2018-08-13

¿Qué es y cómo funciona el "nuevo" registro DNS CAA?


En Enero de 2013, Rob Stradling propuso y formalizó la implementación de un estándar para la Autorización de Entidades de Certificación (Certification Authority Authorization, por sus siglas en inglés) mediante el RFC 6844.

El propósito de los registros CAA es "designar" una o más entidades de certificación a emitir certificados SSL/TLS a un dominio o subdominio específicos. Los dueños de dominios podrán, además, declarar una dirección de correo electrónico para recibir notificaciones en caso que alguien solicite un certificado a una entidad de certificación no autorizada.

De no existir un registro CAA, cualquier entidad está autorizada a emitir certificados para ese dominio o subdominio.

Si bien el estándar data del año 2013, no fue hasta hace algunos meses que los proveedores de DNS y las entidades de certificación comenzaron su implementación. Algunos de ellos aun no aceptan registros del tipo CAA y otros aun no verifican la existencia del registro antes de emitir sus certificados, pero están gradualmente modificando sus infraestructuras para hacerlo. En mi caso utilizo DNS Made Easy desde hace algunos años y, además de soportar este tipo de registros, siempre he tenido estupendos resultados.

En lo que respecta a la creación de registros CAA, están compuestos por tres elementos. Demos un vistazo a su topología:

  • flag: Un entero entre 0 y 255.
  • tag: Existen tres tags definidos por el RFC.
  • issue: Permite autorizar explícitamente a una única entidad de certificación a emitir certificados para ese dominio o subdominio. De ser necesario autorizar a más de una, se deberán crear múltiples registros CAA.
  • issuewild: Permite autorizar explícitamente a una única entidad de certificación a emitir certificados de comodín (wildcard) para ese dominio/subdominio. Ningún otro certificado que no sea wildcard podrá ser emitido por esa entidad, salvo que esté expresamente configurado.
  • iodef: Especifica a dónde deben enviarse los reportes de intentos de emisión de certificados por una entidad no autorizada (El formato debe ser "mailto:alguien@ejemplo.com").
  • value: El valor del registro.


Vamos con algunos ejemplos:

Si queremos autorizar a Let’s Encrypt y a Comodo, debemos agregar un registro CAA para cada entidad:

pablofain.com.  CAA 0 issue "comodo.com"
pablofain.com.  CAA 0 issue "letsencrypt.org"

Si la idea es autorizar a Let’s Encrypt y a Comodo, pero solo a esta última para emitir certificados wildcard, debemos configurar los registros de la siguiente manera:

pablofain.com.  CAA 0 issue "letsencrypt.org"
pablofain.com.  CAA 0 issuewild "comodo.com"

Para recibir una notificación sobre el intento de emisión de certificados mediante una entidad de certificación no autorizada:

pablofain.com.  CAA 0 iodef "mailto:alguien@ejemplo.com"

Finalmente, para el caso de los subdominios podemos configurar cada uno de ellos para autorizar a diferentes entidades de certificación. En este ejemplo, Let’s Encrypt podría emitir certificados para todos los subdominios de pablofain.com, excepto sub1 y sub2.

pablofain.com.        CAA 0 issue "letsencrypt.org"
sub1.pablofain.com.   CAA 0 issue "comodo.com"
sub2.pablofain.com.   CAA 0 issue "rapidssl.com"

Hasta Abril de 2017, las entidades de certificación que verifican la existencia de registros CAA son: Amazon, Certum, Comodo, DigiCert, Entrust, GlobalSign, GoDaddy, Izenpe, QuoVadis, Starfield GoDaddy, StartCom WoSign, Let’s Encrypt, Symantec, GeoTrust, Thawte, T-Telesec, Trustwave y WoSign.

En cuanto a las desventajas o puntos débiles de CAA, a simple vista podemos observar dos:

  • Si la entidad de certificación ha quedado comprometida o no realiza la verificación de registros CAA, el certificado podría ser emitido con normalidad.
  • Si la zona DNS del dominio ha quedado comprometida, el registro CAA podría modificarse por el valor deseado por el atacante. Una buena idea para prevenir esto es implementar DNSSEC.

Si necesitan ayuda para configurar sus registros CAA, el sitio SSLMate ofrece un wizard que funciona a la perfección.

Fuente: Pablo Fain

2018-08-12

Corregida en pocas horas, grave vulnerabilidad remota en CGit

Esta semana se ha resuelto una grave vulnerabilidad remota en CGit, relacionada con el salto de restricciones (Path traversal) y la capacidad de mostrar información sensible del servidor cgit vulnerado. En unas pocas horas el fallo fue corregido por los desarrolladores.


CGit es una interfaz web (CGI) del sistema de repositorios git, escrito en C, que facilita la gestión remota entre diferentes usuarios.

La vulnerabilidad (CVE-2018-14912), descubierta por el investigador de Google Project ZeroJann Horn, estaba localizada en la función cgit_clone_objects() y específicamente en la combinación de send_file() y git_path().
Esta última función no aplicaba los filtros necesarios en las rutas recibidas, para impedir este tipo de vulnerabilidad. Al explotarse, cualquier usuario malintencionado podría construir peticiones de este tipo:

http://<servidor>/cgit/cgit.cgi/git/objects/?path=

que, al ejecutarse por parte del servidor, devolverían el contenido del path/fichero invocado. Ejemplo de una petición utilizando curl, que mostraría el fichero de usuarios del sistema:

$ curl http://127.0.0.1/cgit/cgit.cgi/git/objects/?path=../../../../../../../etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

Analizando el diff dispuesto para corregir la vulnerabilidad, se detalla además que el fallo fue introducido en 2008Debido a la longevidad de la misma (las versiones 0.8 a la 1.2 se verían afectadas) y que es trivial a la hora de explotarse, recomendamos encarecidamente actualizar urgentemente a la última versión disponible CGit 1.2.1:
git://git.zx2c4.com/cgit

Fuente | una-al-dia

2018-08-04

WordPress 4.9.8 - Versión de mantenimiento

Estamos encantados de anunciar la disponibilidad inmediata de WordPress 4.9.8. Esta versión de mantenimiento soluciona 46 fallos, mejoras y benditas tareas, incluida la actualización del tema Twenty Seventeen incluido.
A continuación tienes lo más destacado de las novedades.

Mensaje “Prueba Gutenberg”

A la mayoría de los usuarios se les mostrará un aviso en su escritorio de WordPress. Este “Prueba Gutenberg” es una oportunidad para los usuarios de usar el editor de bloques Gutenberg antes de su lanzamiento en WordPress 5.0.
En WordPress 4.9.8, el mensaje se mostrará a los siguientes usuarios:
  • Si Gutenberg no está instalado o activo el mensaje se mostrará a los usuarios administradores en los sitios simples, y al super administrador en multisitios.
  • Si Gutenberg está instalado y activo el mensaje se mostrará a usuarios colaboradores y superiores.
  • Si está instalado y activo el plugin Classic Editor el mensaje se ocultará a todos los usuarios.
Puedes aprender más leyendo  “Try Gutenberg” Callout in WordPress 4.9.8 (en inglés).

Arreglos/mejoras de privacidad

Esta versión incluye 18 arreglos de privacidad centrados en asegurar la consistencia y flexibilidad en las nuevas herramientas de datos personales que se añadieron en la versión 4.9.6, incluyendo:
  • El tipo de solicitud a confirmar ahora se incluye en la línea del asunto en todos los correos de confirmación de privacidad.
  • Mejoras de consistencia con el nombre del sitio utilizado en los correos de privacidad en multisitio.
  • Ahora se puede ajustar la paginación en las pantallas de administración de solicitudes de privacidad.
  • Se ha incrementado la cobertura de pruebas para varias funciones de privacidad incluidas.
Descarga WordPress 4.9.8 o pásate por tu Escritorio → Actualizaciones y haz clic en “Actualizar ahora”. Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse automáticamente.

2018-07-31

IPFire - Firewall para Linux


IPFire es una distribución Linux diseñada específicamente para hacer las funciones de cortafuegos (firewall) y routing en una red local.

Gracias a su interfaz web podremos hacer la configuración que se adapte a nuestras necesidades de forma rápida y fácil.

Una de las cualidades de IPFire es que es un sistema operativo que funciona con muy pocos recursos, con tan sólo 512MB de memoria RAM podremos empezar a funcionar con él, aunque si utilizamos todas las opciones y tenemos muchos equipos conectados, deberemos ampliar la capacidad de procesamiento y memoria del sistema.

Las características por defecto que incluye IPFire son las siguientes:


  • Servidor Proxy.
  • Sistema de detección de intrusos en una red o equipo.
  • VPN a través de IPsec y OpenVPN.
  • Servidor DHCP.
  • Caché de nombres de dominio.
  • Servidor horario.
  • Wake-on-Lan.
  • Servidor DDNS.
  • QoS.
  • Completo Log de todos los sucesos que ocurren en el sistema.


IPFire permite la instalación de software adicional a través de plugins, algunas funcionalidades extra que podemos incorporarle es por ejemplo un servidor de archivos en red, servidor de impresión, Asterisk, TeamSpeak, servidor de correo, servidor de medios DLNA y otros plugins disponibles en la página web oficial.

IPFire también es compatible con arquitecturas ARM, es decir, es compatible con Raspberry PI o equipos similares. IPFire se puede descargar desde su página web principal de forma totalmente gratuita.

Enlace | RedesZone

2018-07-30

Un delito informático detrás de un perfil sensual



Los usuarios saben muy poco respecto de cómo cuidarse en las redes sociales y terminan siendo manipulados.

La mayoría de las personas que resultan víctimas de un delito informático prefiere no hacer la denuncia. La vergüenza de quedar expuesto en público es principal motivo de esa actitud. En Tucumán, hay gente que cae en alguno de los engaños que se tejen, principalmente, en las redes sociales; sin embargo, opta por mantener el silencio, en lugar de efectuar la denuncia.

Morder el anzuelo con un engaño en internet es cada vez más habitual, aunque no trascienda públicamente. Uno de los más usuales que se produce en Tucumán es el engaño por la red social de Facebook. En general son los hombres los que caen en la trampa, según explicó el comisario Genaro Soria, jefe de la oficina de Delitos Telemáticos de la Policía.

El modus operandi es simple: un usuario de Facebook recibe una solicitud de amistad de parte de una mujer; en general, la foto de perfil muestra a una mujer atractiva “que vive en el exterior y quiere hacer amigos en Argentina”.

Una vez que el usuario acepta la solicitud de amistad comienza un intercambio de mensajes. Ella muestra entusiasmo por su “nuevo amigo” y envía fotos de contenido erótico y después también videos. A su vez, la mujer pide también al usuario que le envíe una foto y comienza a subir la apuesta hasta pedirle que le envíe un video en el mismo tono.

Una vez que el usuario envió el video comienza la pesadilla para la víctima del delito informático. La supuesta mujer pasa a la segunda fase, que es la extorsión a su víctima.

Pedir dinero es una de las más comunes maneras de extorsión en la web. La forma de “tapar” el engaño es que la víctima haga depósitos en una cuenta bancaria. El comisario Soria detalló que en este tipo de delitos se detectó que la mayoría de los engaños tuvieron un mismo origen: la cuenta bancaria tenía sede en Costa de Marfil.

Como una rueda


“Todo es trucho para extorsionar a los hombres, una vez obtenido el video -precisó Soria-. Le piden una determinada cantidad de dinero para no hacer público el video de la víctima y así lo siguen extorsionando en una rueda que no tiene fin”, agregó.

El investigador dijo que lo recomendable es, primero, no aceptar solicitudes de amistad de personas que no conozcan o no dar información personal. “En caso de que hayan enviado un video, lo recomendable es no depositar el dinero, porque la extorsión va a seguir -remarcó Soria-. Una vez que ellos se apoderan del video: paguen o no paguen sus víctimas lo mismo pueden viralizar en las distintas redes sociales y el monto de la extorsión seguirá en aumento”, dijo.

Los delitos informáticos crecieron en los últimos años. No hay estadísticas oficiales, prefiere reservar su caso. Para colmo la metodología de los delitos evoluciona de manera constante.

En Argentina, una de las más recientes es una forma novedosa forma de delito tecnológico que tiene más que preocupados a los usuarios de distintos servicios de correo electrónico. En la jerga de la web se lo denomina “sextorsión”. Esto tiene como protagonistas a hackers que amenazan víctimas al azar, con la revelación de fotos, videos o información sobre su intimidad, que se obtuvieron después de un supuesto hackeo.

La mayoría de los damnificados del temible mail se encontraron con un mensaje en inglés que, traducido, permite leer párrafos como los siguientes: “Vayamos directo al grano. Sé que tu contraseña es ‘xxx’. Más importante aún: sé tu secreto y tengo pruebas... estoy listo para olvidarme de todo a cambio 2.900 dólares -pago a realizar a través de Bitcoin-. Borraré el video y tu vida seguirá como si nada”.

En realidad la mayoría de los usuarios sabe muy poco respecto de cómo cuidarse y caen en la manipulación.

Fuente | La Gaceta

2018-07-29

Las funciones de un CISO en la organización


Cada vez más, el papel del CISO (Chief Information Security Officer) se vuelve fundamental al interior de las organizaciones. La razón principal se debe a que su actividad está enfocada a garantizar la seguridad de la información dentro de las mismas.

El flujo de información dentro de una empresa es uno de los aspectos más relevantes y que requieren mayor atención. Poseer un estricto control de las actividades que generan y comparten información, requiere de una serie de medidas encaminadas a ofrecer la disponibilidad, integridad y confiabilidad de los datos. Es en ese punto donde el Chief Information Security Officer cobra una especial importancia.

Según datos de la “Encuesta Global 2007 de Seguridad & Privacidad” de la empresa Deloitte, el 80 % de los ataques a una organización provienen de errores humanos. Respecto a las brechas de seguridad, los ataques por medio de correo electrónico ocupan el primer lugar con un 52%, le siguen los virus con un 40% y el phishing con un 35%. Sin embargo, los ataques internos producidos por los mismos empleados poseen una efectividad de 39%.

Es por lo anterior que día a día, son más las empresas que contratan a un encargado de la seguridad de la información.

¿Qué es el CISO?


El Chief Information Security Officer se encarga, primordialmente, de la seguridad de la información dentro de una organización e implementa las medidas de control necesarias en torno a ésta. Sin embargo, entre sus principales actividades también destacan la concientización de usuarios, análisis de riesgos, administración de seguridad, definición de normas respecto al uso de la información, seguridad física del equipo de cómputo, capacitación y soporte, entre otras.

Hasta hace pocos años, las actividades relacionadas a la seguridad de la información estaban a cargo del área de sistemas o de informática. Empero, el aumento en los ataques informáticos y la elevada cantidad de información que se maneja al interior de las empresas ha hecho necesario crear una función especializada en la protección de los datos.

Tipos de CISO


De manera concreta existen tres tipos de CISO. El primero de ellos corresponde a un perfil empresarial, pues su conocimiento y experiencia se encuentran enfocados a particpar en el correcto cumplimiento de los objetivos de la organización. Este tipo de CISO se encuentra estrechamente vinculado con el área jurídica, de recursos humanos e informática.

Existe también el tipo técnico al cual se le denomina CSO. En este caso su perfil le permite ubicar las vulnerabilidades, verificar su corrección y salvaguardar la integridad de la información que reside y viaja sobre redes, equipos y sistemas informáticos de la compañía. Por supuesto, su función dentro de la empresa no es menos importante, pues se encarga de buscar y custodiar las pruebas electrónicas necesarias para poder impugnar a quienes han hecho mal uso de la información.

Finalmente se encuentra el tipo metodológico. Este último utiliza diversos procedimientos para la protección de los datos tales como ITIL, Cobit e ISO27001 y el plan de recuperación en casos de desastres (DRP, por sus siglas en inglés). De acuerdo a la necesidad de cada empresa, en cuanto a resguardo de la información, será el tipo de CISO que se contrate para cumplir con los objetivos en ese rubro.

Funciones


Fundamentalmente, el CISO se encarga de crear la política de seguridad y de ejecutar las operaciones de TI (Tecnologías de la Información). Entre sus funciones y responsabilidades más destacadas se encuentran:

  • Administración de la seguridad de la información.
  • Desarrollo y gestión de las políticas de seguridad informática.
  • Crear conciencia en materia de seguridad entre el personal de la organización y las partes interesadas.
  • Evaluación de riesgos y control de los activos de información de la organización.
  • Implementar medidas preventivas respecto a la vulnerabilidad de los activos de la empresa.


Importancia del CISO dentro de la organización


El papel del CISO es extremadamente importante al interior de de la organización, pues su opinión es de suma relevancia para la toma de decisiones y la protección de activos.

Generalmente el director o la alta gerencia no necesariamente deben conocer los aspectos fundamentales de la seguridad física y lógica. Por ello, el contar con un encargado de la seguridad de la información le permitirá centrar sus esfuerzos en las actividades que permitan el crecimiento y tener la plena certeza de que los datos que circulen por la empresa estarán siempre bien resguardados.

Fuente | Seguridad en America

2018-07-17

Disponible #Debian 9.5


Iniciamos la semana con un lanzamiento de interés: Debian 9.5, la nueva versión de la rama estable de la distribución y, por lo tanto, la versión recomendada para nuevas instalaciones a partir de ahora y hasta que la releve la siguiente.
A saber, Debian 9.5 es la quinta actualización de mantenimiento de Debian 9 Stretch, lo cual significa que no hay que esperar más novedades que las presentadas por la distribución en su momento, incluyendo componentes como el kernel Linux 4.9 LTS o los entornos de escritorio GNOME 3.22, KDE Plasma 5.8 LTS, Cinnamon 3.2, MATE 1.16, Xfce 4.12 y LXDE, total de las ediciones en vivo disponibles.
Debian 9.5 trae “correcciones para problemas de seguridad” y “ajustes para problemas serios”, según el resumen habitual. Lo más destacado en este caso son las mitigaciones correspondientes a las nuevas variantes de Spectre, las vulnerabilidades que afectan a procesadores modernos de las que llevamos hablando desde principios de año. Más información sobre Spectre en MuySeguridad.
Parches, ajustes y actualizaciones en los paquetes es básicamente todo lo que ofrece Debian 9.5, aunque como advertíamos más arriba se trata de un lanzamiento solo del interés de quienes tengan previsto realizar una nueva instalación del sistema. Los usuarios que ya dispongan de una instalación de Debian 9 actualizada están servidos. Para más datos acerca de los cambios, el anuncio oficial.
Cabe recordar que recientemente Debian 7 terminó su ciclo y Debian 8 entró en fase LTS, por lo que esta Debian 9.5 es la versión recomendada en prácticamente todos los casos de uso. Debian 9 Stretch se lanzó en junio de 2017 y mantendrá su soporte por cinco años, hasta 2022.

Descargar Debian 9.5

Por otro lado, el ciclo de desarrollo de Debian 10 hace tiempo que comenzó y el proyecto ha adelantado fechas y posibles características no solo de este, sino de sus próximas versiones.
Fuente | MuyLinux

2018-07-13

Un nuevo fallo de WhatsApp puede gastar toda tu tarifa de datos

En los últimos días han aparecido en redes sociales decenas de usuarios quejándose de un peligroso fallo de WhatsApp, que en muchos de los casos ha llegado a consumir varios gigas de datos por un fallo relacionado con las copias de seguridad que hace la aplicación de nuestras conversaciones, fotos y vídeos en Google Drive.


Las copias de seguridad están consumiendo tarifas de datos de muchos usuarios


Las copias de seguridad de WhatsApp nos permiten elegir que se suban a la nube por WiFi o por datos y WiFi. Además, nos permite elegir si queremos prescindir de los vídeos, que es el contenido más pesado. Algunos usuarios han reportado que la aplicación les ha llegado a consumir hasta 5 GB de datos haciendo estas copias, donde normalmente no gasta más que una decena de megas al día.

El problema, que parece estar afectando tanto a Android como a iOS (este con iCloud), consiste en que la operación de subida se para cuando ya hay bastante datos subidos, y vuelve a iniciarla desde cero, repitiéndose el proceso y consumiendo datos sin límite hasta que el usuario se dé cuenta o hasta que se le gaste la tarifa. Otros usuarios afirman que WhatsApp intentó subir todo el historial de conversaciones y archivos en lugar de sólo los de las últimas 24 horas, dando lugar a tal cantidad de datos.

Por ello, les recomendamos que desactive las copias de seguridad de momento hasta que WhatsApp solucione el fallo, o que pongan que sólo se hagan por WiFi; aunque en este último caso la batería se os puede gastar también rápido si está constantemente subiendo datos. Si tenéis una aplicación para medir el tráfico en vuestro móvil esto os será más sencillo de identificar.

WhatsApp va a mejorar lo que podemos hacer desde las notificaciones


Actualmente, responder a los mensajes de WhatsApp en Android es bastante cómodo, ya que podemos hacerlo incluso desde la barra de notificaciones sin tener que abrir la aplicación. Ahora, si simplemente no queremos responder, o queremos que sepan que hemos leído el mensaje sin abrir la aplicación, podremos hacerlo con la nueva funcionalidad que están empezando a activar en la app.

A partir de la versión beta 2.18.214, WhatsApp ha añadido una funcionalidad oculta que permite marcar los mensajes como leídos en la barra de notificaciones. Esta función toda no está activa ni visible, pero no tardará mucho en llegar a todos los usuarios. La opción aparece en la propia notificación de nuestro móvil, justo a la derecha de donde pone Responder.

Como suele ocurrir, la función se encuentra todavía en un estado muy embrionario, y es posible que tenga diversos fallos todavía hasta que sea posible utilizarla de manera más estable.

Otra opción que también está probando WhatsApp, y que quizá sea aún más útil que esta, es que van a permitir silenciar rápidamente un chat desde el panel de notificaciones. Aunque es recomendable silenciar los grupos donde hay mucha gente para evitar distracciones constantes, es posible que un grupo que no tengamos silenciado empiece a hablar de repente de cosas que no nos interesan.

Ambas funciones se activarán en próximas betas, para posteriormente empezar a llegar a todos los usuarios en la versión estable. Su llegada no debería demorarse más allá de dos o tres meses.

Fuente | ADSLZone

2018-07-05

Nuevo #WordPress 4.9.7 actualización de Seguridad


Está disponible para actualizar WordPress 4.9.7 como versión de seguridad, para solucionar 17 problemas detectados en la anterior versión hasta la 3.7 incluida, por lo que deberías actualizar previa realización de una copia de seguridad.

El mayor problema detectado en versiones vulnerables es que un usuario con ciertos privilegios pueda eliminar archivos fuera de /uploads.

Se han solucionado también problemas con taxonomías, eliminación de cookie de contraseña al cerrar sesión, mejoras en widgets HTML, y correcciones relacionadas con la privacidad.

Antes de actualizar es importante realizar una copia de seguridad (si tu actualización no es automática).

Mejoras y correcciones

Las versiones de WordPress 4.9.6 y las anteriores hasta la 3.7 se ven afectadas por un problema en Medios que puede facilitar el que un usuario con ciertas capacidades intente eliminar archivos fuera del directorio de subidas.

Se han solucionado 17 errores en WordPress 4.9.7:


  • Taxonomía: se mejora la gestión de la memoria caché para consultas de términos.
  • Publicaciones, tipos de publicaciones: se elimina la cookie de la contraseña al cerrar la sesión.
  • Widgets: se permite etiquetas HTML básicas en las descripciones de la barra lateral en la pantalla de administración de Widgets.
  • Panel de eventos de la comunidad: siempre muestra el WordCamp más cercano si aparece uno, incluso si hay múltiples Meetups primero.
  • Privacidad: se comprueba de que el contenido predeterminado de la Política de Privacidad no cause un error fatal al sobrescribir las reglas de reescritura fuera del contexto de administración.
  • Esta actualización no afecta a los temas nativos de WordPresss.org por lo que no sufren modificaciones.

Enlace | WebEmpresa

2018-07-03

Gentoo sufre un ataque en su cuenta principal de GitHub

Atacantes desconocidos comprometen durante unas horas la cuenta de GitHub de Gentoo utilizada como reserva de código fuente perteneciente al sistema de paquetería de la distribución


Ocho horas, desde las 20:20 (UTC) del 28 de junio hasta las 04:26 del día siguiente. Esta fue la ventana de tiempo que tuvieron los atacantes para introducir código malicioso en la cuenta de GitHub. Código malicioso que tenía como objetivo borrar todos los archivos del sistema donde se ejecutase, a través de archivos usados por el sistema de paquetería. Los archivos modificados para contener código malicioso son los llamados "ebuilds", que no son más que archivos de texto con información sobre una pieza de software concreta, especificando el nombre, el autor, cómo se debe construir el software a partir del código fuente y otras librerías...

 Por suerte, la repercusión final del ataque es bastante limitada. Lo primero que pone freno a la efectividad del ataque es que el código malicioso no funciona tal y como está, probablemente por un fallo en la programación por parte de los atacantes. Y lo segundo es que la cuenta de GitHub comprometida se usa como espejo, y no es la infraestructura principal usada por defecto por el sistema de paquetería. La principal está en servidores controlados directamente por la organización de Gentoo.

Otra medida de protección que se puede deducir del comunicado oficial de Gentoo es la verificación de los commits (unidades de actualización de código usadas en repositorios de código como Git). Cada vez que un desarrollador de Gentoo sube código al repositorio a través de un commit, ese commit va firmado por él, y el comunicado da a entender que los commits conteniendo código malicioso no venían firmados por desarrolladores de Gentoo.

Saber si estás afectado es bastante simple: si has usado esa cuenta de GitHub en los últimos días, es probable que hayas descargado código malicioso. Pero según comentaban, el código no funcionaba. Así que bastaría con sincronizar usando la infraestructura principal en vez de la cuenta de GitHub, para que los paquetes con ebuilds modificados para incluir código malicioso se sobreescriban con versiones buenas, y posteriormente poder reinstalar los paquetes instalados en los últimos días.

Fuente | una-al-dia

2018-07-01

Lanzan oficialmente el nuevo protocolo WPA3 para proteger redes Wi-Fi


Wi-Fi Alliance, la entidad que administra las tecnologías y certificaciones Wi-Fi, acaba de presentar el nuevo protocolo de seguridad para redes Wi-Fi: el esperado WPA3.

En enero de este año les contábamos que Wi-Fi Alliance había anunciado el nuevo mecanismo de seguridad. Las razones se venían conversando hace tiempo, pero se extremaron cuando apareció un serio fallo en WPA2. ¿Se acuerdan?

Si bien este error, que permitía escuchar el tráfico de los dispositivos que se comunican mediante Wi-Fi, fue parchado, se sentaron las bases para un nuevo protocolo más seguro, sobre todo para los nuevos dispositivos que se lanzarán de acá en adelante.

Al igual que sus predecesores, la Wi-Fi Alliance mencionó en un comunicado que el sistema se lanza en los modos WPA3-Personal y WPA3-Enterprise, cuya diferencia reside en en la etapa de autenticación.

WPA3-Personal utiliza un algoritmo llamado Simultaneous Authentication of Equals (SAE), que reemplaza la llamada Pre-shared Key (PSK) en WPA2-Personal. Incluso cuando los usuarios eligen contraseñas que no cumplen con las recomendaciones típicas de complejidad, el sistema provee un handshake seguro, que resiste los ataques por diccionario.

WPA3-Enterprise, por su parte, también tiene un cifrado de 192-bit que proporciona un mecanismo de seguridad adicional para entidades que manejan datos sensibles.

Además, Wi-Fi Alliance presentó un sistema llamado Wi-Fi Easy Connect, un mecanismo que reduce la complejidad para incorporar dispositivos con interfaz limitada, como los de IoT. Esto se logrará escaneando, con un smartphone, un código QR que entregará la posibilidad de configurar las opciones de otro dispositivo.

De momento WPA3 es opcional para los equipos nuevos, aunque la migración global es un hecho. Es solo cuestión de tiempo para que llegue a todos los rincones del globo.

Enlace | FayerWayer

2018-06-28

Un fallo en WordPress permite a un autor borrar ficheros y ejecutar código arbitrario


Los investigadores de RIPS Technologies GmbH descubrieron hace siete meses una vulnerabilidad en el conocido CMS WordPress que permite a un usuario con bajos privilegios poder secuestrar todo el sitio web y ejecutar código arbitrario a nivel del servidor.
A pesar de todo el tiempo transcurrido, en la actualidad todas las versiones de WordPress, incluida la 4.9.6, siguen afectadas por el fallo de seguridad descubierta por los investigadores, que reside en una de las funciones principales de WordPress y se ejecuta en segundo plano cuando un usuario borra de forma permanente una miniatura o una imagen subida.
La función de eliminación de miniaturas acepta entradas de usuario sin sanitizar, permitiendo a usuarios con privilegios restringidos, a partir de los autores, borrar cualquier fichero alojado en el almacenamiento web, algo que solo tendría que poder realizar los administradores del servidor o el sitio web. El requerir al menos una cuenta de autor reduce la gravedad del fallo hasta cierto punto, que puede ser explotado por cualquier colaborador o hacker que obtenga las credenciales de un autor mediante ataque de phishing, reutilización de contraseña u otros tipos de ataques.
Los investigadores avisan de que el actor malicioso podría terminar borrando ficheros críticos como “.httaccess” del servidor web, que contiene ciertas configuraciones relacionadas con la seguridad, en un intento de inhabilitar la protección. Otra posibilidad es borrar el fichero “wp-config.php”, abriendo así al puerta a que se vuelva a iniciar el instalador y poder así reconfigurar el sitio web con los parámetros que el hacker crea conveniente y obtener así control total.
Aquí es importante tener en cuenta una cosa, y es que el hacker no tiene acceso directo al fichero “wp-config.php”, así que no puede obtener parámetros de configuración como el nombre del base de datos, el nombre de usuario de MySQL y la contraseña de dicho usuario de MySQL, por lo que no le queda otra que reconfigurar utilizando un base de datos remota que esté bajo su control. Una vez terminado el proceso de instalación, el atacante podrá hacer lo que quiera con el sitio web, incluso ejecutar código arbitrario.
Los investigadores han publicado un parche propio para corregir este problema, mientras el equipo de seguridad de WordPress todavía busca una manera de parchearlo en la próxima versión de mantenimiento del CMS.
Fuente: The Hacker News

2018-06-21

Google Chrome penalizará las webs que no sean HTTPS

Esta nueva interfaz de Chrome ayudará a los usuarios a comprender que no todos los sitios HTTP son seguros.


Google Chrome se ha centrado en la seguridad que ofrecen sus páginas webs y ya penaliza a las páginas que no usan HTTPS en sus resultados de búsqueda. La próxima novedad llegará con la actualización Chrome 68 en julio, con la que intentara disuadirnos de navegar en páginas con HTTP sin cifrar, y empezará a marcar todos los sitios HTTP como “no seguros” en la barra de direcciones.

Si bien Chrome ya nos avisaba cuando utilizábamos una web poco segura, ahora el mensaje aparecerá siempre que dicha web utilice el protocolo HTTP sin cifrar, lo cual afectará a la gran mayoría de páginas de internet, eso si, no tanto a las que visitamos normalmente.

El protocolo HTTPS ha crecido tanto que hoy en día más del 68% del tráfico de Chrome en Android y Windows se hace sobre SSL/TLS. La cifra es tal, que 81 de los 100 sitios web con más tráfico de Internet utilizan HTTPS por defecto.

Esta nueva interfaz de Chrome ayudará a los usuarios a comprender que no todos los sitios HTTP son seguros.

Según publicaba Chromium en su blog, el uso del protocolo seguro de transferencia de hipertexto en la web ha mejorado a medida que han evolucionado los indicadores de seguridad de Chrome. Es por eso que los usuarios deben esperar que una web, por defecto, sea segura. Y como eso debe ser la normalidad, solo deberían recibir avisos cuando haya problemas.

Fuente | CSO ComputerWorld

2018-06-20

Están intentando robar las tarjetas de crédito almacenadas en instalaciones de Magento

Los datos almacenados por las tiendas electrónicas se han convertido en algo muy codiciado por hackers y cibercriminales, que buscan debilidades y fallos de seguridad en ese tipo de CMS para hacerse, sobre todo, con los datos de pago y las contraseñas de los usuarios.


Eso es lo que está pasando con Magento, e-commerce que según la empresa de ciberseguridad Sucuri está captando la atención de hackers que intentar robar datos como tarjetas de crédito y credenciales de PayPal. Siendo más concretos, hay un agente que se dedica a infectar sitios web Magento con un ladrón de tarjetas de crédito.

Uno de los métodos empleados por los hackers para conseguir los datos mencionados en el párrafo anterior consiste en añadir código adicional en la instalación del CMS. Los investigadores de Sucuri han descubierto una función sospechosa llamada “patch()” en el fichero “includes/config.php”, que nunca debe ser modificado de forma directa por el usuario por cuestiones de seguridad. Las invocaciones a la mencionada función se dedican a escribir contenido obtenido de fuentes externas en archivos específicos relacionados con el proceso de pago o el control de los usuarios.

/app/code/core/Mage/Payment/Model/Method/Cc.php
/app/code/core/Mage/Payment/Model/Method/Abstract.php
/app/code/core/Mage/Customer/controllers/AccountController.php
/app/code/core/Mage/Customer/controllers/AddressController.php
/app/code/core/Mage/Admin/Model/Session.php
/app/code/core/Mage/Admin/Model/Config.php
/app/code/core/Mage/Checkout/Model/Type/Onepage.php
/app/code/core/Mage/Checkout/Model/Type/Abstract.php

Los atacantes recurren a distintas vías para esconder enlaces externos de forma que no sean fáciles de detectar para las personas que carecen de los conocimientos necesarios. El código malicioso introducido ofusca enlaces externos de manera que una simple decodificación de reemplazo de variables en conjunto con la función base64 puede hacerlos legibles.

Un ejemplo de esto sería lo siguiente. Este es el código legítimo:

$link_a = $link.'YTGgAnrv'

Que pasaría a ser este otro, apuntando a Pastebin:

$link_a = 'hxxp://pastebin[.]com/raw/YTGgAnrv';

Esto quiere decir que el código malicioso ejecutado por el CMS atacado procede de Pastebin, una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general. Los expertos de Sucuri informan que se está usando este método para mantener un perfil bajo en los ataques y hacer su detección más difícil. Para dificultar la detección, los hackers incluyen la invocación “error_reporting(0);” para evitar el reporte de errores y así exponer la infección.

El código alojado en Pastebin forma parte del proceso de robo de información comprometedora como las tarjetas de crédito o las contraseñas de los usuarios, datos que luego son enviados a dominios externos para su procesamiento o venta.

Los expertos de Sucuri recomiendan verificar el fichero “/includes/config.php” lo antes posible, algo a lo que hay sumar la comprobación de otros malware que puedan estar afectando a la instalación de Magento y que pueden incluir puertas traseras.

Fuente | Muy Seguridad

2018-06-19

Debian 8 ya se ha quedado sin soporte

Debian 8 ha sido una de las versiones de esta distribución Linux más apreciada por los usuarios y los administradores de sistemas. Esta distro fue lanzada en abril de 2015 y, como las demás versiones, contaba con un soporte de 3 años, soporte que este mismo fin de semana ha llegado ya a su fin, por lo que es urgente que, si seguimos utilizando esta distribución, actualicemos cuanto antes a la versión actual Debian 9.
 

A partir de hoy, la mítica versión de Debian 8 ha llegado al final de su ciclo de vida, por lo que esta distribución Linux dejará de recibir actualizaciones de seguridad periódicas.

Esto significa que, a partir de hoy, esta distribución está totalmente abandonada, y los distintos fallos (de estabilidad o rendimiento), así como los fallos de seguridad que se puedan descubrir para esta distro no serán solucionados. Eso sí, si por algún motivo algún usuario no puede actualizar, esta distro seguirá siendo mantenida por el equipo de Debian LTS, equipo que ha estado actualizando Debian 7 hasta el pasado 31 de mayo y que seguirá lanzando parches para los fallos más críticos hasta el 30 de junio de 2020.

De todas formas, esto no es recomendable dado que este grupo de desarrolladores no corrigen todos los fallos de seguridad (ni lanzan más actualizaciones de mantenimiento), sino que solo lanzan parches para las vulnerabilidades más críticas.

  Escitorio de Debian

Cómo actualizar de Debian 8 a Debian 9 para seguir recibiendo soporte y actualizaciones de seguridad

La versión más reciente de Debian que aún recibe actualizaciones de seguridad es Debian 9.4. Aunque si queremos podemos descargar la imagen ISO de forma totalmente gratuita para realizar una instalación limpia de esta distribución Linux en nuestro sistema, si ya tenemos instalada y configurada una versión anterior y no queremos volver a pasar por esto siempre podemos actualizar nuestro Debian 8 al nuevo Debian 9.4 para, además de aprovecharnos de las mejoras que llegaron con esta distro (que no son pocas) poder seguir recibiendo actualizaciones de seguridad. Lo primero que debemos hacer es comprobar nuestro sistema para buscar y eliminar paquetes obsoletos que puedan dar problemas en la actualización. Para ello abriremos un terminal y ejecutaremos:

  • aptitude search ‘~o’
Una vez eliminados los paquetes ya obsoletos, lo siguiente será actualizar la distribución. Para ello, desde la misma terminal, simplemente ejecutamos los siguientes comandos para actualizar los repositorios, las aplicaciones instaladas y, por último, los paquetes de la distro.

  • apt-get update
  • apt-get upgrade
  • apt-get dist-upgrade

Una vez finalice el proceso ya tendremos nuestra distribución actualizada, aunque antes de dar el proceso de actualización por acabado debemos ejecutarlos siguientes comandos para asegurarnos de que tenemos todos los paquetes instalados (para que no haya conflictos) y para cambiar los repositorios de software de Jessie a Stretch:

  • dpkg -C
  • sed -i ‘s/jessie/stretch/g’ /etc/apt/sources.list
  • apt-get update
Ahora sí podemos reiniciar ya nuestro ordenador para que, cuando vuelva a arrancar, estemos utilizando ya el nuevo Debian 9. Esta versión tendrá soporte básico hasta 2020, y un soporte extendido de dos años más, hasta 2022.

Fuente | RedesZone

2018-06-18

Detectados contenedores maliciosos distribuidos a través de Docker Hub

544.74 Monero, lo que al cambio son unos 67.863€ a la hora de escribir este artículo. Es la cantidad que el atacante detrás de la cuenta de Docker Hub "docker123321" ha sido capaz de minar a lo largo de un año a través de imágenes maliciosas distribuidas a sistemas expuestos y, lo que es peor, usando la propia plataforma de Docker.



Durante el último año, investigadores de varias empresas (Kromtech, Fortinet y Sysdig) han estado siguiendo de cerca este caso, hasta que finalmente el pasado 10 de mayo Docker Hub cerró la cuenta maliciosa. Detrás deja un total de 17 imágenes Docker maliciosas que habían sido descargadas en más de 5 millones de ocasiones.

Linea de tiempo del ataque. Obtenida de Kromtech Security Center.

¿Cómo funciona Docker Hub?

Para explicar qué es Docker Hub, primero tenemos que ver algunos conceptos básicos de Docker. Sabemos que se basa en la ejecución de contenedores que aíslan, o al menos lo intentan, un proceso particular del sistema operativo base (ojo, no se trata de virtualización). La especificación de estos contenedores corre a cargo de las llamadas imágenes, que son plantillas donde se define qué hace exactamente un contenedor. En definitiva, un contenedor es una instancia en ejecución de una imagen. 

Aunque se puede construir una imagen desde cero, lo ideal es basarse en otra ya definida  y personalizarla. Por ejemplo, se puede crear una imagen que ejecute Apache 2 basándose en una imagen del sistema operativo Debian, instalando paquetes y configuraciones, ya sea a mano o a través de un Dockerfile. Este fichero contiene un conjunto de directivas que va a definir exactamente como queremos que se comporte el contenedor que genera esa imagen. Se pueden definir, entre otras, la imagen en la que se basa, los puertos que queremos que el contenedor abra, los paquetes que va a tener instalados o el comando que va a ejecutar. 

Una vez configurada y construida la nueva imagen, se pueden distribuir utilizando repositorios. Docker Hub es el repositorio oficial y, de hecho, está totalmente integrado en el motor Docker. Hagamos una prueba y ejecutemos 'sudo docker run -ti hello-world':



La ejecución de este contenedor nos dice exactamente qué ocurre entre bambalinas: en resumen, se busca la imagen local del contenedor que queremos ejecutar. De no existir, se busca automáticamente en Docker Hub, se descarga y se ejecuta.

¿Y quién puede publicar imágenes en Docker Hub? Cualquiera
, siempre que tengamos una cuenta cuya creación es gratuita. De hecho, es el principal distribuidor de imágenes para Docker.


Medidas de seguridad en Docker Hub

Existen con ciertos "peros". Por un lado, desde Docker 1.8 se implementa el firmado de imágenes, que nos permite asegurar que la imagen que estamos descargando es precisamente la que queremos. Sin embargo, esta medida debe configurarse en el cliente y no está activada por defecto.

En segundo lugar, hasta hace poco se realizaban análisis automatizados de seguridad para las imágenes subidas a Docker Hub, aunque solo estuvo disponible para los contenedores propios. Desde hace unos meses la funcionalidad no está disponible. En la descarga, ahora mismo, no hay ningún sistema ni señal que te indique si la imagen que descargas puede tener un comportamiento malicioso o no.

Pero los usuarios de Docker no ejecutan una imagen desde Docker Hub así como así...


No deberían. Al final, es como ejecutar un proceso desconocido en nuestro equipo y, lo que es peor, con permisos de superusuario y acceso a nuestro sistema base. Por ejemplo, una de las imágenes maliciosas que se han encontrado montaba como volumen el directorio '/etc' del sistema base y añadía entradas en el fichero crontab para ganar persistencia. Pero por supuesto, un usuario sin experiencia podría encontrar una imagen que se promete interesante y ejecutarla sin una revisión de lo que hace en realidad. 


Más allá de las posibles estrategias de ingeniería social, lo que sí señalan los investigadores mencionados es que existen gran cantidad de sistemas Docker y Kubernetes (una plataforma de orquestación para Docker) que presentan fallos de configuración y están totalmente expuestos, permitiendo que reciban comandos de administración externos.


En resumen, ¿qué ha ocurrido?

Un señor con no muy buenas intenciones ha creado un repositorio en Docker Hub y ha ido publicando varias tandas de imágenes maliciosas, algunas para minar criptomonedas, a lo largo de un año.


Aunque la distribución en este caso concreto no está clara, los investigadores manejan datos de otros ataques en los que se buscaban sistemas Docker y Kubernetes expuestos a Internet (a través de escaneos automatizados y/o mediante plataformas como Shodan) y con una configuración de autenticación pobre. Una vez localizados, se les lanzaba automáticamente comandos de gestión que permitieran la descarga desde Docker Hub de las imágenes maliciosas en el sistema.


Detalle de uno de los scripts utilizados para desplegar los contenedores maliciosos. Obtenida de Kromtech Security Center.

Los contenedores se hacían pasar por sistemas como Tomcat o MySQL para pasar desapercibidos. Además de aquellos que minan Monero, otros contenedores publicados buscaban tomar el control de la máquina base a través de la apertura de shells inversas o añadiendo las claves de acceso SSH del atacante a las permitidas para el usuario root.


Con este esquema, el usuario "docker123321" ha conseguido más de 5 millones de descargas de sus contenedores, minando un total de 544.74 Monero a lo largo de un año. Después de varias notificaciones de particulares y empresas de seguridad, el usuario ha sido finalmente eliminado.

Fuente | una-al-dia

2018-05-22

Microsoft bloquea Flash en Office 365 para que sea más seguro

Hemos visto progresivamente cómo ha ido desapareciendo Flash de diferentes plataformas con el paso del tiempo. Hoy nos hacemos eco de la reciente noticia de Microsoft que acaba de anunciar la intención de bloquear el contenido Flash en Office 365. Eso sí, no va a ser de forma inmediata. Todavía quedan unos meses para que llegue ya que está previsto para enero de 2019. Tampoco afectará a todos los contenidos.


Office 365 bloqueará Flash


El bloqueo se aplicará a clientes de Office 365. No afectará, por tanto, a aquellos usuarios que cuenten con Office 2010, Office 2013 o la versión Office 2016. Así lo ha confirmado la compañía.

Esto significa que Office 365 evitará que el contenido de Flash, Shockwave o Silverlight se reproduzca en documentos de Office. Se trata de un bloqueo completo. Sin embargo únicamente se bloquean los contenidos de Flash, Shockwave y Silverlight integrados con la función “Insertar objeto”, pero no los incorporados a través de “Insertar vídeo en línea”.

Estas dos funciones, “Insertar objeto” e “Insertar vídeo en línea”, se diferencian en que el primero utiliza la tecnología OLE (enlace e incrustación de objetos, en sus siglas en inglés) y el segundo integra contenido utilizando para ello una función de Internet Explorer.

Las razones del bloqueo de Flash en Office 365 son variadas. Desde Microsoft explican que los ciberdelincuentes han abusado continuamente de este mecanismo para introducir malware. Además, aseguran que los clientes de Office 365 realmente utilizan muy poco esta función.

Desde la compañía también han informado de que esta decisión estaba tomada después de que Adobe anunciara el final de Flash para el año 2020. Microsoft dejó de soportar Silverlight en 2016, y la fecha final de soporte para clientes empresariales está programada para el 2021.

Eso sí, para aquellas compañías que necesiten incrustar o ver contenido en Flash o que esté basado en Silverlight en Office 365, podrán acceder a una página de soporte donde encontrarán información para poder reactivar estas funciones. La idea es que no afecte a los usuarios.

El uso de Flash ha bajado mucho


Como sabemos, el uso de Flash ha disminuido notablemente en los últimos años. Si tiramos de datos concretos, Google Chrome afirmó recientemente que en 2014 el número de usuarios que cargaban al menos una página en Flash cada día era del 80%. En la actualidad, en 2018, esta cifra se ha reducido enormemente hasta representar únicamente un 8%. La tendencia es que siga bajando.

En definitiva, Microsoft va a eliminar Flash en Office 365 entre otras razones para aumentar la seguridad de los usuarios. Una manera añadida de evitar posibles ataques de malware dirigidos a sus clientes. En artículos anteriores hemos visto casos de vulnerabilidades de Flash que afectaban a los usuarios.

Una de las mejores formas de evitar ser víctimas de este tipo de ataques es tener actualizados nuestros sistemas y programas. Con los parches de seguridad pueden corregirse algunas vulnerabilidades y evitar ser explotadas por parte de los ciberdelincuentes.

Fuente | RedesZone

Entradas populares