Boletín 137 – 31/05/2009
Los temas tratados son:
- Proteger la clave privada en un entorno de criptografía pública
- Fuga de información: las empresas no aprenden
- Segu-Info busca autores
- Apoya a Segu-Kids, Juntos en la Red
Entradas de Mayo 2009
Publicado el Boletín 137 – 31/05/2009
Mayo 31, 2009 · Dejar un comentario
De nuevo PDF, el enemigo de BlackBerry
Mayo 31, 2009 · Dejar un comentario
Research In Motion (RIM) responsable de BlackBerry ha anunciado varias vulnerabilidades no especificadas en el proceso de archivos PDF. Esto podría permitir a un atacante remoto ejecutar código arbitrario en el servidor que aloja el servicio de proceso de archivos adjuntos, no en el terminal, como puede llegarse a pensar.
Los fallos se dan en el servicio de archivos adjuntos de BlackBerry Enterprise Server 5.x (para distintos servidores de correo) y BlackBerry Professional Software 4.x. Un atacante podría, a través de un archivo PDF especialmente manipulado, enviar un adjunto y al abrirlo en el dispositivo móvil, ejecutar código en el servidor que aloja el servicio de adjuntos.
RIM sufrió un problema parecido hace muy pocos meses. En realidad, todo software que procesara archivos PDF sufrió un grave problema de seguridad al procesar elementos JBIG2. La alerta comenzó con Adobe, pero poco a poco mucho software dedujo que sufría, si no el mismo, problemas de seguridad graves muy parecidos.
Se recomienda actualizar los servidores desde aquí
Vulnerabilities in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
Fuente: Laboratorio Hispasec
Categorías: Vulnerabilidades
De nuevo PDF, el enemigo de BlackBerry
Mayo 31, 2009 · Dejar un comentario
Research In Motion (RIM) responsable de BlackBerry ha anunciado varias vulnerabilidades no especificadas en el proceso de archivos PDF. Esto podría permitir a un atacante remoto ejecutar código arbitrario en el servidor que aloja el servicio de proceso de archivos adjuntos, no en el terminal, como puede llegarse a pensar.
Los fallos se dan en el servicio de archivos adjuntos de BlackBerry Enterprise Server 5.x (para distintos servidores de correo) y BlackBerry Professional Software 4.x. Un atacante podría, a través de un archivo PDF especialmente manipulado, enviar un adjunto y al abrirlo en el dispositivo móvil, ejecutar código en el servidor que aloja el servicio de adjuntos.
RIM sufrió un problema parecido hace muy pocos meses. En realidad, todo software que procesara archivos PDF sufrió un grave problema de seguridad al procesar elementos JBIG2. La alerta comenzó con Adobe, pero poco a poco mucho software dedujo que sufría, si no el mismo, problemas de seguridad graves muy parecidos.
Se recomienda actualizar los servidores desde aquí
Vulnerabilities in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
Fuente: Laboratorio Hispasec
Categorías: Vulnerabilidades
Mantener a raya a los ciberespías
Mayo 31, 2009 · Dejar un comentario
Para los detectives tradicionales, el problema era siempre conseguir la información. Para los ciberdetectives que buscan pruebas en la maraña de datos de Internet, el problema es diferente. “El Santo Grial es distinguir entre la información basura y la información valiosa”, comenta Rafal Rohozinski, sociólogo de la Universidad de Cambridge involucrado en asuntos de seguridad informática.
Empezó hace ocho años y fue el cofundador de dos grupos, Information Warfare Monitor y Citizen Lab, ambos con sede en la Universidad de Toronto, junto con Ronald Deibert, un politólogo de dicha universidad. Los grupos persiguen ese objetivo y se esfuerzan por poner las herramientas de investigación normalmente reservadas a las agencias encargadas del cumplimiento de la ley y los investigadores de seguridad informática, al servicio de colectividades que no disponen de esos recursos. “Se nos ocurrió que a los grupos de la sociedad civil les faltaba capacidad para espiar”, dice Deibert. Han conseguido algunos logros importantes. El año pasado, Nart Villeneuve, un investigador de relaciones internacionales de 34 años que trabaja para ambos grupos, descubrió que una de las mayores empresas de sistemas inalámbricos de China estaba utilizando una versión china del Skype para realizar escuchas, probablemente encargadas por las agencias policiales del Gobierno chino.
Categorías: ciberataques · delitos · espias · espionaje
Informe: Hackers turcos ingresan a servidores del ejército de EEUU
Mayo 31, 2009 · Dejar un comentario
Hackers instalados en Turquía penetraron en dos servidores Web del ejército de los EEUU y redirigieron tráfico de esos sitios Web a otras páginas incluyendo una con mensajes anti-americanos y anti-israelíes, según un informe de InformationWeek.
Los hackers, quienes son conocidos como el grupo “m0sted,” irrumpieron en un servidor en la Planta de Municiones McAlester del ejército el 26 de enero y en un servidor en el Centro Trasatrlántico de Ingenieros del Cuerpo de Ejercito de los EEUU en Virgina, el 19 de septiembre de 2007, dice el informe.
Los investigadores creen que se usó un ataque de inyección SQL para explotar una vulnerabilidad en el servidor de base de datos Microsoft SQL para obtener acceso a los servidores.
No queda claro si se accedió a alguna información sensible, según dice el informe.
Se liberaron ordenes de allanamiento sobre Microsoft, Yahoo, Google, y otros ISP y proveedores de correo electrónico, mientras está en marcha una investigación criminal en el Departamento de Defensa, la Oficina General del Fiscal Militar del Ejercito de EEUU, y el CERT, informó InformationWeek.
El mismo grupo desfiguró el sitio web de las Naciones Unidas en el año 2007, usando también un ataque de inyección SQL.
Autor: Elinor Mills
Fuente: cnet
Traducción de Raúl Batista para Segu-Info
Informe: Hackers turcos ingresan a servidores del ejército de EEUU
Mayo 31, 2009 · Dejar un comentario
Hackers instalados en Turquía penetraron en dos servidores Web del ejército de los EEUU y redirigieron tráfico de esos sitios Web a otras páginas incluyendo una con mensajes anti-americanos y anti-israelíes, según un informe de InformationWeek.
Los hackers, quienes son conocidos como el grupo “m0sted,” irrumpieron en un servidor en la Planta de Municiones McAlester del ejército el 26 de enero y en un servidor en el Centro Trasatrlántico de Ingenieros del Cuerpo de Ejercito de los EEUU en Virgina, el 19 de septiembre de 2007, dice el informe.
Los investigadores creen que se usó un ataque de inyección SQL para explotar una vulnerabilidad en el servidor de base de datos Microsoft SQL para obtener acceso a los servidores.
No queda claro si se accedió a alguna información sensible, según dice el informe.
Se liberaron ordenes de allanamiento sobre Microsoft, Yahoo, Google, y otros ISP y proveedores de correo electrónico, mientras está en marcha una investigación criminal en el Departamento de Defensa, la Oficina General del Fiscal Militar del Ejercito de EEUU, y el CERT, informó InformationWeek.
El mismo grupo desfiguró el sitio web de las Naciones Unidas en el año 2007, usando también un ataque de inyección SQL.
Autor: Elinor Mills
Fuente: cnet
Traducción de Raúl Batista para Segu-Info
Gusano a través Twitter y Facebook
Mayo 30, 2009 · Dejar un comentario
En las últimas horas un mensaje falso se ha comenzado a propagar en las redes Twitter y Facebook, anunciando un supuesto video pornográfico (que ya fue eliminado).
Al momento de escribir esto se podía ver muchos perfiles de usuarios portugueses/brasileros infectados.
El mensaje que se puede ver en Facebook es el siguiente:
El mensaje que se podía ver en Twitter (ya fue bloqueado) es el siguiente:
Best video: http://jus[ELIMINADO].ru/?video_id=24431
Como puede, en ambos casos se redirige al usuario a un sitio ruso, desde donde se puede descargar un gusano que roba credenciales de ambos servicios, para luego continuar la propagación de sí mismo a través del perfil correspondiente a ese usuario.
Es decir que se utiliza al usuario y se lo transforma en un spammer involuntario, motivo por el cual algunas cuentas de Twitter han sido bloqueadas temporalmente y serán devueltas cuando el problema finalice.
La página contenía el siguiente video, ya clausurado por YouTube:
Además en el código fuente, se podía ver el siguiente iframe, desde posiblemente se descargaba el malware.
Es obvio que mientras el usuario miraba el video, además se descargaba una nueva página “invisible” que infectaba al usuario. En el momento de escribir el presente, dicha página no se encuentra disponible.
La forma de funcionamiento y el comportamiento del gusano me hace suponer que se trata de una variante de Koobface, similar a la reportada hace meses aquí mismo y del cual se puede conocer más aquí.
Actualización 20:45: el iframe ya no aparece en la página mencionada, lo que indica que están actualizando la misma y podría cambiarse el código para intentar otro ataque.
Actualización 21:oo: probando la funcionalidad de Facebook que permite redirigir a los usuarios a través de un comando como el siguiente: http://www.facebook.com/l/;http://www.segu-info.com.ar/, no termino de entender el motivo de la existencia de la misma.
Cristian de la Redacción de Segu-Info
Categorías: exclusivo · redes sociales
Gusano a través Twitter y Facebook
Mayo 30, 2009 · 4 comentarios
En las últimas horas un mensaje falso se ha comenzado a propagar en las redes Twitter y Facebook, anunciando un supuesto video pornográfico (que ya fue eliminado).
Al momento de escribir esto se podía ver muchos perfiles de usuarios portugueses/brasileros infectados.
El mensaje que se puede ver en Facebook es el siguiente:
El mensaje que se podía ver en Twitter (ya fue bloqueado) es el siguiente:
Best video: http://jus[ELIMINADO].ru/?video_id=24431
Como puede, en ambos casos se redirige al usuario a un sitio ruso, desde donde se puede descargar un gusano que roba credenciales de ambos servicios, para luego continuar la propagación de sí mismo a través del perfil correspondiente a ese usuario.
Es decir que se utiliza al usuario y se lo transforma en un spammer involuntario, motivo por el cual algunas cuentas de Twitter han sido bloqueadas temporalmente y serán devueltas cuando el problema finalice.
La página contenía el siguiente video, ya clausurado por YouTube:
Además en el código fuente, se podía ver el siguiente iframe, desde posiblemente se descargaba el malware.
Es obvio que mientras el usuario miraba el video, además se descargaba una nueva página “invisible” que infectaba al usuario. En el momento de escribir el presente, dicha página no se encuentra disponible.
La forma de funcionamiento y el comportamiento del gusano me hace suponer que se trata de una variante de Koobface, similar a la reportada hace meses aquí mismo y del cual se puede conocer más aquí.
Actualización 20:45: el iframe ya no aparece en la página mencionada, lo que indica que están actualizando la misma y podría cambiarse el código para intentar otro ataque.
Actualización 21:oo: probando la funcionalidad de Facebook que permite redirigir a los usuarios a través de un comando como el siguiente: http://www.facebook.com/l/;http://www.segu-info.com.ar/, no termino de entender el motivo de la existencia de la misma.
Cristian de la Redacción de Segu-Info
Categorías: exclusivo · redes sociales
Gusano a través Twitter y Facebook
Mayo 30, 2009 · 1 comentario
En las últimas horas un mensaje falso se ha comenzado a propagar en las redes Twitter y Facebook, anunciando un supuesto video pornográfico (que ya fue eliminado).
Al momento de escribir esto se podía ver muchos perfiles de usuarios portugueses/brasileros infectados.
El mensaje que se puede ver en Facebook es el siguiente:
El mensaje que se podía ver en Twitter (ya fue bloqueado) es el siguiente:
Best video: http://jus[ELIMINADO].ru/?video_id=24431
Como puede, en ambos casos se redirige al usuario a un sitio ruso, desde donde se puede descargar un gusano que roba credenciales de ambos servicios, para luego continuar la propagación de sí mismo a través del perfil correspondiente a ese usuario.
Es decir que se utiliza al usuario y se lo transforma en un spammer involuntario, motivo por el cual algunas cuentas de Twitter han sido bloqueadas temporalmente y serán devueltas cuando el problema finalice.
La página contenía el siguiente video, ya clausurado por YouTube:
Además en el código fuente, se podía ver el siguiente iframe, desde posiblemente se descargaba el malware.
Es obvio que mientras el usuario miraba el video, además se descargaba una nueva página “invisible” que infectaba al usuario. En el momento de escribir el presente, dicha página no se encuentra disponible.
La forma de funcionamiento y el comportamiento del gusano me hace suponer que se trata de una variante de Koobface, similar a la reportada hace meses aquí mismo y del cual se puede conocer más aquí.
Actualización 20:45: el iframe ya no aparece en la página mencionada, lo que indica que están actualizando la misma y podría cambiarse el código para intentar otro ataque.
Actualización 21:oo: probando la funcionalidad de Facebook que permite redirigir a los usuarios a través de un comando como el siguiente: http://www.facebook.com/l/;http://www.segu-info.com.ar/, no termino de entender el motivo de la existencia de la misma.
Cristian de la Redacción de Segu-Info
Categorías: exclusivo · redes sociales
Gusano a través Twitter y Facebook
Mayo 30, 2009 · 1 comentario
En las últimas horas un mensaje falso se ha comenzado a propagar en las redes Twitter y Facebook, anunciando un supuesto video pornográfico (que ya fue eliminado).
Al momento de escribir esto se podía ver muchos perfiles de usuarios portugueses/brasileros infectados.
El mensaje que se puede ver en Facebook es el siguiente:El mensaje que se podía ver en Twitter (ya fue bloqueado) es el siguiente:
Best video: http://jus[ELIMINADO].ru/?video_id=24431Como puede, en ambos casos se redirige al usuario a un sitio ruso, desde donde se puede descargar un gusano que roba credenciales de ambos servicios, para luego continuar la propagación de sí mismo a través del perfil correspondiente a ese usuario.
Es decir que se utiliza al usuario y se lo transforma en un spammer involuntario, motivo por el cual algunas cuentas de Twitter han sido bloqueadas temporalmente y serán devueltas cuando el problema finalice.
La página contenía el siguiente video, ya clausurado por YouTube:Además en el código fuente, se podía ver el siguiente iframe, desde posiblemente se descargaba el malware.Es obvio que mientras el usuario miraba el video, además se descargaba una nueva página “invisible” que infectaba al usuario. En el momento de escribir el presente, dicha página no se encuentra disponible.
La forma de funcionamiento y el comportamiento del gusano me hace suponer que se trata de una variante de Koobface, similar a la reportada hace meses aquí mismo y del cual se puede conocer más aquí.
Actualización 20:45: el iframe ya no aparece en la página mencionada, lo que indica que están actualizando la misma y podría cambiarse el código para intentar otro ataque.
Actualización 21:oo: probando la funcionalidad de Facebook que permite redirigir a los usuarios a través de un comando como el siguiente: http://www.facebook.com/l/;http://www.segu-info.com.ar/, no termino de entender el motivo de la existencia de la misma.
Cristian de la Redacción de Segu-Info
Categorías: exclusivo · redes sociales
