Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Hasta ahora, la versión 2.0 del firmware de la nueva consola portátil de Sony, PSP, no había conseguido ser crackeado, pero un bug existente en el manejo de imágenes lo ha hecho posible. El problema reside concretamente en el visor de imágenes PNG, que puede ser atacado insertando código ejecutable en la imagen provocando el desbordamiento del búfer y permitiendo así la ejecución de código.

Este hecho permite a los usuarios que puedan ejecutar sus propios programas y utilidades en la consola de Sony, así como cualquier otro software que sea adaptado para ser usado en PSP. Como lado más negativo, permitirá la ejecución de juegos piratas en esta consola.

Más información sobre este artículo.

Las entidades bancarias tienen un gran reto por delante ante la sofisticación y tecnología que utilizan los ciberdelincuentes, los cuales cada vez más atacan los sistemas de pago por tarjetas bancarias.

El Vicepresidente de prevención del fraude de Visa y el vicepresidente de seguridad de Mastercard han admitido recientemente que el sector financiero tendrá que gastar mucho dinero en seguridad para garantizar a sus clientes un estándar de seguridad (valga la redundancia).

El responsable de prevención de Visa aporta datos de las autoridades norteamericanas y manifiesta que el número de delitos relacionados con tarjetas de crédito/débito e Internet creció un 24 por ciento en el pasado año, y las pérdidas se triplicaron hasta alcanzar la cifra record de 2.400 millones de dólares.

Afirma también que están invirtiendo en este terreno, pero que los avances de seguridad tardarán en estar operativos y que la mayor preocupación está en las claves de acceso que últimamente son objeto de la mayoría de los ataques de phishing.

El director de la Agencia Española de Protección de datos (AEPD), Jose Luis Piñar,  ha manifestado que el nuevo reglamento que se está elaborando no supondrá un aumento “muy alto” en el coste de las medidas de seguridad en materia de protección de ficheros y almacenamiento de datos de tráfico que las empresas deben aplicar.

Piñar distingue entre medidas técnicas y medidas organizativas y considera que el gasto no será importante en las medidas técnicas como el establecimiento de claves de acceso y control de los ficheros. El principal problema radica en las medidas organizativas que consisten en impedir que las claves de acceso esten disponibles para todos los usuarios.

Asimismo manifestó que en la elaboración del nuevo reglamento se tendrán en cuenta las dudas de los operadores y proveedores de servicios y se le dará la máxima transparencia, solucionando las dudas y problemas que se planteen. Afima que no se trata de una ley fácil y que son conscientes de las demoras que se puedan producir en la elaboración del proyecto.

El objetivo de Microsoft es comercializar un portal destinado a la formación de agentes policiales en temas relacionados con la delincuencia en internet.

Según la empresa de Redmond, el portal incluirá capacitación, consejos y herramientas diseñadas para formar a los agentes en la recopilación de información desde soportes magnéticos, técnicas de identificación de enrutadores y sistematización de datos.

Según responsables de Microsoft el objetivo es crear una guía para la policia y FBI  en la lucha contra la delincuencia en Internet. Microsoft informará a los investigadores sobre la forma de que los gusanos y virus infectan los equipos y la forma en que los spammers dan instrucciones anónimas a las redes zombi para iniciar la distribución masiva de correos electrónicos.

El portal saldrá en noviembre y en una primera fase será en ingles para luego traducirlo a otros idiomas.

¿Servirá realmente para algo? ¿O querrá Microsoft dominar también a la policia?

Está siendo una prática bastante habitual ya la de estafadores que envían cadenas de emails pidiendo una supuesta ayuda para una tragedia. En este caso, se trata del reciente huracán Katrina, que ha azotado fuertemente el sur de Estados Unidos.

Los remitentes de los correos buscan frecuentemente victimas aprovechando la “simpatía” generada por las tragedias, y envían millones de mensajes de spam pidiendo que envíen dinero a una cuenta de un banco particular a través de un enlace a un sitio web dentro del correo.

Muchos de estos fraudes circularon por la red después de los acontecimientos del 11 de Septiembre en Nueva York y tras el Tsunami que azotó las costas de Asia el pasado mes de Diciembre de este año. Estos correos están diseñados para que parezcan reales, por este motivo, los consumidores deberán tomar algunas precauciones cuando hagan donaciones siguiendo estas recomendaciones:

Como reconocer un engaño a través de Internet:

• Si usted no está registrado en una organización que envíe individualmente correos con donaciones específicas, y recibe un correo de este tipo, sin haberlo solicitado, es muy posible que se trate de un engaño.

• No hay que ser engañado por la apariencia y lenguaje del correo, ya que buscan ser lo más realista posible. Además, muchos incluyen trágicas historias de las victimas del desastre.

• No ingrese a las organizaciones a través de los enlaces en el correo. Siempre es mejor entrar manualmente, abriendo primero su navegador preferido, para asegurarnos el acceso a una organización real.

Cómo hacer donaciones reales:

• Mientras que algunos correos pueden ser reales, es muy difícil confirmar si las donaciones llegaron a los afectados del desastre.

• Ingresar manualmente a organizaciones legítimas a través de su explorador web (Nunca seguir enlaces dentro de los correos).

• Siempre hay que seguir las instrucciones del sitio web sobre cómo enviar una donación. Esto asegurará que los fondos llegaron realmente a quien realmente lo necesita y de esta manera realizar una buena acción.

Además, en las próximas semanas, los internautas deberán prestar atención y tomar precauciones acerca de los mensajes que reciban y que contengan fotos de la tragedia incluidas como archivo adjunto.

El archivo probablemente contenga un virus. Por este motivo, siempre recomendamos que los usuarios solo ejecuten adjuntos que estén esperando recibir.

Parte de la información de esta noticia, ha sido facilitada por Eset.

Hace unos días conocíamos la existencia de graves problemas de seguridad en el navegador web Mozilla Firefox, que afectaban a las versiones 1.0.3 y anteriores, y parcialmente a la Suite Mozilla versiones 1.7.7 y anteriores, y que permitían la ejecución de código con elevación de privilegios en el sistema y por otro lado el robo de cookies e información confidencial

Ya se encuentra disponible la nueva versión 1.0.4 que corrige estos problemas, hasta hace unas horas se encontraba disponible en otros idiomas (inglés básicamente) pero ya se ha hecho pública la versión en castellano para España y la versión para Latinoamérica.

Las podeis encontrar en el sitio habitual de descarga de Firefox: http://www.mozilla.org/products/firefox/

Si quereis más información sobre las vulnerabilidades: http://www.mozilla.org/security/announce/mfsa2005-42.html

Nuestro lenguaje intérprete de programación favorito, PHP ( Hypertext Preprocessor, http://www.php.net/ ) acaba de sacar una nueva versión para su rama 5.x, en concreto la versión 5.0.4.

En esta nueva versión se corrigen recientes fallos de seguridad encontrados en las versiones 4.2.2, 4.3.9, 4.3.10 y 5.0.3 (otras versiones probablemente estén afectadas también). No se ha especificado el resultado de un ataque satisfactorio en algunos de estos fallos, en otros se ha comunicado que provocan una denegación de servicio (DoS) al causar un bucle infinito en la CPU.

Se recomienda actualizar a las versiones 4.3.11 o 5.0.4 (según la rama estable que se esté siguiendo): Descargas PHP

Más información:

The PHP Group:
http://www.php.net/release_4_3_11.php

iDEFENSE:
http://www.idefense.com/application/poi/display?id=222&type=vulnerabilities

Según leemos en el New York Times ( http://www.nytimes.com/2005/02/26/national/26data.html ) el Bank of America ha perdido unas cintas con copias de seguridad que contienen los datos de 1.2 millones de trabajadores federales. Esto supone un importante suceso por la inseguridad que genera el hecho de contener datos tan importantes como números de tarjeta bancaria.

Los ataques mediante la técnica de ‘phishing’ están incrementandose a pasos agigantados. Recordamos que el ‘phishing’ tiene como objeto recabar datos confidenciales del cliente; todos los meses se registran unos 3.000 millones de correos fraudulentos en todo el mundo. Según los datos de Anti-Phishing Working Group (APWG), los ataques de este tipo crecieron un 180 por ciento en tan sólo un mes durante 2004.

Ahora ha aparecido la noticia sobre la posibilidad de phishing mediante lel servicio de publicidad de Google, Adsense ( https://google.es/adsense/ ). Esta página, a pesar de estar cifrada mediante SSL (https) que se supone garantiza el cifrado de los datos, sufre de un problema de validación de páginas no existentes. Esto da la oportunidad a cualquiera de inyectar código en la URL que simule una página válida y desviar los datos al servidor de un tercero de una forma trivial.

El usuario atacado apenas notará diferencia y comprobando el certificado de seguridad será completamente válido porque la página en realidad es interpretada por el propio servidor real de Google.

Más información: http://www.infohacking.com/google/index.html

Coincidiendo con las fechas navideñas, y con los típicos mails de navidad que se envían, aparece Zafi.D, un gusano que se difunde mediante el envío masivo de mensajes email y redes de intercambio de archivos P2P. Utiliza mensajes con el aspecto de una felicitación navideña en varios idiomas, que escoge según el dominio de la dirección de correo electrónico.

Busca ficheros de antivirus y software de seguridad conocidos para insertarles parte de código, o bien intenta detener programas de seguridad como cortafuegos y antivirus, y de monitorización, como el Administrador de Tareas o el Editor del Registro de Windows. También puede intentar abrir una puerta trasera en el ordenador infectado.

Para evitar contagios, recomendamos como siempre mantener bien actualizado el antivirus y desconfiar de emails con archivos adjuntos no solicitados.

Pueden ampliar información en http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4554