Respuestas
al webquest de Seguridad Informática
1. ¿Qué son Black hats, White hats y Grey hats?
- White Hat (sombrero blanco)
- Black Hat (sombrero negro)
- Grey Hat (sombrero gris)
1. White Hat (sombrero blanco) hace referencia a la categoría en la que se encuentran las
herramientas para el desempeño del SEO, de manera totalmente legal y aceptable,
desde el punto de vista de los motores de búsqueda (search engines). Por ejemplo: Link Building, Pligg, Blog Posting,
Search Engine Submission, Link Submission, Social Bookmarking, etc.
2. Black Hat (sombrero negro) se refiere a la categoría en la que encontramos las herramientas para
SEO, que desde el punto de vista de los motores de búsqueda, son completamente
fraudulentas e inaceptables, con lo que al detectarse este tipo de acciones en
un sitio web en particular, este sitio quedaría vaneado de por vida
en los motores de búsqueda. Por ejemplo: el sobre uso de un mismo keyword en el
Keyword Meta Tag. Hay personas que colocan el mismo keyword, por mencionar, 20
veces en el Keyword Meta Tag de su página web.
3. Grey Hat (sombrero gris) representa la categoría en la que no se sabe a ciencia
cierta, si las herramientas son de White Hat o de Black Hat, por lo que son ubicadas
en esta categoría intermedia de Grey Hat. Por ejemplo: Link Wheel; hay quienes
sostienen que el Link Wheel es una herramienta White Hat, mientras que otros
afirman que se trata de una herramienta de Black Hat.
2. ¿Qué es clonezilla y para que se puede utilizar?
Clonezilla es un software libre de recuperación ante desastres, sirve para la
clonación de discos y particiones. Clonezilla está diseñado por Steven Shaiu y
desarrollado por el NCHC Labs en Taiwán. Clonezilla SE
(Server Edition) ofrece soporte multicast (más de 40 ordenadores simultáneos)
similares a Norton Ghost Corporate
Edition.
3. Define lo que es κρύπτω γράφω
Criptografía (del griego κρύπτos '(criptos),
«oculto», y γραφη (grafé), «escritura», literalmente
«escritura oculta»). Tradicionalmente se ha definido como el ámbito de la criptología que se ocupa de las técnicas de cifrado o codificado destinadas a alterar las representaciones lingüísticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados.
4. ¿Qué es Truecrypt y para que se puede utilizar?
TrueCrypt es una aplicación
informática freeware descontinuada
que sirve para cifrar y ocultar
datos que el usuario considere reservados empleando para ello diferentes algoritmos de cifrado como AES, Serpent y Twofish o una combinación de los mismos. Permite crear
un volumen virtual cifrado en un archivo de forma rápida y transparente o
cifrar una partición o una unidad extraible entera.
5. ¿Qué fue el gusano Morris y que sistema tenemos para protegernos de
programas de ese tipo?
El malware,
también llamado badware, código maligno,software
malicioso o software malintencionado, es un tipo
de software que tiene como objetivo infiltrarse o dañar
una computadora o sistema de información sin el
consentimiento de su propietario. El término malware es muy
utilizado por profesionales de la informática para referirse a una
variedad de software hostil, intrusivo o molesto. El término virus
informático suele aplicarse de forma incorrecta para referirse a todos los
tipos de malware, incluidos los virus verdaderos.
El software
se considera malware en función de los efectos que, pensados por el creador,
provoque en un computador. El término malware incluye virus, gusanos, troyanos,
la mayor parte de
los rootkits, scareware, spyware, adware intrusivo, crimeware y
otros softwares maliciosos e indeseables.
El sistema
que tenemos para protegerlo es el Panda Security.
6. ¿Qué es
la red mariposa?
La red
mariposa es la denominación asignada a computadores personales que,
tras haber sido infectados por algún tipo de malware, pueden ser usados
por una tercera persona para ejecutar actividades hostiles. Este uso se
produce sin la autorización o el conocimiento del usuario del equipo. El nombre
procede de los zombis o muertos vivientes esclavizados, figuras
legendarias surgidas de los cultos vudú.
7. ¿Qué es
MMSBomber y a que dispositivos afecta?
El virus
"MMS Bomber" ha infectado a millones de terminales móviles de última
generación en China, en uno de los primeros casos de software malicioso en
teléfonos inteligentes ("smartphones"). El Centro de Coordinación de
Respuestas de Emergencia de la Red de China advirtió a los usuarios de que el
virus se propaga a través de una aplicación descargable y afecta especialmente
a los aparatos con sistema operativo Symbian, sobre todo entre las marcas Nokia
y Samsung. Según este organismo, el virus se instala en el teléfono como una
aplicación normal; automáticamente y sin que el usuario pueda impedirlo, se
conecta a internet y empieza a enviar mensajes de texto multimedia (MMS) a
números aleatorios, con el consiguiente incremento de la factura. Una vez
dentro del teléfono, el virus inhabilita el sistema de control del aparato e
impide al cliente eliminarlo. Se trata de uno de los primeros grandes ataques
mediante virus en los teléfonos inteligentes, una amenaza que los expertos
temen que lleguen a popularizarse tanto como los virus informáticos en
ordenadores.
8. Investiga
sobre Koobface.
Es un Gusano informático que ataca a
usuarios de las redes
sociales Facebook, MySpace, hi5, Bebo, Friendster y Twitter. Koobface
intenta en última instancia, luego de una infección exitosa, obtener
información sensible de las víctimas, como números de tarjetas de crédito.
Koobface se disemina enviando un mensaje mediante
Facebook a las personas que son 'amigos' de la persona cuyo ordenador ha sido
infectado. El mensaje contiene un asunto inocuo como (en inglés) "Paris
Hilton Tosses Dwarf On The Street", "LOL", "My Friend
catched [sic] you on hidden cam" y "My home
video :)" seguido de un link. Después de recibido, el mensaje
redirecciona al receptor a un sitio externo no afiliado con Facebook, donde se
muestra una supuesta actualización del reproductor Flash de Adobe. Si el
archivo es descargado y ejecutado, el ordenador será infectado con Koobface. El
virus luego comanda las actividades de navegación, dirigiendo a los usuarios a
sitios web contaminados cuando intentan acceder a motores de búsqueda
como Google, Yahoo, Bing, y Ask.com. Algunos motores de
búsqueda, incluyendo AOL Search, no son afectados por Koobface.
9. Accede a
la web del
INCIBE de alerta antivirus y analiza cuales fueron los virus
más encontrados en las últimas fechas. Los encontrarás en Avisos de Seguridad -
Alerta temprana. Coméntalos.
Ejecución de código remoto en HP IMC UAM
·
HP
Intelligent Management Center anterior a IMC 5.1 E0101P01
·
Hewlett-Packard
ha identificado una vulnerabilidad crítica en HP Intelligent Management Center
User Access Manager (UAM).
·
HP ha
liberado un parche que resuelve esta vulnerabilidad (iMC_UAM_5.1_E0301P03_SP1).
·
La
vulnerabilidad identificada en el HP Intelligent Management Center User Access
Manager (UAM) puede ser explotada de forma remota.El User Access Manager (UAM)
es un modulo de HP Intelligent Management Center (IMC) que permite la
autenticación de los usuarios basado en políticas de acceso asociados a los
recursos de infraestructura, como routers, switches y servidores, para la
gestión de redes cableadas, inalámbricas, y usuarios remotos.
·
0Day en Internet Explorer
·
Microsoft
Internet Explorer
·
Microsoft
Outlook
·
Microsoft
Outlook Express
·
Windows Mail
- Se ha
hecho pública una vulnerabilidad en Internet Explorer que permitiría
ejecución de código utilizando hojas de estilo (CSS) con el estilo
"display: run-in" y ciertas manipulaciones.
- Esta
vulnerabilidad puede ser explotada visitando sitios web maliciosos.
- Al
tratarse de un 0Day, todavía no existe parche disponible, por lo que se
recomiendan las siguientes acciones:
·
Configurar la Zona de seguridad de Internet Explorer
en "Alta" para bloquear controles y scripts ActiveX
- Deshabilitar Active scripting en la Zona de
seguridadInstalar EMET para mitigar posibles ataquesSe trata una
vulnerabilidad de uso después de liberación (user-after-free) que
aprovecha la forma en que Internet Explorer cuenta las referencias a los
objetos en memoria que representan elementos HTML (CElement objects),
forzando que el contador llegue a cero antes de tiempo y logrando que los
objetos en memoria sean liberados, pero sigan siendo utilizados
Múltiples vulnerabilidades en productos VMware vSphere
·
VMware
vCenter Server Appliance 5.1 anterior a Update 3
·
VMware
vCenter Server 5.5 anterior a Update 2
·
VMware
vCenter Server 5.1 anterior a Update 3
·
VMware
vCenter Server 5.0 anterior a Update 3c
- VMware ESXi 5.1 sin el parche
ESXi510-201412101-SGSe han publicado actualizaciones de productos VMware
vSphere que corrigen un fallo de tipo Cross Site Scripting, un fallo de
validación de certificados y vulnerabilidades de seguridad en bibliotecas
de terceros.
SOLUCIÓN:
- El
fabricante ha generado las parches que solucionan estas vulnerabilidades:
·
vCSA 5.1 Update 3, vCenter
Server 5.1 Update 3 and Update Manager 5.1 Update 3
·
ESXi 5.1
DETALLE
·
Vulnerabilidad de cross-site scripting VMware vCSA (CVE-2014-3797)
VMware
vCenter Server Appliance (vcsa) contiene una vulnerabilidad que puede permitir
Cross Site Scripting. La explotación de esta vulnerabilidad en vCenter Server
requiere engañar a un usuario para hacer clic en un enlace malicioso o para
abrir una página web maliciosa, mientras que se registran en en vCenter.
·
Problema de validación de certificado en vCenter Server (CVE-2014-8371)
vCenter
Server no valida correctamente el certificado presentado al establecer una
conexión con un servidor CIM que reside en un host ESXi. Esto puede permitir un
ataque Man-in-the-middle contra el servicio CIM.
·
Update to ESXi libxml2 package
(CVE-2013-2877, CVE-2014-0191)
libxml2 se
actualiza para hacer frente a múltiples problemas de seguridad.
·
Actualización de paquete ESXi Curl (CVE-2014-0015, CVE-2014-0138)
Curl se
actualiza para hacer frente a múltiples problemas de seguridad
·
Actualización del paquete ESXi Python(CVE-2013-1752, CVE-2013-4238)
Python se
actualiza para hacer frente a múltiples problemas de seguridad
·
vCenter y Update Manager, Oracle JRE 1.6 Update 81
JRE 1.6.0 se
actualiza para hacer frente a múltiples problemas de seguridad
Múltiples vulnerabilidades en XenServer de Citrix
Recursos afectados:
·
XenServer
6.1.0
·
XenServer
6.0.2
·
XenServer
6.0
·
XenServer
6.2.0
Descripción: Se han detectado una serie de
vulnerabilidades en XenServer de Citrix. Su explotación puede permitir la
escalada de privilegios en un HVM.
Solución: Citrix recomienda a sus clientes
afectados que instalen los parches desarrollados a tal efecto y que se pueden
descargar de:
·
Citrix
XenServer 6.2 Service Pack 1: CTX141717
·
Citrix
XenServer 6.1: CTX141718
·
Citrix
XenServer 6.0.2: CTX141720
·
Citrix
XenServer 6.0.2 con la configuración Common Criteria: CTX141719
·
Citrix
XenServer 6.0.0: CTX141721
Detalle: Se han reservado las siguientes
vulnerabilidades:
·
CVE-2014-8595
(Alta): Falta de comprobación de privilegios en la emulación de x86.
·
CVE-2014-8866
(Media): Excesivas comprobaciones en la traducción de los argumentos de
compatibilidad del modo "hypercall".
·
CVE-2014-8867
(Media): Limites insuficiente en "REP MOVS" en el MMIO emulado dentro
del hypervisor.
·
CVE-2014-1666
(Baja): PHYSDEVOP_{prepare,release}_msix expuesto a usuarios sin privilegios
Vulnerabilidad de denegación de servicio en productos
Elipse
Recursos
afectados:
·
Elipse SCADA 2.29 build 141 y anteriores w/ DNP3
driver.
·
Elipse E3 versiones V1.0 a V4.6.
·
Elipse Power
systems Versions V1.0 a V4.6
·
DNP 3.0 Master v3.02 y anteriores.
Descripción:
Se ha identificado una vulnerabilidad de denegación de servicio en la
aplicación Elipse SCADA, debido a un error de tratamiento de DNP3. Elipse ha
producido una nueva versión del controlador DNP3 que soluciona esta
vulnerabilidad.
Esta vulnerabilidad se puede utilizar de forma remota.
Solución: Elipse ha
liberado una versión de DNP Maestro Conductor (V.4.0.21) que corrige este
problema.
Detalle: La
vulnerabilidad, confirmada por Elipse, consiste en el envío de paquetes de
datos con errores de formato. Este fallo en los sistemas Elipse E3 y Elipse Power
provoca la falta de disponibilidad de forma temporal (unos 30 segundos), sin
embargo el sistema Elipse SCADA deja de estar disponible hasta que se reinicie
manualmente el sistema.
Ejecución de código remoto en productos que utilizan
Siemens SIMANTIC WinCC
Recursos afectados:
Los
productos afectados por esta vulnerabilidad son:
WinCC
SIMANTIC:
·
SP2 V7.0 y
anteriores
·
SP3 V7.0 y
anteriores
·
V7.2: todas
las versiones anteriores a V7.2 Actualización 9
·
V7.3: Todas
las versiones anteriores a la V7.3 Update 2
PCS7
SIMANTIC:
·
SP4 V7.1 y
anteriores
·
V8.0: todas
las versiones anteriores a SP2 V8.0 con WinCC V7.2 Actualización 9
·
V8.1: Todas
las versiones con WinCC V7.3 antes de la V8.1 Update 2
TIA Portal
V13 (incluyendo WinCC Runtime Professional):
·
Todas las
versiones anteriores a V13 Actualización 6
Descripción: Siemens ha identificado dos
vulnerabilidades dentro de los productos que utilizan la aplicación Siemens
SIMANTIC WinCC. Estas vulnerabilidades permiten una ejecución de código remoto
y pueden ser estar siendo explotadas activamente.
Solución: Siemens ha publicado actualizaciones
para los siguientes productos:
·
TIA Portal V13: WinCC V13
Update 6
·
WinCC
7.2: WinCC 7.2 Update 9
·
PCS 7 V8.0 SP2: WinCC 7.2
Update 9
·
PCS 7 V8.0
SP2: OpenPCS 7 V8.0.1 Update 5 (actualmente no disponible)
·
PCS 7 V8.0
SP2: Route Control V8.0.1 Update 4 (actualmente no disponible)
·
PCS 7 V8.0
SP2: BATCH V8.0.1 Update 11 (actualmente no disponible)
·
WinCC
7.3: WinCC 7.3 Update 2
·
PCS 7
V8.1: WinCC 7.3 Update 2
·
PCS 7 V8.1:
OpenPCS 7 V8.1 Update 1 (actualmente no disponible)
·
PCS 7 V8.1:
Route Control V8.1 Update 1 (actualmente no disponible)
·
PCS 7 V8.1:
BATCH V8.1.1 Update 1 (actualmente no disponible)
Para más
información puede consultarse el aviso publicado por Siemens.
Detalle:
Las
vulnerabilidades que ha identificado Siemens permiten la ejecución remota de
código sin necesidad de autenticarse si se envían al servidor WinCC paquetes
especialmente mal formados.
El servidor
WinCC también podría permitir a un atacante no autenticado extraer ficheros
arbitrarios por medio de una vulnerabilidad en uno de sus componentes.
Los exploits
para estas vulnerabilidades están potencialmente disponibles, por lo que estas
vulnerabilidades podrían estar explotándose activamente.
Fallo en autenticación remota en HP-UX
Recursos afectados:
Los sistemas afectados son:
·
HP-UX
B.11.31
·
OS-Core.ADMN-ENG-A-MAN
·
OS-Core.CORE-ENG-A-MAN
·
OS-Core.CORE-64SLIB
·
OS-Core.CORE-SHLIBS
·
OS-Core.CORE2-64SLIB
·
OS-Core.CORE2-SHLIBS
·
HP-UX
B.11.23
·
OS-Core.ADMN-ENG-A-MAN
·
OS-Core.CORE-ENG-A-MAN
·
OS-Core.CORE2-64SLIB
·
OS-Core.CORE2-SHLIBS
·
HP-UX
B.11.11
·
OS-Core.ADMN-ENG-A-MAN
·
OS-Core.CORE-ENG-A-MAN
·
OS-Core.CORE-SHLIBS
Descripción: Hewlett Packard ha identificado una
vulnerabilidad que permite evitar la autenticación remota en sistemas HP-UX que
ejecutan el módulo PAM libpam_updbe.
Solución:
HP ha
publicado los siguientes parches para solucionar la vulnerabilidad, según
versión afectada:
·
HP-UX
B.11.31: Parche PHCO_43875 o posterior
·
HP-UX
B.11.23: Parche PHCO_43874 o posterior
·
HP-UX
B.11.11: Parche PHCO_43873 o posterior
Los parches
pueden obtenerse del sitio de soporte HP en el siguiente enlace:
Detalle: La vulnerabilidad permite a usuarios
remotos evitar ciertas restricciones de autenticación en sistemas HP-UX que
incluyen el módulo PAM libpam_updbe en la configuración pam.conf.
Excepción C++ no controlada en MatrikonOPC
Recursos afectados:
·
MatrikonOPC
Server con DNP3 Version 1.2.3.0.
Descripción: Se ha identificado una
vulnerabilidad debido a una excepción de C++ no controlada en la aplicación
MatrikonOPC DNP3 (CVE-2014-5426). MatrikonOPC ha producido un parche que
soluciona esta vulnerabilidad.
Solución: MatrikonOPC recomienda a los clientes
obtener e instalar los parches siguiendo las siguientes instrucciones:
·
Visitar la
dirección
·
Ir a la
sección Product Advisory y leer la notificación de seguridad.
·
Contactar
con el Soporte de OPC para obtener la nueva versión del servidor OPC para DNP3.
·
Instalar la
nueva versión del OPC Server para DNP3.
Detalle: El producto afectado, SCADA DNP3 OPC Server, es un
software basado en Windows de Microsoft, que facilita la conectividad a
múltiples dispositivos compatibles con DNP3 como son unidades terminales
remotas, circuitos lógicos programables, y medidores.
Según
MatrikonOPC, el Servidor SCADA DNP3 OPC se despliega en varios sectores, como
el sanitario y el energético. Productos MatrikonOPC se utilizan principalmente
en los EE.UU., Canadá y Reino Unido, aunque tiene presencia también en
Alemania, Rusia, Australia, Singapur, Noruega, Brasil, India, España, Portugal,
y Costa Rica.
El control no adecuado de una excepción C++ puede permitir a un atacante
utilizar esta vulnerabilidad para elaborar un exploit, provocando un bucle de
denegación de servicio (DoS) en el servidor MatrikonOPC para el servicio DNP3
Windows. Este ataque pordía dar lugar a una interrupción de los datos OPC hasta
que el servidor OPC se reinicie.
Vulnerabilidades en Siemens SIMATIC WinCC y PCS 7
Recursos afectados:
·
SIMATIC
WinCC:
·
V7.0 SP2 y
anteriores: Todas las versiones
·
V7.0 SP3:
Todas las verisones
·
V7.2: Todas
las versiones anteriores a V7.2 Update 9
·
V7.3: Todas
las versiones anteriores a V7.3 Update 2
·
SIMATIC PCS
7:
·
V7.1 SP4 y
anteriores: Todas las versiones
·
V8.0: Todas
las versiones anteriores a V8.0 SP2 con WinCC V7.2 Update 9
·
V8.1: Todas
las versiones anteriores a V8.1 con WinCC V7.3 Update 2
·
TIA Portal
V13: Todas las versiones anteriores a V13 Update 6
Descripción: Se han identificado 2
vulnerabilidades críticas en los productos Simatec que utilizan el componente
WinCC.
Solución: Siemens ha publicado actualizaciones
para algunos de los productos afectados. El resto de productos recibirán
actualizaciones en un breve espacio de tiempo. Toda la información, está
disponible en el siguiente enlace.
Detalle: Explotando la primera de ellas, un
usuario no autenticado, puede ejecutar código de manera remota en el servidor
WinCC mediante el envío de paquetes malformados. Se ha asignado el
identificador CVE-2014-8551 a la vulnerabilidad.
Un usuario
no autenticado puede extraer archivos del servidor WinCC, mediante el envío de
paquetes manipulados. Se ha asignado el identificador CVE-2014-8552.
Inyección de comandos shell en IBM Security Network
Protection.
Recursos afectados: Los productos afectados son:
·
IBM Security Network
Protection (XGS) modelos 3100, 4100, 5100, 7100.
·
Versiones de
firmware: 5.1, 5.1.1, 5.1.2, 5.1.2.1, 5.2, 5.3
Descripción: Se ha descubierto una vulnerabilidad
de inyección de comandos shell en los productos IBM Security Network
Protection.
Solución: IBM ha publicado una solución para
cada versión afectada de IBM Security Network Protection:
·
Versión
5.1: 5.1.0.0-ISS-XGS-All-Models-Hotfix-FP0013
·
Version
5.1.1: 5.1.1.0-ISS-XGS-All-Models-Hotfix-FP0008
·
Version
5.1.2: 5.1.2.0-ISS-XGS-All-Models-Hotfix-FP0009
·
Version
5.1.2.1: 5.1.2.1-ISS-XGS-All-Models-Hotfix-FP0005
·
Version
5.2: 5.2.0.0-ISS-XGS-All-Models-Hotfix-FP0005
·
Version 5.3
: 5.3.0.0-ISS-XGS-All-Models-Hotfix-FP0001
Detalle: La vulnerabilidad, que puede ser
explotada de manera remota, permite a un usuario no autenticado inyectar y
ejecutar comandos arbitrarios shell en el sistema.
Se encarga
de analizar todos los archivos que se encuentran dentro de la carpeta con todos
los antivirus posibles como que son: norman, avira, avg, panda, norton, etc.
nos dice el
resultado del archivo(si esta bien o mal) y cuando se ha ejecutadola última
actualización.
11. Busca
en Internet 3 programas antivirus de pago. Indica el precio que debe pagar el
usuario por ellos. Inserta un enlace a cada una de las páginas de descarga.
12. Si
en una página web aparece un Antispyware gratuito que dice detectar amenazas
graves en tu ordenador. ¿Crees que sería conveniente descargarlo e instalarlo?
Explica por qué.
No, porque
podría ser un mensaje de publicidad engañosa y al meterte dentro de él se te
podrían instalar más virus y pogramas maliciosos para nuestro ordenador.
13.
Finalmente crea un gráfico
online con datos sobre seguridad informática. En internet hay
muchos para crearlos. En la imagen del archivo que te adjunto
(Seguridad_2D.pdf) hay un gráfico en 2D, pues tu debes realizar el mismo pero
en3D y una vez creado insértarlo en tu artículo, como una imagen o
como un objeto html embebido (incrustado).
