La vulnerabilidad corresponde al tipo “Local File Include + Directory Traversal = Source Code Disclosure”, que permitía acceder a archivos de código del banco. Revisando los datos, Zerial descubrió que el desarrollo del código fuente corresponde al año 2006 – hace casi seis años – lo que revelaría poca preocupación de parte del banco respecto a este tema. Además, esta vulnerabilidad está presente desde hace al menos un año, dice Zerial.

Con esto, “tienes acceso al core de la aplicación, puedes entender cómo funciona el sistema del banco de forma interna, cómo son los procesos de negocio, etc. Esto ayuda al atacante a conocer mejor a su víctima”, señala Zerial.

Una de las fallas más curiosas, sin embargo, apareció poco después y afecta al sistema de pagos automáticos de cuentas (PAC/PAT). Esta falla permite que alguien entre a tu cuenta y asigne pagos automáticos, sin confirmación ni autorización de la persona dueña de la cuenta. Un ataque así sólo haría que pagues tus cuentas, pero de todos modos es una intrusión a tu cuenta personal.

“En Santander hay muchas vulnerabilidades, ésta es sólo una de ellas. Existen varios Cross-Site Scripting (XSS) que afectan a distintas secciones del Santander. Este tipo de vulnerabilidades sí que afectan directamente a los clientes. Santander se caracteriza por tener muchos agujeros de seguridad en sus procesos de negocios (validaciones)”, opina Zerial.

La primera vulnerabilidad, que permitía el acceso al código fuente, incluso estaba indexada en Google. Sin embargo, este problema parece haberse solucionado en los últimos días. El asunto del PAC/PAT, sin embargo, seguiría operativo.

- ¿Cuál consideras que es el peor descuido de Santander en este caso?

El descuido de ellos es claramente que externalizan servicios como la seguridad y el desarrollo y confían plenamente en esas empresas. Y ante amenazas y advertencias, que simplemente no respondan. No son capaces de manejar y canalizar el incidente.

- ¿Qué puede hacer una persona para protegerse?

Nada, es tarea del banco. El usuario no tiene como protegerse.

El banco no ha emitido una respuesta oficial a este caso Pueden ver la respuesta del banco más abajo. Personas que contactaron a ejecutivos de cuenta por este problema recibieron respuestas que descartan que la vulnerabilidad exista. Por otro lado, Zerial fue contactado por TAISA, la empresa que desarrolla el sistema del banco, que admitió que los problemas son reales y que están trabajando para corregirlos. Al menos esta compañía reaccionó bien.

No hay que descartar que otros bancos se encuentren en situaciones similares (aquí algunos otros ejemplos), considerando que en este lado del mundo varios servicios bancarios y de pago de cuentas todavía dejan bastante que desear.

Actualización:

Banco Santander respondió a nuestras consultas al respecto. El gerente de Banca Electrónica, Laureano Cuesta, aseguró que “esta vulnerabilidad fue revisada por tres entidades independientes, y las tres concluyeron que estaba protegida ante intentos de inyección de código malicioso. De todas maneras, y para no generar innecesaria preocupación en nuestros clientes, se procedió a limitar el acceso al código de esa página”.

Respecto a que el código correspondiera a un desarrollo del año 2006, Cuesta afirmó que “Banco Santander tiene más de 350 transacciones implementadas en más de 5.000 páginas de códigos de fuente, y éstas se modifican de acuerdo a las necesidades de los clientes y a condiciones de seguridad. Esto implica que no es extraño encontrar páginas que tengan 5 años de antigüedad, frente a  otras páginas que fueron implementadas hace menos de un mes.  Eso es normal en el ciclo de vida de los grandes sitios transaccionales”.

Sobre los problemas en el sistema de pago automático de cuentas (PAC/PAT), “también se hizo una revisión completa por parte de tres entidades independientes. En base a esto podemos asegurar que actualmente esta transacción es segura”.

Cuesta insistió en que el sitio web es seguro y que está en permanente monitoreo y revisión. También afirmó que una empresa externa realiza “hackeo ético” todos los años para revisar posibles fallas. “Cada vez que se detecta un riesgo, ya sea por nuestros propios equipos, por clientes o por expertos independientes, se trabaja de inmediato en reparar dichas fallas”, afirmó.

Link: El rincón de Zerial

WPS es un método para facilitar la configuración de un nuevo router inalámbrico para una red doméstica. Una de las cuatro configuraciones que permite WPS es mediante un PIN que se utilizará durante la fase de instalación. El PIN a menudo es impreso en algún lugar en el router inalámbrico o punto de acceso.

“Cuando la autenticación PIN falla el punto de acceso envía un mensaje EAP-NACK al cliente. Los mensajes EAP-NACK son enviados de forma que el atacante es capaz de determinar si la primera mitad del PIN es correcto. Por otra parte, el último dígito del PIN es conocida porque es un checksum del PIN. Este diseño reduce considerablemente el número de intentos necesarios para realizar un ataque de fuerza bruta que nos permita conocer el PIN. El número de intentos va desde 10⁸ hasta 10⁴ + 10³, es decir 11.000 intentos en total”, según comenta Stefan Viehbock, consejero del Equipo de Respuesta en Emergencia Computacional de Estados Unidos (US-CERT).

Esto sin mencionar que algunos routers inalámbricos no implementan ningún tipo de bloqueo a los intentos de fuerza bruta mientras que aquellos que si lo hacen requieren reiniciar el sistema.

El investigador de seguridad Stefan Viehbock descubrio esta vulnerabilidad y la reportó a US-CERT [PDF] ya que afecta a un gran número de routers, incluyendo D-Link, Netgear, Linksys y Buffalo. Incluso desarrolló una herramienta en Python para atacar los PINs con este método que pronto podría publicar.

No es la primera vez que encuentran vulnerabilidades en WPS, en el 2009 investigadores japoneses desarrollaron una manera de romper la seguridad del sistema de encriptación usando el algoritmo TKIP.

Link: New WiFi Setup Flaw Allows Easy Router PIN Guessing (Slashdot)

El problema tenía su origen en que gran parte de las impresoras cuyo firmware se actualiza a través de Internet, no verifica la autenticidad de este al momento de descargarlo e instalarlo en el equipo. De esta manera un atacante inescrupuloso podía alterar dicho firmware para obtener cierto control sobre la impresora. Según lo señalado por los investigadores un atacante con los suficientes conocimientos podía hacer que algunas  impresoras terminaran incendiándose, o permitir a un infiltrado acceder a otros computadores conectados a la misma red.

Dentro de la lista de impresoras que se encontraban bajo esa condición se encontraban las populares LaserJet de HP, compañía que de inmediato anunció que liberaría un firmware de actualización para resolver dicha vulnerabilidad. Es así como desde la semana pasada ya se encuentra disponible en el sitio de soporte de la compañía una actualización del firmware de las impresoras que, en teoría, soluciona la vulnerabilidad presente en las versiones anteriores; por lo que si tienes una impresora LaserJet conectada a la red sería bueno que te preocuparas de realizar el proceso de actualización (por lo general el proceso es automático).

Link: HP Releases Firmware Update To Prevent Printer Hacking (Forbes)

Ahora, los investigadores Thai Duong y Juliano Rizzo dicen haber logrado vulnerar este sistema, lo que les permitiría desencriptar los datos que se transfieren entre un servidor y el navegador que está usando el usuario. Los investigadores harán público su descubrimiento esta semana, lo que podría tener graves consecuencias.

El problema está en el transport layer security (TLS), la nueva generación de SSL. La versión vulnerable es TLS 1.0, y aunque existen las versiones 1.1 y 1.2 que no se verían afectadas, pocos navegadores las soportan y prácticamente todos los sitios web siguen usando la versión 1.0.

Los investigadores harán una demostración su descubrimiento en la conferencia Ekoparty en Buenos Aires esta semana. Se trata de un par de líneas de JavaScript que funcionan como un espía de la red, que permite descifrar las cookies encriptadas usadas por un determinado sitio para otorgar acceso restringido a la cuenta de un usuario.

Se espera que los navegadores lancen parches en los próximos días para atacar este problema. También podría funcionar como impulso para que los sitios se actualicen a TLS 1.2.

La vulnerabilidad probablemente aumentará todavía más los llamados que se han estado haciendo últimamente para mejorar el frágil ecosistema SSL. Recientemente, las empresas DigiNotar y Comodo, emisoras de certificados SSL que permiten validar el sistema, fueron víctimas de hackeos, emitiendo certificados falsos que permitirían a un extraño inmiscuirse en las comunicaciones de miles de usuarios.

Link: Hackers break SSL encryption used by millions of sites (The Register)

La infección ocurrió el 12 de agosto y no fue detectada hasta 17 días después, según el administrador jefe de kernel.org, John “Warthog9″ Hawley. Según relató en un correo a los desarrolladores, se encontró un troyano en la máquina personal del desarrollador de kernel H. Peter Anvin y luego en dos servidores de kernel.org llamados Hera y Odin1.

“Intrusos obtuvieron acceso root al servidor Hera. Creemos que pueden haber obtenido acceso a través de las credenciales de un usuario; cómo lograron explotar ese acceso root es hasta el momento desconocido y está en investigación”, señala un comunicado en el sitio de kernel.org.

Se cree que los repositorios usados para almacenar el código fuente de Linux no se vieron afectados por la vulnerabilidad, aunque la seguridad de los mismos está siendo verificada. El comunicado agrega que el daño potencial que se puede hacer rooteando kernel.org es menos que el que se podría lograr en repositorios de software comunes, debido a los métodos de seguridad que están dentro del sistema.

“Por cada uno de los casi 40.000 archivos en el kernel de Linux, se calcula criptográficamente un hash SHA-1 seguro para definir de manera única los contenidos exactos de ese archivo. Una vez publicados, no es posible cambiar las versiones antiguas sin ser notado”, señala el comunicado.

Cada hash es almacenado en miles de sistemas diferentes alrededor del mundo, haciendo fácil que los usuarios chequeen la validez de los archivos Linux antes de correrlos en sus máquinas.

Aunque es raro, esta no es la primera vez que una respetada organización que distribuye software de código abierto, de la que dependen miles de otras organizaciones, es atacada. En diciembre, la fuente principal de código de la Free Software Foundation, GNU Savannah, fue derribada después de un hackeo que filtró contraseñas. Los administradores no pudieron determinar esa vez si hubo acceso de root.

En abril de 2010 también la Apache Software Foundation sufrió un ataque que consiguió contraseñas que cualquiera que usara el servicio de rastreo de bugs de la web.

Kernel.org bajó los servidores infectados y están en proceso de reinstalar completamente el sistema operativo en cada máquina de la organización. También están trabajando con los 448 usuarios de kernel.org para cambiar sus credenciales de autenticación, incluyendo claves SSH. Además se notificó a autoridades en Estados Unidos y Europa.

Link: The Linux Kernel Archives (vía The Register – Gracias Víctor)

Un nuevo sitio llamado Rankmyhack.com permite a exponer y calificar sitios hackeados con el fin de determinar quién es el mejor hacker del mundo.

RankMyHack fue creado por un hacker de Reino Unido llamado “s0lar” con el objetivo de crear un medio independiente para los hackers, donde se puedan comprobar las habilidades de sus compañeros – sobre todo en una escena underground donde la fanfarronería es algo común.

“Hasta ahora, cuando se encontraba con otro hacker en un foro o IRC, no había manera de saber si este tenía algún tipo de habilidad. RankMyHack.com fue construido para dar una indicación clara de las habilidades generales de un hacker. También sirve para dar seguimiento a los logros de un hacker con su alias actual para que otros hackers reconozcan sus logros. Los competidores ganan puntos en el ranking violando la seguridad de sitios web. Cuanto más grande es el sitio web, más puntos ganan. Del mismo modo, los ataques técnicamente mejor logrados dan más prestigio”, comenta s0lar.

Actualmente el ‘hackeo’ mayor calificado es el que sufrió el sitio de The Huffington Post, un ataque realizado por “Mudkip”, seguido por el de Google.com por blackfan y el del sitio del Boston Globe, también realizado por mudkip.

El sitio también recompensa con puntos el ataque a sitios web de una lista negra interna, que solo es accesible a los miembros del sitio debido a la “alta cobertura de los medios de comunicación”. De acuerdo con The Telegraph, esta lista incluye al Partido Nacional Británico y el Ku Klux Klan.

Según s0lar, las recompensas sólo cumplen un “objetivo políticamente constructivo” para reconocer el talento de los hackers, independientemente de su capacidad. De manera que RankMyHack no se puede comparar con grupos hacktivistas como Anonymous o LulzSec.

Link: RankMyHack.com Rewards Hackers With World Ranking, Bounties (PCMag)

De las 13 actualizaciones, dos eran “críticas”, nueve “importantes” y dos “moderadas”. Aunque el “Ping de la Muerte” suena como algo terrible, no es quizás la actualización más importante del grupo. La actualización “MS11-064″ es la encargada de reparar este problema, descubierto a principios de la década de 1990. El asunto es el siguiente: si alguien envía un requerimiento ping específico a un equipo, éste causaba que el PC con Windows se fuera a pantalla azul y luego se reiniciara.

Hace años, el Ping de la Muerte se usó para botar PCs con Windows de manera remota, muchas veces para demostrar la inestabilidad del sistema operativo. La vulnerabilidad que se parcha ahora parece ser una versión algo distinta del Ping de la Muerte de los 90′s. Microsoft señaló que existe en Windows Vista, Server 2008, Windows 7, pero no en XP o Server 2003.

Sin embargo, usar el Ping de la Muerte hoy en día es algo muy raro, ya que hay maneras menos complicadas de atacar equipos. Además, esta vulnerabilidad no sirve para controlar el equipo o robar datos.

Más allá de este problema, se parcharon también siete vulnerabilidades en Internet Explorer, incluyendo una que permitiría a una web maliciosa tomar control del PC, de modo que ésta sí es una actualización urgente.

La actualización aparecerá de forma automática en Microsoft Update.

Link: Microsoft patches 1990s-era ‘Ping of Death’ (ComputerWorld)

(c) CNET

“CyFi” es una niña hacker de 10 años que participó en la versión infantil de DefCon, dando cátedra respecto de una vulnerabilidad que descubrió en las aplicaciones – en realidad en los juegos – de smartphones y tablets con iOS y Android: el reloj.

“El mundo de las apps obviamente no ha pensado sobre la seguridad, todavía. Aquí hay una lección importante que pueden aprender de una niña scout. Les voy a mostrar una nueva clase de vulnerabilidad, que yo llamo Viajero del Tiempo”, escribió en su presentación CiFy.

El origen del descubrimiento fue simplemente el aburrimiento. A CyFi le dio flojera esperar que algunas tareas, como hacer crecer zapallos u otras hortalizas, se demoraran tanto tiempo. Cambiar el reloj así no más no funcionaría porque los diseñadores de las aplicaciones no iban a dejar algo tan obvio abierto. Para resolver este problema, CyFi descubrió que si desconectaba el equipo de internet y cambiaba el reloj de a poquito, podía viajar en el tiempo dentro del juego que estaba jugando.

CyFi alertó a los creadores de las apps para que las arreglen y por eso no ha dado a conocer los nombres de los dispositivos y los juegos que usó.

El descubrimiento de esta chica no es enorme, pero lo encontró antes de los desarrolladores se dieran cuenta de que existía el problema. Muchos de los juegos móviles tienen cierto componente social (como comparar rankings y resultados), y jugar con el reloj podía abrirle la puerta a muchos tramposos.

Link: 10-year-old girl discovers age old flaw in iOS and Android games (DVICE)

La compañía dijo que pagará US$500 a quien reporte fallas generales, y más (no se indica cuánto) para quienes informen de bugs específicos. Para ganarse la recompensa, hay que ser el primero en informar privadamente sobre el bug, hay que darle un plazo razonable a la empresa para que pueda responder antes de dar a conocer la falla, y hay que vivir en un país que no esté “sancionado por Estados Unidos”. Lo sentimos, Cuba.

Mozilla fue uno de los primeros desarrolladores de software en crear un programa de recompensas, estrategia que siguió luego Google. Mozilla ha llegado a pagar hasta US$3.000 y Google US$3.133,7 por bugs muy serios.

Link: Security bug bounty (Facebook)

Un experto en seguridad informática advirtió sobre una vulnerabilidad que afecta a todas las versiones de Internet Explorer, por medio de la cual un atacante puede obtener de manera fácil acceso a las “cookies” que almacena el navegador.

La técnica conocida como “cookiejacking” requiere que el usuario sea engañado convenciéndolo de que “arrastre y suelte” un objeto que se despliega en la pantalla, algo que no es muy complicado de hacer y que perfectamente puede ser simulado.

De hecho para demostrar lo fácil que resulta engañar a los usuarios de Internet, Rosario Valotta -el experto que descubrió la vulnerabilidad- diseño un puzzle para Facebook en el que el usuario debe ir moviendo las piezas para desnudar a una mujer. Una vez que subió este juego logró recolectar más de 80 cookies en menos de tres días (siendo que cuenta con sólo 150 “amigos” en la red social).

Desde Microsoft señalaron que las posibilidades de que un atacante lograra tener éxito con esta técnica eran mínimas, por lo que no la consideraban de alto riesgo (por el hecho de que se requería de la interacción del usuario).

Link: Security researcher finds ‘cookiejacking’ risk in IE (CNET Vía CHW)

Se trata de otra inyección de SQL. El hacker dejó un mensaje diciendo que no se trata de un hackeo sofisticado, sino que “sólo queremos avergonzar a Sony un poco más”.

La parte buena es que entre los datos que sacaron no hay nombres, contraseñas ni ningún tipo de información personal. Los atacantes señalaron que hay dos bases de datos más en el sitio que son vulnerables, aunque no queda claro si contienen información importante o no.

Sony ha sido el objetivo de múltiples ataques después de que se destapara la vulneración de la PSN. Quizás sea imposible para Sony parchar todos los hoyos que tiene. O quizás nunca se tomaron la seguridad muy en serio, pero si ese es el caso, después de los últimos hackeos diarios ya deberían haber tomado algunas medidas al respecto. Veremos si seguirán ocurriendo, o si habrá algún cambio.

Link: Sony Music Japan hacked through SQL injection flaw (Sophos)

Opera Software liberó una importante actualización de su navegador, en la que se incluye la corrección de una vulnerabilidad calificada como crítica y que afecta a todas las versiones anteriores de Opera.

Según lo que informa la compañía la vulnerabilidad permitiría a un atacante la ejecución remota de código malicioso en el equipo afectado. La brecha de seguridad se produce debido a que algunas construcciones de marcos no son manejadas correctamente cuando se descarga la página, lo que provoca una corrupción de memoria.

Junto con publicar la actualización de Opera la compañía agradeció públicamente al investigador anónimo que trabaja en el programa SecuriTeam Secure Disclosure, quien se preocupó de alertar a la compañía sobre la vulnerabilidad que había encontrado dándole el tiempo suficiente para corregirla.

Si eres un usuario de Opera te recomendamos actualizar a la brevedad a la versión 11.11 de Opera, ya sea utilizando la opción de actualización integrada al navegador o desde el sitio de la compañía.

Link: Advisory: Frameset issue allows execution of arbitrary code (Opera Software)

El problema está en las cookies del sitio, que permiten acceder a la cuenta sin tener que volver a ingresar la contraseña. Aunque muchos sitios usan cookies, el problema de las de LinkedIn es que éstas no expiran hasta un año después de que fueron creadas.

La mayoría de los sitios hace que estas cookies dejen de ser válidas en 24 horas o menos. Las de los bancos, por ejemplo, expiran tras 5 o 10 minutos de inactividad del usuario. Pero las de LinkedIn no. Así, si alguien se apodera de ese archivo y lo usa en otro PC, podría obtener acceso a tu cuenta por hasta un año.

La compañía afirmó que está tomando medidas al respecto para asegurar las cuentas de sus usuarios, diciendo que se toman el tema en serio. “Ya sea si estás en LinkedIn o en cualquier otro sitio, siempre es buena idea optar por redes WiFi encriptadas o redes privadas cuando sea posible”, agrega el comunicado.

LinkedIn señaló que la compañía soporta secure sockets layer (SSL) para cifrar datos sensibles como las contraseñas, pero las cookies de acceso todavía no lo usan. Esto hace que estos archivos puedan ser extraídos de formas bastante simples por atacantes.

Narang resaltó la gravedad del asunto porque la mayoría de la gente no se preocupa mucho de las cookies. El investigador dijo que descargó cuatro de estos archivos de un foro de desarrolladores donde se estaba discutiendo el uso de cookies, y que con ellas pudo acceder a las cuentas de cuatro usuarios diferentes.

La información impactó negativamente a la empresa, que la semana pasada se abrió a la bolsa, bajando 5,2% en las transacciones del día.

Links:
- LinkedIn site has security vulnerabilities (Reuters)
- LinkedIn shares fall after doubling in IPO (Bloomberg)

Según la empresa de seguridad Sophos, que descubrió el hackeo, “es casi imposible tener una presencia web completamente segura, especialmente cuando eres del tamaño de Sony. Mientras sea popular exponer las fallas de Sony en la comunidad hacker, seguiremos viendo probablemente ataques exitosos contra ellos”.

Aparentemente se usó una herramienta automática de inyección de SQL para encontrar la falla que permitió el ataque. Esto revela que no se trata de un ataque sofisticado, sino sólo de alguien que encontró el error y lo aprovechó.

Sony se ha vuelto un objetivo para los hackers después de que se reveló que la PlayStation Network había sido vulnerada, exponiendo datos de millones de usuarios en el mundo. Varios están intentando probar que los niveles de seguridad en otras partes de la empresa también son bajos.

Link: Sony BMG Greece the latest hacked Sony site (Sophos)

El periodista australiano Ben Grubb escribió sobre un caso práctico realizado durante la conferencia AusCERT, donde un experto en seguridad se demoró pocos minutos en acceder al album privado de la esposa de otro profesional del rubro. Nunca se imaginó que la demostración pudiera ser ilegal, ni menos que él terminaría detenido por escribir al respecto.

Al día siguiente de publicada la historia, y todavía cubriendo la conferencia AusCERT, Grubb fue abordado por dos policías de civil, quienes necesitaban hacerle algunas preguntas. Grubb los llevó a una pequeña sala de reuniones ubicada en el recinto y en ella respondió todas sus dudas técnicas, asumiendo que habían acudido a él como una suerte de consultor en seguridad.

Grande fue su sorpresa cuando al cabo de media hora le informaron que tenía derecho a guardar silencio, a un abogado y a hacer una llamada telefónica. Claro, después de media hora explayándose didácticamente sobre la vulnerabilidad de FB ya no quedaba mucho silencio por guardar, pero Ben Grubb decidió tomarse un cuarto derecho que no le habían ofrecido: al momento de hacer su llamada telefónica para contarle a sus jefes lo que estaba ocurriendo, aprovechó de Twittear haciendo referencia a la historia del día anterior.

Mientras los minutos pasaban y el periódico ponía a un abogado a hablar con la policía, los 5000 seguidores de Grubb armaron una tormenta en la red de microblogging quejándose por lo ocurrido y respaldando la postura del periodista: que él no inventó el exploit ni realizó la demostración. Sólo escribió sobre ella como asistente a la conferencia.

En parte gracias a Twitter y en parte por las cuchufletas del abogado, la policía comunicó a Grubber que procedía a des-arrestarlo, pero que confiscarían su iPad y tomarían una copia de todo lo que encontraran en él, estuviera o no relacionado con el caso. Lo dejaron con un recibo y se largaron con su herramienta de trabajo como rehén. Al menos Ben Grubber no tuvo que pasar la noche en el calabozo, pero eso no alivió del todo la sensación de haber sido violentado.

Fuera del feroz atropello a la libertad de prensa, uno de los pilares de nuestra civilización, quedamos preocupados por el mentado agujero de seguridad y consultamos con el departamento de Seguridad, Espionaje, Contrainteligencia y comercialización de torpedos de FayerWayer, que explicó un método infalible para impedir  que un desconocido o persona non grata pueda ver tus fotos privadas en Facebook: no subirlas.

Link:
Grubb’s story: privacy, news and the strong arm of the law (The Age)
Security experts go to war: wife targeted (The Age)

La empresa señala que “el exploit es uno de los códigos más sofisticados que hemos visto y creado hasta al momento, ya que se salta todas las medidas de seguridad, incluyendo ASLR/DEP/Sandbox (y sin explotar una vulnerabilidad de kernel de Windows), es silencioso (el sistema no se cae después de ejecutar la carga), se apoya en vulnerabilidades de día 0 descubiertas por VUPEN y funciona en todos los sistemas Windows (32 y 64 bit)”.

Lo curioso del caso es que pese a que Google ofrece un buen botín a quien entregue información sobre bugs en Chrome, la empresa indicó que no entregarán los datos. En su lugar, la información será compartida sólo con “clientes de gobierno para seguridad ofensiva y defensiva”.

La empresa también dijo que no conocen ninguna forma de protegerse contra un ataque que use esta vulnerabilidad. Habrá que ver cómo reacciona Google al respecto, pero la información parece bastante sospechosa. Abajo, dejamos un video en el que un empleado de VUPEN corre la calculadora de Windows de forma remota usando el hack de Chrome.

Click aqui para ver el video.

Link: Security firm hacks Chrome, refuses to share information (Geekosystem)

(cc) Joey Yen

Siguiendo con la telenovela que ha protagonizado Sony en las últimas semanas, llega una nueva información que hará que los pocos usuarios de PSN que no estaban enojados con la empresa ahora lo estén.

El doctor en Ciencias de la Computación de la Universidad de Purdue, Gene Spafford, declaró hoy en una investigación que realiza una comisión del Congreso en Estados Unidos, que Sony estaba usando software desactualizado en sus servidores, y que sabía que eso era así meses antes de que ocurriera el hackeo.

Spafford explicó que existen foros donde expertos en seguridad independientes a la compañía monitorean los sistemas de Sony e informan a la empresa respecto de posibles problemas en sus sistemas.

Según Spafford, los expertos informaron a Sony sobre grandes (muy grandes) problemas en los servidores tres meses antes del hackeo. Sony estaba corriendo la PSN sobre un servidor que tenía una versión no actualizada de Apache. Además no había un Firewall instalado. Esto significaba que cualquier vulnerabilidad conocida para esa versión de Apache (que había sido parchada en las versiones posteriores) podía ser explotada fácilmente. Sin un Firewall, la tarea se hacía todavía más simple.

Si los dichos de Spafford son correctos, esto implica una negligencia de parte de Sony, por correr software desactualizado en servidores donde había información confidencial y protegida. Peor aún resulta el que la compañía estuviese informada de la situación y que no hiciera nada para remediarlo. Así, las cosas no están pintando nada bien para la compañía.

Link: Data security expert: Sony knew it was using obsolete software months in advance (Consumer Reports)

Se trata de 17 actualizaciones en total (que Microsoft llama “boletines”), número que empata el último récord de parches de la empresa, logrado en diciembre pasado.

De los 17, 9 han sido calificados como “críticos”, que es el nivel más alto de riesgo en la escala de Microsoft, mientras que los otros 8 fueron marcados como “importantes”.

Los parches repararán algunos problemas que ya han causado fallas de seguridad en empresas. Las actualizaciones saldrán el próximo 12 de abril, así que ya están advertidos para que se vayan preparando.

Link: Microsoft sets mammoth Patch Tuesday, will fix 64 flaws (Computerworld)

(cc) NASA

Poniendo cosas sin sentido en los formularios que aparecen en las webs. Ese es el método que emplea el informático experto en áreas de seguridad Alonso Vidales para detectar vulnerabilidades en las diferentes páginas. Un curioso método que le ha servido para encontrar una brecha en el sitio de la mismísima NASA:

El pasado mes de septiembre descubrí un ‘bug’ del que informé a la NASA, y que han ‘parcheado’ de forma bastante cutre en los comentarios, pero que persiste en la página. Si se mete un ‘tag stript’ en lugar del nombre y los apellidos en la página, en lugar de mostrar la cuenta de este nombre se mostrará el ‘tag script’ con lo que se permitirá inyectar código JavaScript desde cualquier otra página”, dice Vidales.

Ese fue el descubrimiento de Vidales, que identifica el error como un fallo causado por la posibilidad de introducir y ejecutar algún tipo de código (JavasScript, por ejemplo) a través de diferentes partes de la web, como los citados formularios. Una vulnerabilidad denominada XSS (de Cross Site Scripting).

Pero la agencia espacial estadounidense parece no aprender del error:

Para evitar que esta vulnerabilidad fuese crítica, en un primer momento dejaron de mostrar estos datos en los lugares en los que eran públicos -comentarios a fotografías, noticias y demás-; actualmente solicitan el nombre cada vez que comentas algo, verifican mediante JavaScript si no hay inyección (algo que considero estúpido), y luego el comentario pasa una verificación, que supongo será humana”.

Medidas que el experto español considera inefectivas y que demuestra cambiando el logo de la NASA por otra imagen albergada en el propio servidor de la agencia espacial. ¿Cómo actúan los norteamericanos cuando son advertidos de un fallo de este tipo, como el reportado por Alonso hace ya varios meses?

Cuando avisas de un fallo de seguridad lo normal es que te den la callada como respuesta, y excepcionalmente te dan las gracias; lo normal es que traten de arreglar la vulnerabilidad con un parche y ya”.

Esperemos que sean más cuidadosos con la seguridad de sus naves y astronautas.

Link: Un experto español alerta de errores en la web de la NASA (El Mundo)

Los hackers TinKode y Ne0h publicaron un volcado de credenciales robadas de MySQL.com, MySQL.fr, MySQL.de, MySQL.it y www-jp.mysql.com en paste.bin. Entre los datos se incluye la pobre contraseña de 4 dígitos que Robin Schumacher, director de gestión de productos, utilizaba en su cuenta de WordPress para blogs.mysql.com.

La base de datos expuesta contenía correos electrónicos y credenciales de miembros y empleados, así como tablas con información de clientes y socios, y detalles internos de la red. Los hashes fueron publicados con algunos que ya habían sido descifrados. Por otro lado, XSSed.com también detalla una vulnerabilidad XSS (Cross Site Scripting) que afectan a MySQL.com  y que podría haber proporcionado un punto de entrada secundaria que ponía en peligro a los visitantes y empleados desde principios de enero de 2011.

Al mismo tiempo un par de sitios de Sun/Oracle recibieron un ataque similar, pero en este caso sin comprometer datos de acceso.

Link: MySQL.com Database Compromised By Blind SQL Injection (TechieBuzz)

La falla estaba presente en Flash Player, Acrobat y Reader en todos los sistemas operativos. Curiosamente, para arreglar el problema Adobe lanzó un parche para Acrobat que arregla el problema en Flash. Como sea, quienes usen este software mejor procedan a actualizar, para estar seguros.

Link: Adobe

Los atacantes están explotando una vulnerabilidad integrando archivos maliciosos de Flash en documentos de Excel, enviados por e-mail. Según Adobe, la vulnerabilidad puede causar caídas y potencialmente permitir que el atacante tome control del sistema afectado.

Hasta ahora, el ataque se ha visto limitado a un “pequeño número de organizaciones”, aunque la falla está presente en Flash Player, Reader y Acrobat en Windows, Mac, Linux, Solaris y Android.

Link: Security advisory for Adobe Flash Player, Adobe Reader and Acrobat (Adobe vía The Register)

La vulnerabilidad permitió que, durante un corto período de tiempo, fuese posible crear códigos de Xbox Live de manera de obtener gratis hasta 160 puntos, obtener un avatar de Halo Reach o suscripciones por 48 horas a Xbox Live Gold.

De inmediato la información de la vulnerabilidad se esparció por la red lo que permitió que fueran generados una gran cantidad de estos códigos promocionales, lo que según algunos analistas podría traducirse en una pérdida en dinero para Microsoft cercana al US$ 1,2 millones.

Desde Microsoft señalaron que la vulnerabilidad fue corregida en cosa de minutos y que se estaban tomando las medidas necesarias para invalidar todos aquellos códigos que habían sido obtenidos de manera ilegítima, claro que producto de la gran cantidad de códigos que habían sido generados el proceso de invalidación de códigos podía tardar un tiempo.

Link: Microsoft Invalidates Stolen Point Codes, Considers Punishment For Exploiters (Kotaku)

En concreto la vulnerabilidad se aprovecha de un fallo que afecta al motor de MHTML (formato con el que podemos guardar páginas web en un único archivo). De esta manera un atacante inescrupuloso podría crear un enlace que ejecute un script que se encargue de recolectar toda la información (incluso la personal) transmitida en una sesión del navegador.

Si bien desde Microsoft señalan que la vulnerabilidad aún no ha sido aprovechada, ya existe una prueba de concepto circulando por la red.

Los de Redmond ya se encuentran trabajando para liberar un parche que solucione el problema, mientras tanto la única alternativa disponible es desactivar el soporte para archivos MHTML.

Link: Microsoft releases Security Advisory 2501696 (Microsoft Security Response Center)

El investigador publicó su descubrimiento en su blog el pasado 7 de enero, lo que fue suficiente para que la compañía VUPEN Security anunciara que sus investigadores habían logrado desarrollar un exploit que se aprovecha de la vulnerabilidad, ejecutando código de forma remota en el computador que utiliza el navegador noruego.

En concreto la vulnerabilidad sería causado por un error de truncado de enteros al interior del módulo “opera.dll”, en momentos en que este último maneja el elemento HTML “select” conteniendo una gran cantidad de elementos hijos.

Por el lado de Opera Software han reconocido la existencia de la vulnerabilidad, detallando que esta se encuentra presente en las versiones 11 y 10.63 de Opera (tanto para Windows 7 como para XP), por lo que recomiendan a los usuarios no hacer uso de ellas hasta que no se encuentre una solución al problema.

Link: Critical Opera Security Flaw Found (eSecurityPlanet)

Sergey Glazunov descubrió un error crítico que Google describe como “stale pointer in speech handling”, es decir, código malicioso que surge durante la asignación dinámica de memoria en el manejador de palabras. Por lo tanto Glazunov fue el primer investigador a tomar mayor recompensa de la casa de Google, mientras que Mozilla ya entregó un cheque con una cifra similar a un niño de 12 años.

“Estamos encantados de entregar nuestra primera recompensa elite de 3,133.7 dólares por la seguridad de Chromium a Sergey Glazunov”, dijo Jason Kersey, gerente del programa Chrome.

En total, Google pagó 7.470 dólares a Glazunov por informar de cinco de los 16 defectos, siendo un error crítico el de mayor recompensa . Estos parches fueron integrados con la tercera actualización 8.0.552.237  de su actual versión “estable”.

Cabe recordar que Chrome encabezó la pasada lista “Dirty Dozen” de aplicaciones más vulnerables, sin embargo algunos expertos creen que esto se debe a que es un navegador relativamente nuevo y esto puede ser motivo por el que investigadores de seguridad pongan mucha atención en el descubrimiento de nuevas vulnerabilidades.

Link: Google pays record bounty for Chrome bug (ComputerWorld)

(c) Phil Moore

Una nueva vulnerabilidad 0-Day que afecta a todas las versiones de Windows fue descubierta por un investigador de seguridad de la compañía Prevx.

La vulnerabilidad se encuentra presente en el archivo win32k.sys que forma parte del kernel de Windows. Los atacantes que se aprovechen de esta vulnerabilidad pueden redirigir devoluciones de direcciones de memoria hacia código malicioso, el que se ejecutará en la máquina con privilegios kernel mode.

La vulnerabilidad descubierta se encuentra presente en todas las versiones de Windows a partir de XP, ya sea de 32 o 64 bits y que cuenten con los últimos parches liberados por la compañía.

Marco Giuliani, investigador responsable del hallazgo, señaló que la vulnerabilidad tiene todo el potencial para convertirse en una pesadilla y que se encuentran a la espera de que comience a ser utilizada por los desarrolladores de malware.

El investigador asegura que Microsoft esta en conocimiento de la existencia de la vulnerabilidad y que se encuentran analizando el tema para dar con una solución.

Link: New Windows 0-day exploit speaks Chinese (Vía The Register)

El troyano en cuestión tiene la capacidad de tomar el control del computador sin que el usuario se percate, accediendo a su información personal (cuentas, contraseñas, etc.).

La vulnerabilidad se encuentra presente en las versiones 3.5 y 3.6 de Firefox, tanto para Windows como para Mac OS X y Linux. De momento aquellos usuarios que utilizan el último beta de Firefox 4 se encontrarían libres de peligro.

Al parecer el troyano habría sido creado en Taiwán, ya que se habría comprobado que la última dirección IP utilizada por el o los hackers corresponde a una utilizada en una universidad de esa nación (aunque es perfectamente posible que se trate sólo de una pista falsa).

Algunos analistas se han aventurado a señalar que el ataque estaría relacionado con la reciente entrega del Premio Nobel de la Paz al disidente chino Liu Xiaobo, considerado como un criminal por el gobierno chino.

Links:

• New Firefox Exploit In-the-Wild (Avira)
• Mozilla patches Firefox zero-day bug in 48 hours (ComputerWorld)

El pasado miércoles nuestro amigo Steve Jobs bajó del Olimpo para mostrarnos a los simples mortales qué cosas lo habían mantenido ocupado en los últimos meses.

Una de los lanzamientos más esperados entre los fans de la compañía estuvo FaceTime para Mac, una funcionalidad que fue presentada junto al nuevo iPhone 4 y que ahora arriba a los computadores de la manzana blanca.

La primera beta de FaceTime fue liberada el mismo día miércoles, por lo que no deben ser pocos los usuarios que la deben estar probando en este preciso momento.

Lamentablemente para todos estos usuarios dicha beta venía con una importante vulnerabilidad, con la que es posible acceder fácilmente a la información personal del usuario utilizada en iTunes (contraseña, configuración de la cuenta, fecha de nacimiento, preguntas y respuestas de seguridad, etc.). Incluso es posible restablecer la contraseña del usuario asociada al Apple ID.

Si bien desde la compañía aclararon que estábamos en presencia de una versión beta y que, para poder hacer mal uso de la vulnerabilidad era necesario tener acceso físico al computador del usuario; de todas maneras lanzaron una actualización del servicio que soluciona el problema.

Link: FaceTime for Mac – a serious threat for your Apple ID (MacNotes)

En concreto la redirección desde el sitio de la compañía se mantuvo activa por tres horas y media, sin que hasta el momento se haya logrado determinar la cantidad de usuarios que se vieron afectados.

Según la información entregada por la compañía de seguridad, los responsables del ataque se aprovecharon de una vulnerabilidad existente en un complemento web existente en la página de la compañía en Estados Unidos, desarrollado por otra compañía que le presta servicios a Kaspersky.

Con la finalidad de asegurar la integridad de sus sitios web la compañía decidió realizar una completa auditoría de estos, junto con ofrecer el soporte necesario a los usuarios afectados de manera de lograr eliminar cualquier indicio del malware en sus equipos.

Links:
- The anti-virus specialists have reportedly been beaten at their own game (IT Pro)
- Kaspersky download site hacked to spread fake AV (Counter Measures)