Notepad++ soluciona una vulnerabilidad de Vault 7 explotada por la CIA

Hace dos días, la plataforma WikiLeaks publicó una gran cantidad de documentos secretos de la CIA bajo el nombre de Vault 7 donde se demostraba cómo la organización conocía una serie de vulnerabilidades utilizadas para explotar sistemas informáticos y romper el cifrado de, por ejemplo, las aplicaciones de mensajería instantánea. Tan pronto como estas vulnerabilidades se han dado a conocer, los responsables de las mismas ya han empezado a solucionarlas, y ya nos están llegando los primeros parches de seguridad, como el de Notepad++.

Notepad++ es uno de los editores de texto más completos que podemos encontrar. Este editor de texto, gratuito y de código abierto, es muy utilizado tanto por usuarios que buscan una alternativa más completa al bloc de notas de Microsoft como por programadores, ya que también funciona como un completo y eficaz IDE de programación.

Read More

Password Safe 3.26: protege tus contraseñas con este premiado programa gratuito

Password Safe 3.26 es la nueva versión ya disponible para descargar de este programa gratuito sencillo e intuitivo de usar, con el cual podremos almacenar de forma segura, recuperar o modificar nuestras contraseñas rápidamente. Para ello, solamente tendremos que recordar una contraseña maestra, mediante la cual podremos acceder a todas las demás contraseñas guardadas. Password Safe está disponible en español (de manera parcial) para los principales sistemas operativos Windows.

En esta Password Safe 3.26 se incluyen varias mejoras, novedades y correcciones, así como se añaden varios idiomas, tal y como se indica en su listado de cambios.
Podemos bajar Password Safe en su última versión para sistemas operativos Windows desde el siguiente enlace: Password Safe

Read More

Diez consejos para navegar mas seguro en la Web

Los usuarios de Internet están cada día más expuestos a sufrir diversos tipos de ciberataques. Desde virus que destruyen información, hasta programas espía que roban datos personales, los ciberataques aumentan en la Web y la prevención es la mejor arma para combatirlos.

Por tal motivo le brindamos diez tips para luchar contra el delito cibernético.

Los principales problemas que sufren los usuarios son los troyanos, virus, gusanos, spywares y ataques de phishing. Estos pueden llegar por e-mail en forma de spam o correo no deseado, bajando de archivos sospechosos, a través de mensajes instantáneos y mediante la duplicación de webs.

Read More

Algunos conceptos básicos de seguridad informática que deberías conocer

Candado

En Genbeta hablamos de software e Internet, y algunos de esos artículos hablan de seguridad informática: vulnerabilidades en aplicaciones, ataques a servidores, protocolos poco seguros… Por eso, hoy en Genbeta vamos a tratar, sin entrar en detalles técnicos, algunos temas de seguridad informática.

Como en todo, conviene saber sobre qué estamos trabajando (Internet en este caso), y cómo protegemos nuestra seguridad. Y qué mejor lugar que Genbeta (tanto en artículos como en los comentarios) para entrar un poco en materia. Aunque no soy un experto en seguridad, voy a tratar de explicaros algunos conceptos básicos de la seguridad en Internet y cómo nos afectan como usuarios.

¿Cómo se mantienen nuestras contraseñas seguras?

Las contraseñas son la primera barrera que ponemos para que nadie puede entrar en nuestra cuenta. En Genbeta os dimos consejos para mantener vuestras contraseñas seguras, pero, ¿qué hacen los servidores, los que las guardan, para que también estén seguras por su parte?

Si vosotros mandáis la contraseña “pepe” al servidor, en su base de datos no se guarda “pepe”, sino algo llamado el hash. Por así decirlo, el hash es la huella digital de una palabra. Teóricamente es único, y a partir de él no se puede recuperar la palabra original. De esta forma, aunque un atacante lograse todos los hashes de un servidor, le resultaría difícil recuperar las contraseñas.

Sin embargo, como bastantes medidas de seguridad, los hashes se pueden saltar a lo bruto, en este caso, probando. Al final, este método consiste en probar muchas combinaciones de letras y palabras de diccionario a ver si alguna coincide. Por eso es importante que vuestra contraseña no sea una palabra o algo sencillo. Si usáis como contraseña “patata”, por mucho hash que haya estáis vendidos.
OAuth (Twitter y Facebook Connect), más seguro que las contraseñas

Logo de OAuth

En algunos sitios tenéis la opción de entrar no con usuario y contraseña, sino con vuestra cuenta de Facebook o Twitter a través del protocolo OAuth. Además de ser más cómodo, este método de autenticación es bastante más seguro.

Este método es bastante sencillo. Cuando entras en un sitio web con Twitter o Facebook, te redirigen a la página de la red social. Ahí, tu das la autorización para que la web pueda acceder (con más o menos privilegios) a tu cuenta. La web recibe un par _token / token_secret_, que son una especie de usuario y contraseña. Con ellos, la web puede acceder a tu cuenta de Twitter o Facebook.

Lo bueno es que cada par de tokens es único. Cada sitio web tiene un par distinto para cada usuario, así que aunque alguien consiguiese todos los pares de todos los usuarios, no le servirían de nada porque sólo sirven para acceder a Twitter/Facebook desde un único sitio. Además, tienen la ventaja de que se pueden revocar: en cualquier momento prohíbes el acceso de la web a tu cuenta sin cambiar ni una sola contraseña.
¿Y nuestros datos? ¿Cómo viajan los datos sin que nadie los vea?
Un certificado, que nos indica que la conexión es segura.Un certificado que nos indica que la conexión es segura.

Seguro que alguna vez os habéis preguntado cómo funcionan eso que llaman las conexiones seguras, que supuestamente impiden que nadie vea los datos. Es sencillo: cifran los datos (que no encriptan, eso es sólo una mala traducción del inglés). El cifrado consiste en transformar un mensaje de forma que sólo se pueda recuperar el original con una clave, que puede ser o no la misma con la que se cifró.

Cuando establecemos una conexión con un servidor seguro, el navegador y el servidor intercambian las claves en un proceso llamado hand-shaking o apretón de manos. Con esas claves se cifra todo el tráfico entre ambos, así que nadie más puede ver los mensajes. Además, con esto se evita los llamados ataques man in the middle, literalmente hombre en el medio.

Estos ataques consisten en que alguien se convierte en el intermediario entre el servidor y el navegador. Todos los datos transmitidos en cualquier sentido pasan por él, de forma que tú, como usuario, podrías estar recibiendo cosas falsas y enviando datos a alguien que no es quien tú esperas. Las conexiones seguras evitan estos ataques, ya que garantizan que el servidor es quien dice ser.

Las conexiones seguras no sólo aplican a la navegación normal, también a las conexiones WiFi. Por eso es peligroso usar una Wifi abierta. No sólo se te puede colar cualquiera, sino que también pueden ver todo lo que transmites. El tráfico no está cifrado, y es como si estuvieses gritando a los cuatro vientos lo que estás haciendo. Cualquiera podría copiar a su ordenador todo el tráfico que generáis, o incluso manipularlo. Resumiendo: si podéis, no os conectéis a redes wifi abiertas.
¿Qué pasa cuando atacan a un servidor?

Que levante la mano el que no haya oído hablar de la palabra DDoS estas últimas semanas. Nadie, ¿verdad? Y es que últimamente, los DDoS están de moda de la mano de Anonymous. Pero, ¿qué es un DDoS?

Los ataques DDoS son ataques de fuerza bruta. Consisten en dar mucho la lata al servidor saturándole a peticiones, hasta que el servidor dice basta y deja de responder. Es un método muy burdo y simple, pero tremendamente efectivo cuando tenemos a un montón de gente haciendo peticiones a ese servidor.

Además de los DDoS, hay ataques a servidores más sutiles, algunos aprovechándose de aplicaciones no actualizadas. Otros están basados en la pieza entre el teclado y la silla, el querido usuario. Efectivamente, muchas veces el usuario se deja un archivo con las claves visible para todos, deja contraseñas por defecto, da pistas de dónde y cómo atacar…

Si tenéis un blog o algo similar, probablemente deberíais revisar este tipo de cosas. Recordad, nunca dejéis las contraseñas por defecto, y no guardéis nada confidencial, como contraseñas, en archivos de texto que estén accesibles.

Por último, también hay otro tipo de ataque muy conocido, los XSS. Son fallos en las webs que permiten que, cambiando algunos parámetros de la URL podamos mostrar cualquier cosa en la web: un texto, un script, una imagen de Mr Bean… No suelen ser demasiado peligrosos, y algunos navegadores (Chrome por ejemplo) ya lo evitan desde el propio navegador.
¿Y a mí? ¿Pueden atacarme a mi ordenador personal como hacen con los servidores?

Esto es bastante más difícil. Además de las medidas de seguridad que ponga el operador, vuestro ordenador está detrás de un router. Aunque alguien consiguiese tu dirección IP, sería complicado llegar a tu ordenador personal ya que habría que pasar por encima de un router que, salvo que hayáis tocado algo raro (como activar la DMZ, que deja el camino libre a vuestro ordenador), no debería dejar pasar ninguna conexión de este tipo.

De todas formas, que sea más difícil atacar a tu ordenador personal no quita que seas invulnerable. Siempre hay virus, troyanos y malware en general esperando a que algún despistado se lo instale en el ordenador, y para eso sólo vale tener sentido común y un buen antivirus.
¿Por qué es peligroso usar aplicaciones no actualizadas?
Una actualización como esta no sólo trae cosas bonitas y brillantes, también evita problemas de seguridad.Una actualización como esta no sólo trae cosas bonitas y brillantes, también evita problemas de seguridad.

En Genbeta, tanto editores como lectores solemos tener versionitis, y siempre estamos instalando la última versión de todo para tener todas las características. Pero no todas las actualizaciones traen novedades, de hecho, la mayoría de ellas corrigen problemas de seguridad.

¿Qué problemas de seguridad de las aplicaciones nos pueden afectar a nosotros como usuarios? Hay muchos tipos, pero el más peligroso es el llamado buffer overflow, o desbordamiento de búfer.

El desbordamiento de búfer es un fallo que hace que un programa escriba en la memoria RAM más de la cuenta. Así, sobrepasa el espacio que tenía asignado y escribe encima de otra cosa. El problema llega cuando esa otra cosa son instrucciones para que las ejecute el sistema. Aprovechándose de estos fallos, un atacante podría escribir en esa zona de memoria y ejecutar el código que le diese la gana en nuestro ordenador. No suena bien, ¿verdad?

Por eso es tan importante que mantengáis vuestras aplicaciones actualizadas. Ya no es sólo tener lo último de lo último, es una cuestión de seguridad.

Y hasta aquí llega este artículo. Espero que os haya servido para saber un poco más de Internet y cómo podéis estar más seguros en él. Si tenéis algo que añadir o que corregir, no dudéis en hacerlo en los comentarios.

Fuente: Genbeta

Read More

El troyano URLZone desarrolla técnicas “anti-mulas”

En el mundo del malware, las mulas son las personas que se dedican a realizar el trabajo sucio: mover el dinero desde la cuenta bancaria víctima hacia la suya, y de ahí a través de traspaso de dinero en efectivo, el dinero viaja a los verdaderos atacantes (cerebros de la
operación) mientras ellos se quedan con un pequeño porcentaje y corren todo el riesgo. URLZone ha desarrollado un método para evitar que los investigadores atrapen a estas mulas, y pasar así todavía más
desapercibidos: Usan cuentas de mulas reales durante su comportamiento “habitual”, pero, si notan que están siendo monitorizados, engañan automáticamente a los investigadores realizando transacciones legítimas a cuentas de conocidos de las víctimas que, lógicamente, en realidad no son mulas.

El llamado URLZone está siendo muy especial, por lo innovador de algunas técnicas con las que se protege. Hace algunos días nos llamaba la atención que el troyano fuese capaz de recordar el balance anterior de su víctima, y falsearlo en la cuenta una vez ha sido robado. Así, el usuario no percibe que está siendo víctima de fraude. No puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador troyanizado, o le sea devuelto algún recibo.

URLZone es una evolución de la familia de los Silentbankers que, como característica principal, realiza las transacciones de forma automática.
Habitualmente las contraseñas robadas va a parar a manos de los atacantes y las transacciones ilegítimas son realizadas “a mano” desde otro ordenador. Con URLZone, las transacciones a muleros se hacen de forma automática desde el ordenador de la víctima sin que este lo sepa, lo que complica por ejemplo el demostrar jurídicamente que no ha sido la víctima la que ha realizado la transacción.

Como la mayoría de las empresas que estudiamos malware, RSA FraudAction Research Lab ejecuta en un entorno lo más real posible un troyano, y estudia su comportamiento. Observaron que en su laboratorio, como es habitual, el troyano realiza transacciones de forma automática. Pero, y aquí está lo relevante, comprobaron que las cuentas a las que se hacían transferencias eran cuentas de personas reales, conocidas o no, pero siempre a las que el usuario víctima ya habían realizado transacciones previamente. Esto quiere decir que, cuando el troyano se sabe “monitorizado”, no usa las cuentas de muleros sino que almacena en una base de datos (probablemente junto con el balance anterior de la
víctima) cuentas habitualmente utilizadas por el usuario para realizar transferencias “falsas” cuando le vigilan.

Cuando URLZone detecta que no está en su botnet “legítima”, o sea, la red de sistemas infectados que reciben órdenes de uno o varios sistemas centrales, modifica su comportamiento para eludir a los investigadores.
Si es instalado en un laboratorio, y la red central no “conoce” a ese sistema, simulará un comportamiento extraño, en el que toda persona que haya recibido dinero de la cuenta de la víctima, parecerá que es el mulero de turno. De paso, ocultan así las cuentas de los muleros reales, y perseguir el dinero se convierte en una tarea todavía más compleja.

Todo esto se controla desde el servidor central. Tiene un protocolo especial de comunicación con las víctimas y si, por cualquier razón, sospecha que uno de los sistemas infectados no es una víctima real, sino que ha sido infectado en un sistema de laboratorio, en vez de desconectar o no hacer nada (así actúan la mayoría de troyanos hoy día), busca en su base de datos de conocimiento de la víctima y simula transacciones que no harán más que confundir a los investigadores, bancos, víctimas y sobre todo, a las personas que recibirán dinero sin haberlo pedido y serán acusados de mulas ocasionales.

Sin duda, una inteligente vuelta de tuerca más en el mundo del fraude online.

Fuente:Noticias Hispasec

Read More

Nueva versión de Apache Lucene

Existen varios errores en Apache Lucene Java que pueden provocar distintas denegaciones de servicio. Lucene es un API de código abierto para recuperación de información, originalmente implementada en Java aunque también existe en otros lenguajes como Delphi, Perl, C#, C++, Python, Ruby y PHP.

El centro de la arquitectura lógica de Lucene se encuentra el concepto de Documento (Document) que contiene Campos (Fields) de texto. Esta flexibilidad permite a Lucene ser independiente del formato del fichero.

Es útil para cualquier aplicación que requiera indexado y búsqueda a texto completo. Se distribuye bajo la Apache Software License.

Entre los fallos, destacamos:

LUCENE-1611: Existe un error en función IndexWriter que provoca una denegación de servicio por consumo de disco.

LUCENE-1658: Existe un error en la clase MMapDirectory que puede provocar un desbordamiento de buffer. Este error está causado por un bug de Sun.

LUCENE-1681: Un error en las funciones getMinValue, getMaxValue, getAverageValue de cálculo de estadísticas produce un bucle infinito a causa de no incrementar una de las variables internas.

LUCENE-1899: Debido a un error en la asignación de espacio se produce un consumo excesivo de CPU que podría causar una denegación de servicio.

Fuente:Noticias Hispasec

Read More

rebit, un Time Machine para Windows

rebit

Una de las aplicaciones más interesantes de las que vienen con Leopard y con su sucesor, Snow Leopard, es Time Machine, un sistema de copias de seguridad automáticas que permite incluso recuperar versiones antiguas de nuestros ficheros. Es la misma idea que subyace en rebit.

Esta aplicación realiza esta misma tarea, crear copias de seguridad de nuestros ficheros, cuando los creamos o los modificamos, de forma que iremos teniendo un histórico de cada uno de ellos y podremos recuperar versiones anteriores, incluso si las hemos sobreescrito o modificado.

Read More

“Pantallazo azul” (BSOD) en Windows Vista y 7 a través de unidades compartidas

Laurent Gaffié ha detectado un fallo de seguridad en Windows Vista que podría permitir a un atacante provocar un BSOD (pantallazo azul, una denegación de servicio) con solo enviar algunos paquetes de red manipulados a una máquina que tenga activos los servicios de compartición de archivos (protocolo SMB).

El fallo (incomprensiblemente simple) está en el intérprete de las cabeceras SMB, concretamente en el driver srv2.sys. Como los controladores operan en el “ring0”, la capa de abstracción del sistema operativo más cercana al hardware (en contraste con el “ring3”, la capa de usuario que no interactúa directamente con él) un fallo en cualquier driver provoca que el sistema se bloquee por completo, al no poder manejar la excepción correctamente. Se trata del temido pantallazo azul, o BSOD. Los Windows anteriores a Windows 2000 no realizaban esta separación de seguridad entre capas, por lo que todo operaba en el mismo espacio de memoria y los fallos en el espacio de usuario podían causar un bloqueo total del sistema. De ahí que los pantallazos azules fuesen mucho más comunes en Windows 9x y Me.

El ataque es tan sencillo que recuerda a los “pings de la muerte” que hicieron estragos a finales de los 90 en los sistemas Windows. Contenían un fallo en la pila TCP que hacía que, si se enviaba un ping al sistema especialmente manipulado (simplemente especificando con un parámetro, por ejemplo, un tamaño mayor del paquete) se podía hacer que el sistema dejara de responder. Esto, unido a la carencia de cortafuegos del sistema, a que en aquellos momentos las conexiones se realizaban a través de módem (que carecía de protección por cortafuegos o NAT) y el hecho de no existir servicio de actualización automático del sistema, hicieron muy popular el ataque.

Este fallo en el protocolo SMBv2 de compartición de archivos requiere igualmente del envío de una sencilla secuencia de paquetes SMB (al puerto 445) al sistema víctima con las cabeceras manipuladas. El truco está en enviar un carácter “&” en el campo “Process Id High” de las cabeceras SMBv2. Esto provoca una excepción en srv2.sys que provoca el pantallazo azul. El exploit es público y realmente sencillo.

Vista mantiene el cortafuegos activo por defecto para su perfil “público”, y esto mitiga el problema. Pero todo depende del perfil. Si el usuario usa un perfil de cortafuegos (ya sea de dominio, o el perfil
privado) en el que permite las conexiones a sus unidades compartidas (puerto 445, normalmente abierto en las redes locales) será vulnerable.
No es necesario que comparta realmente una unidad, solo que el protocolo SMB esté activo y preparado para compartir en su sistema. Esto puede resultar especialmente grave en redes internas.

No existe parche oficial disponible. Se recomienda filtrar el puerto 445 (y los implicados también en la compartición de ficheros 137-139) a través de cortafuegos. También es posible detener el servicio “Servidor”
del sistema (aunque se puede llegar a perder funcionalidad). Otra contramedida posible es desactivar la casilla “compartir archivos e impresoras” que aparece en las propiedades de las interfaces de red.

Aunque el ataque no permite ejecución de código y es poco viable que pueda propagarse por la red pública, sí que puede resultar más que molesto en redes internas donde los usuarios normalmente mantienen reglas de cortafuegos mucho más relajadas. ¿Vuelven los tiempos del “ping de la muerte”?.

Fuente:Noticias Hispasec

Read More

Cross Site Scripting en IBM Lotus Domino Web Access

Se ha encontrado una vulnerabilidad en IBM Lotus Dominio Web Access
8.0.1 que podría permitir a un atacante ejecutar ataques de Cross Site Scripting.

La vulnerabilidad está provocada por un error de validación de entradas al procesar los datos introducidos por el usuario en algún campo no especificado en el aviso de IBM. Esto podría ser explotado por un atacante para lograr la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se recomienda instalar el Hotfix Pack 211.241 disponible desde:
http://www.ibm.com/support/fixcentral

Fuente:Noticias Hispasec

Read More

Denegación de servicio a través de IPv6 en Solaris 10 y OpenSolaris

Se ha detectado un problema de seguridad en la implementación de Ipv6 en Sun Solaris 10 que podría permitir a un atacante remoto provocar una denegación de servicio.

El fallo reside en Solaris IPv6 en la pila de red al interactuar con el driver “Cassini Gigabit-Ethernet” y tramas “jumbo” que podrían permitir a un atacante remoto causar una denegación de servicio.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 10 instalar 141414-10 desde:
http://sunsolve.sun.com/pdownload.do?target=141414-10&method=h

Para x86:
Solaris 10 instalar 141415-10 desde:
http://sunsolve.sun.com/pdownload.do?target=141415-10&method=h

OpenSolaris:
Solucionado en los sistemas basados en snv_123 o posterior.

Fuente:Noticias Hispasec

Read More