Mozilla Firefox, Vulnerabilidad

El día 05 de agosto, un usuario de Firefox informó que un sitio de noticias en Rusia estaba publicitando una vulnerabilidad (exploit) de Firefox que buscaba archivos sensibles y les ha subido a un servidor que parece estar en Ucrania. Mozilla lanzó actualizaciones de seguridad que corrigen la vulnerabilidad.

Firefox Exploit
Firefox Exploit

Se insta a todos los usuarios de Firefox a actualizar a Firefox 39.0.3. La solución también se ha hecho en Firefox ESR 38.1.1.

La vulnerabilidad proviene de la interacción del mecanismo que hace cumplir la separación de contexto JavaScript (la “misma política origen”) y el visor de PDF de Firefox. Productos de Mozilla que no contienen el Visor de PDF, como Firefox para Android, no son vulnerables. La vulnerabilidad no permite la ejecución de código arbitrario, pero el exploit fue capaz de inyectar una carga útil de JavaScript en el contexto de archivos local. Esto le permitió buscar y cargar archivos locales potencialmente sensibles.

Los archivos que estaba buscando eran sorprendentemente centrados para el exploit lanzado en el sitio de noticias que tiene un público general, aunque por supuesto no sabemos dónde más podría haber sido desplegado el anuncio malicioso. En Windows el exploit buscaban Subversion, s3browser y archivos de configuración Filezilla, .purple, información de la cuenta Psi+ y los archivos de configuración del sitio a partir de ocho diferentes clientes FTP populares. En Linux el exploit busca los archivos de configuración globales habituales, como /etc/passwd, y luego en todos los directorios de usuario que puede acceder a buscar, como es ~/.bash_history, ~/.pgsql_history, archivos de configuración ~/.ssh y llaves, archivos de configuración ~/.mysql_history y también de Remina, Filezilla y Psi+, archivos de texto con “pass” y “access” en los nombres y las secuencias de comandos de shell. Los usuarios de Mac no son el objetivo de este particular exploit pero no serían inmunes si alguien crear una carga diferente.

El exploit no deja rastro pues ha sido ejecutado en la máquina local. Si utiliza Firefox en Windows o Linux sería prudente cambiar las contraseñas y claves que se encuentran en los archivos mencionados anteriormente si utiliza los programas asociados. Las personas que usan el software de bloqueo de anuncios pueden haber sido protegidos de la explotación en función del software y filtros específicos que se utiliza pues necesita Javascript para ser executado.

Fuente: Blog Mozilla

BlackHat 2015, Vulnerabilidad en Thunderstrike de Mac OS X

Se espera que un nuevo ataque contra firmware de Intel que se ejecuta en los ordenadores de Apple que se hará público en la conferencia Black Hat 2015 de esta semana. La investigación es una extensión del bootkit firmware Thunderstrike Mac OS X que se dió a conocer esta primavera que permite la instalación de firmware indetectable malicioso que sobrevive a reinicios y reinstalaciones del sistema operativo.

BlackHat 2015 Thunderstrike
BlackHat 2015 Thunderstrike

Thunderstrike 2 es diferente de su predecesor en que un atacante no sería necesario el acceso físico a un Macbook; este ataque se puede realizar de forma remota y explota auto-replicarse a través de los periféricos, dijeron los investigadores.

El trabajo es una colaboración entre la ingeniería inversa aficionado y seguridad investigador Trammell Hudson y Xeno Kovah de Legbacore. Hay cerca de media docena de vulnerabilidades de firmware en riesgo de explotación que han sido dadas a conocer hace unos meses a Apple. Apple ha parcheado algunos de de estos temas, pero otros permanecen y las dos partes todavía están trabajando en una resolución.

Las vulnerabilidades descubiertas por firmware Kovah y su colega Corey Kallenberg viven en el hardware utilizados en las plataformas Windows y Apple. El problema es que las fallas han sido parcheado en la implementación de referencia para UEFI en otras plataformas Intel. En el caso de Apple, la compañía ha dicho en el pasado su firmware no se vio afectado; todo el firmware en cuestión, sin embargo, se deriva de la misma implementación de referencia de Intel, dijeron los investigadores.

Ataques de firmware son excepcionalmente compleja de lograr, que requiere experiencia y los recursos financieros para ejecutar. En feberero, los investigadores de Kaspersky Lab revelaron un ataque firmware desarrollado y ejecutado por un agente del Estado-nación conocido como el Grupo de ecuaciones. Entre sus muchas capacidades era un módulo de hardware llaman nls_933w.dll que los investigadores llamaron el “mecanismo de persistencia final”, que reservaba sólo a los objetivos de alto valor-y uno que requiere acceso a la documentación propia para una serie de proveedores de hardware para entender cómo cada uno de el firmware correspondiente opera.

El resultado final da un determinado acceso de hackers indiscriminado de nivel raíz a un ordenador y la posibilidad de añadir otros ataques para robar datos y mover tranquilamente a voluntad sobre la máquina.

FBI, con problemas de contratación de hackers

El FBI está teniendo problemas para llenar puestos de trabajo para sus programas de ciberseguridad debido comparativamente a los bajos salarios y rigurosos controles de antecedentes, dice un informe de auditoría.FBI con problemas de contratación

La oficina del Departamento de Justicia, ha publicado el jueves que el FBI no ha contratado a 52 de los 134 científicos de la computación para el que fue autorizado, y que 5 de sus 56 oficinas en el terreno no tenía un científico de la computación por su Grupo de Trabajo del Cyber.

El informe dijo que el FBI tiene que centrarse en “reclutar y retener a los profesionales cibernéticos altamente cualificados, con formación técnica”, y para ampliar la cooperación con el sector privado para luchar contra las amenazas cibernéticas.

“El reclutamiento y la retención de candidatos cualificados siguen siendo un desafío para el FBI, como entidades del sector privado a menudo son capaces de ofrecer salarios más altos y por lo general tienen un menos extenso proceso de investigación de antecedentes”, dijo el informe.

“Creemos que el FBI debería continuar sus esfuerzos de reclutamiento y retención creativas, incluyendo el uso selectivo de la (programa de pago de préstamos estudiantiles) y aumentar la movilidad de los ex empleados con habilidades críticas, para atraer y retener a profesionales altamente cualificados cibernéticos.”

El informe del inspector general dijo que el FBI ha tratado de llenar los vacíos al trabajar con contratistas privados, y también ha intensificado los programas de contratación y formación en los colegios y universidades.

El informe dijo que mientras que el reclutamiento es difícil, “la mayoría de los agentes cibernéticos del FBI que entrevistamos nos dijeron que es la misión de la FBI que les motiva a permanecer en el FBI en lugar de salir hacia posiciones más lucrativas.”

El informe parece confirmar la evidencia anecdótica sobre las relaciones difíciles entre el establecimiento y la tecnología de seguridad de la industria estadounidense, que han empeorado desde los 2.013 revelaciones sobre vastos programas de vigilancia del gobierno estadounidense.

El informe señaló que el FBI también se ve obstaculizada en sus esfuerzos para impulsar los esfuerzos de seguridad cibernética por la falta de cooperación por parte del sector privado.

“La renuencia del sector privado para compartir información se ha visto afectada además por la desconfianza en el gobierno tras las filtraciones Edward Snowden” acerca de los programas de vigilancia de Estados Unidos, según el informe.

“Varios representantes del sector privado nos dijeron que el suministro de información al FBI es similar a enviarlo en un agujero negro – la información que entra y las entidades no escuchar nada más sobre él.”

El informe dijo que el FBI debería “redoblar sus esfuerzos de divulgación para mejorar el intercambio y la colaboración con entidades del sector privado” cuando sea factible.

 

Fuente: SecurityWeek

Netflix en Velocity 2015, Herramientas de rendimiento en Linux

Hay muchas herramientas de rendimiento hoy en día para Linux, pero ¿cómo se encajan entre sí, y cuando las usamos? En Velocity 2015, le di un tutorial 90 minutos en herramientas de rendimiento de Linux.

Herramientas de rendimiento en Linux
Herramientas de rendimiento en Linux

He hablado sobre este tema antes, pero teniendo en cuenta un intervalo de tiempo 90 minutos tuve la

oportunidad de incluir más metodologías, herramientas y demostraciones en vivo, por lo que es el tour más completo del tema que he hecho. El vídeo y las diapositivas están por debajo.

En este tutorial voy a resumir las herramientas tradicionales y avanzadas de rendimiento, incluyendo: top, ps, vmstat, iostat, mpstat, libre, strace, tcpdump, netstat, nicstat, pidstat, swapon, lsof, sar, ss, iptraf, iotop, slaptop, pcstat , tiptop, rdmsr, lmbench, fio, pchar, perf_events, ftrace, SystemTap, KTAP, sysdig y EBPF; y hacer referencia a muchos más. También incluyo herramientas, diagramas actualizados para observabilidad, sar, benchmarking, y tuning (incluyendo la imagen de arriba).

Este tutorial se puede compartir con un público amplio – cualquier persona que trabaje en los sistemas Linux – como un curso acelerado de herramientas gratuitas sobre el rendimiento de Linux. Espero que la gente lo disfrute y les resulta útil. Aquí está la lista de reproducción.

Video Part 1

Video Parte 2:

 

Enlace a las diapositivas:

 

 

Fuente: netflix