lunes, 21 de diciembre de 2015

¿Quién puso las puertas traseras en los cortafuegos Juniper?

"Rapid7 ha descubierto una contraseña maestra en una de las puertas traseras de los cortafuegos Juniper. Esperamos que pronto aparezca un exploit en Metasploit. Parcheen ya". Este aviso corre hoy por los barrios de seguridad informática en Twitter. El viernes avisábamos de este grave problema y el fin de semana se ha recrudecido. Lo contaremos, así como el aviso que ha hecho Edward Snowden respecto a Telegram, la aprobación de la ley CISA en Estados Unidos y un nuevo código que avisará de problemas legales en un sitio web.


Si el viernes hablábamos de una puerta trasera en dispositivos Juniper, líder en el mercado de cortafuegos corporativos, hoy sabemos que son dos: una que permite descifrar VPN y otra que abre SSH a los atacantes. Además, la empresa Rapid7 ha descubierto una contraseña que permitiría abrir fácilmente la puerta de las conexiones SSH. ¿Quién la ha puesto ahí? Juniper lo niega, mientras muchos recuerdan un documento secreto desvelado por Snowden donde se muestra una herramienta de la NSA para plantar puertas traseras en cortafuegos Juniper. ¿Fue la NSA? ¿O fue otro gobierno, que aprovechó el agujero hecho por la NSA?



Cuidado con Telegram

Ya que hablamos de Snowden, enlazamos con otra noticia que ha marcado el fin de semana: según el ex-empleado de la NSA, el sistema de mensajería Telegram tendría graves y peligrosos defectos, entre los cuales que "a través del servidor de Telegram o el proveedor de Internet es posible obtener acceso al texto no cifrado de las comunicaciones, independientemente de si es guardado o no". El anuncio de Snowden ha sido seguido por declaraciones de destacados expertos en seguridad dándole la razón.

Aprueban CISA

Nos vamos de Rusia, de donde es originario Telegram, a Estados Unidos, donde el viernes se aprobó la polémica Ley de Ciberseguridad (CISA), que permite que la empresa privada comparta con el gobierno sus bases de datos de clientes sin las medidas de seguridad ni privacidad adecuadas, según los detractores de CISA. La ley se aprobó camuflada en un paquete que nada tenía que ver con la misma.

451

Sin abandonar el contexto legal, acabamos con una propuesta de la Internet Engineering Task Force para que los sitios web que sean cerrados por problemas legales luzcan un código HTTP propio: "451 Unavailable For Legal Reasons" (inaccesible por razones legales).

¡Esperamos no tener que lucir jamás semejante título!


0 comentarios:

Publicar un comentario