Aunque propiamente no fue una falla de seguridad de la manzana, ‘The Fappening’ puso al descubierto lo generalizados que son ataques como el phishing y la suplantación de identidad para conseguir las contraseñas de los servicios de almacenamiento. Lo más triste de todo el cuento es que las filtraciones se repitieron y dejaron al descubierto lo expuestos que estamos todos en internet.

En últimas, este ataque en contra la privacidad en internet es una muestra más de las vulnerabilidades que tiene la web. Durante el año, tuvimos otros ejemplos como el ataque a Sony Pictures y Heartbleed. Aunque son sustancialmente diferentes, estos elementos agrupados demuestran que internet, con todas sus bondades y facilidades, también tiene un lado negro que le puede costar mucho a muchas personas.

¿Crees que ‘The Fappening’ fue la noticia tecnológica más importante del año?. Tu opinión cuenta y la puedes expresar ingresando a Facebook a través de la siguiente imagen. Vota, que tu opinión cuenta.

Imágenes: Captura de pantalla.

Windows tenía un error crítico que había existido en todas sus versiones desde la introducción de Windows 95, es decir, hace más de 19 años. Sin embargo, IBM anunció en su blog que Microsoft arregló esta falla con un parche, como informó The Verge. Fue encontrada por los investigadores de seguridad de IBM en mayo, quienes le avisaron en un mensaje privado a la compañía de software.

Este bug permite a los atacantes ejecutar remotamente un código en el sistema afectado y convencer a los usuarios de Windows para que visiten una dirección URL en Internet Explorer. La falla se activa en Internet Explorer 3.0. Todas las versiones posteriores de este navegador web se ven afectadas por este error. Hasta el momento, no hay ninguna evidencia de que haya sido utilizado para perpetrar ataques.

El Common Vulnerability Scoring System (CVSS) calificó la vulnerabilidad del sistema operativo con un puntaje de 9,3 sobre 10, porque afecta a muchas versiones de Windows y está ampliamente difundido.

El bug también está presente en las plataformas Windows Server. Por esto, pone en peligro la seguridad de los sitios web que manejan datos cifrados, como algunos los servidores de correo electrónico o de transacciones bancarias.

Robert Freeman, uno de los investigadores de IBM, afirmó que “a pesar de muchos otros bugs que han sido descubiertos y arreglados en Windows, esta vulnerabilidad se ha tenido en cuenta por mucho tiempo”.

Windows ha arreglado esta falla en Windows 8.1, Windows 7, Windows Vista y en sus servidores. En su actualización mensual, ha liberado 14 parches. Próximamente, esperan lanzar otros dos. Sin embargo, los usuarios de Windows XP no estarán protegidos si los atacantes aprovechan esta vulnerabilidad porque este año Microsoft dejó de soportar este sistema operativo.

BBC News afirmó que muchos expertos comparan esta falla con los problemas que tuvo Microsoft con Heartbleed, un ‘bug’ en el OpenSSL, un estándar de código libre con el que se cifra información privada que se transfiere de un lugar a otro como en correos electrónicos y chats privados.

Imagen: Marcin Wichary (vía Flickr). 

Por: Diego Osorio Reina*

El pasado miércoles se publicó el hallazgo de una vulnerabilidad en el componente de software Bash, herramienta histórica y propia de los sistemas operativos Unix, Linux y Mac OS X, que ya bautizaron Shellshock, Bashdoor o Bash bug. La vulnerabilidad es un error en el software que permite engañar a la línea de comandos para que ejecute una orden que no estaba concebida, como visualizar archivos confidenciales, espiar la actividad, realizar algún daño o apagar el sistema.

Aunque para alcanzar la línea de comandos y así Bash se requiere que la persona esté sentada frente al computador o que acceda remotamente con usuario y contraseña. Muchos componentes de software de Unix, Linux y Mac OS X que dan servicios masivos en internet como la publicación de páginas web, se comunican con Bash. De esta forma sale a la luz que a partir del miércoles, millones de páginas del planeta permiten ser engañadas para ejecutar comandos no autorizados dentro de los sistemas que las publican. El gran revuelo es ocasionado precisamente por esta situación, llegándose a estimar que los perjuicios pueden ser mucho más altos que el de la última vulnerabilidad famosa de hace unos meses atrás Heartbleed.

Haciendo una analogía, la vulnerabilidad es como si de un momento a otro descubrieran que el aluminio se derrite con una mezcla de sal y limón, teniendo en cuenta que un alto porcentaje de las ventanas en la construcción moderna de casas y apartamentos usan aluminio. ¿Qué ocurriría? Todos los delincuentes saldrían corriendo a derretir las ventanas para robar las casas y todos los propietarios y habitantes de las casas saldrían corriendo a cambiar las ventanas de aluminio. Esto último es lo que está ocurriendo: todos los propietarios y responsables de Unix, Linux y Mac estamos corriendo a remendar Bash con las actualizaciones que están liberando los fabricantes. (La de Mac OS X se puede descargar acá).

En el mundo de la seguridad de internet cuando ocurren este tipo de situaciones, cómo lo es descubrir un error de un programador que permite la ejecución arbitraria de comandos en millones de servidores de publicación web, los fabricantes de software corren a remendar el software por medio de parches y actualizaciones, y por su parte, los delincuentes informáticos corren a aprovecharse de la vulnerabilidad, creando virus y redes de computadores delincuentes en los ya comprometidos (botnets).

Bash es un software histórico y se estima que la vulnerabilidad llevaba 22 años existiendo sin ser descubierta, esto esta dando mucho que hablar y hay quienes afirman que esto es la prueba de que existe un Big Brother que espía todas las actividades de la sociedad. Si esto es cierto o no, no lo se, simplemente sé que les recomiendo a todos remendar a la mayor brevedad sus sistemas Linux, Unix y Mac OS X.

______

*Diego es CIO de LockNet, una empresa de seguridad informática en Bogotá, Colombia. Además es especialista en redes y consultor de seguridad informática.

Salió una nueva vulnerabilidad que afecta a los equipos con algunas distribuciones de Linux y Mac OS X, sistemas operativos basados en Unix. Ha sido llamada Shellshock y afecta a Bash, una interfaz para darle instrucciones a la computadora a través de textos (o ‘terminal’, como la conocen muchos usuarios) que ha sido ampliamente usada en toda clase de equipos de cómputo en los últimos 30 años, desde servidores hasta electrodomésticos conectados a internet. Fue descubierta por el ingeniero francés Stéphane Chazelas y ya está siendo comparada con Heartbleed por su alcance y peligrosidad.

En una terminal es posible darle una instrucción a un computador para que, cada vez que el usuario digite un caracter particular, aparezca un texto en la pantalla. Según una explicación ofrecida por el bloguero especializado en seguridad informática Tom Scott, la vulnerabilidad consiste en que, si se inserta un pequeño comando que en medio de una orden de ese tipo, el computador no entiende que se le pidiendo que muestre un texto, sino que se le está dando otra instrucción.

El problema es esa otra instrucción: puede ser, literalmente, cualquiera. Y, al menos hasta este momento, Shelshock es el peor mundo posible en una crisis de seguridad informática.

Rápido, fácil y efectivo

Quienes quieran aprovechar la vulnerabilidad se van a dar cuenta de que hacerlo es rápido, fácil y efectivo porque no hay que saber casi nada ni invertir tiempo para crear un código que use la vulnerabilidad. Como le dijo a Wired Chris Wysopal, de la firma de seguridad Veracode, “no se necesita tiempo de desarrollo. Había quien estaba comprometiendo máquinas una hora después del anuncio“.

Y es efectivo porque, a pesar de esto, hasta el momento no hay una forma de evitar ser vulnerable. Red Hat, la empresa de servidores basados en Unix que está detrás de una parte muy significativa de la infraestructura de redes en el mundo, lanzó un primer ‘parche’ pero luego descubrió que no solucionaba completamente el problema, según reporta ZDNet. Otras compañías que ofrecen equipos basados en Linux hicieron lo mismo. Pero, como dice Scott, “hay un montón de ‘parcheo’ que hacer“.

Solo hay ‘parches’ parciales

Ya fueron detectados los primeros ‘exploits’. Wired reporta que el jueves se detectó que algunos desarrolladores de malware la están aprovechando para reclutar equipos para una botnet –una red de computadores que obedecen instrucciones dadas remotamente– o para lanzar ataques DDoS contra servidores web.

Según la Base de Datos de Vulnerabilidades Informáticas del gobierno de Estados Unidos, Shellshock tiene una calificación de 10 sobre 10 en impacto y ‘explotabilidad’. Por medio de ella, es posible lograr cosas como “revelación de información sin autorización, […] modificaciones sin autorización […] o interrupción del servicio“.

La escala de la vulnerabilidad es muy grande. Muchos servidores de internet y equipos de cómputo personal funcionan con Bash. Todos los equipos con OS X Mavericks son vulnerables en teoría, pero según un foro de discusión, para que realmente se pueda hacer daño a un Mac con Shellshock es necesario que su usuario haya permitido el acceso remoto, o que esté corriendo un servidor web. Apple no se ha manifestado oficialmente al respecto.

Por ahora, lo único que realmente pueden hacer los usuarios es instalar las actualizaciones tan pronto estén disponibles y usar al máximo las herramientas preventivas, como los ‘firewalls’ o la prudencia a la hora de navegar y descargar o ejecutar archivos.

Investigadores de seguridad encontraron nuevos bugs cifrados en el software que causó la amenaza de internet ‘Heartbleed’ en abril de este año.

Los expertos en seguridad anunciaron que los nuevos ‘bugs’ son más difíciles de explotar que el ‘Heartbleed’ lo que baja su nivel de amenaza. Sin embargo, hasta que los usuarios actualicen sus sistemas existe la posibilidad de que se lancen ataques para explotar la nueva vulnerabilidad no cubierta.

Imagen: carbonNYC (vía Flickr)

Hace unas semanas resonó por todo el mundo la amenaza que representaba el ‘bug’ conocido como Heartbleed para la seguridad de la información. Aunque eso ya es cosa del pasado, pues se logró solucionar a tiempo, este problema sirvió para crear conciencia de la importancia de proyectos como Open SSL, que sirven para implementar protocolos relacionados con la seguridad y la necesidad de supervisar su optimo funcionamiento.

ESTE ES EL PRECIO DEL SAMSUNG GALAXY S5 EN MOVISTAR

Samsung ya lanzó su smartphone estrella de 2014: el Galaxy S5. Desde ya se pueden conocer los precios que tendrá el dispositivo en el operador móvil Movistar.

Y EL SAMSUNG GALAXY S5 EN TIGO VALE…

Si usted quiere tener su Samsung Galaxy S5 en Tigo, le contamos cuánto le vale el teléfono y en qué planes lo va a poder conseguir.

¿QUIERE SABER EL PRECIO DE UN GALAXY S5 LIBRE? ACÁ LA RESPUESTA

Luego de conocer los precios del Samsung Galaxy S5 en el operador móvil Movistar, a través de un comunicado de prensa conocimos su precio en su versión desbloqueada y libre para usar con cualquier operador en una de las tiendas de comercio online más grandes del país, Linio.

¿EN QUÉ SUPERA EL GALAXY S5 A SU PREDECESOR?

Ya pasó el lanzamiento del nuevo celular de Samsung, uno de los más esperados de todos los años. Hemos escuchado muchas cosas sobre lo que trae, incluso lo tuvimos en nuestras manos por un tiempo en el lanzamiento y por eso queremos contarles en qué cosas exactamente superará a su predecesor.

FACEBOOK QUIERE OBLIGARTE A BAJAR SU APLICACIÓN DE MESSENGER

Muchos usuarios utilizan desde sus móviles el servicio de mensajería instantánea de Facebook desde la propia aplicación de la red social sin necesidad de tener la app de Messenger instalada. Pues bien, esta posibilidad parece tener sus días contados, y los usuarios de Facebook eventualmente deberán o dejar de utilizar el chat o bajar la aplicación de Messenger.

¿APPLE INVENTÓ EL ‘SLIDE TO UNLOCK’? UN VIDEO LO PONE EN DUDA

Una de las patentes de las que se discute en el juicio de  Apple vs. Samsung es la del ‘slide to unlock’, o ‘deslizar para desbloquear’. Es el gesto con en el que, con un deslizamiento del dedo, el teléfono se desbloquea. Pero según un video divulgado el martes ocho de abril por Florian Mueller, bloguero de Foss Patents, el movimiento no sería una creación de Apple.

ESTA ES LA APLICACIÓN MÓVIL MÁS EXITOSA QUE SE HA CREADO EN COLOMBIA

Quick Graph podría pasar por ser una aplicación de bajo perfil. Es una herramienta de estudio que sirve de acompañamiento a materias como física, matemáticas o química. Básicamente, permite hacer lo mismo que una calculadora científica tradicional: resolver inecuaciones, sacar variables y mostrar gráficas en 3D. Pero es la aplicación móvil más exitosa y descargada que se ha desarrollado en Colombia.

NO DESESPEREN: LAS LLAMADAS EN WHATSAPP ESTARÍAN CERCA

Desde hace poco más de un mes conocemos la intención de Whatsapp por incluir un servicio de llamadas en la aplicación de mensajería instantánea, como en su momento lo anuncio Jan Koum, CEO de la empresa durante el pasado MWC. Ahora desde Cnet anuncian que las llamadas no tardaría mucho en llegar.

EL IMPACTANTE COMERCIAL QUE HARÁ QUE DEJES DE USAR TU MÓVIL MANEJANDO

La Administración Nacional de Seguridad Vial en Estados Unidos acaba de lanzar una campaña, con motivo del mes de conciencia sobre la atención al volante, con un comercial de 30 segundos que muestra cómo unos segundos de distracción pueden causar una verdadera tragedia.

HEARTBLEED SACA INFORMACIÓN DE TODOS LOS SERVICIOS MÁS IMPORTANTES

Por todos los rincones de internet ahora están sonando las alarmas de una nueva peligrosa amenaza de seguridad llamada Heartbleed. Palabras más palabras menos, consiste básicamente en una vulnerabilidad en un protocolo que utilizan todos los servicios que transfieren información privada de computador a otro, como Gmail y Facebook. Es grave e irrastreable, y según lo que dicen los investigadores que lo descubrieron, podría servir para robar cualquier información privada sin conocer responsables.

La controversia de Heartbleed, la vulnerabilidad de seguridad más importante de los últimos años, no deja de crecer. Muchos de los sitios más importantes de internet (Gmail, Google, Facebook, etc.) se veían afectados por ella. Y ahora, nuevos reportes de Bloomberg mostrarían que la NSA sacó provecho de esa vulnerabilidad por los últimos dos años.

VentureBeat recalca que la agencia de seguridad estadounidense usó el bug de seguridad Heartbleed para la vigilancia, robar contraseñas y otro tipo de datos. Lo delicado es que al parecer nunca les advirtieron a los desarrolladores sobre esa falla, sin importar que muchos usuarios estaban expuestos y vulnerables a un ataque por parte de un hacker. La NSA negó a través de su cuenta de Twitter las denuncias: “Declaración: NSA no conocía de la vulnerabilidad llamada Heartbleed hasta que fue publicada”.

Como ya les explicamos, Heartbleed ya es una cosa del pasado. Todas las empresas ya anunciaron que arreglaron el problema y que todas las personas pueden cambiar sus contraseñas para estar seguros.

Heartbleed es, probablemente, una de las fallas de seguridad más graves en toda la historia de internet. En términos generales, consistía en un método a través del cual se podía robar información con mucha facilidad de los servicios más importantes del mundo. Aunque ya la resolvieron, los expertos recomiendan que la mayoría de las personas cambien sus contraseñas, pues muchos sitios se vieron comprometidos.

Mashable habló con todas las empresas para saber en qué casos es y no es necesario cambiar la clave. Es muy recomendable que las personas que tienen cuenta en los siguientes servicios cambien su contraseña lo más pronto que puedan: Facebook, Pinterest, Tumblr, Google, Yahoo, Gmail, servicios web de Amazon, Dropbox y Sound Cloud. Todos esas páginas usan el protocolo a través del cual se formó la vulnerabilidad. Ni Twitter ni Hotmail se vieron comprometidos por ello.

Sobra decir que la vulnerabilidad se haya manifestado en todos estos sitios no significa que nos van a hackear a todos, pero nunca sobra un saludable cambio de contraseña. Esa es una de las prácticas más recomendadas por los especialistas en seguridad y la mejor manera de evitar que lo hackeen. Recuerden que en algunos de esos sitios ustedes pueden tener información bancaria y otros datos que pueden resultar comprometidos.

Todas las empresas ya anunciaron que arreglaron el problema, lo que quiere decir que la nueva contraseña será segura.

Imágenes: Bruno Santos (Via: Flickr), fixedgear (Via: Flickr)

Conozca aquí cómo protegerse de Heartbleed.

Por todos los rincones de internet ahora están sonando las alarmas de una nueva peligrosa amenaza de seguridad llamada Heartbleed. Palabras más palabras menos, consiste básicamente en una vulnerabilidad en un protocolo que utilizan todos los servicios que transfieren información privada de computador a otro, como Gmail y Facebook. Es grave e irrastreable, y según lo que dicen los investigadores que lo descubrieron, podría servir para robar cualquier información privada sin conocer responsables.

¿Cómo funciona?

Los especialistas demoninaron a Heartbleed como un ‘bug’ en el OpenSSL, un estándar de código libre con el que se cifra información privada que se transfiere de un lugar a otro como en correos electrónicos y chats privados. Es el método a través del cual diferentes servicios pueden ofrecer privacidad a los sus usuarios.

Dentro de este protocolo existe un comportamiento en el que un computador ocasionalmente envía lo que se conoce como un latido o ‘heartbeat’, para saber si el computador receptor está al otro lado de la comunicación. Es un pequeño paquetes de datos que espera una respuesta del otro lado.

Investigadores de seguridad de Google encontraron un pequeño error en la programación del OpenSSL en el que es posible enviar uno de estos latidos que engañara al computador receptor para que respondiera con información privada almacenada. Después una firma de seguridad, Codesmicon, la denunció por su lado y agregó que lleva 2 años funcionando y es irrastreable.

Heartbleed es muy grave, pues los servidores de las empresas pueden contener información detallada y delicada de las personas. Incluso se pueden llegar a robar números de tarjetas de crédito y –peor que todo lo demás– se pueden llegar a robar llaves con las que pueden abrir archivos que están cifrados. Un hacker puede robar grandes volúmenes de información cifrada.

Como todos los sitios web más importantes usan el OpenSSL es muy probable que todo el mundo se vea afectado por esta falla directa o indirectamente.

Business Insider dice que los especialistas recomiendan que en este momento cambien las contraseñas de todos los servicios donde tengan información privada importante: Amazon, Gmail, Steam, etc. De la misma manera recomiendan que las cambien lo más seguido posible hasta que solucionen el inconveniente. La mayoría de los sitios aseguraron que están actualizando la seguridad, de manera que el ‘bug’ deje de funcionar.

Si quiere aprender más sobre Heartbleed puede dirigirse a la página web creada para informar sobre él.