Seguridad

Noticias sobre seguridad informática, que afectan al software (sistemas, software de web, aplicaciones, ...) en las que tratamos de incorporar advertencias que afectan a los clientes de hosting compartido y servidores dedicados o VPS.

10
Julio
2015

OpenSSL Vulnerabilidad crítica CVE-2015-1793

Alternative chains certificate forgery vulnerability

opensslLa credibilidad de OpenSSL esta cayendo por los suelos, después de las últimas vulnerabilidades, como Heartbleed, Freak, LogJam, aterriza una nueva calificada como severa: "Alternative chains certificate forgery vulnerability", con un modelo similar a LogJam, un ataque de "hombre de en medio" que permite escuchar el tráfico de conexiones seguras, anotada como CVE-2015-1793. Siguen los pasos de Heartbleed, el problema es el mismo. El proceso de verificación de los certificados y sus procesos alternativos.

OpenSSl puso ayer 9 de Julio, una actualización que corrige el problema.

 

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

27
Mayo
2015

VENOM Vulnerability CVE-2015-3456

Solución y parches para la vulnerabilidad VENOM en Proxmox y otros

Proxmox LogotypeSe ha publicado el pasado 13 de Mayo de 2015 una vulnerabilidad grave en el controlador del Disco Floppy de QEMU, el cual puede permitir a un invitado a ejecutar código arbitrario e inutilizar el host físico en el cual se ejecuta (maquina contenedora de los VM o servidores virtuales) basado en KVM (Quemu).

El problema, es que aunque deshabilitemos el uso del Floppy Disk Drive para los servidores virtuales (VPS) como viene siendo por defecto por ejemplo en Proxmox, SolusVm, el problema no se soluciona.

Dependiendo del software que usemos, deberemos acudir a la actualización, que requerirá, el reinicio de los VPS, aunque no del host principal.

Written by: Abdelkarim Mateos Sanchez Categories: Virtualización, Seguridad

21
Mayo
2015

LogJam Attack, el nuevo problema con SSL

Protocolo de intercambio de llaves Diffie-Hellman

LogJam Attack, (o mejor en castellano el ataque por estancamiento) está basado en una falla de seguridad en el protocolo de intercambio Diffie-Hellman, que es un algoritmo criptográfico que permite a los protocolos de Internet acordar una clave compartida y negocias una conexión segura.

Fundamental en muchos protocolos como HTTPS, SSH, Ipsec, SMTPS, y otros que se basan en TLS.

El ataque basado en el procedimiento de ataque man-in-the-middle hacer una bajada de los requerimientos de seguridad en la negociación, para llegar a un menor nivel de cifrado (512 bits por ejemplo) las cuales se pueden leer y atacar con relativa facilidad.

Usted puede comprobar si su navegador es vulnerable haciendo clic aquí.

Si es administrador de sistemas, puede seguir las instrucciones paso a paso para asegurarse que esta protegido.

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

10
Abril
2014

Heartbleed :: Vulnerabilidad en OpenSSL 1.0.1 :: Corazón sangrante

Vulnerabilidad de OpenSSL 1.0.1 afectando a múltiples sistemas

HeartBleed :: Corazón sangranteBautizada como Heartbleed o Corazon Sangrante, es una de las vulnerabilidades mas graves que han surgido en los últimos tiempos. Un fallo de seguridad (exploit) en las librerías OpenSSL, que permiten al atacante obtener una ventana de 64kb, de espacio en memoria, que pueden parecer pocos, pero contienen información sensitiva, como cookies, credenciales, claves privadas.

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

12
Febrero
2014

Multiples ataques DDOS a distintos proveedores FEB14

Semana negra en internet por ataque masivo DDos ntp reflection

Diferentes proveedores y redes estan soportando un ataque masivo de DDos, con ntp reflection, desde el lunes, que afecta a muchos servicios de alojamiento de páginas web, tiendas virtuales, comercio electronico.

OVH se defiende del mismo con su recien estrenado VAC, que aunque eficaz, no deja de presentar problemas a los servicios que alli tenemos, de forma irregular y con tramos de outage de corta duración.

 

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

01
Noviembre
2013

The Dark Mail Alliance :: Lavabit y Silent Circle contra el espionaje de metadatos

Proyecto Dark Mail para la seguridad en el correo electrónico

Dark Mail AllianceEl protocolo de correo actual (SMTP) es una veterano anciano de 30 años, lleno de problemas que permiten que sea la parte mas insegura de las comunicaciones en Internet. Esnifar comunicaciones de correo es tan fácil para estados como el Norteamericano, asi como para agencias privadas, incluso si se hace uso de las formula actuales de encriptación como PGP (Pretty Good Privacy) o sus variantes Gnu (GnuPG) debido entre otras cosas a la necesidad de ubicar las llaves publicas en repositorios.

Lavabit y Silent Circle  anuncian en la Conferencia Inbox Love de San Francisco, la creacion de la Dark Mail Alliance para la privacidad en el correo electrónico

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

09
Octubre
2013

Estafa de bajo nivel con dominios. Fraude por correo electrónico.

Attention: Important Notice . DOMAIN SERVICE NOTICE

Una consulta muy habitual esta relacionada con un tipo de estafa o fraude por correo electrónico (SCAM), de bajo nivel, pero que tiene años y años de funcionamiento en internet es la que reciben los usuarios, en su correo administrativo, cuando sus dominios están a punto de caducar, una de tantas malas prácticas en internet, que afectan tanto a usuarios como ha registradores de nombres de dominio en internet.

Existen varios ejecutores de la misma con distinto formato, pero casi todas llevan al mismo punto: el intento de que el incauto abone la cantidad solicitada para no perder su dominio.

Estafa dominio por correo electrónico (SCAM): haga click en la imagen

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

12
Septiembre
2013

Wordpress 3.6.1 Actualización de mantenimiento y seguridad

Corrección de 13 bugs y de 3 exploits en Wordpress 3.6

Wordpress Lider en BitacorasNueva versión que corrige trece bugs conocidos, y tres problemas de seguridad en Wordpress 3.6.

  • Ejecucion de código remoto bajo ciertas situaciones y configuraciones, reportado por Tom Van Goethem.
  • Evitar que un usuario con el rol de Author, utilizando una solicitud especialmente diseñada, puede "confundir" la autoria de un mensaje de otro usuario, reportado por Anakorn Kyavatanakij.
  • Error de verificacion de entrada de datos, con rescritura de dirección, lo que podría llevar al usuario a otra web, reportado por Dave Cummo

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

11
Septiembre
2013

La NSA, INTEL, Linux, Linus Tovalds, el espionaje y RdRand

El espionaje a través /dev/random y la instrucción RDRAND

NSA Inside Intel Linux espionaje? RDRANDLa polémica ya ha saltado en un tema más que delicada, pues al parecer la NSA ha presionado y de forma continuada, a Linus, a Intel, para poder colocar una puerta trasera (backdoor), y sobre el que rios de bits se vertirán, una vez más con tanto profesional del blog. Por mi parte, no soy un especialista en Criptografía, y no quiero entrar en la polémica, salvo para aportar información.

Encontrar el origen de la filtración es casí imposible, y tiene tintes de ser pura guerra comercial, auqneu lo primero que encontre fue la edición castellana de Linux Magazine

Al poco aparecia una petición en Change.org, Linus Torvalds: la cual ha sido contestada con dureza por el propio Linus.

"Where do I start a petition to raise the IQ and kernel knowledge of people? Guys, go read drivers/char/random.c. Then, learn about cryptography. Finally, come back here and admit to the world that you were wrong. Short answer: we actually know what we are doing. You don't. Long answer: we use rdrand as _one_ of many inputs into the random pool, and we use it as a way to _improve_ that random pool. So even if rdrand were to be back-doored by the NSA, our use of rdrand actually improves the quality of the random numbers you get from /dev/random. Really short answer: you're ignorant."

 

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

10
Septiembre
2013

Vulnerabilidad en Moodle para las versiones 2.3.9 y 2.4.6 y anteriores.

Exploit de inserción javascript que permite añadir contenido a los RSS

Vulnerabilidad (exploit) descrito para Moodle, que aunque la vulnerabilidad afecta a versiones y ramas antiguas de Moodle, lamentablemente la base de instalaciones con estas versiones es muy elevada, dada la dificultad de Moodle para las actualizaciones.

Solo hay que ver que hoy día 10/09/2013 el propio sitio de moodle para descargas), esta fuera de linea, para “actualizarse” (Puedes seguir su evolución en su Twtitter

Descargas moodle fuera de linea por mantenimiento

El exploit esta documentado el dia 9 de septiembre, en PacketStormSecurity  y en el twitter de seguirdad de Moodle todavía no se indica nada. 

 

 

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

06
Septiembre
2013

Expediente NSA (NSA Files) : Hacking gubernamental

La NSA pirateó o manipulo protocolos de seguridad para sus labores de espionaje

Ayer se publicaban, los datos sobre el espionaje de la NSA y sus prácticas ilegales para el espionaje geopolitico en industrial, mediante la ruptura de los medios de seguridad y encriptación.

Una de las claves del caso Edward Snowden, es que ha destapado las vergüenzas de la NSA, la cual y con el beneplácito de los sucesivos presidentes, incluido el Premio Nobel de la Paz (sic) Obama, es que la NSA:

  • Conspiro para corromper los protocolos de seguridad en Internet, como SSL, VPN y otros
  • Robo, altero, mediante fuerzas propias o de terceros, hardware y software orientado a la encriptación.
  • Obtuvo puertas traseras a Google, Facebook, Yahoo o Microsfot (bueno en esto más pienso que no tuvo problemas y simplemente hablo con sus propietarios)
  • Colocarón ordenadores con hardware espia, en numeros paises.

Pero no están solos en el asunto, pues sus primos Britanicos, a través del Cuartel General de Comunicaciones del Gobierno británico (GCHQ) estaban a ellos asociados en el programa Bullrun.

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad, Mundo IT

04
Septiembre
2013

Actualización de seguridad importante para VirtueMart 2.0.22c (Joomla)

Comercio electrónico de bajo perfil sobre Joomla (Tiendas virtuales VirtueMart)

No es que seamos amigos de esta solución, pues siempre nos hemos decantado por las soluciones profesionales para el Ecomercio (comercio electrónico o tiendas virtuales), como Magento (excesibvo para hosting compartido y VPS de bajo perfil), Prestashop, OpenCart frente a soluciones como VirtueMart que no son sino un bonito reclamo para pequeños desarrolladores, y empresas con pocas posibilidades para dedicar recursos, a opciones más profesionales y con capacidades reales de comercio electrónico. Esta es sólo una opinión personal, tras haber montado 10 tiendas diferentes, y dar soporte a todos ellos, como administrador de sistemas en compañías de alojamiento de páginas web y comercio electrónico.

También es cierto que algunos proyectos, en los que la realidad empresarial, no hacen aconsejable el consumo de recursos económicos, lo hacen una solución perfecta, rápida y fácil de implementar. Una comunidad amplia, muchos foros, comunidad en español, y que funciona bajo Joomla 

Virtuemart :: Comercio electrónico y tiendas virtuales

En la última actualización de seguridad de VirtueMart, ya se presentaron algunas quejas respecto de la poca transparencia respecto de los fallos de seguridad del equipo de VirtueMart. Incluso en su propio blog, insisten en que si afecta al core, no van dar muchos detalles. Algo oscuro para ser un software que se dice OpenSource. Más cuando la versión 2.0.22, pese a los problemas que ha supuesto a muchos usuarios, ya venia con otros error de verificación de entrada de datos que permita la inyección de código, que se subsanaba en la 2.0.22b

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

04
Agosto
2013

Parche de seguridad para Joomla 1.5.26

Solución al problema de filtrado en la subida de ficheros de Joomla 1.5.26

Joomla 1.5.26 ha sido oficialmente declarado un cadáver, un elemento inseguro, que será rechazo en muchas empresas de Hosting, ya que de forma oficial, no existirán nuevos parches para eliminar potenciales agujeros de seguridad que aparezcan.

Realmente, el pasado abril, llego a su fin de vida útil, pero de manera oficial se mantuvo el compromiso de liberar parches de seguridad en el caso de encontrarse nuevas fallas de seguridad.

La ultima falla de seguridad en Joomla, esta relacionada con la ausencia de filtros que permiten saltarse las restricciones de seguridad en la subida de ficheros clasificados por tipos.

Esta falla afectaba, a las ramas de Joomla 2.5, 3.1 y por supuesto a la 1.5.X

Gracias a Elin Waring (actual presidenta de Open Source Matters) , que puso a disposición de los usuarios de Joomla, un parche para la versión 1.5.26, que corrige esta situación.

Las empresas de alojamiento de páginas web y comercio electrónico, tienen ahora un nuevo reto. Forzar a sus clientes con versiones obsoletas de Joomla, diseñadas por terceros que o bien ya no existen, o que no quieren hacerse cargo de las actualizaciones a version modernas o soporta la bateria de intrusiones y defaces, que se preven en un futuro no muy lejano.

 

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

04
Agosto
2013

Ley Europea de Cookies

La hipocresía digital enfrentando cookies, con otros problemas reales de privacidad con EE.UU

En los ultimos meses han aparecido un buen chorro de noticias en las redes sociales, referentes a la EU Cookie Law/EU Cookie Directive Compliance, ya sea en Twitter, o en los medios tradicionales como Google, ya que desde el 31 de marzo es de obligado cumplimiento en España.

Todo un batiburillo de páginas que vierten millones de bytes, sobre un tema que es en realidad una falacia destinada a entretener al publico final, alejarle de otras realidades, y dar cabida a un grupo de legisladores, los europeos, que cada vez demuestran estar más plegados a los intereses de las grandes corporaciones que de los ciudadanos de la Union.

La USA Patriot Act

La Ley Patriota, fue sancionada en EEUU el 26 de Octubre de 2001, tras los desafortunados sucesos del 11 de Septiembre, en las que en un contexto de terror y mentiras institucionales, dio cabida a esta Ley que socaba y conculca los derechos fundamentales de los propios Norteamericanos, y por extensión de todo los habitantes del globo, siendo ya conocida su el y politica, que traspone sus intereses al derecho internacional.

La renovación que dio carácter definitivo a su aplicación, tuvo lugar entre 2006 en un vergonzoso lio entre la cámara baja y la cámara de senadores, siendo al final sancionada por el presidente Bush en 2006. 

Por aquel entonces, en origen, la Ley Española de Protección de Datos, y su Agencia reguladora, andaban muy preocupadas, vigilando y sancionando, a aquellos que tenían datos en servicios ubicados fuera de la UEE, y que por tanto no cumplían la privacidad de datos, con una formula muy parecida a la actual, salvo que en aquella época, nuestro país estaba aun en pañales digitales, y no había tanta repercusión en las llamadas redes sociales.  

 

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad

22
Junio
2013

Wordpress 3.5.2 :: Actualización de seguridad

Alerta de seguridad de nivel alto para Wordpress

Lamentablemente, es ya una mala costumbre que la duración de la versiones de Wordpress sean tan cortas como su fama.

En las últimas semanas la actividad de los cyberatacantes ha sido muy elevada, y en algunos casos algunos usuarios de wordpress que ya habian sufrido una intrusión, han vuelto a sufrir otra tras actualizarse a la versión 3.5.1.

 

Written by: Abdelkarim Mateos Sanchez Categories: Seguridad