• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Microsoft anuncia el bloqueo de los contenidos Flash en Office 365

Microsoft ha anunciado planes para bloquear los controles de contenidos de Flash, Silverlight y Shockwave en Office 365, la versión de la suite ofimática que se distribuye mediante planes de arrendamiento.

Es importante dejar claro que estamos ante un bloqueo total y no una inhabilitación que se pueda revertir a través de las opciones. Los usuarios de Office 365 no podrán a partir de enero de 2019 reproducir contenidos en Flash, Silverlight y Shockwave introducidos en los documentos, siendo este un cambio que seguirá los siguientes pasos:

  • Los controles serán bloqueados en el canal mensual de Office 365 a partir de junio de 2018.
  • Los controles serán bloqueados en el canal SAT a partir de septiembre de 2018.
  • Los controles serán bloqueados en el canal semianual a partir de enero de 2019.

Sin embargo, es importante tener en cuenta ciertas condiciones. Primera, que esto solo afecta los elementos incrustados a través “Insertar objeto”, que es a fin de cuentas la característica bloqueada, pero no aquellos insertados mediante “Insertar vídeo online”. Segunda, esto afectará solo a los usuarios de Office 365, pero no a los de las versiones 2010, 2013 y 2016 de la suite ofimática de Microsoft.

En el caso de Flash se suma otra circunstancia, su fecha de fin de ciclo, prevista para 2020. El hecho de que los encargados de la tecnología de Adobe decidieran abandonar el mercado de la movilidad ha dado a HTML5 el impulso que necesitaba para consolidarse como sustituto, sobre todo cuando se trata de reproducir contenidos multimedia. En su día Flash fue “un mal necesario” para dotar a la web de capacidades multimedia, pero en la actualidad se está viendo sepultado ante el empuje de un estándar abierto que no depende de la voluntad de ninguna compañía para su expansión.

Por otro lado, se suma su cuestionable trayectoria en términos de seguridad, llegándose a descubrir más 300 vulnerabilidades en un solo año y habiendo sido durante mucho tiempo un objetivo prioritario de hackers y ciberdelincuentes.

Fuente: BleepingComputer

por Eduardo Medina Tue, 22 May 2018 14:42:20 +0000

Intel confirma la existencia de nuevas variantes de Spectre y Meltdown

Cuando Meltdown y Spectre fueron expuestos de forma pública a todo el mundo, se descubrieron unos problemas que están trayendo mucha cola y que se intentan mitigar no solo desde el firmware para los propios procesadores, sino también desde aplicaciones y drivers para evitar los ataques en lo máximo posible.

Además de evitar formas de explotar las tres vulnerabilidades (las dos de Spectre y la de Meltdown) expuestas al público en enero, con el paso de los meses hemos visto cómo se descubrieron más problemas de seguridad tanto en los productos de Intel como los de AMD, dando a entender que los procesadores han podido estar mal diseñados en términos de seguridad desde hace años.

Retomando el caso de las ocho vulnerabilidades adicionales halladas en las CPU de Intel, la compañía con sede en Santa Clara ha confirmado que entre ellas está la variante 4 (CVE-2018-3639) de Spectre (la variante 3 es Meltdown), descubierta por investigadores en seguridad de Google y Microsoft. Este nuevo fallo, que ha recibido el nombre de Speculative Store Bypass, es similar a las otras vulnerabilidades de Spectre al basarse en la ejecución especulativa utilizada por las CPU modernas, pudiendo mediante esa vía exponer datos sensibles a través de un ataque de canal lateral.

Al igual que las otras variantes de Spectre, no solo Intel se ve afectada, cosa que avisamos que podría ocurrir en el artículo anterior. De echo, se ha confirmado entre otras marcas a AMD, ARM, Power 8, Power 9 y System z. Esto quiere decir que servidores, computadoras personales y dispositivos móviles están afectados por la cuarta variante descubriera. El hecho de que Intel publique los datos ahora puede responder a dos cosas: a su compromiso de mayor transparencia y al hecho de que posiblemente sea una de las vulnerabilidades que pronto publicaría Project Zero de Google, que casi siempre es implacable con los tiempos que otorga. El proceso de parcheo tendrá que abarcar diversos frentes, desde las aplicaciones para usuario finales (como un navegador web) hasta la BIOS de las placas base.

Por otro lado, se ha descubierto otra variante de Meltdown etiquetada como Variante 3A (Variant 3A) bajo el apodo de Rogue System Register Read. Permite a los atacantes con acceso local utilizar análisis de canal lateral para leer datos sensibles y otros parámetros del sistema. Recordamos que Meltdown ha afectado a pocos procesadores que no son de Intel, destacando aquí los dispositivos iOS, aunque está por ver si los productos móviles de Apple están también afectados por la Variatne 3A.

El parcheo de Speculative Store Bypass tendrá un impacto en el rendimiento según ha informado Intel en su comunicado oficial, que podría ir entre el 2 y el 8 por ciento. A esto hay sumar la pérdida ya provocada por la solución contra Meltdown. Muchas empresa posiblemente vean cómo sus sistemas pierden rendimiento, y viendo la actual situación, posiblemente muchos esperen al lanzamiento de procesadores que estén asegurados contra Meltdown y Spectre para renovar sus equipos informáticos.

Sobre otros fabricantes, ARM ha dicho que la variante 4 de Spectre solo impacta a un pequeño número de núcleos Cortex-A y que será mitigada con una actualización de firmware, mientras que AMD ha publicado un documento diciendo a sus usuarios que dejen la corrección inhabilitada debido a lo difícil que resulta realizar el ataque Speculative Store Bypass de forma exitosa, algo a lo que se suma el anuncio de la colaboración con Microsoft y los distribuidores de Linux para la creación de parches.

Fuente: The Hacker News y The Next Web

por Eduardo Medina Tue, 22 May 2018 10:18:46 +0000

Protege los datos de tu dispositivo iOS siguiendo estos 7 consejos

El caso de San Bernardino ha sido una fuente, al menos de cara a algunos perfiles de usuario, de buena publicidad para Apple, ya que la compañía ha podido dar una imagen de proteger fuertemente la privacidad. Aprovechando la ocasión, también hizo hincapié en que “los usuarios no son el producto” cuando se destapó el escándalo de Cambridge Analytica, que dejó la imagen de Facebook bastante tocada.

Sin embargo, la buena imagen que tiene Apple a nivel de privacidad puede terminar haciendo que sus usuarios se confíen. Una buena privacidad no solo la ofrece el producto o servicio en sí, sino que esta tiene que ser reforzada por buenas prácticas por parte del usuario final. En MuySeguridad nos hacemos eco de las recomendaciones de Malwarebytes sobre cómo proteger los dispositivos iOS (con especial mención a los iPhones).

Utilizar una una frase de contraseña larga

La mayoría de los usuarios de iOS utilizan un PIN de 4 dígitos, aunque posiblemente sería mejor utilizar uno de 6 para reforzar la protección de los datos. Además de esto, se puede establecer un bloqueo definitivo si se falla un número de intentos, algo que puede venir muy bien en casos de robo o de intentos de acceso indebido.

El problema de utilizar un PIN de 4 dígitos es que solo hay 10.000 combinacionales posibles, por lo que en 10 intentos un atacante tendría un 0,1% de posibilidades de acertar. Aunque no es un porcentaje elevado, se trata de una probabilidad relativamente alta para este tipo situaciones, así que sería mejor utilizar un PIN de 6 dígitos para bajarlo. Pero aquí no solo hay que tener en cuenta la configuración del sistema operativo, ya que a lo largo del tiempo han aparecido dispositivos capaces de averiguar pines saltándose los límites de intentos, debido a que se han aprovechado de vulnerabilidades de hardware o software, como el dispositivo GrayKey.

Por eso es muy recomendable no usar el PIN y utilizar en su lugar una contraseña compuesta por una frase larga y alfanumérica. Además de letras y números, también sería recomendable utilizar caracteres especiales para dar más fuerza a la contraseña. En iOS, la contraseña se establece mediante Ajustes > Touch ID y código. Como alternativa, se puede utilizar Touch ID y Face ID para reconocimiento biométrico, pero estos son cuestionados por muchos debido a que Face ID muestra carencias y la huella digital puede ser replicada de la forma más sencilla posible al estar en el dispositivo tocado por el usaurio.

Reforzar la cuenta de Apple ID con una autenticación en dos factores

La autenticación en dos factores es algo que en MuySeguridad recomendamos encarecidamente para reforzar, al menos, las principales cuentas que manejan los usuarios e incluso los propios gestores de contraseñas, herramientas cuya utilización sería muy recomendable en caso de utilizar una gran cantidad de cuentas a lo largo y ancho de Internet, algo muy común en estos tiempos a pesar de que muchos sitios web soportan el acceso mediante otros servicios como Facebook y Google.

La cuenta de Apple ID está vinculada a cada dispositivo de Apple que utilice el mismo usuario, por lo que reforzar su seguridad con la autenticación en dos factores resulta crítico para evitar, en lo máximo posible, problemas derivados de acceso no autorizados a los datos.

Mantener actualizado todo el software

No tener al día el software es un gran riesgo para el usuario. En su momento se descubrió que WannaCry se aprovechó de una vulnerabilidad en el protocolo SMB que estaba parcheada en Windows, pero muchos mantenedores de sistemas no aplicaron el parche con diligencia, permitiendo así que la campaña tras el malware tuviera mucho éxito.

Tener actualizados tanto las aplicaciones como el sistema operativo resulta critico para obtener la máxima protección, debido a que las vulnerabilidades no parcheadas son algo que los atacantes aprovechan con frecuencia. Sin embargo, ni eso otorga la invencibilidad, ya que por ejemplo GrayKey explota vulnerabilidades y problemas de seguridad aún desconocidos. Obviamente, Apple combate para averiguar los orígenes de las cosas que permiten la ejecución de GrayKey, pero mientras tanto los usuarios seguirán desprotegidos contra esta herramienta.

A esto hay que sumar que cada vez que Apple parchea una vulnerabilidad publica información en sus notas de lanzamiento, proporcionando así información a los atacantes para que puedan ir contra sistemas sin actualizar.

Utilizar un servicio de VPN en las Wi-Fi públicas

Las Wi-Fi públicas son todo un peligro para los usuarios. El hecho de que las transmisiones no estén cifradas y utilicen canales no confiables se convierte en toda una tentación para los hackers, que suelen estar pendientes para poder hacerse con datos comprometedores, mejor si les pueden reportar ingresos de forma directa, como la autentiación para acceder a las cuentas bancarias.

Es mejor tirar de la tarifa plana de datos antes que conectarse a una Wi-Fi pública, pero en caso de que eso no pueda ser posible, lo recomendable es utilizar un servicio de VPN que se encargue de cifrar los datos transmitidos y así evitar que caigan en menos de los ciberdelincuentes.

Sin embargo, no cualquier servicio de VPN vale, ya que muchos en realidad no son confiables, y en caso de ser gratuito, el usuario tiene muchas opciones de ser el verdadero producto, por lo que su privacidad puede terminar comprometida igualmente. Además de elegir un buen servicio de VPN, es importante asegurarse de que su compatibilidad con iOS es buena.

Parece que WPA3 ofrecerá una solución para reforzar la seguridad de las Wi-Fi públicas, pero mientras esta versión del protocolo no esté extendida, lo recomendable es tomar precauciones en el orden que hemos expuesto: primero tirar de la tarifa plana de datos y si no se puede, usar un servicio de VPN confiable.

Usar cifrado adicional

Utilizar un gestor de contraseñas puede ser una buena idea para reforzar la seguridad de las contraseñas. Además de la protección ofrecida por el dispositivo o la cuenta de iCloud, también hay que contar con la caja fuerte del gestor de contraseñas, por lo que se añade una barrera más a la hora de proteger las credenciales del usuario.

En nuestro especial sobre qué es un gestor de contraseñas se pueden ver las soluciones más populares en ese segmento, aunque aquí es importante también tener en cuenta la compatibilidad con iOS. Por otro lado, la aplicación Notas permite crear notas cifradas que pueden ser protegidas con contraseñas, recomendándose usar una contraseña distinta por cada nota. Otra cosa recomendable sería utilizar cifrado en los respaldos de los dispositivos alojados en iTunes con una contraseña única.

Comprobar periódicamente los ajustes de privacidad

En los dispositivos móviles las aplicaciones piden una gran cantidad de permisos para poder acceder a los datos a alojados, al micrófono, la localización y las cámaras. Sería recomendable de vez en cuando supervisar la sección de Privacidad en los Ajustes de iOS para ver si se le ha concedido a alguna aplicación un permiso que en realidad no necesita, como por ejemplo revocar a una aplicación de red social el acceso a las fotos almacenadas.

Estar atento a las estafas

Como ya dijimos al principio, que el iPhone tenga buena reputación en materia de privacidad no vuelve invencible de por sí, y si el usuario no tiene cuidado con los lugares en los que se mete, igualmente puede llevarse un buen disgusto.

Una cosa de la que hay que estar pendientes son las estafas, que pueden llegar mediante llamadas o mensajes de remitentes desconocidos. Obviamente, en esas situaciones sobra decir que lo mejor es cortar la comunicación cuanto antes y no enviar ningún tipo de mensaje o dato, más si son sensibles. También es importante estar atentos a los enlaces que llegan a través de los mensajes. En caso de que el emisor no sea una persona de confianza, lo mejor es no hacer clic sobre él, ya que podría ser una estafa que podría llevar al robo de datos, sobre todo dirigiendo al usuario a sitios web de phishing.

Una buena práctica aquí sería, en lugar de pulsar sobre los enlaces, abrir el navegador web que se esté usando iOS, escribir la URL del sitio web y luego navegar hasta donde se ha indicado en el mensaje recibido.

La seguridad es algo que siempre depende del usuario

Aunque haya muchas herramientas que ayudan en aspectos como la privacidad y la seguridad, las buenas prácticas por parte del usuario siguen siendo una parte fundamental para garantizar la confidencialidad de los datos.

iOS podrá ofrecer un buen marco para proteger la privacidad, pero si el usuario es descuidado de poco servirá eso, cosa que ya se vio en el caso de las cuentas de iCloud de los famosos que fueron comprometidas en 2014.

por Eduardo Medina Mon, 21 May 2018 15:25:13 +0000

Google elimina el lema Don't Be Evil de su código de conducta

La trayectoria de Google es considerada por muchos usuarios cada vez más oscura. El gigante de Mountain View ha decidido eliminar su conocido Don’t Be Evil de su código de conducta, un lema no oficial que su momento fue utilizado sobre todo para definir el comportamiento de la compañía con respecto a sus propios usuarios. Este movimiento se ha convertido en otro paso más de una posible caída “al lado oscuro” por parte de Google.

Sin embargo, la eliminación del Don’t Be Evil es solo otro paso de los muchos que ha dado el gigante de Mountain View hacia una dirección que para muchos es poco ética. Por ejemplo, cuando adquirió DoubleClick en 2007, Sergey Brin, cofundador de Google, dijo que la privacidad era “la prioridad número uno cuando se contemplara nuevos tipos de productos relacionados con la publicidad”. Esto quería decir que la base de datos masiva de registros de DoubleClick se mantenía separada por defectos de nombres y otra información personal, pero esto cambió en verano de 2016, cuando Google eliminó de forma silenciosa dicha política, quitando así la barrera que separaba ambas cosas y diciendo que los hábitos de navegación pueden combinarse con lo que la compañía obtenía de Gmail y otros servicios. Como defensa esgrimió que aquello fue una actualización para ajustarse a la revolución de los smartphones.

La mayoría de los servicios de Google son ofrecidos de forma gratuita, y de alguna forma la compañía tiene que generar ingresos. Para ello se apoya, como no podía ser de otra forma, en el despliegue de publicidad, y las campañas de publicidad son más efectivas si se adaptan a los gustos e intereses del usuario, por lo que ahí la recopilación de datos juega un papel esencial. Aquí se suma un tratamiento de los datos que no siempre es todo lo transparente que debería y la presunta connivencia con agencias gubernamentales. Por otro lado, está Project Maven, un programa militar de inteligencia artificial y aprendizaje automático impulsado por el Departamento de Defensa de Estados Unidos que ha provocado una auténtica rebelión en Google, con 4.000 empleados exigiendo la retirada de la compañía de ese tipo de proyectos.

Por lo que se puede ver, el Don’t Be Evil de Google hace tiempo que está, cuanto menos, distorsionado, y aquí no hemos entrado en el abuso de posición dominante de la compañía en el mercado de los buscadores, que domina de forma casi total desde hace más de una década. Viendo las actuales políticas y ciertos proyectos de la empresa, es obvio que a día de hoy el lema por el que se dio a conocer no se sostiene del todo.

Fuentes: AllGov y MuyComputer

por Eduardo Medina Mon, 21 May 2018 10:02:29 +0000

Dos vulnerabilidades zero-day permiten atacar Windows mediante Adobe Reader

Además de Flash, otro producto de Adobe que generalmente se encuentra instalado en los ordenadores es Adobe Reader, el conocido lector de documentos. Hace poco los investigadores de ESET descubrieron dos vulnerabilidades zero-day, una en la mencionada aplicación y otra en el sistema operativo Windows, que combinadas puede terminar siendo un arma peligrosa en manos de los atacantes.

La vulnerabilidad que afecta a Adobe Reader (CVE-2018-4990) es una ejecución de código en remoto, mientras que la de Windows (CVE-2018-8120) es una escalada de privilegios que se ejecuta en el espacio del kernel. Esto abre la puerta a ejecutar código arbitrario con altos privilegios sobre un sistema vulnerable, sin que se requiera de un elevado nivel del interacción por parte del usuario. Las Ameanzas Persistentes Avanzadas suelen apoyarse bastante en este tipo de combinaciones para llevar a cabo campañas que llegan a tener un gran impacto.

Para explotarlas solo se necesita de un fichero PDF malicioso con JavaScript embebido, aunque este también tiene que saltarse un mecanismo de aislamiento (sandbox) incorporado en Adobe Reader llamado Protected Mode. Esta medida de protección dificulta la explotación de vulnerabilidad en la propia aplicación, y la forma más efectiva de saltársela es apoyándose en otro fallo de seguridad localizando en el sistema operativo que está ejecutando Adobe Reader.

Nada más abrir el PDF malicioso, el JavaScript que contiene entra en ejecución para manipular el objeto Button1, que contiene una imagen JPEG2000 específicamente diseñada para explotar las dos vulnerabilidades. Los atacantes han implementado técnicas de pulverización para corromper las estructuras internas de datos y así poder leer y escribir en el acceso a la memoria. Luego los atacantes localizan la dirección de memoria en la que se encuentra en plugin Escrip.api, que es el motor de JavaScript propio de Adobe Reader. El JavaScript malicioso establece una cadena de instrucciones de ensamblaje que podría llevar a la ejecución código de shell nativo.

La vulnerabilidad de Windows es utilizada para romper el aislamiento de Adobe Reader. Concretamente, se encuentra en la función NtUserSetImeInfoEx de win32k, que es un componte del kernel de Windows. Lo que hay que hacer para llevar a cabo el ataque es que la subrutina SetImeInfoEx de NtUserSetImeInfoEx no valide ningún puntero de datos, permitiendo así punteros de desreferencia NULL. Por lo tanto mapeando una página NULL y estableciendo un puntero a offset 0x2C, un atacante puede apoyarse en la vulnerabilidad para escribir en una dirección de memoria arbitraria en el espacio del kernel. Sin embargo, es importante tener en cuenta que desde Windows 8 los usuarios no pueden mapear una página NULL.

La lista de productos afectados es la siguiente:

  • Acrobat DC (versión 2018.011.20038 y anteriores)
  • Acrobat Reader DC (versión 2018.011.20038 y anteriores)
  • Acrobat 2017 (versión 011.30079 y anteriores)
  • Acrobat Reader DC 2017 (versión 2017.011.30079 y anteriores)
  • Acrobat DC (Classic 2015) (versión 2015.006.30417 y anteriores)
  • Acrobat Reader DC (Classic 2015) versión (2015.006.30417 y anteriores)
  • Windows 7 para 32-bit Service Pack 1
  • Windows 7 para x64 Systems Service Pack 1
  • Windows Server 2008 para 32-bit Service Pack 2
  • Windows Server 2008 para sistemas basados en Itanium Service Pack 2
  • Windows Server 2008 para x64 Service Pack 2
  • Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
por Eduardo Medina Fri, 18 May 2018 15:00:39 +0000

Falsas aplicaciones de Fortnite para Android intentan generar ingresos con mineros y publicidad

Fortnite es el videojuego de moda. La creación de Epic Games ha conseguido una gran notoriedad en consolas y PC. Después se anunció su salto a móviles, aunque de momento solo está disponible para iOS, por lo que los usuarios de Android tienen la miel en los labios y eso es lo que están aprovechando algunos actores maliciosos.

Spyware dentro en falsas aplicaciones de Fortnite

Según los investigadores de Zscaler, personas malintencionadas están distribuyendo falsas aplicaciones de Fortnite aprovechando la gran popularidad del juego, una situación muy parecida a la ocurrida hace tiempo con Super Mario Run y Pokémon Go. En una entrada en su blog oficial, los investigadores avisan de que “los usuarios de tendrían que ser conscientes de que los autores de malware están buscando explotar el deseo de jugar Fortnite en Android. Pedimos a los usuarios descargar juegos solo de fuentes legitimadas y autorizadas, como la Play Store.”

Falsa aplicación de Fortnite para Android

Una de las falsificaciones de Fortnite encontradas es en realidad un spyware que se dedica a recolectar registros de llamadas entrantes, saliente y perdidas, además de los contactos que hay registrados en el dispositivo Android. Además, el mismo malware es capaz de realizar llamadas. Una de las acciones que realiza es la de pedir acceso a los servicios de accesibilidad para poder realizar ciertas operaciones sin interacción del usuario, que son las siguientes:

  • Acceder a la cámara y tomar fotografías.
  • Limpiar los datos del dispositivo.
  • Acceder a las cuentas habilitadas.
  • Leer las teclas pulsadas en el teclado táctil.
  • Acceder al explorador de ficheros.
  • Grabar audio.

Uno de los posibles motivos de por qué tiene la capacidad de borrar ficheros podría ser porque el spyware crea una carpeta llamada “files” (ficheros) dentro del subdirectorio de instalación. Ahí es donde almacena todo lo que va recopilando del dispositivo. De momento no se ha encontrado ningún mecanismo que comunique con un servidor de mando y control, lo que da a entender que se trata de un software en desarrollo.

Mineros maliciosos distribuidos con una falsa aplicación de Fortnite

En un incidente separado, los mismos investigadores de Zscaler también han descubierto otra falsa aplicación de Fortnite que es en realidad un minero malicioso. Como suele ser habitual en estos casos, la criptodisiva minada es Monero mediante la biblioteca de JavaScript Coinhive. Tras ser instalada y entrar en ejecución, el usuario podrá notar una disminución en el rendimiento derivado del consumo de CPU y GPU provocado por el minero.

Por otro lado, se ha detectado en la Play Store de Google una aplicación que dice ayudar a los jugadores de Frotnite a ganar V-Bucks (la divisa oficial del juego) de forma gratuita, sin embargo, esta es en realidad una estafa. Lo que hace en realidad es engañar al usuario en todo momento, pidiendo 5 estrellas para su valoración y mostrando hasta comentarios procedentes de la Play Store, que muy posiblemente hayan sido publicados por los propios actores maliciosos. Tras completar todos los pasos requeridos, el usuario verá que no recibe los V-Bucks solicitados, pero sí haga generado ingresos al desarrollador de la aplicación mediante anuncios indeseados.

Los distintos malware están vinculados a falsos dominios que hacen referencia a un instalador APK de una falsa versión de Fortnite. En caso de instalarla, el usuario no verá el juego, sino el despliegue de publicidad y peticiones de instalación de aplicaciones no deseadas que generan ingresos a los actores maliciosos.

¿Ves algo relacionado con Fortnite instalado en tu smartphone Android? En caso afirmativo, posiblemente estés infectado por un malware. Como remedio se puede ir a la sección Accesibilidad e inhabilitar el acceso a la aplicación maliciosa, además de desinstalarla. Como alternativa se puede restablecer los parámetros de fábrica del dispositivos para así eliminar todo rastro de malware.

Dominio del APK de la aplicación falsa de Fortnite para Android

por Eduardo Medina Fri, 18 May 2018 09:37:05 +0000

Las principales operadoras de Estados Unidos están vendiendo datos de localización en tiempo real

Las cuatro mayores operadoras de Estados Unidos están vendiendo datos en tiempo real de la localización a una compañía que la mayoría de los ciudadanos, incluso los del propio país norteamericano, desconocen.

Un senador envió la semana pasada una carta pidiendo la Comisión Federal de Comunicaciones (FCC) que investigue por qué Securus, una empresa de tecnología para prisiones, puede realizar un seguimiento de cualquier smartphone en tan solo unos segundos utilizando datos obtenidos de las principales operadoras de Estados Unidos, entre las que se encuentran AT&T, Verizon, T-Mobile y Sprint, mediante un intermediario llamado LocationSmart.

El asunto se ha destapado tras conocerse un caso de un sheriff de la policía que husmeó los datos de localización de un teléfono sin autorización judicial. Tras ser puesto ante un juez por su presunto delito de vigilancia ilegal, se declaró inocente. El escándalo es bastante grave, ya que no se sabe con exactitud cómo está obteniendo LocationSmart los datos de localización de millones de ciudadanos residentes en Estados Unidos, algo que en teoría requeriría del consentimiento de los mismo usuarios finales, así que también queda por averiguar cómo obtuvo ese consentimiento, si es que alguna vez lo pidió.

Al parecer, las compañías de telecomunicaciones estarían abusando de una legislación mal hecha, ya que según Kevin Bankston, director en Open Technology Insistute de New America, la Ley de Privacidad Sobre la Comunicaciones Electrónicas restringe cómo las empresas de telecomunicaciones pueden divulgar datos al gobierno, pero no restringe la divulgación entre compañías privadas, que luego podrían hacer lo mismo con el gobierno. Bankston teme que las empresas terminen argumentando que tienen algún acuerdo que sí cumple la ley.

Sobre LocationSmart, se trata de una empresa de agregación de datos con sede en California. Entre sus “virtudes” dice tener conexión directa con las redes de las operadoras para obtener información en tiempo real de la ubicación de los móviles que estén cerca de torres de telefonía. Aunque esto es menos preciso que el GPS, no consume datos, por lo que no consume batería y ni requiere de la instalación de ninguna aplicación. Además, dice cubrir el 95% de la superficie de Estados Unidos gracias a que tiene acceso a las mayores operadoras de Estados Unidos, con US Cellular, Virgin, Boost y MetroPCS, y de Canadá, con Bell, Rogers y Telus. Luego otras compañías compran los datos recopilados por LocationSmart, como 3Cinteractive, que luego se los suministra a Securus. Lo peor es que LocationSmart no ha dicho nada sobre cómo se asegura de que sus clientes corporativos protegen los datos de localización para evitar abusos y el mal uso.

Tras todo lo dicho, queda por saber cómo ha obtenido LocationSmart el consentimiento de los usuarios finales. Para ello, se ha apoyado en mensajes de textos que fueron enviados una única vez o haciendo que el usuario presionara un botón localizado en una aplicación. También ha comentado que en algunos casos puede obtener un consentimiento “implícito” en caso de que “la naturaleza del servicio implique el uso de la ubicación”, pudiendo servir como ejemplo el hecho de que cuando un coche se queda varado su conductor pide asistencia para ser encontrado. A todo esto se suma una página que permite averiguar la precisión de los datos de localización que LocationSmart recopila, que en los casos reales terminan almacenados en una plataforma en la nube que tendría que ser la encargada de ofrecer privacidad.

Veremos en qué acaba este asunto, pero todo apunta a que traerá cola y que posiblemente genere activismo en favor un cambio en la legislación que ponga más restricciones y más claras sobre los datos que se pueden compartir entre empresas privadas.

Fuente: ZDNet

por Eduardo Medina Thu, 17 May 2018 15:00:00 +0000

Kaspersky Lab traslada parte de su infraestructura central a Suiza

La compañía de ciberseguridad rusa Kaspersky Lab busca mejorar su imagen siendo más transparente. Para ello, ha tomado la decisión de trasladar algunos de sus procesos centrales de Rusia a Suiza, abarcando el almacenamiento y procesamiento de los datos de los clientes de la mayoría de las regiones y la construcción del software, incluyendo aquí las actualizaciones de software para la detección de amenazas. Todos estos movimientos entran dentro de la Iniciativa Global de Transparencia, anunciada en octubre de 2017 con la intención de mantener la integridad y la fiabilidad de los productos de Kaspersky Lab.

Las medidas tomadas en los últimos tiempos van centradas en el desarrollo de la iniciativa mencionada en el párrafo anterior, mostrando así un compromiso para afrontar desafíos como la creciente fragmentación de la industria y la pérdida de confianza, siendo lo último mencionado algo muy importante en el campo de la ciberseguridad y que se tiene que reforzar con más transparencia. Además de la reubicación de la construcción de software y el almacenamiento y procesamiento de datos, Kaspersky Lab abrirá en la ciudad suiza de Zúrich su primer Centro de Transparencia.

El Centro de Datos de Zúrich almacenará los datos de los clientes de Europa, Nortaemérica, Singapur, Australia, Japón y Corea del Sur, aunque se espera añadir más países en el futuro. Por otro lado, la compañía recuerda que esos datos fueron compartidos voluntariamente por sus usuarios mediante Kaspersky Security Network (KSN). Sobre las herramientas de construcción de software, más concretamente, se refiere al “kit de compilación”. Kaspersky Lab espera antes de que acabe el presente año compilar y firmar sus productos y sus actualizaciones con una firma digital en Suiza antes de su distribución por todo el mundo. De esta manera, se asegura que el software pueda ser verificado por una organización independiente, pudiendo comprobarse que lo recibido por los clientes coincide con lo proporcionado por la auditoría.

En el Centro de Transparencia estará el código fuente de los productos y las actualizaciones de Kaspersky Lab, la intención con este movimiento es ofrecer un mayor nivel de transparencia y proteger mejor a los clientes de las ciberamenazas. Tanto el procesamiento de los datos como el código fuente estarán supervisados por un tercero independiente, que consistirá en la creación de una organización sin ánimo de lucro al que también podrán unirse otros socios y miembros. Los que quieran conocer toda la información sobre el programa de transprencia de Kaspersky Lab pueden consultar la correspondiente página web.

por Eduardo Medina Thu, 17 May 2018 09:12:52 +0000

Descubren una vulnerabilidad en el cliente de DHCP de Red Hat

Linux es un sistema operativo con fama de ser seguro, sin embargo, esto no quiere decir que sea invencible y es más, muchos de sus usuarios terminan sobreestimando la seguridad que ofrece, ya que a pesar de no utilizar un usuario con privilegios de administración por defecto (cosa que sí suele pasar en Windows), el malware sí tiene la posibilidad de poder atacar los ficheros personales en caso de que el usuario haga doble clic sobre sobre un fichero malicioso.

El día de ayer se descubrió una vulnerabilidad en el cliente DHCP de los sistemas operativos basados en tecnologías de Red Hat, abarcando Fedora, RHEL, CentOS y Scientific Linux. La vulnerabilidad (CVE-2018-1111) podía permitir a los atacantes ejecutar órdenes arbitrarias con privilegios de root (administrador) sobre el sistema objetivo.

Cada vez que el sistema operativo se une a una red, el cliente de DHCP se encarga de que el sistema reciba automáticamente los parámetros de configuración, destacando la IP y los servidores DNS. En caso de usar una red cableada, el usuario verá que tras conectar el cable ya tiene acceso a Internet en sistemas operativos como Windows, macOS y el propio Linux, esto es debido a que DHCP configura automáticamente los parámetros de la red. Lo mismo pasa con las redes Wi-Fi, aunque en la mayoría de estas hay que introducir antes la clave de acceso, pero luego el resto del proceso es básicamente el mismo.

El fallo de seguridad hallado en Red Hat reside en el script de integración de NetworkManager (el servicio de red estándar de Linux) dentro de los paquetes del cliente DHCP, que es configurado para obtener la configuración de la red utilizando el protocolo DHCP. El investigador Felix Wilhelm, de Google, descubrió que atacantes que hagan uso de un servidor DHCP malicioso o que estén conectados en la misma red que la víctima pueden explotar la vulnerabilidad mediante respuestas de DHCP falsificadas, abriendo así la posibilidad de ejecutar órdenes arbitrarias con privilegios de administrador sobre el sistema de la víctima. Por su parte, el investigador turco Barkın Kılıç ha mostrado una prueba de concepto que cabe en un tweet.

Red Hat, la compañía, ha confirmado en un aviso de seguridad la existencia de la vulnerabilidad y que impacta en RHEL 6 y 7, recomendando a sus clientes (aunque esto se puede extender a los usuarios de CentOS y Scientific Linux) que actualicen el paquete del cliente de DHCP nada más estar disponible la actualización con el parche. Las versiones de Fedora con soporte ya han recibido el paquete dhcp-client actualizado.

Fuente: The Hacker News

por Eduardo Medina Wed, 16 May 2018 15:00:26 +0000

Los datos de 3 millones de usuarios de Facebook quedaron expuestos en Internet

¿Se puede poner aún más en duda la privacidad ofrecida por Facebook? Después de toda la tormenta generada por el escándalo de Cambridge Analytica, una investigación llevada a cabo por New Scientist muestra que una aplicación desarrollada en la Universidad de Cambridge ha terminado por exponer los datos privados de tres millones de usuarios.

La aplicación, que era vendida como un test psicológico, se llamaba myPersonality y estuvo enviando datos personales como la edad, el sexo, la localización, el estado de las actualizaciones y otros resultados a investigadores de otras universidades y de distintas compañías, entre las que se encuentran Google, Microsoft, Yahoo y la propia Facebook, que accedían a lo recopilado mediante un sitio web compartido. Lo peor fue que unos estudiantes, después de subir código a GitHub (cosa normal en los entornos universitarios), acabaron filtrando, posiblemente sin querer, el usuario y la contraseña para acceder al sitio web compartido, por lo que dicha credencial se podía obtener con tan solo realizar una búsqueda en Internet.

Según New Scientist, myPersonality no ha sido simplemente un proyecto académico, sino que ha sido utilizado por investigadores de compañías comerciales que han accedido a los datos recopilados, aunque se les imponían estrictos procedimientos de protección de datos y el compromiso de no generar dinero directamente con ellos. Facebook suspendió la aplicación el 7 de abril, además de haber borrado de forma permanente la plataforma que dependía de los resultados de la red social. Por otro lado, los creadores de myPersonality dijeron también haberla suspendido semanas atrás debido a que la aplicación violaba las políticas de Facebook, mientras que la Universidad de Cambridge ha dicho que avisó a la Oficina del Comisario de la Información.

El escándalo de Cambridge Analytica ha obligado a Facebook a reforzar sus políticas en torno a la privacidad, por lo que además de las acciones tomadas por el caso de myPersonality, también ha anunciado la suspensión de 200 aplicaciones como parte de su investigación sobre creaciones que han accedido a grandes cantidad de información sobre sus usuarios.

por Eduardo Medina Wed, 16 May 2018 10:36:59 +0000