19 nov 2012
Sivi, el servicio para los que necesitan ayuda de personas reales y no de programas informáticos
Sivi, el servicio para los que necesitan ayuda de personas reales y no de programas informáticos:
Hay personas con una vida ajetreada. Demasiado ajetreada. Son personas que tienen el sueño de poder tener una secretaria que les ayude con todas las tareas y a organizar bien su agenda, pero esto es un privilegio para los que tengan una buena fuente de ingresos. ¿Qué hay del resto de personas? Sivi es un servicio que pretende cubrir la necesidad de asignar tareas a un asistente detrás del cual hay personas reales y ninguna máquina.
Lo mejor es poner un ejemplo: imaginémonos que tenemos un día imposible y tenemos que encargar y enviar unas flores sin falta antes de mañana. Podemos buscar servicios que lo hagan por internet, pero la tarea puede llevar demasiado tiempo buscando y comparando servicios y precios. No hay tiempo para eso. Es entonces cuando Sivi entra en juego: asignas ese encargo al servicio y una persona lo hace por ti. Puedes hacerlo desde la web, llamando a un número de teléfono o enviando un correo electrónico.
Puedes encargar reservas de restaurantes, solicitar una serie de datos que requieran un poco de investigación, pedir ideas para regalos… cosas que asistentes como Siri o Google Now todavía no son capaces de hacer de principio a fin. Sivi es, básicamente, un servicio ideal para aquellas personas que quieran algo hecho sin que se tengan que preocupar de absolutamente nada. Una idea que de momento está operativa sólo en los Estados Unidos y busca financiación a través de IndieGoGo.
Sitio oficial | Sivi
Vídeo | YouTube
Hay personas con una vida ajetreada. Demasiado ajetreada. Son personas que tienen el sueño de poder tener una secretaria que les ayude con todas las tareas y a organizar bien su agenda, pero esto es un privilegio para los que tengan una buena fuente de ingresos. ¿Qué hay del resto de personas? Sivi es un servicio que pretende cubrir la necesidad de asignar tareas a un asistente detrás del cual hay personas reales y ninguna máquina.
Lo mejor es poner un ejemplo: imaginémonos que tenemos un día imposible y tenemos que encargar y enviar unas flores sin falta antes de mañana. Podemos buscar servicios que lo hagan por internet, pero la tarea puede llevar demasiado tiempo buscando y comparando servicios y precios. No hay tiempo para eso. Es entonces cuando Sivi entra en juego: asignas ese encargo al servicio y una persona lo hace por ti. Puedes hacerlo desde la web, llamando a un número de teléfono o enviando un correo electrónico.
Puedes encargar reservas de restaurantes, solicitar una serie de datos que requieran un poco de investigación, pedir ideas para regalos… cosas que asistentes como Siri o Google Now todavía no son capaces de hacer de principio a fin. Sivi es, básicamente, un servicio ideal para aquellas personas que quieran algo hecho sin que se tengan que preocupar de absolutamente nada. Una idea que de momento está operativa sólo en los Estados Unidos y busca financiación a través de IndieGoGo.
Sitio oficial | Sivi
Vídeo | YouTube
 |  |
12 nov 2012
Gobierno de Estados Unidos certifica seguridad de Blackberry 10
Gobierno de Estados Unidos certifica seguridad de Blackberry 10: Pese a que aún no ha salido al mercado, la nueva versión del sistema operativo de Research in Motion, Blackberry 10, obtuvo la máxima certificación de seguridad por parte del gobierno de Estados Unidos.
El sistema operativo de la compañía canadiense consiguió la distinción FIPS 140-2 [PDF], que le permite ser utilizada por funcionarios del gobierno para el envío de documentación oficial.
La certificación es entregada por las autoridades de Estados Unidos y Canadá para garantizar el...
Contenido completo del post en http://blog.segu-info.com.ar o haciendo clic en el título de la noticia
El sistema operativo de la compañía canadiense consiguió la distinción FIPS 140-2 [PDF], que le permite ser utilizada por funcionarios del gobierno para el envío de documentación oficial.
La certificación es entregada por las autoridades de Estados Unidos y Canadá para garantizar el...
Contenido completo del post en http://blog.segu-info.com.ar o haciendo clic en el título de la noticia
9 nov 2012
Vulnerabilidad de USSD en Android neutraliza la SIM y resetea teléfonos de algunas marcas
Vulnerabilidad de USSD en Android neutraliza la SIM y resetea teléfonos de algunas marcas:
Ha
salido a la luz la noticia de un error en Android que permite inutilizar totalmente la tarjeta SIM de un
teléfono móvil, e incluso dependiendo de la marca, permite que el móvil sea
reseteado sólo con visitar una página web maliciosa. El ataque puede consumarse
con solo visitar una página web.
salido a la luz la noticia de un error en Android que permite inutilizar totalmente la tarjeta SIM de un
teléfono móvil, e incluso dependiendo de la marca, permite que el móvil sea
reseteado sólo con visitar una página web maliciosa. El ataque puede consumarse
con solo visitar una página web.
El lugar de presentación del
error fue la última Ekoparty realizada en Buenos Aires por Ravi Borgaonkar (@raviborgaonkar). El error
es la autoejecución de los comandos USSD en los dispositivos Android.
error fue la última Ekoparty realizada en Buenos Aires por Ravi Borgaonkar (@raviborgaonkar). El error
es la autoejecución de los comandos USSD en los dispositivos Android.
¿Qué es un USSD?
El USSD, acrónimo de 'Unstructured Supplementary Service Data',
es un servicio que permite el envío de datos a través de redes móviles GSM de
forma inmediata, muy similar al SMS. La diferencia es que no necesita de ningún
intermediario como ocurre con los SMS, que precisan de un SMSC (Short Message
Service Center) para almacenar el SMS de un terminal origen hasta que el
terminal destino está disponible.
es un servicio que permite el envío de datos a través de redes móviles GSM de
forma inmediata, muy similar al SMS. La diferencia es que no necesita de ningún
intermediario como ocurre con los SMS, que precisan de un SMSC (Short Message
Service Center) para almacenar el SMS de un terminal origen hasta que el
terminal destino está disponible.
Cuando un usuario introduce un
código USSD, la respuesta del servicio suele ser casi instantánea. Se hace uso
de de USSD, por ejemplo, para realizar una consulta de saldo o conocer el IMEI
del teléfono.
código USSD, la respuesta del servicio suele ser casi instantánea. Se hace uso
de de USSD, por ejemplo, para realizar una consulta de saldo o conocer el IMEI
del teléfono.
¿Cuál es el error?
El error se da por un fallo en la
programación de Android, específicamente en los 'intents', que ejecutan automáticamente los tag que contienen USSDs
sin la necesidad de que este sea validado por parte del usuario.
programación de Android, específicamente en los 'intents', que ejecutan automáticamente los tag que contienen USSDs
sin la necesidad de que este sea validado por parte del usuario.
Ravi Borgaonkar se basa en el tag 'tel', un intent para notificar la acción
de que se va a utilizar la llamada telefónica, perfectamente válido y definido
en el W3C que da la capacidad de marcar números de teléfono, (no solamente a
los teléfonos Android, sino a todas las plataformas disponibles, incluso a las
más antiguas si disponen de un navegador web).
de que se va a utilizar la llamada telefónica, perfectamente válido y definido
en el W3C que da la capacidad de marcar números de teléfono, (no solamente a
los teléfonos Android, sino a todas las plataformas disponibles, incluso a las
más antiguas si disponen de un navegador web).
¿Cómo puede afectar este error al teléfono?
El error, tal y como explicó
Ravi, se puede utilizar para enviar 10
veces el código PUK erróneo, y esto (documentado en el RFC de telefonía),
deshabilitaría inmediatamente una tarjeta SIM. Dejaría a la víctima sin teléfono hasta que el operador facilitara otra
tarjeta válida.
Ravi, se puede utilizar para enviar 10
veces el código PUK erróneo, y esto (documentado en el RFC de telefonía),
deshabilitaría inmediatamente una tarjeta SIM. Dejaría a la víctima sin teléfono hasta que el operador facilitara otra
tarjeta válida.
¿Como se puede aprovechar la vulnerabilidad?
El error puede ser aprovechado de
forma remota simplemente accediendo a
una página web. Se hace especialmente fácil a través de códigos QR, una URL
acortada por un acortador de direcciones o simplemente a través de la
ingeniería social. Los USSD pueden ser también introducidos a través de
tecnología NFC (Near Field Communications).
forma remota simplemente accediendo a
una página web. Se hace especialmente fácil a través de códigos QR, una URL
acortada por un acortador de direcciones o simplemente a través de la
ingeniería social. Los USSD pueden ser también introducidos a través de
tecnología NFC (Near Field Communications).
¿Por qué afecta de forma especial a Samsung?
Además del ataque anteriormente
descrito, Samsung es vulnerable a otro ataque
adicional que permite que un dispositivo sea reseteado volviendo a sus
valores de fábricas. Esto es debido a que Samsung dispone de un USSD 'especial' no documentado oficialmente
que permite a devolver los parámetros del teléfono a los valores de fábrica. Se
han usado a veces en algunos modelos para liberar los teléfonos de esta marca.
Otras marcas podrían verse afectadas como HTC o Sony.
descrito, Samsung es vulnerable a otro ataque
adicional que permite que un dispositivo sea reseteado volviendo a sus
valores de fábricas. Esto es debido a que Samsung dispone de un USSD 'especial' no documentado oficialmente
que permite a devolver los parámetros del teléfono a los valores de fábrica. Se
han usado a veces en algunos modelos para liberar los teléfonos de esta marca.
Otras marcas podrían verse afectadas como HTC o Sony.
En concreto, el código para los
Galaxy es el *2767*3855# y la vulnerabilidad puede ser explotable de forma directa con una simple visita a una
página web que contenga el código de reseteo en la etiqueta 'tel', quedando de una forma similar
a esta.
Galaxy es el *2767*3855# y la vulnerabilidad puede ser explotable de forma directa con una simple visita a una
página web que contenga el código de reseteo en la etiqueta 'tel', quedando de una forma similar
a esta.
<iframe
src="tel:*2767*3855%23" width="320"
height="240"></iframe>
src="tel:*2767*3855%23" width="320"
height="240"></iframe>
Para saber si se es vulnerable
sin riesgos, se puede realizar la prueba con el código USSD universal para
conocer el IMEI:
sin riesgos, se puede realizar la prueba con el código USSD universal para
conocer el IMEI:
<iframe
src="tel:*%2306%23"></iframe>
src="tel:*%2306%23"></iframe>
Para mitigar el error, Collin Mulliner ha desarrollado una pequeña aplicaciónpara Android llamada 'TelStop' que
permite que estos USSD deban ser aceptados por parte del usuario antes de ser
ejecutados.
permite que estos USSD deban ser aceptados por parte del usuario antes de ser
ejecutados.
El vídeo demostración de
Ravi Borgaonkar:
Ravi Borgaonkar:
Más información:
Some Android phones can be reset to factory
default by clicking on links
default by clicking on links
TelStop de Collin Mulliner
Resetear un teléfono Samsung con
solo visitar un enlace
solo visitar un enlace
Jose Ignacio Palacios
Disponible la octava Lección del Algoritmo RSA en el MOOC Crypt4you de Criptored
Disponible la octava Lección del Algoritmo RSA en el MOOC Crypt4you de Criptored:
Esta lección tiene como objetivo analizar el problema de la factorización de números grandes y su utilidad dentro del sistema de cifra RSA como elemento de fortaleza del algoritmo, profundizando en los ejemplos prácticos y dejando los aspectos matemáticos del problema en cuestión para próximos cursos de este MOOC.
Se encuentra disponible en el Massive Open Online Course MOOC Crypt4you de la UPM la octava lección del curso "El Algoritmo RSA", dedicada a los ataques por factorización.
Puede acceder desde el acceso directo de la lección:
O bien como lección destacada en la sección "En portada" en la página principal del MOOC:
Esta lección tiene como objetivo analizar el problema de la factorización de números grandes y su utilidad dentro del sistema de cifra RSA como elemento de fortaleza del algoritmo, profundizando en los ejemplos prácticos y dejando los aspectos matemáticos del problema en cuestión para próximos cursos de este MOOC.Los apartados son:
Lección 8: Ataque por factorización
Apartado 8.1. Las funciones de un solo sentido y la criptografía
Apartado 8.2. Algoritmos de factorización entera
Apartado 8.3. Ejemplos prácticos de factorización
Apartado 8.4. Estado del arte en la factorización entera
Apartado 8.5. Test de evaluación de la Lección 8
Apartado 8.6. Datos estadísticos de esta lección
Apartado 8.7. Encuesta
La próxima entrega de este curso sobre RSA, Lección 9 de título "Ataque por cifrado cíclico", se publicará en noviembre de 2012.
Se recuerda la existencia de esta encuesta online:
Jorge Ramió, Alfonso
Muñoz
Muñoz
Equipo Crypt4you
Acceso no autorizado a la administración SNMP de Switches 3Com, HP y H3C
Acceso no autorizado a la administración SNMP de Switches 3Com, HP y H3C:
Se
ha anunciado una vulnerabilidad en la
configuración SNMP de switches 3Com, HP y H3C que podría permitir a un
usuario remoto realizar acciones administrativas en los sistemas afectados.
ha anunciado una vulnerabilidad en la
configuración SNMP de switches 3Com, HP y H3C que podría permitir a un
usuario remoto realizar acciones administrativas en los sistemas afectados.
Un usuario remoto con conocimiento
de la comunidad pública SNMP puede acceder
a datos sensibles (como nombres de usuario y contraseñas) de los objetos
MIB (Management Information Base o Base de Información de Administración) h3c-user.mib
y hh3c-user.mib a través de SNMP. Una vez que el atacante accede a esta
información, podría emplearla para tomar
el control de los dispositivos afectados.
de la comunidad pública SNMP puede acceder
a datos sensibles (como nombres de usuario y contraseñas) de los objetos
MIB (Management Information Base o Base de Información de Administración) h3c-user.mib
y hh3c-user.mib a través de SNMP. Una vez que el atacante accede a esta
información, podría emplearla para tomar
el control de los dispositivos afectados.
La lista de productos afectados
es inmensa, se eleva a más de 750
modelos diferentes entre las tres marcas, por lo que se recomienda
consultar el aviso oficial publicado por HP:
es inmensa, se eleva a más de 750
modelos diferentes entre las tres marcas, por lo que se recomienda
consultar el aviso oficial publicado por HP:
La vulnerabilidad tiene asignado
el CVE-2012-3268
con un CVSS de 9.3. Se han publicado actualizaciones para gran parte de los
productos, así como contramedidas efectivas para todos los dispositivos,
disponibles a través del aviso de HP.
el CVE-2012-3268
con un CVSS de 9.3. Se han publicado actualizaciones para gran parte de los
productos, así como contramedidas efectivas para todos los dispositivos,
disponibles a través del aviso de HP.
Más información:
HPSBHF02819
SSRT100920 rev.1 - HP, 3COM, and H3C Routers & Switches, Remote Disclosure
of Information
SSRT100920 rev.1 - HP, 3COM, and H3C Routers & Switches, Remote Disclosure
of Information
Antonio Ropero
Twitter: @aropero
Nuevos contenidos en la Red Temática CriptoRed (octubre de 2012)
Nuevos contenidos en la Red Temática CriptoRed (octubre de 2012):
Breve resumen de las novedades producidas durante
el mes de octubre de 2012 en CriptoRed, la Red Temática
Iberoamericana de Criptografía y Seguridad de la Información.
el mes de octubre de 2012 en CriptoRed, la Red Temática
Iberoamericana de Criptografía y Seguridad de la Información.
1. NUEVOS DOCUMENTOS EN LA RED TEMÁTICA EN EL MES DE OCTUBRE DE 2012
1.1. Lección 8 del curso El algoritmo RSA: Ataque
por factorización (MOOC Crypt4you, Jorge Ramió, España)
por factorización (MOOC Crypt4you, Jorge Ramió, España)
2. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE OCTUBRE DE
2012
2012
2.1. Protección de datos
personales. Una lectura técnico jurídica de la inseguridad de la información
(Jeimy Cano, Blog IT-Insecurity, Colombia)
personales. Una lectura técnico jurídica de la inseguridad de la información
(Jeimy Cano, Blog IT-Insecurity, Colombia)
2.2. Libro Inseguridad de la
información (Jeimy Cano, Colombia)
información (Jeimy Cano, Colombia)
2.3. Optimizing ISO/IEC 27001
Using O-ISM3 (Jim Hietala y Vicente Aceituno, España)
Using O-ISM3 (Jim Hietala y Vicente Aceituno, España)
2.4. Motivación criminal en
línea. Una ecuación de la inseguridad de información (Jeimy Cano, Blog
IT-Insecurity, Colombia)
línea. Una ecuación de la inseguridad de información (Jeimy Cano, Blog
IT-Insecurity, Colombia)
2.5. Informe del Tercer Trimestre
del año 2012 de la Red
de Sensores sobre virus y malware (INTECO España)
del año 2012 de la Red
de Sensores sobre virus y malware (INTECO España)
2.9. Informe de la Red de Sensores del mes de
septiembre de 2012 sobre virus y malware (INTECO, España)
septiembre de 2012 sobre virus y malware (INTECO, España)
2.10. La inseguridad de la
información: motivador de prácticas de cumplimiento empresarial (Jeimy Cano,
Blog IT-Insecurity, Colombia)
información: motivador de prácticas de cumplimiento empresarial (Jeimy Cano,
Blog IT-Insecurity, Colombia)
3. RELACIÓN CRONOLÓGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS
DESTACADAS
DESTACADAS
3.1. Noviembre 2 al 3 de 2012:
Novena Edición del Congreso No cON Name 2012 (Barcelona - España)
Novena Edición del Congreso No cON Name 2012 (Barcelona - España)
3.2. Noviembre 21 de 2012: XXV
Congreso y Feria Iberoamericana de Seguridad de la Información (Madrid -
España)
Congreso y Feria Iberoamericana de Seguridad de la Información (Madrid -
España)
3.3. Noviembre 26 al 30 de 2012:
VII Congreso Internacional de Telemática y Telecomunicaciones CITTEL 2012 (La Habana - Cuba)
VII Congreso Internacional de Telemática y Telecomunicaciones CITTEL 2012 (La Habana - Cuba)
3.4. Noviembre 28 al 30 de 2012: IADIS
International Conference on Internet Technologies & Society 2012 (Perth - Australia)
International Conference on Internet Technologies & Society 2012 (Perth - Australia)
3.5. Diciembre 12 al 13 de 2012: 4th
International Symposium on Cyberspace Safety and Security CSS 2012 (Melbourne - Australia)
International Symposium on Cyberspace Safety and Security CSS 2012 (Melbourne - Australia)
3.6. Marzo 13 al 16 de 2013:
IADIS International Conference e-Society 2013 (Lisboa - Portugal)
IADIS International Conference e-Society 2013 (Lisboa - Portugal)
3.7. Marzo 18 al 22 de 2013: XI
Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
3.8. Abril 3 al 5 de 2013: Computational
Intelligence for Risk Management, Security and Defence Applications EvoRISK
(Viena - Austria)
Intelligence for Risk Management, Security and Defence Applications EvoRISK
(Viena - Austria)
3.9. Abril 17 al 18 de 2013:
Security Forum (Barcelona - España)
Security Forum (Barcelona - España)
Más información en:
4. FUE TAMBIÉN NOTICIA EN LA RED TEMÁTICA EN EL MES DE OCTUBRE DE 2012
4.1. Seminario sobre Protección
de Datos e Innovación de la
Cátedra CEU Google(8 de noviembre, España)
de Datos e Innovación de la
Cátedra CEU Google(8 de noviembre, España)
4.2. Edición veintiséis del
Diplomado en Seguridad de la
Información de la
UNAM (23 de noviembre, México)
Diplomado en Seguridad de la
Información de la
UNAM (23 de noviembre, México)
4.3. Security Forum del 17 al 18
de abril de 2013 en Barcelona (España)
de abril de 2013 en Barcelona (España)
4.4. XIV edición del Diplomado en
Seguridad en Tecnología Informática y Telecomunicaciones STIT (12 de noviembre,
Venezuela)
Seguridad en Tecnología Informática y Telecomunicaciones STIT (12 de noviembre,
Venezuela)
4.5. Segunda edición del curso
online gratuito de Criptografía de Dan Boneh en MOOC Coursera (5 de noviembre,
USA)
online gratuito de Criptografía de Dan Boneh en MOOC Coursera (5 de noviembre,
USA)
4.6. Convocatoria de Premios
Security Forum 2013 a
proyectos de investigación en seguridad (España)
Security Forum 2013 a
proyectos de investigación en seguridad (España)
4.7. La revista Red Seguridad
presenta su nuevo servidor Web (España)
presenta su nuevo servidor Web (España)
4.8. XXV Congreso y Feria
Iberoamericana de Seguridad de la Información SEGURINFO
2012 en Madrid (21 de noviembre, España)
Iberoamericana de Seguridad de la Información SEGURINFO
2012 en Madrid (21 de noviembre, España)
4.9. Sexto Encuentro
Internacional de Seguridad de la Información ENISE en León (España)
Internacional de Seguridad de la Información ENISE en León (España)
4.10. Disponible la octava
Lección del Algoritmo RSA en el MOOC Crypt4you de Criptored (España)
Lección del Algoritmo RSA en el MOOC Crypt4you de Criptored (España)
4.11. Seminario Seguridad en
dispositivos Blackberry, Iphone y Android, en entornos corporativos en Buenos
Aires (Argentina)
dispositivos Blackberry, Iphone y Android, en entornos corporativos en Buenos
Aires (Argentina)
4.12. Curso de Perito Informático
Forense en la
Universidad Politécnica de Valencia (España)
Forense en la
Universidad Politécnica de Valencia (España)
4.13. Postgrado Experto
Universitario en Seguridad en Tecnologías de la Información y las
Comunicaciones en la
Universidad de Sevilla (España)
Universitario en Seguridad en Tecnologías de la Información y las
Comunicaciones en la
Universidad de Sevilla (España)
4.14. Avance sobre el informe
primera encuesta enseñanza SI en Iberoamérica y lanzamiento de la segunda
encuesta (España)
primera encuesta enseñanza SI en Iberoamérica y lanzamiento de la segunda
encuesta (España)
4.15. Segunda edición de la 8.8
Computer Security Conference sobre hacking en Santiago (Chile)
Computer Security Conference sobre hacking en Santiago (Chile)
4.16. Actualizada la sección
multimedia del servidor de Criptored con acceso a 85 vídeos de seguridad en
castellano (España)
multimedia del servidor de Criptored con acceso a 85 vídeos de seguridad en
castellano (España)
4.17. VI Jornada de Derecho y
Delitos Informáticos de CXO Community (Argentina)
Delitos Informáticos de CXO Community (Argentina)
4.18. Intypedia cumple dos años
superando las 215.000 reproducciones de sus vídeos (España)
superando las 215.000 reproducciones de sus vídeos (España)
4.19. Cuarta edición de Asegur@
IT Camp en El Escorial (España)
IT Camp en El Escorial (España)
4.20. Publicadas en revista IEEE
Latin America Transactions 7 ponencias del congreso CIBSI 2011 (Colombia)
Latin America Transactions 7 ponencias del congreso CIBSI 2011 (Colombia)
Acceso al contenido de estas
noticias:
noticias:
5. ENCUESTA SOBRE ENSEÑANZA DE LA SEGURIDAD
5.1. Segunda encuesta
Iberoamericana sobre la enseñanza de postgrado en Seguridad de la Información
Iberoamericana sobre la enseñanza de postgrado en Seguridad de la Información
6. OTROS DATOS DE INTERÉS Y ESTADÍSTICAS DE LA RED TEMÁTICA
6.1. Número actual de miembros en
la red: 922
la red: 922
6.2. Estadísticas Criptored:
43.144 visitas, con 132.062 páginas solicitadas y 42,59 Gigabytes servidos en
octubre de 2012, descargándose 33.310 archivos zip o pdf. Con 139 seguidores en
facebook y 1.364 seguidores en twitter.
43.144 visitas, con 132.062 páginas solicitadas y 42,59 Gigabytes servidos en
octubre de 2012, descargándose 33.310 archivos zip o pdf. Con 139 seguidores en
facebook y 1.364 seguidores en twitter.
6.3. Estadísticas Intypedia:
10.584 reproducciones de vídeos en octubre de 2012. Con 1.158 seguidores en
facebook y 820 seguidores en twitter.
10.584 reproducciones de vídeos en octubre de 2012. Con 1.158 seguidores en
facebook y 820 seguidores en twitter.
6.4. Estadísticas Crypt4you:
8.702 accesos en octubre de 2012. Con 452 seguidores en facebook y 384
seguidores en twitter.
8.702 accesos en octubre de 2012. Con 452 seguidores en facebook y 384
seguidores en twitter.
Jorge Ramió Aguirre
Coordinador de
Criptored
Criptored
twitter: http://twitter.com/#!/criptored
Grave vulnerabilidad en Adobe Reader X permite eludir su sandbox
Grave vulnerabilidad en Adobe Reader X permite eludir su sandbox:
Parece que, en el mercado negro, se está vendiendo por 50.000 dólares una vulnerabilidad en Adobe Reader que permite eludir su sandbox y ejecutar código. No es novedad un grave fallo en Adobe, pero sí que lo es saltarse su sandbox. Lo peor: puede que ya esté siendo aprovechada por atacantes.
En su versión X (una forma más estética de llamar a la versión 10), Adobe introdujo una sandbox. Esta es una muy buena aproximación a la seguridad: puesto que no se pueden eludir las vulnerabilidades, es complejo arreglarlas a tiempo e imposible evitar que las exploten... al menos que se contenga el ataque dentro de un entorno que no haga daño a la máquina. Pero por supuesto, esto no es definitivo. De hecho, la noticia es que se haya conseguido eludir esta sandbox de Adobe. No es sencillo porque es necesario encadenar varias vulnerabilidades. Por ejemplo, en el pasado, eludir la Sandbox de Chrome reportó un importante beneficio económico (dentro de la legalidad al enmarcarse dentro de un concurso) a la compañía Vupen, que lo consiguió después de 6 semanas de trabajo.
La compañía moscovita Group-IB hadescubierto el fallo en la versión X y XI, sin dar detalles. Para explotarla es necesario abrir un PDF especialmente manipulado, y parece estar relacionado con los formularios. El problema es que el navegador suele permitir abrir PDFs con Adobe y, por tanto, solo con navegar se puede estar abriendo ese documento malformado y quedar infectado. De hecho parece que ya está incluida en algunas versiones "pro" de Blackhole, el famoso kit de explotación web. Su precio en el mercado negro se sitúa entre los 30.000 y los 50.000 dólares, al parecer en pequeños círculos del mercado negro. Pero este dato puede ser variable. Los atacantes pueden intentar cazar un PDF que aproveche este problema (como ha hecho Group-IB) estudiarlo y deducir el exploit y los detalles técnicos. En estos casos, cuanto menos conocida la vulnerabilidad, más cara resulta para su comprador. Ahora que se conoce su existencia, es cuestión de días que alguien la descubra, se filtre información, y su precio sea cero.
Chrome, al implementar medidas de seguridad adicionales como su propia sandbox, no se ve afectado. Esto quiere decir que si se abre un PDF desde Chrome que intenta lanzarse directamente con Adobe X, el usuario podría no verse afectado por la vulnerabilidad.
Se recomienda utilizar alternativas a Adobe si es posible. Si bien este fallo es especialmente peligroso, es común que Adobe no solo sufra graves vulnerabilidades, sino que sean aprovechadas masivamente por atacantes. Las alternativas también sufren de problemas de seguridad, pero al menos no suelen ser atacadas. Si no es posible, lo mejor es deshabilitar el plugin del navegador, eliminar la posibilidad de que se ejecute JavaScript en los PDF y por supuesto no abrir ficheros no solicitados.
Adobe está trabajando para confirmar el fallo.
Más información:
Group-IB US: Zero-day vulnerability found in Adobe X
Experts Warn of Zero-Day Exploit for Adobe Reader
Sergio de los Santos
Twitter: @ssantosv
7 nov 2012
Hacking Etico
El hacking ético se ha convertido en una herramienta para formular un reconocimiento de las vulnerabilidades que representan una amenaza a los activos. El testeador está actuando como amenaza (hacker), en busca de las vulnerabilidades que permitirán la exposición de un activo, como ser: números de tarjeta de crédito. Al hacer eso, la prueba tiene el potecial de revelar los elementos fundamentales necesarios para crear una medida comprensiva y así emplear seguridad a través de una organización. James S. Tiller
Suscribirse a:
Entradas (Atom)