¿Qué es día cero?

 

En seguridad informática, se habla de día cero al mencionar el momento en que se descubre un nuevo virus o vulnerabilidad en una aplicación. Se dice día cero porque hasta ese momento ni siquiera los desarrolladores eran conscientes de determinada vulnerabilidad, por lo tanto el día cero marca la primera aparición de una amenaza informática puntual.

La aparición de una vulnerabilidad 0-day implica que no habrá parche ni solución instantánea para cerrar el agujero de seguridad encontrado. Cada tanto aparecen exploits que aprovechan estas vulnerabilidades y pueden ser verdaderamente dañinas ya que la ausencia de una solución implica que tienen tiempo suficiente para causar destrozos hasta que se encuentre una forma de reparar la vulnerabilidad.

Día Cero Informática 1(1)

En el mundo del malware, hablamos de día cero cuando todavía no hay firmas existentes para detectarlo o eliminarlo. Estas vulnerabilidades solamente pueden ser detectadas a través de técnicas no reactivas que deben ser realizadas por personas con experiencia en informática, los usuarios casuales poco podrán hacer para descubrir que están infectados.

El concepto día cero es relativamente simple, es aquel día en que una amenaza informática es descubierta y recién a partir de ese momento empezarán a realizarse actividades intentar detener su avance y daños.

A diferencia de muchos productos que intentan vender supuestas soluciones inmediatas, lo cierto es que no existen formas de detectar mediante software tradicional las vulnerabilidades día cero, ya que se denominan cero porque hasta el momento no hay forma de conocerlas.

Lo que sí hay son programas que analizan los comportamientos de los programas y sistemas operativos en busca de rutinas extrañas, de esta forma se puede saber si nuestro ordenador tiene algún comportamiento fuera de los parámetros que pueda considerarse una amenaza.

Día Cero Informática 2(1)

En seguridad informática las vulnerabilidades tipo día cero son las más temidas, pero tampoco hay que ser alarmistas. Muchas veces son vulnerabilidades que no terminan de convertirse en virus o que son selladas al instante y no generan mayores inconvenientes. Siempre hay que tener cuidado, pero sin alarmismos.

Fuente | open security

Nuevo exploit para el escalado de privilegios local en Linux

 
En abril, los desarrolladores de Linux solucionaron un puntero declarado incorrectamente en el kernel. Sin embargo parece que pasaron por alto las posibles implicaciones de seguridad de dicho fallo – en particular el hecho de que es posible acceder a casi cualquier área de memoria utilizando un event_id adecuado.

En cierta manera los desarrolladores lo solucionaron sólo parcialmente y declararon el bug como un agujero de seguridad oficial (CVE-2013-2094) después de que se publicara el exploit que demostraba que cualquier usuario loggeado en el sistema podía llegar a tener acceso como root de esta manera.

El fallo afecta a cualquier kernel cuya versión esté entre la 2.6.37 y la 3.8.9 y haya sido compilado con la opción PERF_EVENTS, al parecer el caso de muchas distribuciones. ¿Qué distribuciones exactas se ven afectadas? Pronto lo sabremos cuando empiecen a liberarse las actualizaciones de seguridad correspondientes. El experto en seguridad en Linux Brad Spengler ha publicado un análisis detallado del exploit que no conviene perderse.

El CVE asignado es el CVE-2013-2094. Afectaría a todos los kernels (de 64 bits) desde la versión 2.6.37 a la 3.8.8 que hayan sido compilados con la opción CONFIG_PERF_EVENTS.

Análisis del exploit: sd@fucksheep.org’s semtex.c: Local Linux root exploit, 2.6.37-3.8.8 inclusive (and 2.6.32 on CentOS) 0-day

Ubuntu también ha lanzado una actualización para cerrar esta vulnerabilidad en Ubuntu 13.04, 12.10 y 12.04 LTS, mientras que Debian mantiene el parche en su repositorio de seguridad, a la espera de liberarlo para todos los usuarios de la recién lanzada Debian 7.

Fuente | hack players | blog.segu-info

Apple tarda seis meses en reparar un agujero de seguridad

Apple

La empresa de la manzana ha tardado medio año pero al final lo ha conseguido. Ha reparado un agujero de seguridad del Apple Store después de que un investigador de seguridad de Google lo descubriera en julio de 2012. La solución ha sido implementar un protocolo HTTPS por defecto en los accesos de su tienda.

Lo curioso es que fuera Google quien descubriera el fallo de su máximo rival. Aunque por lo que parece la deportividad reina entre los trabajadores de ambas compañías y Elie Bursztein, el investigador de seguridad de Google que descubrió el fallo, no tuvo ningún problema en decirlo. Eso sí, lo publicó en su blog para que se enterara todo el mundo, no solo Apple.

La vulnerabilidad permitía a un atacante el robo de contraseñas de usuarios, el secuestro de conexiones, la adquisición de aplicaciones o la instalación de malware incluyendo troyanos de control haciéndose pasar por actualizaciones de software en la App Store y ante el uso de conexiones sin cifrar HTTP.

La solución fue implementar un protocolo de HTTPS

En su blog, Elie Bursztein, nos explica los fallos que tenía el Apple Store y porqué eran producidos. Además, lo primero que hace es alegrarse por haber ayudado a otra compañía, y por ende a sus usuarios, a solucionar sus problemas de seguridad.

El problema principal fue la falta de encriptación (HTTPS) en aplicaciones que contienen datos en servidores externos al terminal. Es decir, con una facilidad pasmosa, un atacante podía colarse en el sistema operativo cuando se compartiese una misma red WiFi abierta.

El hacker se beneficiaba de la falta de cifrado  en ciertas partes de la comunicación cuando el usuario se conectaba a la aplicación del App Store. Esto, unido a la falta de contraseña de la red WiFi, hacía muy vulnerable a cualquier persona con un terminal iOS.

De todas maneras, a principios de este año Apple ya tenía solucionado un problema que no había descubierto ningún ingeniero de Cupertino. Tuvo que ser un investigador de seguridad de Google quien, en su tiempo libre, pusiera sobre aviso a la empresa de la manzana mordida. Medio año después han solucionado el problema. Más vale tarde que nunca.

Fuente | softzone