Seguridad

Otro golpe más a la seguridad de los pilares básicos de Internet; tal vez este año lo recordemos como el año que hackearon Internet, en serio.

Primero fue un protocolo tan vital como el DNS el que permitía dejar indefensa a toda la red, y ahora se trata de BGP, uno de los protocolos base de permiten interconectar y rutear el tráfico entre todas las redes, específicamente entre lo que se conoce como Autonomous System (AS), rangos de red bajo el control de uno o un grupo de operadores específicos y con una claramente definida política de ruteo. En pocas palabras, BGP se encarga de mantener una tabla de ruteo que permite a las distintas redes, como la de un ISP, Google, u otras corporaciones con redes propias, saber a que otra red deben enviar sus paquetes para que lleguen de la mejor manera posible a determinado destino. Lo malo de este sistema, es que BGP permite anunciarse sin ningún tipo de verificación, y la información de ruteo, falsa o no, se distribuye en minutos alrededor de todo el mundo.

Seguir leyendo »

Compártelo

Una herramienta que puede ser de cierta utilidad en empresas donde se desee restringir la mensajería instantánea o por padres que desean hacer lo mismo y controlar el acceso de sus hijos. Messenger Blocker permite bloquear cualquiera de los mensajeros instantáneos más conocidos, pero no se queda ahí. Además de poder discriminar por cuenta de usuario a bloquear, también permite mostrar un aviso del bloqueo a quien lo tenga, e incorpora además funciones de monitorización, con la cual genera reportes de uso de la web, aplicaciones, e incluso intentos de romper las reglas de bloqueo. La aplicación es gratuita y no posee limitación alguna.

Vía iMessengr.

Compártelo

DarkReading presenta un interesantísimo artículo donde lista los siete hacks más mortíferos de las redes sociales, en los que se recorre desde el típico caso de difamación en el que se levanta un perfil falso y denigrante de la víctima con fotos y datos reales, pasando también por toda la variedad que malware que pulula, principalmente en Facebook, valiéndose de ataques Cross-Site Scripting o XSS. Pero posiblemente uno de los puntos más importantes, sea la despreocupación de muchos al usar servicios como Twitter bajo la premisa literal de contar qué están haciendo. Como bien se menciona, el actualizar en un servicio social, por ende de público acceso, las actividades que uno realiza momento a momento, puede servir de herramienta para la coordinación todo tipo de ataques físicos, desde robos si decimos que nos estamos yendo de vacaciones, secuestros, acoso de ex parejas y una larga e interminable lista limitada solo por la imaginación y la mente criminal de nuestros followers. Graham Cluley, un consultor de la compañía de seguridad Sophos, y víctima de algunos de estos tipos de ataques, dice al respecto: "Cuando posteo en mi blog, no digo ‘Estoy en el supermercado’. En primer lugar, a quién le importa? Prefiero esperar a regresar para hacerlo".

Las herramientas sociales son muy interesantes y divertidas, pueden ayudarnos a hacer amigos, e incluso hasta conseguir trabajo, y acercarnos a mucha gente interesante, pero también a otra no tanto. Es muy importante tener en mente en todo momento qué estamos exponiendo de nosotros en este archivo eterno que es Internet.

Compártelo

“Los sistemas y las políticas a prueba de tontos existen, el problema es que cuando se aplican los tontos se quejan tan alto que al final terminan causando más problemas que los virus.”

Recién estuve por decirle algo así, luego de intentar explicarle que no hay navegador que impida que el usuario se baje cualquier cosa y haga percha la máquina, a alguien que, después de que su familia volviera a inutilizar por enésima vez la PC con malware, me dijo: “No queremos más el OPERA de 11 MB porque ya los hackers lo tienen tanto co-
mo el Explorer para mandar virus y demás.”

Al final no se lo dije porque mi bienestar económico correría peligro, pero parece que yo y miles de expertos estábamos terriblemente equivocados. ;)

Compártelo

Ayer la gente de Opera anunció la versión 9.52 de su navegador de escritorio, el cual entre varias mejoras y eliminación de bugs también corrige varios problemas de seguridad, de hecho nunca vi que se descubriesen tantos juntos en Opera, por un momento pensé era un release de Firefox. Supongo que significa que más gente está girando sus ojos hacia Opera a raíz de los ataques cada vez más elaborados e ingeniosos que se ven. Por ende la actualización a esta última versión es más que recomendada.

Compártelo

Seguramente muchos ya están al tanto de la noticia, se trata de una amenaza que viene bajo la forma de un objeto swf de Flash, casi siempre como un banner publicitario, el que explota una función hasta ahora "normal" de Flash, la que permite poner en el portapapeles del sistema operativo el elemento que se desee. En este caso, estos aparentemente inocentes anuncios en Flash, insertan todo el tiempo al portapapeles de nuestro sistema una dirección web desde donde, si la visitamos por error, se descargará malware a nuestra máquina. Y no importa cuantas veces intentemos copiar algo mismo, el objeto Flash malicioso se va a encargar de que nunca podamos pegar otra cosa que no sea este link maligno. Esto es especialmente peligroso porque si no nos damos cuenta, y solemos utilizar mucho las funciones de cortar, copiar y pegar, podemos terminar insertando esta url maliciosa en blogs, documentos, emails, e incluso en nuestra propia barra de navegación para luego por error visitarla. Lo que acrecienta aún más la gravedad de este ataque es que, al explotar el plugin de Flash, omnipresente en todo sistema, logra su acometido sin importar el sistema operativo que utilicemos o el navegador; mientras nuestro navegador permita visualizar objetos Flash estamos en peligro. Y no es ese el único problema: Si creemos que por no navegar sitios "raros" estaremos a salvo, hay que saber que este tipo de banners malignos han sido vistos en sitios importantes como Digg, Newsweek, y MSNBC. Pero también es bueno no alarmarse y tener en cuenta que si somos cuidadosos con lo que pegamos del portapapeles podremos detectar el ataque y evitar que tenga consecuencias graves. Es importante tener en cuenta que el efecto de la "infección" del portapapeles dura mientras esté el navegador abierto mostrando la página que posee el objeto Flash malicioso; una vez cerrado si copiamos algo al portapapeles éste retendrá la información. Si queremos entender mejor de qué se trata podemos abrir esta prueba de concepto donde de inyecta en nuestro portapapeles una url ficticia al abrirla.

Mientras tanto, las protecciones obvias si queremos evitar este ataque es bloquear directamente los objetos Flash en el navegador que usemos. Por supuesto muchos sitios pierden funcionalidad si les bloqueamos todos los objetos Flash, por ejemplo los de videos como YouTube, pero es cuestión de elegir habilitar o deshabilitar la protección de acuerdo a la verdadera necesidad de utilizarlo, o crear una lista blanca que permita sólo los sitios de mayor confianza.

Para lograr esto quienes utilicen Firefox cuentan con NoScript. mientras que quienes utilicemos Opera podemos optar por Flashblock for Opera 9, el cual tiene un funcionamiento similar al de la extensión para Firefox del mismo nombre y permite incluso crear una lista blanca, o utilizar directamente un botón personalizado que nos permita activar o desactivar Flash a nuestro antojo. Lo mejor para esto es tomar el que ya viene implementado en Opera@USB, copiándonos para esto los archivos _Antiflash.css y standard_toolbar.ini del mismo.

Como nota de color, fue curioso el exaBruto (exabrupto le queda corto) de una MVP de Microsoft, que alertó sobre que NoScript no servía para combatir esta amenaza… si antes habías deshabilitado la opción de bloqueo de objetos Flash del mismo . Como decía Lisa Simpson, es preferible callar y pasar por tonto que abrir la boca y confirmarlo…

Compártelo

Ayer fue noticia la preocupante situación que sucede entre Georgia, un antiguo país ex miembro de la Unión Soviética, y Rusia, donde en medio de una guerra extraoficial esta última está realizando ataques masivos de DoS y defacing (hackeo de sitios adulterando el contenido) contra toda la infraestructura de Internet de la primera, paralizando completamente todos los sitios gubernamentales, incluso el del propio presidente del país. Casualmente quería preguntarle a un contacto que tengo procedente de ese punto del globo, y adivinen qué, es la primera vez que no la veo online! El tema parece ser muy serio, y no es la primera vez que Rusia utiliza su maquinaria de crackers para aplastar las redes de uno de sus antiguos ex compañeros soviéticos. La Cancillería de Georgia tuvo que llegar al extremo de tener que levantar un weblog en Blogger para poder tener alguna forma de comunicación con sus ciudadanos que no puede ser fácilmente neutralizada por estos ataques, debido a que a causa de estos los sitios georgianos ya no pueden ser considerados confiables debido a sus cortes de servicio y a la adulteración de la información que presentan. Muchos se preocupan por los grave significados que esto tiene a nivel mundial sobre la viabilidad de confiar importantes transacciones y comunicaciones en este conjunto de redes tan vulnerable al que llamamos genéricamente Internet, pero también podemos verlo de otra forma: Este tipo de cyber ataque está evitando, al menos de momento, que Rusia realice otro tipo de acciones bélicas, físicas y en el mundo real, contra su enemigo de turno? En ese sentido creo que es preferible que se queden contentos con tirarles Internet abajo y listo…

Compártelo

En un interesante artículo de Kriptópolis podemos enterarnos de que se está realizando espionaje corporativo mediante el registro de dominios similares a los de la compañía a espiar, registrando todos los que puedan ser typos (errores de tecleo) del original.

De la misma forma en que por ejemplo algún oportunista podría poner un sitio falso bajo el dominio gmal.com, en este caso lo que se hace es montar servidores de correo bajo estos dominios, aprovechando que mucha gente al enviar un email coloca los destinatarios tecleándolos y no desde la libreta de direcciones, copiando y pegando, o respondiendo a otro mail. De esta forma, si el remitente se equivoca al escribir el dominio del destinatario, la dirección resultante puede ser enviada a otro dominio similar, tal vez con una letra de diferencia, en control de la competencia o de espías contratados por esta, y enterándose de esta forma de valiosos secretos corporativos.

Personalmente yo he presenciado muchos de estos typos a la hora de enviar un email y puedo dar fe que esta técnica les debe funcionar muy bien a quienes la utilicen, así que mejor ir comprobando que hay detrás de los typos del dominio de tu empresa o tus clientes.

Compártelo

A pesar de seguir afirmando que con la configuración por defecto tanto la versión 23 como la 24 son de por sí invulnerables al bug DNS, la gente detrás de DD-WRT, uno de los firmwares más completos para routers inalámbricos, se puso a trabajar y en tan sólo dos meses volvió con una revisión para su reciente versión 24, la v24 SP1, que además de incorporar varios parches relativos a este urgente problema también añade nuevas funciones, soporte para nuevos routers, y soluciona una importante vulnerabilidad propia relacionada con la sanitización de datos, que permitiría comprometer un router con DD-WRT mediante la publicación de una red inalámbrica con un SSID especialmente construido que le haría ejecutar código arbitrario. Acá pueden encontrar la lista casi completa (según ellos mismos) de modificaciones realizadas, y por supuesto está para descargar en todos los sabores habituales.

Compártelo

La historia del famoso bug del DNS ya se convirtió en una novela que está cansando a muchos, pero aún así es tan relevante para la seguridad de todo lo que se haga por Internet que se vuelve una obligación estar al tanto.

Ahora que Dan Kaminsky dijo todo lo que tenía para decir (presentación realizada en la conferencia Black Hat en formato ppt)  y en teoría no hay más secretos guardados, podemos adentrarnos más en los detalles técnicos del problema. Una excelente guía al respecto es la de Steve Friedl, quien explica con una claridad muy didáctica cómo funcionan los exploits que ponen en jaque a todo el sistema DNS, brindando en el camino un básico pero excelente curso sobre algunos pormenores de las peticiones DNS. También nos estamos enterando que los sitios protegidos bajo cifrado SSL no son del todo invulnerables, si hipotéticamente se consigue, mediante este mismo exploit y asociado tal vez con otros, comprometer los servidores DNS de la entidad emisora de certificados en cuestión para redirigir su correo y poder adulterar certificados vía email, algo que muchas entidades admiten; y aún sin entrar en tanta complejidad, hay que ver cuántos usuarios le prestarían atención al aviso que muestra su navegador al acceder a un sitio cuyo certificado no concuerdo o no está emitido por una entidad de confianza.

Pero todo no termina acá. Ahora apareció un ruso llamado Evgeniy Polyakov, el cual afirma haber comprometido un servidor BIND completamente parcheado, e incluso sube la apuesta afirmando que no existe ninguna solución que no sea vulnerable, incluso DJBDNS, el servidor DNS creado por el matemático D. J. Bernstein que desde el principio fue reconocido como uno de los pocos que vino haciendo las cosas bien desde el principio con respecto a la seguridad. Ahora claro, si nos ponemos a ver qué fue lo que realmente logró Polyakov, vemos que tampoco es el fin del mundo precisamente: Para poder comprometer ese servidor BIND tuvo que utilizar dos máquinas muy rápidas bajo una conexión Ethernet de 1 Gbps, consiguiendo el resultado recién al cabo de unas 10 horas aproximadamente. No significa que habiendo parcheado aún toda la Internet continúa en peligro, sino que, como afirman muchos especialistas, sólo se "compró algo de tiempo" para hacer el ataque a escala global menos eficaz, y mientras tanto muchos deberían estar pensando ahora mismo en cómo encontrar una solución más definitiva para cuando ese tiempo se acabe. Mientras tanto, aquellas empresas cuyas redes locales funcionan a 1 Gbps o más tienen un motivo más del cual preocuparse…

Compártelo

Hasta no hace mucho varios de nosotros creíamos que con ingresar https://mail.google.com en la barra de direcciones bastaba para disponer de una sesión completamente encriptada mediante SSL con GMail, pero parece que esto no es del todo así; Google seguía generando tráfico que no estaba cifrado en medio de la sesión. Es por eso que gracias a herramientas como la reciente Surf Hack de Sandro Gauci permiten automatizar bastante bien el proceso que permite robar la cookie de sesión de un usuario que está accediendo su cuenta de GMail, para luego ingresar en su lugar y hacer lo que quiera. En el siguiente video el creador de este exploit muestra como un atacante, utilizando su herramienta en conjunto con técnicas de ARP o DHCP spoofing y/o el famoso bug del DNS, o simplemente esnifeando una red Wi-Fi, puede capturar dicha cookie, y luego usarla desde su navegador para acceder a la cuenta de la víctima.

En el mismo video también podemos apreciar como lo solucionó, al menos parcialmente, la gente de GMail. Y digo parcialmente porque lo que hicieron fue agregar una opción en la configuración de cuenta para cifrar o no permanentemente toda la sesión, sin estar por defecto seleccionada la opción más segura, con lo que todo usuario de GMail que desconozca este peligro e ingrese desde hotspots y demás redes inseguras está en peligro de perder su cuenta, y muchas cosas más.

Google recomienda activar esta opción sólo si sabemos que vamos a acceder al servicio desde redes no confiables, alertando de algunas contras como una menor velocidad o la imposibilidad de acceder desde navegadores que no soporten SSL, pero sinceramente me parece un precio muy bajo por pagar a cambio de evitar que cualquier hijo de vecino con una notebook y un poco de ganas de joder pueda quedarse con tu cuenta. Cualquier navegador decente soporta SSL, incluso los móviles, y la demora extra no es una eternidad tampoco, no tiene sentido seguir expuesto si no sabemos desde donde podemos estar logoneándonos la próxima vez.

Vía The Hacker Webzine. SpamLoco también habló del tema.

Compártelo

Y no, no dije desconfíe, dije "desconfie", como diría el negro Dolina. El día anterior me consultaron unos usuarios, consternados, por un email importantísimo cuyo archivo adjunto no podían abrir "con nada", y era importante porque decían que provenía del Poder Judicial de Brasil. Lo primero que hice fue pedir que m reenviaran ese mensaje taaaan importante, para verificar lo que ya me imaginaba. A continuación paso a desguazar el correo en cuestión. A la mayoría de los que me siguen no creo que les esté diciendo nada nuevo, así que bien pueden ahorrarse la lectura; esto es más bien un instructivo para el uso del sentido común que quiero dejar asentado para mostrarlo cuando haga falta.

Enos aquí, con un supuesto mail importante. Por qué es importante, dirán? Vamos a ver. El asunto dice: N.º 687/2008 URGENTE! PROCEDIMENTO INVESTIGATÓRIO N.º 687/2008. Aaahh… claro, dice "URGENTE!" en mayúsculas y con signo de admiración, encima se complica entender bien qué dice porque está todo en portugués, seguro se trata de algo importante! Y "PROCEDIMENTO INVESTIGATÓRIO" con esos numeritos al final tampoco se ven muy bien…

Seguir leyendo »

Compártelo

Las vulnerabilidades encontradas en el DNS, más allá de haberse mostrado como un fiasco, está trayendo cada vez más peligros a cualquier equipo que se conecte a Internet. Una nueva herramienta, llamada Evilgrade (presentación en PDF), utiliza estas técnicas de explotación junto a otras más para hacer que cualquier equipo descargue e instale falsas actualizaciones de software que en realidad pueden ser troyanos, virus, o cualquier otro tipo de payload que el atacante desee.

Evilgrade, creado por Francisco Amato, especialista en seguridad informática argentino y fundador de Infobyte Security Research, se trata de un kit de herramientas diseñado para aprovecharse de los sistemas de actualización online inseguros que muchos fabricantes de software implementan, en donde no se verifica ninguna integridad del supuesto paquete de actualización que se descarga, confiando plenamente en que si se lo está descargando de update.fabricante.com éste tiene que ser original y puede ejecutarse en el sistema con total tranquilidad. Entre las armas que Evilgrade utiliza, además del DNS Cache Poisoning de moda se encuentran también otras técnicas conocidas como el ARP y el DHCP Spoofing. Está programado en Perl y funciona en base a módulos, incluyendo en esta primer versión los que permiten aprovecharse de los sistemas de actualización de Sun Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes, Linkedin Toolbar, DAP, Notepad++ y Speedbit. En este video puede verse una demostración en la que se logra ejecutar código malicioso en una PC con un Windows totalmente actualizado a través del sistema de actualización de la máquina virtual Java de Sun Microsystems. Por supuesto, de momento y para causar más revuelo a raíz de la masividad que supone, muchos de los módulos están pensados para software que corre bajo Windows, pero como puede verse este mecanismo de intrusión es completamente independiente de la plataforma, sólo requiere que la actualización falsa sea el malware adecuado para el SO que se quiere comprometer.

Con todas estas amenazas, hoy más que nunca es importante prestarle atención al fallo de los DNS y actualizar todos los sistemas que sean necesarios y/o utilizar servicios que no están afectados como OpenDNS.

Vía Kriptópolis.

Compártelo

Algo de agua pasó bajo el puente del problema de seguridad con el DNS: Ahora ya sabemos que se filtró información antes de tiempo y que, seguramente gracias a eso, hay exploits dando vueltas. Lo que también ahora sabemos, siempre gracias a Kriptópolis, son los métodos para comprobar desde nuestra consola la seguridad al respecto de cualquier servidor DNS, eliminando la necesidad de recurrir al test del sitio de Dan Kaminsky, el cual nos permite chequear solo al de nuestro ISP.

Desde Linux se puede utilizar la herramienta dig, que viene incluida dentro las distros más populares, para chequear contra un servidor DNS especial que nos responderá si si estamos en condiciones buenas, medias o pobres de seguridad. Los comandos que podemos utilizar son cualquiera de estos:

dig +short @ip_dns_a_testear porttest.dns-oarc.net txt

De la misma forma, en Windows tenemos tanto la opción de utilizar la herramienta dig instalándola desde acá como la de utilizar directamente el comando nslookup que viene incorporado:

nslookup -type=txt -timeout=30 porttest.dns-oarc.net ip_o_hostname_del_dns_a_testear

Por ejemplo, la primera vez que escribí sobre este fallo del DNS había chequeado los DNS de Telefónica y estos eran vulnerables. Si ahora los chequeo nuevamente me tira que los muchachos al menos hicieron su trabajo actualizándolos:

Servidor:  dns23r.speedy.com.ar
  Address:  200.63.155.67

Respuesta no autoritativa:
  porttest.dns-oarc.net   canonical name = z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     
text = "200.63.155.20 is GOOD: 26 queries in 5.8 seconds from 26 ports with std dev 20372.97" 

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     nameserver = ns.z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

En cambio, si por ejemplo analizamos uno de IPlan, vemos que viene habiendo bastante inoperancia por ese lado:

Servidor:  dns1.iplanisp.com
  Address:  200.69.193.1 

Respuesta no autoritativa:
  porttest.dns-oarc.net   canonical name = z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     text = "200.69.193.1 is POOR: 26 queries in 4.1 seconds from 1 ports with std dev 0.00" 

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     nameserver = ns.z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

Gracias a estos comandos podemos también sacarnos la duda con los servicios DNS de firewalls o routers, ya sean hogareños o corporativos. Por ejemplo yo pude confirmar lo que se decía en los foros de DD-WRT sobre que este firmware para routers no se ve afectado por el bug.

También, si no nos queremos complicar demasiado, existe, además del de Kaminsky, otro test vía web para verificar nuestros DNSs automáticamente.

Compártelo

Hace un par de semanas que estoy viendo en el panel de enlaces entrantes algunos que son provenientes de spamblogs, donde al entrar me encuentro con una larga lista de sitios enlazados, entre los que, claro, se encuentran el mío. Sé que no es una forma para nada nueva de hacer spam, pero hasta ahora no tenía el recuerdo de que me haya sucedido, y menos con tanta asiduidad. El último al que entré por curiosidad, tan gentil y amable, me advirtió de un terrible problema en mi PC y me ofreció instalarme un tal Antivirus 2009, un malware del que no hace mucho hablaba Alejandro de SpamLoco.

Me debo estar haciendo popular o algo así, supongo…

Compártelo

Las inquietas mentes de XDA-Developers concibieron otra interesante aplicación para Windows Mobile, aunque en este caso no es muy ética que digamos. Bautizada como BT Spammer, y con un nombre que se explica solo, esta aplicación permite bombardear con mensajes de texto, imágenes y otros objetos a todos los dispositivos Bluetooth presentes en las cercanías que estén en modo visible, pudiendo ser útil en pruebas de hacking e ingeniería social, pero también en campañas de marketing de proximidad. Sin duda alguna lo que más será es una molestia para quienes estén cerca del gracioso…

Por supuesto el programa es gratis, y requiere del .NET CF 2 para andar.

Vía FreewarePocketPC.

Compártelo

Está dando vueltas un nuevo tipo de malware que se vale de los archivos multimedia para propagarse. No sería nada nuevo, si no fuese por el hecho de que se aprovecha de una funcionalidad, no una vulnerabilidad, de formatos de archivo como ASF o WMA que permiten incluir comandos dentro de los mismos. De esta manera este malware consigue que al abrir cualquier archivo de audio o video infectado sea lanzado el navegador con una supuesta descarga de un "codec", el que engañosamente se le pide al usuario desprevenido que descargue y ejecute para poder luego reproducir correctamente el archivo multimedia. Por supuesto lo que está descargando e instalando es el malware en sí. La otra faceta maligna de este virus es que no presenta este comportamiento si la máquina ya está infectada, por lo que aquél que comparte sus archivos multimedia infectados no tiene noción de este hecho, ya que puede reproducirlos normalmente sin que le salga nada raro.

Ni bien es instalado en un sistema, este malware se encarga de escanear todas las unidades en busca de contenido multimedia para infectarlo, y en el caso de los archivos MP3 tiene un comportamiento muy interesante: Ya que el formato no permite la ejecución de comandos, los convierte a WMA para poder realizar su infección. Así que si de repente toda su colección de MP3 figura como en formato WMA en el diálogo de información de su reproductor multimedia, ya pueden imaginarse por qué.

Al parecer el objetivo principal del malware (su payload) es instalar un keylogger que roba contraseñas. Desconozco si algún antivirus estará detectando como peligrosos los archivos multimedia que contengan comandos incluidos, pero por las dudas es mejor abstenerse de andar dándole click a cualquier cosa, como siempre.

Más info en Dark Reading y The Hacker Webzine.

Compártelo

El autor de The Hacker Webzine, Ronald van den Heetkamp, demuestra una vez más su predilección por el navegador Opera, esta vez ofreciendo un UserScript (archivos con código Javascript que permite modificar el comportamiento de un sitio web, lo mismo que hace la extensión GreaseMonkey para Firefox) que aprovecha las capacidades de Opera de interceptar código antes de de ejecución desde esta plataforma. De esta forma nace Arioso, un script que promete ir mejorando y que está enfocado a impedir cualquier ejecución de código potencialmente malicioso, respetando más que nada a rajatabla la política de no permitir nada que no provenga del mismo origen que el sitio en cuestión.

De momento en las pruebas realizadas me resultó demasiado agresivo, bloqueando videos embebidos y anuncios en general,  pero será cuestión de tiempo para ver si resulta de verdadera utilidad para cualquier usuario de Opera.

Actualización: Ya está disponible la segunda versión de Arioso.

Compártelo

El DNS siempre fue un gran olvidado por años en lo que respecta a la seguridad en IT, aunque últimamente muchos venían levantando voces sobre el peligro que representaba. Ahora, todos parecen haberse puesto de acuerdo en el problema gracias al especialista en seguridad Dan Kaminsky, y todos los grandes pilares de Internet y del Software, como Cisco, Microsoft, Debian, Red Hat, y un larguísimo etcétera, están liberando parches para solucionarlo.

El problema que existe con el servicio de DNS es tan viejo como su propia creación probablemente, y radica en la forma en que se realizan las transacciones entre los servidores DNS no autoritativos que realizan consultas a otros servidores y cacheo de las respuestas. DNS utiliza el protocolo UDP, que es liviano y a diferencia de TCP no tiene ningún control de sesión o secuencia de paquetes, por lo que la respuesta a cada petición DNS es autenticada únicamente mediante estas condiciones:

• Debe existir una petición exclusiva para esa respuesta.
• La dirección IP de origen debe ser la misma a cuyo servidor se le envió la petición.
• Cada petición utiliza un número de ID único de 16 bits, el cual debe ser idéntico al de la respuesta.
• La respuesta debe ser enviada al mismo puerto de donde se originó la petición.

Hasta acá parece que la seguridad estaría bastante cubierta, pero como siempre, del dicho al hecho hay largo trecho, y en la práctica las cosas no son tan lindas como en la teoría.

Seguir leyendo »

Compártelo

Algo que ya se veía venir y que ahora comienza a materializarse en una realidad palpable: Apareció DNSChanger, un troyano que crackea por fuerza bruta routers domésticos para cambiar los servidores DNS configurados y así comprometer, mediante ataques de phishing (por ejemplo haciéndole creer al usuario que está en el sitio web de su banco) o inyección de malware cualquier computadora en la red local que navegue mediante ellos. Para lograr la intrusión el troyano utiliza una lista de passwords por defecto conocidos con los que intenta acceder, y si lo logra ya tiene el control completo del router, y con este virtualmente de toda la red local que aquel maneja. Aparentemente los ataques se concentran en routers de las marcas D-Link y Linksys.

Una forma de detectar si fuimos comprometidos por DNSChanger es encontrar el rango IP 85.255.*.* en nuestros parámetros de TCP/IP; otra consiste en ingresar en el navegador un dominio que sabemos inexistente y observar que aún así se carga un sitio web. Más información y capturas relativas a este troyano pueden verse en el blog de TrustedSource.

Por el momento, una de las medidas de prevención obvias y básicas, que hay que hacer ni bien se instala un router, es cambiar su contraseña por defecto por una segura creada por nosotros. También es importante no mantener sesiones abiertas con la interfase web del router mientras se navegan otros sitios. Lo mejor después de haber terminado de trabajar con la interfase web del router es cerrar el navegador por completo (incluyendo todas las ventanas y solapas abiertas) para asegurarse que cerramos la sesión, o utilizar las opciones de privacidad de navegadores como Opera o Firefox que permiten hacer lo mismo. También podemos evitarnos algunos problemas si utilizamos algún firmware más avanzado.

Vía Dark Reading.

Compártelo

DecaffeinatID es una aplicación freeware para Windows que pretende agregar una capa extra de seguridad al sistema, pero que para nada reemplaza a un firewall personal ni a un buen antivirus. Básicamente consta de dos partes: Una que examina constantemente los logs de Windows para informarnos de cualquier intento de acceso a uno de los servicios de nuestro sistema o de algún cambio en el firewall, y otra que vigila el protocolo ARP contra ataques de Poisoning, que suelen usarse para controlar/espiar en el tráfico de otros usuarios de la misma red.

Mientras que estas características hacen útil a DecaffeinatID tanto en una red hogareña como en una gran oficina, su principal objetivo y utilidad se enfoca en las conexiones a hotspots o zonas Wi-Fi públicas, donde este tipo de técnicas para espiar e interceptar la información privada de otros puede llegar a ser moneda corriente. Funciona tanto en Windows XP como en Vista.

En pocas palabras una descarga recomendada para nuestra notebook.

Vía LifeHacker.

Compártelo

En el sitio de Microsoft están disponibles tres guías de seguridad con templates e información para asegurar de la mejor manera posible tanto servidores como estaciones de trabajo. Se encuentran en inglés y son las siguientes:

• Windows Vista Security Guide
• Windows XP Security Guide
• Windows 2003 Security Guide

Las guías en sí constan de un archivo de instalación que descomprime en el sistema decenas de configuraciones de seguridad preestablecidas para modificar las políticas de Windows. Vale la pena tenerlo a mano para cuando hay que ponerse serio con la seguridad.

Vía IntelliAdmin.

Compártelo

Este bien podría entrar en la categoría de micropost. No hay mucho que decir, se trata de otro sitio pedorro que pretende quedarse con los datos de las cuentas de MSN de los pobres incautos que ingresen en el, el cual como siempre promete decirte quién te borró, quien te bloqueó, y quién dijo a tus espaldas que la tenés chiquita. Lo que me pareció gracioso de este es el penoso gancho gráfico, que cuadra por supuesto con la mediocridad uniformada del resto de estos sitios:

Además de manejar a la perfección el lenguaje HOYGAN, el creador de esta maravilla gráfica apunta a comunicar la promesa de ese sentimiento de banana bárbaro que experimentaría el nardo que, con toda la evidencia en sus manos, increpa (posiblemente desde otro MSN, ya que si lo borraron casi seguro también lo bloquearon) al malvado y rastrero borrador/bloqueador, quien se ve tremendamente sorprendido por la clarividencia de aquél que despreció, pidiendo disculpas luego y prometiéndose a sí mismo y a éste que no lo hará nunca más. Bueno, o eso soñará el usuario medio que ingresa a estos sitios.

Compártelo

La gente de InfoSpyware creó un programa llamado MSNCleaner, el cual promete eliminar automáticamente la mayor parte de los virus más conocidos que se distribuyen a través de Windows Live/MSN Messenger, así como reparar y restaurar diversos elementos de Windows bloqueados o modificados por estos. Recomiendan para su efectiva utilización ejecutarlo iniciando previamente Windows en modo a prueba de fallos, luego eliminar todos los temporales con una aplicación como CCleaner y finalmente volver a iniciar en modo normal. En el caso particular de la restauración de la página de inicio de Internet Explorer, lo hace cambiándola por la dirección del sitio de InfoSpyware, pero como también habilita la posibilidad de cambiarla desde la configuración del navegador puede luego reemplazarse fácilmente por nuestra página de inicio habitual.

Vía iMessengr.

Compártelo

Según The Hacker Webzine lo es, cuyo autor incluso publica código de ejemplo mostrando como con un simple formulario y una línea de Javascript sería posible comprometer una base MySQL cuyo nombre y el de sus tablas sea conocido o adivinable, si visitamos un sitio que explote esta vulnerabilidad mientras aún permanecemos con la sesión iniciada en PHPMyAdmin. La única forma de prevenir esto es, por supuesto, no navegar otros sitios mientras trabajamos con él, y una vez que acabamos cerrar y volver a abrir el navegador, o utilizar las opciones de eliminación de información privada para eliminar la sesión PHP que por defecto dura alrededor de 24 minutos desde la última vez que se tuvo acceso al software.

Compártelo

Si administrás equipos que corran Debian o alguna otra distro derivada del mismo, como Ubuntu y sus varios sabores, y generaste certificados entre el 2006 y el 2008, es muy posible que éstos sean vulnerables debido al reciente y famoso bug-de-la-línea-de-código-omitida que afectó críticamente a todas las claves generadas desde el paquete OpenSSL incluído. Debido a la gravedad del asunto ya existen algunas compañías que ofrecen servicios de detección online de certificados comprometidos, como ServerSniff.net, la cual se ofrece a decirnos si los certificados SSL o SSH de nuestro Linux está en la lista negra de certificados predecibles generados por la versión defectuosa de OpenSSL incluida en Debian. También es importante saber que, si no nosotros no nos encargamos de hacer esta revisión en nuestros equipos y tomar las medidas pertinentes, cualquiera puede hacerla fácilmente en nuestro lugar, y ya con eso saber que puede irrumpir fácilmente en nuestro sistema. De todas formas el escaneo no es exhaustivo, y su estamos ante la duda, lo mejor será regenerar todos los certificados si esto no nos reporta mayores problemas.

Vía Kriptópolis.

Compártelo

La gente de LifeHacker rescató del olvido a una de esas aplicaciones que recuperan contraseñas de archivos PST de Microsoft Outlook, en este caso a PstPassword, y yo no pude evitar ponerme nostálgico. Me acordé de una jefa de sistemas que conocía que era una especie de Bela Talbot de Supernatural, por lo buena que estaba y por lo garca que era, que tenía entre muchas de sus paranoicas costumbres la de ponerle contraseña al PST de su Outlook y a los de otras amebas importantes dentro de la empresa. Me acuerdo que cuando conseguí un CD lleno de herramientas de todo tipo, entre las cuales figuraba una aplicación similar a la mencionada, su PST fue el primero en venir a mi mente para poder probarla; culpa suya por tener la pieza faltante que necesitaba para mi test.

El caso es que el cifrado de estos archivos PST es muy liviano, tanto que incluso pueden ser abiertos no sólo por la contraseña original, sino por otras que dan como resultado el mismo hash al procesarlas. Y en esto PstPassword brinda una ventaja, ya que no obtiene una clave, sino 3 para un PST dado, maximizando las probabilidades de que entre estas 3 esté la clave original que el usuario puede también estar usando en otros sistemas y cuentas.

¿Y que pasó con la dueña del PST cifrado? Como buena Bela que es continuó en su carrera embaucadora y ahora es gerente de sistemas de un importante hotel de la zona de Retiro. Pobrecitos.

Compártelo

No es la primera vez que ocurre, pero esta vez es masivo. En otra oleada de ataques masivos de inyección SQL, en los cuales se busca infectar la mayor cantidad de sitios posible, esta vez la carga maligna que descargan en los servidores afectados son básicamente animaciones Flash (archivos swf) que explotan un bug de Adobe Flash Player conocido como CVE-2007-0071, supuestamente ya solucionado en la última versión del reproductor, pero reportado por Symantec como aún efectivo en ésta. Este bug del reproductor Flash permite descargar e instalar cualquier programa que se le ocurra al atacante, desde keyloggers hasta troyanos de todo tipo, y todo lo que hace falta es abrir un sitio web que contenga un objeto Flash maligno. Dado que el 99% de los sitios web portan algún objeto Flash, la decisión es difícil, pero si realmente se quiere tener cuidado, lo mejor es deshabilitar los objetos Flash a menos que sea realmente necesario utilizarlos, ya que no se sabe si el sitio legítimo al que accedemos hoy pudo haber sido comprometido hace días para infectar a sus visitantes.

En Opera podremos habilitar o deshabilitar Flash a voluntad mediante un botón personalizado, mientras que en Firefox se puede usar la extensión Flashblock; y en Internet Explorer… bueno, úsenlo si son temerarios! Seguro que algunas herramientas hay pero no recuerdo ninguna para recomendar en este momento.

Y recuerden, cuidarse es quererse .

Vía Dark Reading.

Compártelo

Ya no da para hablar mucho de este tema; se dijo todo lo que se podía decir, y hasta yo metí mi bocado. Pero, a pesar de no haber tenido tiempo para reflexionar en Geekotic sobre el asunto como se merece, no podía dejar de mencionarlo. Yo lo pienso como un llamado a la realidad para algunos, una muestra de que los grandes dioses que algunos veneran también son humanos. No hay mucho más para decir; tampoco se va a caer el mundo por esto.

Compártelo

Hace un buen tiempo que me debía hablar sobre este magnífico firewall basado en Linux llamado IPFire. Hace un buen tiempo que lo vengo utilizando con bastante éxito y quería dedicarle la review que se merece. En realidad, y como todo linuxero sabe, cualquier distro de Linux podría usarse como firewall, después de todo todas vienen con IPTables. Pero la elegancia y facilidad de una solución customizada como IPFire permite utilizarlo más como un appliance  que como un sistema operativo al que hay que andar toqueteando y ajustando, lo cual reporta en instalaciones más rápidas y menos problemáticas. Comencemos a conocer un poco más de este excelente firewall.

Seguir leyendo »

Compártelo

Hace unos días echábamos un vistazo sobre la gran variedad de analizadores de vulnerabilidades para aplicaciones web; hoy no estaría mal ver algo que ayude a prevenirlas.

Ronald van den Heetkamp, el autor de The Hacker Webzine, vuelve a sorprendernos; esta vez con lo él mismo denomina como un firewall para aplicaciones web. Básicamente se trata de una serie de instrucciones para el archivo de configuración de Apache .htaccess, el cual es muy conocido por todo aquel que mantenga un sitio web. La configuración a la que llegó Ronald permite filtrar diversos ataques de inyección SQL y penetration testing, así como casi cualquier cosa escape del tráfico tradicional proveniente de un browser.

En la entrada original de The Hacker Webzine podremos ver y copiar todas las instrucciones para luego incluirlas en el archivo .htaccess, así como una breve explicación por parte del autor de lo que realiza cada una. Es posible que luego de aplicarla en un servidor existan algunos problemas de compatibilidad en ciertas áreas del sitio; ahí se deberá probar hasta que encontremos cuál es la opción que nos está generando problemas, por lo que conviene primero afinar la configuración en un servidor de pruebas antes de modificar directamente un sitio en línea.

Compártelo

El tema que voy a tocar hoy es uno tan recurrente que hasta resulta anecdótico, pero desde hace un tiempo cada vez tiene un poco más de peso para mi. Ya hace unos 11 años, cuando conectábamos a Internet PCs corriendo Windows 95, uno bromeaba con sus amigos cada vez que veía una demora y el LED de acceso al disco rígido prendido por un gran tiempo, diciendo algo como "ahí está Microsoft levantando todos tus datos". La broma empezó a volverse cada vez más seria en los últimos años, comenzando para muchos con el infame Notificador de WGA de Windows XP, hasta finalmente llegar a noticias más recientes como esta que podemos ver en Kriptópolis, donde el mismo Microsoft nos deja bastante claro que tiene, mediante su conocida Herramienta de eliminación de software malintencionado para Windows, o no, alguna clase de puerta trasera oculta que recopilaría todo el tráfico de los millones de PCs con Windows que lo tendrían instalado, para luego ayudar a las autoridades de distintos países a combatir las redes de botnets, y vaya uno a saber qué más…

Seguir leyendo »

Compártelo

En estos tiempos de aplicaciones web y web services, muchos especialistas coinciden que la parte más vital de la seguridad pasa por ahí; no tanto en lo bien que tengamos erigidas las reglas en el firewall, sino en lo bien protegida que tengamos nuestras aplicaciones web. Es por eso que herramientas como los escáners de aplicaciones web proliferan, resultando ya casi imprescindibles. A continuación podemos ver algunos de ellos:

Seguir leyendo »

Compártelo

Vassilis Kostakos, un investigador de la Universidad de Bath, en el Reino Unido, mantiene un proyecto bastante interesante: Mediante la ubicación estratégica de cuatro adaptadores Bluetooth en el centro de su ciudad más una PC con Linux y el software correspondiente, fue capaz de rastrear los movimientos de 10.000 teléfonos y dispositivos móviles, permitiéndole incluso analizar encuentros y relaciones sociales entre los poseedores de estos. Algo similar a la amenaza a la privacidad que nos plantea el uso de RFID, pero al alcance de cualquiera.

Por supuesto, la solución es simple y está en nuestras manos. Al igual que cuando hablamos del peligro de que hackeen nuestro teléfono vía Bluetooth, lo mejor que podemos hacer es mantenerlo apagado y activarlo sólo cuando necesitamos utilizarlo, algo que de paso agradecerán nuestras baterías proveyéndonos algo más de autonomía.

Vía Kriptópolis.

Compártelo

En LifeHacker realizaron una corta pero interesante lista de servicios y aplicaciones que permiten prevenir, o en el peor de los casos mitigar, el hurto de nuestra notebook. De todos los listados, posiblemente los más efectivos e interesantes sean Laptop Alarm, una aplicación que emite un sonido de alarma por los parlantes de la portátil si se trata de apagarla, ponerla en hibernación, o desconectarle el mouse u otro dispositivo; y LaptopLock, una aplicación ligada a un servicio online que permite, en caso de que marquemos el equipo como robado desde su sitio web, disparar diversas acciones ni bien este es utilizado con conexión a Internet, como borrar irreversiblemente o cifrar nuestros datos, mostrar un mensaje en pantalla y/o bloquear el sistema operativo, siendo también posible configurar que la aplicación pregunte por una contraseña cada cierto tiempo si nos preocupa que sea usada sin conexión a la red. Ambas soluciones están disponibles sólo para Windows y por el momento son gratuitas, y en realidad resultan opciones útiles no sólo para el caso de la sustracción de portátiles sino también para equipos de escritorio.

Compártelo

Innumerables veces he leído u oído hablar de la confianza que genera el código abierto por sobre el cerrado, cuan mantra capaz de lavar cerebros en masa, y por lo general termino haciéndole a esa gente la siguiente pregunta: ¿Revisás el código y compilás vos mismo todo el software que utilizás?

El reciente caso de una extensión de Firefox comprometida nos enseña eso. En esta ocasión se trató del paquete de lenguaje en vietnamita, el cual, mientras que en su código fuente se advertía limpio, en su versión compilada (la que habrán descargado el 99% de los interesados) contenía un gusano de Internet que se ejecuta en Windows, creyéndose que esto sucedió porque el paquete fue compilado en una PC con este sistema operativo ya comprometida.

Más allá de que el asunto también dispara alarmas concernientes a cómo es posible que la corporación Mozilla llegara a alojar en sus servidores oficiales un archivo infectado, esto también nos alerta sobre la excesiva confianza, la que se ve en muchos nuevos convertidos del software libre, que se creen herederos directos de Richard Stallman nada más que porque hace unos meses aprendieron a instalarse el Ubuntu y a escribir una líneas en PHP. Y la moraleja es que, mientras el código abierto en sí brinda mayores garantías en cuanto a la seguridad, también puede llegar a ofrecer una falsa sensación de ésta, principalmente para quien no puede, por falta de conocimientos, tiempo, ganas, o los tres, revisar y compilar cada paquete de software que vaya a utilizar; en este caso la mayoría de nosotros pobres mortales. Sí, posiblemente siempre existirá alguien que revise el código, lo compile, lo compare con el binario disponible en el sitio de descarga, y alce la voz en caso de encontrar algo extraño, pero, ¿podemos asegurar que todos los proyectos open source existentes poseen al menos a uno de estos ángeles guardianes realizando esta acción por cada nuevo release? Podemos apostar que no. Y es por eso que me parece estúpido cuando algún fanboy de Firefox descalifica a Opera por ser simplemente de código cerrado. Nada es tan negro ni tan blanco. El código abierto es fabuloso pero no nos volvamos extremistas.

Compártelo

Aunque haya sido parecido una buena idea en su momento, la realidad es que en los últimos 5 años o más no hemos dejado de ver malware aprovechándose de la plataforma ActiveX de Internet Explorer para realizar todo tipo de estragos en Windows. Y aunque Microsoft haya tratado de mitigar el peligro intercalando avisos antes de la instalación de cada control, la realidad es que el usuario común y corriente poco va a saber sobre lo que está aceptando en su sistema. Es por eso que seguramente, en un intento más por acotar esta ventana de ingreso de virus y troyanos sin anular por completo su funcionalidad, la compañía Errata Security lanzó una aplicación gratuita llamada AxBan, la cual, de manera similar a un antivirus, se actualiza con una lista de controles ActiveX maliciosos los cuales bloqueará en caso de ser encontrados en el sistema. Puede descargarse desde acá, y es una herramienta obligada para todo aquél que navegue la web con Internet Explorer.

Vía Dark Reading.

Compártelo

Bloquear algunas aplicaciones P2P ya no es todo lo fácil que era antes. En muchos casos, a menos que se cuente con una red donde toda conexión saliente este bloqueada y el tráfico salga únicamente por un proxy http, el programa favorito de ese luser que se baja videos de Jessica Sirio siempre va a encontrar un puerto por donde salir, así sea el 80. Por ende, en casos donde no son aplicables las políticas de seguridad correspondientes para impedir la instalación de aplicaciones no deseadas, es necesario encontrar otro camino. No hace mucho yo hablaba de una forma algo efectiva, aunque no del todo; pero existe también otra un poco más global y, por ende, útil.

App Killer es una aplicación gratuita creada por la compañía PalmerSoft, basándose en pedidos de muchos de sus visitantes y clientes y pretendiendo crear algo de ayuda y que a su vez los promocione. Su función consiste en impedir la ejecución de determinadas aplicaciones, configurables a voluntad por el administrador, entre donde se encuentran los programas de P2P y mensajería instantánea más populares, así como juegos, herramientas de sistema, y otros. Su concepto de uso es muy similar al que utilizan los kits para crear troyanos, porque básicamente en las máquinas a controlar el programa se mantendrá tan oculto e invisible como aquellos.

Seguir leyendo »

Compártelo

Cientos de miles de sitios web que utilizan Microsoft IIS y MSSQL Server como sus motores fueron atacados mediante un ataque de inyección SQL, para poder incluir código javascript que redireccionara a sus visitantes a sitios maliciosos donde se prueban todo tipo de vulnerabilidades para lograr instalar malware en las computadoras de estos. Según F-Secure, una búsqueda listando cadenas específicas de la infección arroja más de 510.000 sitios afectados:

El ataque a los servidores MSSQL se logró inyectando una serie de sentencias en su mayoría codificadas en hexadecimal, que comienzan así:

DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(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

Y traducido a texto sería lo siguiente:

DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b...    

Entre los sitios afectados se encuentran muchos de renombre como la UNICEF o las Naciones Unidas, así como de múltiples compañías serias y confiables, por lo que cualquier visitante está expuesto hasta que el código malicioso sea removido de todos los sitios.

Como usuarios, la única defensa posible es en primer lugar, no utilizar Internet Explorer, al cual van dirigidos la mayoría de los ataques; en segundo, usar Opera (deshabilitando plugins y, si se quiere aún más seguridad también los scripts por defecto) o Firefox con la extensión NoScript.

Vía Kriptópolis, F-Secure,