Grave fallo en Java compromete la seguridad de los usuarios de Windows, Mac y Linux

Los usuarios de Windows, Mac OS X o Linux han de estar en alerta ante el último grave fallo en Java que compromete su seguridad. Por el momento no existe un parche que lo solvente, por lo que se recomienda desactivar Java por completo en todos los navegadores.

Java vuelve a abrir la puerta a ataques externos gracias a un exploit descubierto en las últimas horas. La vulnerabilidad se ha hallado en concreto en Java Runtime Environment (JRE) en su versión 1.7 que permitiría a un atacante la ejecución de código de forma remota y así infectar el equipo de los usuarios. En principio, todos los sistemas operativos son vulnerables aprovechando el exploit y según informa Security by Default, “se está utilizando de manera masiva”.

Aunque en un primer momento se pensaba que soloWindows era la plataforma afectada por el problema (que no se da en aquellos usuarios con JRE 1.6), no ha tardado en salir a la luz un módulo que ha funcionado en Mozilla Firefox sobre Ubuntu y en Safari sobre Mac OS X10.7.4. El fallo de seguridad ha sido descrito como “súper peligroso”, por lo que se ha animado a los usuarios a actuar con prontitud para evitar ser potenciales víctimas de quienes usen el exploit con fines maliciosos.

Esta invitación a los usuarios se produce porque no se espera una reacción con prontitud por parte de Oracle. La compañía tardaría días en publicar un parche que corrija la vulnerabilidad. Desde el laboratorio ESET así lo han confirmado, al asegurar un portavoz citado por elmundo.es que “incluso si Oracle decidiera lanzar un parche fuera de ciclo, aún tardaría unos días, tiempo más que suficiente para infectar millones de máquinas“.

Así pues, son los usuarios quienes han de deshabilitar por completo Java de sus navegadores hasta que Oracle lance el esperado parche. En función del navegador que utilice, el usuario tendrá que seguir los siguientes pasos:

– Google Chrome: Entramos en el menú de plugins escribiendo “chrome://plugins/” en la barra de direcciones y buscamos y desactivamos el complemento Java.

– Internet Explorer: Accedemos al menú de herramientas y de ahí a Opciones de Internet. En la pestaña Programas buscamos Gestionar complementos y deshabilitamos el Java Plug-in.
– Mozilla Firefox: Desde el menú de herramientas entramos en Complementos y en el panel Plugins deshabilitamos Java Plug-in o Java Applet Plug-in (el nombre depende del sistema operativo que tengamos).

– Safari: En el navegador de Apple accedemos a la pestaña de Seguridad en Preferencias y desmarcamos la opción Habilitar Java.

de spikek22

Desbaratan a una banda que copiaba datos de tarjetas de crédito en un shopping (Argentina)

Un falso operario de una empresa de lectores de tarjetas magnéticas fue detenido en el shopping Alto Palermo acusado de integrar una banda que obtenía información de las tarjetas de crédito y débito empleadas en distintos locales comerciales para luego confeccionar plásticos apócrifos que se utilizaban para compras en el exterior.

Los investigadores presumen que la organización cometió un fraude cercano a los 200 mil dólares, dijeron hoy fuentes policiales.

Los voceros informaron a Télam que el arresto se realizó en el local Mabby luego de que el encargado llamara a la seccional 21 al sospechar que un hombre que acababa de presentase en el comercio como un técnico podía ser en realidad un estafador.

Según las fuentes, todo comenzó cuando el falso operario dijo pertenecer a la empresa Posnet y argumentó que debía revisar el lector de tarjetas de crédito y débito instalado en local para realizar un relevamiento dispuesto por la firma.

Si bien el hombre, de nacionalidad chilena, portaba una credencial que lo identificaba como miembro de la empresa, el encargado del local sospechó de la veracidad de sus dichos, ya que hacía poco las empresas crediticias habían alertado a sus clientes sobre las andanzas de falsos técnicos que cometían estafas mediante la falsificación de tarjetas.

Por tal motivo, el empleado llamó a la policía, que acudió al local, demoró al sospechoso y en su poder secuestró una notebook, tres cédulas de identidad de Chile, dos de ellas falsas, dos tarjetas American Express apócrifas, tres teléfonos celulares y un posnet.

Según las fuentes, el hombre está acusado de integrar una organización criminal dedicada a capturar los datos de las bandas magnéticas de las tarjetas empleadas en los últimos 15 días en los comercios, que luego usaba para confeccionar nuevos plásticos apócrifos a utilizar en el exterior del país, en este caso en Chile.

Los voceros añadieron que la sospecha es que el hombre detenido tenía como misión obtener los datos almacenados en los posnet y copiarlos a la computadora que portaba, para luego transmitírselos a otros integrantes de la banda que se encargaban de confeccionar las tarjetas falsas o mellizas de crédito y débito.

En el marco de la pesquisa, los investigadores estimaron que la banda cometió una fraude estimado en 200 mil dólares.

de spikek22

CVSS, calculadora de métricas y vulnerabilidades

En la fase de Identificación de Riesgos es necesario identificar activos, amenazas, vulnerabilidades e impactos. En este punto vamos a asumir que ya disponemos de los activos de la organización, de las amenazas sobre los activos (ISO 27005 expone un catálogo relativamente amplio de amenazas en su Anexo C) y de las vulnerabilidades de los mismos. ISO 27005 nos invita a que definamos escenarios de incidentes donde se contempla la posibilidad de que una amenaza se aproveche satisfactoriamente de una vulnerabilidad presente en un activo. Estos escenarios son presentados a la persona encarga de evaluarlos (aquella que tenga un conocimiento más amplio de las posibles repercusiones) quien nos dará un valor por Confidencialidad, Integridad y Disponibilidad en cada escenario y atendiendo a los criterios anteriormente fijados.

Ya tenemos nuestros valores de Impacto para Confidencialidad, Integridad y Disponibilidad para cada activo pero… ¿y las dependencias?. Y si tengo un activo de Información que es manejado por una aplicación, puedo tener valores diferentes para cada uno y eso puede resultar incongruente.

de spikek22