Noticias

Puntos de acceso de exteriores 802.11ac para entornos de alta densidad en exteriores

Canal PDA - Lun, 15/09/2014 - 12:10
Diode, a través de su División de Comunicaciones, ha anunciado la nueva serie Ruckus ZoneFlex T300 de puntos de acceso 802.11ac para exteriores de Ruckus Wireless. Las unidades T300 son modelos 802.11ac de banda dual diseñados para entornos de alta densidad en exteriores, ya que soportan hasta quinientos usuarios simultáneos por punto de acceso y […]
Categorías: PDA / PPC

Mensajes más interesantes de la semana (08 - 14 Septiembre)

PDA Expertos - Lun, 15/09/2014 - 07:00
El resumen semanal de los mejores posts en el Foro de PDAExpertos.com
Categorías: PDA / PPC

Vulnerabilidades descubiertas en ProjectDox

Hispasec - Dom, 14/09/2014 - 19:55
Se han descubierto cuatro vulnerabilidades en ProjectDox de Avolve Software, reportadas por CAaNES (Computational Analysis and Network Enterprise Solutions). Estas vulnerabilidades permitirían a un atacante remoto ejecutar código arbitrario, saltarse restricciones de seguridad y obtener información sensible de usuarios.
ProjecDox es un software de colaboración que permite a los miembros de un equipo de trabajo acceder a un sitio centralizado, para encontrar la última información y los cambios realizados a un proyecto. Esta herramienta ofrece servicios como compartir archivos, cambiar notificaciones, foros de discusión, solicitudes de información, historial y seguimiento de proyectos y colaboración.
La primera vulnerabilidad, con identificador CVE-2014-5129, en la cual un atacante remoto aprovechándose de una vulnerabilidad Cross-site scripting (XSS) podría ejecutar código JavaScript malicioso en el navegador del usuario.
La siguiente vulnerabilidad, con CVE-2014-5130, podría permitir a un atacante remoto conseguir acceso no autorizado a información sensible de otros usuarios mediante la inspección de "tokens" de acceso.
La tercera vulnerabilidad, con CVE-2014-5131, en la cual un atacante remoto, podría también tener acceso a información sensible de otros usuarios aprovechándose de determinados errores al cifrar identificadores de datos en múltiples localizaciones.
Por último, tenemos el CVE-2014-5132, en el que un atacante remoto podría comprobar si un usuario determinado está registrado en la plataforma, información que podría luego ser utilizada para futuros ataques.
Esta vulnerabilidad se ha reportado en la versión ProjectDox 8.1. A fecha de hoy no existe ninguna solución oficial a estas vulnerabilidades, se recomienda actualizar a versiones superiores.
Más información:
ProjectDoxhttp://www.avolvesoftware.com/
Avolve Software ProjectDox Multiple Vulnerability Disclosurehttp://archives.neohapsis.com/archives/bugtraq/2014-09/0045.html

Juan Sánchezjasanchez@hispasec.com


Categorías: Seguridad

Publicada la sexta píldora formativa del proyecto Thoth ¿Ciframos, codificamos o encriptamos?

Hispasec - Sáb, 13/09/2014 - 15:50
Se ha publicado el sexto vídeo de las píldoras formativas en seguridad de la información Thoth de Criptored con el título ¿Ciframos, codificamos o encriptamos?
Aunque el estudio de la criptografía puede llegar a ser tan amplio y complejo como se desee, y que en algunas ocasiones es menester utilizar avanzados conceptos de matemáticas y algorítmica para su análisis, lo cierto es que con algunas nociones básicas como las que se irán entregando en estas píldoras, no nos resultará tan difícil tener una idea general de su funcionamiento, de su importancia, de sus fortalezas y de sus debilidades.
Acceso directo a la píldora 6 en Youtube: https://www.youtube.com/watch?v=77BrG2vRKss

También puede acceder al vídeo, documentación en pdf y al podcast en mp3 de esta sexta píldora, así como todas las anteriores, desde la página web del proyecto Thoth:http://www.criptored.upm.es/thoth/index.php

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los tres minutos), muy didácticos y sobre temas muy específicos.
Página web del proyecto Thoth: http://www.criptored.upm.es/thoth/index.php
En la web del proyecto Thoth encontrarás la documentación de esta píldora así como los enlaces a los vídeos y a la documentación de las píldoras anteriores: http://www.criptored.upm.es/thoth/index.php
La próxima píldora formativa lleva por título ¿Qué son los postulados de Kerckhoffs?

Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth
Categorías: Seguridad

Cómo vender cinco millones de bragas desechables

Hispasec - Vie, 12/09/2014 - 21:30
Hace unos días un usuario bajo el nick 'tvskit' publicó una entrada en un foro ruso sobre Bitcoin, la moneda virtual. El título de la entrada venía a decir: "GMail, cambia la contraseña". En ella adjuntaba un archivo de texto con casi 5 millones de credenciales de cuentas de correos. Nombre de usuario y contraseñas en texto plano, nada de hashes.
Al poco, uno de los administradores del foro editó el archivo borrando las contraseñas, dejando solo los nombres de usuario. De esta forma evitaban posibles problemas legales y a su vez permitía que todo aquel que quisiera pudiese bajar el archivo para consultar si alguna de sus cuentas estaba allí.
La gran mayoría de cuentas pertenecen al dominio de gmail.com. El resto a yandex.ru y una a mail.ru. Curiosamente, estos dos últimos dominios habían sido objeto de una filtración similar hace pocos días y de una magnitud (millones) semejante.
Hubo medios que se apresuraron a publicar la noticia dejando en el aire la posibilidad de que los servidores de GMail pudiesen haber sido objeto de un ataque. Google no esperó mucho para despejar la incógnita. A través de una entrada en el blog de "Google Online Security" (escrito a ocho manos…), explicaron que ellos ya detectan activamente este tipo de filtraciones y que tan solo el 2% de las cuentas estaban completamente operativas y eran accesibles. Sin embargo otras fuentes elevan esa tasa al menos al 60% de las cuentas.
¿Entonces no hubo ataque?
No hay motivos que indiquen que haya sido una brecha. Si observamos el archivo todas las credenciales aparecen en texto plano, es habitual que las filtraciones de credenciales tengan la forma de usuario/hash, por supuesto si el sitio atacado no almacena las contraseñas en texto plano, que los hay. A veces también es común que parte de los hashes más comunes hayan sido previamente pareados, no es el caso.
Este tipo de filtraciones son comunes. Solo basta hacer una búsqueda en determinados sitios y salen cientos de cuentas. Esto ha llegado a los titulares por el grueso del archivo y a quien le salpica: Google.
Si tuviésemos que dar una explicación del origen y la causa de la filtración probablemente apuntaríamos al mercado negro. Un archivo así, "fresco", vale un buen montón de dinero. Por fresco nos referimos a la validez de las cuentas. Si tienes un archivo con un millón de cuentas de hace varios años la gran mayoría de cuentas o habrán cambiado credenciales o habrán sido abandonadas por sus usuarios. Eso no vale nada.
Al igual que los círculos en el tronco de un árbol indican su edad, la validez de un grupo amplio de cuentas tomadas al azar del archivo podrían indicar su antigüedad. En este caso más de la mitad, puede que más, podrían no ser válidas. Es bastante probable que el archivo fuese perdiendo valor hasta que alguno de sus propietarios lo dejase caer en un foro privado.
Hace unos días hablábamos de políticas de contraseñas. Otro dato que indica la edad de ésta información (desde que se creó o empezaron a añadir cuentas) es observar como algunas contraseñas ya no podrían ser aceptadas cuando se crea una nueva cuenta, fruto de la evolución o endurecimiento de las reglas del sitio para crearlas.
¿De donde salen esas cuentas?
Phishing y troyanos por supuesto. Es la manera más fácil, masiva y sencilla para robar cuentas. No tienes que atacar servidores ni trabajar sobre los hashes, basta con un phishing o un troyano efectivo para que poco a poco el archivo de credenciales robadas crezca.
Evidentemente cinco millones de cuentas no es el fruto de un par de meses recolectando. Ese archivo, probablemente, comenzó hace años a recibir entradas. Incluso es posible que su origen sea la concatenación de otros muchos archivos más pequeños.
¿Para que se usan las cuentas?
Imagina que tienes una tienda online que vende ropa interior desechable con estampaciones inspiradas en la escuela pictórica de Düsseldorf y con sabor a delicados quinotos de temprano abril. Las ventas no han marchado muy bien últimamente, así que decides recolectar direcciones de correo y enviar publicidad de tu tienda en un acto de silenciosa desesperación, lo que vulgarmente se llama: "espamear".
Mientras martilleas acompasadamente los dedos de una mano sobre el mostrador y recargas compulsivamente la pestaña de ventas que tienes abierta en el navegador con la otra, te das cuenta de un pequeño detalle que habías pasado por alto: el casitodopoderoso y omnipresente filtro de spam de GMail.
Suspiras y piensas en que una forma sencilla de saltarte el filtro de GMail sería disponer de las credenciales y enviar el correo desde la misma cuenta. Sencillo, ¿verdad?
Ese es solo uno de los motivos por los que estas listas valen un dinero. Hay algunos más.
Echemos un vistazo al interior de 5.000.000 de credenciales
En el departamento de auditorías de Hispasec nos interesa este tipo de archivos (no, no vamos a vender ropa interior desechable) con un motivo distinto. Cuando observamos un archivo con credenciales filtrado procesamos la información realizando un análisis estadístico y desechamos el archivo original borrándolo.
Nos interesa ese análisis de datos por el elemento práctico. Así, si un cliente nos pide como pueden crear contraseñas robustas, les respondemos como no crear contraseñas débiles.  Igualmente en los test de penetración son sumamente útiles para crear ataques híbridos sobre sistemas de autenticación una vez que enumeramos cuentas en esos sistemas, es otra historia. El caso es que es útil observar como se comporta el usuario en su conjunto cuando se trata de elegir una opción de entre muchas, averiguar el patrón o por lo menos acercarte.
El archivo contiene un total de 4.926.178 credenciales, 3.120.155 si lo convertimos en un conjunto de elementos únicos.
Sin sorpresa, las diez contraseñas más repetidas coinciden prácticamente con otras filtraciones analizadas anteriormente:   Contraseña Repeticiones 123456 48003 password 11593 123456789 11162 12345 8119 qwerty 5925 12345678 5253 111111 3524 abc123 3016 123123 2990 1234567 2915

La longitud de las contraseñas tampoco depara sorpresas salvo grupos de contraseñas con 1, 2 y 3 caracteres o un pico de 2512 credenciales con hasta 32 caracteres. ¿Hashes en md5? Si, como este: b2a07ce4eb01e6cbcae28142934cdd2f cuyo par o argumento de la función era la cadena: arch1tects. ¿Entonces hay hashes? Si, pero ¿Qué impide usar un hash como contraseña? Huevo o gallina no sabremos que paso con esa entrada y otras similares.
Al igual que en anteriores análisis el 8 se lleva el primer galardón. También curiosa la predilección por números pares, ¿Nos acercamos a la singularidad?:


Ahora veamos el porcentaje de composición de la cadena. Qué caracteres son letras mayúsculas, minúsculas, cifras o símbolos especiales. Otra característica: ausencia de mayúsculas. Da la impresión de que hubieran pasado el archivo por un filtro para neutralizar las mayúsculas, curioso.
Composición Porcentaje minúsculas y números (42.55%) minúsculas (40.05%) solo números (15.74%) minúsculas, símbolos y números (0.8%) minúsculas y símbolos (0.52%) símbolos y números (0.09%) solo símbolos (0.01%)

Dejamos las cifras aquí. Para este análisis rápido hemos usado Pipal, disponible aquí:
https://github.com/digininja/pipalProgramada en Ruby por Robin Wood, conocido por Digininja. Hemos pasado los datos a nuestro matemático para que nos devuelva algo con lo que podamos masticar, pero este vistazo rápido nos muestra lo poco que evolucionamos en concepto de elección de contraseñas.
¿Cómo puedo asegurar mi cuenta?
Cambia tu contraseña si ha pasado mucho tiempo, elige una contraseña segura y aprovecha todas las funcionalidades de seguridad que te ofrece el sitio: doble factor autenticación, etc.
¿Cómo puedo saber si mi cuenta está en ese archivo?
Existen muchos servicios por Internet donde puedes consultar esta duda, sin embargo cuidado, el hecho de meter una cuenta de correo en uno de estos sistemas podría conllevar el riesgo de que tu cuenta pase a engrosar una lista de spam. Si nos pides recomendación hemos usado varias veces el que administra Troy Hunt: https://haveibeenpwned.com
Otra manera de conocer si tu cuenta ha sido filtrada es notar un aumento de spam en la bandeja de entrada ¿Has recibido publicidad no deseada sobre ropa interior con sabor?
Más información:
Гмайл - меняй парольhttps://forum.btcsec.com/index.php?/topic/9426-gmail-meniai-parol/
Cleaning up after password dumpshttp://googleonlinesecurity.blogspot.com.es/2014/09/cleaning-up-after-password-dumps.html
Не отставая от «Яндекса» и Mail.ru: В Сеть выложены пароли от 5 миллионов ящиков GMailhttp://www.cnews.ru/top/2014/09/10/ne_otstavaya_ot_yandeksa_i_mailru_v_set_vylozheny_paroli_ot_5_millionov_yashhikov_gmail_585540  David Garcíadgarcia@hispasec.comTwitter: @dgn1729



Categorías: Seguridad

G&D y Verimatrix muestran la solución DRM de TV de pago móvil para smartphones

Canal PDA - Vie, 12/09/2014 - 17:56
En la Feria IBC 2014 que se celebrará del 12 al 16 de septiembre en Ámsterdam, Giesecke & Devrient (G&D), uno de los principales proveedores de soluciones móviles seguras e integrales, y Verimatrix, el especialista en fortalecer y mejorar los ingresos de servicios de TV digital multi-pantalla y multi-red en todo el mundo, expondrán una […]
Categorías: PDA / PPC

Llega a España, en exclusiva con Orange, la tablet LG G PAD 8.0 4G

Canal PDA - Vie, 12/09/2014 - 17:49
LG presenta, en exclusiva para Orange, la versión del G Pad 8.0 con conectividad 4G. Este avanzado dispositivo, que facilita el consumo de contenidos multimedia en movilidad, estará disponible con Orange a partir de hoy.Esta tablet se podrá adquirir, sin bloqueo SIM, como todos los terminales y sin estar asociada a una tarifa o un […]
Categorías: PDA / PPC

Los valencianos podrán acceder al transporte público con Vodafone Wallet

Canal PDA - Vie, 12/09/2014 - 17:41
Durante el mes de Octubre se irán incorporando los primeros clientes al servicio del transporte en Valencia y en su área metropolitana utilizando su móvil con la aplicación Vodafone Wallet. Los viajeros podrán acceder a los servicios de transportes de Valencia y de su área metropolitana: autobuses urbanos e interurbanos, metro, tranvía, y bicicleta con […]
Categorías: PDA / PPC

Yahoo News Digest para iPad ya está aquí, ¡con Katie Couric incluida!

Canal PDA - Vie, 12/09/2014 - 14:12
El pasado mes de enero, lanzamos Yahoo News Digest, una aplicación que combina el poder de la tecnología con el poder del periodismo para ofrecerte las noticias directamente en tu móvil dos veces al día. Hoy presentamos la versión para iPad de esta galardonada aplicación con nuevas funcionalidades que te permiten profundizar en las noticias.Hemos […]
Categorías: PDA / PPC

Surface Pro 3 se convierte en un tres en uno gracias a su nueva Docking Station

Canal PDA - Vie, 12/09/2014 - 14:05
Microsoft anuncia hoy la disponibilidad de la nueva Docking Station para Surface Pro 3 en 28 mercados, entre ellos el español. El nuevo accesorio permite convertir Surface Pro 3 en un ordenador de sobremesa con un simple gesto. De esta forma, la nueva Docking Station transforma el dispositivo de Microsoft en un potente tres en […]
Categorías: PDA / PPC

Actualización de seguridad para Google Chrome

Hispasec - Jue, 11/09/2014 - 23:30
Apenas dos semanas después de publicar la versión 37 del navegador Chrome, Google ha publicado un boletín de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) que se actualiza a la versión 37.0.2062.120 para corregir cuatro nuevas vulnerabilidades. Esta versión también incluye una versión actualizada de Flash Player. 
Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado cuatro vulnerabilidades, se facilita información de dos de ellas.
Se corrigen un fallo por uso de memoria después de liberar en la representación (CVE-2014-3178). También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-3179).
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 2.000 dólares en recompensas a los descubridores de los problemas.
Más información:
una-al-dia (26/08/2014) Google publica Chrome 37 y corrige 50 vulnerabilidadeshttp://unaaldia.hispasec.com/2014/08/google-publica-chrome-37-y-corrige-50.html
Stable Channel Updatehttp://googlechromereleases.blogspot.com.es/2014/09/stable-channel-update_9.html  
Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

WhatsApp podría alcanzar los 2.000 o 3.000 millones de usuarios, según el consejero delegado de Facebook

Canal PDA - Jue, 11/09/2014 - 17:49
Mark Zuckerberg considera que WhatsApp puede alcanzar entre 2.000 y 3.000 millones de usuarios en cuanto pase a formar parte de Facebook. Así lo recoge The Wall Street Journal. En su intervención durante un acto en México organizado por la Fundación Telmex de Carlos Slim, el consejero delegado de Facebook ha afirmado que WhatsApp seguirá […]
Categorías: PDA / PPC

Presidente de American Express: “a los monederos en el móvil aún les queda mucho por demostrar”

Canal PDA - Jue, 11/09/2014 - 17:35
Josh Silverman presidente de productos y servicios de consumo de American Express, opina que los intentos de interesar a los consumidores en los monederos para el móvil han fracasado hasta ahora. “Hablando de monederos en general, ya hace algún tiempo que los hay en el mercado, pero su adopción ha sido bastante modesta. Y creo […]
Categorías: PDA / PPC

Qualcomm presenta un chip 3G/4G chip para smartphones de menos de 100 dólares

Canal PDA - Jue, 11/09/2014 - 15:20
Qualcomm ha anunciado el lanzamiento de un procesador multimodo 3G/4G destinado al segmento de los smartphones básicos, en rápido crecimiento. Cristiano Amon, copresidente y vicepresidente ejecutivo de Qualcomm, espera que el nuevo procesador, denominado Snapdragon 210, permita a los fabricantes de equipos ofrecer smartphones de menos de 100 euros y asegura que se trata del […]
Categorías: PDA / PPC

Alianza entre AT&T y Telefónica para pruebas piloto de hogar conectado

Canal PDA - Jue, 11/09/2014 - 14:58
AT&T ha informado de que Telefónica llevará a cabo en Europa una “prueba limitada” de su sistema Digital Life de domótica y seguridad para el hogar. Según la operadora estadounidense, la operación considte en que Telefónica podrá “ofrecer a los usuarios participantes en la prueba una plataforma inalámbrica de domótica que se gestiona mediante un […]
Categorías: PDA / PPC

El iPhone 6 beneficiará a la industria del transporte aéreo

Canal PDA - Jue, 11/09/2014 - 12:24
El lanzamiento del nuevo iPhone 6 por parte de Apple no será sólo una bendición para las empresas implicadas directamente, como los fabricantes de chips, pantallas de alta resolución y accesorios. También se espera que proporcione un fuerte empujón al mercado internacional del transporte aéreo de mercancías, que últimamente anda de capa caída. Según IATA, […]
Categorías: PDA / PPC

Actualización para Adobe Flash Player

Hispasec - Mié, 10/09/2014 - 23:30
Adobe ha publicado un boletín de seguridad que soluciona 12 vulnerabilidades que afectan al popular reproductor Flash. Los problemas podrían permitir a un atacante ejecutar código y eludir restricciones de seguridad.
Las vulnerabilidades afectan a las versiones de Adobe Flash Player 14.0.0.179 (y anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.400 (y anteriores) para Linux.
La mayoría de las vulnerabilidades que se corrigen en este boletín (APSB14-21) permitirían la ejecución de código arbitrario aprovechando los siguientes fallos de seguridad:
  • Múltiples problemas que podrían causar una corrupción de la memoria, a los que se han asignado los siguientes identificadores: CVE-2014-0547, CVE-2014-0549, CVE-2014-0550, CVE-2014-0551, CVE-2014-0552 y CVE-2014-0555.
        
  • Dos errores de desbordamiento de memoria (CVE-2014-0556 y CVE-2014-0559).
        
  • El uso de objetos después de liberar memoria con el identificador CVE-2014-0553.


Otras vulnerabilidades podrían permitir eludir restricciones de seguridad (CVE-2014-0554), eludir políticas de mismo origen (CVE-2014-0548), y evitar la aleatorización de la dirección de memoria (CVE-2014-0557).
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, disponibles para su descarga desde la página oficial:
  • Adobe Flash Player 15.0.0.152 para Windows y Macintosh.
  • Adobe Flash Player 11.2.202.406 para Linux.


Igualmente se han publicado actualizaciones de Flash Player para Internet Explorer y Chrome.
Más información:
APSB14-21: Security updates available for Adobe Flash Playerhttp://helpx.adobe.com/security/products/flash-player/apsb14-21.html


Juan José Ruiz
jruiz@hispasec.com
Categorías: Seguridad

Los pagos móviles Visa llegan a iPhone 6, iPhone 6 Plus y Apple Watch

Canal PDA - Mié, 10/09/2014 - 11:57
“Apple es una pieza fundamental del puzle de los pagos móviles”, Steve Perry, Digital Chief Officer, Visa EuropeVisa ha confirmado que dará soporte a los pagos con iPhone 6, iPhone 6 Plus y el Apple Watch. Las entidades financieras estadounidenses y, más adelante, de otros países podrán añadir las tarjetas de débito y de crédito […]
Categorías: PDA / PPC

Apple presenta nuevos iPhones, un reloj y un servicio de pagos

Canal PDA - Mié, 10/09/2014 - 10:45
Apple presentó este martes el iPhone 6, la esperada nueva generación del iPhone. que llega -tal como se esperaba- acompañada por un hermano mayor. Pero eso no es todo: la firma desveló también el reloj Apple Watch, y un nuevo servicio de pagos con el que espera sustituir los billeteros, gracias a la adopción de […]
Categorías: PDA / PPC

MasterCard acelera la integración de pagos móviles en Europa y facilita su total implantación para 2020

Canal PDA - Mié, 10/09/2014 - 08:01
MasterCard ha anunciado hoy que está estableciendo el estándar para la aceptación de los pagos sin contacto para los comercios que aceptan MasterCard y Maestro en Europa. La compañía ha asegurado que los consumidores podrán pagar con sus tarjetas contactless y dispositivos NFC en todos los puntos de venta habilitados en Europa para el año […]
Categorías: PDA / PPC
Distribuir contenido