Qué es KRACK, la vulnerabilidad de la que todos hablan

Hace algunos días comenzaba a circular por Internet la noticia de que hoy, 16 de Octubre, se daría a conocer públicamente una vulnerabilidad que afecta practicamente a todas las implementaciones de redes inalámbricas Wi-Fi. Y digo “practicamente todas”, porque la vulnerabilidad afecta a aquellas redes que utilizan el protocolo WPA2 para cifrar las comunicaciones entre el router/AP y el dispositivo cliente (laptop, celular, etc). KRACK, acrónimo de “Key Reinstallation Attack” o “Ataque por reinstalación de clave”, es un ataque al protocolo WPA2, que fue descubierto este mismo año por el investigador Belga Mathy Vanhoef, y aprovecha una vulnerabilidad en el …

Read moreQué es KRACK, la vulnerabilidad de la que todos hablan

GHOST, la primer gran vulnerabilidad del 2015

Photo by Markus Spiske on Unsplash

Qualys, firma internacional de seguridad informática, publicó hace algunas horas los detalles acerca de una antigua vulnerabilidad conocida como GHOST y registrada en la base de CVE (Vulnerabilidad y exposiciones comunes, por sus siglas en inglés) bajo el número 2015-0235. GHOST, quien recibe su nombre del método GetHostByName, fue introducido originalmente en la librería glibc-2.2 que data de noviembre del año 2000 y corregido en mayo de 2013 (en las librerías glibc-2.17 y glibc-2.18). Sin embargo no fue tratado como una brecha de serguridad, por lo que un gran porcentaje de las distribuciones de Linux alrededor del mundo continúan afectadas …

Read moreGHOST, la primer gran vulnerabilidad del 2015

Todo lo que necesitas saber acerca de POODLE

Photo by Markus Spiske on Unsplash

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Read moreTodo lo que necesitas saber acerca de POODLE

Google subirá el ranking de los sitios que usen HTTPS

Photo by Markus Spiske on Unsplash

Versión en inglés disponible aquí / English version available here

Gary Illyes y Zineb Ait Bahajji, del equipo de análisis de tendencias de Google, publicó el día de ayer una información en el blog de seguridad de la compañía, donde aseguran que aquellos sitios que no trabajen bajo TLS (Transport Layer Security, por sus siglas en inglés) verán reducido su ranking en los resultados de búsqueda, en comparación con aquellos que utilicen HTTPS.

“La seguridad es una de nuestras principales prioridades”, asegura el comunicado en el que la compañía con sede en California dio más detalles sobre este cambio. Con el objetivo de mejorar la experiencia y la seguridad de los usuarios, Google comenzó semanas atrás a realizar pruebas con el ranking de sus resultados de búsqueda.

TLS, o Transport Layer Security por sus siglas en inglés, es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Las pruebas indican que, hasta el momento, solo el 1% de las consultas globales se han visto afectadas por este cambio, ya que su aplicación no tiene tanto peso como las reglas de calidad de contenido. Google espera comenzar a darle más prioridad con el correr de las semanas, otorgando a los administradores de web algo de tiempo para afrontar el cambio.

En las próximas semanas el equipo de Google estará publicando más detalles sobre las mejores prácticas para la adopción de mecanismos de seguridad en la web, pero dejan las siguientes recomendaciones para evaluar de manera efectiva el pasaje a TLS:

Read moreGoogle subirá el ranking de los sitios que usen HTTPS

Vulnerabilidad Heartbleed. ¿De qué se trata?

Photo by Markus Spiske on Unsplash

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

 

vulnerabilidad-heartbleed-de-que-se-trata_001

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

 

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

 

Recomendaciones para usuarios

Read moreVulnerabilidad Heartbleed. ¿De qué se trata?

Se acerca el fin del soporte oficial para Windows XP ¿estás preparado?

Photo by Markus Spiske on Unsplash

se-acerca-el-fin-del-soporte-oficial-para-windows-xp_001En el año 2009, anunciábamos el fin del Soporte Técnico Principal para Windows XP y el comienzo de la etapa de Soporte Técnico Extendido. Como es de público conocimiento, el próximo 8 de abril Microsoft dejará de brindar soporte técnico de todo tipo a su sistema operativo Windows XP y la noticia (para nada nueva) ha causado un revuelo bastante grande en los medios de todo el mundo.

Cuando adquirimos una licencia legítima de un Sistema Operativo o software, como Microsoft Windows o Microsoft Office, recibimos el Servicio de soporte técnico del fabricante y entramos en lo que se conoce como Microsoft LifeCycle Program o Programa de Ciclo de Vida Microsoft.

Este Ciclo de vida, diferente para cada producto, establece tres fechas principales:

Inicio del Ciclo de Vida: Esta fecha marca normalmente el momento en que el producto sale a la venta o se pone a disposición del público.

Fin del Soporte Técnico Principal: Establece el momento en el que Microsoft dejará de brindar soporte técnico gratuito a los usuarios del producto. Si bien continuará emitiendo boletines de seguridad con sus respectivas actualizaciones, ya no corregirá bugs. El soporte técnico será ofrecido únicamente a los clientes con contrato de soporte.

Fin del Soporte Técnico Extendido: También conocido como Soporte Técnico Ampliado, marca el momento a partir del cual Microsoft dejará de ofrecer soporte técnico y de brindar actualizaciones de seguridad para el producto. Esto implica que, de descubrirse una vulnerabilidad, nadie trabajará en su corrección y el software afectado permanecerá vulnerable hasta que sea reemplazado por una versión más reciente.

se-acerca-el-fin-del-soporte-oficial-para-windows-xp_002

¿Cómo afecta el fin del soporte a los usuarios?

Read moreSe acerca el fin del soporte oficial para Windows XP ¿estás preparado?

Alerta de Seguridad de Microsoft MS10-002

Photo by Markus Spiske on Unsplash

Queridos lectores, Fuera del ciclo habitual de actualizaciones de Microsoft, el segundo martes de cada mes, el día de hoy se ha hecho pública un Alerta de Seguridad bajo el ID MS10-002, que afecta al navegador Internet Explorer en sus versiones 5, 6, 7 y 8. En el artículo, Microsoft ha especificado que todas las versiones actualmente soportadas de Internet Explorer se encuentran afectadas por una vulnerabilidad que permitiría la ejecución remota de código, reportada en septiembre último. Entre los sistemas operativos afectados debemos mencionar: Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows …

Read moreAlerta de Seguridad de Microsoft MS10-002

Continúa el ataque masivo a cuentas de Hotmail

Photo by Markus Spiske on Unsplash

Queridos lectores,

Hace ya algunos días, Microsoft había dado a conocer un alerta sobre la cantidad de casos de robo de contraseñas que estan sufriendo los clientes del servicio gratuito de correo Windows Live Hotmail o Hotmail.

Al respecto, y desde el comienzo del inconveniente, se ha destacado que no se trata de una vulnerabilidad en el servicio ni una revelación de información, sino de un ataque del tipo Phishing a los usuarios afectados.

Recordemos que el Phishing es aquella maniobra malintencionada que utilizan los atacantes para lograr que sus víctimas revelen sus contraseñas y claves, de forma tal que ellos sean los responsables de haber facilitado la información.

Comunicado oficial

Read moreContinúa el ataque masivo a cuentas de Hotmail

Actualización para Windows Live Messenger

Photo by Markus Spiske on Unsplash

Queridos lectores,

Según información oficial brindada por Microsoft, a partir del día de hoy todos los usuarios de Windows Live Messenger deberán actualizar su producto a la última versión publicada.

La nota de revisión del boletín de seguridad 973882 referencia a una vulnerabilidad existente en Microsoft Active Template Library, que ha sido solventada en la nueva release de Windows Live Messenger.

El proceso de actualización será dividido en dos Fases, de acuerdo al siguiente esquema indicado en el blog oficial del equipo de Windows Live Messenger.

Primera Fase. Actualización Opcional. 

Read moreActualización para Windows Live Messenger

Alerta de Seguridad de Microsoft

Photo by Markus Spiske on Unsplash

Queridos lectores,

En la madrugada del día de hoy, Microsoft ha liberado dos boletines de Seguridad que deben ser inmediatamente instalados en los equipos afectados.

La nota de prensa indica:

ALERTA DE SEGURIDAD
28 de julio de 2009

ALERTA:

MS09-034 / Crítico para las versiones de Internet Explorer 5.01, 6, 7 y 8 corriendo sobre versiones de Windows XP, Vista, Windows Server 2003 y Windows Server 2008

MS09-035 / Afecta a las aplicaciones desarrolladas con la tecnología Active Template Library (ATL) incluida en Visual Studio. Esta actualización es específica para desarrolladores de componentes y controles.

Acción Inmediata:

Obtenga la actualización de seguridad utilizando: Windows Update, Microsoft Update, ingresando a http://update.microsoft.com Para más información consulte: http://www.microsoft.com/latam/seguridad/

El correo, dirigido a los clientes de Microsoft, indica:

Read moreAlerta de Seguridad de Microsoft