Actualización de Cisco IOS corrige múltiples vulnerabilidades

septiembre 30, 2013 § Deja un comentario

Cisco ha publicado su grupo de avisos de seguridad semestral para Cisco IOS. Esta publicación incluye ocho avisos de seguridad que corrigen 10 vulnerabilidades que podrían provocar condiciones de denegación de servicio.

IOS (Internetwork Operating System) es el software estándar utilizado por Cisco en sus routers y switches. Proporciona un sistema operativo a la vez que una interfaz de línea de comandos para la configuración del dispositivo.

Las vulnerabilidades tienen identificadores entre CVE-2013-5472 a CVE-2013-5481 y afectan a diversas versiones del sistema IOS, en especial a las 12 y 15. Los errores residen en la implementación del protocolo NTP (Network Time Protocol), en el protocolo IKE (Internet Key Exchange), en la implementación de la característica VFR (virtual fragmentation reassembly) de IPv6, de DHCP, en el componente Zone-Based Firewall (ZBFW), en la implementación de la cola del controlador T1/E1, en la función RSVP (Resource Reservation Protocol) y tres vulnerabilidades en la implementación de NAT (Network Address Translation).

Dada la diversidad de versiones de IOS vulnerables se recomienda consultar los boletines de Cisco para obtener información sobre versiones afectadas y disponibilidad de actualizaciones.

Recordamos que desde 2008 de acuerdo a su política de distribución de avisos, Cisco publica los avisos de seguridad de Cisco IOS el cuarto miércoles de los meses de marzo y septiembre del año.

Más información:

Fuente: Hispasec

Anuncios

El Reino Unido arrestó a un adolescente por el ataque a SpamHaus

septiembre 30, 2013 § Deja un comentario

La Unidad Nacional de Crimen Cibernético de Gran Bretaña arrestó “en secreto” a un joven de 16 años residente en Londres bajo la sospecha de estar involucrado en el “mayor ataque cibernético en la historia de internet” contra SpamHaus.

Se ha informado de que hace varios meses fue arrestado este adolescente, cuyo nombre no se ha revelado, como parte de la investigación sobre el mayor ataque distribuido de denegación de servicio (ataque DDoS) de la historia, contra Spamhaus, que fue presuntamente ejecutado por el grupo holandés CyberBunker el 20 de marzo de este año.

Ese día, los servidores de la organización antispam holandesa, que rastrea los envíos de spam por correo electrónico y demás actividades con ‘información basura’, llegó a verse inundado con 300.000 millones de bits por segundo (300Gbps) de datos, un ataque tres veces más grande que el anterior récord de 100 Gbps.

El adolescente pasó a ser sospechoso después de comprobarse que “importantes sumas de dinero” estaban “fluyendo a través de su cuenta bancaria”, informó este jueves el periódico ‘London Evening Standard’.

“El sospechoso fue encontrado con sus sistemas informáticos abiertos y conectado a varios sistemas virtuales y foros”, explicó el diario, citando una nota informativa de la Unidad Nacional de Delitos Cibernéticos.

Según el ‘Evening Standard’, la detención se realizó en abril en la casa del joven en el suroeste de Londres, pero los detalles de la misma se dieron a conocer hace poco al diario.

Fuente: RT

Certificate pinning. El qué, el cómo y el porqué

septiembre 30, 2013 § Deja un comentario

Últimamente se usa mucho este concepto. Las muestras de debilidad de las PKI y el TLS/SSL en general, han llevado a pensar soluciones contra este problema que pone en riesgo las entrañas del cifrado en la red. Certificate Pinning no es un método, sino solo eso, un concepto que cada uno interpreta a su manera. Aclaremos conceptos.
Por qué

Porque SSL tiene (entre otros) un claro punto débil: la cadena de certificación. Cuando se visita una web bajo SSL, se producen una serie de muestras de confianzas en cadena, normalmente con tres pasos:

  • El dueño del dominio configura su servidor para que él y sólo él disponga del certificado asociado a ese dominio. El usuario que lo visita confía en que ha acudido al dominio correcto y que el certificado que se le presenta, está aprobado por una CA válida. Sería como pedir el DNI a un página web, y comprobar que el Estado lo ha validado.
  • Pero no lo ha validado el Estado directamente. Ese certificado es aprobado por una autoridad certificadora intermedia, en la que la CA raíz delega (por segregación y seguridad) la firma de certificados de terceros. Esta autoridad firma la relación entre el dominio y el certificado.
  • En las autoridades se confía porque lo dice tu navegador. Poco más. Vienen preconfigurados con una serie de certificados raíz en los que se confía.

Los puntos débiles son obvios y se han dado casos de todo tipo.

  • Gobiernos o empresas que han introducido entidades intermedias. Se desvía el tráfico y se introducen servidores intermedios en los que las autoridades certificadoras confían. Los servidores intermedios pueden descifrar y cifrar el tráfico de forma transparente para el usuario, y la cadena de confianza queda “intacta”, aunque con más pasos. En enero de 2013 se supo que Nokia descifraba en sus servidores el tráfico SSL de sus teléfonos. Se sospecha que ciertos gobiernos también puede estar interceptando comunicaciones cifradas entre su población.
  • Si se comprometen las certificadoras raíz o intermedias, un atacante podría crear certificados para cualquier dominio, y firmarlos. Si al usuario se le desvía el tráfico (por envenenamiento DNS, pharming, etc) y acaba en ese dominio, la cadena de certificados seguirá aparentemente igual. La CA delega en la CA intermedia y esta en el certificado. Esto ha ocurrido a niveles preocupantes. El caso Diginotar (agosto 2011), Comodo (marzo 2011) y TURKTRUST (enero de 2013) son los más sonados.

Continuar leyendo en el Blog de Eleven Path.

    Cursos de seguridad gratuitos

    septiembre 30, 2013 § 7 comentarios

    El area de Formación de INTECO está publicando una serie de cursos gratuitos de seguridad de la información a los cuales se puede acceder directamente y sin ningún requerimiento previo, además del registro previo de usuario.

    El listado de cursos es el siguiente:

    Cristian de la Redacción de Segu-Info

    ¿Te llamaron de VISA para verificar tu tarjeta? Piensalo de nuevo

    septiembre 30, 2013 § Deja un comentario

    En Segu-Info hemos recibido varias denuncias relacionadas a un fraude telefónico que se está realizando en varias provincias de Argentina. Se trata de un engaño típico para robar información de tarjetas de crédito y sucede de la siguiente manera.

    Estamos llamando del Departamento de Seguridad de Visa (o Mastercard o cualquier otra tarjeta), me llamo Fulano de Tal y mi número de identificación funcional es el 12460. ¿Usted compró (cualquier cosa, entre más rara, mejor), en una tienda X por un valor de Y?
    Lógicamente, la respuesta de la futura víctima es NO, a lo que sigue…

    Probablemente su tarjeta fue clonada y estamos llamando para verificar su compra. Si podemos confirmar que Ud. no realizó la compra, estaremos descargando ésta cantidad de su tarjeta.
    Antes de procesar éste crédito -continúa el presunto empleado- debo confirmar algunos datos: su dirección es tal (éste dato es fácil de obtener a través del directorio telefónico o por Internet). Al confirmar la información, el delincuente continua:

    Cualquier pregunta que tenga que hacer, deberá llamar al 01 8000 que se encuentra en la parte de atrás de su tarjeta y solicitar le comuniquen con el Departamento de Seguridad. Por favor, tome nota del siguiente número de reporte: en ese momento el estafador le dará un número de 6 dígitos y solicita a la víctima que lo repita (todo es parte del mismo engaño).

    Aquí es donde se inicia el fraude:
    Delincuente: disculpe, pero para hacer el descargo tenemos que verificar la posesión de su tarjeta. Por favor, tome su tarjeta y deme los 16 dígitos de la misma.
    Víctima: le dicta el número.
    Delincuente: ¡Correcto! Ahora de vuelta a su tarjeta y léame los tres últimos dígitos (o 4, dependiendo de la tarjeta). Esos son los números de seguridad (Pin Number) para hacer compras vía Internet y debemos verificar que todo sea correcto.
    Víctima: entrega el PIN.
    Delincuente: ¡Correcto! Gracias por colaborar ya que era necesario verificar que la tarjeta no estaba extraviada ó había sido robada y que Ud. la tiene en su poder. ¿Alguna duda?
    Víctima: agradece que lo hayan ayudado a no ser estafado.

    Menos de 10 minutos después, se hará una compra, o más, con la tarjeta de crédito de la víctima y esta sólo se dará cuenta cuando llegue el resumen de cuenta de la misma.

    Recomendación: NUNCA bajo ningún punto de vista atienda un llamado o responda preguntas que dicen provenir de una entidad bancaria, financiera o crediticia. Siempre debe ser Ud. el que inicia el proceso de comunicación ante un reclamo y haciéndolo a la entidad a un teléfono conocido, que puede ser que el figure en el sitio web de la entidad o en la parte posterior de la tarjeta de crédito/débito.

    ¡Gracias Vivian, por detallar el procedimiento!

    Cristian de la Redacción de Segu-Info

    Análisis Forense a dispositivos iOS

    septiembre 29, 2013 § 1 comentario

    Hoy traigo una serie de artículos donde se pretende explicar cómo realizar el análisis forense a dispositivos iOS paso a paso, detallando cada aspecto a tener en cuenta para realizar el proceso y llevar a feliz término el análisis a los dispositivos móviles de Apple.

    Para no hacer muy aburrido el texto será dividido en varias partes, empezando con las etapas previas a la adquisición y copia bit a bit del dispositivo iOS, utilizando el proyecto iPhone Data Protector de Jean-Baptiste Bédrune y Jean Sigwald, hasta el análisis de los archivos almacenados, sus rutas en diferentes versiones de iOS y sus backups.

    Una de las metodologías más extendidas para realizar un proyecto de análisis forense, sin importar el sistema operativo o el dispositivo al que se le realice, es la planteada por Warren G. Kruse II y Jay G. Heiser, autores del libro “Computer Forensics: Incident Response Essentials”, en la que sostienen que toda investigación forense digital, debe pasar por cada una de las etapas del siguiente diagrama en ese orden lógico para ser llevada a feliz término.

    En el transcurso de las siguientes entregas, seguiremos el orden lógico planteado en el modelo de Kruse y Heiser, pero obviando algunos apartados que no aplican para el análisis forense de dispositivos iOS o no son tema de trabajo para este artículo, en donde nos enfocaremos solamente en los aspectos técnicos necesarios para llevar a cabo nuestro proyecto forense sobre los dispositivos móviles de Apple.

    Contenido completo en fuente original DragonJAR.

    Campaña de ciberespionaje que usa "cibermercenarios" #IceFog

    septiembre 29, 2013 § Deja un comentario

    El equipo de investigación de seguridad de Kaspersky Lab publicó el 26 de septiembre un nuevo trabajo de investigación sobre el descubrimiento de “Icefog” [PDF], un pequeño pero muy activo grupo de APT (Amenazas Persistentes Avanzadas) centrado en objetivos de Corea del Sur y Japón, afectando a la producción de empresas occidentales. La operación se inició en 2011 y el aumentó en tamaño y alcance en los últimos años.

    “Durante los últimos años hemos visto gran un número de APTs que atacaban cualquier tipo de víctima y sector. En la mayoría de los casos, los atacantes mantienen una presencia en las redes corporativas y gubernamentales durante años y extraen terabytes de información confidencial”, afirma Costin Raiu, Director, Global Research & Analysis Team de Kaspersky Lab. “La naturaleza de los ataques Icefog demuestran una nueva tendencia: han surgido pequeñas bandas que actúan persiguiendo información con intervenciones muy precisas. El ataque suele durar unos pocos días o semanas, y después de haber obtenido lo que buscaban, hacen limpieza y se marchan. En el futuro, creemos que aumentará el número de grupos pequeños, enfocados en APT de alquiler especializados en operaciones de ‘hit-and-run’, una especie de ‘cibermercenarios’.

    Principales conclusiones

    • Según los perfiles de los objetivos descubiertos, los ciberdelincuentes parecen tener un interés especial en los siguientes sectores: militar, naval y operaciones marítimas, equipos y desarrollo de software, empresas de investigación, operadores de telecomunicaciones, los operadores de satélites, medios de comunicación y la televisión.
    • Algunas de estas empresas son Lig Nex1 y Selectron Industrial Company del sector defensa; construcción naval como DSME Tech, Hanjin Heavy Industries; operadores de telecomunicaciones como Korea Telecom; y medios de comunicación como Fuji TV y la Japan-China Economic Association.
    • Los atacantes secuestran documentos sensibles, planes de la compañía, credenciales de cuentas de correos electrónicos y contraseñas de acceso a diferentes recursos dentro y fuera de la red de la víctima.
    • Durante la operación, los atacantes han utilizado un conjunto de “Icefog” backddor (también conocido como “Fucobha”). Kaspersky Lab identificó versiones de Icefog tanto para Microsoft Windows como para Mac OS X.
    • En la mayoría de las campañas de APT, las víctimas permanecen infectadas durante meses o incluso años, y los atacantes extraen continuamente datos. Los operadores Icefog están procesando las víctimas una por una – localizan y copian sólo información específica. Una vez que se ha obtenido la información requerida, se van.
    • En casi todos los casos, los operadores Icefog parecen saber muy bien lo que necesitan de las víctimas. Buscan nombres de archivo específicos, que se identifican con rapidez, y se transfieren a la C&C.

    El ataque y funcionalidad

    Los analistas Kaspersky han “sinkholizado” 13 de los más de 70 dominios utilizados por los atacantes. Esto ha aportado datos concretos sobre el número de víctimas existentes en todo el mundo. Además, los servidores de comando y control Icefog mantienen registros cifrados de las víctimas, junto con las diversas operaciones que se realizan sobre ellos por los operadores. Estos registros a veces pueden ayudar a identificar los objetivos de los ataques y, en algunos casos, a las víctimas. Además de Japón y Corea del Sur, se observaron muchas conexiones del sinkhole con otros países, incluyendo Taiwán, Hong Kong, China, EE.UU., Australia, Canadá, Reino Unido, Italia, Alemania, Austria, Singapur, Bielorrusia y Malasia. En total, Kaspersky Lab observó más de 4.000 IPs únicas infectadas y varios cientos de víctimas (unas pocas docenas de Windows y más de 350 víctimas de Mac OS X).

    Basado en la lista de direcciones IP utilizadas para monitorizar y controlar la infraestructura, los expertos de Kaspersky Lab asumen que algunos de los actores de esta operación están centrados en al menos tres países: China, Corea del Sur y Japón.

    Fuente: DiarioTI

    ¿Dónde estoy?

    Actualmente estás viendo los archivos para septiembre, 2013 en Seguridad Informática.