sábado, 31 de enero de 2015

110.000 infectados por un virus porno en facebook

 

Hacer click en un enlace a un vídeo porno dentro de Facebook no parece la mejor de las ideas, y descargar una supuesta actualización flash para ver ese vídeo menos. El ser humano, sin embargo, es capaz de tropezar las veces que haga falta en la misma piedra, o en el mismo troyano.
Estas son las peores contraseñas que nunca deberías utilizar
Cada año se filtran millones de contraseñas de usuarios de servicios online por fallos o ataques…
El blog de seguridad Threatpost alerta sobre una variante de virus que utiliza como burdo señuelo un supuesto vídeo porno casero en el perfil de algún conocido en Facebook. Generalmente, la falsa actualización no enlaza a más de 20 amigos, pero es visible para todos en el timeline. Al darle al play el vídeo, que suele estar camuflado como si se alojara en YouTube, comienza normalmente, pero inmediatamente se para y nos solicita descargar una actualización flash. Por supuesto, la actualización no es sino un amoroso paquete de malware dispuesto a añadir más cebos porno en nuestro timeline.
Aunque parezca mentira, Threatpost asegura que ya van más de 110.000 incautos que han caído en este esquema en dos días. Desde Facebook han confirmado la existencia del virus y están trabajando en medidas para evitar su propagación. Estas son sus declaraciones al respecto:
Utilizamos una serie de sistemas automatizados que identifican enlaces potencialmente dañinos e impiden que se extiendan. En este caso concreto, estamos al corriente de esta variedad de malware que se aloja como una extensión del navegador. Estamos bloqueando estos engaños, ofreciendo opciones para limpiar los equipos efectados, y estudiando medidas adicionales para asegurar que los usuarios tengan una experiencia segura en Facebook.
Cuando alguien se empeña en entrar en un sitio ignorando toda señal de peligro, poco se puede hacer. Por si no había quedado claro hasta ahora. Si veis un enlace a un vídeo porno en Facebook, no hagáis click. Como diría el comandante Ackbar: "It's a trap". - vía Threatpost: http://threatpost.com/facebook-malware- ... ers/110775
Ver informacion original al respecto en Fuente :
http://es.gizmodo.com/no-aprendemos-110 ... 1682859940

Actualización del kernel para Red Hat Enterprise Linux 7

 

RedHat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa seis nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio o elevar sus privilegios en el sistema.

Los problemas corregidos se deben a un fallo en la implementación SCTP del kernel al validar "chunks" INIT al realizar Address Configuration Change (ASCONF). Un atacante remoto podría emplear esta vulnerabilidad para provocar una denegación de servicio  (CVE-2014-7841).

Una condición de carrera, que puede provocar una denegación de servicio, debida a la forma en que las llamadas del sistema mmap(2), madvise(2) y fallocate(2) interactúan entre sí (CVE-2014-4171).

Una desreferencia de puntero nulo en la forma en que la implementación Common Internet File System (CIFS) del kernel de Linux trata de montar archivos del sistema compartidos. Un atacante remoto podrá emplear este problema para provocar la caída de un sistema (CVE-2014-7145).

También se ha encontrado un fallo en la forma en que la llamada del sistema splice() valida sus parámetros. En determinados sistemas de archivos, un usuario local sin privilegios podrá escribir sobrepasando el tamaño máximo de archivo y así bloquear el sistema (CVE-2014-7822).

Por último, dos problemas en la función parse_rock_ridge_inode_internal() de la implementación ISOFS del kernel Linux. Un atacante con acceso físico al sistema podrá provocar una denegación de servicio o elevar sus privilegios en el sistema (CVE-2014-5471, CVE-2014-5472).

Además se han solucionado otros fallos de menor importancia y se han incluido algunas mejoras. Ésta actualización está disponible desde Red Hat Network.

Más información:

Important: kernel security and bug fix update

https://rhn.redhat.com/errata/RHSA-2015-0102.html

lunes, 26 de enero de 2015

Google publica Chrome 40 y corrige 62 vulnerabilidades

Google publica Chrome 40 y corrige 62 vulnerabilidades


Google anuncia una nueva versión de su navegador Google Chrome 40. Se publica la versión 40.0.2214.91 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 62 nuevas vulnerabilidades.

Según el aviso de Google se ha aztualizado la información de diálogo para Chrome app en Windows y Linux un nuevo reloj delante/detrás de los mensajes de error.

La actualización incluye la corrección de 62 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 62 vulnerabilidades, solo se facilita información de 26 de ellas (17 de gravedad alta y las 9 restantes de importancia media).

Las vulnerabilidades descritas están relacionadas con corrupción de memoria en ICU, V8 y en Fuentes. También se solucionan vulnerabilidades por uso después de liberar memoria en IndexDB, WebAudio, DOM, FFmpeg, Speech y Views. Una vulnerabilidad de salto de la política de mismo origen en V8. Por último otras vulnerabilidades están relacionadas con valores sin inicializar (en ICU y Fuentes) y lecturas fueras de límites (en la interfaz de usuario, Skia, PDFium y Fuentes). Los CVE asignados van del CVE-2014-7923 al CVE-2014-7948.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1205). Así como múltiples vulnerabilidades en V8 en la rama de 3.30 (actualmente 3.30.33.15).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 88.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update

Actualización crítica para Flash Player (Actualiza, sí de nuevo!)


Como hemos publicado al final de la semana pasada, se han encontrado dos vulnerabilidades en Adobe Flash que están siendo activamente explotada por los delincuentes.

Hasta ese momento, Adobe había publicado el parche para una de las vulnerabilidades críticas, pero no para la otra, identificada como CVE-2015-0311 y Adobe estimaba que no sería posible emitir un parche hasta mañana lunes. Sin embargo, el sábado Adobe actualizó su aviso para decir lo siguiente:
Los usuarios que tengan habilitado la actualización automática de Flash Player estarán recibiendo la nueva versión 16.0.0.296. Esta versión incluye el arreglo para CVE-2015-0311. Adobe espera tener la actualización disponible para su descarga manual durante esta semana, y estamos trabajando con nuestros socios para hacer que la actualización esté disponible en Google Chrome, Internet Explorer 10 y 11. Para obtener más información sobre la actualización de Flash Player, por favor consulte este post.
Efectivamente, la actualización automática y manual para la versión 16.0.0.296 ya se encuentran disponibles y se pueden descargar.

Cómo evitar correos falsos que dicen ser enviados por LinkedIn


Symantec es una corporación internacional que desarrolla y comercializa software para computadoras, particularmente en el dominio de la seguridad informática. Y en las últimas semanas dicha empresa ha detectado un incremento en los correos electrónicos falsos (phishing) que parecen ser enviados por el departamento de soporte técnico de LinkedIn.

Desde la empresa sugieren, entonces, realizar una actualización de seguridad obligatoria para la cuenta de LinkedIn del usuario que está recibiendo ese correo falso.

El correo menciona que para proteger la cuenta, se debe descargar un documento adjunto (archivo HTML) y seguir las instrucciones. El archivo adjunto al correo es una copia del sitio web real de LinkedIn.com. Sin embargo, en la copia, el código fuente está modificado para que cuando el usuario use esa página web para entrar a LinkedIn, sus credenciales de acceso sean enviadas directamente al atacante.

Curiosamente, el correo utiliza una letra “L” en minúscula, en vez de una “i” mayúscula en la palabra “Linkedln”. Esta pequeña diferencia es prácticamente imperceptible a la vista y funciona como una forma para evadir los filtros de correo electrónico.

Por eso, Symantec recomienda usar la autenticación de doble factor para reducir los riesgos. Al hacerlo, verdaderamente actualizarán la seguridad de su cuenta al agregar una capa adicional de protección. Con esta opción activada, un ciberatacante podría tener las credenciales de un usuario, pero para entrar a su cuenta necesitaría tener también acceso a su teléfono móvil.

sábado, 10 de enero de 2015

VeraCrypt y CipherShed los próximos TrueCrypt

 

Cuando los desarrolladores de TrueCrypt anunciaron que dejarían de desarrollarlo debido a que no era seguro, muchos usuarios no sabían qué hacer con ese anuncio y aparecieron varias alternativas.
Lo que se supo rápido era que el desarrollo de TrueCrypt no continuaría de la misma forma y que otros tendrían que hacerse cargo. Poco después fueron anunciado un par de proyectos Open Source basados en TrueCrypt: uno de ellos es VeraCrypt desarrollado por la empresa francesa IDRIX (source code) y el otro es Ciphershed (source code) que fue uno de los primeros en producir un programa utilizable y descargable.
La última versión beta de VeraCrypt es la 1.0f, publicada el 26 de octubre de 2014. Esta versión introduce una serie de cambios que afectan a todos los sistemas operativos y se han solucionado problemas de seguridad detectados por el análisis de código realizado sobre TrueCrypt.

VeraCrypt además soporta SHA-256 y utiliza SHA-512 como algoritmo de derivación de claves por defecto. Además se realizó un cambio en el orden de preferencia de algoritmos de derivación a SHA-512 -> Whirlpool -> SHA-256 -> RIPEMD160.
Una vulnerabilidad en el gestor de arranque se fijó en Windows y diversas optimizaciones fueron hechas a él también. Los desarrolladores había añadido soporte para SHA-256 a la opción de encriptación de arranque de sistema y había corregido un problema de seguridad ShellExecute así.
VeraCrypt está progresando y las nuevas versiones se publicarán regularmente cada tres meses. Si bien el veredicto final sobre la seguridad de TrueCrypt todavía ha concluido, seguramente IDRIX resolverá la mayoría de los problemas descubiertos durante esa segunda parte de la auditoría como ya lo han hecho con la primera parte.
Cuidado: si bien VeraCrypt está basado en TrueCrypt, el formato utilizado no es compatible con la de TrueCrypt por lo que los usuarios que quieran migrar, necesitan descifrar con TrueCrypt sus discos y particiones y luego volver a cifrarlos con VeraCrypt.

LINSET: obtener contraseñas WPA/2 sin diccionario

 LINSET (Linset Is Not a Social Enginering Tool) realiza la misma tarea y ha sido creada por latinos desde la comunidad Seguridad Wireless.

El funcionamiento de este tipo de herramientas es el siguiente:

  • Escanea la red buscando redes cercanas.
  • Arrojan el listado de redes disponibles.
  • Después de seleccionar la red, intenta capturar el handshake (algunos permiten el uso sin el handshake)
  • Con el handshake se crea un falso AP con el mismo nombre que el original y se lanza un ataque DoS a los clientes conectados (buscando que se conecten al falso AP)
  • El script monta un server DHCP sobre la red falsa para que cada petición que haga la víctima lo mande a un portal cautivo donde se pregunta la clave (algunos personalizan este portal según la marca del router victima)
  • Se verifica que la contraseña ingresada sea la correcta comparándola con el handshake (algunos permiten capturar simplemente la petición enviada)
  • Si la clave es correcta se detiene el ataque DoS, se baja el servidor web/DHCP y el falso AP y los usuarios pueden volver a conectarse al AP real.
  • El script limpia los temporales creados y deja el sistema como antes de ejecutarse.
Como ventajas, LINSET está escrito en forma nativa en español, tiene soporte de una comunidad, identifica el fabricante del router y utiliza varios idiomas para los portales cautivos.
LINSET se puede descargar desde su repositorio de Github.