MuySeguridad http://muyseguridad.net Tue, 28 Mar 2017 09:13:18 +0000 es-ES hourly 1 Reino Unido insiste en la inclusión de puertas traseras en los servicios de mensajería http://muyseguridad.net/2017/03/28/reino-unido-puertas-traseras/ http://muyseguridad.net/2017/03/28/reino-unido-puertas-traseras/#respond Tue, 28 Mar 2017 09:13:18 +0000 http://muyseguridad.net/?p=27876 Reino Unido insiste en la inclusión de puertas traseras en los servicios de mensajería

El gobierno de Reino Unido ha planteado de nuevo la inclusión de puertas traseras en los servicios de mensajería cifrados, argumentando que no es capaz de garantizar la seguridad de sus ciudadanos debido a que los terroristas se apoyan en dichos servicios para comunicarse y planificar sus ataques.

Esta petición llega poco después del reciente ataque terrorista sucedido en Londres. El gobierno británico ha sido tajante a la hora de de acusar a las compañías tecnológicas de haber un dado “un lugar oculto” a los terroristas, forzando a las agencias de inteligencia a tener que lidiar con aplicaciones de mensajería cifrados como WhatsApp para prevenir ataques.

Las autoridades de Reino Unido han dicho que Khalid Masood, el terrorista de 52 años que llevó a cabo el atentado, estuvo activo en WhatsApp solo dos minutos antes de iniciar su ataque delante del parlamento británico, en Westminster, matando a tres personas mediante atropello y a otra por apuñalamiento, además de haber dejado a otras 50 heridas.

Amber Rudd, Ministra de Interior de Reino Unido, dijo lo siguiente en el Andrew Marr Show, un programa de televisión emitido por la BBC:

Tenemos que asegurarnos de que organizaciones como WhatsApp y similares no ofrezcan un lugar secreto para los terroristas que les permita comunicarse entre ellos. Lo que se solía hacer era abrir sobres mediante vapor o bien escuchar a través de teléfono cuando se quería saber lo que estaba haciendo la gente, legalmente, a través de una garantía. Pero en esta situación necesitamos asegurarnos que nuestros servicios de inteligencia tengan la capacidad de lidiar con situaciones como un WhatsApp cifrado.

No es la primera vez que Reino Unido muestra sus intenciones de forzar a los proveedores de servicios cifrados a incorporar puertas traseras que faciliten la tarea de los servicios de inteligencia. Sin embargo, para calmar los ánimos, Amber Rudd también comentó que de momento el gobierno británico no se está planteando llegar a ese extremo, habiendo invitado a las principales tecnológicas mundiales a una reunión que se celebraría el jueves para abordar este asunto.

La Ministra de Interior también hizo hincapié en que el gobierno no tiene intención de acceder a los mensajes de forma indiscriminada, pero aquí su credibilidad hace aguas si miramos las recientes filtraciones de WikiLeaks. Por otro lado, no se puede negar que el reciente atentado terrorista ha vuelto a poner sobre la mesa el debate entre seguridad y privacidad.

Fuente | The Hacker News

]]>
http://muyseguridad.net/2017/03/28/reino-unido-puertas-traseras/feed/ 0
Google Chrome desconfía de Symantec tras la emisión indebida de 30.000 certificados http://muyseguridad.net/2017/03/27/google-chrome-desconfia-symantec-30000-certificados/ http://muyseguridad.net/2017/03/27/google-chrome-desconfia-symantec-30000-certificados/#respond Mon, 27 Mar 2017 11:15:17 +0000 http://muyseguridad.net/?p=27853 Google Chrome desconfía de Symantec tras la emisión indebida de 30.000 certificados

Google ha anunciado sus planes de castigar a Symantec por sus certificados no confiables, debido a que esta última ha sido pillada emitiendo de forma indebida 30.000 certificados de Validación Extendida (EV, Extended Validation) en los últimos años.

El estado de Validación Extendida de todos los certificados emitidos por las autoridades de Symantec ya no será reconocido por Google Chrome durante al menos un año, hasta que la compañía de seguridad informática corrija los errores (según Google) en la emisión de sus certificados con el fin de que puedan ser de nuevo confiables. El movimiento de considerar los certificados de Symantec como no confiables en Google Chrome procede de Ryan Sleevi, un ingeniero que forma parte del equipo tras el desarrollo del conocido navegador web.

Los certificados de Validación Extendida ofrecen supuestamente el nivel más alto de confianza y autenticación. Antes de ser emitidos, la autoridad certificadora tiene que verificar si las peticiones de las entidades son legales en existencia e identidad. Una de las partes más importantes del ecosistema de SSL es la confianza, si una autoridad certificadora no verifica correctamente la existencia e identidad legal de una entidad antes de emitir los certificados de Validación Extendida para sus dominios, la credibilidad de esos certificados podría verse comprometida.

El equipo de Google empezó la investigación el pasado 19 de enero y encontró que las políticas de emisión de certificados de Symantec en los últimos años era deshonesta y podría amenazar la integridad del sistema TLS, el cual es utilizado para autenticar y asegurar los datos de conexiones en Internet.

Viendo la situación, Google ha propuesto seguir los siguientes pasos como castigo a Symantec:

  1. Los certificados de Validación Extendida emitidos por Symantec serán devaluados a certificados de dominios validados menos seguros. Esto significa que Google Chrome dejará de mostrar el nombre del dominio validado en la barra de direcciones durante un periodo de un año.
  2. Para minimizar los riegos de una mayor emisión indebida de certificados, los nuevos certificados que se vayan a emitir tienen que tener períodos de validez no superiores a 9 meses para ser confiables en Google Chrome.
  3. Google propone una desconfianza incremental, disminuyendo gradualmente el tiempo máximo de funcionamiento de los certificados de Symantec en las distintas versiones de Google Chrome, requiriendo de volver a emitir y validar los certificados una vez superado el periodo de tiempo establecido por Google.

Este sería el calendario que aplicaría el equipo de Google Chrome a los certificados de Symantec:

  • Chrome 59 (Dev, Beta, Stable): 33 meses de validez (1023 días).
  • Chrome 60 (Dev, Beta, Stable): 27 meses de validez (837 días).
  • Chrome 61 (Dev, Beta, Stable): 21 meses de validez (651 días).
  • Chrome 62 (Dev, Beta, Stable): 15 meses de validez (465 días).
  • Chrome 63 (Dev, Beta): 9 meses de validez (279 días).
  • Chrome 63 (Stable): 15 meses de validez (465 días).
  • Chrome 64 (Dev, Beta, Stable): 9 meses de validez (279 días).

Esto significa que Google Chrome solo confiará en los certificados con hasta nueve meses de validez (279 días) a partir de Chrome 64 en todos los canales de desarrollo. Además, el gigante de Mountain View espera que los desarrolladores web sean conscientes de los riesgos que entrañan los certificados de Symantec.

La reacción de Symantec

La compañía de seguridad informática y autoridad certificadora ha respondido a Google diciendo que su reacción ha sido “exagerada y engañosa.”

Además de irresponsable, Symantec ha acusado al gigante del buscador de tener especial fijación sobre ella, debido a que “mientras que todas las grandes autoridades certificadoras han tenido eventos de mala emisión de certificados, Google ha señalado solo a la autoridad certificadora Symantec en su propuesta, incluso habiendo identificado eventos de mala emisión de otras autoridades certificadoras en la publicación del blog de Google.”

Veremos cómo acaba este conflicto entre Google y la entidad certificadora, porque el asunto podría traer cola.

Fuente | The Hacker News

]]>
http://muyseguridad.net/2017/03/27/google-chrome-desconfia-symantec-30000-certificados/feed/ 0
El informe de seguridad Android 2016 muestra los terminales más parcheados http://muyseguridad.net/2017/03/24/informe-seguridad-android-2016/ http://muyseguridad.net/2017/03/24/informe-seguridad-android-2016/#respond Fri, 24 Mar 2017 15:13:00 +0000 http://muyseguridad.net/?p=27833 El informe de seguridad Android 2016 muestra los terminales más parcheados

Android no es un sistema operativo que tenga fama de ser seguro y son muchos los que denuncian que su ecosistema está, al menos aparentemente, descontrolado. Por otro lado, el hecho de que las actualizaciones dependan de los fabricantes provoca que muchos parches de seguridad no lleguen a muchos terminales o bien lo hacen con retraso.

Google es consciente de la mala fama que tiene su sistema operativo en lo que respecta a la seguridad, por lo que desde hace años está tomando medidas y publicando informes, tocando este año el correspondiente al año 2016.

Lo primero que se puede destacar es que Google ha añadido diversas características para mejorar la seguridad de Android, las cuales están presentes en Android 7 Nougat. La primera de esas características es un proceso de arranque simplificado, el cual hace la instalación de las actualizaciones OTA mucho más fáciles. También son dignas de mención el cifrado del sistema de ficheros y la reconstrucción a nivel de arquitectura de ciertos componentes para evitar ataques del tipo Stagefright.

Además, Google ha tomado medidas para impulsar mejores prácticas de seguridad entre los desarrolladores que publican en la Play Store, incluyendo 18 campañas para notificarles sobre vulnerabilidades. La compañía también tiene su propio conjunto de herramientas para proteger a los usuarios, con la característica Verify Apps incluida en todos los móviles con Play Services habilitado para escanear aplicaciones y código malicioso.

Tampoco se puede obviar el programa de recompensas, con el cual se ha patrocinado a investigadores para que reporten vulnerabilidades halladas en Android, habiéndose pagado a través de él cerca de un millón de dólares a 125 equipos de investigación. Google también ha estado presente en competiciones externas de búsqueda de vulnerabilidades, lo que permitió la realización de parches en menos de 24 horas para luego suministrárselas a los usuarios en menos de un mes.

Otro punto importante es que Google no solo ha publicado datos relacionados con lo suyo en torno a Android (concretamente, la rama principal de desarrollo del sistema operativo), sino también la lista de los dispositivos que han aplicado la mayor cantidad de parches de seguridad en 2016:

  • Google Pixel.
  • Google Pixel XL.
  • Motorola Moto Z Droid.
  • Oppo A33W.
  • Nexus 6P.
  • Nexus 5X.
  • Nexus 6.
  • OnePlus 3.
  • Samsung Galaxy S7.
  • Asus Zenfone 3.
  • bq Aquarius M5.
  • Nexus 5.
  • Vivo V3Max.
  • LG V20.
  • Sony Xperia X Compact.

La presencia de una gran cantidad de terminales de Google no es algo que deba sorprendernos, ya que estos son mantenidos a nivel de software por la misma compañía, lo que garantiza un soporte muy diligente a la hora de suministrar parches y mejoras a nivel de seguridad.

Lo comentado en el párrafo anterior choca con el deficiente soporte ofrecido por muchos fabricantes que no suministran los parches de seguridad con diligencia o bien ni lo hacen. Por otro lado, la lenta adopción de Nougat está impidiendo que muchos usuarios de Android puedan obtener lo mejor a nivel de seguridad ofrecido por este sistema operativo.

Fuente | PhoneArena

]]>
http://muyseguridad.net/2017/03/24/informe-seguridad-android-2016/feed/ 0
Infografía: Cómo elaborar una estrategia de Ciberseguridad Nacional http://muyseguridad.net/2017/03/24/infografia-estrategia-ciberseguridad-nacional/ http://muyseguridad.net/2017/03/24/infografia-estrategia-ciberseguridad-nacional/#respond Fri, 24 Mar 2017 09:08:09 +0000 http://muyseguridad.net/?p=27831 ciberestafas en Navidad

Según un informe de Experis, del que informábamos en enero, las compañías demandarán 2,5 millones de expertos en seguridad TIC en los próximos tres años a nivel mundial, mientras que en el mercado sólo habrá un millón de candidatos disponibles.

Dentro de estos demandantes de profesionales no solo se encuentra la empresa privada sino también hay que destacar el papel que jugará la Administración, quien se espera que sea uno de los principales reclutadores de ciberexpertos para proteger sus infraestructuras. De hecho, como indican en esta infografía, la capacidad de los Estados para hacer frente a posibles problemas de ciberseguridad ha pasado a ser un elemento estratégico para sobrevivir y prosperar en el complejo tramado geopolítico en que nos encontramos.

En el documento también explican en qué consiste la Estrategia de Ciberseguridad Nacional(española) aprobada en 2013, donde se regulaba cómo se debían afrontar, a nivel nacional, los diferentes desafíos que supone proteger la red de todo un país.

DESCARGAR

 

]]>
http://muyseguridad.net/2017/03/24/infografia-estrategia-ciberseguridad-nacional/feed/ 0
Aparece un malware en forma de macro de Microsoft Word que ataca a Windows y Mac http://muyseguridad.net/2017/03/23/malware-macro-word-ataca-windows-mac/ http://muyseguridad.net/2017/03/23/malware-macro-word-ataca-windows-mac/#respond Thu, 23 Mar 2017 12:00:36 +0000 http://muyseguridad.net/?p=27818 Aparece un malware en forma de macro de Microsoft Word que ataca a Windows y Mac

Después de no haber estado en primera línea durante mucho tiempo, el malware construido con marcos de Microsoft Word (u otras aplicaciones del suite ofimática Microsoft Office) está empezando a tener repercusión de nuevo.

¿A qué viene este repunte? Posiblemente algunas personas malintencionadas estén intentando sacar provecho de las capacidades multiplataforma de Microsoft Office, ya que además de ser un emblema del gigante de Redmond en combinación con el sistema operativo Windows, también tiene una fuerte presencia en Mac.

Investigadores de Symantec y Synack descubrieron el pasado mes de febrero la primera macro maliciosa de Word plenamente funcional sobre macOS. En aquella ocasión se descubrió la utilización de código Python embebido en un script de marco, el cual descargaba una carga útil (aunque maliciosa) desde un servidor remoto. Debido a que el servidor de mando y control estaba caído, los investigadores no pudieron averiguar la misión de la carga útil.

Más recientemente, concretamente la semana pasada, investigadores de Fortinet descubrieron otro fichero de Microsoft Word similar al descrito en el párrafo anterior y que también hace uso de código Python embebido en un script de marco. Sin embargo, en este caso la rutina ejecutada es diferente, ya que la macro comprueba el sistema operativo en uso (Windows o macOS), conteniendo dos versiones diferentes del código malicioso en Python.

Ambos scripts tienen comportamientos casi idénticos debido a que sus propósitos son los mismos, utilizando módulos del framework Meterpreter para contactar con el mando y control y realizar la petición final de descarga de la carga útil. Pero como en la ocasión anterior, los investigadores también se encontraron con un servidor de mando y control caído, por lo que no se puede saber qué misión llevaba a cabo la carga útil tanto en Windows como en Mac.

Algunos expertos están avisando que este documento malicioso es más peligroso en Mac que en Windows, no por motivos técnicos, sino porque los usuarios del sistema de Microsoft están más acostumbrados a lidiar con este tipo de cosas.

Por otro lado, esto es otra muestra más del avance del uso de las tecnologías multiplataforma para crear malware que afecte a varios sistemas operativos. Antes de este documento de Microsoft Word, ya comentamos sobre un ransomware hecho con JavaScript y otro malware multiplataforma hecho con Qt, una librería gráfica muy popular en Linux que también sirve para crear programas y aplicaciones para todos los sistemas operativos con presencia destacable en el mercado.

Fuente | BleepingComputer | 1 y 2

]]>
http://muyseguridad.net/2017/03/23/malware-macro-word-ataca-windows-mac/feed/ 0
El ataque sin parchear DoubleAgent permite secuestrar cualquier versión de Windows http://muyseguridad.net/2017/03/22/sin-parchear-doubleagent-secuestrar-windows/ http://muyseguridad.net/2017/03/22/sin-parchear-doubleagent-secuestrar-windows/#comments Wed, 22 Mar 2017 12:52:15 +0000 http://muyseguridad.net/?p=27799 La vulnerabilidad sin parchear DoubleAgent permite secuestrar cualquier versión de Windows

El equipo de seguridad informática israelí Cybellum ha descubierto una vulnerabilidad en Windows que podría permitir a los hackers tomar el control total del sistema operativo.

Llamada DoubleAgent, la vulnerabilidad es un ataque de inyección de código que funciona en todas las versiones del sistema operativo Windows con una cuota de mercado destacable, desde Windows XP hasta Windows 10. Pero lo peor es que DoubleAgent deriva de una característica legítima no documentada del sistema operativo llamada Verificador de Aplicaciones (Application Verifier), la cual no ha sido parcheada.

El Verificador de Aplicaciones es una herramienta de verificación en tiempo ejecución que carga ficheros DLL en un proceso con el fin de testearlo, permitiendo a los desarrolladores detectar y corregir rápidamente errores en el código de un programa o una aplicación.

Cómo se ejecuta el ataque contra el Verificador de Aplicaciones

La vulnerabilidad se encuentra en cómo Application Verifier maneja los DLL. Según los investigadores, como parte del proceso, los DLL están enlazados a un proceso objetivo en una entrada del Registro de Windows. Los atacantes pueden reemplazar los DLL legítimos por otros maliciosos.

Simplemente creando una clave del Registro de Windows con el mismo nombre que la aplicación que se quiere secuestrar, un atacante puede ofrecer su propio verificador DLL personalizado que sería inyectado en el proceso legítimo de una aplicación.

Una vez que los DLL han sido inyectados, algo que se produce en el arranque del proceso, el atacante puede hasta tomar el control total del sistema y llevar a cabo acciones maliciosas, pudiéndose mencionar la instalación de puertas traseras, malware persistente, secuestro de los permisos de un proceso confiable existente y hasta la posibilidad de poder secuestrar las sesiones de otros usuarios.

Los investigadores se centraron en los antimalware

Los investigadores centraron sus demostraciones de DoubleAgent en los antimalware, pero hay que tener en cuenta que puede llevar a cabo contra cualquier aplicación o programa presente en Windows, incluyendo el propio sistema operativo. El motivo de por qué se centraron en esas aplicaciones fue porque suelen representar la principal defensa del sistema operativo.

Los investigadores de Cybellum llegaron bastante lejos utilizando la técnica que permite explotar DoubleAgent, consiguiendo corromper un antimalware para que actuara de forma similar a un ransomware. Para empeorar aún más las cosas, el ataque resulta difícil de bloquear debido a que el código malicioso puede volverse a inyectar en un proceso legítimo después de que el sistema lo haya reiniciado, gracias a la clave persistente del registro.

La lista de los malware afectados es la siguiente:

  • Avast (CVE-2017-5567)
  • AVG (CVE-2017-5566)
  • Avira (CVE-2017-6417)
  • Bitdefender (CVE-2017-6186)
  • Trend Micro (CVE-2017-5565)
  • Comodo
  • ESET
  • F-Secure
  • Kaspersky
  • Malwarebytes
  • McAfee
  • Panda
  • Quick Heal
  • Norton

Después de secuestrar el antimalware, los atacantes pueden usar el ataque DoubleAgent para inhabilitar la seguridad ofrecida por el producto, volviéndolo ciego de cara al malware y los ciberataques y pudiendo también utilizar el mismo antimalware como un proxy para lanzar ataques contra una computadora concreta o una red, elevar los privilegios del usuario que está ejecutando código malicioso, esconder el tráfico malicioso, filtrar datos, dañar el sistema operativo o provocar una denegación de servicio.

Después de más de 90 días, casi todos los desarrolladores de antimalware no han movido ficha para parchear sus productos

Cybellum reportó los problemas a todos los desarrolladores de los antimalware vulnerables hace más de 90 días, sin embargo, solo Malwarebytes y AVG han publicado un parche que neutralice la vulnerabilidad. Trend-Micro tiene planeado lanzar pronto el suyo, pero el resto todavía no ha movido ficha para resolver el problema, al menos aparentemente.

Como forma de mitigación, Cybellum ha recomendado a los vendedores de antimalware cambiar Application Verifier por Protected Processes, el cual es un mecanismo que protege a los servicios de los antimalware contra los ataques, no permitiendo que otras aplicaciones puedan inyectar código sin firmar. Sin embargo, es importante decir que dicho mecanismo solo está presente en Windows Defender.

Además del vídeo puesto antes, Cybellum también ha publicado una prueba de concepto en GitHub y dos entradas en su blog (1 y 2) detallando información sobre DoubleAgent.

Fuente | The Hacker News

]]>
http://muyseguridad.net/2017/03/22/sin-parchear-doubleagent-secuestrar-windows/feed/ 1
Un hacker demuestra lo fácil que es secuestrar una cuenta de Windows http://muyseguridad.net/2017/03/21/facil-secuestrar-cuenta-windows/ http://muyseguridad.net/2017/03/21/facil-secuestrar-cuenta-windows/#comments Tue, 21 Mar 2017 09:53:11 +0000 http://muyseguridad.net/?p=27785 Un hacker demuestra lo fácil que es secuestrar una cuenta de Windows

Alexander Korznikov, un investigador en seguridad israelí, ha publicado una manera de secuestrar la sesión de una cuenta de Windows con más privilegios que la actualmente en ejecución, utilizando para ello la línea de comandos. En caso de ser la cuenta secuestrada un administrador, el hacker podría conseguir acceso completo a la red, incluyendo los servicios de dominio.

La situación se vuelve algo más preocupante si se tiene en cuenta que, según el investigador, esta técnica se puede poner en práctica sin que salten los avisos. La técnica también se puede aplicar desde un administrador para secuestrar usuarios con menos privilegios en el sistema, los cuales no suelen tener un acceso muy amplio a una red, pero sí ejecutan aplicaciones importantes dentro de una corporación o bases de datos corporativas.

Korznikov explica lo siguiente en un vídeo publicado en YouTube:

Un empleado de un banco tiene acceso al sistema de cobros y a sus credenciales para acceder. Un día, accede al sistema de cobros y empieza a trabajar. En el tiempo del almuerzo él bloquea su estación de trabajo. Entonces el administrador del sistema accede con su cuenta a la estación de trabajo del empleado. Cumpliendo las políticas del banco, el administrador no tendría que tener acceso al sistema de cobros, pero con un par de comandos introducidos en Windows, el administrador puede secuestrar el escritorio del empleado, el cual está todavía bloqueado. Ahora, el administrador puede ejecutar acciones maliciosas en el sistema de cobros haciendo uso de la cuenta del empleado.

Además de aportar el vídeo que demuestra su punto de vista, el investigador ha llamado a este problema una “vulnerabilidad de alto riesgo”, aunque también muestra sus dudas sobre si se trata de una característica de Windows o bien un fallo serio.

La documentación de Microsoft explica lo que puede abarcar y las limitaciones de la herramienta de línea de comandos (CMD), la cual dice que tendría que fallar a la hora de introducir una contraseña incorrecta, siendo esto lo que cuestiona Korznikov. Por otro lado, se ha podido ejecutar el secuestro de cuenta con éxito en varias versiones soportadas de Windows (7, 10, Server 2008 y Server 2012 R2), pudiendo abarcar todas las actualmente mantenidas por Microsoft. Pese a todo, Korznikov no ha reportado esto a Microsoft.

“Todo administrador puede suplantar cualquier cuenta de usuario local, ya sea accediendo físicamente o bien mediante escritorio remoto”, explica el investigador. “Desafortunadamente, no se si hay algún tipo de parche y no se qué recomendaciones podría haber. Reportando esto a Microsoft tomará seis meses hasta que el problema sea resuelto, así que quiero avisar a todo el mundo sobre esto tan pronto como sea posible”, continuó.

Korznikov no es el único que ha reportado este aparente fallo de seguridad, ya que en 2011, un investigador francés llamado Benjamin Delpi reportó algo similar (pasado por Google Translate). Por su parte, un portavoz de Microsoft ha explicado que el presunto fallo “no es una vulnerabilidad de seguridad, ya que requiere permisos de un administrador local sobre la máquina.”

Fuente | ZDNet

]]>
http://muyseguridad.net/2017/03/21/facil-secuestrar-cuenta-windows/feed/ 1
Red Hat publica su informe de riesgo de seguridad del producto 2016 http://muyseguridad.net/2017/03/20/red-hat-informe-riesgo-seguridad-producto-2016/ http://muyseguridad.net/2017/03/20/red-hat-informe-riesgo-seguridad-producto-2016/#respond Mon, 20 Mar 2017 11:19:29 +0000 http://muyseguridad.net/?p=27771 Red Hat publica su informe de riesgo de seguridad del producto 2016

El Equipo de Seguridad del Producto de Red Hat, la compañía más relevante de las que tienen a Linux como parte central de su negocio, ha publicado este mes su informe correspondiente al año 2016, en el cual se ofrece información sobre las amenazas y vulnerabilidades halladas en todos sus productos.

Entre todos los descubrimientos plasmados en el informe, se pueden destacar los siguientes tres puntos:

  • Solo mirando los problemas que afectaron a Red Hat Enterprise Linux, se encontraron 38 avisos críticos que abordaron 50 vulnerabilidades críticas. Todas ellas fueron corregidas el mismo o un día después de hacerse públicas.
  • Durante el mismo periodo de tiempo, a través de todo el catálogo de Red Hat, el 76% de los problemas críticos tuvieron actualizaciones para corregirlos el mismo día o siguiente después de hacerse públicos, con un 98% que fueron corregidos como mucho una semana después de hacerse públicos.
  • El Equipo de Seguridad del Producto de Red Hat ayuda a los clientes a determinar el impacto actual de una vulnerabilidad. La mayoría de los problemas hallados en 2016 no afectaban a ninguna marca concreta.

Riesgos de seguridad que han afectado a productos de Red Hat con su origen

Contando todos los productos de Red Hat, se corrigieron en total unas 1.300 vulnerabilidades a través de la publicación de 600 avisos de seguridad en 2016. Las vulnerabilidades más críticas fueron halladas en el navegador o sus componentes, por lo que las instalaciones de Red Hat Enterprise Linux a nivel de servidor quedaron afectadas por vulnerabilidades menos severas. Según la compañía, una forma de reducir los riesgos es apostando por sus productos modulares, los cuales aseguran la instalación la variante correcta y la revisión del conjunto de paquetes, eliminando lo que no es necesario.

La compañía resalta en su informe el duro trabajo que supone la supervisión y corrección a nivel de seguridad de sus productos, debido a que estos están compuestos por miles de paquetes individuales. Por otro lado, también se recalca que “el manejo de vulnerabilidades a través de miles de componentes de terceros es una tarea significante”, lo que da a entender que Red Hat tiene que lidiar con problemas procedentes de distintos frentes.

El Equipo de Seguridad del Producto de Red Hat tiene un gran reconocimiento por parte de la comunidad Linux, habiendo investigado más de 2.600 potenciales vulnerabilidades que podrían afectar a los productos de la compañía, corrigiendo un total de 1.346 vulnerabilidades. Esto supone un aumento del 30% con respecto 2015, cuando el equipo investigó unas 2.000 potenciales vulnerabilidades.

En 2016, el 29% de las vulnerabilidades (394) fueron corregidas antes de hacerse públicas, suponiendo una disminución con respecto al 32% de 2015. La compañía espera que este dato varíe año tras año. Por otro lado, el tiempo de embargo (estado en el que una vulnerabilidad puede no hacerse pública) medio de las vulnerabilidades fue de 7 días, reduciendo de forma notable los 13 días de 2015.

Origen de las vulnerabilidades halladas en 2016 por el Equipo de Seguridad del Producto de Red Hat

Fuente | Red Hat (más información en el PDF)

]]>
http://muyseguridad.net/2017/03/20/red-hat-informe-riesgo-seguridad-producto-2016/feed/ 0
Intel inicia un programa de recompensas por hallar vulnerabilidades en sus productos http://muyseguridad.net/2017/03/17/intel-programa-recompensas-vulnerabilidades/ http://muyseguridad.net/2017/03/17/intel-programa-recompensas-vulnerabilidades/#respond Fri, 17 Mar 2017 12:32:44 +0000 http://muyseguridad.net/?p=27750 Intel inicia un programa de recompensas por hallar vulnerabilidades en sus productos

Intel ha iniciado a través de HackerOne su primer programa de recompensas por hallar vulnerabilidades en sus productos, abarcando el software de la compañía, vulnerabilidades en el firmware y también en el mismo hardware.

La recompensa a recibir dependerá de la gravedad de la vulnerabilidad descubierta. Se utilizará la calculadora CVSS 3.0 para obtener la puntuación definitiva sobre la gravedad y determinar así la cuantía en dinero a abonar por parte de Intel. Las recompensas más bajas son de 500 dólares estadounidenses, que corresponden a las vulnerabilidades de severidad baja correspondientes al software de Intel y al firmware, mientras que la más alta, de 30.000 dólares, solo se otorgará a aquellos que descubran una vulnerabilidad crítica a nivel de hardware.

Recompensas por las vulnerabilidades halladas en los productos de Intel

Sin embargo, no todo lo relacionado con Intel está dentro del programa de recompensas, habiendo sido excluido lo siguiente:

  • Productos de Intel Security (McAfee).
  • Productos de terceros y Open Source.
  • La infraestructura web de Intel.
  • Adquisiciones recientes realizadas por la compañía, las cuales solo podrían entrar tras pasar 6 meses de completarse totalmente la operación.

Intel pretende con este programa de recompensas dar reconocimiento a aquellas personas que ayudan a mejorar sus productos a través de la investigación y el descubrimiento de vulnerabilidades.

Vulnerabilidades de hardware, aún más preocupantes que las de software

Aunque la seguridad tiende, al menos desde el punto de vista mediático, a centrarse en el software a partir del sistema operativo, las vulnerabilidades de hardware y firmware pueden terminar siendo aún más peligrosas, ya que estas pueden ser usadas contra todo tipo de sistemas operativos en caso de ser explotadas con ese propósito mediante malware, además de que las actualizaciones del sistema operativo no las corrige, necesitando para ello de un “flasheo” a nivel de ROM.

Fuente | Softpedia

]]>
http://muyseguridad.net/2017/03/17/intel-programa-recompensas-vulnerabilidades/feed/ 0
HackForGood 2017 congrega a 1.500 hackers de 23 universidades http://muyseguridad.net/2017/03/16/hackforgood-2017/ http://muyseguridad.net/2017/03/16/hackforgood-2017/#respond Thu, 16 Mar 2017 10:18:32 +0000 http://muyseguridad.net/?p=27742 HackForGood 2017 congrega a 1.500 hackers de 23 universidades

La semana pasada se celebró el HackForGood, promovido por Telefónica. El evento es un encuentro entre jóvenes procedentes de diversas universidades con fines sociales, en el que se reúne a desarrolladores, sociólogos, diseñadores e ingenieros para crear aplicaciones trabajando día y noche durante 48 horas.

La quinta edición del HackForGood se celebró entre los días 9 y 11 de marzo de 2017 de forma simultánea en Madrid, Barcelona, Valencia, Alicante, Murcia, Cartagena, Ciudad Real, Sevilla, Las Palmas, Cáceres, Salamanca, Valladolid, León y Vigo, además de la sede virtual Cloud Hacker. En total, se reunieron 1.500 hackers sociales procedentes de 23 universidades que crearon 150 aplicaciones que resolvían 200 retos sociales propuestos mediante el uso masivo de datos.

Se repartieron 9.000 euros como premios globales entre las tres mejores aplicaciones creadas durante el transcurso del HackForGood.

Premios Globales Hackforgood

Este año el primer premio HackForGood Global (5.000€) ha sido para el equipo de Valencia “Semáforo para invidentes”, cuya solución enriquece la información de una app del Ayuntamiento valenciano, que en la actualidad proporciona la posición geográfica de todos los semáforos de la ciudad. La propuesta ganadora consigue facilitar también el estado en el que se encuentra cada uno de ellos.

Segundo premio HackForGood Global (3.000€) lo ha ganado el equipo de Vigo “Learnfordown”, con un sistema para que las personas con Síndrome de Down aprendan a leer y a escribir, mediante una App Android, un equipo hardware (Joystick, botones, arduino, teclado) y un sistema de motorización mediante una interfaz web.

El tercer premio HackForGood nacional (1.000 €) lo comparten en esta ocasión “Biocast” de Sevilla y “PicComunica” de Las Palmas de Gran Canaria. El primero consiste en un sistema predictivo de salud, que detecta patologías mediante técnicas Big Data. El segundo consigue mejorar la comunicación entre las personas autistas y sus cuidadores o familiares con una app y pictogramas.

Premio LUCA – HackForGood de Telefónica

El primer premio (1.000€) ha recaído en el proyecto de Salamanca “Cafeteros Colombianos”, que utilizando datos de Telefónica y datos abiertos desarrolla y representa en mapas varios indicadores socioeconómicos de Colombia.

El segundo Premio (600€) ha sido para “Colombia Connect”, de la sede de Madrid, que con datos de Telefónica o datos abiertos construye varias caracterizaciones socioeconómicos del país y las combinan para proponer una aplicación que contribuye al desarrollo de zonas rurales.

El tercer premio (400€) lo ha conseguido “Ubica_Bot”, de la sede de Barcelona, que combina datos de Telefónica con la tecnología bot hasta obtener información útil sobre afluencia de personas en diferentes zona del país, simplemente chateando.

Además, uno de los miembros de los equipos ganadores recibirá una beca de Telefónica para integrarse en el equipo de Big Data for Social Good de LUCA luca-d3.com.

Premios Hackforgood Think Big Fundación Telefónica

De entre los 25 proyectos ganadores “Think Big Locales”, el próximo 16 de junio se seleccionarán los dos premios Hackforgood Think Big de Fundación Telefónica, cuyos ganadores disfrutarán de un fin de semana formativo en emprendimiento social y el acceso garantizado al programa Think Big, en el que los jóvenes obtendrán financiación de hasta 3.000 euros para sus proyectos, apoyo personalizado de un mentor y otras formaciones online y presenciales en emprendimiento social e innovación.

Premios Formativos Hackforgood

Uno de los integrantes del equipo ganador de cada sede recibirá una beca para cursar el máster en Ingeniería del Software y Sistemas Informáticos de la UNIR. Asimismo, todos los hackers que hayan presentado un proyecto recibirán un descuento del 50% para el Máster MBA on-Line y Máster en Dirección de Sistemas de Información, on-Line de la UPM.

Además, todos los hackers están invitados a participar en el nanoMOOC “Siete habilidades clave en la era digital” que comenzará el próximo 21 de marzo.

Premios de Continuidad

El próximo 20 de septiembre tendrá lugar en el Espacio Telefónica de Madrid el HackForGood Big Day, que reunirá a los equipos ganadores de las 15 sedes y premiará a los proyectos que mejor hayan evolucionado durante estos próximos meses. Los tres ganadores se llevarán premios de: 8.000€, 3.000€ y 1.000€ y el premio Telefónica Open Future que les facilitará que sigan desarrollando y haciendo crecer sus proyectos.

Todos estos galardones se complementan con una gran cantidad de premios locales ofrecidos a los ganadores en cada una de las sedes (más información sobre los premios locales en www.HackForGood.net).

]]>
http://muyseguridad.net/2017/03/16/hackforgood-2017/feed/ 0