En una rueda de prensa, Mitnick apuntó primero a las aplicaciones ordinarias como un elemento vulnerable, porque la mayoría de los usuarios no las actualizan, o son sacadas al mercado con demasiada velocidad y sin probarlas suficientemente.

Para resolverlo, recomendó acudir a la página www.secunia.com, que ofrece un inspector informático que detecta versiones antiguas y problemas de seguridad.

Mitnick afirmó que puede enviar un archivo de PDF y si el receptor lo abre y su programa de Adobe no es la última versión, él es capaz de tomar el control del computador, por una falla en ese software.

Su segundo consejo es emplear el correo electrónico de gmail, en lugar de yahoo o hotmail, pues permite descargar gratis una aplicación que establece un mecanismo de dos pasos para el acceso en la cuenta, comparable a los que contratan algunas compañías.

En el campo de buscadores, el estadounidense Mitnick apuesta por Google Chrome en términos de seguridad, y del mismo modo prefiere el iPhone a los teléfonos que usan el sistema operativo Android, de Google.

En este sentido, alertó de que los teléfonos inteligentes son un objetivo más interesante para los hackers que el computador personal, por la información que contienen, como contraseñas y credenciales de empresas.

Su quinta recomendación es algo básico: pensar en las claves que uno escoge. Mitnick señaló que la mayoría de la gente usa contraseñas iguales o similares en varias páginas o programas, lo que tildó de “un gran error”.

A un hacker le bastaría encontrar una de esas claves en algún lugar de la red para tener acceso a la vida de cualquiera, por lo que Mitnick recomendó emplear un programa denominado administrador de contraseñas, el cual las cambia automáticamente.

Durante varias décadas Mitnick fue parte del juego de gato y ratón entre los hackers, empeñados en encontrar fallas en los mecanismos de seguridad, y empresas, universidades o Gobiernos por diseñar nuevos muros para contenerlos.

Tras ser condenado dos veces por delitos informáticos en Estados Unidos, ahora usa sus habilidades “para el bien”, contratado por entidades para probar sus sistemas.

Una de las nuevas tendencias empresariales es la llamada “computación en nube”: trasladar sus contenidos y programas a servidores externos, con lo que se ahorran el mantener su propia infraestructura informática, pero Mitnick recomienda cautela.

“La complejidad genera problemas de seguridad”, advirtió el experto, en cuya opinión la computación en nube “no es muy segura”.

Afirmó que él logró violar las cortapisas y acceder a datos privados en la “nube” de una empresa que le había contratado de un país de Suramérica, que no reveló, en tan solo 24 horas.

Fuente: EFE

Se ven afectadas las versiones BlackBerry Enterprise Server 5.0.0, BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) hasta Service Pack 7 (4.1.7) y BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4).

Según versión y plataforma se recomienda instalar las actualizaciones disponibles haciendo clic aquí.  

Enfoque Seguro

VÍA: Identidad Robada

Los administradores de sistemas deben andar todavía ocupados intentando actualizar sus productos Microsoft y Adobe. Adobe emitió en mayo un comunicado por el que se comprometía a mejorar su política de seguridad. Básicamente, decía que mejoraría el código de desarrollo centrándose en la seguridad, que mejoraría los procesos de respuesta a incidentes, y que programaría regularmente las actualizaciones de sus productos. En concreto, cada tres meses, lo segundos martes de cada mes. Con un criterio discutible, coincidiría con los días de actualización que hace años eligió Microsoft.

Estas promesas recuerdan inevitablemente a la Trustworthy Computing que Microsoft tuvo que implantar a principios de 2002 (a través de un comunicado del propio Bill Gates) para intentar encarar los continuos reveses en seguridad que sufría. Se puso en marcha la Strategic Technology Protection Program (STPP) que más tarde daría sus frutos en proyectos que se han demostrado eficaces como el Windows Software Update Services, Microsoft Operations Manager, la política de actualización periódica, sistemas fortificados “por defecto”, etc. Aun así lo peor estaría por llegar en 2003 con Blaster, pero eso ya pertenece a la “prehistoria”, y los esfuerzos de Microsoft comenzaron a dar resultados años después.

Adobe acaba de publicar uno de sus primeros ciclos de actualizaciones con nada menos que 29 vulnerabilidades resueltas. Entre ellas la que estaba siendo aprovechada por atacantes desde hace semanas, y que permitía la ejecución de código arbitrario a través de archivos PDF especialmente manipulados. El mismo día Microsoft corregía 34, pero en una mucha mayor gama de productos.

Adobe comienza así a mejorar su seguridad, siete años más tarde que Microsoft (que aún lo está adaptando y asumiendo)… De hecho, ya se empieza a conocer a Adobe como “la nueva Microsoft”, heredando sus problemas logísticos a la hora de mejorar la seguridad, teniendo que rediseñar su estrategia (cuando quizás sea tarde), y actuando de forma reactiva en vez de haber aprendido de otros fabricantes. Ahora que Adobe se toma en serio su seguridad, esperamos que no sean necesarios tantos años para, como le está costando a Microsoft, materializar los resultados, puesto que el mundo del malware no es el mismo que en 2002, y las consecuencias de los problemas de seguridad de hoy son mucho más serias.

Más información en:

Adobe Reader and Acrobat Security Initiative
http://blogs.adobe.com/asset/2009/05/adobe_reader_and_acrobat_secur.html

Security Updates Available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-15.html

Enfoque Seguro

Vía: Hispasec

Las pruebas 0-day demostraron que las es posible la ejecución de código arbitrario con sólo abrir un archivo PDF o bien hasta con visualizar una página con flash.

Investigadores publicaron una prueba que se trata de un bug en el manejo de las URL en la función shell32!ShellExecute del Sistema Operativo Windows XP. Dichas pruebas se hicieron utilizando el lector de PDF Acrobad reader 8.1 bajo el SP2 del SO antes mencionado. Pero Adobe confirmó que la falla también afecta a los lectores para los sistemas MAC y GNU/LINUX.

Cómo funciona

Cuándo se utiliza el lector PDF (en varios foros se dice que otros lectores además del Acrobat Reader también pudieran verse afectados) hay un comando que llama al reproductor flash versiones 9 y 10 para encontrar contenido dentro del fichero PDF, es en ese momento cuando se activa el exploit. El documento PDF es un medio para llegar al reproductor y en principio no se trataría de una vulnerabilidad transversal, que afecte a varios productos de manera independiente sino que tanto Acrobat como Reader contienen la librería “authplay.dll” encargada de gestionar con el reproductor el contenido Flash.

Adobe conocía la falla desde 2008

Según Paul Royal de PureWire, Adobe conocía el fallo desde diciembre de 2008, pero no lo había solucionado aún. Las versiones anteriores al Acrobat Reader 8.1 también son propensas a esta falla crítica. Así que es mejor por los momentos abstenerse a generar o a abrir algún documento PDF hasta que Adobe pueda resolver el problema y emita un parche de seguridad.

La peligrosidad de esta vulnerabilidad radica en que los ficheros PDF están enraizados en el núcleo del mundo de negocios e informativo de hoy en día. Los documentos PDF pueden ser utilizados para comprometer tu sistema Windows XP completamente y sin detección. Para realizar esto sólo es necesario abrir un documento ya sea descargado de Internet o directamente desde el navegador.

ZonaVirus informa que “La semana pasada, se descubrió que Adobe permitía la descarga de una versión vulnerable de Adobe Reader. Esta semana ha sufrido un problema grave de seguridad en su instalador, que todavía no ha parcheado. Si se suman los continuos problemas de seguridad mal gestionados, los últimos “0 day” en sus productos, y los PDF como vector de ataque preferido del malware, Adobe no pasa por su mejor momento”.

Adobe a prometido que para el 31 de julio estará solucionado el problema.

Vía: GNU Citizen / ZonaVirus / ColombiaUnderground

Con 10 parches, Microsoft arregló más de una docena de fallas, incluyendo 10 vulnerabilidades anuladas por un trío de soluciones. Las fallas consideradas críticas por Microsoft eran para el Office 2000, siendo de importancia para otras versiones de la suite de productividad. Pero quizá las más serias fallas que fueron subsanadas eran aquellas relacionadas con su navegador estrella el Internet Explorer 8.

En su primera ronda de parches trimestrales, Adobe corrigió cerca de 13 brechas de seguridad en sus programas Reader y Acrobat. Anunciado la semana pasada, fue liberado el miércoles, el mismo día que Microsoft sacó su boletín de seguridad. Algunas de las fallas le permitían a un atacante correr código en el sistema vulnerable, mientras que otras sólo negaban la posibilidad de servicio.

Por su parte Apple, lanzó una actualización el lunes para arreglar más de 50 fallas en su última versión del navegador Safari 4.

Vía:  Security Focus