5 de octubre de 2017

ESPAÑA. Expuestos millones de datos personales de catalanes con derecho a voto

El Gobierno de Cataluña deja al descubierto datos personales de catalanes con derecho a voto y expone a fraude a cinco millones de personas al difundir en Internet los últimos 5 dígitos del DNI y la letra, la fecha de nacimiento, el código postal y el colegio donde votar.
Según han alertado varios expertos, el sistema de cifrado de los datos recopilados en secreto y empleados por las autoridades catalanas para elaborar el censo que iba a permitir el referéndum del 1 de octubre es fácilmente descifrable. El foro especializado Hacker News ha sido el primero en informar de este grave fallo de seguridad.
El protocolo que empleó la Generalitat para burlar la censura del Gobierno recibe el nombre de IPFS y consiste, a grandes rasgos, en una red de acceso distribuido y descentralizado con una única fuente de información. “Es un sistema P2P —entre usuarios— que crea una red social en la que se almacenan archivos sin que haya intermediarios”, explica Antonio Gonzalo, fundador de Ethereum Madrid. “El contenido que se sube a la red es público y cualquiera puede ver el contenido que hay dentro”. En otras palabras: con IPFS, cada usuario descarga la web y se convierte en un servidor y, para que esto funcione, se tiene que poder replicar la web, por lo que se replica la base de datos. Por este motivo, es imprescindible encriptarla.
“El mecanismo de acceso a los ficheros se establece a través de un hash o algoritmo de resumen, que se descifra con un código que funcionaría como una firma digital”, expone Victor Escudero, experto en ciberseguridad. Este código consistía en una sucesión los últimos cinco dígitos del DNI, la letra del NIF, la fecha de nacimiento y el código postal. De esta manera, los ciudadanos catalanes podían consultar el colegio electoral en el que les tocaba votar. El problema está en que estos datos siguen un patrón sencillo y responden a un número limitado de combinaciones—365 días al año, 23 letras posibles en un NIF…— que un ordenador puede ir probando hasta acertar y descifrar casos particulares, en los que recogería estas cuatro variables para asociarlas a un usuario concreto.
Han pasado ya unos cuantos días desde el #1Oct, así que creo que urge el contar esta historia.
— Sergio Lopez (@slp1605) 4 de octubre de 2017
El foro Hacker News ha localizado la vulnerabilidad del procedimiento: el sistema de cifrado de datos empleado por las autoridades catalanas sería fácilmente descifrable sin necesidad de contar con potentes equipos. El profesional informático Sergio López ha probado él mismo esta posible vulnerabilidad empleando datos falsos, y ha comprobado que es real: un usuario avanzado puede obtener de una manera sencilla los datos personales del censo.
“Para sortear el bloqueo de las webs se emplea un sistema que distribuye la web completa y pone la base de datos al descubierto aunque esté cifrada”, explica López a EL PAÍS. Mediante un ataque de “fuerza bruta” y en unas pocas horas, se puede obtener dicha información. López se refiere también a la debilidad del cifrado: “Una parte enorme de la clave es predecible: cualquier puede deducir que en un código postal concreto en un año determinado va a haber una secuencia concreta”. Este profesional de la informática ha publicado el hilo en Twitter, alarmado al comprobar que “cualquiera” puede obtener estos datos y con otros fines.
Según el experto, los datos "han sido comprometidos" y "están a la disposición de cualquiera en Internet". "Si yo, que NO me dedico a la seguridad TI y sólo tengo conocimientos básicos de criptografía, me he dado cuenta, los malos lo saben seguro", asegura en su hilo de Twitter.
La Agencia Española de Protección de Datos asegura que una posible sanción a la Generalitat sería competencia de la Autoridad Catalana de Protección de Datos. Esta última "ha iniciado un trámite de información previa para comprobar el contenido de esta información y su alcance", según ha indicado una portavoz a EL PAÍS.
Fuente: El Pais.com

CIBERSEGURIDAD. El corazón podría sustituir a las contraseñas.

Un grupo de científicos de la Universidad de Buffalo, en Nueva York, han desarrollado un nuevo sistema de autentificación cardíaco que utiliza la forma y tamaño del corazón como único identificador biométrico.
Este nuevo sistema de autentificación usa un 'Doppler' a bajo nivel para mapear de forma inalámbrica y continua las dimensiones de tu corazón latiendo. La primera vez que utilizas el escáner tarda alrededor de 8 segundos, a partir de entonces, el sistema reconoce tu corazón de manera ininterrumpida.
La forma de trabajo de este nuevo sistema es la siguiente:
  • Al llegar a tu puesto de trabajo, tu equipo detecta el latido de tu corazón y se desbloquea de manera automática sin necesidad de contraseña o alguna otra interacción.
  • Al alejarte del dispositivo, el ordenador deja de detectar tu corazón latiendo y bloquea el equipo.
Los investigadores aseguran que la forma y las pulsaciones de nuestros corazones son únicas y pueden ser muy útiles para la autenticación y desbloqueo de dispositivos. De esta manera, tendríamos un sistema biométrico mucho más fiable que la huella dactilar o el escáner de iris.
En cuanto a los riesgos de salud que puede generar este dispositivo, los investigadores aseguran que es mucho menor que el de las señales Wi-Fi o cualquier otro sistema de autentificación.
"Vivimos en ambiente rodeado de señales Wi-Fi, y este nuevo sistema es tan seguro como esos dispositivos. El lector tiene una potencia de alrededor de 5 milivatios, es incluso menos del 1% de la radiación de nuestros teléfonos inteligentes.".
A día de hoy, este sistema no es del todo práctico debido a su enorme tamaño. Los investigadores ya trabajan para conseguir unas dimensiones aplicables a las esquina de un teclado de ordenador o a los 'smartphones'.
Uno de los errores de seguridad que presenta el dispositivo es una de sus virtudes, la facilidad de desbloqueo. Cualquier persona podría usar tu ordenador desbloqueado siempre que te encuentres lo suficientemente cerca del mismo. Desde la Universidad de Buffalo ya trabajan en una solución al problema.
Tendremos que estar atentos para ver como avanza este proyecto y ver si puede llegar a ser una alternativa real a la cada vez más anticuadas contraseñas.
Más información:
Fuente: Hispasec






Try Catch Stack Overflow

Interesante estudio de varios investigadores del Virginia Tech, en el que ponen en entredicho la calidad del código que podemos encontrar en sitios como StackOverflow y similares, desde el punto de vista de la seguridad.
¿Cuál es el problema?
  • Basado en el estudio sobre las preguntas y respuestas dadas en torno al lenguaje y plataforma Java, los investigadores han encontrado multitud de errores en respuestas populares que contienen vulnerabilidades de seguridad. El problema, señalan, no se encuentra en las librerías usadas –que no deja de ser reutilización legítima de código-, sino en que estas no se usan de forma segura, dando lugar a la exposición de riesgo por falta de pericia en su uso.
  • Hay ejemplos de todo tipo, como sugerir deshabilitar la protección contra ataques CSRF del framework Spring para resolver un problema en la autenticación o auténticas chapuzas glorificadas acerca de la implementación correcta de criptografía en la aplicación, como la generación de claves sin la entropía adecuada o uso de algoritmos ya desfasados y retirados desde hace mucho, mucho tiempo.
  • No nos confundamos. StackOverflow es un recurso maravilloso para un programador; incluso debería tener su propia festividad en el calendario. En él puedes encontrar librerías, consejos, experiencias y algoritmos que jamás hubieses encontrado de no ser porque un colega ya lo ha hecho antes que tú. Lo que realmente sugieren en este estudio es que todo, absolutamente todo, ha de ser pasado por el filtro del sentido común y la capacidad crítica de cada uno. Herramientas que parecen inmunes ante el virus de la prisitis urgentia.
  • Cuando ves una respuesta que tiene más de 10 años en la que se hace uso del hash MD5 para almacenar hashes de contraseñas, es evidente que no es la respuesta adecuada. Hemos de ser precavidos, levantar el pie del acelerador y observar con detenimiento tareas que son críticas y podrían devenir en quebraderos de cabeza en un futuro. No en vano, existe código escrito que no ha pasado a revisión en décadas, con vulnerabilidades que estaban allí y de las que nadie se percató.
Más información:
Fuente; Hispasec

MOZILLA. Lanza Firefox 56 y corrige 18 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 56 de Firefox, que además de incluir mejoras y novedades soluciona 18 graves vulnerabilidades en el navegador que podrían permitir a atacantes remotos ejecutar código arbitrario. También se ha publicado Firefox ESR 52.4.
Mozilla acaba de publicar una nueva versión de su navegador que incorpora nuevas funcionalidades y mejoras. El boletín MFSA-2017-21 incluye las 18 vulnerabilidades corregidas. Según la propia clasificación de Mozilla dos están consideradas críticas, seis son de gravedad alta, ocho de moderada y las dos restantes de nivel bajo.
Las vulnerabilidades críticas (CVE-2017-7811 y CVE-2017-7810) permitirían la ejecución remota de código a través de problemas de corrupción de la memoria.
Las vulnerabilidades de gravedad alta residen en usos de memoria tras ser liberada (CVE-2017-7793, CVE-2017-7818, CVE-2017-7819, CVE-2017-7805), la falsificación de la URL en la barra de direcciones en Android (CVE-2017-7817) y un desbordamiento de búfer en la librería gráfica ANGLE (CVE-2017-7824).
Además se solucionan otras vulnerabilidades importantes que podrían permitir saltar la protección contra phishing y malware en URL de tipo blob y data (CVE-2017-7814) y realizar ataques de suplantación en páginas con iframes y la funcionalidad de Electrolysis desactivada (CVE-2017-7815).
También se ha publicado Firefox ESR 52.4  (MFSA-2017-22); versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. Esta actualización incluye la corrección de 9 vulnerabilidades.
Recomendación
Firefox ESR está disponible desde https://www.mozilla.org/en-US/firefox/organizations/
Más información:
Fuente: Hispasec

GOOGLE. Forzará HSTS en los TLD con los que opere

Google avisó durante la semana pasada que obligaría a los 45 TLDs bajo su control a hacer uso de HSTS, aumentando de esta manera la seguridad en todos sus dominios.
HSTS (HTTP Strict Transport Security) fuerza el uso de HTTPS en las conexiones a los servidores, un punto clave en la estrategia de cifrado web.
Esta politica de seguridad web establecida para evitar ataques que puedan interceptar comunicaciones, no solo fuerza el protocolo HTTPS en todas las conexiones -incluso si el usuario utiliza HTTP-, sino que también previene otros ataques como el secuestro de cookies o el downgrade. Segun palabras del ingeniero de Google Ben Mcllwain, el uso de HSTS a nivel de TLD permite que los dominios sean seguros por defecto.
Google avisó que comenzaría a aplicar esta politica con los dominios pertenecientes a los TLD .foo y .dev. Por tanto, aquellos que registren con Google un TLD con HSTS implementado contarán con seguridad garantizada para su sitio web. Sólo necesitarán registrar un TLD seguro y un certificado SSL.
El uso de HSTS es importante porque inutiliza ataques como Logjam y Poodle, los cuales permiten a atacantes experimentados degradar las conexiones SSL a estados más vulnerables. Por ejemplo, Logjam permite rebajar la seguridad del grado de exportación del certificado de 2048-bit a 512-bit, permitiendo a un atacante leer tráfico supuestamente seguro en dicha conexión. Por su parte, Poodle ataca implementaciones SSLv3 y permitiendo a los atacantes recuperar en texto plano las comunicaciones de red.
Ya en agosto de 2016, Google forzó en su dominio HSTS para mantener a sus usuarios seguros incluso cuando hacian click sobre enlaces http. Esto permitió mejorar la seguridad no solo en el motor de búsqueda, sino también en servicios como Alerts, Analytics y Maps.
Más información:
Fuente: Hispasec

APPLE. El nuevo macOS 'High Sierra' se estrena con una grave vulnerabilidad

El fallo en cuestión permite a cualquier aplicación robar las contraseñas del 'keychain' sin conocimiento del usuario.
El descubridor de esta brecha de seguridad ha sido el experto informático 'Patrick Wardle', el cuál asegura que no va revelar el funcionamiento del fallo hasta que la famosa marca lo corrija.
'Patrick' trabajó como hacker de la NSA, y actualmente ocupa el puesto de Jefe de investigación de seguridad en la firma 'Synack'.
En su Twitter explica que cualquier aplicación instalada en el sistema  puede acceder al llavero haciendo un 'bypass' sobre cualquier componente de seguridad que tenga nuestro equipo.
Normalmente ninguna aplicación puede acceder al contenido del 'keychain' sin que el usuario introduzca la contraseña principal.
Tweet de 'Patrick Wardle' mostrando las evidencias de la vulnerabilidad
 El mismo investigador, aconseja a todo usuario de la marca, que hasta que el fallo no sea corregido, no se debe instalar ninguna aplicación que venga de fuentes desconocidas o que no este firmada. Recomienda el uso de 'Gatekeeper' para mantener un mayor control de estas aplicaciones que instalamos.
'Wardle' además, ha subido una prueba de concepto del exploit demostrando como una aplicación maliciosa, firmada o sin firmar, permite al atacante robar todas las contraseñas del llavero de manera remota.
Más información:
Fuente: Hispasec

VULNERABILIDAD. Ejecución remota de código en Apache Tomcat

Se ha conocido una vulnerabilidad de ejecución remota de código a través de peticiones HTTP tipo PUT, siendo posible por un atacante cargar un archivo JSP en el servidor y realizar la ejecución de código en el servidor, catalogada de Importancia: 4 - Alta
Recursos afectados:
  1. Apache Tomcat versión 9.0.0.m1 a versión 9.0.0
  2. Apache Tomcat versión 8.5.0 a versión 8.5.22
  3. Apache Tomcat versión 8.0.0.RC1 a versión 8.0.46
Detalle e Impacto de la vulnerabilidad
  • La vulnerabilidad descubierta permitiría cuando está habilitado el método HTTP tipo PUT cargar un archivo JSP en el servidor a través de una petición especialmente diseñada, pudiendo a través de este JSP ejecutar código en el servidor. Se ha reservado el identificador CVE-2017-12617 para esta vulnerabilidad.
Recomendación
  • Se recomienda actualizar a las últimas versiones disponibles 9.0.1, 8.5.23 y 8.0.47
Más información
Fuente: INCIBE

Múliples vulnerabilidades en Dnsmasq

Se han identificado diversas vulnerabilidades en Dnsmasq las cuales pueden utilizarse para obtener ejecución remota de código utilizando DNS o DHCP como vectores de ataque, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
  • Dnsmasq versiones anteriores a 2.78
Detalle e Impacto de las vulnerabilidades
1.    Ejecución remota de código a traves de desbordamiento de heap: Se trata de una vulnerabilidad que utiliza el DNS como vector de ataque. Aunque las últimas versiones solamente disponen de 2 bytes para realizar el desbordamiento de buffer, estos pueden ser utilizados para la explotación de la vulnerabilidad. Sin embargo, en las versiones anteriores a la 2.76 no existe la limitación de 2 bytes. Se ha reservado el identificador CVE-2017-14491 para esta vulnerabilidad.
2.    Ejecución remota de código a traves de desbordamiento de heap: Esta vulnerabilidad utiliza DHCP como vector de ataque. Se ha reservado el identificador CVE-2017-14492  para esta vulnerabilidad.
3.    Ejecución remota de código a traves de desbordamiento de pila: Se utiliza el servicio DHCP como vector de ataque. Esta vulnerabilidad, junto con la vulnerabilidad de fuga de información cuyo identificador reservado es el CVE-2017-14494 con vector de ataque DHCP, permite a un atacante evitar la protección ASLR y conseguir la ejecución remota y arbitraria de código. Se ha reservado el identificador CVE-2017-14493 para esta vulnerabilidad.
4.    Fuga de información: DHCP como vector de ataque. Se ha reservado el identificador CVE-2017-14494 para esta vulnerabilidad.
5.    Denegación de servicio a  traves de consumo de memoria: Esta vulnerabilidad aprovecha el servicio DNS como vector de ataque. Se ha reservado el identificador CVE-2017-14495 para esta vulnerabilidad.
6.    Denegación de servicio a traves de desbordamiento de entero: Esta vulnerabilidad afecta a sistemas operativos Android cuando el atacante esta conectado localmente con el dispositivo. Se utiliza el servicio DNS como vector de ataque. Se ha reservado el identificador CVE-2017-14496 para esta vulnerabilidad.
7.    Denegación de servicio: Servicio DNS como vector de ataque. Se ha reservado el identificador CVE-2017-11704 para esta vulnerbailidad.
Recomendación
Más información
Fuente: INCIBE