CyberSecurity Pulse 2016-09-22

CyberSecurity Pulse 2016-09-22

“If you’re going to try, go all the way. Otherwise, don’t even start.”
Charles Bukowski

Visión del analista

Conocer el funcionamiento de las DAPP de Ethereum no está al alcance de todos

El pasado 18 de septiembre, apenas horas antes de que la conferencia Devcon 2 organizada por la Ethereum Foundation en Shanghai comenzara, una alerta de seguridad sobre un ataque de denegación de servicio fue publicada en el blog de Ethereum. Dicha alerta estaba relacionada con la vulnerabilidad descubierta en la cadena de bloques de Ethereum, concretamente en el bloque 2283416, considerada de alta severidad.CyberSecurity Pulse 2016-09-22La potencia de Ethereum respecto de otras criptodivisas es que permite la programación de aplicaciones descentralizadas o DAPP. Las operaciones son transmitidas a cada nodo de la red para proporcionar una mayor transparencia pero cualquier fallo en su programación puede derivar en errores de diverso tipo. En este caso, el bloque en cuestión ha provocado la falta de memoria en nodos de Ethereum que utilicen el cliente Ethereum Go 1.4.11, conocido también como Geth, produciendo una parada del minado de nuevos bloques.

Lo cierto es que no es la primera vez que este tipo de cosas ocurren. En julio de 2016 The Dao, una nueva criptodivisa montada íntegramente sobre Ethereum sufrió un incidente en el que se sustrajeron hasta 50 millones de dólares tras explotar un fallo de programación dentro de la función withdrawRewardFor. La fundación suiza que se encarga de gestionar y promocionar Ethereum anunció la creación de un fork para hacer frente al problema como alternativa lo que dio lugar a dos versiones de la cadena de bloques: Ethereum Classic, que sigue la cadena de bloques como sería originalmente sin modificaciones y Ethereum, en la que se introdujeron los cambios propuestos por la Ethereum Foundation después del incidente. El riesgo implícito de utilizar estas DAPP es que se para entender su funcionamiento completo es necesario conocer el detalle de la lógica implementada en el contrato algo que, sin duda, no está al alcance de todos.


Noticias destacadas

EEUU votará una propuesta de ley ciber para pequeñas empresas

CyberSecurity Pulse 2016-09-22La Cámara de Representantes de Estados Unidos tiene previsto votar un proyecto de ley que extendería la ayuda a las pequeñas empresas en ciberseguridad. La Administración de Pequeños Negocios sería el encargado de aumentar estos programas de seguridad de acuerdo con una estrategia de seguridad de la pequeña empresa que desarrollaría junto con el Departamento de Seguridad Nacional. Esta iniciativa legislativa no solamente abordará la brecha de conocimientos existente en la actualidad para las pequeñas empresas, sino que también pretende hacer frente a las quejas de la comunidad de pequeñas empresas acerca de cómo las leyes de seguridad recientemente aprobadas son beneficiosas sobre todo para las grandes empresas.

» Más información en The Hill

Cómo bypassear el passcode de Iphone mediante un ataque de NAND mirroring

CyberSecurity Pulse 2016-09-22Un investigador de la universidad de Cambridge ha publicado un artículo sobre la viabilidad de bypassear el código de bloqueo utilizado en un IPhone 5c que la agencia del FBI no fue capaz de comprometer en marzo de 2016. La técnica usada es conocida como NAND mirroring y consiste en clonar la información contenida en el chip del dispositivo tantas veces como sea necesario (tras los 10 intentos permitidos es necesario su reescritura) e intentar, por medio de un ataque de fuerza bruta, obtener el código de desbloqueo. Según indica el propio autor, un código de 4 dígitos llevaría aproximadamente unas 20 horas y la realización de más de 1600 copias hasta su obtención.

» Más información en Cornell University


Noticias del resto de la semana

Las herramientas de hacking de la NSA usadas contra los clientes de Cisco

La compañía publicó un aviso el pasado viernes diciendo que las herramientas de hacking de la NSA están siendo utilizadas contra sus clientes. Los autores escribieron que «el equipo de Atención a Incidentes de Seguridad de Cisco (PSIRT) es consciente de la explotación de la vulnerabilidad para algunos clientes de Cisco que ejecutan las plataformas afectadas». Cisco aún no ha identificado a las víctimas de la explotación.

» Más información en Cisco

Signal corrige una vulnerabilidad que permitiría corromper ficheros adjuntos voluminosos

La aplicación de mensajería Signal desarrollada por la empresa especializada en criptografía y comunicaciones Open Whisper Systems ha corregido dos vulnerabilidades en su versión de Android que permitirían modificar archivos adjuntos muy voluminosos añadiendo datos pseudoaleatorios. Aunque un atacante podría aprovecharse de que Signal no realizará la verificación completa de los ficheros, el propio Moxie Marlinspike, fundador de la compañía, ha comentado que consideran el impacto de la vulnerabilidad es limitado dado el volumen de información requerido.

» Más información en Ars Technica UK

Mozilla parchea Firefox para la misma vulnerabilidad que Tor

La vulnerabilidad podría ser explotada por un atacante en una posición de man-in-the-middle con la capacidad para obtener un certificado falso. A partir de ahí, podría ofrecer una actualización maliciosa para NoScript o muchas otras extensiones de Firefox instaladas en el equipo de la víctima. El certificado fraudulento tendría que ser emitido por una entidad emisora de certificados de confianza de Firefox (CA), escenario ya concebido en el modelo de amenazas contra la red Tor.

» Más información en Ars Technica UK


Otras noticias

Facebook paga 16 000 dólares al que encuentre una manera de secuestrar una página de negocios

» Más información en Softpedia

Hackers vulneran la seguridad del CAN Bus de Tesla

» Más información en SC Magazine UK

Un error permite conocer la infraestructura de Internet de Corea del Norte

» Más información en Security Affairs


facebooktwitterlinkedinmail