VIEWDLE8

de M

ayo

de 2

015

GRA

TUITA

PORQUE AMAMOS LA TECNOLOGÍA

BUG DE SEGURIDAD EN WI-FI PUEDE DEJAR A ANDROID, LINUX Y WINDOWS EXPUESTOS A ATAQUES.

LA IMPORTANCIA DE IDENTIFICAR, ANALIZAR Y EVALUAR VULNERABILIDADES.

3

Es un honor para el cuerpo editorial poner en sus manos el cuarto número de revista Viewdle, una visión a la tecnología del futuro.

La tecnología forma parte de nuestro diario quehacer: desde que nos levantamos con ayuda de la alarma del celular, en el trabajo con las computadoras y laptops, hasta en el momento de trasladarnos de un lugar a otro cuando utilizamos nuestro reproductor Mp3. Es por ello que presentamos en este número todas las novedades en software y hardware que han sido anunciados alrededor del mundo.

Sin más por anunciar, esperamos que disfrutes navegando en el mundo tecnológico.

EDITORIAL

LA TECNOLOGÍA Y SUS AVANCES YA ESTÁN POR ALCANZAR NUESTRA IMAGINACIÓN.

4

VIEWDLE

Desarrollo software de seguro

SEMESTRE 2015 - 2FACULTAD DE INGENIERÍA

UNAM

© Viewdle, editada desde el 2015

Grupo Editorial F.I. DDSS S. A. C.

Canaval y Moreyra 345, San Isidro, D.F.

Teléfono: 710-3000 Fax: 221-6266

10La importancia de identificar, analizar y evaluar vulnerabilidades

General ManagerJosé Antonio Santiago Torres

DirectorBertha Isabel Vega Galicia

EditorJose Aguilar Basurto

03 EDITORIAL

06

07INDICE

08

UBUNTU 15.04 YA DISPONIBLE PARA DESCARGA

09

INTEL COMPUTE STICK, LANZAMIENTO

10 LA IMPORTANCIA DE IDENTIFICAR, ANALIZAR Y EVALUAR VULNERABILIDADES

12 - MICROSOFT CYBERCRIME CENTER

- DROPBOX

VULNERABILIDAD EN IOS PODRÍA DEJAR INSERVIBLE TU IPHONE O IPAD.

BUG DE SEGURIDAD EN WI-FI PUEDE DEJAR A ANDROID, LINUX Y WINDOWS EXPUESTOS A ATAQUES

13¿CÓMO PROTEGERTE DE VULNERABILIDADES EN SOFTWARE LIBRE?

14 ENTRETENIMIENTO

Vulnerabilidad en iOS podría dejar inservible tu iPhone o iPad.

22 DE ABRIL DE 2015

Las empresas dedicadas a la seguridad de software han encontrado en las grandes compañías un lugar de donde pueden obtener grandes sumas de dinero, y es que por más grande que sean compañías como Microsoft, Google, Apple, etc., las cosas no siempre son tan perfectas como ellos quieren. Consientes de los problemas de seguridad, las compañías han creado campañas de “recompensas”, con el fin de encontrar vulnerabilidad en cualquiera de sus servicios, sistemas o aplicaciones, y en torno a esos planes de recompensa las empresas de seguridad han dedicado tiempo y esfuerzo para descubrir bugs y problemas de seguridad que pueden significar grandes demandas, pero muchas veces el objetivo no es el dinero, sino la cercanía con la compañía a la que están ayudando a solucionar un problema.

Una de estas empresas llamada Skycure, ha mostrado en la RSA Conference que se celebra durante estos días en San Francisco, donde se debaten cuestiones clave de la seguridad de los dispositivos móviles y de otros aparatos electrónicos, un fallo bastante grave en iOS 8, cuya última versión, iOS 8.3, incluía algunas mejores de seguridad, que hace que nuestros iPhone y iPad, dispositivos de los que a veces se critica su excesiva seguridad, queden totalmente inutilizados y que perdamos nuestro control sobre los mismos.

El fallo consiste básicamente en que diversas aplicaciones, al iniciarlas, intentan establecer una conexión segura a un

servidor. Si previamente resulta que nos encontrábamos conectados a un punto de acceso WiFi falso, lo que los investigadores obligaron incluso a hacer al dispositivo, estos se bloquean e incluso entran en un bucle de arranques constantes y que no se detiene.

De estar conectado al punto de acceso WiFi falso, es muy difícil escapar de este error de seguridad, ya que casi iniciando cualquier aplicación, éstas intentaran establecer la conexión segura a un servidor y caeremos. Incluso sin iniciarlas, algunas intentarán hacer esto en segundo plano, por lo que prácticamente sin hacer nada, podrían nuestros iPhone y iPad quedarse inservibles.

En este caso hablamos de una empresa dedicada a la seguridad de s istemas por lo que su descubrimiento no significará un problema para Apple, pero si los acerca un poco más a una de las compañías más grandes del planeta, digamos que más que ganar una recompensa monetaria, acá la gente de Skycure dejó su CV sobre la mesa de Apple, algo que puede costar mucho más que el dinero obtenido reportando este problema en iOS.

Según fue revelado en el día de ayer, más de 1500 aplicaciones presentes en iOS -algunas muy

populares- podrían dar lugar a este error, algo que debe tener a muchos desarrolladores puestos de cabeza con tal de q u e A p p l e n o b a j e s u s aplicaciones del AppStore.

7

Ubuntu 15.04 ya disponible para descarga

22 DE ABRIL DE 2015

Después de seis meses de una versión beta, de una s e r i e d e c a m b i o s menores , aparece la

versión 15.04 estable final de Ubuntu, la cual puede

ser ya descargada . Las mejoras que ofrece son en

realidad modestas en esta versión llamada Vivid Vervet. Hay una

cantidad de bugs corregidos, mejoras en la manera como se usa el sistema y una serie de actualizaciones de software que dan a entender que el sistema parece estar más pulido que nunca.

Las nuevas características de Ubuntu 15.04:

Systemd es un nuevo software que inicializa el sistema cuando se arranca. Maneja una serie de cargas del sistema y de los procesos en background, asunto que cada vez es más común en los sistemas operativos modernos. Un usuario puede notar que el sistema tarda más o menos en arrancar, dependiendo de cómo lo tenga configurado.

Unity 7.3 Los menúes integrados localmente son ahora el modelo por omisión. El escritorio Unity (no confundirlo con el motor de juegos), ha tenido una serie de refinamientos y corrección de errores menores.

Compiz 0.9.12, es el manejador del escritorio que mejora la experiencia de usar Unity. Básicamente se mantiene

igual. Sólo unos pequeños cambios pero nada relevante.

Ubuntu Linux Kernel 3.19, aunque no es el kérnel de Linux oficial, sino una versión modificada, es de esperarse que pronto aparezcan las modificaciones y parches necesarios.

music-rhythmbox, es una nueva aplicación para Ubuntu.

Obviamente hay actualizaciones para las apps que por omisión trae el sistema, incluyendo Firefox y Thunderbird (cliente de correo). Además las siguientes versiones se han actualizado:

Hay mejoras para los desarrolladores con cambios para Vivid, incluyendo algo que ahora llaman Ubuntu Make, el cual simplifica el proceso de instalar editores, herramientas y bibliotecas de software, incluyendo las correspondientes a SDK, IDEA, PyCharm y la nueva Firefox Developer Edition..

El veredicto parece ser muy bueno: Ubuntu 15.04 es un ejemplo de un escritorio que brilla y que ayuda a sus usuarios.

Intel ha anunciado lanzamiento de la computadora de bolsillo Intel Compute Stick, en versiones con Windows y Linux (Ubuntu).

Ya lo conoces. En un formato poco mayor a un pendrive, lo conectas a un puerto HDMI de una pantalla como televisor o monitor para convertirla en un ordenador funcional. Entre su conectividad encontrarás Wi-Fi n y Bluetooth, lector de tarjetas de memoria microSD, USB y el mencionado HDMI.

Se vende en dos versiones. La primera con Windows 8.1 with Bing instalado, monta procesador Intel Atom Bay Trail (Z3735F con cuatro núcleos hasta 1,83 GHz), gráficos integrados Intel, con 2 Gbytes de RAM y 32 Gbytes de almacenamiento. Su precio de venta es de 139 dólares en retailers como Adorama.

La versión con Linux utiliza Ubuntu 14.04 LTS y monta el mismo procesador pero con 1 Gbytes de RAM y 8 Gbytes de almacenamiento. A cambio su precio es más barato. En newegg por 109 dólares.

Un dispositivo interesante para usuarios o profesionales que requieran una computadora básica que puedan llevar en un bolsillo y conectar en cualquier pantalla de visualización con entrada HDMI.

Por si te interesa, tienes análisis del Intel Compute Stick en ars technica o liliputing.

Ars technica: http://arstechnica.com/gadgets/2015/04/22/intels-compute-stick-a-full-pc-thats-tiny-in-size-and-performance/

Liliputing: http://liliputing.com/2015/04/intel-compute-stick-mini-computer-with-windows-review.html

Intel Compute Stick, lanzamiento

La Compute Stick de Intel está lista para pedidos previos a través de tiendas en línea.

7

Bug de seguridad en Wi-Fi puede dejar a Android, Linux y Windows expuestos a ataques23 DE ABRIL DE 2015

En un email enviado a la lista de correo de oss-security (Open Source Software Security), el mantenedor del cliente para redes inalámbricas usados por los drivers de Android, Linux, BSD y Windows, ha enviado un parche urgente para eliminar un bug de seguridad que podría permitir a los atacantes bloquear dispositivos o, en caso extremo, inyectar malware en la memoria. El ataque puede producirse a través un nombre de red malicioso.

La vulnerabilidad fue descubierta por el equipo de seguridad de Alibaba y enviado al mantenedor de wpa_supplicant, Jouni Malinen, del equipo de seguridad de Google. Según Jouni Malinen, wpa_supplicant usa información del SSID (nombre de la Wi-Fi) analizadas desde los marcos de gestión que crean o actualizan entradas P2P en la lista de redes disponibles. El fallo de seguridad se asemeja a Heartbleed debido a que no comprueba correctamente la longitud de los datos transmitidos, pero al contrario del famoso fallo de seguridad en OpenSSL, que da la posibilidad a los atacantes de leer contenidos fuera de la memoria más allá de lo que tendría que estar permitido, la vulnerabilidad de wpa_supplicant trabaja en ambos sentidos, pudiendo los atacantes leer y escribir en la memoria.

Todo esto ocurre porque el código no puede comprobar la longitud de la información del SSID entrante, escribiendo información más allá de los 32 octetos de datos válidos y superando el rango que tiene asignado. La información del SSID se transmite en conjuntos de 8 bits (octetos), pudiendo llegar hasta los 255 octetos, y el problema radica en que el código no estaba verificando correctamente la carga útil de la longitud en una de las rutas de código usadas por el SSID, que era recibido desde uno de los pares. Esto provoca un desbordamiento que puede anular un par de variables en la estructura, incluyendo un puntero que es liberado. Además, alrededor de 150 bytes pueden ser escritos más allá del rango de memoria asignado.

Esta vulnerabilidad es difícil de explotar si el objetivo no está utilizando conexiones Wi-Fi P2P. Si bien un SSID malicioso puede causar una denegación de servicio sin una red P2P, el mayor riesgo de seguridad está en la actividad P2P.

Google ya ha lanzado un parche de seguridad, sin embargo queda en manos de los fabricantes el hecho de que llegue a los usuarios finales.

imaginacuervo.com

En términos de segur idad de la in formación, una vulnerabilidad es una debilidad que se encuentra en un activo o en un control y que puede ser explotada por una o más amenazas,  lo que se convierte en un riesgo de seguridad. Una forma de proteger la información es a través de la identificación, valoración, priorización y corrección de las debilidades identificadas en los activos.

Esta actividad se conoce como Vulnerability Assessment, y tiene como objetivo encontrar las debilidades en las plataformas  de  software  o  hardware  para solucionar las fallas, antes de que puedan generar un impacto negativo.

A continuación vamos a conocer las fases consideradas para la realización de una evaluación de las debilidades en la infraestructura tecnológica y su importancia dentro de una organización.

Pasos para la evaluación de vulnerabilidades

También conocida como análisis de vulnerabilidades, se le considera una evaluación ya que además de abarcar la fase de análisis, también involucra una  valoración  de las debilidades identificadas, utilizando para ello diferentes criterios que permiten calificar y cuantificar su impacto.

En general las vulnerabilidades pueden encontrarse en los sistemas porque pueden contener  agujeros de seguridad  conocidos y desconocidos (vulnerabilidades  0-day), cuentan con configuraciones por defecto o son el resultado de errores de configuración.

Para solucionar estos inconvenientes es posible aplicar distintos métodos para llevar a cabo la evaluación de fallas en la infraestructura de una organización. En general consideran las siguientes actividades:

• Obtener la aprobación para la evaluación de vulnerabilidades

Debido a que las actividades relacionadas con la identificación de vulnerabilidades pueden catalogarse como intrusivas por las herramientas de seguridad que se encuentren instaladas dentro la infraestructura de la organización, es necesario que se tenga la aprobación para ejecutar el escáner, programar la actividad y notificar a las partes interesadas, es decir aquellas que pueden afectar o verse afectadas por esta actividad.

• Generar un inventario de activos

Una buena práctica relacionada con la gestión de la seguridad consiste en la creación y mantenimiento de un inventario de activos asociados con la información y sistemas, utilizados para procesar, almacenar o transmitir esa información. Una vez que se cuenta con la lista, se deben seleccionar los activos sobre los cuales se llevará a cabo la evaluación. En general, las pruebas se deben enfocar en los elementos críticos, relacionados con los procesos más importantes.

• Definir el alcance de la evaluación

Derivado de la generación del inventario y la selección de los objetivos, la evaluación puede ejecutarse de dos modos: interno y externo. Desde la perspectiva interna se realiza el escaneo desde la infraestructura de la organización, con acceso a los recursos de forma directa. La evaluación externa implica lidiar con la protección perimetral que se tiene en la red corporativa y se adopta la posición que tendría un atacante en busca de alguna vulnerabilidad.

18 DE FEBRERO DE 2015

La importancia de identificar, analizar y evaluar vulnerabilidades 22 DE ABRIL DE 2015

7

VIEWDLE

• Recabar información, identificar y evaluar vulnerabilidades

La evaluación puede realizarse de forma manual o automatizada a través de alguna herramienta, para obtener información relevante en cuanto a las vulnerabilidades en los sistemas considerados. Posterior a la identificación de las debilidades y la obtención de información relacionada con las mismas, resulta necesario llevar a cabo un proceso de valoración que permita conocer su impacto. Para ello es posible utilizar algún  sistema de puntaje como CVSS. Es importante mencionar que herramientas especializadas permiten automatizar estas actividades.

• Generar un informe de resultados

Con base en los resultados de la evaluación se debe generar un informe que permita conocer el estado de la seguridad en los sistemas a partir de los hallazgos. También busca mostrar los resultados a través de la priorización de las vulnerabilidades, con el objetivo de atender primero las debilidades de mayor impacto sobre los activos.

• Generar un plan de remediación

Como última actividad asociada a la evaluación de vulnerabilidades es necesario desarrollar y ejecutar un plan de remediación que permita corregir las fallas identificadas y evaluadas, en conformidad con los resultados de la priorización. En general, la corrección de estas fallas se relaciona con la aplicación de actualizaciones o parches de seguridad.

Razones para llevar a cabo una evaluación de vulnerabilidades

De acuerdo con los resultados de la encuesta realizada por ESET Latinoamérica para el documento  ESET Security Report 2014, la explotación de vulnerabilidades se ha convertido en la mayor preocupación de las empresas en materia de seguridad, seguida de otros incidentes como infección por  malware, fraudes,  phishing  o ataques de denegación de servicio (DoS).

En este sentido, la evaluación cobra relevancia para evitar las incidencias relacionadas con la explotación de las mismas y como un medio para la aplicación de un elemento de la denominada  seguridad ofensiva, a través de los escáneres de vulnerabilidades.

En la próxima entrega mostraremos la forma de utilizar OpenVAS, una herramienta libre para llevar a cabo el análisis y evaluación de las vulnerabilidades, y de esta manera contribuir con la seguridad de los sistemas. ¡Hasta entonces!

Publicación dedicada a encontrar la cultura fuera de focos en el Distrito Federal. Hecha por y para jóvenes. Voz ciudadana. Reinventando la participación.

Consúltala en: http://goo.gl/BKrruz

Entre tantas nuevas amenazas e infecciones, les traemos una buena noticia: Dropbox lanzó su propio programa de recompensas  para los investigadores que reporten vulnerabilidades. De esta forma, se suma a otras compañías que llevan adelante iniciativas similares, y fomenta el trabajo de la comunidad de especialistas interesados en mejorar la seguridad de los servicios y aplicaciones web.

Dropbox  anunció  que, en conjunto con  HackerOne, a b o n a r á re c o m p e n s a s i n c l u s o p a r a q u i e n e s hallaron  bugs  anteriormente y no fueron premiados. El bono mínimo será de 216 dólares para las fallas más pequeñas o menos severas, y si bien no hay un máximo establecido oficialmente, la recompensa más alta abonada hasta el momento es de 4.913 dólares.

Los productos contemplados en el programa son:

• Las aplicaciones de Dropbox, Carousel y Mailbox para Android, iOS y web.

• El cliente Dropbox para escritorio

• Dropbox Core SDK

• Además, se contemplará premiar hallazgos interesantes en otras aplicaciones

Quedan excluidas del programa vulnerabilidades como Cross-Site Scripting (XSS) contra dropboxusercontent.com, los foros o dominios que no sean de Dropbox; ataques que requieran acceso físico

al dispositivo, y ataques cross-site request forgery (CSRF) en el inicio y cierre de sesión. Tal como indica The Register, se han eliminado 27 bugs hasta el momento.

El comunicado dice:

Mientras trabajamos con firmas profesionales para pentesting y hacemos nuestro propio testing in-house, el escrutinio independiente de nuestras aplicaciones ha sido un recurso invaluable para nuestro equipo -permitiendo aprovechar la experiencia de la comunidad de seguridad más amplia.

Hemos reconocido las contribuciones de los investigadores con los que hemos trabajado en un hall of fame público, y ahora estamos emocionados de ser también una de las muchas compañías que proveen recompensas monetarias. De hecho, estaremos recompensando retroactivamente a los investigadores que han reportado bugs críticos en nuestras aplicaciones a través de nuestro programa existente, pagando 10.475 dólares hoy.

Dropbox presenta su programa de recompensas a reportes de bugs 16 DE ABRIL DE 2015

Este centro empezó a operar en noviembre de 2013, y tiene como misión actual tres grandes áreas.

La primera es el combate contra los Botnets. Básicamente, se trata de aquellos ciberataques que provienen de computadoras que previamente han sido tomadas sin que sus dueños se den cuenta, por lo cual se les llama comúnmente equipos zombies, ya que estos proceden a atacar en grupo y de manera masiva a otros equipos cuando se les da la orden para esto.

El segundo es la defensa de los derechos de propiedad intelectual: todo un tema en nuestros días cuando las obras y creaciones del trabajo de miles de personas circulan de manera ilegítima en la Red, haciendo ricos a los ciberdelincuentes y no sus creadores o representantes legítimos.

El tercero es la protección a poblaciones potencialmente vulnerables, como los menores de edad en la Internet. Acá,

el tema de la prevención del delito es fundamental, ya que, para el Centro Contra el Cibercrimen de Microsoft, el evitar la violación a la integridad física o psicológica de esta población es la meta principal.

En estos tres apartados se pueden resumir los esfuerzos actuales de este centro, que también lucha contra los llamados delitos informáticos de próxima generación como el Cloud Crime o Delitos de la Computación en la Nube.

Microsoft Cybercrime Center – Un Centro Internacional contra el Cibercrimen 3 DE MAYO DE 2015

7

Nota rapida

Visual Studio Code ya disponible para Mac y Linux de forma gratuitaEn una conferencia de desarrolladores de Microsoft. a cámara muestra un escritorio OS X de un MacBook mientras se explicaban nuevas funciones de las herramientas de desarrollo en la nube. BOOM. Es Visual Studio Code. Para Mac. Pero eso no es todo, también lo vemos corriendo en Ubuntu. Y, además, será totalmente gratuito.

Esta es la nueva Microsoft: servicios en la nube como Azure son uno de los negocios más prolíficos de la compañía y a más usuarios puedan beneficiarse de todo el entorno que Microsoft ofrece a los desarrolladores, mejor. Desde el entorno de desarrollo a los servicios de desarrollo en cloud. Además, acorde a sus palabras, es extremadamente ligero y fácil de ejecutar. Contará con la integración de Git, el software de control de versiones por excelencia creado por Linus Torvalds.

A lo l a r go de es te año, hemos s ido te s t i gos de  vulnerabil idades  identificadas en herramientas de software  libre y protocolos de comunicación ampliamente utilizados, lo que representa un importante riesgo de seguridad.  Heartbleed,  Shellshock  y  Poodlefueron las más resonantes, con efectos a gran escala y mucha repercusión. Pero, ¿qué medidas de seguridad se pueden implementar para mitigar el impacto?

A cont inuac ión en l i s tamos l a s ac t i v idades que administradores de red y de sistemas pueden llevar a cabo para proteger la información dentro de sus organizaciones, para de este modo continuar utilizando  software  de código abierto mitigando riesgos de seguridad.

• Realiza evaluaciones de seguridad de forma periódica

Las revisiones de seguridad se han convertido en una tarea necesaria para verificar el estado de los sistemas, con relación a las vulnerabilidades conocidas. Herramientas como  OpenVAS,  que recientemente ha solucionado una vulnerabilidad que permitía la ejecución de ataques DoS, o  Nessus, permiten automatizar esta actividad así como evaluar y priorizar las debilidades en los sistemas informáticos, con base en el impacto que representan para una organización.

• Actualiza el software vulnerable

Como resultado de las rev is iones (manuales o automatizadas), la siguiente etapa consiste en aplicar actualizaciones o correcciones de seguridad para la solución de las fallas identificadas. Continuamente se emiten versiones de  software  mejoradas que eliminan errores asociados al

funcionamiento de las aplicaciones. En este proceso también es importante verificar la compatibilidad de las nuevas versiones con las aplicaciones desarrolladas.

• Centraliza y revisa los registros del sistema

Soluciones enfocadas en la correlación de eventos y la gestión centralizada de registros se han convertido en una importante herramienta para los administradores. Opciones como ELSA o Syslog permiten tener un conjunto de colección de registros para la búsqueda y alerta de potenciales incidentes. Opciones como  OSSIM  además agregan opciones como monitoreo (Nagios),  evaluación de vulnerabilidades  (OpenVAS) o detección de intrusiones (Snort).

• Gestiona la configuración de la infraestructura de TI

Los sistemas de gestión de configuraciones permiten conocer el estado de la infraestructura de TI para luego forzar los cambios en los nodos evaluados, con el objetivo de alcanzar el estado deseado. Además permiten automatizar tareas que los administradores suelen realizar de forma manual. Herramientas libres como Puppet oChef  son utilizadas para este fin.

Estas prácticas y herramientas contribuyen en el aumento de la seguridad dentro de la infraestructura organizacional. v

¿Cómo protegerte de vulnerabilidades en software libre? 30 DE ABRIL DE 2015

ENTRETENIMIENTOEncuentra la respuesta a las siguientes preguntas dentro del crucigrama

HORIZONTALES:4. Tipo de prueba de software que verifica el tamaño de la base de datos5. Tipo de prueba de software que verifica el formato de las ventanas, los colores corporativos, tamaños de texto, etc.6. Clasificación de prueba de software que se realiza sin ejecutar el código8. Investigación realizada para determinar la calidad de un producto o servicio de software9. Documento que detalla los objetivos, mercado objetivo, equipo beta interno, procesos beta

VERTICALES1. Tipo de prueba de software que prueba el

sistema constantemente hasta saturarlo2. Término común para una colección de

casos de prueba3. Tipo de prueba de software que da el

dictamen del cliente sobre la satisfacción del programa

7. Clasificación de prueba de software que requiere la ejecución de la aplicación

7

Encuentra las palabras dentro de la sopa de letras:- Repositorio- Build- Autoprobable- Entorno- Produccion- Desarrollador

- Github- Implementacion- Disponibilidad- Integracion- Flujo- Programacion extrema- Regresion- Unitaria

- Humo- Estatica- Dinamica- Plan- Estilo- Aceptacion- GUI

Viewdle Porque amamos la tecnología

Grupo Editorial F.I. DDSS S. A. C. Canaval y Moreyra 345, San Isidro, D.F.

Teléfono: 710-3000 Fax: 221-6266 no_reply@apple.com