Bug

GHOST, la primer gran vulnerabilidad del 2015

Photo by Markus Spiske on Unsplash

Qualys, firma internacional de seguridad informática, publicó hace algunas horas los detalles acerca de una antigua vulnerabilidad conocida como GHOST y registrada en la base de CVE (Vulnerabilidad y exposiciones comunes, por sus siglas en inglés) bajo el número 2015-0235. GHOST, quien recibe su nombre del método GetHostByName, fue introducido originalmente en la librería glibc-2.2 que data de noviembre del año 2000 y corregido en mayo de 2013 (en las librerías glibc-2.17 y glibc-2.18). Sin embargo no fue tratado como una brecha de serguridad, por lo que un gran porcentaje de las distribuciones de Linux alrededor del mundo continúan afectadas (Debian 7, Red Hat Enterprise Linux 6 y 7, CentOS 6 y 7, Ubuntu 12.04, entre otros). En cuanto a los detalles técnicos, desde Qualys aseguraron que durante una auditoría descubrieron un desbordamiento de búfer en la función __nss_hostname_digits_dots() de la librería glibc, que puede ser explotado tanto localmente como de manera remota mediante todas las funciones gethostbyname*(). Para verificar la vulnerabilidad, enviaron un correo electrónico especialmente diseñado a un servidor Linux y obtuvieron acceso a la Shell del equipo remoto. Los fabricantes de las principales distribuciones de Linux ya han publicado las acciones que deben tomar sus clientes para …

Read moreGHOST, la primer gran vulnerabilidad del 2015

Google to rank up HTTPS sites in search results

Photo by Markus Spiske on Unsplash

Versión en español disponible aquí / Spanish version available here

Gary Illyes and Zineb Ait Bahajji, from the Google’s Webmaster Trends Analysis team, published yesterday a post in the company’s security blog announcing that sites that are protected with SSL certificates will be ranked up in search results.

“Security is a top priority for Google”, ensures the announcement in which the company based in California gave more details about this change. With the aim of improve users experience and security, Google has started to test this new ranking model some weeks ago.

TLS, or Transport Layer Security, is a cryptographic protocol designed to provide communication security over the Internet. Also known as “HTTPS” or “secure HTTP”, TLS and its predecessor (SSL) were designed to allow users to exchange data with web-sites safely.

Tests suggest that, so far, only 1% of global queries were affected. Google plans to start rolling this feature accross the web in the next weeks, in order to allow webmasters to switch to HTTPS.

In the coming weeks, the Google team will publish detailed best practices to make TLS adoption easier, and to avoid common mistakes. Here are some basic tips to get started:

Read moreGoogle to rank up HTTPS sites in search results

Google Chrome está matando tu batería

Photo by Markus Spiske on Unsplash

google-chrome-esta-matando-tu-bateria_001Asi es, mis queridos amigos. Parece que Google Chrome está matando la batería de sus notebooks y tablets.

En sistemas operativos como Windows, los micro-procesadores se ponen en modo “espera” cuando nada requiere atención y “despiertan” cada determinados intervalos de tiempo. Estos intervalos están definidos en 15.625 ms (milisegundos) por defecto, lo que significa que el procesador se “despierta” 64 veces por segundos para chequear si algo requiere de su atención.

google-chrome-esta-matando-tu-bateria_002

Sin embargo, Google Chrome reduce ese valor a 1.000 ms con tan solo abrir el navegador, sin cargar ninguna página. Esto equivale a “despertar” el procesador 960 veces por segundo.

google-chrome-esta-matando-tu-bateria_003

Microsoft sugiere que reducir este intervalo puede resultar en una descarga abrupta de las baterías de nuestros dispositivos. Si bien es normal que algunas aplicaciones (incluso Internet Explorer en determinadas circunstancias) modifiquen este valor, no suena lógico que Chrome lo haga por tiempo indeterminado. Por ej., en algunas ocasiones, Internet Explorer modifica el intervalo a 1.000 ms cuando reproducimos videos en Youtube y, al cerrar la pestaña, todo vuelve a la normalidad.

Read moreGoogle Chrome está matando tu batería

Vulnerabilidad Heartbleed. ¿De qué se trata?

Photo by Markus Spiske on Unsplash

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

 

vulnerabilidad-heartbleed-de-que-se-trata_001

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

 

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

 

Recomendaciones para usuarios

Read moreVulnerabilidad Heartbleed. ¿De qué se trata?

A una década del error del milenio Parte III

Photo by Markus Spiske on Unsplash

Queridos lectores,

El día de ayer he publicado una nota en la que podíamos advertir los defectos que aún continúan siendo moneda corriente en la programación de los sistemas informáticos.

El tan famoso Efecto año 2000, o Error del milenio aun sigue acechando… Segun información que nos ha hecho llegar el boletín de noticias español Hispasec, no fueron solo los bancos alemanes los afectados por el cambio de década reciente, sino que también surgieron los siguientes problemas:

Uno de los afectados ha sido precisamente una de las soluciones profesionales de seguridad de Symantec, Endpoint Protection Manager. Se trata de un producto que aúna diferentes protecciones de seguridad y, por supuesto, en el plano reactivo usa firmas que se actualizan regularmente para su antivirus, antispyware y su IPS. El problema es que todas las actualizaciones desde el último minuto del 31 de diciembre de 2009, han sido calificadas erróneamente por el programa como “desactualizados”, por lo que en este aspecto, los usuarios han quedado relativamente desprotegidos desde entonces.

Solución temporal

Read moreA una década del error del milenio Parte III

El efecto 2038

Photo by Markus Spiske on Unsplash

Queridos lectores,

El día de ayer les hacía mención al cumplimiento de una década luego del tan temido Efecto año 2000, en la nota de referencia. Hoy en día ya no existen temores con respecto a él, solo que se ha dado a conocer un nuevo nombre, que nos indicaría podríamos estar de cara a su sucesor.

Hasta el momento poco se sabe de él, pero información no precisa indica que este nuevo bug, podría causar que una parte de los sistemas informáticos falle en ese año. El problema afectaría a los programas que usen la representación del tiempo basada en el sistema POSIX, que realiza un conteo de los segundos transcurridos desde el 1 de enero de 1970 a las 00:00:00.

No hay una forma sencilla de arreglar este problema para las combinaciones existentes de CPU/Sistemas operativos. Cambiar la definición de time_t para usar un tipo de 64 bits rompería la compatibilidad binaria para el software, almacenamiento de datos, y, por lo general, cualquier cosa que tenga algo que ver con la representación binaria del tiempo. Cambiar time_t a un entero de 32 bits sin signo afectaría a los programas que hacen cálculos con diferencias de tiempo.

Arquitectura de 64 bits

Read moreEl efecto 2038

A una década del error del milenio

Photo by Markus Spiske on Unsplash

Queridos lectores,

Muchos de ustedes sabrán a que me refiero, otros quizá recién ahora escuchen nombrar el Efecto año 2000, Y2K o Error del milenio, entre tantos otros nombres que ha recibido este bug.

Adentrándonos en la historia, meses antes de comenzado el año 1999 se descubrió un bug o error de programación que afectaría a todos los equipos informáticos del mundo. Inmediatamente se generó una alarma social inmensa, que en pocas horas recorrió el mundo entero.

Este error de programación sacó a la luz una importante falla en cuanto a los sistemas informáticos y aplicaciones ejecutables en ellos. Hasta ese momento, los sistemas almacenaban internamente las fechas con lo últimos dos dígitos del año; tal es así, que el año 1999 era interpretado como 99. Esto tendría como consecuencia principal que después del 31 de diciembre de 1999, sería el 1 de enero de 1900 en vez de 1 de enero de 2000.

Por qué sucedería esto? Pues bien, si para los sistemas informáticos, 1999 era interpretado como 99, el año 2000 sería interpretado como 00, es decir, 1900. Otras herramientas, que permitían contar tres dígitos, tomarían la continuidad del 99 como 100, es decir, el año 19100.

Acciones a tener en cuenta

Read moreA una década del error del milenio