Mensajes

La compañía de seguridad ESET se ha hecho eco de una vulnerabilidad Oauth en Instagram que podría ser explotada para robar la cuenta de cualquier usuario y acceder a sus fotos privadas.

Instagram es una red social ampliamente utilizada para compartir fotografías a través de diferentes plataformas, incluida Facebook, y en la que se acaba de descubrir una grave vulnerabilidad Oauth que permitiría robar cualquier cuenta. Según investigadores de ESET, un atacante que logre explotar la vulnerabilidad tendría acceso a fotos privadas e incluso podría borrar dicha información, así como subir nuevas imágenes y también editar o borrar comentarios existentes.

La vulnerabilidad puede ser explotada de dos formas diferentes. La primera opción es el robo de la cuenta a través de la propia vulnerabilidad Oauth de Instagram, para lo que el atacante utiliza el parámetro redirection_uri que valida el sitio web indicado, el cual puede ser explotado si se modificaba el sufijo del sitio especificado. Por ejemplo, si el sitio finalizaba en ".com" podía pasarse como parámetro ".com.es". Si el ciberdelincuente deseaba llevar a cabo el ataque, debía comprar previamente el dominio con el sufijo modificado, para así poder robar el token de la propia cuenta.

La segunda opción utiliza el robo de sesión de Instagram a través de Facebook. Aquí, el investigador demostró que es posible utilizar cualquier dominio en el parámetro redirection_uri, de manera que un atacante podría robar el token de sesión de cualquier usuario de Instagram. Esta vulnerabilidad ya ha sido solucionada por el equipo de seguridad de Facebook.

Noticias relacionadas:

- Una aplicación falsa de Instagram intenta infectar dispositivos Android

- Tres pasos para prevenir el malware en las redes sociales

Autor: Hilda Gómez
Fecha: 08/05/2013

http://www.csospain.es/Un-fallo-en-Instagram-permite-a-un-atacante-accede/sección-alertas/noticia-132803

La confluencia de la crisis e Internet ha generado múltiples posibilidades para el procomún en sus vertientes económica y social (en nuestro país, impulsado además por todo el movimiento ciudadano desarrollado en torno y a partir del 15-M). Desde un punto de vista económico, su máximo exponente es el crowdfunding. Massolution estimó que en 2012 el crowdfunding movió 2.700 millones de dólares en todo el mundo (un 81% más que en 2011) y que la cifra alcanzará los 5.100 millones de dólares en 2013.

Según crowdsourcing.org hay 550 plataformas a nivel mundial (lo que supone un incremento de hasta el 600% en tan solo cinco años) de las cuáles cerca de 60 se encuentran en España (cerca del 11%).

Desde un punto de vista social, tal y como señala Antoni Gutiérrez-Rubí, "la cultura del procomún, como pilar del pensamiento alternativo, tiene tres ventajas que la hacen atractiva: a) se puede aplicar en la vida cotidiana y personal; b) genera pensamiento y práctica como procesos inseparables; c) su dinámica es de abajo-arriba, experimental y práctica, posible y confiada".

Los ejemplos más significativos de procomún y economía colaborativa tienen que ver con el p2p y el acceso abierto a la ciencia y a la nueva economía del conocimiento, comunidades de alimentos, sistemas de trueque, tecnologías cívicas y, sobre todo, bancos de tiempo y monedas sociales.

Un banco de tiempo es un sistema de intercambio de servicios, habilidades y conocimientos por tiempo. El tiempo de cada participante se valora por igual y la moneda establecida suele ser la hora. Se ofrecen y se demandan múltiples servicios: aprendizaje de idiomas o de habilidades tecnológicas, tareas domésticas, atención a personas, actividades comunitarias, asesoramiento, etc.

En 2010 había contabilizados 163 bancos de tiempo en toda España, en 2011 ya se hablaba de 213 y en 2012 se alcanzaban los 291.

En este mapa, realizado por Vivir sin Empleo podemos verlos por Comunidades Autónomas e incluso han creado una guía para su creación y gestión. --> https://www.google.com/maps/ms?ie=UTF8&msa=0&msid=216821199477114130347.00047e05cbd4ac3d080be&source=embed&t=m&vpsrc=0&ll=40.094882,-3.88916&spn=8.066184,14.0625

La Asociación para el Desarrollo de los Bancos de Tiempo, por su parte, intenta ordenar y publicar de manera colaborativa los conocimientos que se gestan en el día a día de los bancos de tiempo, fomentando el intercambio de información y experiencias así como ofrecer un espacio web gratuito en bdtonline.org.

Por su parte, las monedas sociales están vinculadas a la economía local y en 2012 estaban contabilizadas en nuestro país una treintena.

Un buen ejemplo de cómo se están desarrollando es The Social Coin, uno de los proyectos ganadores del premio Jóvenes Changemakers de Ashoka 2012. Esta asociación sin ánimo de lucro ha lanzado una campaña de crowdfunding en Goteo para acuñar monedas que inicien cadenas de acciones desinteresadas que se pueden seguir y medir a través de su web.

Estas monedas además de tener un código único son biodegradables y tienen una semilla de rosal en su interior que se puede plantar al final de la cadena de favores. A falta de 11 días para que se cierre la segunda fase de financiación ha obtenido 10.475 euros.

Como con Internet y el crowdfunding, en el caso del procomún y la economía colaborativa, su desarrollo dependerá del acceso por parte del gran público a este tipo de iniciativas, pero también debemos ser conscientes de que sus usos acaban transformándose en función de las necesidades y experimentaciones de sus usuarios y no tanto de los propósitos iniciales con los que fueron concebidos.

http://www.laflecha.net/canales/blackhats/noticias/monedas-sociales-la-nueva-economia-del-conocimiento

Hace algo más de un mes, os contábamos que Microsoft se estaba reservando todos los detalles acerca de Windows Blue (o 8.1) para su evento Build que se celebrará en junio. Pues bien, desde Redmond han decidido ir más allá y entonces no sólo darán a conocer esta actualización sino que estará disponible de manera pública una versión previa.

Así lo dijo ayer Julie Larson-Green, vicepresidenta corporativa de Windows, durante la Wired Business Conference. Esta información ha sido también publicada en el blog oficial de Windows, donde no han dado más detalles. Sin embargo, en TechCrunch añaden que Larson-Green indicó que la actualización se distribuirá a través de la Windows Store y no por medio de Windows Update.

Por lo tanto, nos quedan algo menos de dos meses para conocer de primera mano todo lo que nos ofrece este Blue, 8.1 o como se decidan llamarlo al final. Imagino que entonces también conoceremos las razones por las que se pasan a la tienda para la distribución, aunque quizá (y estoy especulando) tan sólo es un primer paso de cara a usarla como el lugar donde adquirir próximas actualizaciones mayores del sistema.

Vía | Xataka Windows

http://www.genbeta.com/windows/windows-8-1-tendra-una-version-previa-que-sera-publica-y-aparecera-a-finales-de-junio

Una campaña de spam pornográfico detectada recientemente en Twitter contaba con 5.000 bots activos y era capaz de generar 250 al día. Desde Karspersky Lab denuncian que existen compañías que ofrecen como un servicio de "publicidad social digital" la creación de perfiles fraudulentos en redes sociales, que a veces no duran más de 45 minutos y que cambian su descripción y avatar para burlar las medidas de seguridad y adaptarse a nuevas campañas.

En Karspersky explican que Twitter suele identificar y neutralizar estos bots con facilidad, pero que "ellos se reproducen con la misma facilidad". Lo hacen gracias a las técnicas antes mencionadas, y a otras, como el empleo de un diccionario común para los tuits que mandan, que utilizan con el fin de camuflarse como perfiles legítimos, y al envío de mensajes aleatorios con palabras como "rt", "if", "do", "you", "get" o "find", que el análisis semántico de Twitter suele ignorar.

Además, como dice Vicente Díaz, analista senior de malware de Karspersky, resulta preocupante que "muchas veces se usan cuentas hackeadas" para enviar spam, "incrementando notablemente la posibilidad de que los destinatarios activen el enlace, pues suponen que el remitente es un amigo". Un ejemplo es el de la campaña que utilizó está técnica para capturar cuentas con el mensaje "LOL, funny pic of you", tras el cual se ocultaba un sitio malicioso, que fingía ser Twitter para robar nombres de usuario y contraseñas.

La firma de seguridad alerta también de que este tipo de spam no solo afecta a la plataforma de microblogging, sino que se está extendiendo a otras redes sociales como Facebook.

Según Díaz, para mitigar el efecto de estas campañas es posible utilizar técnicas de aprendizaje automático que permiten una tasa de detección de perfiles fraudulentos de hasta el 91% en algunos experimentos.

http://www.laflecha.net/canales/blackhats/noticias/las-nuevas-herramientas-del-spam

Si eres un usuario de Microsoft, probablemente escuchaste acerca de la campaña Scroogled que está diseñada para revelar las prácticas desleales utilizadas por Google para algunos de sus productos.

Bueno, Google se ha negado a responder hasta ahora, adoptando un silencio que es aún más molesto que un ataque directo a Microsoft.

Por otra parte, los fans de la empresa de búsqueda han lanzado lo que llaman "MicroShafting", una nueva campaña diseñada para mostrar a todos que el ataque de Microsoft contra Google no es nada más que el burro hablando de orejas.

En otras palabras, Microsoft es hipócrita al criticar a Google porque hace casi lo mismo que su rival.

Básicamente, los usuarios de Google apuntan a Bing, alegando que el motor de búsqueda de Microsoft también recopila datos de los usuarios. Además, afirman que el gigante informático de Redmond está más interesado en los ingresos que en los clientes.

Por último pero no menos importante, la campaña MicroShafting se burla de la eliminación del botón de Inicio, ya que Microsoft atacó previamente a Google por su decisión de retirar Reader.

Ni Google ni Microsoft comentaron sobre esta nueva campaña, pero sin duda lo harán pronto.

http://news.softpedia.es/Los-usuarios-de-Google-luchan-contra-Microsoft-se-burlan-de-la-eliminacion-del-boton-de-Inicio-351366.html

En los últimos días, los ciberdelincuentes han intentado atraer a los usuarios de Facebook a un sitio web malintencionado en un intento de convencerlos para entregar sus credenciales.

Según Facecrooks, todo comienza con el siguiente mensaje: "Youu are in tthis viddeo on facebook, skip to 1.45 omg! ttyp in with-outt spaccess:D www .Tagvidz .com" (Eres tú en este vídeo de Facebook, salta al momento 1.45! Escribe sin espacios:D www .Tagvidz .com )

Tagvidz.com no es un sitio web de intercambio de vídeos como podría parecer. En cambio, es un sitio web de phishing diseñado para recopilar los nombres de usuario y las contraseñas de usuarios de Facebook desprevenidos.

Tagvidz.com está actualmente desconectado y el dominio está marcado como malicioso por las soluciones antivirus. Sin embargo, los ciberdelincuentes pueden configurar un nuevo dominio en cualquier momento y relanzar la campaña.

Por eso, es importante que los clientes de Facebook tengan cuidado con estos mensajes engañosos.

En caso de que caigas víctima de esta estafa, asegúrate de cambiar la contraseña inmediatamente. Para protegerte contra las estafas de phishing, puedes habilitar la autenticación de dos factores en Facebook.

http://news.softpedia.es/Advierten-a-los-usuarios-de-Facebook-acerca-de-la-estafa-de-phishing-quot-Tagvidz-quot-351233.html

[notificación]

Canonical publicó en un aviso de seguridad los detalles sobre las vulnerabilidades de ClamAV detectadas en sus sistemas operativos Ubuntu 13.04, Ubuntu 12.10, Ubuntu 12.04 LTS, Ubuntu 11.10 y Ubuntu 10.04 LTS.

Según Canonical, ClamAV podría bloquearse o ejecutar programas al abrir un archivo especialmente diseñado.

Por ejemplo, se descubrió que ClamAV analizaba incorrectamente un paquete UPX ejecutable, conduciendo a múltiples lecturas inadecuadas.

Para obtener una descripción detallada de este error, echa un vistazo a la notificación http://www.ubuntu.com/usn/usn-1816-1/ de seguridad de Canonical.

El fallo de seguridad puede solucionarse actualizando tu sistema al último paquete clamav, específico para cada sistema operativo. Para instalar la actualización, ejecuta la aplicación Update Manager.

En general, una actualización estándar del sistema hace todos los cambios necesarios, por lo que no tendrás que reiniciar el equipo, aunque sí tendrás que reiniciar ClamAV.

http://news.softpedia.es/Corrigen-las-vulnerabilidades-de-seguridad-del-antivirus-Clam-en-todos-los-sistemas-operativos-Ubuntu-351301.html

Publicado el 8 de mayo de 2013 por Antonio Rentero

De nuevo motivos de seguridad (al menos eso alega el gobierno sirio) ocasionan que un país que vive momentos convulsos quede aislado del resto del mundo al desconectarse de Internet.

No es la primera vez que Siria queda aislada de la Red y por desgracia es muy probable que tampoco sea la última.

Google ha hecho público su Informe sobre Transparencia en el que señala la interrupción en las comunicaciones a través de Internet que se ha producido en el país y que al menos en el momento de publicar dicho informe aún continuaba.

Aún no están claras las razones para este apagón internáutico pero las hipótesis más plausibles apuntan a que el causante serían instancias gubernamentales, como ya ha sucedido con anterioridad.

No parece razonable pensar que todo el país haya quedado incomunicado de Internet a causa de alguna avería y más bien parece que la explicación estaría relacionada con la situación de crisis que se vive en estos momentos con la escalada militar que existe entre Siria e Israel. Si se trata de controlar la información en un momento tan delicado, nada como "desenchufar" al país entero de Internet.

vINQulo

Google

http://www.theinquirer.es/2013/05/08/apagon-en-la-red-siria-desaparece-de-internet.html

[Más información]

Roberto Paleari ha descubierto dos vulnerabilidades en los routers Huawei AR1220 con las que se puede ejecutar código arbitrario a través de un desbordamiento de la pila.

Los fallos han sido descubiertos en el servicio SNMPv3. Este es un protocolo de gestión de dispositivos, que es su versión 3 incorpora más medidas de seguridad que en las anteriores, como por ejemplo el control de usuarios, que las anteriores no implementaban.

La primera de las vulnerabilidades se puede explotar con la configuración por defecto de SNMPv3. El error existe en el decodificador del paquetes de este servicio. Cuando el sistema recibe un paquete SNMP, este lo carga en memoria. Si el paquete está especialmente manipulado y ocupa más del tamaño estándar, se produce el desbordamiento de memoria en el router y la posibilidad de ejecutar código arbitrario en él.

La segunda de las vulnerabilidades se encuentra relacionada con la forma de manejar la depuración de paquetes, por eso sólo se puede explotar estando el modo de depuración activado. Se trataría también de un desbordamiento de memoria intermedia basado en pila y se podría permitir una ejecución de código arbitrario.

Ambas vulnerabilidades se encuentra en los routers de las series AR 150, AR 200, AR 1200, AR 2200 y AR 3200.

Más información:

Huawei-SA-20130425-02 - Security Advisory-Overflow Vulnerabilities in SNMPv3 http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-260601.htm

Huawei-SA-20130313-01 - Security Advisory-Stack Overflow Vulnerabilities in SNMPv3 debugging mode http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-260626.htm

Multiple buffer overflows on Huawei SNMPv3 service http://blog.emaze.net/2013/05/multiple-buffer-overflows-on-huawei.html

http://www.laflecha.net/canales/seguridad/noticias/dos-vulnerabilidades-en-routers-huawei-permiten-ejecucion-de-codigo-arbitrario

[Seguir leyendo]

Probablemente no hayas oído hablar de HD Moore pero hasta hace unas semanas, una pila de ordenadores recalentados que ocupaban su cuarto de invitados, contactaban tres veces al día con todos los dispositivos conectados a Internet del mundo, puede que incluso alguno que tengas en casa. "Tengo muchos equipos de aire acondicionado para asegurarme de que mi casa no sale ardiendo", afirma Moore, que es director de investigación en la empresa de seguridad informática Rapid7. En febrero del año pasado decidió llevar a cabo un censo personal de todos los dispositivos conectados a Internet como hobby. "Este no es mi trabajo, es lo que hago para divertirme", afirma.

De momento, Moore ha puesto esa diversión en espera. "Ha provocado unas cuantas quejas, correos de odio y llamadas de las agencias de seguridad", explica. Pero los datos recogidos han revelado algunos problemas graves de seguridad y expuesto a algunos negocios y sistemas industriales vulnerables que se usan para controlarlo todo, desde los semáforos hasta la infraestructura eléctrica.

El censo de Moore consistía en enviar mensajes sencillos automatizados a cada una de las 3.700 millones de direcciones IP asignadas a los aparatos conectados a Internet en todo el mundo (Google, en comparación, recoge la información pública que ofrecen los sitios web). Gran parte de los dos terabytes (2.000 gigabytes) de respuestas que recibió Moore de 310 millones de IPs indicaban que provenían de aparatos vulnerables a fallos conocidos o que estaban configurados de tal forma que cualquier podía hacerse con su control.

Seguir leyendo: http://www.laflecha.net/canales/blackhats/noticias/miles-de-sistemas-industriales-y-empresariales-ofrecen-acceso-remoto-a-internet-a-cualquiera