recopila-datos-firefox-ios/ http://muyseguridad.net/2017/02/13/mozilla-no-recopila-datos-firefox-ios/#respond Mon, 13 Feb 2017 11:51:40 +0000 http://muyseguridad.net/?p=27361 Mozilla quita veracidad a una noticia que dice que recopila datos con Firefox

Un portavoz de la Fundación Mozilla ha quitado veracidad a una noticia publicada en el periódico alemán Deutschlandfunk en la que se dice que el navegador web Firefox para iOS está recopilando datos a través de Firefox Klar, la versión alemana de la característica Firefox Focus.

Las acusaciones de recolección de datos se recogieron en una entrevista que Deutschlandfunk hizo a Peter Welchering, investigador en seguridad, quien acusó a Mozilla de estar recopilando datos para enviárselos a un tercero, concretamente a Adjust GmbH, empresa radicada en Alemania. Siendo más concretos sobre lo que realiza la aplicación, el investigador argumenta que Mozilla emplea la opción de “Enviar datos de uso de forma anónima”, la cual está activada por defecto para todos los nuevos usuarios, para la recolección de datos para Adjust GmbH. Sin embargo, Peter Welchering, junto a otro investigador llamado Hermann Sauer, no han sido capaces de especificar qué datos recolecta presuntamente la Fundación Mozilla, diciendo solamente que “la recolección de datos de los usuarios es bastante extensa”, siendo esto una afirmación más bien genérica.

El sitio web dedicado al soporte de Mozilla detalla qué datos recolecta a través de su aplicación y cuando lo realiza, admitiendo que los datos son enviados y guardados por Adjust y no por Mozilla. Según la fundación, Firefox Focus incluye Adjust SDK, el cual ha sido incluido en las versiones de Firefox para Android e iOS, además de Firefox Focus y su versión alemana, Klar. Entre los datos recopilados se encuentran identificadores de publicidad, dirección IP, marca de tiempo, país, idioma y localización, sistema operativo y versión de la aplicación.

Por otro lado, Firefox Focus, Firefox Klar y Firefox para iOS y Android también envían ocasionalmente resúmenes sobre la frecuencia de uso de la aplicación, recopilando solo información sobre cuántas veces ha estado activa y cuando. Firefox Focus y Firefox Klar también informan de forma anónima sobre algunas de las características usadas por los usuarios, como los filtros específicos seleccionados y cuantas veces fueron presionados los botones de búsqueda, navegación y eliminar.

El blogger Günter Born echó más gasolina al fuego al publicar en una entrada una comparativa entre lo mostrado por Mozilla y lo que realmente hay en Firefox para iOS, acusando a la fundación de ocultar que la recolección de datos está activada por defecto.

Lo que muestra Mozilla sobre la recolección de datos en Firefox para iOS

Lo que realmente hay sobre la recolección de datos en Firefox para iOS

Mozilla dice que la información publicada tiene errores importantes

En BleepingComputer se pusieron en contacto con Mozilla tras hacerse eco de esta polémica. La fundación argumenta que Firefox Klax no está disponible para Android y que no envía información que no ha sido “anonimizada”, además de que no rastrea el historial de navegación de los usuarios.

Por otro lado, reivindica que Adjust es una empresa alemana que cumple con las leyes sobre la privacidad alemanas. El portavoz de Mozilla se atrevió a ir más lejos, diciendo que las personas encargadas de la entrevista no se pusieron en contacto con ellos para obtener una información más detallada.

Los investigadores alemanes que han denunciado esto no han sido capaces de especificar la información privada presuntamente recopilada por Mozilla, aunque la fundación posiblemente sí tendría que inhabilitar por defecto la recolección de datos anónimos.

Fuente | BleepingComputer

]]>
http://muyseguridad.net/2017/02/13/mozilla-no-recopila-datos-firefox-ios/feed/ 0