Bytecoders Linux, Asterisk, PPC y otros gadgets

El resumen semanal de los mejores posts en el Foro de PDAExpertos.com

Breve resumen de las novedades producidas durante el mes de abril de 2013 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS EN LA RED TEMATICA CRIPTORED EN EL MES DE ABRIL DE 2013 1.1. Papel de la explosión combinacional en ataques de fuerza bruta (Viviana López Ballesteros, Network Security Team S.A.S., Barranquilla, Colombia) http://www.criptored.upm.es/guiateoria/gt_m906a.htm 1.2. IP versión 6 (Parte 01) - Sus componentes (Alejandro Corletti, DarFE, España) http://www.criptored.upm.es/guiateoria/gt_m292t1.htm 1.3. IP versión 6 (Parte 02) - Direccionamiento (Alejandro Corletti, DarFE, España) http://www.criptored.upm.es/guiateoria/gt_m292t2.htm 1.4. Curso Privacidad y Protección de Comunicaciones Digitales MOOC Crypt4you, Lección 0: Introducción al curso. Problemática en la privacidad de comunicaciones digitales (Alfonso Muñoz UPM y Jorge Ramió UC3M, España) http://www.criptored.upm.es/crypt4you/temas/privacidad-proteccion/leccion0/leccion0.html 1.5. Curso Privacidad y Protección de Comunicaciones Digitales MOOC Crypt4you, Lección 1: Introducción al cifrado de la información. Herramienta GPG y OpenSSL (Eloi Sanfelix, Limited Entropy, España) http://www.criptored.upm.es/crypt4you/temas/privacidad-proteccion/leccion1/leccion1.html 1.6. Curso Privacidad y Protección de Comunicaciones Digitales MOOC Crypt4you, Lección 2: Cifrado de discos: proteger tu privacidad de forma sencilla y efectiva (Román Ramírez, Ferrovial, Rooted CON , España) http://www.criptored.upm.es/crypt4you/temas/privacidad-proteccion/leccion2/leccion2.html 1.7. Vídeo conferencia Ciberdelincuencia: situación actual y evolución en ciclo UPM TASSI 2013 (Oscar de la Cruz, Grupo de Delitos Telemáticos Guardia Civil, España) http://www.youtube.com/watch?v=aL571dPWChY
2. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE ABRIL DE 2013 2.1. Recursos para Conscientização em Segurança da Informação (Marcelo Lau,  Data Security, Brasil) http://www.datasecurity.com.br/index.php/conscientizacao 2.2. ¿Cómo desarrollar aplicaciones más seguras? (Julio César Ardita y Marcelo Stock, CYBSEC, Argentina, SEGURINFO Buenos Aires 2013) http://www.cybsec.com/upload/Segurinfo2013_Seg_Desarrollo_Software_Ardita_Stock.pdf 2.3. MOBILE APPS Testing en el nuevo mundo (Gustavo Sorondo, CYBSEC, Argentina, SEGURINFO Buenos Aires 2013) http://www.cybsec.com/upload/SEGURINFO_AR2013_Mobile_Apps.pdf 2.4. Workshop Seguridad en entornos virtuales (Iván Daniel Fiedoruk, CYBSEC, Argentina, SEGURINFO Buenos Aires 2013) http://www.cybsec.com/upload/Segurinfo_AR2013_Workshop_Seguridad_en_entornos_virtuales.pdf 2.5. Todas las presentaciones de SEGURINGO Argentina 2013, Argentina http://archivos.usuaria.org.ar/segurinfo2013/argentina/agendasgar13.html 2.6. La estrategia en seguridad de la información. Entendiendo permanentemente la inseguridad de la información (Jeimy Cano, Blog IT-Insecurity, Colombia) http://insecurityit.blogspot.com.es/2013/04/la-estrategia-en-seguridad-de-la.html 2.7. Newsletter de la revista Red Seguridad del mes de abril de 2013 (España) http://www.redseguridad.com/newsletter/preview/8465/45/0/seguridad/Seguridad 2.8. Presentaciones de ponentes de la Rooted CON 2013 (varios autores, España) http://www.rootedcon.es/index.php/presentaciones-de-rooted-con-2013-disponibles/ 2.9. Veintitrés ejercicios prácticos de seguridad (ENISA, Europa) http://www.enisa.europa.eu/activities/cert/support/exercise http://www.enisa.europa.eu/activities/activities/cert/background/cert-exercise-video
3. VII CONGRESO CIBSI Y II TALLER TIBETS PANAMA OCTUBRE 2013 32 trabajos recibidos para CIBSI: 12 de España, 5 de México, 5 de Argentina, 4 de Colombia, 2 de Portugal, 1 de Bolivia, 1 de Panamá, 1 de Cuba y 1 de Venezuela. 11 trabajos recibidos para TIBETS: 4 de Argentina, 2 de Colombia, 1 de España, 1 de Brasil, 1 de México, 1 de Uruguay y 1 de Honduras. Web: http://www.cibsi.utp.ac.pa/ Twitter: https://twitter.com/utpCIBSI
4. RELACION CRONOLOGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS DESTACADAS 4.01. Mayo 8 de 2013: Conferencia Del disco flexible a la nube: pasado, presente y futuro de la informática forense, IX Ciclo de Conferencias UPM TASSI (Madrid - España) 4.02. Mayo 22 de 2013: Conferencia Mundo hacking, IX Ciclo de Conferencias UPM TASSI (Madrid - España) 4.03. Junio 3 al 7 de 2013: 7th IFIP International Conference on Trust Management (Málaga - España) 4.04. Junio 18 de 2013: Third International Workshop on Information Systems Security Engineering (Valencia - España) 4.05. Junio 19 al 21 de 2013: XIII Jornadas Nacionales de Seguridad Informática (Bogotá - Colombia) 4.06. Julio 3 al 7 de 2013: Tenth International Workshop on Security In Information Systems WOSIS-2013 (Angers - Francia) 4.07. Julio 10 al 12 de 2013: XIX Jornadas sobre la Enseñanza Universitaria de la Informática JENUI 2013 (Castellón de la Plana - España) 4.08. Julio 10 al 12 de 2013: XI Conferencia Internacional Privacy, Security and Trust PST 2013 (Tarragona - España) 4.09. Agosto 12 al 16 de 2013: Primer Congreso Internacional de Seguridad Informática CSI 2013 (Pereira - Colombia) 4.10. Septiembre 12 al 13 de 2013: 8th International Workshop on Data Privacy Management (Royal Holloway - Reino Unido) 4.11. Septiembre 16 al 18 de 2013: 8th International Workshop on Critical Information Infrastructures Security (Amsterdam - Holanda) 4.12. Octubre 29 al 31 de 2013: VII Congreso Iberoamericano de Seguridad Informática CIBSI 2013 (Ciudad de Panamá - Panamá) 4.13. Octubre 29 al 31 de 2013: II segundo Taller Iberoamericano de Enseñanza e Innovación Educativa en SI TIBETS 2013 (Ciudad de Panamá - Panamá) Más información en: http://www.criptored.upm.es/paginas/eventos.htm#Congresos
5. FUE TAMBIEN NOTICIA EN LA RED TEMATICA EN EL MES DE ABRIL DE 2013 5.01. Quinta Sesión Anual Abierta de la Agencia Española de Protección de Datos en  Madrid (España) 5.02. Conferencia Gobernando la seguridad hacia los objetivos corporativos de D. Antonio Ramos, Director ISACA Madrid en el ciclo UPM TASSI (España) 5.03. Dos entradas gratuitas a la VI Jornada de Seguridad en la Industria Financiera para miembros de Criptored (Argentina) 5.04. Tercer y último CFP para CIBSI y TIBETS con deadline ampliado hasta el martes 30 de abril de 2013 (Panamá) 5.05. Conferencia Seguridad en sistemas: explotando vulnerabilidades de D. Alejandro Ramos, editor de Security by Default, en el ciclo UPM TASSI (España) 5.06. Nuevo curso gratuito de Privacidad y Protección de Comunicaciones Digitales en el MOOC Crypt4you (España) 5.07. CFP para la octava edición del Data Privacy Management DPM 2013 en colaboración con ESORICS 2013 (Reino Unido) 5.08. Llamada a la participación en la V Encuesta Latinoamericana de Seguridad Informática (Colombia, Uruguay, Argentina, Perú) 5.09. OWASP busca estudiantes para trabajo de verano en proyectos de seguridad Google Summer of Code (España) 5.10. Curso de Peritaje Informático el 8 mayo de 2013 ofrecido por ISACA Capítulo Madrid (España) 5.11. Primer Congreso Internacional de Seguridad Informática CSI 2013 en Pereira (Colombia) 5.12. Curso de Auditoría del Control y Gestión de la Seguridad el 20 de mayo, ISACA Madrid (España) 5.13. Curso Definición, Implantación y Evaluación de un Plan de Continuidad de Negocio el 11 y 12 de junio,  ISACA Madrid (España) Acceso al contenido de estas noticias: http://www.criptored.upm.es/paginas/historico2013.htm#abr13
6. OTROS DATOS DE INTERES Y ESTADISTICAS DE LA RED TEMATICA 6.1. Número actual de miembros en la red: 933 http://www.criptored.upm.es/paginas/particulares.htm 6.2. Estadísticas Criptored: 48.200 visitas, con 148.874 páginas solicitadas y 53,36 Gigabytes servidos en abril de 2013, descargándose 27.902 archivos zip o pdf http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html Redes sociales: 181 seguidores en facebook y 1.622 seguidores en twitter 6.3. Estadísticas Intypedia: 11.746 reproducciones de vídeos en abril de 2013 http://www.criptored.upm.es/paginas/intypediamensual.htm#estadisticasyoutubeacumuladas Redes sociales: 1.340 seguidores en facebook y 904 seguidores en twitter 6.4. Estadísticas Crypt4you: 18.656 accesos en abril de 2013 http://www.criptored.upm.es/paginas/crypt4youmensual.htm#abril2013 Redes sociales: 739 seguidores en facebook y 458 seguidores en twitter


Jorge Ramió Aguirre Director de Criptored twitter: http://twitter.com/#!/criptored

Microsoft ha proporcionado un adelanto de los boletines de seguridad que se van a publicar el próximo día 14 de mayo. Un total de diez boletines que cubrirán 33 vulnerabilidades, dos de ellos tendrán un carácter crítico y los ocho restantes están marcados como importantes. Los dos boletines críticos corrigen fallos de seguridad que podrían permitir la ejecución de código arbitrario en Internet Explorer y Windows en general. Los ocho marcados como importantes afectan a Office, .NET, Windows y Server and Tools.
En este paquete se espera corregir el grave problema de seguridad que actualmente sufre Internet Explorer 8. La semana pasada Microsoft publicó un aviso de seguridad donde advertía a sus usuarios de la existencia de una vulnerabilidad 0-day en la versión 8 de Internet Explorer. El fallo puede ser explotado en cualquier versión del sistema operativo Windows que tenga instalado el navegador, desde XP hasta 2008 en todas sus versiones y arquitecturas. Ha sido descubierto mientras estaba siendo aprovechado por atacantes.
Aunque recientemente se ha publicado un FixIt, aún no existía parche. Parece que le ha dado tiempo a preparar una solución que será distribuida el martes.
Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.
Hispasec Sistemas informará puntualmente sobre los nuevos parches a través de este servicio de noticias, dando una información más detallada sobre los boletines de actualización de Microsoft.
Más información:
Microsoft publica aviso de seguridad sobre nuevo 0-day en Internet Explorer 8 http://unaaldia.hispasec.com/2013/05/microsoft-publica-aviso-de-seguridad.html
Microsoft Security Bulletin Advance Notification for April 2013 http://technet.microsoft.com/en-us/security/bulletin/ms13-apr


Laboratorio Hispasec laboratorio@hispasec.com

Un supuesto perfil de El Corte Inglés en Twitter ha estado varias horas de este viernes publicando mensajes sarcásticos sobre el derrumbe y posterior incendio de unos talleres de confección textil en Dacca (Bangladesh), que han dejado más de 1.000 muertos. Los tuits en cuestión ironizaban sobre el precio de los productos en la cadena [...]

En fase de pruebas pero ya activo. El nuevo servicio de canales de pago en Youtube es ya una realidad después de meses de trabajo con este nuevo servicio. Google acaba de anunciar que ya están disponibles hasta 53 nuevos canales de pago con un precio que parten de los 99 céntimos de dolar hasta los 4,99 dólares, precio que cada creador de canal puede modificar a su gusto. Google se queda con un 45% de los ingresos.

De momento está activo en 10 países entre los que

Waze, esa aplicación gratuita soportada por dispositivos iOS, Android, Windows Mobile, Symbian y Blackberry, que se hizo más que popular especialmente en EEUU cuando Google retiró de la Apple Store su aplicación Maps, y que la propia de los de Apple dejaba mucho que desear.

Aplicación que ya cuenta con más de 30 millones de usuarios activos, y que es donde erradica su éxito, ya que la interacción y reporte de sus usuarios es la baza de su funcionamiento.

En los últimos días ha sido noticia la detección de un "potencial malware" en la App Store. Se supone que esto quiere decir que un juego legítimo podría ser un malware o tener un comportamiento malicioso en un momento dado. Esta definición, aunque extraña, esconde una serie de hechos interesantes.
En resumen, la situación era la siguiente. Un juego llamado "Simply Find It", muy reputado en la AppStore, fue detectado por el antivirus BitDefender para iOS como Trojan.JS.iframe.BKD. Otros antivirus para iOS, no sospechaban de ella. Se continuó explorando la aplicación y se encontró que el fichero de audio Payload/SpotDiffHD.app/day.mp3 contenía la referencia
iframe src=http://x.asom.cn
en su interior. Por lo que en realidad, la aplicación solo contenía un enlace a una URL históricamente conocida por repartir malware intentando infectar a los navegadores que la visitaban. La URL se encuentra desactivada desde hace tiempo y además se le conoce por alojar malware para Windows. ¿Qué hacía ahí esa URL, en una aplicación para iOS reputada y reconocida que, además, no hacía daño real al teléfono?
Preguntar a Apple, como de costumbre, no servía de mucho. Su oscurantismo en los métodos de "filtrado" en la AppStore es absoluto, y ni ellos ni el responsable del juego arrojaron luz en el asunto. Solo se podía especular sobre que el archivo mp3 sí que estaba o había estado infectado de alguna forma, pero no había sido analizado por Apple por no considerarse "ejecutable".
Especulaciones y conclusiones
Poco más se puede decir sobre esta "anécdota". El juego no representa amenaza alguna para los usuarios de iOS, y aunque se activase de nuevo la URL, puede que nunca lo sea. Pero hay más especulaciones y conclusiones que se pueden sacar.
La primera puede estar relacionada una vez más con los motores antivirus y sus detecciones. La voz de alarma la lanza un antivirus "demasiado" sensible. Esto es el mayor enemigo de los motores y en la que se juegan su reputación. Una tasa aceptable de falsos positivos es difícil de establecer, pero lo cierto es que los antivirus prefieren "dejar pasar" a que "deje de funcionar", o sea, una tasa de falsos positivos lo más baja posible, aun a costa de que se cuele malware. Pero, ¿se trata este caso concreto de un falso positivo? En realidad es posible que el fichero mp3 se encontrara alojado en un momento dado en un Windows infectado y se le incrustaran metadatos de alguna URL maliciosa. Una situación muy parecida se dio en 2008 con los plugins de Firefox (a un fichero HTML de una extensión se le añadió JavaScript malicioso durante el tiempo que se alojó en un Windows). Bitdefender avisó de que, al menos, algo raro había pasado, lo que puede ser correcto, pero desde luego para un usuario no técnico, la alerta no queda clara y puede provocar más confusión que beneficio. Esta lucha entre la simplificación para el usuario, la detección eficaz, y mantener a raya los falsos positivos, es el pan de cada día para la mayoría de casas antivirus... y dudamos de que ninguna haya encontrado la solución deseada aún.
Otra conclusión es la que venimos advirtiendo desde hace muchos años, por ejemplo, en esta una-al-día de 2008: "Hoy goodware, mañana no sé". En un modelo interconectado, el concepto de malware es difícil de definir, no en sus acciones (que pueden estar más o menos claras) sino en el tiempo. No es que se haya encontrado un "potencial malware" en la AppStore, es que cualquier aplicación cuya lógica se traslade al servidor puede cambiar su comportamiento en el sistema y ser goodware hoy, pero no sabemos cómo ni qué hará mañana. "La nube", la lógica en remoto, llegó al malware antes que a los titulares de los blogs. Con esto los creadores consiguen despistar a los analistas. Solo se activan ante eventos concretos, y desplazan el payload a una dirección URL o secuencias de comandos que esperan a través de cualquier protocolo. El archivo en sí puede ser de lo más inocente, excepto cuando recibe un estímulo adecuado. Si a esto unimos que para ahorrar recursos, tanto los laboratorios o motores en local no suelen analizar dos veces una muestra a menos que su hash, ubicación, etc. haya cambiado, tenemos que un malware puede pasar desapercibido mucho tiempo si tiene la paciencia necesaria... y precisamente paciencia y tiempo es de lo que disponen los creadores de malware profesional y dirigido (conocidos como APT) tipo FinFisher y otros que aún desconocemos. Si aguardas pacientemente a enviar los estímulos adecuados a tu muestra, puede que quede olvidada y catalogada como "inocente" durante un largo periodo.
En resumen, el malware "potencial" sí que existe, y en él caben infinidad de definiciones. En el caso concreto del juego para iOS, parece que ni siquiera podría llegar a ser técnicamente una amenaza, por lo que no resulta precisamente paradigmático para definir el gran problema, real, que sufren las casas hoy en día para catalogar el malware. Pero sí es un "aviso" perfecto de cómo, en un futuro, es más que probable que alguien consiga eludir el filtro del AppStore distribuyendo una aplicación inocente... pero solo "en principio".
Más información:
Hoy goodware, mañana no sé http://unaaldia.hispasec.com/2008/05/goodware-manana-no-se.html
What’s a known source of malware doing in an iOS app? Ars investigates http://arstechnica.com/security/2013/05/whats-a-known-source-of-malware-doing-in-an-ios-app-ars-investigates/
Un plugin de Firefox infectado con adware es distribuido desde el sitio oficial http://unaaldia.hispasec.com/2008/05/un-plugin-de-firefox-infectado-con.html
iOS app contains potential malware http://www.macworld.com/article/2037099/ios-app-contains-potential-malware.html

Sergio de los Santos ssantos@hispasec.com Twitter: @ssantosv

Como un oso que hiberna permanentemente en su agujero. Así era yo hasta hace año y poco. Tuve que pasar por el taller, una intervención sin más riesgo ni importancia pero eso sí, fruto de una vida opípara y sedentaria. También me tuve que poner en manos de un endocrinólogo por problemas tiroideos, algo que no deseo a nadie. A partir de ahora serás un enfermo crónico, sentenciaba tan pancho el señor de la bata blanca, evidenciando que eso no iba con él tanto como la paga extra que no cobraría esas navidades.

Tengo que cambiar de vida. No vale con hacer terapia y desengancharme de la Nutella. Hay que cambiar los hábitos. Es algo que me repetía a menudo, especialmente después de fumar ese eterno último cigarrillo, o al finalizar la definitiva

Un informe elaborado por IHS iSuppli pone encima la mesa unos datos tarde o temprano tenían que acabar dándose: Se prevé que para 2017 la venta de unidades de almacenamiento SSD suba más de un 600% y se sitúe en los 227 millones de unidades anuales, muy por encima de los 31 millones de 2012.

Y es que este dato no debe extrañar a nadie. Quien ha probado un SSD difícilmente lo convences para que vuelva a usar un disco duro mecánico a no ser que el presupuesto no sea muy

Greg MacManus ha descubierto y publicado un grave fallo de seguridad (CVE-2013-2028) en nginx, cuando se procesan peticiones HTTP "por bloques" (chunked transfer) que puede permitir a un atacante ejecutar código arbitrario.
nginx es un servidor web, open source y desarrollado casi íntegramente en el lenguaje C, lo que le proporciona un alto rendimiento aprovechando al máximo los recursos del sistema. Una prueba de ello es que viene por defecto instalado en algunas distribuciones para Raspberry Pi. También puede realizar la función de servidor Proxy inverso para HTTP, SMTP, POP3 e IMAP.
El error descubierto produce un desbordamiento de memoria intermedia basada en pila que generaría en una denegación de servicio del servidor. Al ser un desbordamiento de memoria, se podría producir una ejecución de código arbitrario en el lado del servidor con los permisos del servidor nginx.
Para solucionar el error se han incluido una comprobación para que el ta tamaño no sea inferior a 0 al realizar esta petición, en el archivo 'src/http/ngx_http_parse.c'
+    if (ctx->size < 0 || ctx->length < 0) { +        goto invalid; +    } +
El fallo se ha descubierto en las versiones 1.3.9 (de noviembre de 2012) y 1.4.0 y corregidos en la 1.5.0 y la 1.4.1 respectivamente.
Como contramedida si no se desea actualizar el servidor por alguna razón, se puede incluir este código en cada uno de los bloques "server" de la configuración:
if ($http_transfer_encoding ~* chunked) {         return 444;     }
que evita que se use el tipo de transferencia por bloques.
Se puede actualizar a las nuevas versiones desde su página de descargas.
Más información:
nginx download http://nginx.org/en/download.html
nginx - patch.2013.chunked http://nginx.org/download/patch.2013.chunked.txt
nginx security advisory (CVE-2013-2028) http://mailman.nginx.org/pipermail/nginx-announce/2013/000112.html


Antonio Sánchez asanchez@hispasec.com

Desde Google nos llega la nueva versión 7.1 de Google Earth para dispositivos basados en Android.

Entre los cambios adoptados están las mejoras en su interfaz, en la cual se añade una barra lateral de navegación por la propia aplicación y una mejor y más avanzada herramienta de búsqueda.

De todos modos, lo interesante y mayor cambio en esta versión 7.1 viene con la incorporación de Street View a Google Earth, dejando

Ésta es una de esas noticias que sacan los colores a las grandes empresas. Está corriendo como la pólvora que un desarrollador ha publicado una extensión para el navegador Chrome que se salta las medidas de seguridad de Spotify para descargar archivos MP3 de este servicio. Y no es del todo correcto, ya que según el mismo desarrollador, este servicio de música en linea carece de medidas de seguridad y en palabras suyas "crear esta extensión ha sido muy fácil".

Parece que en Microsoft han tenido una cura de humildad y últimamente les ha dado por reconocer la evidencia sobre la doble hegemonía existente en el mercado mundial de Tablets, encabezados por Apple y Android, dadas las declaraciones que ayer mismo leíamos salidas de los propios labios de su creador y encontrándonos hoy con la seguridad de que Office 365 será compatible con dispositivos Android.

Recordemos que Office 365 es la versión en la nube de la Suite Ofimática

Se han publicado nuevas versiones de MediaWiki para las ramas 1.20 y 1.19 que corrigen dos fallos de seguridad entre otros bugs. Estos podrían permitir a un atacante realizar ataques cross-site scripting y eludir restricciones de seguridad.
MediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artículos de Wikipedia.
En primer lugar, Jan Schejbalm, de Hatforce, ha descubierto un error en el filtro para ficheros Scalable Vector Graphics (SVG). Este tipo de archivos puede contener código en un lenguaje de scripting (por ejemplo, JavaScript), normalmente para generar animaciones, pero que también podría ser malicioso. Cuando un SVG se sube a MediaWiki, este filtro procesa su código para asegurarse de que no contiene código JavaScript.
Sin embargo, usando la codificación UTF-7 se puede eludir este filtro. MediaWiki aceptará el fichero como válido, y los navegadores interpretarán y ejecutarán el código dentro de ella sin problemas, tratándola como UTF-8. Esto podría dar lugar a ataques cross-site scripting. Se ha probado el problema tanto en Chrome como en Firefox. Aquí puede verse una prueba de concepto:
http://upload.wikimedia.org/wikipedia/test/archive/4/4f/20130415163012!Test-active.svg
La solución ha sido crear una lista blanca de codificaciones aceptadas, ya que después de un estudio, se ha comprobado que casi el 100% de los SVG en WikiMedia Commons tiene codificación utf-8 o iso-8859-1.
La segunda vulnerabilidad, encontrada por Ryan Lane, se debe a la falta de un método consistente para manejar el bloqueo de reseteo de contraseñas a través de las extensiones. Esto puede provocar que en algunos casos se pueda cambiar la contraseña aun habiendo bloqueado esta posibilidad. Si un atacante tuviera acceso al correo de la víctima, podría eludir la autenticación de doble factor.
Se ha asignado los identificadores CVE-2013-2031 y CVE-2013-2032, respectivamente. Las nuevas versiones 1.20.5 (rama actual) y 1.19.6 (LTS) ya incorporan la solución a estas vulnerabilidades. Pueden ser descargadas del sitio oficial de MediaWiki.
Más información:
MediaWiki Release notes https://www.mediawiki.org/wiki/Release_notes/1.20 https://www.mediawiki.org/wiki/Release_notes/1.19
WikiMedia Bugzilla https://bugzilla.wikimedia.org/show_bug.cgi?id=47304 https://bugzilla.wikimedia.org/show_bug.cgi?id=46590

Francisco López flopez@hispasec.com

La empresa Core Security ha publicado dos avisos de seguridad que describen varias vulnerabilidades en cámaras IP de los fabricantes D-Link y Vivotek. Los fallos encontrados son graves, con impacto potencial de ejecución de comandos arbitrarios, acceso a la imagen captada por la cámara en tiempo real y acceso a credenciales, entre otros. Todos son remotamente explotables.
Se han descubierto un total de diez vulnerabilidades graves, que se reparten equitativamente entre ambos fabricantes. Para D-Link, se ha comprobado que a través de simples peticiones HTTP GET se puede acceder a la imagen captada por la cámara, tanto en modo normal como ASCII, que devuelve una imagen que refleja los niveles de luminosidad.

También usando una petición GET se pueden inyectar comandos en el sistema Linux subyacente. La interfaz de administración web filtra aquellos comandos introducidos que contienen espacios. Sin embargo, cuando un comando contiene el carácter &, reemplaza este por un espacio, dejando la puerta abierta a que se introduzcan comandos de la forma 'uname&-a;cat&/etc/passwd'.
Se puede además realizar un salto en el proceso de autenticación en el Real Time Streaming Protocol (RTSP) debido a varios fallos en la implementación. Pero esto no sería necesario, ya que se ha descubierto además que estas cámaras incluyen unas credenciales por defecto que permiten a cualquier persona acceder a la imagen de vídeo captada por la cámara usando cualquier usuario y la cadena '?*' como contraseña.
Las cámaras Vivotek analizadas no salen mejor paradas. En principio, sufren dos escapes de información al hacer peticiones GET. Uno de ellos se localiza en la página que muestra parámetros de configuración. Entre estos parámetros se encuentras credenciales de acceso FTP, SMTP y claves WEP y WPA... que el dispositivo almacena en claro. El segundo escape utiliza un ataque de directorio transversal para acceder al volcado de memoria, donde se pueden encontrar credenciales validas de usuario.
Además, la cámara sufre un desbordamiento de memoria intermedia que puede permitir la ejecución de código arbitrario y un salto de credenciales (similar al de las cámaras D-Link) usando peticiones de DESCRIBE del protocolo RTSP. Por ultimo, se puede inyectar código arbitrario a través del fichero binario farseer.out.
Los modelos y firmwares afectados son varios, y se puede encontrar un lista detallada en las referencias. CORE recomienda no exponer la cámara a la red, y realizar filtrado de tráfico para detectar comunicaciones RTSP y HTTP sospechosas hacia el dispositivo. Sobre la solución a estas vulnerabilidades, mientras que D-Link ya ha puesto a disposición de los usuarios un parche que las soluciona, Vivotek no ha hecho declaraciones y no se ha anunciado solución.
Más información:
Vivotek IP Cameras Multiple Vulnerabilities http://www.coresecurity.com/advisories/vivotek-ip-cameras-multiple-vulnerabilities
D-Link IP Cameras Multiple Vulnerabilities http://www.coresecurity.com/advisories/d-link-ip-cameras-multiple-vulnerabilities#ref1

Francisco López flopez@hispasec.com

El más reciente de los esfuerzos del Partido Popular por negar la unidad lingüística del idioma catalán es el proyecto de Ley de uso, protección y promoción de las lenguas y modalidades lingüísticas propias que se debate esta semana en el Parlamento aragonés, y que pretende denominar LAPAO (Lengua Aragonesa Propia del Área Oriental) al [...]

Viber, aplicación de comunicación VoIP que desde su creación en 2010 ha conseguido la no despreciable cantidad de algo más de 200 millones de usuarios y que en sus inicios tan sólo los usuarios de iPhone podían presumir de poder realizar llamadas y envío de mensajería instantánea de forma gratuita con tan sólo tener una conexión decente de datos.

Hasta hace un par de días, todos los usuarios que contaran con un dispositivo armado

No debe sentar demasiado bien haberse pasado años intentando inventar algo y que llegue otro y se aproveche del camino recorrido para dar a la primera con la piedra filosofal y ponerse a vender los millones de unidades que el primero hubiera querido vender. Llamémosle Tablet PC, UMPC o como queramos, la cuestión es que Microsoft no supo ofrecer lo que el mercado quería enterrando un proyecto tras otro y viendo como el iPad primero y las tabletas basadas en Android después conseguían lo que el equipo

Recuperar el tiempo perdido con los netbook. Éste es el principal objetivo del mayor fabricante de procesadores que dolorosamente ha visto como los últimos años alternativas más potentes y eficientes se han ido posicionando en el mercado de las tabletas y smartphones. Y es que la serie Atom de Intel, omnipresente en los desaparecidos portátiles de bajo coste, nunca llegó a pasar de ahí y si pretendía poder estar presente en las plataformas móviles actuales había de renovarse por completo.

La coreana Samsung presentó ayer oficialmente su última entrega sobre smartphones equipados con Android.

En este caso, se trata del Samsung Galaxy Core, un terminal de gama media equipado con un procesador Dual-Core a 1,2 Ghz., 8 Gb. de memoria interna, 1 Gb de memoria RAM, pantalla de 4,3 pulgadas, cámara de 5 megapíxeles, batería de 1.800 mAh., ...etc.

Así mismo, lo interesante de este dispositivo no son sus