#CyberSecurityPulse: El parcheo de vulnerabilidades de forma transparente también es cosa de todosElevenPaths 9 enero, 2018 El año 2018 ha comenzado con una noticia que ha copado las portadas de medios especializados y generalistas de todo el mundo. Las vulnerabilidades bautizadas como Meltdown y Spectre han puesto sobre la mesa que incluso aspectos que dábamos por consolidados como la arquitectura del hardware que hace funcionar la práctica totalidad de nuestros sistemas es susceptible de tener que ser reinventada. La corrección de este tipo de fallos en el futuro deberá ser puesta a prueba con nuevos diseños que las prevengan, pero hasta que estos nuevos sistemas salgan al mercado se hace necesario encontrar soluciones software de contingencia que mitiguen el problema mientras tanto. Los distintos sistemas operativos han intentado hacer frente a una vulnerabilidad que les era notificada por Intel en primera instancia el 9 de noviembre de 2017. De hecho, las propias pruebas de concepto incluidas en el paper de Meltdown se efectúan sobre Firefox 56, que fue la versión estable vigente hasta la llegada de Firefox Quantum (versión 57) el 14 de noviembre de ese mismo mes. En cualquier caso, esta fecha es importante en tanto en cuanto se ha mantenido como fecha de referencia y, de acuerdo a los responsables de Canonical, empresa responsable del desarrollo y mantenimiento de Ubuntu, el 20 de noviembre se acordó usarla para fijar de forma consensuada el 9 de enero de 2018 como la fecha de publicación de los detalles de la vulnerabilidad por parte de sus descubridores. Este período de «revelación responsable» es habitual en la resolución de vulnerabilidades. Su objetivo es garantizar que los equipos de desarrollo de los productos afectados (en este caso, la práctica totalidad de los sistemas que utilizamos desde Windows hasta MacOS pasando por todo tipo de sistemas basados en Linux o Android) dispongan de un período prudencial para estudiar el problema y desarrollar y probar los parches necesarios. Es cierto que este esquema de funcionamiento sitúa a algunas personas en una posición ventajosa dado que serán informados de la existencia de fallos de seguridad susceptibles de ser explotados antes que nadie. Es un peaje a pagar necesario para garantizar que la identificación de problemas de seguridad es reconocida de forma adecuada y los parches y contramedidas estén disponibles para cuando sea publicada. Por este motivo, la actuación trasparente y diligente de las personas que tienen acceso a esta información es más necesaria y exigible que nunca. Al margen de si los motivos para adelantar la fecha comprometida de publicación están justificados (por ejemplo, se podían haber timestampeado los papers en alguna blockchain pública si la preocupación fuera una pérdida de atribución), tenemos que tener claras nuestras prioridades para evitar que sistemas operativos que llevan dos meses avisados de un fallo de seguridad dejen para el último día la aplicación de las actualizaciones correspondientes porque, por desgracia, puede no haber una segunda oportunidad para proteger nuestros datos y nuestras máquinas. Noticias destacadas Ataques de spear phishing que ya apuntan a los Juegos Olímpicos de Pyeongchang Investigadores de seguridad de McAfee han información que ya se están viendo ataques cuyo impacto son los Juegos Olímpicos de Pyeongchang debido a que organizaciones asociadas al evento habían recibido mensajes de spear phishing. Las campañas comenzaron el pasado 22 de diciembre en donde los atacantes usaron correos falsos que pretendían suplantar al Centro Nacional de Contraterrorismo de Corea del Sur. El análisis reveló que el correo electrónico fue enviado desde una dirección en Singapur y remitió supuestos simulacros antiterroristas en la región donde se está realizando la preparación de los Juegos Olímpicos. Los atacantes trataban de engañar a las víctimas para que abrieran un documento en coreano titulado «Organizado por el Ministerio de Agricultura y Silvicultura y los Juegos Olímpicos de Invierno de Pyeongchang». Más información en McAfee El grupo iraní Infy podría estar focalizado en manifestantes y en sus contactos extranjeros De acuerdo con la empresa de seguridad Palo Alto, un actor estatal llamado Infy se encontraría intensificando sus ataques contra cualquiera que esté en contacto con los manifestantes de Irán. El malware Infy se vió por primera vez en VirusTotal en agosto de 2007, mientras tanto, el dominio C&C utilizado por la muestra más antigua detectada por los expertos se ha asociado con una campaña maliciosa de diciembre de 2004. El malware ha evolucionado a través de los años, cuyos autores lo mejoraron implementando nuevas características tales como el soporte para el navegador web Microsoft Edge que se introdujo en la versión 30. A diferencia de otros actores estatales iraníes que se dirigen a organizaciones extranjeras, el grupo Infy parece encontrarse enfocado en oponentes y disidentes. Más información en Palo Alto Noticias del resto de la semana CoffeeMiner, una PoC para comprometer redes Wi-Fi públicas para minar Un desarrollador llamado Arnau ha publicado una prueba de concepto denominada CoffeeMiner para comprometer redes Wi-Fi públicas para inyectar código que permitiría minar en sesiones de navegación conectadas, un método para monetizar rápidamente los esfuerzos de computación necesarios para minar criptodivisas. Arnau explicó cómo impulsar un ataque Man-In-The-Middle para inyectar código javascript en las páginas html a las que acceden los usuarios conectados. De esta forma, todos los dispositivos conectados a una red WiFi se ven obligados a minar una criptodivisa. Más información en Arnau Code Error crítico en phpMyAdmin que permitiría a atacantes dañar bases de datos Una vulnerabilidad crítica ha sido reportada en phpMyAdmin, una de las aplicaciones más populares para administrar la base de datos MySQL, que podría permitir a los atacantes remotos realizar operaciones peligrosas de bases de datos simplemente engañando a los administradores para que hagan clic en un enlace. Descubierta por un investigador de seguridad indio, Ashutosh Barot, se trataría de una vulnerabilidad cross-site request forgery (CSRF) y afectaría a las versiones 4.7.x de phpMyAdmin (anteriores a la 4.7.7). Más información en The Hacker News Se alerta de un error crítico en dispositivos de almacenamiento ‘My Cloud’ de Western Digital Investigadores de seguridad han descubierto varias vulnerabilidades graves y backdoor hardcodeado en los dispositivos NAS en My Cloud de Western Digital que podrían permitir a atacantes de forma remota ser root sin restricciones al dispositivo. El dispositivo permite a los usuarios compartir archivos en una red doméstica, pero la función de nube privada también les permite acceder a sus datos desde cualquier lugar en cualquier momento. Más información en Gulftech Otras noticias Cientos de servicios de tracking a través de GPS publican datos de usuario abriendo camino a prácticas delictivas Más información en The Hacker News PyCryptoMiner botnet, una nueva botnet extendida a través de SSH Más información en Security Affairs Un miembro de la banda Lurk admite la creación de WannaCry para agencias de inteligencia Más información en Security Affairs ¡Regístrate a la newsletter! Así ven nuestros expertos TIC 2018No Fear Credit Card
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Juan Elosua Tomé Shadow: tecnología de protección contra filtraciones de documentos Shadow, de Telefónica Tech, es una tecnología que permite identificar el origen de una fuga de información como la sucedida recientemente en EE UU
David García El nuevo final de las contraseñas Password, contraseña, clave, frase de paso… ¿Cuántos puedes recordar si no usas un gestor de contraseñas? Es más ¿Usas un gestor?
Marta Mª Padilla Foubelo Dark Markets, el concepto de mercado negro en la Internet actual ¿Que son los Dark Markets o Black Markets? Basta con traducirlo para hacernos una idea: es el mercado negro que también existe en internet
Telefónica Tech Boletín semanal de ciberseguridad, 30 de abril — 6 de mayo TLStorm 2 – Vulnerabilidades en conmutadores Aruba y Avaya Investigadores de Armis han descubierto cinco vulnerabilidades en la implementación de comunicaciones TLS en múltiples modelos de conmutadores de Aruba y...
David García Breve e incompleta historia de las contraseñas, aliados y enemigos (I) Mucho se ha hablado (y se seguirá haciendo) de las contraseñas. Una «tecnología» con demasiados defectos y primitiva. Podríamos calificarla de eslabón débil con el permiso de las «preguntas de...