EnHacke
>

Google crea un mapa interactivo de ataques DDoS en todo el mundo

47703936e7c841be1a67d01be93e056e_article

Los ataques DDoS o ‘ataque distribuido de denegación de servicio’ están siendo usados en todo el mundo como una forma relativamente fácil de ciberataque. Google ha creado un mapa que muestra su ubicación a nivel mundial.

A través de su cuenta oficial de Twiter, Google anunció el lanzamiento de este mapa mundial interactivo que muestra los DDoS en tiempo real. Esto es posible gracias a los datos que recopila la compañía tecnológica Arbor Networks provenientes de clientes de más de 270 proveedores de acceso a internet de todo el mundo, que de forma anónima han aceptado facilitar su información.

La división del gigante de internet denominada Google Ideas unió esfuerzos con Arbor Networks para lograr diseñar este mapa, que forma parte de un conjunto de herramientas elaboradas por Google para ayudar a proteger a los medios de comunicación y a las organizaciones de derechos humanos de censura y ataques en la red.

Uno de los nuevos servicios es el uProxy, anunciado este lunes, que permitirá a los usuarios establecer una conexión cifrada con alguien de confianza. Google espera que la nueva tecnología permita burlar a los funcionarios gubernamentales.

Igual que Tor, uProxy permite a ciudadanos de ciertos países evadir los softwares de censura o vigilancia de sus gobiernos al navegar por la red. El servicio, que actualmente está en modo de prueba, no es una red de anonimato como Tor, pero hará que una conexión individual sea indistinguible de las demás conversaciones cifradas en línea.

Ese anonimato puede ser valioso teniendo en cuenta los intentos de agencias como la NSA de romper la seguridad de Tor.

Actualización de seguridad de java-1.7.0-openjdk para Red Hat Enterprise Linux 6

Red Hat ha publicado el boletín de seguridad RHSA-2012-1009 que afecta al paquete java-1.7.0-openjdk de la versión 6 de Red Hat Enterprise Linux en sus ediciones Desktop, Server, Workstation y HPC Node. Esta actualización es consecuencia de las múltiples actualizaciones que Oracle hizo públicas para Java el pasado 12 de Junio.

En total, se corrigen 10 vulnerabilidades: Una de importancia baja, tres de gravedad moderada, una importante y cinco críticas. Las vulnerabilidades tratadas en el boletín por la actualización son las siguientes:

 

  • Dos vulnerabilidades localizadas en CORBA (Common Object Request Broker Architecture), con identificadores CVE-2012-1719 y CVE-2012-1711, calificadas como moderada y crítica respectivamente y explotables de forma remota la primera y local la segunda. Podrían permitir el salto de las restricciones de seguridad impuestas por el sandbox de Java para acceder a datos del sistema, modificarlos, y en el caso de CVE-2012-1711 causar además una denegación parcial del servicio, a través de una aplicación Java maliciosa.
  • La vulnerabilidad CVE-2012-1713 reside en el administrador de fuentes, calificada como crítica y explotable remotamente. Este error podría permitir a un atacante remoto provocar una denegación de servicio parcial en la máquina virtual de Java o potencialmente ejecutar código remoto con los privilegios del usuario a través de un fichero especialmente manipulado.
  • Otra vulnerabilidad con CVE-2012-1716 en el componente Swing y de importancia crítica. Un atacante remoto, a través de una aplicación Java maliciosa, podría acceder a elementos de la interfaz de usuario para provocar una denegación parcial del servicio o saltar las restricciones de la sandbox de Java.
  • La vulnerabilidad con CVE-2012-1717 (de gravedad baja) afecta a varias clases de la librería estándar de Java Runtime, al provocar que estas creen ficheros temporales con permisos incorrectos. Esto podría permitir a un atacante local acceder a información sensible.
  • El identificador CVE-2012-1718, corresponde a un fallo al manejar la Lista de Certificados Revocados (CRL, Certificate Revocation Lists). Una lista con números de serie de certificados duplicados podrá ser ignorada, lo que podría permitir una denegación de servicio parcial. Se le asigna una importancia moderada.
  • Dos vulnerabilidades críticas en Java HotSpot Virtual Machine (CVE-2012-1723 y CVE-2012-1725). Estos fallos podrían permitir a un atacante remoto realizar una denegación de servicio en la máquina virtual de Java, saltar las restricciones de su sandbox o potencialmente ejecutar código arbitrario a través de una aplicación Java especialmente manipulada.
  • El parseador XML de Java del componente JAXP contiene un error al tratar determinados archivos XML. Un atacante remoto podría aprovechar este problema para para hacer que entre en un bucle infinito a través de un fichero XML manipulado para tal efecto. Esta vulnerabilidad ha sido calificada como moderada, y se le ha asignado el identificador CVE-2012-1724.
  • Por último y calificada como importante, la vulnerabilidad CVE-2012-1726, alojada en la función java.lang.invoke.MethodHandles.Lookup, que no concede correctamente los modos de acceso. Lo que podría permitir a una aplicación Java no verificada saltar las restricciones de seguridad impuestas por la sandbox.

Adicionalmente, se corrige un bug a la hora de compilar scripts SystemTap.

Más información:

Important: java-1.7.0-openjdk security and bug fix update:
https://rhn.redhat.com/errata/RHSA-2012-1009.html

Oracle Java SE Critical Patch Update Advisory – June 2012:
http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

Proponen legalizar los ciberataques DDoS

El partido de la oposición holandesa Demócratas 66 (D66) propone legalizar ataques de denegación de servicio (DDoS), que suelen usar los hactivistas de Anonymous como forma de protesta

Kees Verhoeven, líder de la campaña, propone despenalizar este tipo de ciberataques siempre y cuando los manifestantes avisen cuándo emprenderán su acción. De esta manera, un sitio web tendrá tiempo para prepararse para el ataque, al igual que un edificio de oficinas se toma su tiempo para prepararse ante una protesta que vaya a tener lugar en sus alrededores.

La propuesta también abarca otros aspectos, como la restricción de la transmisión de información sobre los visitantes de un sitio web, así como la introducción de normas más estrictas contra el espionaje de correos electrónicos y otras medidas para reforzar la privacidad online.

Localizan una botnet en China para lanzar ataques DDoS

La empresa de seguridad McAfee ha descubierto una botnet diseñada para lanzar ataques de denegación de servicio (DDoS) que ha sido bautizada como Nitol y que está operando en China. 

La botnet está basada en Nitol, un troyano escrito en C++ con un montón de fallos en el código, lo que ha llevado a los expertos a pensar que está escrito por un programador inexperto. Sin embargo se pone de manifiesto cómo la creación de botnets se está convirtiendo una tarea cada vez más asequible gracias a los kits de herramientas que se venden en Internet y que convierten a cualquiera en un hacker.

Las muestras examinadas por los investigadores de McAfee y otras organizaciones no son muy completas, además, la botnet en sí misma es relativamente pequeña y no es muy conocida, asegura Itai Liba, investigador de la firma en el blog de la compañía.

“Nitol se copia a sí mismo como un nombre de archivo *******.exe en el que cada * es un carácter alfabético aleatorio en el directorio de Archivos de Programa”, dice. A continuación el nuevo archivo se registra como un servicio, “MSUpdqteeee”, que en pantalla muestra el nombre “Microsoft Windows Uqdatehwh Service”.

Una vez instalado el malware conecta con el servidor de comando y control de la botnet utilizando el puerto TCP y envía toda la información de la máquina de la víctima.

Denegación de servicio en Samba

Se ha anunciado una vulnerabilidad en Samba que podría permitir a un atacante provocar una denegación de servicio.

Samba es una implementación libre del protocolo decompartición de archivos Microsoft para sistemas de UNIX. De esta manera equipos con sistemas GNU/Linux, MacOS o Unix en general pueden formar parte de la red de directorios compartidos de Windows.

La vulnerabilidad, descubierta por Youzhong Yang e Ira Cooper, está causada por un error en el demonio smbd al no liberar memoria cuando maneja solicitudes de conexión, incluso si estas no tienen éxito debido a una autenticación incorrecta.
Un atacante en red local podría explotar esta vulnerabilidad para agotar la memoria y aumentar el uso de la CPU del sistema, causando una denegación de servicio mediante el envío de un gran número de solicitudes de conexión.
La vulnerabilidad, identificada como CVE-2012-0817, afecta a las versiones de Samba 3.6.0 hasta 3.6.2.
Desde la página oficial de Samba se puede descargar la versión 3.6.3, así como parches para otras versiones que corrigen la vulnerabilidad explicada anteriormente: http://www.samba.org/samba/security/
Más información:
CVE-2012-0817 – Memory leak/Denial of Service
http://www.samba.org/samba/security/CVE-2012-0817
Samba 3.6.3 Available for Download
http://www.samba.org/samba/history/samba-3.6.3.html

Fortinet vuelve a apostar por la seguridad web

Fortinet, proveedor líder del mercado de seguridad de redes, ha anunciado la incorporación de tres nuevos dispositivos dentro de su familia FortiWeb –FortiWeb-4000C, FortiWeb-3000C FSX y FortiWeb-400C. La nueva línea de productos está diseñada para dar respuesta a las diversas necesidades de grandes empresas, proveedores de servicio y organizaciones de tamaño medio que deben proteger aplicaciones Web estratégicas ante brechas de seguridad y fuga de datos.

Asimismo, Fortinet ha incorporado nuevas mejoras a su sistema operativo FortiWeb 4.0 MR3 como un nuevo sistema de logging y reporting, más seguro y sencillo y con mayor capacidad de configuración.

FortiWeb-4000C, que ofrece un alto rendimiento y está especialmente dirigido a grandes centros de datos, es un firewall de aplicación web de categoría empresarial que soporta 70.000 transacciones por segundo y un rendimiento de 2Gbps. Los resultados de los análisis sobre su rendimiento son sustancialmente mejores que los de otros sistemas de la misma categoría. Uno de los valores clave de FortiWeb-4000C es la aceleración basada en hardware para mejorar la aplicación de las políticas de prevención de pérdida de datos que están diseñadas, en principio, para evitar el robo de información de identificación personal y de las tarjetas de crédito. Al disponer de un hardware dedicado para los procesos DLP, FortiWeb-4000C es capaz de ofrecer más rendimiento a la vez que libera las CPUs para otras tareas de procesamiento.

FortiWeb-3000C FSX mantiene todas las características y beneficios del dispositivo FortiWeb-3000C con la incorporación de una tarjeta bypass de fibra para soportar grandes centros de datos que requieren soporte de fibra. El nuevo dispositivo ofrece opciones de despliegue altamente flexibles con un balanceado de carga inteligente de capa siete y hardware – y aceleración basada en software para mejorar la utilización de los recursos y la estabilidad de la aplicación, a la vez que reducir los tiempos de respuesta del servidor.

Remplazando a FortiWeb-400B, el nuevo FortiWeb-400C es un firewall de aplicación web con CPUs más rápidas y una memoria sustancialmente más elevada.

Nuevas capacidades en FortiWeb 4.0 MR3

El sistema operativo FortiWeb 4.0 MR3 ofrece mejoras en tres áreas clave: logging y reporting, seguridad y sencillez de configuración. Para mejorar el logging y reporting, FortiWeb 4.0 MR3 ofrece integración con FortiAnalyzer, una simplificación que implica una gestión centralizada de todos los logs y reports desde múltiples dispositivos FortiWeb físicos o virtuales así como de otras líneas de productos Fortinet. El análisis de datos en tiempo real se ha simplificado en gran medida a través de una nueva interface analítica de FortiWeb que permite a las organizaciones analizar el uso de los servidores web desde el punto de vista del Hit, el Flujo y el Ataque. Además, los administradores de seguridad pueden conocer estas peticiones basándose en sus puntos de origen geográfico.

Para contrarrestar los ataques de denegación de servicio (DoS), FortiWeb 4.0 MR3 cuenta con una nueva capa de protección que ofrece políticas DoS de red y aplicaciones. Aprovechando los nuevos algoritmos recogidos en las políticas DoS, la familia de productos FortiWeb puede ahora analizar las peticiones procedentes de los usuarios para determinar rápidamente su legitimidad o si se encuentran bajo ataques automatizados asociados con Amenazas Avanzadas Persistentes (APT) o un nuevo malware. El nuevo software también ofrece un periodo de bloqueo y soporta compresión avanzada para una utilización más eficiente del ancho de banda y un tiempo de respuesta mejorado.

La nueva interface de usuario también ha sido mejorada en FortiWeb 4.0 MR3, permitiendo una configuración rápida e intuitiva de dicha interface.

Audio # 2 – Las botnets

En este audio hablaremos sobre las redes de ordenadores zombies o botnets. Estas redes estan conformadas de máquinas infectadas que obedecen a un bot master. Este tipo de ataques es muy utilizado en el cibercrimen para el robo y secuestro de información, para el famoso SPAM, o publicidad de algun producto, entre otros.

Este audio toca ciertos aspectos de las botnets como su definición, medios de difusión, formas de ataque, cibercrimen y  contramedidas. Esperamos sea de su agrado.

Play