Un fallo en Internet Explorer permite a los atacantes acceder a la memoria del ordenador

Internet Explorer.  Imagen tomada de: mundonets.

El Instituto Nacional de Ciberseguridad (Incibe), con sede en León, ha alertado este martes de un fallo de seguridad que afecta potencialmente a cualquier versión de 32 bits de Microsoft Internet Explorer. 

Ha precisado que investigadores de la iniciativa Zero Day (ZDI) de la empresa tecnológica HP han divulgado la existencia de un fallo de seguridad que afectaría a todas las versiones de 32 bits del popular navegador de Microsoft. 

El Incibe ha advertido de que el fallo de seguridad puede ser aprovechado por un atacante para acceder de una manera más sencilla a la memoria del ordenador y, desde ese acceso, realizar algún tipo de actividad maliciosa. 

Las recomendaciones para prevenir este fallo de seguridad en los usuarios son comprobar en las características del ordenador si utiliza una arquitectura de 32 bits o de 64 bits (estos bits tienen que ver con el diseño de la memoria de cada ordenador). 

Pasos a seguir 

Para ello, hay que hacer clic sobre el icono 'Mi equipo' y a continuación pulsar el botón derecho del ratón. En la nueva ventana que aparece, se debe seleccionar la opción 'propiedades', donde se podrá ver en el apartado 'sistemas' si la arquitectura del ordenador es 32 bits o 64 bits. 

Para quienes estén utilizando un ordenador que funciona con una arquitectura de 32 bits, la recomendación es dejar de navegar con Internet Explorer y emplear un navegador alternativo. El fallo de seguridad reportado permitiría que un virus llegara con más facilidad a hacer uso de la memoria del ordenador. 

Respecto a la solución, según informan desde la iniciativa Zero Day (ZDI), Microsoft como fabricante del navegador Internet Explorer ha comunicado que no va a parchear este fallo de seguridad en la versión de 32 bits, puesto que considera que está solucionado en la versión de Internet Explorer que ya va instalada en sus versiones actuales del sistema operativo Windows, la versión de 64 bits.

Tomado de: 20minutos

Nuevos documentos de Snowden desvelan que la NSA tiene puesto el objetivo en las empresas de antivirus

El exanalista de la CIA Edward Snowden, en una entrevista en la HBO. (YOUTUBE). Imagen tomada de: 20minutos.es 

La cantidad de documentos sustraídos por el exanalista de la CIA Edward Snowden fue tal que seguirán pasando años y seguiremos descubriendo en ellos nuevas sorpresas. La última se refiere a la especial atención que las agencias de seguridad estadounidense y británica tenían puesta en las empresas de antivirus con el propósito de acceder a sus servidores y tratar de contrarrestar sus herramientas de seguridad mediante ingeniería inversa. 

Tanto la Agencia Nacional de Seguridad estadounidense como el Cuartel Gubernamental de de Comunicaciones británico, respectivamente NSA y GCHQ, espiaban a las empresas de antivirus y empleaban ingeniería inversa para tratar de esquivar la protección que ofrecen a sus usuarios. Mediante diversas técnicas intentaban (y en ocasiones conseguían) acceder a los servidores de empresas como Kaspersky Labs, quien no hace mucho confesó haber sido objeto de ataques, aunque en ese caso la empresa dirigía sus sospechas hacia el estado de Israel. 

El propósito era que estas agencias de inteligencia pudieran estar en todo momento un paso por delante de los avances en protección antivirus. El principal objetivo era precisamente Kaspersky Labs, empresa rusa de antivirus, y una vez superadas las barreras de acceso a los entresijos de los antivirus se puede disponer de todos los privilegios dentro de cualquier ordenador. 

Entre la información a la que NSA y HSQA pudieron acceder en el caso específico de Kaspersky se encuentra los datos del usuarios que se envían a la empresa de antivirus, los emails privados que se intercambian entre Kaspersky y el usuario y la lista del nuevo malware que Kaspersky marca como detectado. 

Mientras estas agencias de inteligencia procedían a franquear las barreras de los antivirus intentaban que sus acciones de ingeniería inversa de programación no pudieran ser consideradas legalmente como infracción de derechos de autor ni quebrantamiento de los términos de uso.

Tomado de: TheInquirer

Un software identifica delincuentes a través de sus tatuajes

Tatuaje. Fuente: Jhong Dizon/ Flickr. Imagen tomada de: Tendencias21.net

Según encuestas recientes, se calcula que uno de cada cinco adultos en Estados Unidos (EEUU) lleva un tatuaje, por lo que se trata de un símbolo identificativo destacable. No es de extrañar por tanto que el gobierno trate de reforzar una tecnología que pueda identificar automáticamente a la gente por sus tatuajes. 

Un grupo internacional de expertos de la industria, el ámbito académico y órganos de gobierno ha participado en un evento organizado por el Instituto Nacional de Normas y Tecnología (NIST), que promueve la innovación y la competencia industrial en EEUU, para debatir precisamente sobre desafíos y posibles métodos con los que automatizar el reconocimiento de tatuajes. 

El evento, según recoge la web Biometric Update, reunió a investigadores del mundo académico y el sector privado de todo el mundo para ver quién podía ofrecer mejor tecnología de reconocimiento de imágenes con la que desarrollar softwares y algoritmos que identifiquen tatuajes con mayor precisión. 

Este avance tecnológico contribuiría a facilitar la identificación de delincuentes o víctimas de desastres, como tsunamis o terremotos. No es de extrañar por tanto el interés del FBI en este campo, para lo que lleva varios años rastreando tatuajes que sirvan como un identificador biométrico más que añadir a su completas bases de datos. 

Se trata de un trabajo que realizan en el Centro de Excelencia Biométrica del FBI (BCOE), donde han desarrollado una versión preliminar de un software de reconocimiento automático de tatuajes que presentaron y pusieron a prueba en este evento internacional.

Buenos resultados 

Para poner a prueba el software, todas las organizaciones participantes en el encuentro utilizaron el mismo catálogo proporcionado por el BCOE, creado a partir de miles de imágenes de bases de datos del gobierno. Se plantearon cinco casos de uso en los que debían buscar tatuajes similares visualmente o relacionados en personas diferentes, varios ejemplos de un tatuaje de la misma persona en diferentes momentos, algún detalle de interés dentro de una imagen más grande, tatuajes similares o relacionados usando diferentes tipos de imágenes, y si la imagen contenía o no tatuajes. 

El algoritmo funcionó muy bien en algunos casos, con tasas de precisión muy por encima del 90 por ciento, como explicó Mei Ngan, el científico de la computación del NIST que organizó el reto. Ocurrió en la pruebas para detectar tatuajes en una imagen, encontrar diferentes ejemplos del mismo tatuaje de una persona pese al paso del tiempo o para buscar pequeños detalles. 

Sin embargo, detectó que había dos áreas que necesitaban más investigación, incluyendo la identificación de tatuajes similares en personas diferentes o en otros medios que no fueran una foto, como un boceto o un gráfico por ordenador. "Mejorar la calidad de las imágenes durante la recopilación es otra área que perfeccionaría la precisión del reconocimiento", destaca Ngan.

Pros y contras 

Con todo, las imágenes de tatuajes ya forman parte del denominado "Next Generation Identification System", la completa base de datos del FBI, disponible para la policía de todo el mundo, centrada en identificadores biométricos, incluyendo huellas dactilares y reconocimiento facial. 

Sin embargo, el método que se utiliza hasta ahora para catalogar esas imágenes, está completamente ligado a la elección de una palabra clave y descripciones escritas, algo insuficiente para las aspiraciones de este ambicioso catálogo. Eso conlleva que, dependiendo de quién examine, un mismo tatuaje puede estar etiquetado con diferentes palabras clave. Sin contar con diferentes acepciones o sentidos de una palabra, que pueden llevar a etiquetar con la misma palabra un tatuaje de Hello Kitty y el de un gato salvaje. De ahí la importancia del algoritmo. 

"No se puede utilizar como biométrica principal, como una huella digital o facial, porque no es necesariamente un identificador exclusivo", explica Ngan, pero sí puede ser determinante en aquellos casos donde no se cuente con estos elementos. 

Además, este método puede plantear incluso menos problemas de privacidad que otros tipos de identificadores físicos. En un artículo publicado en el periódico The Washington Post, Alvaro Bedoya, director ejecutivo del Centro de Privacidad y Tecnología de la Universidad Georgetown Law, subraya que “los tatuajes son algo que habitualmente la gente pone en su cuerpo para distinguirse de otras personas, a diferencia de alguien que es reconocido porque su cara ha quedado registrada en una cámara de seguridad o porque se ha analizado su forma de andar". Pero ese ya es otro tema que el FBI deberá aclarar.

Tomado de: Tendencias 21

Una falla en tu Mac permite conocer tus contraseñas

Logo de Apple.

Apple asegura que su software"Keychain" permite a sus usuarios guardar de forma segura sus contraseñas en sus Macs. Sin embargo, los cibercriminales han probado lo contrario.

Una falla fundamental encontrada en las Macs permite que una aplicación maliciosa tome las contraseñas que tienes guardadas en el Keychain, o incluso desde otras 'apps'. 

Con esto tus contraseñas de iCloud, notas, fotos, correo electrónico, banca en línea y redes sociales (es decir, todas) están expuestas a esta vulnerabilidad. El profesor en ciencia computacional de la Universidad de Indiana XiaoFeng Wang y su equipo de investigadores encontraron varias maneras en las que esta aplicación podría entrar a otras 'apps'. 

Los investigadores encontraron que un software malicioso puede introducirse al Keychain, borrar contraseñas antiguas y esperar a que las tengas que volver a escribir. Cuando lo haces, entonces las toma. 

También encontraron un problema con la forma en la que Apple categoriza los programa de Mac a través de una ID única conocida como BID. Por ejemplo, los cibercriminales pueden asignar el BID de la aplicación de correo electrónico a una pieza de malware y así entrar a muchos de los programas en los que confías.

El equipo de la Universidad de Indiana analizó las 1,612 principales 'apps' de Mac y encontró que 89% de ellas son susceptibles a este tipo de ataque. 

Para comprobarlo, los investigadores introdujeron una 'app' maliciosa a la App Store de Apple para robar contraseñas. El malware estaba disfrazado como una aplicación de chistes llamada "Joke Everyday". 

Apple en silencio

Apple no realizó comentarios sobre esta falla el martes. 

Sin embargo, una persona con conocimiento sobre la forma de operar de Apple dijeron que la firma está trabajando en una reestructura de cómo su sistema operativo Mac OS X separa las aplicaciones. También comentaron que se trata de un trabajo pesado, por lo que se necesitará que todos los desarrolladores independiendes de la firma establezcan nuevas medidas de seguridad y actualicen todas las 'apps'. 

Arreglar el Keychain será todavía más difícil, dijo esa persona. Apple también está mejorando el cómo revisa los nuevos programas que llegan a su App Store. 

El equipo de investigadores dijo que compartió la información el martes luego de que Apple tardara demasiado en arreglar el problema. Ellos notificaron por primera vez a la firma en octubre. Apple hizo cambios a su sistema operativo en enero, pero estos no arreglaron la falla. 

"Esto es muy serio", dijo Wang. "Si continúabamos en silencio, hubiera sido injusto para los usuarios de Apple. Es muy probable que alguien ya conozca este tipo de vulnerabilidad". 

La política de Apple al encontrar virus dañinos consiste en arreglarlos de manera silenciosa. A principios de este mes, CNNMoney dijo que la forma en que la firma realiza actualizaciones de seguridad necesita un cambio. 

Wang dijo que esto podría haberse evitado si Apple se hubiera comunicado mejor con los ingenieros que desarrollan de manera independiente los programas de software para las Macs. 

"Apple necesita informar a los desarrolladores de las 'apps' sobre qué deben hacer. En algunos casos, Apple falla en proveer una prueba de seguridad a estas personas", dijo Wang. 

El investigador y estudiante líder de la investigación, Luyi Xing, dijo que Apple les contestó en un inicio, pero no comenzó a trabajar con los analistas en seguridad –ni compartió su progreso– hasta después de que hicieran público este reporte. 

"Ahora nos mandan un par de correos electrónicos al día", dijo Xing. 

Una persona con conocimiento sobre las políticas de seguridad de Apple dijo que ellos fueron tomados por sorpresa por la repentina publicación de este reporte, luego de que la compañía se estuviera comunicando con los investigadores. 

"El problema se habría solucionado si nos hubieran tomado más en serio, Ahora tienen que hablar activamente con nosotros. Esto es más evidencia de que debemos salir a la luz en algunos casos", dijo Wang. 

Los investigadores podrían pagar por su atrevimiento. Apple normalmente retira los permisos de desarrolladores a quienes hablan sobre problemas de malware de la empresa –aún cuando se trata de una investigación de seguridad. El investigador Charlie Miller obtuvo una suspensión de un año de la App Store en 2011 por esta misma razón. 

Wang espera que Apple no haga lo mismo con su equipo de seis personas. 

"No creo que sería justo. Nuestra intención es ayudar a Apple, de hecho encontramos más de lo que compartimos. Existe otra vulnerabilidad que es bastante seria y no la hemos comentado", dijo.

Tomado de: CNNExpansión

83% de las grandes organizaciones en el “índice de pobreza” en ciberseguridad

Crimen Cibernético. Imagen tomada de: Grafvision © Shutterstock.com

RSA, la división de seguridad de EMC (NYSE: EMC), ha presentado su estudio Cybersecurity Poverty Index, que reúne los resultados de una encuesta realizada entre más de 400 profesionales de seguridad en 61 países. El estudio permitió a los participantes autoevaluar la madurez de sus programas de seguridad frente a ciberataques tomando como referencia el NIST Cybersecurity Framework (CFS).

El informe ofrece una visión global sobre la manera en que las organizaciones valoran su madurez y prácticas de ciberseguridad en general entre empresas de diferentes tamaños, mercados y geografías. Si bien las organizaciones más grandes suelen ser consideradas como las que cuentan con más recursos para diseñar una defensa cibernética más potente, los resultados de la encuesta indican que el tamaño no es un factor determinante del nivel de preparación en cuanto a ciberseguridad y casi el 75% de los encuestados reconoció que su nivel de madurez en lo que respecta a la seguridad informática es insuficiente.

Esta falta de preparación en general no es sorprendente, ya que muchas de las organizaciones encuestadas sufrieron incidentes de seguridad que dieron lugar a pérdidas o daños en sus operaciones en los últimos 12 meses. El área más preparada en las empresas resultó ser la de protección, y en concreto el desarrollo de soluciones preventivas, a pesar de la idea generalizada de que las estrategias y las soluciones preventivas solas son insuficientes frente a los ataques más avanzados.

Además, la mayor debilidad de las organizaciones encuestadas está en la capacidad de medir, evaluar y mitigar los riesgos de la ciberseguridad, y el 45% de los encuestados afirma que sus capacidades en esta área son “inexistentes”, o “ad hoc”, y sólo el 21% reconoce que está preparado en este aspecto. En este escenario resulta muy difícil o imposible justificar en algunos ámbitos la necesaria prioridad a la actividad de seguridad y a la inversión, una actividad fundamental para cualquier organización que quiera mejorar sus capacidades de seguridad.

En contra de lo que se podría suponer, el estudio revela que el tamaño de una organización no es un indicador de madurez de sus programas de seguridad informática. De hecho, el 83% de las organizaciones encuestadas con más de 10.000 empleados puntuaron sus capacidades como menos “desarrolladas” en el grado de madurez total. Este resultado sugiere que la experiencia de las grandes organizaciones en cuanto a las amenazas avanzadas les hace ser conscientes de la necesidad de una mayor preparación. Las bajas puntuaciones que las grandes organizaciones se han dado a sí mismas indican que entienden la necesidad de pasar a desarrollar soluciones y estrategias de detección y respuesta para una seguridad más potente y madura.

También son muy reveladores los resultados de las organizaciones de servicios financieros, un sector a menudo citado como líder en el mercado en términos de madurez en seguridad. A pesar de su experiencia, las organizaciones de servicios financieros encuestadas no se autocalificaron a sí mismas como la industria más madura, y sólo un tercio se puntuaron como bien preparadas. Los operadores de infraestructuras críticas, el público objetivo inicial para el CSF, tendrán que hacer avances significativos en sus niveles actuales de madurez. Las organizaciones del Sector de Telecomunicaciones se clasificaron con el más alto nivel de madurez; el 50% de los encuestados afirmaron tener capacidades desarrolladas o avanzadas. Las administraciones públicas se situaron en el último lugar en todos los mercados en la encuesta, con sólo el 18% de los encuestados calificándose como desarrollados o favorecidos. Los niveles más bajos de autoevaluaciones de madurez en mercados que son maduros en otros ámbitos, demuestran una mayor comprensión del panorama de amenazas avanzadas y de la necesidad de desarrollar capacidades mejoradas para ponerse a la altura.

El informe pone de manifiesto que el nivel de madurez de las organizaciones en Norteamérica se sitúa por detrás de las regiones APJ y EMEA. Las organizaciones de APJ consideran que tienen estrategias de seguridad más consolidadas, con un 39% que se clasifican como desarrolladas o por encima del nivel de madurez global, mientras que solo el 26% de las organizaciones en EMEA y el 24% en Norteamérica se posicionan como desarrolladas o aventajadas.

Amit Yoran, presidente de RSA, la división de Seguridad de EMC “Esta investigación demuestra que las empresas continúan invirtiendo grandes cantidades de dinero en firewalls de nueva generación, antivirus y protección contra malware avanzado con el fin de detener las amenazas avanzadas. A pesar de la inversión en estas áreas, incluso las grandes organizaciones no se sienten preparadas para hacer frente a las amenazas. Creemos que esta dicotomía es el resultado del fracaso de los modelos actuales de seguridad basados en la prevención para hacer frente a las amenazas. Tenemos que cambiar nuestra forma de pensar en cuanto a seguridad, comenzando por reconocer que la prevención por sí sola es una estrategia fallida y se necesita una mayor inversión en una estrategia basada en la detección y la capacidad de responder a las amenazas”.

Metodología

Para evaluar su madurez en ciberseguridad, los encuestados autoevaluaron sus capacidades tomando como referencia el NIST Cybersecurity Framework (CSF). El CSF proporciona una guía basada en las normas, directrices y prácticas existentes para reducir los riesgos cibernéticos, que fue creada gracias a la colaboración entre la industria y gobierno. El CSF fue desarrollado inicialmente en Estados Unidos con el fin de ayudar a reducir los riesgos cibernéticos en una infraestructura crítica, pero en la actualidad lo utilizan organizaciones de todo el mundo ya que ofrece un enfoque priorizado, flexible, repetible y rentable para la gestión del riesgo cibernético. Por tanto, se ha convertido en una referencia clave para evaluar la seguridad cibernética y el nivel de madurez en la gestión de riesgos en cualquier organización.

Las organizaciones han calificado sus propias capacidades en los cinco parámetros clave establecidos por el CSF: identificar, proteger, detectar, responder y recuperarse. Para las valoraciones, se ha utilizado una escala de 5 puntos, el 1 significa que la organización no tiene capacidad en un área determinada, mientras que el 5 indica que tiene prácticas bien consolidadas en un área concreta.

Tomado de: DiarioTI