22 de octubre de 2018

libssh-scanner es la primera herramienta para encontrar LibSSH Vulnerables


Recientemente publicamos un artículo donde hablábamos de una grave vulnerabilidad en LibSSH. Esto dejaba a miles de servidores vulnerables. Por suerte, como suele ocurrir en estas situaciones, lanzaron actualizaciones para resolver el problema. Sin embargo no todos los servidores las han implantado. Es por ello que hoy vamos a mostrar LibSSH Scanner. Se trata de una herramienta que tiene como objetivo encontrar servidores LibSSH que sean vulnerables. Una manera de probar si realmente se ha actualizado correctamente o no.

LibSSH Scanner, la herramienta para encontrar servidores vulnerables

Como sabemos, LibSSH es una biblioteca escrita en C y que es utilizada por muchos proveedores. La vulnerabilidad fue descrita como CVE-2018-10933. La manera en la que puede ser explotada es muy sencilla. Solamente requiere de enviar al servidor afectado una solicitud “SSH2_MSG_USERAUTH_SUCCESS”. De esta manera logra engañarlo y hacer creer que el usuario ya se ha autentificado.
Durante los últimos días no han parado de lanzar avisos de seguridad las empresas responsables. Entre ellas podemos nombrar algunas como el popular fabricante de sistemas operativos basados en Linux, Red Hat.
Una de las primeras recomendaciones fue que los administradores iniciaran sesión de manera manual. De esta manera evitan el sistema de autenticación de clave pública, que es donde reside la vulnerabilidad.
Como hemos mencionado, son muchos los servidores que pueden ser vulnerables al tiempo de escribir este artículo. Según datos aportados por Leap Security, hay unos 3.000 servidores conectados a la red que utilizan este sistema. De ellos, entre 1.800 y 1.900 utilizan una versión vulnerable.

Script basado en python

Aquí es donde entra en juego LibSSH Scanner. Este script tiene como objetivo detectar esos servidores que son vulnerables a ataques. Se trata de una herramienta basada en python que puede indicar qué servidores son vulnerables a CVE-2018-10933.
Lo podemos descargar gratuitamente desde GitHub. Allí podemos encontrar información sobre este script. Los creadores indican que está diseñado para conocer si los servidores correspondientes a una organización han sido parcheados correctamente. Cuenta con dos modos de actualización: pasivo y agresivo, para validar la existencia de la vulnerabilidad. De forma predeterminada se ejecuta en el primer modo.
Hay que recordar que la vulnerabilidad está presente en las versiones de LibSSH a partir de la 0.6. El problema se corrigió con un parche que está presente en las versiones 0.7.6 y 0.8.4. Es por ello que conviene conocer si está actualizado correctamente o por el contrario sigue siendo vulnerable. Con LibSSH Scannerpodemos averiguarlo fácilmente.
Como siempre indicamos, mantener nuestros sistemas actualizados es muy importante. Esto hay que aplicarlo tanto al propio sistema operativo como a las diferentes aplicaciones que tengamos instaladas en nuestro equipo. En ocasiones, como en el ejemplo que hemos visto en este artículo, surgen vulnerabilidades. Normalmente estos fallos son resueltos mediante parches y actualizaciones de seguridad. Es por ello que mantener nuestros equipos con las últimas versiones puede protegernos de sufrir diferentes tipos de amenazas que comprometan el buen funcionamiento.
En definitiva, LibSSH Scanner nos indica qué servidores son vulnerables y por tanto requieren de ser parcheados correctamente. Es una herramienta gratuita e interesante.
Fuente | RedesZone

28 de septiembre de 2018

Facebook confirma hackeo de 50 millones de usuarios


¿Facebook te sacó el día de hoy de tu sesión y tuviste que iniciar de nuevo? No eres el único. La red social fue hackeada.

Facebook no para de caer en abismos llenos de problemas, aunque Zuckerberg asegura que la prioridad de la red social es la seguridad del usuario. Eso se ha puesto repetidamente en duda, especialmente el día de hoy con una brecha masiva que afectó a por lo menos 50 millones de usuarios en todo el mundo.

¿Notaste que la mañana de hoy, Facebook cerró automáticamente tu sesión? No fuiste el único que vivió esto. De hecho se cerraron por lo menos 90 millones de cuentas, protocolo que suele seguir la red social cuando los perfiles se han visto comprometidos.

Una gran brecha de seguridad azota Facebook y a todos nosotros
El día de hoy se dio a conocer. Un ataque a la red de computadoras de Facebook expuso la información de alrededor de 50 millones de usuarios en todo el mundo. Gravísimo. Apenas esta semana, el 25 de septiembre, descubrieron el problema: alguien explotó una característica en el código de la red social; lo que les facilitó el control de estas cuentas.

En estos momentos el problema ya ha sido arreglado, o al menos eso dice el equipo de Zuckerberg. También denunciaron los hechos ante la policía. Por ahora no se sabe exactamente quiénes son los atacantes… y tampoco saben el alcance que tuvo el hackeo. Es decir, todavía no sabemos si alguien usó nuestra información con fines oscuros.

Por el momento sólo queda esperar información y sí, preferentemente cambiar tu contraseña de inmediato; ya que no se sabe exactamente qué información fue sustraída.

Fuente | Fayerwayer

27 de septiembre de 2018

Hackers se unen con un único objetivo: ayudar a encontrar personas perdidas


Por primera vez, una gran cantidad de expertos en seguridad informática colaboraran simultáneamente en la búsqueda de niños, niñas y adolescentes.

Ekoparty es uno de los eventos de seguridad informática más importantes de la región, donde expertos de todo el mundo exponen sus investigaciones. Hasta el día de su apertura ya se habían inscripto 1900 personas.


En este evento se desarrollan conferencias de expertos nacionales e internacionales y en paralelo se llevan a cabo diferentes actividades, entre los cuales se destacan mentorías, contactos con empresas, relaciones entre profesionales y desafíos.

Estos desafíos son conocidos como CTF (por Capture the Flag en inglés) y es justamente allí donde surge el CTF Social.

En el desafío en cuestión los participantes deberán utilizar técnicas de OSINT para poder aportar información que pueda ayudar en la identificación de esas personas.

OSINT, en español “inteligencia de fuentes abiertas”, es la información recopilada de fuentes disponibles públicamente para ser utilizada en un contexto de inteligencia. En la comunidad de seguridad informática, el término “abierto” se refiere a fuentes abiertas y públicamente disponibles.

Cada hallazgo que informen los equipos será analizado por colaboradores del CTF, competencia de seguridad informática, que a través de la resolución de diferentes desafíos propone ganar puntos que ayuden a cumplir el objetivo propuesto.

El Equipo ganador del CTF se determinará en base a los datos que fehacientemente puedan ser validados posteriormente.

Los organizadores del CTF son OSINT LATAM GROUP, la ONG Ideas que Transforman y Missing Children Argentina.


Más información: OSINT LATAM GROUP.
info@osintlatamgroup.com
Cel: 1557138406

Fuente | Ciberseguridad Latam

25 de septiembre de 2018

Canonical anuncia el ‘mantenimiento de seguridad extendido’ para #Ubuntu 14.04 LTS


Cuando quedan algo más de seis meses para que Ubuntu 14.04 LTS se quede sin soporte, Canonical ha anunciado la incorporación de esta versión al servicio de ‘mantenimiento de seguridad extendido‘, que otorgará al sistema al menos un año más de actualizaciones.
El Extended Security Maintenance (ESM) o mantenimiento de seguridad extendido es un nuevo servicio que la compañía estrenó el año pasado con Ubuntu 12.04 LTS para las versiones de soporte extendido (LTS), por lo que la siguiente estaba claro que sería Ubuntu 14.04 LTS Trusty Tahr, solo que en esta ocasión han dado un mayor margen de maniobra a las empresas que deseen acogerse al mismo.
Cabe recordar que las versiones LTS cuentan con cinco años de soporte garantizado de manera gratuita, pero muchas veces no es suficiente para que algunas empresas preparen la actualización hacia una versión más reciente (distribuciones como RHEL y SLE ofrecen hasta 13 años de soporte) y de ahí este ESM, un extra de pago parte del paquete de soporte corporativo Ubuntu Advantage, que también puede ser adquirido en solitario.
El estrenó de ESM parece haber sido un éxito, y es que como explican en el blog de Ubuntu, llegó en el momento adecuado: “en el último año los departamentos de TI tuvieron que lidiar con los principales problemas de seguridad y cumplimiento de TI: GDPR, Spectre, Meltdown, Stack Clash, Blueborne, Dirty Cow, SegmentSmack o FragmentSmack por nombrar algunos. En total, ESM ha proporcionado más de 120 actualizaciones, incluidas soluciones para más de 60 vulnerabilidades de prioridad alta y crítica, a los usuarios de Ubuntu 12.04″, señalan.
Ubuntu 14.04 LTS completará su ciclo de vida el próximo 30 de abril de 2019, y será entonces cuando ESM se active para esta versión. Cuánto se mantiene activo el soporte es una historia diferente, pues aunque en principio la extensión está hecha para durar un año, depende de la cantidad de clientes que estén dispuestos a pagar por el mismo el que se alargue más o menos.
En conjunto, Ubuntu Advantage está disponible a partir de 150 dólares anuales por estación de trabajo con un mínimo de 50 equipos, mientras que el precio sube hasta los 250 dólares anuales por instalación con un mínimo 10 servidores virtuales.

24 de septiembre de 2018

Xbash: un ransomware, software de minado y botnet


Sin duda alguna, los dos sistemas operativos más afectados por malware son Windows y Linux, quienes además son los dos sistemas operativos más utilizados en todo el mundo, aunque eso no significa que otros sistemas como Linux o macOS estén libres de esta amenaza. Normalmente, los piratas informáticos suelen crear sus amenazas pensando en un tipo de sistema operativo en concreto, aunque parece que poco a poco está ganando una gran popularidad entre los piratas el malware multiplataforma, amenazas informáticas que afectan por igual a distintos sistemas operativos, como es el caso del nuevo malware Xbash.
Xbash es un nuevo malware recién detectado en la red enfocado a infectar por igual sistemas Windows y Linux. Además, este malware cuenta con diferentes módulos para poder hacer prácticamente cualquier cosa con él, desde hacer que el ordenador pase a formar parte de una botnet, controlada por piratas informáticos, hasta convertirse en un completo ransomware o utilizar el hardware de las víctimas para minar criptomonedas.
Este malware además ha sido diseñado para replicarse automáticamente, evitando que un antivirus pueda eliminarlo fácilmente, además de para analizar la red y distribuirse automáticamente a cualquier ordenador vulnerable a través de la red local. A grandes rasgos, este malware utiliza la botnet para encontrar servicios Redis disponibles en la red y, si da con ellos, envía un script JavaScript, o carga un VBScript, que se encarga de copiar al sistema el software de minado de criptomonedas. Una vez termina esto, el malware recurre a una técnica, hasta ahora desconocida, por la cual analiza los equipos y servidores conectados a la misma red en busca de otros vulnerables a los que mandar este malware. Utilizando técnicas similares, también envía el ransomware al equipo para infectarlo.
Xbash hace uso de scripts en Python para instalarse con éxito tanto en Windows como en Linux, y se comunica con un servidor de control para obtener listas de IPs para escanear (en busca de otras víctimas), enviar las contraseñas detectadas y, además, enviar al servidor los resultados de los análisis llevados a cabo.
Xbash radis

Cómo protegernos de Xbash

Aunque en un principio los piratas informáticos están atacando todo tipo de ordenadores, según el código este malware fue diseñado para atacar servidores con bases de datos MySQL, PostgreSQL y MongoDB. En un principio, el ransomware solo se activará si se detecta una base de datos en el ordenador, por lo que si no tenemos ninguna no tenemos que preocuparnos, al menos por ahora, de esto.
Debido a la complejidad de este malware multiplataforma es muy complicado encontrar una forma definitiva de protegernos de él. Como siempre, se recomienda tener nuestro sistema operativo, y todas las aplicaciones del equipo, siempre actualizadas, además de un software de seguridad en funcionamiento capaz de detectar y mitigar la amenaza antes de que sea demasiado tarde.
En caso de que notemos que nuestro ordenador funciona más lento de lo normal, es posible que estemos infectados y el software de minado esté haciendo de las suyas. En ese caso debemos desinfectar nuestro ordenador, y comprobar que los demás ordenadores de la red están limpios, para volver a estar seguros.

Fuente | RedesZone

10 de septiembre de 2018

Guía para evitar infecciones de #RANSOMWARE

En los últimos años, son cada vez más comunes los titulares del tipo "Empresa X debió pagar 'rescate' por sus datos" u "Organización Pública Y no puede prestar atención porque su información fue secuestrada".


Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el malware y en particular contra el RANSOMWARE.

Este documento está destinado a ser una completa guía de Defensa en Profundidad basada en una lista de verificación, con el fin de evitar infecciones con ransomware y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ransomware, la guía está orientada en gran medida hacia dicho entorno, pero está diseñada para ser agnóstica del entorno, aunque no siempre se podrán aplicar todos los controles en todos los casos.

Esta guía se publica gracias al esfuerzo de las siguientes personas:



La Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018, a través de OWASP y bajo Licencia CC.

Fuente | Segu-Info

9 de septiembre de 2018

Secuestran el tráfico de más de 7.500 routers #MikroTik


Investigadores de la empresa china 360 NetLab han descubierto un ataque sobre routers MikroTik mediante el cual robaban el tráfico generado.

MikroTik es un fabricante letón de equipos de red y software dedicado a la administración de redes. Recientemente, en el curso de una investigación, el equipo de seguridad de la empresa china 360 NetLab descubrió que una elevado número de equipos del mencionado fabricante estaba enviando tráfico hacia servidores controlados por los atacantes.

El origen del ataque parece encontrarse en una vulnerabilidad que afecta a los routers MikroTik, en concreto, un exploit hallado en la fuga de herramientas de la CIA, Vault7, publicada por WikiLeaks. Esta vulnerabilidad, con CVE-2018-14847, permite a un atacante la lectura de archivos con información sensible, lo que posibilitaría un acceso a la gestión administrativa del dispositivo.

En el contexto de la investigación, detectaron que más de 370.000 de estos dispositivos eran vulnerables al exploit comentado. De estos, alrededor de 239.000 poseían configurado un proxy socks4 de forma presumiblemente malintencionada. Finalmente, de este conjunto, 7.500 tenían su tráfico desviado a los servidores de los atacantes. En concreto, el tráfico de los puertos FTP, SMTP, POP3 e IMAP. Además, y esto parece sorprender a los investigadores, también los puertos asociados con SNMP, el UDP 161 y 162.

Según el post de 360 NetLab, en España habría 84 dispositivos afectados, 218 en Ecuador, 189 en Argentina, 122 en Colombia, 25 en Chile, 24 en México, 20 en Nicaragua y 16 en Paraguay.

La vulnerabilidad fue parcheada hace tiempo por MikroTik, por lo que se debería actualizar el sistema operativo de los routers afectados a la última versión disponible. Adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox. 

Fuente | una-al-dia

22 de agosto de 2018

Github avisará si tú contraseña ha sido expuesta en otras webs


Github ha modernizado sus sistemas de seguridad para emitir advertencias a los usuarios cuando sus contraseñas han sido expuestas en línea a través de otras webs.
GitHub se asoció recientemente con Have I Been Pwned, un motor de búsqueda operado por el experto en seguridad Troy Hunt para dar al público en general una manera de descubrir rápidamente si sus cuentas y contraseñas en línea han sido expuestas o no.
En 2012, LinkedIn sufrió una grave violación de datos en la que, cuatro años después, se descubrió que 167 millones de registros de usuarios habían sido robados. Esta brecha de datos posiblemente aumentó la popularidad del servicio Have I Been Pwned y sacó a la luz el tema de las contraseñas reutilizadas, que los atacantes pueden utilizar para comprometer otras cuentas y servicios en línea.

Autenticación de dos factores

La autenticación de dos factores (2FA) es otra capa de seguridad que se puede agregar a muchas cuentas en línea para disminuir el riesgo de compromiso, incluso si la misma contraseña se usa en otro lugar.
Pero con tantos sistemas en línea protegidos por nada más que una contraseña que puede reutilizarse o exponerse en otro lugar, y los usuarios que optan por no habilitar 2FA, notificar a los titulares de cuentas sobre un posible compromiso es un paso crítico hacia una mayor seguridad.
Hunt permitió a Github descargar todo el repositorio de registros de Have I Been Pwned, que actualmente se encuentra en aproximadamente 517 millones de registros.
"Al utilizar estos datos, GitHub creó una versión interna de este servicio para que podamos validar si se ha encontrado la contraseña de un usuario en cualquier otro servicio filtrada públicamente", dice la compañía.
Ahora los usuarios de Github que usan contraseñas comprometidas están siendo conscientes de ello y se les pedirá que creen nuevas credenciales durante el inicio de sesión o en el proceso de registro en la plataforma.
GitHub recomienda que los usuarios habiliten 2FA para mejorar la seguridad de su cuenta.
Los usuarios también deben considerar registrarse para recibir notificaciones que lo alertarán automáticamente si su dirección de correo electrónico ha sido detectada en una nueva brecha de seguridad.
Enlace | Tecnonucleous

21 de agosto de 2018

Un fallo de deserialización en PHP pone en riesgo a millones de sitios web WordPress


El investigador en seguridad Sam Thomas, que trabaja para Secarma, ha descubierto una nueva técnica que podría hacer más fácil a los atacantes la explotación de vulnerabilidades de deserialización en PHP mediante la utilización de funciones que eran consideradas como de riesgo bajo.
PHP es uno de los lenguajes de programación más populares, siendo la tecnología para el tratamiento de páginas web dinámicas desde el lado del servidor más utilizado del mundo. Además, muchos de los CMS más importantes lo utilizan, entre ellos WordPress, por lo que podría haber millones de sitios web vulnerables ante esta nueva técnica descubierta.
La deserialización en PHP fue documentada inicialmente en 2009 y abre la puerta a que atacantes puedan llevar a cabo diferentes tipos de ataques mediante el suministro de entradas maliciosas a la función unserialize(), la cual es una característica oficial y legítima de la implementación oficial del lenguaje que nos ocupa. Básicamente, la función seriar (serialize()) permite convertir los datos de los objetos en texto plano, mientras que deserializar (unserialize()) ayuda al programa a recrear el objeto a partir de la cadena en texto plano.
Sam Thomas ha descubierto que un atacante puede usar funciones de bajo riesgo contra archivos Phar (un formato de fichero en PHP que almacena los metadatos en un formato seriado que se deserializa cuando una función de operación de ficheros intenta acceder a él) para realizar de ataques de deserialización sin requerir la utilización de la función unserialize() en una gran variedad de escenarios.
Para explotar el fallo con éxito, el atacante solo tiene que subir al servidor objetivo un fichero para su conversión a un Phar válido que contenga una carga maliciosa en forma de objeto. Después se tiene que hacer que la función que opera con el archivo acceda utilizando el wrapper de transmisión “phar://” para ejecutar el código arbitrario cuando el programa deserializa los metadatos. Por ejemplo, el investigador ha conseguido explotarlo con una imagen JPEG, la cual pasó de un fichero Phar a una imagen JPEG válida al modificar sus 100 primeros bytes, algo que ha podido realizar a través de la funcionalidad de miniaturas de WordPress, que “habilita a un atacante con privilegios para cargar y modificar elementos multimedia y obtener el control suficiente del parámetro utilizado en una llamada ‘file_exists’ para causar una deserialización.”
Sam Thomas ha reportado la vulnerabilidad al equipo de WordPress a principios del presente año, pero a día de hoy todavía no hay un parche que neutralice al 100% la vulnerabilidad. También lo ha reportado a Typo3 el 9 de junio de 2018, aunque para este CMS sí hay un parche completo que ha llegado a las versiones 7.6.30, 8.7.17 y 9.3.
Fuente | Muy Seguridad

13 de agosto de 2018

¿Qué es y cómo funciona el "nuevo" registro DNS CAA?


En Enero de 2013, Rob Stradling propuso y formalizó la implementación de un estándar para la Autorización de Entidades de Certificación (Certification Authority Authorization, por sus siglas en inglés) mediante el RFC 6844.

El propósito de los registros CAA es "designar" una o más entidades de certificación a emitir certificados SSL/TLS a un dominio o subdominio específicos. Los dueños de dominios podrán, además, declarar una dirección de correo electrónico para recibir notificaciones en caso que alguien solicite un certificado a una entidad de certificación no autorizada.

De no existir un registro CAA, cualquier entidad está autorizada a emitir certificados para ese dominio o subdominio.

Si bien el estándar data del año 2013, no fue hasta hace algunos meses que los proveedores de DNS y las entidades de certificación comenzaron su implementación. Algunos de ellos aun no aceptan registros del tipo CAA y otros aun no verifican la existencia del registro antes de emitir sus certificados, pero están gradualmente modificando sus infraestructuras para hacerlo. En mi caso utilizo DNS Made Easy desde hace algunos años y, además de soportar este tipo de registros, siempre he tenido estupendos resultados.

En lo que respecta a la creación de registros CAA, están compuestos por tres elementos. Demos un vistazo a su topología:

  • flag: Un entero entre 0 y 255.
  • tag: Existen tres tags definidos por el RFC.
  • issue: Permite autorizar explícitamente a una única entidad de certificación a emitir certificados para ese dominio o subdominio. De ser necesario autorizar a más de una, se deberán crear múltiples registros CAA.
  • issuewild: Permite autorizar explícitamente a una única entidad de certificación a emitir certificados de comodín (wildcard) para ese dominio/subdominio. Ningún otro certificado que no sea wildcard podrá ser emitido por esa entidad, salvo que esté expresamente configurado.
  • iodef: Especifica a dónde deben enviarse los reportes de intentos de emisión de certificados por una entidad no autorizada (El formato debe ser "mailto:alguien@ejemplo.com").
  • value: El valor del registro.


Vamos con algunos ejemplos:

Si queremos autorizar a Let’s Encrypt y a Comodo, debemos agregar un registro CAA para cada entidad:

pablofain.com.  CAA 0 issue "comodo.com"
pablofain.com.  CAA 0 issue "letsencrypt.org"

Si la idea es autorizar a Let’s Encrypt y a Comodo, pero solo a esta última para emitir certificados wildcard, debemos configurar los registros de la siguiente manera:

pablofain.com.  CAA 0 issue "letsencrypt.org"
pablofain.com.  CAA 0 issuewild "comodo.com"

Para recibir una notificación sobre el intento de emisión de certificados mediante una entidad de certificación no autorizada:

pablofain.com.  CAA 0 iodef "mailto:alguien@ejemplo.com"

Finalmente, para el caso de los subdominios podemos configurar cada uno de ellos para autorizar a diferentes entidades de certificación. En este ejemplo, Let’s Encrypt podría emitir certificados para todos los subdominios de pablofain.com, excepto sub1 y sub2.

pablofain.com.        CAA 0 issue "letsencrypt.org"
sub1.pablofain.com.   CAA 0 issue "comodo.com"
sub2.pablofain.com.   CAA 0 issue "rapidssl.com"

Hasta Abril de 2017, las entidades de certificación que verifican la existencia de registros CAA son: Amazon, Certum, Comodo, DigiCert, Entrust, GlobalSign, GoDaddy, Izenpe, QuoVadis, Starfield GoDaddy, StartCom WoSign, Let’s Encrypt, Symantec, GeoTrust, Thawte, T-Telesec, Trustwave y WoSign.

En cuanto a las desventajas o puntos débiles de CAA, a simple vista podemos observar dos:

  • Si la entidad de certificación ha quedado comprometida o no realiza la verificación de registros CAA, el certificado podría ser emitido con normalidad.
  • Si la zona DNS del dominio ha quedado comprometida, el registro CAA podría modificarse por el valor deseado por el atacante. Una buena idea para prevenir esto es implementar DNSSEC.

Si necesitan ayuda para configurar sus registros CAA, el sitio SSLMate ofrece un wizard que funciona a la perfección.

Fuente: Pablo Fain

12 de agosto de 2018

Corregida en pocas horas, grave vulnerabilidad remota en CGit

Esta semana se ha resuelto una grave vulnerabilidad remota en CGit, relacionada con el salto de restricciones (Path traversal) y la capacidad de mostrar información sensible del servidor cgit vulnerado. En unas pocas horas el fallo fue corregido por los desarrolladores.


CGit es una interfaz web (CGI) del sistema de repositorios git, escrito en C, que facilita la gestión remota entre diferentes usuarios.

La vulnerabilidad (CVE-2018-14912), descubierta por el investigador de Google Project ZeroJann Horn, estaba localizada en la función cgit_clone_objects() y específicamente en la combinación de send_file() y git_path().
Esta última función no aplicaba los filtros necesarios en las rutas recibidas, para impedir este tipo de vulnerabilidad. Al explotarse, cualquier usuario malintencionado podría construir peticiones de este tipo:

http://<servidor>/cgit/cgit.cgi/git/objects/?path=

que, al ejecutarse por parte del servidor, devolverían el contenido del path/fichero invocado. Ejemplo de una petición utilizando curl, que mostraría el fichero de usuarios del sistema:

$ curl http://127.0.0.1/cgit/cgit.cgi/git/objects/?path=../../../../../../../etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

Analizando el diff dispuesto para corregir la vulnerabilidad, se detalla además que el fallo fue introducido en 2008Debido a la longevidad de la misma (las versiones 0.8 a la 1.2 se verían afectadas) y que es trivial a la hora de explotarse, recomendamos encarecidamente actualizar urgentemente a la última versión disponible CGit 1.2.1:
git://git.zx2c4.com/cgit

Fuente | una-al-dia

4 de agosto de 2018

WordPress 4.9.8 - Versión de mantenimiento

Estamos encantados de anunciar la disponibilidad inmediata de WordPress 4.9.8. Esta versión de mantenimiento soluciona 46 fallos, mejoras y benditas tareas, incluida la actualización del tema Twenty Seventeen incluido.
A continuación tienes lo más destacado de las novedades.

Mensaje “Prueba Gutenberg”

A la mayoría de los usuarios se les mostrará un aviso en su escritorio de WordPress. Este “Prueba Gutenberg” es una oportunidad para los usuarios de usar el editor de bloques Gutenberg antes de su lanzamiento en WordPress 5.0.
En WordPress 4.9.8, el mensaje se mostrará a los siguientes usuarios:
  • Si Gutenberg no está instalado o activo el mensaje se mostrará a los usuarios administradores en los sitios simples, y al super administrador en multisitios.
  • Si Gutenberg está instalado y activo el mensaje se mostrará a usuarios colaboradores y superiores.
  • Si está instalado y activo el plugin Classic Editor el mensaje se ocultará a todos los usuarios.
Puedes aprender más leyendo  “Try Gutenberg” Callout in WordPress 4.9.8 (en inglés).

Arreglos/mejoras de privacidad

Esta versión incluye 18 arreglos de privacidad centrados en asegurar la consistencia y flexibilidad en las nuevas herramientas de datos personales que se añadieron en la versión 4.9.6, incluyendo:
  • El tipo de solicitud a confirmar ahora se incluye en la línea del asunto en todos los correos de confirmación de privacidad.
  • Mejoras de consistencia con el nombre del sitio utilizado en los correos de privacidad en multisitio.
  • Ahora se puede ajustar la paginación en las pantallas de administración de solicitudes de privacidad.
  • Se ha incrementado la cobertura de pruebas para varias funciones de privacidad incluidas.
Descarga WordPress 4.9.8 o pásate por tu Escritorio → Actualizaciones y haz clic en “Actualizar ahora”. Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse automáticamente.

31 de julio de 2018

IPFire - Firewall para Linux



IPFire es una distribución Linux diseñada específicamente para hacer las funciones de cortafuegos (firewall) y routing en una red local.

Gracias a su interfaz web podremos hacer la configuración que se adapte a nuestras necesidades de forma rápida y fácil.

Una de las cualidades de IPFire es que es un sistema operativo que funciona con muy pocos recursos, con tan sólo 512MB de memoria RAM podremos empezar a funcionar con él, aunque si utilizamos todas las opciones y tenemos muchos equipos conectados, deberemos ampliar la capacidad de procesamiento y memoria del sistema.

Las características por defecto que incluye IPFire son las siguientes:


  • Servidor Proxy.
  • Sistema de detección de intrusos en una red o equipo.
  • VPN a través de IPsec y OpenVPN.
  • Servidor DHCP.
  • Caché de nombres de dominio.
  • Servidor horario.
  • Wake-on-Lan.
  • Servidor DDNS.
  • QoS.
  • Completo Log de todos los sucesos que ocurren en el sistema.


IPFire permite la instalación de software adicional a través de plugins, algunas funcionalidades extra que podemos incorporarle es por ejemplo un servidor de archivos en red, servidor de impresión, Asterisk, TeamSpeak, servidor de correo, servidor de medios DLNA y otros plugins disponibles en la página web oficial.

IPFire también es compatible con arquitecturas ARM, es decir, es compatible con Raspberry PI o equipos similares. IPFire se puede descargar desde su página web principal de forma totalmente gratuita.

Enlace | RedesZone

30 de julio de 2018

Un delito informático detrás de un perfil sensual



Los usuarios saben muy poco respecto de cómo cuidarse en las redes sociales y terminan siendo manipulados.

La mayoría de las personas que resultan víctimas de un delito informático prefiere no hacer la denuncia. La vergüenza de quedar expuesto en público es principal motivo de esa actitud. En Tucumán, hay gente que cae en alguno de los engaños que se tejen, principalmente, en las redes sociales; sin embargo, opta por mantener el silencio, en lugar de efectuar la denuncia.

Morder el anzuelo con un engaño en internet es cada vez más habitual, aunque no trascienda públicamente. Uno de los más usuales que se produce en Tucumán es el engaño por la red social de Facebook. En general son los hombres los que caen en la trampa, según explicó el comisario Genaro Soria, jefe de la oficina de Delitos Telemáticos de la Policía.

El modus operandi es simple: un usuario de Facebook recibe una solicitud de amistad de parte de una mujer; en general, la foto de perfil muestra a una mujer atractiva “que vive en el exterior y quiere hacer amigos en Argentina”.

Una vez que el usuario acepta la solicitud de amistad comienza un intercambio de mensajes. Ella muestra entusiasmo por su “nuevo amigo” y envía fotos de contenido erótico y después también videos. A su vez, la mujer pide también al usuario que le envíe una foto y comienza a subir la apuesta hasta pedirle que le envíe un video en el mismo tono.

Una vez que el usuario envió el video comienza la pesadilla para la víctima del delito informático. La supuesta mujer pasa a la segunda fase, que es la extorsión a su víctima.

Pedir dinero es una de las más comunes maneras de extorsión en la web. La forma de “tapar” el engaño es que la víctima haga depósitos en una cuenta bancaria. El comisario Soria detalló que en este tipo de delitos se detectó que la mayoría de los engaños tuvieron un mismo origen: la cuenta bancaria tenía sede en Costa de Marfil.

Como una rueda


“Todo es trucho para extorsionar a los hombres, una vez obtenido el video -precisó Soria-. Le piden una determinada cantidad de dinero para no hacer público el video de la víctima y así lo siguen extorsionando en una rueda que no tiene fin”, agregó.

El investigador dijo que lo recomendable es, primero, no aceptar solicitudes de amistad de personas que no conozcan o no dar información personal. “En caso de que hayan enviado un video, lo recomendable es no depositar el dinero, porque la extorsión va a seguir -remarcó Soria-. Una vez que ellos se apoderan del video: paguen o no paguen sus víctimas lo mismo pueden viralizar en las distintas redes sociales y el monto de la extorsión seguirá en aumento”, dijo.

Los delitos informáticos crecieron en los últimos años. No hay estadísticas oficiales, prefiere reservar su caso. Para colmo la metodología de los delitos evoluciona de manera constante.

En Argentina, una de las más recientes es una forma novedosa forma de delito tecnológico que tiene más que preocupados a los usuarios de distintos servicios de correo electrónico. En la jerga de la web se lo denomina “sextorsión”. Esto tiene como protagonistas a hackers que amenazan víctimas al azar, con la revelación de fotos, videos o información sobre su intimidad, que se obtuvieron después de un supuesto hackeo.

La mayoría de los damnificados del temible mail se encontraron con un mensaje en inglés que, traducido, permite leer párrafos como los siguientes: “Vayamos directo al grano. Sé que tu contraseña es ‘xxx’. Más importante aún: sé tu secreto y tengo pruebas... estoy listo para olvidarme de todo a cambio 2.900 dólares -pago a realizar a través de Bitcoin-. Borraré el video y tu vida seguirá como si nada”.

En realidad la mayoría de los usuarios sabe muy poco respecto de cómo cuidarse y caen en la manipulación.

Fuente | La Gaceta

29 de julio de 2018

Las funciones de un CISO en la organización


Cada vez más, el papel del CISO (Chief Information Security Officer) se vuelve fundamental al interior de las organizaciones. La razón principal se debe a que su actividad está enfocada a garantizar la seguridad de la información dentro de las mismas.

El flujo de información dentro de una empresa es uno de los aspectos más relevantes y que requieren mayor atención. Poseer un estricto control de las actividades que generan y comparten información, requiere de una serie de medidas encaminadas a ofrecer la disponibilidad, integridad y confiabilidad de los datos. Es en ese punto donde el Chief Information Security Officer cobra una especial importancia.

Según datos de la “Encuesta Global 2007 de Seguridad & Privacidad” de la empresa Deloitte, el 80 % de los ataques a una organización provienen de errores humanos. Respecto a las brechas de seguridad, los ataques por medio de correo electrónico ocupan el primer lugar con un 52%, le siguen los virus con un 40% y el phishing con un 35%. Sin embargo, los ataques internos producidos por los mismos empleados poseen una efectividad de 39%.

Es por lo anterior que día a día, son más las empresas que contratan a un encargado de la seguridad de la información.

¿Qué es el CISO?


El Chief Information Security Officer se encarga, primordialmente, de la seguridad de la información dentro de una organización e implementa las medidas de control necesarias en torno a ésta. Sin embargo, entre sus principales actividades también destacan la concientización de usuarios, análisis de riesgos, administración de seguridad, definición de normas respecto al uso de la información, seguridad física del equipo de cómputo, capacitación y soporte, entre otras.

Hasta hace pocos años, las actividades relacionadas a la seguridad de la información estaban a cargo del área de sistemas o de informática. Empero, el aumento en los ataques informáticos y la elevada cantidad de información que se maneja al interior de las empresas ha hecho necesario crear una función especializada en la protección de los datos.

Tipos de CISO


De manera concreta existen tres tipos de CISO. El primero de ellos corresponde a un perfil empresarial, pues su conocimiento y experiencia se encuentran enfocados a particpar en el correcto cumplimiento de los objetivos de la organización. Este tipo de CISO se encuentra estrechamente vinculado con el área jurídica, de recursos humanos e informática.

Existe también el tipo técnico al cual se le denomina CSO. En este caso su perfil le permite ubicar las vulnerabilidades, verificar su corrección y salvaguardar la integridad de la información que reside y viaja sobre redes, equipos y sistemas informáticos de la compañía. Por supuesto, su función dentro de la empresa no es menos importante, pues se encarga de buscar y custodiar las pruebas electrónicas necesarias para poder impugnar a quienes han hecho mal uso de la información.

Finalmente se encuentra el tipo metodológico. Este último utiliza diversos procedimientos para la protección de los datos tales como ITIL, Cobit e ISO27001 y el plan de recuperación en casos de desastres (DRP, por sus siglas en inglés). De acuerdo a la necesidad de cada empresa, en cuanto a resguardo de la información, será el tipo de CISO que se contrate para cumplir con los objetivos en ese rubro.

Funciones


Fundamentalmente, el CISO se encarga de crear la política de seguridad y de ejecutar las operaciones de TI (Tecnologías de la Información). Entre sus funciones y responsabilidades más destacadas se encuentran:

  • Administración de la seguridad de la información.
  • Desarrollo y gestión de las políticas de seguridad informática.
  • Crear conciencia en materia de seguridad entre el personal de la organización y las partes interesadas.
  • Evaluación de riesgos y control de los activos de información de la organización.
  • Implementar medidas preventivas respecto a la vulnerabilidad de los activos de la empresa.


Importancia del CISO dentro de la organización


El papel del CISO es extremadamente importante al interior de de la organización, pues su opinión es de suma relevancia para la toma de decisiones y la protección de activos.

Generalmente el director o la alta gerencia no necesariamente deben conocer los aspectos fundamentales de la seguridad física y lógica. Por ello, el contar con un encargado de la seguridad de la información le permitirá centrar sus esfuerzos en las actividades que permitan el crecimiento y tener la plena certeza de que los datos que circulen por la empresa estarán siempre bien resguardados.

Fuente | Seguridad en America

17 de julio de 2018

Disponible #Debian 9.5


Iniciamos la semana con un lanzamiento de interés: Debian 9.5, la nueva versión de la rama estable de la distribución y, por lo tanto, la versión recomendada para nuevas instalaciones a partir de ahora y hasta que la releve la siguiente.
A saber, Debian 9.5 es la quinta actualización de mantenimiento de Debian 9 Stretch, lo cual significa que no hay que esperar más novedades que las presentadas por la distribución en su momento, incluyendo componentes como el kernel Linux 4.9 LTS o los entornos de escritorio GNOME 3.22, KDE Plasma 5.8 LTS, Cinnamon 3.2, MATE 1.16, Xfce 4.12 y LXDE, total de las ediciones en vivo disponibles.
Debian 9.5 trae “correcciones para problemas de seguridad” y “ajustes para problemas serios”, según el resumen habitual. Lo más destacado en este caso son las mitigaciones correspondientes a las nuevas variantes de Spectre, las vulnerabilidades que afectan a procesadores modernos de las que llevamos hablando desde principios de año. Más información sobre Spectre en MuySeguridad.
Parches, ajustes y actualizaciones en los paquetes es básicamente todo lo que ofrece Debian 9.5, aunque como advertíamos más arriba se trata de un lanzamiento solo del interés de quienes tengan previsto realizar una nueva instalación del sistema. Los usuarios que ya dispongan de una instalación de Debian 9 actualizada están servidos. Para más datos acerca de los cambios, el anuncio oficial.
Cabe recordar que recientemente Debian 7 terminó su ciclo y Debian 8 entró en fase LTS, por lo que esta Debian 9.5 es la versión recomendada en prácticamente todos los casos de uso. Debian 9 Stretch se lanzó en junio de 2017 y mantendrá su soporte por cinco años, hasta 2022.

Descargar Debian 9.5

Por otro lado, el ciclo de desarrollo de Debian 10 hace tiempo que comenzó y el proyecto ha adelantado fechas y posibles características no solo de este, sino de sus próximas versiones.
Fuente | MuyLinux

13 de julio de 2018

Un nuevo fallo de WhatsApp puede gastar toda tu tarifa de datos

En los últimos días han aparecido en redes sociales decenas de usuarios quejándose de un peligroso fallo de WhatsApp, que en muchos de los casos ha llegado a consumir varios gigas de datos por un fallo relacionado con las copias de seguridad que hace la aplicación de nuestras conversaciones, fotos y vídeos en Google Drive.


Las copias de seguridad están consumiendo tarifas de datos de muchos usuarios


Las copias de seguridad de WhatsApp nos permiten elegir que se suban a la nube por WiFi o por datos y WiFi. Además, nos permite elegir si queremos prescindir de los vídeos, que es el contenido más pesado. Algunos usuarios han reportado que la aplicación les ha llegado a consumir hasta 5 GB de datos haciendo estas copias, donde normalmente no gasta más que una decena de megas al día.

El problema, que parece estar afectando tanto a Android como a iOS (este con iCloud), consiste en que la operación de subida se para cuando ya hay bastante datos subidos, y vuelve a iniciarla desde cero, repitiéndose el proceso y consumiendo datos sin límite hasta que el usuario se dé cuenta o hasta que se le gaste la tarifa. Otros usuarios afirman que WhatsApp intentó subir todo el historial de conversaciones y archivos en lugar de sólo los de las últimas 24 horas, dando lugar a tal cantidad de datos.

Por ello, les recomendamos que desactive las copias de seguridad de momento hasta que WhatsApp solucione el fallo, o que pongan que sólo se hagan por WiFi; aunque en este último caso la batería se os puede gastar también rápido si está constantemente subiendo datos. Si tenéis una aplicación para medir el tráfico en vuestro móvil esto os será más sencillo de identificar.

WhatsApp va a mejorar lo que podemos hacer desde las notificaciones


Actualmente, responder a los mensajes de WhatsApp en Android es bastante cómodo, ya que podemos hacerlo incluso desde la barra de notificaciones sin tener que abrir la aplicación. Ahora, si simplemente no queremos responder, o queremos que sepan que hemos leído el mensaje sin abrir la aplicación, podremos hacerlo con la nueva funcionalidad que están empezando a activar en la app.

A partir de la versión beta 2.18.214, WhatsApp ha añadido una funcionalidad oculta que permite marcar los mensajes como leídos en la barra de notificaciones. Esta función toda no está activa ni visible, pero no tardará mucho en llegar a todos los usuarios. La opción aparece en la propia notificación de nuestro móvil, justo a la derecha de donde pone Responder.

Como suele ocurrir, la función se encuentra todavía en un estado muy embrionario, y es posible que tenga diversos fallos todavía hasta que sea posible utilizarla de manera más estable.

Otra opción que también está probando WhatsApp, y que quizá sea aún más útil que esta, es que van a permitir silenciar rápidamente un chat desde el panel de notificaciones. Aunque es recomendable silenciar los grupos donde hay mucha gente para evitar distracciones constantes, es posible que un grupo que no tengamos silenciado empiece a hablar de repente de cosas que no nos interesan.

Ambas funciones se activarán en próximas betas, para posteriormente empezar a llegar a todos los usuarios en la versión estable. Su llegada no debería demorarse más allá de dos o tres meses.

Fuente | ADSLZone

Entradas populares