Se han reportado múltiples vulnerabilidades en BlackBerry Enterprise Server que podrían ser aprovechadas para ejecutar código arbitrario.

Impacto
El impacto de esta vulnerabilidad se ha clasificado como ALTAMENTE CRÍTICO.

Versiones Afectadas
Se ven afectados por esta vulnerabilidad los siguientes productos y versiones:

• BlackBerry Enterprise Server y Server Express para Domino 5.x
• Blackberry Enterprise Server y Server Express para Exchange 5.x
• BlackBerry Enterprise Server para Novell GroupWise 4.x y 5.x

Recomendaciones
Se recomienda aplicar las actualizaciones de seguridad que brinda el proveedor en su alerta original y seguir sus recomendaciones.

Referencias
Más información sobre esta Alerta:

RIM BlackBerry (Alerta Original):
http://www.blackberry.com/btsc/KB27244

Secunia:
http://secunia.com/advisories/45580/

Se trata de una variante del phishing. No obstante, este último ataca a los usuarios de computadoras. El smishing, por su parte, aprovecha de expandirse a partir de la diversificación en el uso de los teléfonos móviles, gracias a su mayor conectividad o la banda ancha a través redes celulares, lo que permite a estos dispositivos contar con más aplicaciones y funcionalidades.

Las actuales capacidades de los teléfonos para acceder a operaciones de banca móvil, pagos de cuentas, correo electrónico y diversas operaciones por Internet con autenticación, son el imán que atrae los ataques de smishing.

¿Cómo funciona?

Detrás de estos ataques se encuentran motivaciones económicas. Los hackers que lo practican pretenden explotar brechas legales y utilizar las últimas tecnologías para captar datos personales.
De este modo, se intenta suplantar la identidad de alguna persona conocida entre los contactos telefónicos, o incluso de una empresa de confianza.

Las víctimas de smishing reciben mensajes SMS indicando que su número telefónico se ha dado de alta para un servicio determinado (citas, concursos, etc.), y que se descontará una suma de dinero a menos que visite una página web para cancelar la “petición”.

Cuando se visita la dirección web o url, las víctimas son engañadas para que descarguen algún programa que en su mayoría suele ser un Troyano, con el propósito de capturar claves e información personal contenida en el teléfono móvil, con el propósito de efectuar estafas cibernéticas.

Fuente: Global Crossing.

Con el equipo infectado y las páginas de los bancos comprometidas localmente, a las víctimas se les solicita el número y modelo del móvil para recibir un certificado de seguridad. Este certificado se envía por mensaje y es en realidad el troyano que infecta el aparato y supervisa los SMS para robar los códigos de seguridad.

La nueva versión del troyano opera de la misma forma y afecta a los usuarios de Symbian y Windows Mobile. Fue detectada en Polonia y el ataque estaba dirigido a clientes de ING Bank y mBank:

Página del banco modificada por Zeus

En el foro de mBank se puede ver el mensaje de un usuario infectado que no puede acceder a su cuenta online y ve mensajes extraños.

En esos casos lo que hay que hacer es llamar por teléfono al banco y explicar la situación para que cancelen o controlen cualquier movimiento de dinero extraño.

Luego hay que acceder a la cuenta para cambiar las contraseñas, esto se debe hacer desde otra computadora segura o desde la misma utilizando un Live-CD para descartar totalmente la acción del malware instalado. Finalmente hay que desinfectar el equipo.

Más información en Securelist y Niebezpiecznik.

Fuente: SpamLoco.net

El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) presenta el primer Informe sobre Malware en Smartphones, en el que Hispasec ha participado de forma directa. El estudio pretende constituir una radiografía que refleje la situación actual de los smartphones en lo referente a seguridad, describiendo las principales amenazas a las que se enfrentan, así como las medidas existentes para mitigar los riesgos asociados. Los dispositivos móviles ya no son simples teléfonos y no pueden ni deben ser tratados como tal.

El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) es una organización privada que cuenta con los asociados: AEDEL, Amper, Bdigital, EIIEO, Eside Deusto, Hispasec, Indra, Informática 64, Isec Auditors, Kinamik, Optenet, Panda Security, S2grupo, Secuware, TB security y S21sec. Su misión es poner a disposición de las diversas organizaciones que operan en España, gubernamentales o no, el conocimiento y experiencia de sus miembros en asuntos relacionados con la ciberseguridad nacional o global; con el fin de hacer más segura Internet y las redes de Información, a la vez que potenciar la innovación y el crecimiento económico.

Los dispositivos móviles han ido evolucionando hasta converger prácticamente en cuanto a funcionalidades con los ordenadores personales, hecho que se traduce en un notable incremento en la usabilidad de los móviles en cualquier ámbito. Pero como nota negativa debemos destacar un aumento en los riesgos que se asocian a los mismos.

La generalización de la oferta de tarifas planas para smartphones ha supuesto una popularización de estos dispositivos totalmente vertiginosa, pero el problema es que los usuarios no son conscientes de los peligros que entraña no tener protegido su terminal ni de la cantidad de información personal que se almacena en el mismo. Como consecuencia de esto, las mafias existentes han ampliado sus horizontes de actuación y han incluido este sector entre sus objetivos. Un objetivo de gran crecimiento y alta remuneración.

La limitada concienciación en lo referente a seguridad de los usuarios de estos dispositivos y el consecuente comportamiento pueden ser los factores de mayor riesgo para los smartphones a corto plazo. Es de gran importancia comprender que un dispositivo móvil de estas características ya no es un simple teléfono y no puede ni debe ser tratado como tal.

El CNCCS propone una serie de buenas prácticas para ayudarnos a proteger nuestros dispositivos móviles:

• Habilitar medidas de acceso al dispositivo como el PIN o contraseña si está disponible.
• Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.
• Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.
• Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.
• Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.
• Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.
• Configurar el Bluetooth como oculto y con necesidad de contraseña.
• Realizar copias de seguridad periódicas.
• Cifrar la información sensible cuando sea posible.
• Utilizar software de cifrado para llamadas y SMS.
• Siempre que sea posible no almacenar información sensible en el smartphone, asegurándose que no se cachea en local.
• Al deshacerse del smartphone borrar toda la información contenida en el smartphone.
• En caso de robo o pérdida del smartphone informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.
• En determinados casos pueden utilizarse opciones de borrado remoto o automático (después de varios intentos de acceso fallidos).
• Monitorizar el uso de recursos en el smartphone para detectar anomalías.
• Revisar facturas para detectar posibles usos fraudulentos.
• Mantener una actitud de concienciación en el correcto uso de estos dispositivos y los riesgos asociados.
• Extremar la precaución al abrir un correo, un adjunto de un SMS o hacer clic en un enlace. Cabe destacar que esta fue una de las vías de entrada del Zeus-Mitmo.
• Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.
• Evitar el uso de redes Wi-fi que no ofrezcan confianza.
• Tener en cuenta este tipo de dispositivos en su política de seguridad corporativa.

El informe completo puede descargarse desde:
http://www.hispasec.com/laboratorio/Malware%20en%20Smartphones%20CNCCS%20.pdf

Más información

CNCCS

http://www.cnccs.es

Fuente: Hispasec.com

Según informa Help Net Security, habría sido descubierto un gusano (virus, malware ) que aprovecha un descuido en la configuración de ciertos dispositivos – IPhone o IPod Touch – que han sido jailbreakeados (liberados) y que no han cambiado la clave por defecto del SSH. Este se dedica a cambiar el fondo de pantalla por una imagen del cantante Rick Astley con la frase “ikee is never going to give you up“, haciendo alusión a la canción “Never Gonna Give You Up” generalmente utilizada para rickrollear gente en Internet.

El problema reside en que la mayoría de los usuarios descarga el paquete SSH desde Cydia para poder conectarse al teléfono y modificar archivos, y deja la clave por defecto “alpine”. Cualquier persona que conozca tu dirección IP podría acceder remotamente como usuario root si así lo deseara.

Este gusano creado por “ikee” no parece ser más que una prueba de concepto, pero hay que tomarlo muy en serio y no confiarse tanto. Para cambiar esta clave solo basta conectarse al dispositivo y escribir el comando passwd; es recomendable utilizar algo complejo pero que puedan recordar luego. La otra opción es bajarse la aplicación MonileTerminal desde Cydia y ejecutar ese comando solamente.

Vía Help Net Security

La aplicación que procesa los SMS (al contrario que otras que se encuentran más protegidas en el iPhone) se ejecuta bajo los privilegios de root, con lo que la ejecución de código tendría total control del dispositivo. Un atacante podría desde realizar llamadas a números especiales hasta abrir el micrófono del aparato y espiar conversaciones.

Miller dará todos los detalles en la Black Hat a finales de julio. Dice haber avisado a Apple y que está trabajando en una solución, que se hará disponible antes del famoso encuentro. Miller es coautor del libro “The Mac Hacker’s Handbook”.

Lo más probable es que esta vulnerabilidad no sea explotada de forma masiva por atacantes, pero abre un vector de ataque muy interesante. iPhone adopta medidas de seguridad muy lógicas en su sistema operativo: los paquetes deben estar firmados por Apple (excepto si el teléfono está “jailbraked”) y muchas de sus aplicaciones se mueven dentro de una sandbox que impide que accedan a zonas sensibles del dispositivo. Sin embargo el programa que procesa los SMS no lo hace, y esto lo convierte en un vector de ataque muy atractivo, puesto que se puede transmitir código binario en un mensaje corto. El hecho de que el número de caracteres esté limitado parece irrelevante, puesto que se pueden enviar un número indefinido de SMS y el programa los reensamblará.

Más Información:

Apple patching serious SMS vulnerability on iPhone

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9135090

Sergio de los Santos
ssantos@hispasec.com

Obama, además de poseer su ya famosa BlackBerry, mantenía con Verizon un servicio de voz, por lo que los registros ilegales se produjeron en llamadas telefónicas y mensajes de textos. Además la cuenta estaba inactiva desde hacía varios meses.

Ante el escándalo, el propio CEO de Verizon ha tenido que emitir una nota de prensa: “Pedimos disculpas al presidente electo Obama y trabajaremos para mantener la confianza que nuestros clientes depositan en nosotros cada día”, indicó Lowell McAdam.

Verizon ha suspendido de empleo a todos los empleados que accedieron a los registros y adoptará las “medidas disciplinarias apropiadas”, según la nota de la compañía.

Fuente:

http://www.theinquirer.es/2008/11/22/empleados-de-verizon-espiaron-el-movil-de-obama.html

El estudio alerta de la extensión de los botnets desde los PCs hasta los terminales móviles, gracias al aumento de su potencia de cálculo y amplia conectividad a Internet, aprovechando las vulnerabilidades de los celulares y los sistemas operativos de aplicaciones web.

Los investigadores de Georgia Tech dicen que los teléfonos móviles suponen un gran atractivo para los delincuentes informáticos, ya que por lo general están enviando y recibiendo datos continuamente y suelen tener sistemas de seguridad de bajo nivel.

Si los botnets son capaces de entrar en las redes móviles, nuevos tipos de estafas se pondrán en marcha, como utilizar los móviles para realizar llamadas a servicios de pago o cualquier actividad fraudulenta, convirtiendolos en zombies que extiendan la infección, dicen.

Los operadores de telefonía celular tienen un control más estricto de sus redes que los proveedores de banda ancha fija, lo que significa que podrían cerrar las líneas de comunicación entre los teléfonos infectados de forma más sencilla. Aún así “ya los hemos visto superar antes otros grandes desafíos” advierten desde Georgia Tech.

Fuente:

http://www.theinquirer.es/2008/10/15/botnets-la-caza-se-extiende-al-telefono-movil.html

La nueva versión de la aplicación ya ha puesto en jaque la actualización de Apple que eliminaba la posibilidad de hacer jailbreak a los dispositivos. Con ella se puede hacer jailbreak, instalando Cydia installer e Installer 4 Beta en todos los dispositivos y liberando el iPhone original.

La liberación del modelo 3G aún no es posible, pero según afirma el iPhone-dev Team es algo que están estudiando aún.

Casos como éstos dan mucho que pensar. Si en lugar de jugar al gato y al ratón en cualquier plataforma, ya sea PSP, nintendo DS, cualquier teléfono móvil, etcétera, cerrando la plataforma, se diera cierta libertad se podría explotar todo el potencial de las mismas. Hay que fijarse en todas las comunidades que surgen alrededor de dispositivos, toda la “scene” y la cantidad de programadores que implementan funciones ocultas o nuevas que dotan a los dispositivos de nuevas características. Si se pudiera canalizar todo el esfuerzo en la misma dirección… Pero al fin y al cabo, volvemos a lo de siempre, dinero, ganancias, control.

Enlaces relacionados:

http://blogs.zdnet.com/Apple/?p=2116

http://blog.iphone-dev.org/post/45276976/good-morning

Fuente:

http://www.theinquirer.es/2008/08/10/pwnagetool-202-ve-la-luz-iphone-3g-sigue-temblando.html

Muchas de estas actualizaciones ya habían sido publicadas para Mac OS X. Lo interesante es que no hay actualizaciones para la versión 1.0, y para corregir las vulnerabilidades de iPhone e iPod, es necesario actualizarse a la versión 2.0.

Varias de estas vulnerabilidades comprometen al usuario de estos dispositivos, por el simple hecho de navegar por Internet.

Algunas de las actualizaciones son de problemas bastante antiguos, que nunca fueron corregidos en dichos productos, pero si en otros. Por ejemplo, hay vulnerabilidades de 2006 y 2007.

Más información:

About the security content of iPhone v2.0 and iPod touch v2.0

http://support.apple.com/kb/HT2351

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com