Daboweb | Seguridad y ayuda informática |

Al igual que en anteriores ocasiones, os recomendamos una nueva lección de Intypedia (Enciclopedia de Seguridad de la Información). En este caso, está orientada a los ataques al protocolo SSL, (Interesante también esta información sobre la última vulnerabilidad en SSL y TLS desde Inteco).

Según podemos leer en el resumen de esta lección;

Alicia explica a Bernado los ataques más famosos al protocolo SSL/TLS y como protegerse de ellos. En el vídeo se recomiendan acciones básicas para una navegación más segura utilizando dicho protocolo.

Información de apoyo

Guión [PDF][415KB]
Diapositivas [PDF][134KB]
Ejercicios [PDF][908KB]

La Fundación Mozilla ha publicado hasta diez boletines de seguridad sobre productos suyos acerca de vulnerabilidades que en algunos casos han sido clasificadas como críticas y que en algunos casos ni requerirían la colaboración del usuario afectado. Ejecución de código a través de archivos .ogg, elevación de privilegios a través de JSSubScriptLoader, corrupción de memoria o incluso problemas de instalación de software al presionar la tecla «Intro», son algunos de los fallos encontrados y motivo principal de estos boletines.

Los responsables del proyecto Mozilla recomiendan la actualización inmediata del cliente de correo Thunderbird, de SeaMonkey y del popular y utilizado navegador opensource Firefox para mayor seguridad de sus usuarios. Mas información aquí.

Según leemos en Hack Players, la web de MySQL ha sido víctima de un ataque  cuyo resultado, a falta de más datos sobre los contenidos que aloja, es la posible infección por malware de quienes lo visiten. Es la segunda vez este año que mysql.com sufre un ataque (no ponemos el enlace ya que ahora mismo, no es seguro visitar su web). En Slashdot se ha publicado que vendieron el exploit por 3.000 $.

Se trata de un «iframe» ofuscado en su código, que realiza una redirección a un servidor localizado en Alemania, para acto seguido, llevar al visitante a otro servidor desde donde se ejecuta un exploit. Recomendamos extremar las precauciones si se ha visitado recientemente y realizar un análisis del equipo en busca de posibles rastros de malware.

Aún sin un anuncio oficial por parte de Mozilla y como en otras ocasiones, gracias a la información de nuestro amigo Gregorio Espadas, ya podemos descargar la versión 7 final de Firefox en castellano vía los FTP de Mozilla.

Según podemos leer en la entrada de gespadas.com, (recomendado, también para ver el resto de descargas e idiomas) el tiempo de ejecución ha disminuido considerablemente, el tan comentado consumo de memoria se ha reducido en un 30% aprox, gracias entre otras cuestiones al también mejorado el motor de Javascript (que ayuda a liiberar memoria innecesaria). La sincronización de marcadores y passwords ahora es instantánea, mejoras en la visualización de fuentes, etc.

Descarga directa de Firefox 7 (es-ES) para Windows | GNU/Linux (32 bits – 64 bits) | Mac OS X.

Surgió un rumor que apuntaba la posibilidad de que Windows 8 impidiera que en los equipos donde estuviese instalado se pudieran ejecutar otros sistemas operativos. Con lo que sería imposible que GNU/Linux compartiera máquina con la nueva versión de Windows. Era mediante UEFI (Unified Extensible Firmware Interface) con lo que esta «jugarreta» era posible, pero ahora, desde el propio gigante informático Microsoft se informa (ENG) que esta opción se podrá activar o no en la BIOS del ordenador.

La principal razón que argumentan para la existencia de esta tecnología es la vulnerabilidad de la máquina, con lo que al impedir ejecutar otros sistemas operativos se mejoraría supuestamente su seguridad. De todas formas, se deja a decisión de los fabricantes de hardware (que tienen mucho que decir sobre el tema) incorporar o no UEFI, con lo que podría darse el caso de que un usuario de GNU/Linux tuviera «vetado» adquirir hardware de una determinada marca sólo porque esta decide que únicamente ejecutará Windows en sus máquinas. La polémica sin duda está servida.

Disponible desde el Nauscopio, una nueva actualización de la lista de filtros anti-publicidad del complemento AdBlock Plus tanto para Chrome como para Firefox.

Según nos cuenta Maty (gracias de nuevo por el trabajo realizado);

105 filtros más. La mayoría se refieren a medios de (in)comunicación. No sólo publicidad, también numerosos contadores de visitas, en especial los referidos a impactos publicitarios.

• http://abp.mozilla-hispano.org/nauscopio/filtros.txt

Información sobre su instalación y dudas

• Nauscopio Scipiorum Archivo “hosts” nauscópico para combatir publicidad, páginas peligrosas, spam, etc
• Nauscopio Scipiorum Adblock Plus Pop-up Addon y lista de filtros antipublicidad (AdBlock) nauscópicos para Firefox
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en navegadores Gecko
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en Google Chrome
• Mozilla Hispano AdBlock Plus: Filtros nauscópicos antipublicidad

Adobe acaba de publicar una nueva versión de su reproductor Flash Player que solventa varias vulnerabilidades catalogadas como críticas para los sistemas afectados. En Windows, GNU/Linux, Mac OS X o Solaris, si tienes la versión 10.3.183.7 o una anterior, debes actualizar a la 10.3.183.10. En plataformas Android, si tienes la versión 10.3.186.6 o una anterior, debes actualizar a la versión 10.3.186.7.

Si quieres saber la versión de Flash Player que utilizas, puedes comprobarlo desde este enlace.

Concretamente, los bugs corregidos son los siguientes; CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430, CVE-2011-2444. Hablamos de vulnerabilidades serias caso de ser explotadas, como puede ser la ejecución de código arbitrario en los equipos afectados (AVM stack overflow), ataques cross-site scripting a través de webs o e-mails previamente manipulados para tal fin, en funciones de streaming, etc.

Información detallada en Adobe de los parches incluidos y bugs (ENG) | Descarga de Flash Player.

Se está hablando mucho estos días del bug y el cambio de passwords en Lion tal y como podemos leer en Ontinet y nos han llegado varias consultas sobre cómo actuar hasta que Apple publique una actualización que lo solvente.

Aclaramos en el título lo de «un ataque local», ya que se requiere acceso físico a la máquina para poder llegar a efectuar dicho ataque con sólo tipear el siguiente comando en el terminal; dscl localhost -passwd /Search/Users/NombreUsuario.

Esta vulnerabilidad / debilidad en la gestión de las contraseñas de Mac OS X no es nueva tal y como nos recuerdan desde Genbeta (donde también se dan buenos consejos), ahora, con el lanzamiento de Lion, vuelve a estar de actualidad y es lógica la preocupación de los usuarios de OS X frente a un ataque de este tipo.

Realmente no es algo tan complejo de paliar y obviamente, ayuda que sea un ataque para el que se necesite estar frente al equipo caso de querer efectuarlo. También en LifeHacker (ENG) un usuario ha preguntado lo mismo y vamos a dar un repaso a las medidas a poner en práctica.

Desde el terminal;

• Desactivar los permisos de dscl (como root) tipeando; chmod 100 /usr/bin/dscl

Desde Preferencias del Sistema – Seguridad;

• #Nota. Puedes ver esta imagen de LifeHacker para ver mejor los cambios
• Desactiva el inicio de sesión automático.
• Activa la opción «solicitar password inmediatamente» cuando se active el salvapantallas o la suspensión.
• (Sobre este punto comentar que en Preferencias- Energía podéis bajar el tiempo de esos valores, recomendable).
• Solicitar la contraseña de administrador para desbloquear cualquier preferencia del sistema bloqueada.
• No olvides bloquear el candado en la zona inf izquierda.

Desde Preferencias del Sistema – Usuarios y grupos;

• Desactivar la cuenta de invitado
• (También recomendable en «compartir» desactivar el acceso a carpetas compartidas)

Ahora sólo es cuestión de esperar y ver el «tiempo de respuesta» por parte de Apple para parchear este agujero de seguridad.

El equipo de desarrollo del sistema de foros SMF ha liberado las versiones 2.0.1 y 1.1.15, con parches que solventan vulnerabilidades catalogadas como críticas encontradas en versiones anteriores (concretamente dos en la 2.x y una en la rama 1.x) y que podrían permitir conseguir privilegios externos en el área de moderación/administración.

Anuncio oficial | Sección de descargas | Info detallada sobre CSRF en SMF 2 (uno de los bugs).

Para actualizar (además de un backup del foro y base de datos) se pone el foro en idioma «Inglés, se actualiza instalando los nuevos ficheros, luego se ejecuta /foro/upgrade.php y después, no olvidéis borrar el fichero de actualización upgrade.php

Disponible una nueva entrega de esta distribución linuxera basada en Debian Testing, con Gnome y XFCE como entornos de escritorio disponibles, mediante la cual podemos tener todas las funcionalidades de Linux Mint pero con el añadido de poder usar las mismas aplicaciones que la versión en pruebas de Debian. Se distribuye en formato live-DVD y no es necesaria su instalación (aunque siempre lo puedes instalar) en disco duro, por lo que es una candidata ideal para aquellos que aun hoy no han probado toda la fuerza y posibilidades de GNU/Linux.

Se han corregido errores y añadido nuevas características, entre las que destaca la capacidad multi-núcleo y multi-proceso en los kernels para la arquitectura de 32 bits, así como mejor compatibilidad con los temas GTK2 y GTK3. En este otro enlace esta la lista completa de cambios.

Nueva versión disponible de este servidor de bases de datos libre, el cual ofrece prestaciones avanzadas y al que muchos expertos califican como mas fiable que MySQL sobre todo a la hora del manejo de grandes volúmenes de datos. En esta entrega se incorporan características como el deniominado «K Vecinos Más Próximos (K-Nearest-Neighbor, KNN)», una potente búsqueda de resultados usando el método de la indexación. En este enlace tenéis la nota del lanzamiento oficial, asi como una lista detallada de las funcionalidades de PostgreSQL 9.1, con las que seguro muchos administradores de bases de datos verán mas que cumplidas sus necesidades.

PostgreSQL se distribuye con una licencia libre de tipo BSD, con lo que puede ser una alternativa mas que viable a un posible «cambio de rumbo» de Oracle con respecto a MySQL, ya que como muchos de vosotros sabéis, este gigante informático nos viene dando una serie de «disgustos» a los usuarios de aplicaciones de código abierto y libres. Dentro de la comunidad libre hay otras opciones dignas de ser llamadas como recambio de MySQL, como por ejemplo MariaDB, la cual deriva del mismo y ofrece grandes similitudes o mejoras con respecto al proyecto padre.

Si hablamos de certificados digitales, a todos nos viene a la memoria el tan nombrado caso de Diginotar del que ya hemos hablado en Daboweb en varias ocasiones. Si hablamos de un protocolo como «SSL« (acrónimo de «Secure Sockets Layer«, protocolo de capa de conexión segura), pensaremos en conexiones cifradas, «candados» en la parte superior de la barra de nuestro navegador, en resumen «una conexión segura» ¿o no?.

Hoy os queremos recomendar la lectura de una entrada publicada en el blog de nuestro amigo Sergio Hernando, en la que va más allá del típico resultado que podemos ver en la salida del «scanner» de vulnerabilidades de turno.

Tal y como dice el autor, solemos asociar las conexiones vía «SSL» a aplicaciones web, pero no hay que olvidar por ejemplo el uso masivo que hacemos de «SSL» en la recepción o envio de correo electrónico (aunque hoy en día, seguramente esa conexión ya sería vía «TLS«, una implementación mejorada del protocolo «SSL«), programas de mensajería instantánea, aplicaciones VoIP (voz sobre IP), etc.

Por lo que si hablamos de auditorías de seguridad, todo lo que vaya cifrado bajo «SSL«, debería ser auditado de la forma más minuciosa posible para evitar ataques en los que, la suplantación de identidad, junto a la posible captura de unos datos que «presuntamente» viajan por la red bajo una capa de cifrado, pueden resultar devastadores en los sistemas comprometidos.

Acceso a; «Principios teóricos y prácticos de auditoría SSL«.

Ponemos en el título lo de «pre-beta« ya que es una versión para desarrolladores y así debe ser considerada, no es una versión apta para el día a día de tu escritorio, sino una forma de tomar el pulso a la futura versión de Windows .

Si estás interesado en ver la nueva interfaz «Metro», conocer las características de una versión de Windows que, según Microsoft, es un cambio total de planteamiento, ver qué nuevas funcionalidades incorpora y te van las versiones en pruebas, puedes descargar Windows 8 pre-beta (Developer Preview) desde esta sección en Microsoft (ENG), así como herramientas aptas para desarrolladores como pueden ser;

• Windows SDK for Metro style apps
• Microsoft Visual Studio 11 Express for Windows Developer Preview
• Microsoft Expression Blend 5 Developer Preview

Para estar al día de las novedades y las experiencias de los usuarios con «Windows Developer Preview» (así se ha denominado a esta y otras versiones futuras hasta que en 2012 se pueda ver una versión final de Windows 8), Microsoft ha puesto en marcha un blog «Building Windows 8« (ENG) para dicho fin, donde se puede leer muchos y variados comentarios.

Si no estás interesado en instalar alguna de estas versiones de desarrollo y quieres informarte a fondo sobre las novedades incluidas, puedes hacerlo a través de la guía en PDF (37 pag, en inglés) que Microsoft ha puesto a disposición de los usuarios interesados en conocer con detalle todo lo que incluye Windows 8, a falta de los cambios y mejoras que iremos viendo estos próximos meses.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Septiembre de 2011.

En esta ocasión, se compone de 5 actualizaciones de seguridad, todas ellas catalogadas como importantes que vienen a solventar varias vulnerabilidades de Windows y Office que entre otras, podrían permitir la Ejecución remota de código y/o elevación de privilegios, en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de Septiembre 2011.

Nos hacemos eco vía Menéame de una noticia en la que se informa acerca de un ataque que ha sufrido la tienda de venta online BuyVip (propiedad de Amazon). Como consecuencia de este ataque, hay datos personales de usuarios que se han visto expuestos como direcciones de correo, teléfonos y contraseñas.

En este caso, se afirma que los números de tarjetas de crédito de los clientes no se han visto expuestos y también que desde BuyVip están informando vía correo electrónico a los usuarios afectados del problema. Es por ello que es urgente el cambio de tu contraseña en BuyVip, así como en otros lugares en los que puedas estar usando la misma cuenta (algo nada recomendable, aquí algunos consejos).

Más información en El Mundo.