viewdle no. 4
DESCRIPTION
ÂTRANSCRIPT
VIEWDLE8
de M
ayo
de 2
015
GRA
TUITA
PORQUE AMAMOS LA TECNOLOGÍA
BUG DE SEGURIDAD EN WI-FI PUEDE DEJAR A ANDROID, LINUX Y WINDOWS EXPUESTOS A ATAQUES.
LA IMPORTANCIA DE IDENTIFICAR, ANALIZAR Y EVALUAR VULNERABILIDADES.
3
Es un honor para el cuerpo editorial poner en sus manos el cuarto número de revista Viewdle, una visión a la tecnología del futuro.
La tecnología forma parte de nuestro diario quehacer: desde que nos levantamos con ayuda de la alarma del celular, en el trabajo con las computadoras y laptops, hasta en el momento de trasladarnos de un lugar a otro cuando utilizamos nuestro reproductor Mp3. Es por ello que presentamos en este número todas las novedades en software y hardware que han sido anunciados alrededor del mundo.
Sin más por anunciar, esperamos que disfrutes navegando en el mundo tecnológico.
EDITORIAL
LA TECNOLOGÍA Y SUS AVANCES YA ESTÁN POR ALCANZAR NUESTRA IMAGINACIÓN.
4
VIEWDLE
Desarrollo software de seguro
SEMESTRE 2015 - 2FACULTAD DE INGENIERÍA
UNAM
© Viewdle, editada desde el 2015
Grupo Editorial F.I. DDSS S. A. C.
Canaval y Moreyra 345, San Isidro, D.F.
Teléfono: 710-3000 Fax: 221-6266
10La importancia de identificar, analizar y evaluar vulnerabilidades
General ManagerJosé Antonio Santiago Torres
DirectorBertha Isabel Vega Galicia
EditorJose Aguilar Basurto
03 EDITORIAL
06
07INDICE
08
UBUNTU 15.04 YA DISPONIBLE PARA DESCARGA
09
INTEL COMPUTE STICK, LANZAMIENTO
10 LA IMPORTANCIA DE IDENTIFICAR, ANALIZAR Y EVALUAR VULNERABILIDADES
12 - MICROSOFT CYBERCRIME CENTER
- DROPBOX
VULNERABILIDAD EN IOS PODRÍA DEJAR INSERVIBLE TU IPHONE O IPAD.
BUG DE SEGURIDAD EN WI-FI PUEDE DEJAR A ANDROID, LINUX Y WINDOWS EXPUESTOS A ATAQUES
13¿CÓMO PROTEGERTE DE VULNERABILIDADES EN SOFTWARE LIBRE?
14 ENTRETENIMIENTO
Vulnerabilidad en iOS podría dejar inservible tu iPhone o iPad.
22 DE ABRIL DE 2015
Las empresas dedicadas a la seguridad de software han encontrado en las grandes compañías un lugar de donde pueden obtener grandes sumas de dinero, y es que por más grande que sean compañías como Microsoft, Google, Apple, etc., las cosas no siempre son tan perfectas como ellos quieren. Consientes de los problemas de seguridad, las compañías han creado campañas de “recompensas”, con el fin de encontrar vulnerabilidad en cualquiera de sus servicios, sistemas o aplicaciones, y en torno a esos planes de recompensa las empresas de seguridad han dedicado tiempo y esfuerzo para descubrir bugs y problemas de seguridad que pueden significar grandes demandas, pero muchas veces el objetivo no es el dinero, sino la cercanía con la compañía a la que están ayudando a solucionar un problema.
Una de estas empresas llamada Skycure, ha mostrado en la RSA Conference que se celebra durante estos días en San Francisco, donde se debaten cuestiones clave de la seguridad de los dispositivos móviles y de otros aparatos electrónicos, un fallo bastante grave en iOS 8, cuya última versión, iOS 8.3, incluía algunas mejores de seguridad, que hace que nuestros iPhone y iPad, dispositivos de los que a veces se critica su excesiva seguridad, queden totalmente inutilizados y que perdamos nuestro control sobre los mismos.
El fallo consiste básicamente en que diversas aplicaciones, al iniciarlas, intentan establecer una conexión segura a un
servidor. Si previamente resulta que nos encontrábamos conectados a un punto de acceso WiFi falso, lo que los investigadores obligaron incluso a hacer al dispositivo, estos se bloquean e incluso entran en un bucle de arranques constantes y que no se detiene.
De estar conectado al punto de acceso WiFi falso, es muy difícil escapar de este error de seguridad, ya que casi iniciando cualquier aplicación, éstas intentaran establecer la conexión segura a un servidor y caeremos. Incluso sin iniciarlas, algunas intentarán hacer esto en segundo plano, por lo que prácticamente sin hacer nada, podrían nuestros iPhone y iPad quedarse inservibles.
En este caso hablamos de una empresa dedicada a la seguridad de s istemas por lo que su descubrimiento no significará un problema para Apple, pero si los acerca un poco más a una de las compañías más grandes del planeta, digamos que más que ganar una recompensa monetaria, acá la gente de Skycure dejó su CV sobre la mesa de Apple, algo que puede costar mucho más que el dinero obtenido reportando este problema en iOS.
Según fue revelado en el día de ayer, más de 1500 aplicaciones presentes en iOS -algunas muy
populares- podrían dar lugar a este error, algo que debe tener a muchos desarrolladores puestos de cabeza con tal de q u e A p p l e n o b a j e s u s aplicaciones del AppStore.
7
Ubuntu 15.04 ya disponible para descarga
22 DE ABRIL DE 2015
Después de seis meses de una versión beta, de una s e r i e d e c a m b i o s menores , aparece la
versión 15.04 estable final de Ubuntu, la cual puede
ser ya descargada . Las mejoras que ofrece son en
realidad modestas en esta versión llamada Vivid Vervet. Hay una
cantidad de bugs corregidos, mejoras en la manera como se usa el sistema y una serie de actualizaciones de software que dan a entender que el sistema parece estar más pulido que nunca.
Las nuevas características de Ubuntu 15.04:
Systemd es un nuevo software que inicializa el sistema cuando se arranca. Maneja una serie de cargas del sistema y de los procesos en background, asunto que cada vez es más común en los sistemas operativos modernos. Un usuario puede notar que el sistema tarda más o menos en arrancar, dependiendo de cómo lo tenga configurado.
Unity 7.3 Los menúes integrados localmente son ahora el modelo por omisión. El escritorio Unity (no confundirlo con el motor de juegos), ha tenido una serie de refinamientos y corrección de errores menores.
Compiz 0.9.12, es el manejador del escritorio que mejora la experiencia de usar Unity. Básicamente se mantiene
igual. Sólo unos pequeños cambios pero nada relevante.
Ubuntu Linux Kernel 3.19, aunque no es el kérnel de Linux oficial, sino una versión modificada, es de esperarse que pronto aparezcan las modificaciones y parches necesarios.
music-rhythmbox, es una nueva aplicación para Ubuntu.
Obviamente hay actualizaciones para las apps que por omisión trae el sistema, incluyendo Firefox y Thunderbird (cliente de correo). Además las siguientes versiones se han actualizado:
Hay mejoras para los desarrolladores con cambios para Vivid, incluyendo algo que ahora llaman Ubuntu Make, el cual simplifica el proceso de instalar editores, herramientas y bibliotecas de software, incluyendo las correspondientes a SDK, IDEA, PyCharm y la nueva Firefox Developer Edition..
El veredicto parece ser muy bueno: Ubuntu 15.04 es un ejemplo de un escritorio que brilla y que ayuda a sus usuarios.
Intel ha anunciado lanzamiento de la computadora de bolsillo Intel Compute Stick, en versiones con Windows y Linux (Ubuntu).
Ya lo conoces. En un formato poco mayor a un pendrive, lo conectas a un puerto HDMI de una pantalla como televisor o monitor para convertirla en un ordenador funcional. Entre su conectividad encontrarás Wi-Fi n y Bluetooth, lector de tarjetas de memoria microSD, USB y el mencionado HDMI.
Se vende en dos versiones. La primera con Windows 8.1 with Bing instalado, monta procesador Intel Atom Bay Trail (Z3735F con cuatro núcleos hasta 1,83 GHz), gráficos integrados Intel, con 2 Gbytes de RAM y 32 Gbytes de almacenamiento. Su precio de venta es de 139 dólares en retailers como Adorama.
La versión con Linux utiliza Ubuntu 14.04 LTS y monta el mismo procesador pero con 1 Gbytes de RAM y 8 Gbytes de almacenamiento. A cambio su precio es más barato. En newegg por 109 dólares.
Un dispositivo interesante para usuarios o profesionales que requieran una computadora básica que puedan llevar en un bolsillo y conectar en cualquier pantalla de visualización con entrada HDMI.
Por si te interesa, tienes análisis del Intel Compute Stick en ars technica o liliputing.
Ars technica: http://arstechnica.com/gadgets/2015/04/22/intels-compute-stick-a-full-pc-thats-tiny-in-size-and-performance/
Liliputing: http://liliputing.com/2015/04/intel-compute-stick-mini-computer-with-windows-review.html
Intel Compute Stick, lanzamiento
La Compute Stick de Intel está lista para pedidos previos a través de tiendas en línea.
7
Bug de seguridad en Wi-Fi puede dejar a Android, Linux y Windows expuestos a ataques23 DE ABRIL DE 2015
En un email enviado a la lista de correo de oss-security (Open Source Software Security), el mantenedor del cliente para redes inalámbricas usados por los drivers de Android, Linux, BSD y Windows, ha enviado un parche urgente para eliminar un bug de seguridad que podría permitir a los atacantes bloquear dispositivos o, en caso extremo, inyectar malware en la memoria. El ataque puede producirse a través un nombre de red malicioso.
La vulnerabilidad fue descubierta por el equipo de seguridad de Alibaba y enviado al mantenedor de wpa_supplicant, Jouni Malinen, del equipo de seguridad de Google. Según Jouni Malinen, wpa_supplicant usa información del SSID (nombre de la Wi-Fi) analizadas desde los marcos de gestión que crean o actualizan entradas P2P en la lista de redes disponibles. El fallo de seguridad se asemeja a Heartbleed debido a que no comprueba correctamente la longitud de los datos transmitidos, pero al contrario del famoso fallo de seguridad en OpenSSL, que da la posibilidad a los atacantes de leer contenidos fuera de la memoria más allá de lo que tendría que estar permitido, la vulnerabilidad de wpa_supplicant trabaja en ambos sentidos, pudiendo los atacantes leer y escribir en la memoria.
Todo esto ocurre porque el código no puede comprobar la longitud de la información del SSID entrante, escribiendo información más allá de los 32 octetos de datos válidos y superando el rango que tiene asignado. La información del SSID se transmite en conjuntos de 8 bits (octetos), pudiendo llegar hasta los 255 octetos, y el problema radica en que el código no estaba verificando correctamente la carga útil de la longitud en una de las rutas de código usadas por el SSID, que era recibido desde uno de los pares. Esto provoca un desbordamiento que puede anular un par de variables en la estructura, incluyendo un puntero que es liberado. Además, alrededor de 150 bytes pueden ser escritos más allá del rango de memoria asignado.
Esta vulnerabilidad es difícil de explotar si el objetivo no está utilizando conexiones Wi-Fi P2P. Si bien un SSID malicioso puede causar una denegación de servicio sin una red P2P, el mayor riesgo de seguridad está en la actividad P2P.
Google ya ha lanzado un parche de seguridad, sin embargo queda en manos de los fabricantes el hecho de que llegue a los usuarios finales.
imaginacuervo.com
En términos de segur idad de la in formación, una vulnerabilidad es una debilidad que se encuentra en un activo o en un control y que puede ser explotada por una o más amenazas, lo que se convierte en un riesgo de seguridad. Una forma de proteger la información es a través de la identificación, valoración, priorización y corrección de las debilidades identificadas en los activos.
Esta actividad se conoce como Vulnerability Assessment, y tiene como objetivo encontrar las debilidades en las plataformas de software o hardware para solucionar las fallas, antes de que puedan generar un impacto negativo.
A continuación vamos a conocer las fases consideradas para la realización de una evaluación de las debilidades en la infraestructura tecnológica y su importancia dentro de una organización.
Pasos para la evaluación de vulnerabilidades
También conocida como análisis de vulnerabilidades, se le considera una evaluación ya que además de abarcar la fase de análisis, también involucra una valoración de las debilidades identificadas, utilizando para ello diferentes criterios que permiten calificar y cuantificar su impacto.
En general las vulnerabilidades pueden encontrarse en los sistemas porque pueden contener agujeros de seguridad conocidos y desconocidos (vulnerabilidades 0-day), cuentan con configuraciones por defecto o son el resultado de errores de configuración.
Para solucionar estos inconvenientes es posible aplicar distintos métodos para llevar a cabo la evaluación de fallas en la infraestructura de una organización. En general consideran las siguientes actividades:
• Obtener la aprobación para la evaluación de vulnerabilidades
Debido a que las actividades relacionadas con la identificación de vulnerabilidades pueden catalogarse como intrusivas por las herramientas de seguridad que se encuentren instaladas dentro la infraestructura de la organización, es necesario que se tenga la aprobación para ejecutar el escáner, programar la actividad y notificar a las partes interesadas, es decir aquellas que pueden afectar o verse afectadas por esta actividad.
• Generar un inventario de activos
Una buena práctica relacionada con la gestión de la seguridad consiste en la creación y mantenimiento de un inventario de activos asociados con la información y sistemas, utilizados para procesar, almacenar o transmitir esa información. Una vez que se cuenta con la lista, se deben seleccionar los activos sobre los cuales se llevará a cabo la evaluación. En general, las pruebas se deben enfocar en los elementos críticos, relacionados con los procesos más importantes.
• Definir el alcance de la evaluación
Derivado de la generación del inventario y la selección de los objetivos, la evaluación puede ejecutarse de dos modos: interno y externo. Desde la perspectiva interna se realiza el escaneo desde la infraestructura de la organización, con acceso a los recursos de forma directa. La evaluación externa implica lidiar con la protección perimetral que se tiene en la red corporativa y se adopta la posición que tendría un atacante en busca de alguna vulnerabilidad.
18 DE FEBRERO DE 2015
La importancia de identificar, analizar y evaluar vulnerabilidades 22 DE ABRIL DE 2015
7
VIEWDLE
• Recabar información, identificar y evaluar vulnerabilidades
La evaluación puede realizarse de forma manual o automatizada a través de alguna herramienta, para obtener información relevante en cuanto a las vulnerabilidades en los sistemas considerados. Posterior a la identificación de las debilidades y la obtención de información relacionada con las mismas, resulta necesario llevar a cabo un proceso de valoración que permita conocer su impacto. Para ello es posible utilizar algún sistema de puntaje como CVSS. Es importante mencionar que herramientas especializadas permiten automatizar estas actividades.
• Generar un informe de resultados
Con base en los resultados de la evaluación se debe generar un informe que permita conocer el estado de la seguridad en los sistemas a partir de los hallazgos. También busca mostrar los resultados a través de la priorización de las vulnerabilidades, con el objetivo de atender primero las debilidades de mayor impacto sobre los activos.
• Generar un plan de remediación
Como última actividad asociada a la evaluación de vulnerabilidades es necesario desarrollar y ejecutar un plan de remediación que permita corregir las fallas identificadas y evaluadas, en conformidad con los resultados de la priorización. En general, la corrección de estas fallas se relaciona con la aplicación de actualizaciones o parches de seguridad.
Razones para llevar a cabo una evaluación de vulnerabilidades
De acuerdo con los resultados de la encuesta realizada por ESET Latinoamérica para el documento ESET Security Report 2014, la explotación de vulnerabilidades se ha convertido en la mayor preocupación de las empresas en materia de seguridad, seguida de otros incidentes como infección por malware, fraudes, phishing o ataques de denegación de servicio (DoS).
En este sentido, la evaluación cobra relevancia para evitar las incidencias relacionadas con la explotación de las mismas y como un medio para la aplicación de un elemento de la denominada seguridad ofensiva, a través de los escáneres de vulnerabilidades.
En la próxima entrega mostraremos la forma de utilizar OpenVAS, una herramienta libre para llevar a cabo el análisis y evaluación de las vulnerabilidades, y de esta manera contribuir con la seguridad de los sistemas. ¡Hasta entonces!
Publicación dedicada a encontrar la cultura fuera de focos en el Distrito Federal. Hecha por y para jóvenes. Voz ciudadana. Reinventando la participación.
Consúltala en: http://goo.gl/BKrruz
Entre tantas nuevas amenazas e infecciones, les traemos una buena noticia: Dropbox lanzó su propio programa de recompensas para los investigadores que reporten vulnerabilidades. De esta forma, se suma a otras compañías que llevan adelante iniciativas similares, y fomenta el trabajo de la comunidad de especialistas interesados en mejorar la seguridad de los servicios y aplicaciones web.
Dropbox anunció que, en conjunto con HackerOne, a b o n a r á re c o m p e n s a s i n c l u s o p a r a q u i e n e s hallaron bugs anteriormente y no fueron premiados. El bono mínimo será de 216 dólares para las fallas más pequeñas o menos severas, y si bien no hay un máximo establecido oficialmente, la recompensa más alta abonada hasta el momento es de 4.913 dólares.
Los productos contemplados en el programa son:
• Las aplicaciones de Dropbox, Carousel y Mailbox para Android, iOS y web.
• El cliente Dropbox para escritorio
• Dropbox Core SDK
• Además, se contemplará premiar hallazgos interesantes en otras aplicaciones
Quedan excluidas del programa vulnerabilidades como Cross-Site Scripting (XSS) contra dropboxusercontent.com, los foros o dominios que no sean de Dropbox; ataques que requieran acceso físico
al dispositivo, y ataques cross-site request forgery (CSRF) en el inicio y cierre de sesión. Tal como indica The Register, se han eliminado 27 bugs hasta el momento.
El comunicado dice:
Mientras trabajamos con firmas profesionales para pentesting y hacemos nuestro propio testing in-house, el escrutinio independiente de nuestras aplicaciones ha sido un recurso invaluable para nuestro equipo -permitiendo aprovechar la experiencia de la comunidad de seguridad más amplia.
Hemos reconocido las contribuciones de los investigadores con los que hemos trabajado en un hall of fame público, y ahora estamos emocionados de ser también una de las muchas compañías que proveen recompensas monetarias. De hecho, estaremos recompensando retroactivamente a los investigadores que han reportado bugs críticos en nuestras aplicaciones a través de nuestro programa existente, pagando 10.475 dólares hoy.
Dropbox presenta su programa de recompensas a reportes de bugs 16 DE ABRIL DE 2015
Este centro empezó a operar en noviembre de 2013, y tiene como misión actual tres grandes áreas.
La primera es el combate contra los Botnets. Básicamente, se trata de aquellos ciberataques que provienen de computadoras que previamente han sido tomadas sin que sus dueños se den cuenta, por lo cual se les llama comúnmente equipos zombies, ya que estos proceden a atacar en grupo y de manera masiva a otros equipos cuando se les da la orden para esto.
El segundo es la defensa de los derechos de propiedad intelectual: todo un tema en nuestros días cuando las obras y creaciones del trabajo de miles de personas circulan de manera ilegítima en la Red, haciendo ricos a los ciberdelincuentes y no sus creadores o representantes legítimos.
El tercero es la protección a poblaciones potencialmente vulnerables, como los menores de edad en la Internet. Acá,
el tema de la prevención del delito es fundamental, ya que, para el Centro Contra el Cibercrimen de Microsoft, el evitar la violación a la integridad física o psicológica de esta población es la meta principal.
En estos tres apartados se pueden resumir los esfuerzos actuales de este centro, que también lucha contra los llamados delitos informáticos de próxima generación como el Cloud Crime o Delitos de la Computación en la Nube.
Microsoft Cybercrime Center – Un Centro Internacional contra el Cibercrimen 3 DE MAYO DE 2015
7
Nota rapida
Visual Studio Code ya disponible para Mac y Linux de forma gratuitaEn una conferencia de desarrolladores de Microsoft. a cámara muestra un escritorio OS X de un MacBook mientras se explicaban nuevas funciones de las herramientas de desarrollo en la nube. BOOM. Es Visual Studio Code. Para Mac. Pero eso no es todo, también lo vemos corriendo en Ubuntu. Y, además, será totalmente gratuito.
Esta es la nueva Microsoft: servicios en la nube como Azure son uno de los negocios más prolíficos de la compañía y a más usuarios puedan beneficiarse de todo el entorno que Microsoft ofrece a los desarrolladores, mejor. Desde el entorno de desarrollo a los servicios de desarrollo en cloud. Además, acorde a sus palabras, es extremadamente ligero y fácil de ejecutar. Contará con la integración de Git, el software de control de versiones por excelencia creado por Linus Torvalds.
A lo l a r go de es te año, hemos s ido te s t i gos de vulnerabil idades identificadas en herramientas de software libre y protocolos de comunicación ampliamente utilizados, lo que representa un importante riesgo de seguridad. Heartbleed, Shellshock y Poodlefueron las más resonantes, con efectos a gran escala y mucha repercusión. Pero, ¿qué medidas de seguridad se pueden implementar para mitigar el impacto?
A cont inuac ión en l i s tamos l a s ac t i v idades que administradores de red y de sistemas pueden llevar a cabo para proteger la información dentro de sus organizaciones, para de este modo continuar utilizando software de código abierto mitigando riesgos de seguridad.
• Realiza evaluaciones de seguridad de forma periódica
Las revisiones de seguridad se han convertido en una tarea necesaria para verificar el estado de los sistemas, con relación a las vulnerabilidades conocidas. Herramientas como OpenVAS, que recientemente ha solucionado una vulnerabilidad que permitía la ejecución de ataques DoS, o Nessus, permiten automatizar esta actividad así como evaluar y priorizar las debilidades en los sistemas informáticos, con base en el impacto que representan para una organización.
• Actualiza el software vulnerable
Como resultado de las rev is iones (manuales o automatizadas), la siguiente etapa consiste en aplicar actualizaciones o correcciones de seguridad para la solución de las fallas identificadas. Continuamente se emiten versiones de software mejoradas que eliminan errores asociados al
funcionamiento de las aplicaciones. En este proceso también es importante verificar la compatibilidad de las nuevas versiones con las aplicaciones desarrolladas.
• Centraliza y revisa los registros del sistema
Soluciones enfocadas en la correlación de eventos y la gestión centralizada de registros se han convertido en una importante herramienta para los administradores. Opciones como ELSA o Syslog permiten tener un conjunto de colección de registros para la búsqueda y alerta de potenciales incidentes. Opciones como OSSIM además agregan opciones como monitoreo (Nagios), evaluación de vulnerabilidades (OpenVAS) o detección de intrusiones (Snort).
• Gestiona la configuración de la infraestructura de TI
Los sistemas de gestión de configuraciones permiten conocer el estado de la infraestructura de TI para luego forzar los cambios en los nodos evaluados, con el objetivo de alcanzar el estado deseado. Además permiten automatizar tareas que los administradores suelen realizar de forma manual. Herramientas libres como Puppet oChef son utilizadas para este fin.
Estas prácticas y herramientas contribuyen en el aumento de la seguridad dentro de la infraestructura organizacional. v
¿Cómo protegerte de vulnerabilidades en software libre? 30 DE ABRIL DE 2015
ENTRETENIMIENTOEncuentra la respuesta a las siguientes preguntas dentro del crucigrama
HORIZONTALES:4. Tipo de prueba de software que verifica el tamaño de la base de datos5. Tipo de prueba de software que verifica el formato de las ventanas, los colores corporativos, tamaños de texto, etc.6. Clasificación de prueba de software que se realiza sin ejecutar el código8. Investigación realizada para determinar la calidad de un producto o servicio de software9. Documento que detalla los objetivos, mercado objetivo, equipo beta interno, procesos beta
VERTICALES1. Tipo de prueba de software que prueba el
sistema constantemente hasta saturarlo2. Término común para una colección de
casos de prueba3. Tipo de prueba de software que da el
dictamen del cliente sobre la satisfacción del programa
7. Clasificación de prueba de software que requiere la ejecución de la aplicación
7
Encuentra las palabras dentro de la sopa de letras:- Repositorio- Build- Autoprobable- Entorno- Produccion- Desarrollador
- Github- Implementacion- Disponibilidad- Integracion- Flujo- Programacion extrema- Regresion- Unitaria
- Humo- Estatica- Dinamica- Plan- Estilo- Aceptacion- GUI
Viewdle Porque amamos la tecnología
Grupo Editorial F.I. DDSS S. A. C. Canaval y Moreyra 345, San Isidro, D.F.
Teléfono: 710-3000 Fax: 221-6266 [email protected]