Fuente: Hispasec
Autores: Antonio Ropero y Sergio de los Santos
Publicación realizada con autorización de la fuente.

Hace unos días informábamos sobre una vulnerabilidad en impresoras HP LaserJet de la que no se conocían exactamente las implicaciones. Algunas fuentes incidían en que el problema podía ser de gran gravedad (llegando a provocar hasta un sobrecalentamiento del dispositivo). HP ha publicado una alerta en la que reconoce el problema y recomienda un documento de buenas prácticas para prevenirlo, pero tampoco confirma ni desmiente totalmente las afirmaciones del aviso original.

Un grupo de investigadores de la Universidad de Columbia afirmaron hace unos días haber descubierto una vulnerabilidad en el proceso de actualización del firmware que afecta a las impresoras HP LaserJet. Demostraron como desde otro equipo podían enviar una actualización del firmware de la impresora. Llegó a calentarse de tal modo que empezó a echar humo hasta dejar de funcionar y quemó el papel hasta volverlo marrón. Esto, aunque llamativo, es lo anecdótico. Modificar el firmware de la impresora sin autorización podría tener otras muchas implicaciones no solo en el aparato sino en la red donde estuviese conectada.

HP ha publicado un boletín de seguridad en el que confirma que determinadas impresoras HP Laserjet y HP Digital Senders sufren una vulnerabilidad remota en la actualización del firmware. Según el aviso la vulnerabilidad afecta a un total de 42 dispositivos diferentes.

HP confirma que el problema reside en la característica “Remote Firmware Update” (RFU) que se encuentra activo por defecto en todos los dispositivos. Un atacante remoto puede enviar una actualización del firmware al puerto (continua leyendo…)

Cabe destacar que las vulnerabilidades clasificadas con un impacto crítico permitirían a un atacante ejecutar código e instalar software sin requerir la interacción con el usuario.

Los productos afectados han sido principalmente su navegador web Firefox y el cliente de correo electrónico Thunderbird. Se recomienda la actualización a la última versión de dichos productos.

Se han publicado múltiples boletines de seguridad por parte de la fundación Mozilla en referencia a vulnerabilidades encontradas en diferentes productos de la firma.

La fundación Mozilla es una organización sin ánimo de lucro dedicada a la creación de software libre. Sus pilares fundamentales son: el código abierto, el respeto por los estándares establecidos y en desarrollo y la portabilidad o posibilidad de interacción del software en múltiples plataformas.

Según la propia clasificación de la fundación Mozilla, siete de los boletines han sido clasificados con un impacto crítico, uno de ellos con un impacto alto y dos con un impacto moderado.

Los boletines críticos son:

* MFSA 2011-36: Tres problemas de corrupción de memoria.
* MFSA 2011-37: Desbordamiento de enteros al emplear expresiones JavaScript RegExp (sólo afecta a la rama 3.x). (continua leyendo…)

Hoy decidí retomar un tema que fue con el que comencé a escribir en la revista B:Secure Magazine: La Continuidad en los Negocios (BCM). Lo hago también en conmemoración del 26° aniversario del terremoto en México de 1985 y el 10° aniversario de los atentados al WTC en NY; además mi recientemente certificación como CBCP (Certified Business Continuity Professional) **termina comercial** la cual me da la oblligación moral de difundir y transmitir este tema. Hace unas semanas tuve oportunidad de hablar con otros colegas que se dedican a BCM en diferentes giros (Consultoría, Financiero & Bursátil, Tecnología, Retail, Naviera, Carga, Aseguradoras, etc.). Coincidimos en algo todos: La gente ubica incorrectamente a BCM como una responsabilidad que recae más en las áreas de Sistemas/Infraestructura Tecnológica. Ustedes no creen esto, ¿verdad? Si es afirmativo, continuen leyendo; si no, ídem.

En ese 1er artículo, comenté y expliqué que en la triada de seguridad de la información hay 3 atributos: Confidencialidad, Integridad y Disponibilidad. La Disponibilidad puede referirse como el asegurar que la información (incluyendo sistemas) puedan ser accedidos cuando se requiera. Actualmente, la seguridad de la información es un tema que ha tomado mucho más fuerza; sin embargo, muchos esfuerzos se enfocan en Confidencialidad e Integridad. Claro, tenemos una casa a la cual le ponemos cerraduras, pero no tenemos otra casa por si hay un desastre o una contingencia, es incosteable para la gran mayoría. (continua leyendo…)

Fuente: Hispasec

Adobe ha publicado una actualización de seguridad destinada a corregir seis vulnerabilidades críticas en Adobe Flash Player versión 10.3.183.7 (y anteriores) para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.186.6 (y versiones anteriores) para Android.

Las vulnerabilidades, con identificadores CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430 y CVE-2011-2444, pueden permitir a un atacante provocar la caída del sistema e incluso llegar a tomar el control de los sistemas afectados.

Según confirma Adobe, al menos una de las vulnerabilidades, se está explotando activamente en ataques dirigidos a través de correos electrónicos.

Las vulnerabilidades están relacionadas con problemas de cross-site scripting, desbordamientos de pila en AVM (ActionScript Virtual Machine), errores lógicos y evasión de controles de seguridad.

Adobe recomienda a los usuarios de Adobe Flash Player 10.3.183.7 (y anteriores) para Windows, Macintosh, Linux y Solaris la actualización a la versión 10.3.183.10 disponible en http://get.adobe.com/flashplayer/ o desde la opción de actualización automática.
A los usuarios de Adobe Flash Player 10.3.186.6 (y anteriores) para Android actualizar a la versión 10.3.186.7 desde Android Market: https://market.android.com/details?id=com.adobe.flashplayer&hl=en

Image: renjith krishnan / FreeDigitalPhotos.net

¿Se han puesto a pensar en lo que se puede lograr hoy en día a nivel tecnológico?

¿Se imaginan una plataforma dedicada a juegos en línea Sony PSN que fuera vulnerada para obtener datos e información confidencial y personal de sus clientes?

¿Podrían pensar que la sede del Departamento de Defensa de una potencia mundial fuera vulnerada para extraer información en CD o USB flash memory? Wikileaks Y ahora piensen que Lockheed Martin & Northrop Grumman 2 de sus mayores proveedores de industria aeroespacial y de defensa fueran víctimas de ciberataques.

¿Cuánta credibilidad puede perder PBS una cadena televisiva‎ por publicar una historia falsa, asegurando que una persona que murió hace casi 15 años está vivo? ¿Cuántos caso de Phishing contra tarjetahabientes de muchos bancos? Y no me refiero a los bancos en otros países, sino aquí también en México y América Latina.

Imaginen que a Honda una automotriz le robaran los datos personales de 283,000 clientes… ahora imagina que uno de esos 283,000 clientes fueras tú…

¿Qué pasaría un mundo donde RSA una compañía que se dedique a la criptografía y a la seguridad, fuera vulnerada?, o donde grupos hacktivistas Anonymous o LulzSec se la vivan realizando diferentes ataques a servidores de gobiernos, corporaciones, políticos, bancos, etcétera o incluso haciendo hijacking cuentas de correo electrónico Gmail, bases de datos de divisiones del FBI (Federal Bureau of Investigation) InfraGard.

Life’s a Glitch, Then You Die

Por un momento conciban en su mente a Stuxnet un virus-gusano que permita controlar procesos industriales. Y todo esto es ¿realidad o fantasía?  Hace unos meses comentábamos en un panel de discusión del B:Secure Conference que la noticia de Stuxnet marca un hito en la historia de la seguridad informática. Stuxnet es un gusano (worm) que reprograma los sistemas industriale (continua leyendo…)

¡No andaba muerto, andaba de parranda! Esa quizá sería la frase perfecta para definir al hoy extinto-revivido (cual ave fénix) grupo hacktivista, Lulzsec. El tema es que muchos pensaron que cuando anunciaron su retiro de los escenarios del cibercrimen gran parte de los ciberataques también lo harían. Pero como podemos leer últimamente, eso en definitiva no pasó y los ataques contra diversas corporaciones, sitios de internet, gobiernos, se han vuelto una constante.

Probablemente Lulzsec, así como Anonymous y el fenómeno Wikileaks, lo que dejarán como legado –entre otras cosas- habrá sido despertar un sentimiento revolucionario en muchas personas y grupos a diferentes niveles. Platicando con gente de diversos círculos, en medios electrónicos o, siguiendo conversaciones en foros de internet, redes sociales me doy cuenta que en algunos se ha insertado una sensación de que las empresas y gobiernos “se merecen” esos ciberataques y más. Si se lo merecen o no, no lo discutiré en este artículo ya que no lo pretendo politizar, creo que para política con la maestra Gordillo basta. A mí lo que me preocupa es que hoy existan tantas herramientas y mecanismos para atacar organizaciones o robar información. ¿Por qué me preocupa? Pues porque no quiero que mi cuenta y contraseña estén publicados en sitios como Pastebin.com, o mis correos electrónicos y archivos puedan ser descargados en un archivo Torrent, ¿o ustedes sí quieren eso?

Observo que mucha gente sin siquiera conocer el fenómeno Wikileaks o Julian Assange, apoyan completamente cualquier ataque o robo de información a gobiernos o corporaciones. Ojo yo respeto cualquier postura, siempre y cuando esté bien fundamentado y no sólo por decir: “pues se lo merecen” –“¿porqué?” -“pues porque sí, porque se lo merecen”. Imaginen que sus fotos, correos electrónicos, sus cuentas, sus gastos, sus SMS, sus chats, sus mensajes directos de redes sociales, sus teléfonos y más, pueden ser subidos a sitios web (continua leyendo…)