Certificado Digital de Adobe comprometido ha sido utilizado para firmar herramientas de hacking: ¡A revocar!

septiembre 30, 2012 § 1 comentario

A través de un post titulado “Inappropriate Use of Adobe Code Signing Certificate” – Uso inapropiado de certificado de firma de código de Adobe – la compañía ha alertado a los usuarios de la necesidad de actualizar sus productos ante una inminente revocación del certificado digital con el que algunos de ellos se encuentran firmados, ya que ha sido comprometida su seguridad y a principios de Octubre dejará de tener validez.

El incidente parece que tuvo lugar al quedar comprometido un servidor de compilación a finales de Julio, en el que se encontraba el certificado digital para firmar el código. Dicho certificado fue utilizado para firmar la popular herramienta PwDump7 – junto con la librería libeay32.dll de OpenSSL – que se utiliza para volcar las contraseñas de sistemas Microsoft Windows desde el LSA, y myGeeksmail.dll que es un filtro ISAPI que puede instalarse en servidores web para interceptar y manipular las conexiones HTTP lo que permitiría a un atacante acceder a toda la información que por ese servidor web pase y modificarla a gusto.

Los detalles y hashes MD5 de los ficheros firmados han sido publicados en un Security Advisory desde Adobe APSA 12-01 y son los siguientes:

PwDump7.exe
MD5 hash: 130F7543D2360C40F8703D3898AFAC22
Tamaño: 81.6 KB (83,648 bytes)
Signature timestamp: Thursday, July 26, 2012 8:44:40 PM PDT (GMT -7:00)
MD5 hash del fichero sin firma: D1337B9E8BAC0EE285492B89F895CADB

libeay32.dll
MD5 hash: 095AB1CCC827BE2F38620256A620F7A4
Tamaño: 999 KB (1,023,168 bytes)
Signature timestamp: Thursday, July 26, 2012 8:44:13 PM PDT (GMT -7:00)
MD5 hash del fichero sin firma: A7EFD09E5B963AF88CE2FC5B8EB7127C

myGeeksmail.dll
MD5 hash: 46DB73375F05F09AC78EC3D940F3E61A
Tamaño: 80.6 KB (82,624 bytes)
Signature timestamp: Wednesday, July 25, 2012 8:48:59 PM (GMT -7:00)
MD5 hash del fichero sin firma: 8EA2420013090077EA875B97D7D1FF07

Según cuentan, a Adobe llego una copia de estos ficheros el 12 de Septiembre desde una fuente anónima, y desde entonces han trabajado en firmar el software con otros certificados digitales y poner actualizaciones de sus programas afectados disponibles, además de informar al Microsoft Active Protection Program y fabricantes de soluciones de seguridad para que detecten estos ficheros como maliciosos.

Fuente: El Lado del Mal

Filipinas: Nueva ley sobre “ciberdelincuencia” debilitará la libertad de expresión

septiembre 30, 2012 § Deja un comentario

Una nueva ley filipina sobre “ciberdelincuencia” endurece considerablemente las penas previstas para el delito de injurias y otorga a las autoridades facultades excesivamente amplias e indiscriminadas para cancelar sitios web y controlar la información que se publica en línea, señaló hoy Human Rights Watch. El presidente Benigno Aquino III promulgó la Ley de Prevención de Ciberdelincuencia de 2012 el 12 de septiembre de este año.

Las sanciones penales establecidas por la norma para casos de injurias a través de Internet, además de otras restricciones, constituyen una grave amenaza para la libertad de expresión en Filipinas. Se han interpuesto una serie de recursos ante la Corte Suprema de Filipinas para conseguir que este tribunal, entre otras cosas, declare la inconstitucionalidad de la ley en razón de que viola las garantías de libertad de expresión consagradas en la Constitución de Filipinas y diversos tratados de derechos humanos ratificados por el país.

“La ley sobre ciberdelincuencia debe ser derogada o reemplazada”, manifestó Brad Adams, director para Asia. “Vulnera el derecho de los filipinos a la libertad de expresión y resulta absolutamente incompatible con las obligaciones del gobierno de Filipinas conforme al derecho internacional”.

Esta norma reciente define nuevos actos que se incluyen en la categoría de “ciberdelitos”. Entre los actos prohibidos se encuentran el “cibersexo”, la pornografía infantil en línea, el acceso ilegal a sistemas informáticos o la piratería informática, el robo de identidad en línea y el envío de mensajes de correo electrónico no deseados.

La sección sobre injurias dispone que este delito de naturaleza penal, que ya se definía en el artículo 355 del Código Penal Revisado de Filipinas, se aplicará en adelante a aquellos actos “cometidos a través de sistemas informáticos o cualquier otro medio similar que se diseñe en el futuro”. La nueva ley prevé una sanción significativamente más severa para las injurias proferidas a través de medios informáticos, y aumenta doce veces la pena mínima, que inicialmente era de seis meses y ahora es de seis años. A su vez, la pena máxima se duplica de 6 a 12 años de prisión.

“Cualquier persona que utilice las redes sociales o publique contenidos en línea se expone ahora a la posibilidad de recibir una pena de prisión prolongada si alguno de sus lectores —entre ellos, los funcionarios gubernamentales— interpone una demanda por injurias”, aseveró Adams. “Las expresiones presuntamente difamatorias, expresadas tanto en línea como por otros medios, deberían evaluarse como un asunto privado de naturaleza civil, y no como un delito”.

Human Rights Watch instó al gobierno de Filipinas a derogar la ley penal sobre injurias que está vigente actualmente. El gobierno de Aquino, por su parte, ha mostrado escaso interés en apoyar una norma que está siendo tratada actualmente en el Congreso filipino y que despenalizaría las injurias.

Además de la sección sobre injurias, la ley contiene una disposición que otorga nuevos poderes al Departamento de Justicia para que, por iniciativa propia y sin necesidad de una orden judicial, pueda ordenar el cierre de cualquier sitio web si considera que viola la ley. También autoriza a la policía a recabar datos informáticos en tiempo real sin una orden de la justicia.

La aplicación de las leyes penales sobre difamación también ha inhibido expresiones de otros sectores, particularmente aquellos con participación en temas similares.

Cuando los ciudadanos se enfrentan a la posibilidad de terminar en prisión por denunciar el desempeño de las autoridades, la corrupción o prácticas comerciales abusivas, es esperable que otras personas se hagan eco de esta advertencia y probablemente decidan no involucrarse en este tipo de problemas, lo cual redunda en detrimento de la gobernabilidad efectiva y la sociedad civil.

En los últimos años, varios periodistas de Filipinas han sido encarcelados por injurias, y esto ha agudizado la precaria situación de la libertad de expresión en el país. En el caso del periodista de radio Alexander Adonis de la ciudad de Davao, que en 2007 fue condenado a dos años de prisión por injurias, el Comité de Derechos Humanos de las Naciones Unidas determinó que el gobierno filipino había violado el artículo 19 sobre el derecho a la libertad de expresión y opinión del Pacto Internacional de Derechos Civiles y Políticos. El Comité exhortó al gobierno de Filipinas a despenalizar las injurias.

“Mientras se mantenga vigente, la nueva ley sobre delitos informáticos tendrá un efecto inhibitorio para todos los miembros de la comunidad en línea de Filipinas”, indicó Adams.

Fuente: Human Rights Watch

Google ‘castiga’ a un autor por compartir su libro en The Pirate Bay

septiembre 30, 2012 § 1 comentario

Cuando hablamos sobre compartir archivos en la web, lo primero que viene a la mente es el intercambio de canciones, vídeos, películas u otros tipo de contenidos protegidos por copyright. Sin embargo, las redes p2p también funcionan para facilitar la transmisión de obras de dominio público, inéditas, de autoría propia o con licencias flexibles como las de Creative Commons. Así, muchas personas aprovechan para cargar contenidos de su autoría y permitir que el mundo los conozca, reproduzca y comparta.

Ése el caso de Cody Jackson, quien escribió hace unos años un libro sobre el lenguaje de programación Python. Cuando lo terminó, decidió liberarlo como agradecimiento a la comunidad open source. Así, su libro podría descargase de forma gratuita, dándole una opción a los lectores para hacer una donación voluntaria. Para ganar un poco más de dinero, también incluyó un par de anuncios de Google AdSense en su blog de Blogger.

Hace un par de semanas, Jackson recibió un anuncio de Google que le avisaba que su AdSense había sido inhabilitado. La razón: Google afirmaba que Jackson estaba distribuyendo contenido de forma ilegal. La empresa se valía de sus términos y condiciones, donde se señala que quienes usen AdSense no pueden usar sus sitios para compartir material protegido por copyright, ni dar enlaces o redirigir tráfico hacia páginas que contengan (?) este tipo de contenidos.

Por supuesto, el libro de Jackson no violaba ningún copyright, pues es de su autoría y tiene todo el derecho para alojarlo en el blog. La discordia se provocó porque Jackson subió una segunda versión de su libro como torrent, con enlaces a The Pirate Bay y Demonoid para descargarlo. A Google no le importó que el autor haya puesto ahí su propio archivo voluntariamente. Pues no: aunque no haya ninguna infracción al copyright, parece que la penalización es a los sitios de descarga, sin importar si el contenido está o no protegido.

Jackson contactó a Google para explicarles que él era el autor, que el trabajo estaba registrado bajo una licencia Creative Commons BY-SA (que permite copiar, distribuir, transmitir y adaptar el contenido); y que, por tanto, las copias eran perfectamente legales. Google prometió revisar el caso, pero su respuesta fue contundente: no podían dar de alta AdSense porque seguía existiendo una violación a los términos, aunque no supieron decir cuál. El autor intentó, por último, remover los enlaces a los sitios de descarga -a pesar de que eran completamente legales-. Volvió a escribir a Google y, de nuevo, se topó con un muro. La situación aún no se resuelve, porque al parecer, nadie en Google es capaz de comprender su caso.

El asunto de Jackson es grave porque muestra las dificultades que puede tener una persona para dar a conocer su propia obra y lucrar con ella. En ningún momento hay una intención por explotar comercialmente el trabajo de terceros; por el contrario, su modelo apela, por un lado, a la gente que dona voluntariamente; y por el otro, introduciendo los anuncios de Google para sacar un poco de dinero de los visitantes. No hay nada ilegal es eso.

Así mismo, es una muestra de cómo Google está penalizando una tecnología (las redes p2p) sólo bajo una presunción de que forzosamente enlazan a contenido protegido por copyright. Google parece olvidar que estas formas de distribución también sirven para compartir otro tipo de obras, ajenas al sistema e intereses de los defensores del copyright; archivos de personas que buscan difundir su trabajo de manera independiente. Quizá es tiempo de que Google aprenda que no todas las descargas son necesariamente ilegales.

Fuente: Alt1040

Megabox ¿Acabar con la piratería o instalar spyware?

septiembre 29, 2012 § 1 comentario

Kim Dotcom ultima el proyecto con el que promete revolucionar la forma en la que los artistas se relacionan con su público y son remunerados por distribuir sus creaciones. La clave para obtener ingresos estará en MegaKey, un software residente que interceptará los anuncios de las páginas que visite el usuario para sustituirlos por su propia publicidad.

Kim Dotcom publicó ayer un vídeo (bastante dificil de entender) con las primeras imágenes del interior de MegaBox, una aplicación de streaming de contenidos en la nube con aires de red social, en la que los artistas son remunerados por poner su música a disposición de los usuarios, sin la intermediación de las discográficas. Como puede verse en el vídeo, el desarrollo está muy avanzado y es cuestión de semanas que se lance oficialmente.

Uno de los puntos fuertes de Megabox es que firmará contratos exclusivos con artistas que quieran abrazar esta nueva forma de entender el negocio de la música. Pero, ¿donde está el modelo de negocio? Dotcom explicó en TorrentFreak recientemente que la clave para que MegaBox sea rentable está en MegaKey, un software que habrá que instalar para acceder de forma gratuita a los contenidos de MegaBox. Este software residente monitorizará los contenidos de las páginas web visitadas por el usuario y sustituirá en silencio hasta el 15% de los anuncios originales que se muestran en los espacios publicitarios de la web, por los anuncios comercializados por la compañía de Kim Dotcom.

Los que acepten su instalación pagarán de esta forma el acceso a la música. Pero los que crean que se trata de una invasión de la privacidad siempre podrán adquirir una suscripción de pago a MegaBox.

Este modelo, que Kim Dotcom asegura que acabará con la piratería, destinará hasta el 90% de los ingresos para los artistas.

Fuente: Banda Ancha

Infografía: los peligros de la banca online

septiembre 29, 2012 § 1 comentario

La vulnerabilidad en internet de los datos bancarios de los internautas es uno de los mayores problemas de los usuarios de banca online. A pesar de los códigos de seguridad y las precauciones de las entidades que usan internet como vía de acceso a las cuentas corrientes, muchos usuarios aún caen en las trampas de los ciberdelincuentes, dejando desprotegido su dinero.

Estos datos de acceso a las cuentas son ahora los más cotizados por parte de cibercriminales: son un acceso fácil a dinero, del que pueden disponer en cualquier momento. Muchas entidades avisan que nunca enviarán correos electrónicos pidiendo datos a sus clientes y que procuren asegurarse de cerrar la sesión de la banca online y evitar usar ordenadores compartidos. ¿Cómo encuentran entonces las debilidades? Según indica una nota de Kaspersky Lab, los criminales prefieren los siguientes métodos:

Phishing– el aliado de los delincuentes para las personas menos concienciadas. En este caso, se engaña a los usuarios, quienes introducen sus datos en páginas web falsas. El 70% de los emails infectados van destinados al robo de dinero, según la compañía.

Páginas web falsas– Para las personas con prisas. Si se introduce la dirección web de forma equivocada, puede redirigir al usuario a una nueva página web falsa.

Páginas web comprometidas– una página web puede ser legítima pero estar comprometida. Según Kaspersky Lab, a diario se detectan más de 5.000 páginas web comprometidas, en las que los bancos no tienen el control absoluto sobre la información que se introduce.

Usando un equipo infectado– Los usuarios que usan equipos públicos, compartidos o los que no dispongan de protección antivirus son las personas más a riesgo de tener sus datos robados. Estos programas redirigen a los usuarios a páginas web maliciosas, quienes recogen la información y contraseñas.

Interceptando las teclas (Keyloggers)– según la empresa, los usuarios pueden ser interceptados al teclear información confidencial y cada día se descubren 230 nuevos keyloggers.

Para poder evitar estos malos tragos, los usuarios deben usar equipos seguros, navegar por sitios web de confianza y en una conexión segura y usar un teclado virtual imposible de interceptar por los keyloggers. En esta infografía de Kaspersky Lab, se explican las debilidades y como los usuarios pueden mejorar su protección online.

Fuente: Ticbeat

Estudio de Madurez de la Nube revela sus 10 principales problemas

septiembre 29, 2012 § Deja un comentario

Los hallazgos de una encuesta realizada en conjunto por Cloud Security Alliance (CSA) e ISACA muestran que las regulaciones gubernamentales, las estrategias de salida y la privacidad de los datos internacionales dominan las 10 principales áreas donde la confianza en la nube es la más baja.

El estudio de Madurez del Mercado de Nube realizado conjuntamente entre ISACA y CSA ofrece a los líderes de las empresas y de TI conocimiento sobre la madurez del cómputo en la nube y ayudará a identificar los cambios del mercado. El reporte, dado a conocer hoy, ofrece información detallada sobre la adopción de los servicios de nube en todos los niveles dentro de las empresas globales, incluyendo a los ejecutivos de alto nivel.

El estudio revela que los usuarios de la nube de 50 países expresaron el menor nivel de confianza en los siguientes aspectos (clasificados del menos confiable al más confiable):

  1. Las regulaciones gubernamentales están a la par del mercado (1.80)
  2. Estrategias de salida (1.88)
  3. Privacidad de datos internacionales (1.90)
  4. Temas legales (2.15)
  5. Estar atrapado en un contrato (2.18)
  6. Propiedad de los datos y responsabilidades de los administradores (2.18)
  7. Longevidad de los proveedores (2.20)
  8. Integración de la nube con sistemas internos (2.23)
  9. Credibilidad de los proveedores (2.30)
  10. Prueba y aseguramiento (2.30)

Si bien hay muchos indicadores positivos que apoyan la adopción planeada, el uso y el valor percibidos de los servicios de nube en los siguientes años, aún hay mucho que avanzar para involucrar y ganar el apoyo de los líderes empresariales.

“En un primer paso, nosotros como industria debemos seguir trabajando por ofrecer una definición más clara de lo que es la nube y cómo los muchos servicios innovadores y seguros pueden impactar positivamente a las empresas de hoy”, señaló J.R. Santos, director de investigación global de CSA. “Pero es indispensable comenzar desde arriba e involucrar a la alta administración. Las necesidades de la nube ya no pueden percibirse como un problema técnico que hay que resolver, sino como un activo de negocio que hay que adoptar”.

La encuesta incluye la respuesta de más de 250 participantes de casi 50 países, lo que representa un grupo global de usuarios, proveedores, consultores e integradores de nube de 15 segmentos de la industria. Se pidió a los participantes, 85 por ciento de quienes se identificaron como usuarios de la nube, clasificar en una escala de cero a cinco varias consideraciones en el cómputo en la nube, incluyendo:

  • Uso de servicios de nube y el nivel de satisfacción
  • Los factores para tomar decisiones de nube
  • Nivel de la madurez de la nube
  • Innovación en la nube
  • Expectativas de la nube
  • Soporte de la nube para los objetivos de negocio
  • Las fuerzas que influyen en la adopción y la innovación
  • Confianza y optimismo en el mercado de la nube

“Uno de los hallazgos más interesantes es que los temas de gobierno de TI ocurren repetidamente en la lista de las 10 principales preocupaciones. Los usuarios de la nube reconocen el valor de este modelo, pero estamos luchando con cuestiones como la propiedad de los datos, los problemas legales, estar atrapado en un contrato, la privacidad de los datos internacionales y las regulaciones gubernamentales”, señaló Greg Grocholski, CISA y presidente internacional de ISACA. “Ya que los servicios de nube siguen evolucionando, es crítico que trabajemos juntos como industria para ofrecer información y recomendaciones sobre estos aspectos para que los proveedores de servicios y soluciones puedan buscar innovar y ofrecer lo que el mercado de servicios de nube necesita para avanzar y lo que las empresas necesitan para tener éxito”.

Visión General de los Resultados

Los resultados del estudio ofrecen mucha información sobre el progreso de la adopción de la nube. Por ejemplo, los habilitadores de negocio (puntuación 4.08) en lugar de las consideraciones finales (puntuación 3.5) son los principales factores para tomar decisiones referentes a la nube, y donde el factor menos importante es la capacidad de reducir la huella ambiental de la organización (puntuación 2.67). Los factores que habilitan el negocio que influyen más en la toma de decisiones respecto al cómputo en la nube están relacionados con la confiabilidad y disponibilidad de los servicios (puntuación promedio 4.59) y la calidad del servicio (puntuación 4.29).

En general, los encuestados creen que aún se puede mejorar cuando se trata de la innovación en la nube. Casi uno de cuatro de los encuestados (24 por ciento) indica que no hay niveles de innovación en el mercado o que hay niveles limitados. Cuarenta y tres por ciento de los participantes creen que hay un nivel moderado de innovación, mientras que 33 por ciento reporta que el nivel de innovación en términos de productos, servicios y uso empresarial es importante.

“Los resultados de la encuesta muestran que los CIOs y la administración de TI entienden a la nube y están más involucrados en impulsar la innovación de la nube en sus organizaciones. Esto limita la madurez y la innovación de la nube ya que ésta sigue siendo vista como una solución técnica y no como un habilitador del negocio”, apuntó Yves Le Roux, miembro de CSA y del Comité de Orientación y Prácticas de ISACA. “La nube puede ofrecer innovación para construir el negocio, pero para llegar a ese punto, es necesario que los líderes empresariales y los ejecutivos de nivel C apoyen y entiendan mejor tanto el valor como el riesgo de la nube”.

Casi todos los participantes de la encuesta creen que el cómputo en la nube está lejos de alcanzar la madurez, pues sólo el software como servicio (SaaS) fue colocado cautelosamente en el primer estado de nivel de crecimiento, con los servicios de infraestructura y plataforma considerados aún en sus etapas de infancia.

Aun así, los encuestados siguen confiando moderadamente en que los servicios de nube están cumpliendo con las expectativas de servicio y estrategia y que los problemas se están resolviendo. Muchos consideraron que los servicios de nube ofrecen confianza en la estrategia y la resolución de problemas (puntuación promedio 3.47), lo que indica un optimismo cauteloso de que la nube seguirá madurando y que los problemas que limitan su adopción serán resueltos.

El reporte completo de la encuesta está disponible en www.isaca.org/cloud-market-maturity y https://cloudsecurityalliance.org/research/collaborate/. ISACA y CSA hablarán sobre los hallazgos y las implicaciones del estudio en un webinar el 11 de octubre.

Fuente: CSA

Fuga de información en IEEE.org: 100 mil usuarios y contraseñas

septiembre 28, 2012 § Deja un comentario

IEEE (Institute of Electrical and Electronics Engineers) ha sufrido una violación de datos que fue descubierta el pasado 18 de septiembre por Radu Dragusin, científico de la computación de FindZebra y profesor adjunto de la Universidad de Copenhague.

Durante el análisis fue expuesto un log de acceso visitas al sitio en donde se pudieron encontrar 99.979 nombres de usuario y contraseñas en texto plano que estuvieron disponibles al público en el servidor FTP de la organización, durante al menos un mes antes del descubrimiento.

Entre los usuarios comprometidos hay personas de Apple, Google, IBM, Oracle y empleados de Samsung, así como investigadores de la NASA, la Universidad de Stanford y muchos otros lugares.

En IEEELog han analizado los dados expuestos y han realizado un excelente resumen de la información expuesta.

Si bien han aclarado que, como corresponde, no publicarán el archivo a continuación se pueden ver las contraseñas utilizadas, donde no sorprende ver “123456” y “12345678” entre ellas:

Como siempre, la recomendación es cambiar la clave de inmmediato.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás viendo los archivos para septiembre, 2012 en Seguridad Informática.