martes, 19 de abril de 2011

Descubren cómo comprar gratis pagando con PayPal, Amazon Payments o Google Checkout

Se han descubierto varios fallos en la lógica de la comunicación de las principales páginas web de tiendas con servicios de terceros destinados al pago on-line (tipo PayPal), que permitían obtener productos de forma gratuita o a un precio arbitrario.

Investigadores de la Universidad de Indiana (Rui Wang y XiaoFeng Wang) y Microsoft Research descubrieron fallos en la lógica de comunicación de las principales tiendas online que utilizaban servicios de pago de terceros como PayPal, Amazon Payments o Google Checkout (los llamados Cashier-as-a-Service o CaaS). Las técnicas empleadas aprovechaban múltiples inconsistencias introducidas por la complejidad resultante de utilizar medios de pago de terceros. Se basaban en cómo los estados del pago eran percibidos por parte del vendedor y el CaaS y cómo se genera cierta "confusión" al actuar como cajas negras entre ellos.

En un escenario típico para la adquisición del los productos pagando a través del CaaS, el cliente es redireccionado desde la página del vendedor a la del CaaS donde se da la orden de realizar el pago, para finalmente, ser redirigido de vuelta a la web del vendedor con objetivo de validar el pago y terminar el pedido. Este es el "punto débil" de la interactuación entre la tienda y el CaaS.

Los fallos descubiertos, con cierto detalle, son:

* NopComerce integrado junto con PayPal: Una vez que el cliente decide pagar, el vendedor le indica al comprador el identificador del pedido y la cantidad a pagar, procediendo a la inmediata redirección del navegador del comprador hacia la página del CaaS, que valida el ID del pedido... pero no así la cantidad que debe pagarse, pudiendo esta ser modificada antes de ser redirigido a la página donde se realiza el pago.

* Amazon: En este caso es necesario poseer una cuenta de vendedor en Amazon, lo que está al alcance de cualquiera. Un atacante podría realizar un pago a un vendedor (él mismo en este caso) y en el paso de confirmación del pedido, donde se redirige desde la web del CaaS hacia la página del vendedor, indicar la página del vendedor al que le queremos hacer creer que el pago ha sido realizado. Esto ocurre por no verificar que el pago haya sido realizado a la página donde finalmente termina confirmándose la compra.

* Inerspire junto con PayPal: Se aprovecha el fallo de que, que tras haber realizado el pago de cierto producto, es posible cambiar el orderID, que se encarga de identificar los productos que van a ser adquiridos.

* Google Checkout: La variable que identifica el pedido no es creada hasta que se ha realizado el pago; una vez hecho, se crea el pedido con el contenido del carrito. El problema en este caso radica en que esta última operación no es atómica (no se realiza en un solo "movimiento"), por lo que podría aprovecharse para añadir más productos al carrito justo antes de indicar el contenido del mismo.

* Amazon Simple Pay: El problema reside en su SDK, que permite al comprador indicar el certificado que será utilizado para verificar los mensajes del CaaS encargados de confirmar el pago del pedido. En este caso el atacante indicaría un certificado propio y él mismo generaría los mensajes firmados que indicarían que el pago ya ha sido realizado, por lo que ni siquiera se tendría que interactuar con el CaaS, implicando que no se realizaría en ningún momento ningún pago.

Los descubridores llegaron a comprar realmente productos sin pagar y comprobaron realmente la eficacia de las técnicas. Más tarde avisaron de los fallos a los afectados de forma privada, devolvieron los productos que habían adquirido, y trabajaron juntos para arreglarlos. Ya han sido subsanados.

Estos investigadores formaron parte del equipo que descubrió vulnerabilidades en Facebook que podían permitir a sitios maliciosos acceder y compartir datos privados de los usuarios.


Más Información:

Amazon, others make fixes after IU informaticists uncover online security flaws, receive free products
http://newsinfo.iu.edu/news/page/normal/17898.html

lunes, 18 de abril de 2011

Edward Maya & Vika Jigulina - Stereo Love

A continuación una de mis canciones favoritas

jueves, 14 de abril de 2011

USB 3.0 para tecnología Thunderbolt de Intel en 2012

Intel añadirá a sus nuevos chips Ivy Bridge la tecnología USB 3.0, pero también la colocará dentro de los procesadores Thunderbolt.

Intel tiene planes para integrar USB 3.0 y desarrollar la tecnología Thunderbolt en 2012, destaca que para entonces su silicio que preside las tarjetas madre soportará la conectividad USB 3.0 para las plataformas tanto profesionales como las de usuario final.

Recordemos que actualmente la nueva generación de procesadores basados en arquitectura Sandy Bridge y los chipset que los controlan, no ofrecen soporte de USB 3.0, por lo que las tarjetas madre de equipos de escritorio que lo llevan implementado, es gracias a la utilización de un chip dedicado de otro fabricante, que en su mayor parte suele ser de NEC.

Del mismo modo, su principal competidor AMD también anunciaba ayer mismo que USB 3.0 es la apuesta clara de futuro para ser adoptada de forma masiva por la industria, añadiendo que sus chipsets que acompañan a los procesadores Fusion soportarán USB 3.0 de serie. Sin duda es otra gran noticia, dado que AMD quiere posicionar esta tecnología en todo su espectro de productos, desde equipos embebidos, configuraciones discretas, y portátiles netbooks, hasta equipos de escritorio que llegarán antes del verano.

En estos días se está celebrando en Beijing una nueva edición del Intel Developer Forum, y fruto de las ponencias y las sesiones técnicas que se llevan a cabo durante el evento.

USB es actualmente una de las conexiones más utilizadas en el mundo de la informática, ya sea en PCs, Tabletas o Smartphone. Intel la adoptó en sus chipsets allá por el año 2002. De esta forma, la previsión es que para 2012 (10 años después), Intel la incluya de serie en su nueva familia de chips conocida con el nombre en código Ivy Bridge.

Redes sociales: beneficios y riesgos para la privacidad de los datos


Los beneficios del uso de las redes sociales, como Facebook, Twitter o LinkedIn, entre otras, son muchas, pero, ¿son seguras las redes sociales? Este artículo revela los puntos a tener en cuenta a la hora de navegar en las redes sociales.

Actualmente existen más de mil millones de usuarios de redes sociales en todo el mundo. En los últimos años, el número de internautas ha ido creciendo de modo que la pertenencia a una red social es casi algo común para todos los usuarios de Internet.

Sin embargo, y a pesar de los muchos beneficios que permiten las redes sociales, también están cambiando la forma en la que interactúan muchos individuos, y poniendo en evidencia la necesidad de prestar mayor atención a los riesgos a los que están expuestos.

Como señala en un informe publicado recientemente Mónica Arenas, del departamento legal de Alcatraz Solutions, y experta en protección de datos y redes sociales, las redes sociales son importantes canales de comunicación e interacción pero, ante la gran cantidad de información personal que los usuarios exponen en estas redes (y no sólo concerniente a su privacidad, sino también a la de sus conocidos), se hace necesario prestar atención a la protección de la misma. Esto demuestra que el binomio tecnología y privacidad del usuario debe saber combinarse con efectividad. Y es que, como se apunta en este estudio, “no podemos prescindir de nuestra privacidad como consecuencia de la implantación de nuevas tecnologías y de los cambios sociales y, mucho menos, por tener a cambio más dinero, más fama o más amigos”. En este sentido, y aunque seamos conscientes de la necesidad de tener protegidos nuestros datos, según los datos de la Memoria de 2009 de la AEPD (Agencia Española de Protección de Datos), un 56.6% de los ciudadanos cree que la protección de sus datos en Internet es baja o muy baja.

Otro de los aspectos que resalta Mónica Arenas es que existen dos grandes grupos de redes sociales: las generalistas o de ocio, que potencias las relaciones personales entre sus miembros, como es el caso de Facebook; y las profesionales, cuyo objetivo es potenciar las relaciones a nivel profesional, como LinkedIn.

Pero, ya optemos por pertenecer a un tipo de red u otra, en ambos casos siempre estaremos facilitando datos e información de índole personal que, en algunos casos, pueden suponer una amenaza para nuestra vida privada.

No obstante, hay que sopesar los pros y los contras de pertenecer a estas redes sociales y al hecho de facilitar en ellas ciertas informaciones personales. Sin duda, son muchas las ventajas y posibilidades que permiten las redes sociales a los usuarios. Y es que, más allá de ser un punto de encuentro ente internautas, las formas de interacción que han surgido han dibujado un nuevo panorama en el que el compartir gustos, aficiones, e ideologías, entre otros muchos aspectos, éstas se han convertido en una plataforma de lanzamiento de mensajes como hasta ahora nunca se había visto.

Además, como señala desde Alcatraz Solutions, Mónica Arenas, “las redes sociales suponen también un importante punto de apoyo para el reforzamiento democrático. La aplicación de las nuevas tecnologías en el proceso político (la e-democracia) incrementa el compromiso y la participación de los ciudadanos en los procesos democráticos, ya sea a través del voto electrónico, mediante las consultas populares u otros tipos de plataformas en Internet, dirigidas a conseguir firmas”. Por eso, como destaca esta responsable, el usuario de las redes sociales toma un papel más activo.

Uno de los principales riesgos de seguridad que se identifican en las redes sociales hace referencia a la información personal que los usuarios exponen en ellas y la pérdida de anonimato existente. De hecho, son muchos los casos que se han detectado de perfiles falsos o de suplantación de la identidad de otros usuarios que, en no pocas ocasiones, cometen delitos bajo un supuesto anonimato. redes sociales privacidad

Además de estos problemas, los referentes a los contenidos que se publican en las redes sociales también dejan al descubierto la necesidad de prestar atención a todo lo que compartimos y exponemos públicamente. A pesar de la legislación existente en muchos países que intenta controlar la protección de dichos contenidos con normativas sobre propiedad intelectual y derechos de autor, lo cierto es que se practica el libre intercambio de información, por lo general, de forma incontrolada. Además, como apuntan desde Alcatraz Solutions, “la búsqueda de una publicidad personalizada lleva a muchas compañías a trabajar para constituir bases de datos de los usuarios: día a día, visita tras visita, recogen nuestras costumbres, gustos, centros de interés, lugar de residencia, composición de nuestra familia…”. Pero, a todo esto hay que añadirle un nuevo problema, la información relativa a terceros ya que es muy usual ver en redes sociales que los usuarios publiquen información sobre conocidos y sin su aviso ni conocimiento.

La protección de los menores en las redes sociales

Si bien siempre hay que extremar las precauciones cuando publicamos y compartimos información en las redes sociales, este punto aún es más crítico cuando hay menos de edad implicados.

Aunque en este campo de la protección de menores existen normativas para su protección, como la Ley 1/1996 de Protección Jurídica del Menor, lo cierto es que siguen siendo el blanco de no pocos delitos informáticos y de otros peligros que aprovechan la falta de conocimientos, medidas y protección de menores y adolescentes en redes sociales y, por ende, en Internet, para vulnerar los derechos de intimidad. Por ello, es importante tener en cuenta aspectos como la información y educación de estos menores para concienciarles del buen uso de Internet y las redes sociales y cómo deben extremar las precauciones para estar protegidos ante posibles abusos.

La “cultura del dato”

Ante este panorama, no cabe duda de que cada vez más, el número de usuarios de redes sociales seguirá creciendo y que la necesidad de concienciarlos de la necesidad de prestar atención a los contenidos que en ellas publican debe extremarse cada día más.

Bien es cierto que los organismos públicos y legislativos desempeñan un papel fundamental a la hora de desarrollar y aplicar normativas que protejan el honor y la privacidad de los usuarios de las redes sociales, así como sobre sus datos pero, como señala Mónica Arenas, “dar protección eficiente a la vida privada en el ámbito de las redes sociales conlleva la necesidad de reinterpretar, adecuar y fortalecer el concepto de protección existente hasta el momento”. En este sentido, esta experta en protección de datos también alude, no sólo al uso más responsable de las redes sociales por parte de los usuarios, sino también a que los proveedores de servicios ofrezcan un mayor nivel de protección de los datos personales que tratan y un cumplimiento eficaz de los principios y derechos de la protección de dichos datos acorde con una adecuada política de privacidad.

Por tanto, usuarios y proveedores de servicios deben trabajar en este camino en el que la educación y la concienciación de los riesgos que puede conllevar para la privacidad el hecho de no proteger adecuadamente los datos se erige como aspecto clave a la hora de exponer nuestras informaciones en las redes sociales.

Vista previa a Internet Explorer 10

Estamos en una carrera vertiginosa de navegadores donde los ciclos de desarrollo se miden en semanas y no en meses. Así que no es del todo sorprendente que Microsoft ya haya presentado su Internet Explorer 10 Platform Preview 1. Echemos un vistazo a algunas de las nuevas herramientas en su próxima versión de IE.

Espera, ¿no se acaba de lanzar Internet Explorer 9? Sí, y los críticos han elogiado la simple interfaz del navegador, el rendimiento más rápido, soporte completo para HTML5, seguridad mejorada, y capacidad para utilizar la GPU de su PC para desplegar gráficos. Pero los competidores de IE no dan tregua y no hay tiempo para celebrar.

"Hace casi empezamos el desarrollo de IE10, y en base a los progresos que hemos hecho, queremos empezar a involucrar a la comunidad ahora", escribe el vicepresidente corporativo de Microsoft Dean Hachamovitch en un mensaje en el blog de IE. También el martes, Microsoft hizo una demostración del motor de navegación de IE10 y otras funciones en la conferencia MIX en Las Vegas.

En cuanto a los competidores de Microsoft, Mozilla ha anunciado planes para lanzar Firefox 5 el 21 de junio y posiblemente, Firefox seis sólo dos meses después. Google, por su parte, lanzó Chrome 10 en febrero, y Chrome 11 ya está en fase beta.

¿Qué hay de nuevo en IE10?

IE10 es la "próxima ola de progreso" en el soporte de HTML5, escribe Hachamovitch. La demo muestra las nuevas normas del navegador en la acción, incluidas las características de CSS3 en el diseño de varias columnas.

La demostración de Paintball a continuación muestra cómo IE10 aprovecha la GPU de una computadora personal para representar gráficos más rápido.

Si eres un programador o un aficionado al navegador, querrás echar un vistazo a la vista previa de la Plataforma. Microsoft no ha anunciado una fecha de lanzamiento para IE10, pero dado el ritmo de desarrollo de navegadores, no puede estar muy lejos.

lunes, 11 de abril de 2011

avast! Free Antivirus 6.0.1000.0


avast! Free Antivirus es un antivirus gratuito y sin publicidad. Con sus ocho escudos, mantiene el ordenador constantemente a salvo de una gran variedad de amenazas. Para una protección adicional, avast! Free Antivirus muestra la reputación de una página web en tu navegador y carga los programas desconocidos en un espacio aislado.

La sexta edición de avast! Free Antivirus presenta pocos cambios estéticos en comparación con la anterior, pero amplía aún más el abanico de la protección gratuita. A los escudos de la versión 5 se añaden los de scripts y comportamiento. Y con el módulo AutoSandbox, avast! Free Antivirus impide que programas potencialmente dañinos puedan afectar el sistema.

La gran novedad de avast! Free Antivirus 6 es WebRep, el complemento para Firefox, Chrome e Internet Explorer que comprueba la reputación de una página a partir de las valoraciones de los usuarios. Tres barras coloreadas indican la calidad del sitio y hay recuadros para clasificar el sitio web en distintas categorías.

Lo cierto es que ningún antivirus gratuito ofrece tanto como avast! Free Antivirus. Traducido y apoyado por una inmensa comunidad de usuarios, se postula como el antivirus gratuito por excelencia.

Ares 2.1.7.3041

Ares es un programa peer to peer para buscar y descargar todo tipo de archivos.

Ares es capaz de descargar un mismo archivo de varias fuentes (si un mismo archivo es compartido por varios usuarios a la vez) mejorando así la velocidad de descarga.

Ares posee búsqueda integrada y permite reanudar descargas, dos opciones que aunadas resultan idóneas para completar descargas.

El sistema del que Ares hace uso para intercambiar archivos también se puede usar como servidor web, opción que está integrada en el programa junto a un sistema automático de actualización de DNS.

Ares se completa con un reproductor de audio y vídeo integrado y la garantía del autor que asegura que está libre de spyware y publicidad.

aTube Catcher 2.3.570


Con aTube Catcher (antes llamado Youtube Catcher) puedes descargar vídeos de tus portales favoritos (YouTube, Dailymotion, MySpace, Stage6 y Google) y convertirlos a otros formatos.

Para descargar vídeos con aTube Catcher sólo tienes que preocuparte de pegar la dirección del vídeo en el campo correcto y seleccionar el formato que quieres utilizar. Así de sencillo.

Y si lo que quieres es convertir un vídeo en formato FLV, el proceso es muy parecido. Basta con seleccionar el vídeo, definir el formato e iniciar el proceso de conversión. En pocos segundos, aTube Catcher tendrá listo tu vídeo listo para verlo en cualquier reproductor multimedia.

Además, aTube Catcher incluye opciones avanzadas para personalizar el proceso de conversión. Opciones para definir la calidad y resolución del vídeo, el formato de la ventana (4:3 o panorámico), el ratio de imágenes, los canales de audio, los codecs utilizados, los hercios del muestreo, entre otras posibilidades.

En definitiva, aTube Catcher es una excelente solución para descargar vídeos de YouTube (entre otros) y visualizarlos tantas veces como quieras y desde donde quieras.

Skype 5.3.0.108


Skype es la mejor aplicación de llamadas telefónicas y vídeollamadas a través de Internet. Con un micrófono y un par de auriculares puedes hablar con amigos y familiares que viven al otro lado del planeta o en tu mismo barrio. Y con algo de dinero, Skype también funciona como un teléfono normal.

Para llamar a alguien, añádelo como contacto y haz doble-clic sobre su nombre: Skype se pondrá en contacto con el otro ordenador y, si la otra persona descuelga, la llamada tendrá lugar. Los sonidos y botones de Skype son muy parecidos a los de un teléfono, con lo que la facilidad de uso es absoluta.

Skype no solo permite llamadas de voz entre ordenadores, sino también entre tu ordenador y un teléfono cualquiera. Para ello necesitas añadir crédito a tu cuenta Skype, un proceso seguro y sencillo. Las tarifas de Skype son bastante competitivas y la calidad de llamada supera, en ocasiones, la de las líneas convencionales.

Más allá de la voz, está el vídeo: Skype 5 admite ver hasta diez personas en una sola sesión de vídeo-conferencia. Cada recuadro de vídeo se muestra sobre un elegante fondo azulado. Invitar a otras personas a la vídeoconferencia de Skype es tan sencillo como hacer clic sobre "Agregar personas" y elegir el contacto.

En la pestaña de contactos de Skype podrás ver cuáles están disponibles para charlar, se han alejado del PC o están ocupados. Un clic y verás el historial de conversaciones recientes, así como las llamadas perdidas. ¿Tienes amigos en Facebook? Skype 5 mostrará sus números de teléfono y últimas noticias.

Skype es el nuevo teléfono. La quinta versión, con videoconferencia de grupo, integración con redes sociales y un aspecto aún más agradable, pone este programa a años luz de sus competidores.

Corregidas 3 vulnerabilidades en Wordpress

Ya está disponible la nueva versión de Wordpress 3.1.1 que corrige aproximadamente 30 fallos entre los que se incluyen 3 vulnerabilidades descubiertas por los desarrolladores Jon Cave y Peter Westwood.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Una de las vulnerabilidades corregidas permitía a un atacante remoto el secuestro de la sesión de autenticación al forzar al navegador de los usuarios autenticados a realizar acciones no autorizadas al visitar una página web especialmente manipulada.

Esta vulnerabilidad, localizada en el componente 'media uploader' permitía evadir la protección contra cross-site request forgery (CSRF). Ha sido corregida mediante la asociación de códigos únicos en las peticiones.

La segunda de las vulnerabilidades corregidas era un cross-site scripting (XSS) localizado en el código encargado de las actualizaciones de la base de datos.

Esta vulnerabilidad se debe a la insuficiente validación de los parámetros de entrada y podría ser empleada, en el peor de los casos, para generar páginas web especialmente manipuladas permitiendo la ejecución de código HTML o JavaScript en el contexto de otro sitio web.

Estas dos primeras vulnerabilidades fueron descubiertas y notificadas por Jon Cave, quien a su vez es miembro activo del equipo de seguridad de Wordpress.

La tercera y última vulnerabilidad, descubierta por Peter Westwood, permitía causar una denegación de servicio a través del uso de enlaces especialmente manipulados en los comentarios. El fallo en este caso, reside en la función 'make_clickable' del fichero 'wp-includes/formatting.php' al no comprobar la longitud de la URL en los comentarios antes de ser procesada por la libreria PCRE.

Junto con estas 3 vulnerabilidades, la nueva versión de Wordpress corrige a su vez 26 fallos entre los que cabría destacar el soporte con IIS6, permalinks relacionados con PATHINFO, así como varios problemas de compatibilidad con ciertos plugins.

Se recomienda la actualización a esta nueva versión de Wordpress, bien desde Dashboard -> updates o bien descargándola y realizando la actualización a mano.


Más Información:

Wordpress 3.1.1
http://wordpress.org/news/2011/04/wordpress-3-1-1/

SLAAC attack: el "hombre en el medio" de IPv6

Investigadores de InfoSec Institute han descubierto una nueva forma de robar el tráfico de una red interna gracias a la configuración por defecto de IPv6 en Windows y MacOS X. Se trata de una especie de hombre en el medio, pero mucho más sencillo que las técnicas habituales en IPv4 (por ejemplo arp-spoofing). Al ataque se le ha llamado SLAAC, pero no se trata de un 0 day, como proclaman.

Obtener y redirigir el tráfico de una red interna hacia una máquina controlada por un atacante es una técnica conocida en el mundo de IPv4. Envenenar la caché ARP de los sistemas, es uno de los métodos más empleados. Ahora, el ataque SLAAC consigue el un efecto parecido pero de forma más "limpia".

En qué consiste

El atacante debe introducir un router (o algún dispositivo que actúe como tal, puede ser su propio ordenador) en la red interna con dos interfaces (virtuales o no): una de cara a la red interna, que soporte solamente IPv6 y otra con la conexión a Internet (solamente IPv4). En esos momentos existirá una red adicional IPv6, pero el atacante no controlará el tráfico. El intruso comenzará a enviar RA (router advertisements, anuncios de rutas), que es una especie de DHCP para IPv6. El objetivo es que el tráfico pase a través de la interfaz IPv6 sin que los clientes noten nada y esto se consigue gracias a una especificación obsoleta.

NAT-PT es un mecanismo que permite traducir de IPv4 a IPv6 y viceversa para que dispositivos que soporten una u otra versión puedan comunicarse. Un protocolo ideado para facilitar la migración entre redes que fue abandonado en 2007 porque resultaba demasiado complejo, contenía demasiados errores. El método es definir en el router un prefijo IPv6 e incrustar en los últimos 32 bits una dirección IP versión 4, que según el ataque previsto, debe coincidir con un servidor DNS del propio atacante, situado en la interfaz IPv4 del router (en Internet). Si se configura adecuadamente ese router del atacante para que se encargue de traducir (a través de NAT-PT) las direcciones IPv6 de las víctimas a IPv4, se consuma el ataque, engañando al usuario para que crea que su servidor DNS es el del atacante.

El siguiente paso es hacer que los sistemas operativos usen la red IPv6 (y sus DNS) creada paralelamente... y que lo hagan rápido (si no responde a tiempo, se usaría el DNS legítimo). Esto se consigue de forma muy sencilla por dos razones: La primera es el uso de Application Layer Gateways (ALGs), que es necesario en NAT-PT para hacer NAT en protocolos "especiales" como FTP. La segunda es que los sistemas operativos modernos prefieren siempre utilizar IPv6 (se han diseñado así para, presumiblemente, facilitar la migración tan deseada que parece que nunca llega).

En resumen, la víctima utiliza sin darse cuenta el DNS del atacante para resolver direcciones y, por tanto, puede ser redirigido a cualquier página (que no use certificados) de forma transparente.

Por qué ocurre

Gracias a Stateless address autoconfiguration (SLAAC) los sistemas operativos como Windows y Mac OS X, preferirán usar IPv6 en una red siempre que sea posible. IPv6 está ideado para autoconfigurarse al máximo. Por tanto, obtendrán automáticamente información del router fraudulento introducido por el atacante sin que se note, y comenzarán a usar su servidor DNS fraudulento. Además, es poco probable que en una red exista algún router IPv6, por tanto el atacante no tendrá "interferencias".

Aunque en InfoSec proclamen que se trata de un 0 day, está lejos de la definición formal de ese concepto. Según ellos, se han puesto en contacto con Microsoft y comentan que valorarán el problema.

Ventajas e inconvenientes del ataque

Estos problemas con routers "rogue" ya son más que conocidos en entornos IPv4, e incluso en entornos IPv6 existe software para simularlo. Pero hasta ahora se tomaban más como una molestia que como un ataque. Esta prueba de concepto confirma un escenario y un método de "aprovechamiento" viable.

El ataque SLAAC tiene además una serie de ventajas. Por ejemplo, no es necesario alterar la red IPv4 de la víctima (ni la caché ARP de los equipos...), ni siquiera utilizar una dirección IP de esa red. Se aprovecha de forma limpia una funcionalidad (no un fallo) de los sistemas modernos: preferir IPv6 sobre IPv4.

El ataque también tiende a ser silencioso: la red IPv4 y por tanto, sus sistemas de defensa y monitorización "tradicionales", no son alterados.

Recomendaciones

Simplemente, como siempre, deshabilitar lo que no se utilice. En este caso, el soporte IPv6 desde las propiedades de red.


Más Información:

SLAAC Attack – 0day Windows Network Interception Configuration Vulnerability
http://resources.infosecinstitute.com/slaac-attack/

lunes, 4 de abril de 2011

Vulnerabilidades en Cisco Secure Access Control System (ACS) y NAC (Network Access Control)

Cisco ha publicado dos alertas de seguridad que afectan a sus productos Cisco Secure Access Control System (ACS) y NAC (Network Access Control).

Cisco ACS opera como un servidor RADUIS y TACACS+ que combina la autenticación de usuarios, la administración de los dispositivos de control de acceso y las políticas de control de una red centralizada.

La vulnerabilidad, calificada con el CVE-2011-0951 permite a un atacante remoto no autenticado cambiar la contraseña de algunos usuarios sin la necesidad de saber la contraseña anterior. No todas las contraseñas podrían ser modificadas por un atacante. Están exentas del problema:

* Las cuentas de usuario definidas en un almacenamiento externo (como servidores LDAP o RADIUS externos).
* Cuentas de administrador si se han configuro a través de la interfaz web.
* Cuentas de usuario que hayan sido configuradas a través de comandos CLI.

La segunda vulnerabilidad afecta a Cisco Network Access Control (NAC) Guest Server en su versión anterior a 2.0.3. Cisco NAC es un sistema que permite gestionar automáticamente los dispositivos que acceden a la red según ciertas características definidas.

El fallo se encuentra en el fichero de configuración de RADIUS. Un atacante remoto no autenticado que explote la vulnerabilidad podría tener acceso a una red protegida independientemente de las restricciones interpuestas y sin necesidad de usuario y contraseña. A esta vulnerabilidad se le ha asignado el CVE-2011-0963.

Cisco ha publicado actualizaciones para corregir los problemas. La última versión del software Cisco NAC Guest Access Server puede obtenerse desde: http://www.cisco.com/cisco/software/release.html?mdfid=282450822&flowid=4363&softwareid=282562545.



Más Información:

Cisco Secure Access Control System Unauthorized Password Change Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74117.shtml

Cisco Network Access Control Guest Server System Software Authentication Bypass Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74114.shtml

El ataque a la RSA se produjo a través de un 0 day en Flash

El pasado 18 de marzo RSA confesó que había sufrido un ataque dirigido en el que le robaron información relativa a su famoso producto SecurID. En estos momentos ya se sabe cómo accedieron a la información los atacantes y, de paso, que RSA tardó varios días en hacer público el incidente.


En una entrada oficial llamada "anatomía de un ataque" RSA explica cómo ocurrió un grave incidente de seguridad en su compañía. Si bien explica muy bien el ataque, se centra en buena medida en explicar que las ATP (Advanced Persistent Threat, amenazas avanzadas y persistentes sobre una misma compañía) son muy complejas, que ocurren en las mejores familias y que ellos hicieron lo correcto. Parece que es así, pero lo interesante es centrarse en los errores para poder aprender de este tipo de situaciones.

Cómo empezó

Según la RSA, el atacante envío dos correos en un periodo de dos días, a dos pequeños grupos de empleados. RSA concreta que "no se consideraría a estos usuarios particularmente de perfil alto u objetivos valiosos". ¿Quiere decir con esto, que se encontraban menos protegidos que el resto? Dentro de una organización de este calibre, todos los usuarios con acceso a la red deberían ser considerados de alto riesgo y protegidos por igual. Se les envió un correo con el asunto "2011 Recruitment Plan" con un Excel del mismo nombre adjunto. Uno de los usuarios, incluso, rescató el email de la carpeta de correo basura. Según RSA, es porque el correo estaba muy bien construido. Una buena política de seguridad debería prohibir y entrenar expresamente a los usuarios para no abrir archivos no solicitados, sin excusas.

El Excel contenía en su interior un fallo no conocido hasta el momento en Flash, que permitía la ejecución de código. De hecho, Adobe anunció el 14 de marzo que sabía que una vulnerabilidad desconocida estaba siendo aprovechada para atacar sistemas. Si bien no hacía mención explícita a RSA, parece que la vulnerabilidad apareció a causa de este ataque. Adobe ya lo ha solucionado con un parche emitido fuera de su ciclo habitual.

De esto se deduce que, aunque RSA hubiera mantenido todo su software actualizado, el atacante hubiese igualmente conseguido ejecutar código. En estos casos, es en los que se echa de menos el uso de herramientas como DEP o ASLR o cualquier otro software que prevenga los desbordamientos de memoria. Es irrelevante el uso de Office, LibreOffice o Flash... si los atacantes han tenido acceso a un 0 day en Flash... podrían haberlo conseguido de cualquier otro programa.

Una vez dentro

Luego los atacantes instalaron una variante del conocido RAT (herramienta de administración remota) Poison Ivy y crearon una conexión inversa hacia un servidor propio del atacante. RSA afirma que "esto lo hace más difícil de detectar", pero no es del todo cierto. Lo que hace más difícil de detectar estas conexiones es el hecho de que suelen estar cifradas, ofuscadas y en puertos estándares que no levantan sospechas, no el hecho en sí de que sean "inversas". En realidad, esto está asumido como estándar. La opción contraria, establecer una conexión desde fuera a la máquina infectada está descartado desde un primer momento en la mayoría de los escenarios y es una opción que los atacantes serios ni siquiera contemplarían. En este punto hubiesen sido necesarios inspectores de tráfico e IDS, aunque es cierto que el nivel de éxito de esta medida podría ser menor si los atacantes realmente se lo proponen.

Según la RSA, el ataque fue detectado por su Computer Incident Response Team mientras se estaba produciendo. Insiste en que, en muchos otros casos, el ataque se desarrolla durante meses antes de ser detectado. Sin embargo, los atacantes tuvieron tiempo de hacerse una idea de la red interna y buscar usuarios con más privilegios que los infectados inicialmente. Llegaron a comprometer cuentas de administrador.

El atacante más tarde transfirió muchos ficheros RAR protegidos por contraseña desde el servidor de la RSA hacia un tercero externo y comprometido. Descargó la información, la borró de ese servidor... y se quedó con ella.

RSA sigue sin aclarar qué fue lo robado exactamente, aunque explica bien cómo funcionó el ATP y, extrayendo la información adecuada de su mensaje, podría servir como experiencia en la que apoyarse para prevenir incidentes futuros.




Más Información:

0 day en Adobe Flash, Reader y Acrobat

Anatomy of an Attack

una-al-dia (18/03/2011) Comprometen la seguridad de RSA y roban información sobre el producto SecurID

Etiquetas

INTERNET (459) newsweek (305) SEGURIDAD (224) software (136) HACK (86) GOOGLE (47) Hacker (46) Geek (41) hardware (36) WINDOWS (34) Hackers (31) CRACK (29) facebook (29) video (28) DESCARGA (27) videos (26) Celulares (25) MICROSOFT (22) Informatica (21) apple (19) GRATIS (18) technology (18) virus (18) exploit (17) computación (16) informatico (16) web (15) cracker (14) INALAMBRICO (13) WINDOWS 7 (13) noticias (11) MSN (10) termino (10) ACTUALIZACION (9) Gamer (9) LapTops (9) Mac (9) PASSWORD (9) WINDOWS XP (9) dns (9) firefox (9) juegos (9) FOTOS (8) cientifico (8) iphone (8) WEP (7) antivirus (7) bibliografia (7) Desencriptar (6) INFINITUM (6) wifi (6) youtube (6) Craker (5) Culiacan (5) DESMOSTRACION (5) TELEFONIA (5) gmail (5) messenger (5) DIRECTA (4) DOWNLOAD (4) ESPAÑOL (4) XBOX (4) xss (4) Glosario (3) HTML (3) WPA (3) anuncios (3) ataques (3) hosting (3) hotmail (3) Guru (2) ajax (2) wpa2 (2)