Seguridad

Las GPU fueron hasta ahora ese compañero de la CPU que año tras año se fue volviendo cada vez más imprescindible para las altas demandas gráficas de la computación de escritorio, principalmente en el mundo de los videojuegos. Pero siempre fue eso, un compañero, el compañero gráfico para ser más precisos, ese que se especializaba en hacer los dibujitos en la pantalla. Pero estos monstruos llegaron a tener tanto poder que hoy ya se los comienza a utilizar para tareas distintas a aquellas para las cuales fueron diseñados, y uno de estos ejemplos lo está dando ElcomSoft, que ahora está ofreciendo, dentro de su conocida línea de productos para recuperar contraseñas, uno que hace uso de la potencia de los adaptadores gráficos de NVIDIA, asegurando que de esta forma es posible llegar, utilizando varias placas en paralelo, a 1.000 millones de contraseñas por segundo, contra las míseras 200 que puede generar un Core2 Duo. En un principio, esta función especial ya está disponible para quebrar más rápidamente contraseñas de archivos de Microsoft Office, hashes de login de red de Windows y también de MD5, pero seguramente en futuras versiones lo agregarán como opción para todos los tipos de contraseñas que se especializa en recuperar el software.

Mythbusters mostrando un "gráfico" ejemplo de GPU vs. CPU

Y esto me hace pensar en algunas cosas. ¿Hasta qué punto estamos llegando con todo esto de las GPUs? ¿No será acaso un signo más de la superficialidad de nuestra sociedad que exista en la informática procesadores dedicados exclusivamente a la imagen que sean igual o más poderosos que el procesador principal de un equipo?

Compártelo

Si pretendemos usar esto de "la interné" sí que cada vez lo tenemos más difícil. Que virus, que troyanos, rootkits indetectables, Cross-site Scripting, la vulnerabilidad DNS que hace que ni podamos confiar en lo que se muestra en la barra de direcciones del navegador… pero si todo lo anterior no nos parecía suficiente ahora tenemos algo más. El nuevo término de moda es Clickjacking, el cual no importa que deshabilitemos Javascript y todos los plugins juntos funciona igual, y aunque no se sabe mucho de como realmente funciona aún, se sabe cuáles son sus efectos: Generar clicks en cualquier parte de la página sin consentimiento ni conocimiento del usuario. Gracias esto se vuelve una técnica muy útil tanto para robar o alterar datos residentes en la web como para facilitar la instalación de malware, y fraudes de clicks de esos que tanto le preocupan a Google. Lo peor del caso es que no existe una forma de utilizar la web de hoy en día sin correr peligro de este tipo de ataque, ya que como mencionaba antes, aunque deshabilitemos todo contenido activo de nuestro navegador, igual sigue funcionando. Se creía que la conocida extensión para Firefox, NoScript, podía dar una protección completa, incluso su creador aconseja cómo configurar otros navegadores para lograr el mismo nivel de protección en estos (siendo Opera el único que permite deshabilitar tantas opciones como lo hace NoScript en Firefox), pero Ronald van den Heetkamp demostró que no es suficiente. Hoy por hoy la única manera de permanecer inmune a este ataque y poder seguir usando la web es utilizar un navegador en modo texto como Lynx, lo que, por supuesto, no nos permite utilizar casi nada de la web 2.0 que a la bobósfera y al mundo le calienta tanto.

GMail desde el navegador Lynx.

Mientras tanto, resta esperar que Jeremiah Grossman y Robert "Rsnake" Hansen, los Dan Kaminsky de este entuerto, digan lo que saben (iban a hacerlo en la Open Web Application Security Project pero Adobe les "pidió" más tiempo), y, para muy largo plazo, podamos ver una respuesta conjunta de los navegadores líderes en dirección a la resolución de este problema.

Vía Kriptópolis y Ars Technica.

Compártelo

Hace dos semanas les contaba de lo buena que va a estar la Ekoparty de este año, y regalaba una entrada cortesía de Leonardo Pigñer, la que fue ganada por W, quien contestó correctamente la pregunta formulada. Ahora ya falta muy poco para la Ekoparty 2008, que se realiza en los próximos 2 y 3 de Octubre, y además están los trainings que están buenísimos y se realizan en los días anteriores al evento. Espero encontrarme a alguno de los que pierden el tiempo leyéndome por ahí para saludarlos .

Compártelo

La idea de enviar órdenes y/o comandos a un equipo o software desde el correo electrónico no es nada nueva, pero en este caso particular, GRC (Gmail Remote Command) se enfoca exclusivamente en el todopoderoso GMail y el control de la PC. En concreto, GRC nos permitirá ordenarle hacer al equipo remoto 3 tareas básicas:

1. Ejecutar programas.
2. Lanzar sitios web.
3. Apagar el equipo.

Queda más que claro que la que realmente importa y abre las puertas a todo lo demás es la primera, no?

Podemos configurar la aplicación para que se ejecute automáticamente al iniciar sesión y que se quede a la espera de instrucciones, chequeando continuamente la cuenta de GMail que le configuremos. La utilidades pueden ser infinitas para este sistema, aunque uno de los mejores puede ser un anti-robo personalizado; teniendo preparadas de antemano en el equipo las herramientas correspondientes, podemos tener la certeza de que si nuestro equipo siniestrado llega a ser encendido y conectado a Internet, automáticamente descargara las instrucciones que le hayamos enviado, desde donde podremos ordenarle el borrado completo de los datos o el envío de información que nos ayude a recuperarlo.

Vía Windows Reference.

Compártelo

Anti-Nada

Parece en otro siglo cuando hace 7 años me había recorrido varios quioscos de revistas buscando esa edición especial de la PC Users que traía gratis y completo al Norton Antivirus 2002, una versión que no sólo se hizo popular por el hecho de poder comprarla legalmente y por poca plata en el puesto de tu canillita amigo, sino porque era completamente distinta a la porquería que Symantec vino sacando como antivirus hasta el año anterior, la cual además de inefectiva traía muchos problemas con los clientes de correo; en cambio esta nueva versión era liviana, transparente, y completamente eficaz, siendo en ese momento posiblemente uno de los software antivirus más livianos que había en el mercado, ideal para sistemas con algunos años.

Pero la bonanza no podía durar para siempre, y las empresas de tecnología, principalmente las que producen software, saben que un producto por más excelente que sea no resiste el paso del tiempo; así y todo, aunque realmente no haga falta agregarle mucho más para mejorarlo porque ya es increíble, tienen que entregar la sensación de la renovación permanente, para atraer clientes, reviews y auyentar al fantasma de la obsolescencia. Es por eso que la versión 2003 agregaba unas cuantas cosas más, y ya era más pesadita, y la 2004 aún más, siendo a partir de ahí que NAV se volvió una bazofia traga-recursos que, encima, dejaba escapar a un montón de amenazas.

Seguir leyendo »

Compártelo

El 2 y 3 de Octubre se realiza en el Centro Cultural Borges de la Ciudad Autónoma de Buenos Aires la 4ta edición de la Ekoparty, la conferencia anual de seguridad informática única en su tipo en América del Sur. Leonardo Pigñer, autor del excelente blog sobre seguridad de redes y análisis forense KungFooSion, y cofundador del evento, tuvo la gentileza de ofrecerme una entrada a cambio de contarles sobre lo que se viene para esta ocasión y pasar de paso el chivo.

Pero no me insulten todavía que hay algo más…

Bajo el slogan "Vi root y entre", este año en la Ekoparty se van a exponer temas como el del famoso bug de OpenSSL en Debian y la inseguridad de los smartphones actuales, y va a contar con especialistas nacionales e internacionales exponiendo variadas técnicas de hacking y cómo defenderse de ellas. Este año además, quien lo desee puede anotarse en unos trainings intensivos que duran entre 1 y 2 días, previos a las fechas del evento, y que tocarán temas específicos de seguridad, como por ejemplo el que dará el propio Leonardo, llamado Network Security COMBAT Training.

Otras cosas que hacen a la Ekoparty una experiencia única en Latinoamérica es el ambiente social y relajado que ofrece, los desafíos de lockpiking (hackeo de cerraduras), el wargame de packetwars, y un wardriving organizado por las zonas de Buenos Aires con mayor densidad de redes inalámbricas para aprender en la práctica todo sobre su seguridad. Y para finalizar, el último día a la noche hay fiesta!

La entrada a la Ekoparty en sí cuesta 200 pesos argentinos (unos 65 dólares aproximadamente) + IVA hasta el 19 de Septiembre. Luego de ese día es posible adquirirla a la entrada del evento pero su costo asciende a $350 (U$S116 aprox.) + IVA. En caso de inscribirse para cualquiera de los trainings, se incluye también la entrada al evento. Para más información sobre el evento y los trainings tiene que dirigirse al sitio oficial de la Ekoparty.

Ahora vamos al algo más. Leonardo muy gentilmente me cedió una entrada extra para regalar entre el público lector geekótico. El que quiera conseguirla tendrá que dejar un comentario, siendo el primero en contestar correctamente la siguiente pregunta relacionada con los temas que se ven en la Ekoparty:

En el bug de OpenSSL en Debian, a cuántas posibilidades de reducía la generación de certificados digitales y por qué?

El que primero la conteste correctamente se hará acreedor a una entrada para asistir a la Ekoparty 2008 durante el 2 y 3 de Octubre próximos. A ver quién contesta primero.

Compártelo

Todo Chrome. En menos de 5 días todos se volvieron locos por desguazar y hablar del navegador de moda impuesto por Google, y ahora sabemos de el todo esto:

• En tan sólo 2 días le encontraron incontables bugs
• Algunos de esos bugs son vulnerabilidades que afectan la seguridad del equipo
• Consume más memoria que Firefox
• Aparentemente usa el repositorio de certificados de Internet Explorer
• Cláusulas en la licencia de Google le concedían a este los derechos sobre todo lo que naveguemos desde el browser
• Podemos crearnos perfiles de usuario separados
• Podemos ejecutarlo en Linux mediante WINE
• Podemos usarlo desde el pen drive porque alguien ya armó una versión portable

Para cuándo escándalos sexuales en la farándula que involucren a Chrome?

Compártelo

Es como presenciar el lanzamiento de Safari para Windows una vez más: Google lanzó su navegador a medio terminar basado en WebKit, todos los especialistas en seguridad le apuntan sus misiles, y al otro día ya se descubre más de un agujero ridículo. Con Chrome pasó exactamente eso, y hoy ya se tienen reportes de dos vulnerabilidades. La primera tiene que ver con la inclusión de un simple caracter especial en la barra de direcciones, la que tira abajo todo el navegador junto con todas las pestañas abiertas, algo que se suponía Chrome debía evitar desde un principio. Sólo hace falta entrar con Chrome y posar el puntero sobre el link especificado en este aviso de seguridad para colgar todo el navegador (ni siquiera hace falta hacerle click).

La segunda es aún más grave, ya que por culpa de utilizar una versión anticuada de WebKit, es posible engañar a Chrome para que descargue un archivo al disco local sin ningún tipo de aviso o confirmación al usuario, y luego combinarlo con algún tipo de ingeniería social para conseguir que el usuario lo abra. En la prueba de concepto de Aviv Raff puede verse un excelente ejemplo de esto.

Una forma de evitar este agujero de seguridad en particular es hacer algo que yo hice de ante mano por comodidad, por lo cual a mi no me funcionó el bug a la primera: Configurar las descargas para que se nos pregunte primero el destino de las mismas.

Esta claro que Chrome esta en beta de verdad (no la "beta" de Google) y que aún le falta cocinarse. El problema es que la gran mayoría lo va a tomar como algo listo para usar y las infecciones pueden llegar a ser masivas. En la rapidez y seriedad con que tome estos problemas Google está en juego la reputación y la credibilidad de todos los objetivos que plantearon para este nuevo proyecto.

Compártelo

Hace un tiempo nos sorprendía saber que mediante algunos pasos era posible recuperar mensajes de texto borrados en un teléfono smartphone Nokia, pero sin embargo existen opciones mucho más directas y potentes para quienes son investigadores profesionales o están realmente interesados en conseguir la información de un celular.

Una de esas opciones es el Cell Seizure Investigator Stick, un diminuto dispositivo que se conecta al puerto de un celular y descarga automáticamente toda información que éste contenga, llámese la agenda telefónica, registros de llamadas, mensajes SMS, MMS, fotos, videos y cualquier otra cosa almacenada en memoria, llegando también a recuperar información borrada.

Su precio es de U$S 200, una bicoca para quien le vaya a dar un buen uso a semejante aparatito, y aunque de momento sólo funciona con determinados modelos de celulares Motorola y Samsung, en el futuro planea soportar modelos de Nokia, LG, y con BlackBerrys.

Vía Celularis.

Compártelo

Otro golpe más a la seguridad de los pilares básicos de Internet; tal vez este año lo recordemos como el año que hackearon Internet, en serio.

Primero fue un protocolo tan vital como el DNS el que permitía dejar indefensa a toda la red, y ahora se trata de BGP, uno de los protocolos base de permiten interconectar y rutear el tráfico entre todas las redes, específicamente entre lo que se conoce como Autonomous System (AS), rangos de red bajo el control de uno o un grupo de operadores específicos y con una claramente definida política de ruteo. En pocas palabras, BGP se encarga de mantener una tabla de ruteo que permite a las distintas redes, como la de un ISP, Google, u otras corporaciones con redes propias, saber a que otra red deben enviar sus paquetes para que lleguen de la mejor manera posible a determinado destino. Lo malo de este sistema, es que BGP permite anunciarse sin ningún tipo de verificación, y la información de ruteo, falsa o no, se distribuye en minutos alrededor de todo el mundo.

Seguir leyendo »

Compártelo

Una herramienta que puede ser de cierta utilidad en empresas donde se desee restringir la mensajería instantánea o por padres que desean hacer lo mismo y controlar el acceso de sus hijos. Messenger Blocker permite bloquear cualquiera de los mensajeros instantáneos más conocidos, pero no se queda ahí. Además de poder discriminar por cuenta de usuario a bloquear, también permite mostrar un aviso del bloqueo a quien lo tenga, e incorpora además funciones de monitorización, con la cual genera reportes de uso de la web, aplicaciones, e incluso intentos de romper las reglas de bloqueo. La aplicación es gratuita y no posee limitación alguna.

Vía iMessengr.

Compártelo

DarkReading presenta un interesantísimo artículo donde lista los siete hacks más mortíferos de las redes sociales, en los que se recorre desde el típico caso de difamación en el que se levanta un perfil falso y denigrante de la víctima con fotos y datos reales, pasando también por toda la variedad que malware que pulula, principalmente en Facebook, valiéndose de ataques Cross-Site Scripting o XSS. Pero posiblemente uno de los puntos más importantes, sea la despreocupación de muchos al usar servicios como Twitter bajo la premisa literal de contar qué están haciendo. Como bien se menciona, el actualizar en un servicio social, por ende de público acceso, las actividades que uno realiza momento a momento, puede servir de herramienta para la coordinación todo tipo de ataques físicos, desde robos si decimos que nos estamos yendo de vacaciones, secuestros, acoso de ex parejas y una larga e interminable lista limitada solo por la imaginación y la mente criminal de nuestros followers. Graham Cluley, un consultor de la compañía de seguridad Sophos, y víctima de algunos de estos tipos de ataques, dice al respecto: "Cuando posteo en mi blog, no digo ‘Estoy en el supermercado’. En primer lugar, a quién le importa? Prefiero esperar a regresar para hacerlo".

Las herramientas sociales son muy interesantes y divertidas, pueden ayudarnos a hacer amigos, e incluso hasta conseguir trabajo, y acercarnos a mucha gente interesante, pero también a otra no tanto. Es muy importante tener en mente en todo momento qué estamos exponiendo de nosotros en este archivo eterno que es Internet.

Compártelo

“Los sistemas y las políticas a prueba de tontos existen, el problema es que cuando se aplican los tontos se quejan tan alto que al final terminan causando más problemas que los virus.”

Recién estuve por decirle algo así, luego de intentar explicarle que no hay navegador que impida que el usuario se baje cualquier cosa y haga percha la máquina, a alguien que, después de que su familia volviera a inutilizar por enésima vez la PC con malware, me dijo: “No queremos más el OPERA de 11 MB porque ya los hackers lo tienen tanto co-
mo el Explorer para mandar virus y demás.”

Al final no se lo dije porque mi bienestar económico correría peligro, pero parece que yo y miles de expertos estábamos terriblemente equivocados. ;)

Compártelo

Ayer la gente de Opera anunció la versión 9.52 de su navegador de escritorio, el cual entre varias mejoras y eliminación de bugs también corrige varios problemas de seguridad, de hecho nunca vi que se descubriesen tantos juntos en Opera, por un momento pensé era un release de Firefox. Supongo que significa que más gente está girando sus ojos hacia Opera a raíz de los ataques cada vez más elaborados e ingeniosos que se ven. Por ende la actualización a esta última versión es más que recomendada.

Compártelo

Seguramente muchos ya están al tanto de la noticia, se trata de una amenaza que viene bajo la forma de un objeto swf de Flash, casi siempre como un banner publicitario, el que explota una función hasta ahora "normal" de Flash, la que permite poner en el portapapeles del sistema operativo el elemento que se desee. En este caso, estos aparentemente inocentes anuncios en Flash, insertan todo el tiempo al portapapeles de nuestro sistema una dirección web desde donde, si la visitamos por error, se descargará malware a nuestra máquina. Y no importa cuantas veces intentemos copiar algo mismo, el objeto Flash malicioso se va a encargar de que nunca podamos pegar otra cosa que no sea este link maligno. Esto es especialmente peligroso porque si no nos damos cuenta, y solemos utilizar mucho las funciones de cortar, copiar y pegar, podemos terminar insertando esta url maliciosa en blogs, documentos, emails, e incluso en nuestra propia barra de navegación para luego por error visitarla. Lo que acrecienta aún más la gravedad de este ataque es que, al explotar el plugin de Flash, omnipresente en todo sistema, logra su acometido sin importar el sistema operativo que utilicemos o el navegador; mientras nuestro navegador permita visualizar objetos Flash estamos en peligro. Y no es ese el único problema: Si creemos que por no navegar sitios "raros" estaremos a salvo, hay que saber que este tipo de banners malignos han sido vistos en sitios importantes como Digg, Newsweek, y MSNBC. Pero también es bueno no alarmarse y tener en cuenta que si somos cuidadosos con lo que pegamos del portapapeles podremos detectar el ataque y evitar que tenga consecuencias graves. Es importante tener en cuenta que el efecto de la "infección" del portapapeles dura mientras esté el navegador abierto mostrando la página que posee el objeto Flash malicioso; una vez cerrado si copiamos algo al portapapeles éste retendrá la información. Si queremos entender mejor de qué se trata podemos abrir esta prueba de concepto donde de inyecta en nuestro portapapeles una url ficticia al abrirla.

Mientras tanto, las protecciones obvias si queremos evitar este ataque es bloquear directamente los objetos Flash en el navegador que usemos. Por supuesto muchos sitios pierden funcionalidad si les bloqueamos todos los objetos Flash, por ejemplo los de videos como YouTube, pero es cuestión de elegir habilitar o deshabilitar la protección de acuerdo a la verdadera necesidad de utilizarlo, o crear una lista blanca que permita sólo los sitios de mayor confianza.

Para lograr esto quienes utilicen Firefox cuentan con NoScript. mientras que quienes utilicemos Opera podemos optar por Flashblock for Opera 9, el cual tiene un funcionamiento similar al de la extensión para Firefox del mismo nombre y permite incluso crear una lista blanca, o utilizar directamente un botón personalizado que nos permita activar o desactivar Flash a nuestro antojo. Lo mejor para esto es tomar el que ya viene implementado en Opera@USB, copiándonos para esto los archivos _Antiflash.css y standard_toolbar.ini del mismo.

Como nota de color, fue curioso el exaBruto (exabrupto le queda corto) de una MVP de Microsoft, que alertó sobre que NoScript no servía para combatir esta amenaza… si antes habías deshabilitado la opción de bloqueo de objetos Flash del mismo . Como decía Lisa Simpson, es preferible callar y pasar por tonto que abrir la boca y confirmarlo…

Compártelo

Ayer fue noticia la preocupante situación que sucede entre Georgia, un antiguo país ex miembro de la Unión Soviética, y Rusia, donde en medio de una guerra extraoficial esta última está realizando ataques masivos de DoS y defacing (hackeo de sitios adulterando el contenido) contra toda la infraestructura de Internet de la primera, paralizando completamente todos los sitios gubernamentales, incluso el del propio presidente del país. Casualmente quería preguntarle a un contacto que tengo procedente de ese punto del globo, y adivinen qué, es la primera vez que no la veo online! El tema parece ser muy serio, y no es la primera vez que Rusia utiliza su maquinaria de crackers para aplastar las redes de uno de sus antiguos ex compañeros soviéticos. La Cancillería de Georgia tuvo que llegar al extremo de tener que levantar un weblog en Blogger para poder tener alguna forma de comunicación con sus ciudadanos que no puede ser fácilmente neutralizada por estos ataques, debido a que a causa de estos los sitios georgianos ya no pueden ser considerados confiables debido a sus cortes de servicio y a la adulteración de la información que presentan. Muchos se preocupan por los grave significados que esto tiene a nivel mundial sobre la viabilidad de confiar importantes transacciones y comunicaciones en este conjunto de redes tan vulnerable al que llamamos genéricamente Internet, pero también podemos verlo de otra forma: Este tipo de cyber ataque está evitando, al menos de momento, que Rusia realice otro tipo de acciones bélicas, físicas y en el mundo real, contra su enemigo de turno? En ese sentido creo que es preferible que se queden contentos con tirarles Internet abajo y listo…

Compártelo

En un interesante artículo de Kriptópolis podemos enterarnos de que se está realizando espionaje corporativo mediante el registro de dominios similares a los de la compañía a espiar, registrando todos los que puedan ser typos (errores de tecleo) del original.

De la misma forma en que por ejemplo algún oportunista podría poner un sitio falso bajo el dominio gmal.com, en este caso lo que se hace es montar servidores de correo bajo estos dominios, aprovechando que mucha gente al enviar un email coloca los destinatarios tecleándolos y no desde la libreta de direcciones, copiando y pegando, o respondiendo a otro mail. De esta forma, si el remitente se equivoca al escribir el dominio del destinatario, la dirección resultante puede ser enviada a otro dominio similar, tal vez con una letra de diferencia, en control de la competencia o de espías contratados por esta, y enterándose de esta forma de valiosos secretos corporativos.

Personalmente yo he presenciado muchos de estos typos a la hora de enviar un email y puedo dar fe que esta técnica les debe funcionar muy bien a quienes la utilicen, así que mejor ir comprobando que hay detrás de los typos del dominio de tu empresa o tus clientes.

Compártelo

A pesar de seguir afirmando que con la configuración por defecto tanto la versión 23 como la 24 son de por sí invulnerables al bug DNS, la gente detrás de DD-WRT, uno de los firmwares más completos para routers inalámbricos, se puso a trabajar y en tan sólo dos meses volvió con una revisión para su reciente versión 24, la v24 SP1, que además de incorporar varios parches relativos a este urgente problema también añade nuevas funciones, soporte para nuevos routers, y soluciona una importante vulnerabilidad propia relacionada con la sanitización de datos, que permitiría comprometer un router con DD-WRT mediante la publicación de una red inalámbrica con un SSID especialmente construido que le haría ejecutar código arbitrario. Acá pueden encontrar la lista casi completa (según ellos mismos) de modificaciones realizadas, y por supuesto está para descargar en todos los sabores habituales.

Compártelo

La historia del famoso bug del DNS ya se convirtió en una novela que está cansando a muchos, pero aún así es tan relevante para la seguridad de todo lo que se haga por Internet que se vuelve una obligación estar al tanto.

Ahora que Dan Kaminsky dijo todo lo que tenía para decir (presentación realizada en la conferencia Black Hat en formato ppt)  y en teoría no hay más secretos guardados, podemos adentrarnos más en los detalles técnicos del problema. Una excelente guía al respecto es la de Steve Friedl, quien explica con una claridad muy didáctica cómo funcionan los exploits que ponen en jaque a todo el sistema DNS, brindando en el camino un básico pero excelente curso sobre algunos pormenores de las peticiones DNS. También nos estamos enterando que los sitios protegidos bajo cifrado SSL no son del todo invulnerables, si hipotéticamente se consigue, mediante este mismo exploit y asociado tal vez con otros, comprometer los servidores DNS de la entidad emisora de certificados en cuestión para redirigir su correo y poder adulterar certificados vía email, algo que muchas entidades admiten; y aún sin entrar en tanta complejidad, hay que ver cuántos usuarios le prestarían atención al aviso que muestra su navegador al acceder a un sitio cuyo certificado no concuerdo o no está emitido por una entidad de confianza.

Pero todo no termina acá. Ahora apareció un ruso llamado Evgeniy Polyakov, el cual afirma haber comprometido un servidor BIND completamente parcheado, e incluso sube la apuesta afirmando que no existe ninguna solución que no sea vulnerable, incluso DJBDNS, el servidor DNS creado por el matemático D. J. Bernstein que desde el principio fue reconocido como uno de los pocos que vino haciendo las cosas bien desde el principio con respecto a la seguridad. Ahora claro, si nos ponemos a ver qué fue lo que realmente logró Polyakov, vemos que tampoco es el fin del mundo precisamente: Para poder comprometer ese servidor BIND tuvo que utilizar dos máquinas muy rápidas bajo una conexión Ethernet de 1 Gbps, consiguiendo el resultado recién al cabo de unas 10 horas aproximadamente. No significa que habiendo parcheado aún toda la Internet continúa en peligro, sino que, como afirman muchos especialistas, sólo se "compró algo de tiempo" para hacer el ataque a escala global menos eficaz, y mientras tanto muchos deberían estar pensando ahora mismo en cómo encontrar una solución más definitiva para cuando ese tiempo se acabe. Mientras tanto, aquellas empresas cuyas redes locales funcionan a 1 Gbps o más tienen un motivo más del cual preocuparse…

Compártelo

Hasta no hace mucho varios de nosotros creíamos que con ingresar https://mail.google.com en la barra de direcciones bastaba para disponer de una sesión completamente encriptada mediante SSL con GMail, pero parece que esto no es del todo así; Google seguía generando tráfico que no estaba cifrado en medio de la sesión. Es por eso que gracias a herramientas como la reciente Surf Hack de Sandro Gauci permiten automatizar bastante bien el proceso que permite robar la cookie de sesión de un usuario que está accediendo su cuenta de GMail, para luego ingresar en su lugar y hacer lo que quiera. En el siguiente video el creador de este exploit muestra como un atacante, utilizando su herramienta en conjunto con técnicas de ARP o DHCP spoofing y/o el famoso bug del DNS, o simplemente esnifeando una red Wi-Fi, puede capturar dicha cookie, y luego usarla desde su navegador para acceder a la cuenta de la víctima.

En el mismo video también podemos apreciar como lo solucionó, al menos parcialmente, la gente de GMail. Y digo parcialmente porque lo que hicieron fue agregar una opción en la configuración de cuenta para cifrar o no permanentemente toda la sesión, sin estar por defecto seleccionada la opción más segura, con lo que todo usuario de GMail que desconozca este peligro e ingrese desde hotspots y demás redes inseguras está en peligro de perder su cuenta, y muchas cosas más.

Google recomienda activar esta opción sólo si sabemos que vamos a acceder al servicio desde redes no confiables, alertando de algunas contras como una menor velocidad o la imposibilidad de acceder desde navegadores que no soporten SSL, pero sinceramente me parece un precio muy bajo por pagar a cambio de evitar que cualquier hijo de vecino con una notebook y un poco de ganas de joder pueda quedarse con tu cuenta. Cualquier navegador decente soporta SSL, incluso los móviles, y la demora extra no es una eternidad tampoco, no tiene sentido seguir expuesto si no sabemos desde donde podemos estar logoneándonos la próxima vez.

Vía The Hacker Webzine. SpamLoco también habló del tema.

Compártelo

Y no, no dije desconfíe, dije "desconfie", como diría el negro Dolina. El día anterior me consultaron unos usuarios, consternados, por un email importantísimo cuyo archivo adjunto no podían abrir "con nada", y era importante porque decían que provenía del Poder Judicial de Brasil. Lo primero que hice fue pedir que m reenviaran ese mensaje taaaan importante, para verificar lo que ya me imaginaba. A continuación paso a desguazar el correo en cuestión. A la mayoría de los que me siguen no creo que les esté diciendo nada nuevo, así que bien pueden ahorrarse la lectura; esto es más bien un instructivo para el uso del sentido común que quiero dejar asentado para mostrarlo cuando haga falta.

Enos aquí, con un supuesto mail importante. Por qué es importante, dirán? Vamos a ver. El asunto dice: N.º 687/2008 URGENTE! PROCEDIMENTO INVESTIGATÓRIO N.º 687/2008. Aaahh… claro, dice "URGENTE!" en mayúsculas y con signo de admiración, encima se complica entender bien qué dice porque está todo en portugués, seguro se trata de algo importante! Y "PROCEDIMENTO INVESTIGATÓRIO" con esos numeritos al final tampoco se ven muy bien…

Seguir leyendo »

Compártelo

Las vulnerabilidades encontradas en el DNS, más allá de haberse mostrado como un fiasco, está trayendo cada vez más peligros a cualquier equipo que se conecte a Internet. Una nueva herramienta, llamada Evilgrade (presentación en PDF), utiliza estas técnicas de explotación junto a otras más para hacer que cualquier equipo descargue e instale falsas actualizaciones de software que en realidad pueden ser troyanos, virus, o cualquier otro tipo de payload que el atacante desee.

Evilgrade, creado por Francisco Amato, especialista en seguridad informática argentino y fundador de Infobyte Security Research, se trata de un kit de herramientas diseñado para aprovecharse de los sistemas de actualización online inseguros que muchos fabricantes de software implementan, en donde no se verifica ninguna integridad del supuesto paquete de actualización que se descarga, confiando plenamente en que si se lo está descargando de update.fabricante.com éste tiene que ser original y puede ejecutarse en el sistema con total tranquilidad. Entre las armas que Evilgrade utiliza, además del DNS Cache Poisoning de moda se encuentran también otras técnicas conocidas como el ARP y el DHCP Spoofing. Está programado en Perl y funciona en base a módulos, incluyendo en esta primer versión los que permiten aprovecharse de los sistemas de actualización de Sun Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes, Linkedin Toolbar, DAP, Notepad++ y Speedbit. En este video puede verse una demostración en la que se logra ejecutar código malicioso en una PC con un Windows totalmente actualizado a través del sistema de actualización de la máquina virtual Java de Sun Microsystems. Por supuesto, de momento y para causar más revuelo a raíz de la masividad que supone, muchos de los módulos están pensados para software que corre bajo Windows, pero como puede verse este mecanismo de intrusión es completamente independiente de la plataforma, sólo requiere que la actualización falsa sea el malware adecuado para el SO que se quiere comprometer.

Con todas estas amenazas, hoy más que nunca es importante prestarle atención al fallo de los DNS y actualizar todos los sistemas que sean necesarios y/o utilizar servicios que no están afectados como OpenDNS.

Vía Kriptópolis.

Compártelo

Algo de agua pasó bajo el puente del problema de seguridad con el DNS: Ahora ya sabemos que se filtró información antes de tiempo y que, seguramente gracias a eso, hay exploits dando vueltas. Lo que también ahora sabemos, siempre gracias a Kriptópolis, son los métodos para comprobar desde nuestra consola la seguridad al respecto de cualquier servidor DNS, eliminando la necesidad de recurrir al test del sitio de Dan Kaminsky, el cual nos permite chequear solo al de nuestro ISP.

Desde Linux se puede utilizar la herramienta dig, que viene incluida dentro las distros más populares, para chequear contra un servidor DNS especial que nos responderá si si estamos en condiciones buenas, medias o pobres de seguridad. Los comandos que podemos utilizar son cualquiera de estos:

dig +short @ip_dns_a_testear porttest.dns-oarc.net txt

De la misma forma, en Windows tenemos tanto la opción de utilizar la herramienta dig instalándola desde acá como la de utilizar directamente el comando nslookup que viene incorporado:

nslookup -type=txt -timeout=30 porttest.dns-oarc.net ip_o_hostname_del_dns_a_testear

Por ejemplo, la primera vez que escribí sobre este fallo del DNS había chequeado los DNS de Telefónica y estos eran vulnerables. Si ahora los chequeo nuevamente me tira que los muchachos al menos hicieron su trabajo actualizándolos:

Servidor:  dns23r.speedy.com.ar
  Address:  200.63.155.67

Respuesta no autoritativa:
  porttest.dns-oarc.net   canonical name = z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     
text = "200.63.155.20 is GOOD: 26 queries in 5.8 seconds from 26 ports with std dev 20372.97" 

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     nameserver = ns.z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

En cambio, si por ejemplo analizamos uno de IPlan, vemos que viene habiendo bastante inoperancia por ese lado:

Servidor:  dns1.iplanisp.com
  Address:  200.69.193.1 

Respuesta no autoritativa:
  porttest.dns-oarc.net   canonical name = z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     text = "200.69.193.1 is POOR: 26 queries in 4.1 seconds from 1 ports with std dev 0.00" 

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     nameserver = ns.z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

Gracias a estos comandos podemos también sacarnos la duda con los servicios DNS de firewalls o routers, ya sean hogareños o corporativos. Por ejemplo yo pude confirmar lo que se decía en los foros de DD-WRT sobre que este firmware para routers no se ve afectado por el bug.

También, si no nos queremos complicar demasiado, existe, además del de Kaminsky, otro test vía web para verificar nuestros DNSs automáticamente.

Compártelo

Hace un par de semanas que estoy viendo en el panel de enlaces entrantes algunos que son provenientes de spamblogs, donde al entrar me encuentro con una larga lista de sitios enlazados, entre los que, claro, se encuentran el mío. Sé que no es una forma para nada nueva de hacer spam, pero hasta ahora no tenía el recuerdo de que me haya sucedido, y menos con tanta asiduidad. El último al que entré por curiosidad, tan gentil y amable, me advirtió de un terrible problema en mi PC y me ofreció instalarme un tal Antivirus 2009, un malware del que no hace mucho hablaba Alejandro de SpamLoco.

Me debo estar haciendo popular o algo así, supongo…

Compártelo

Las inquietas mentes de XDA-Developers concibieron otra interesante aplicación para Windows Mobile, aunque en este caso no es muy ética que digamos. Bautizada como BT Spammer, y con un nombre que se explica solo, esta aplicación permite bombardear con mensajes de texto, imágenes y otros objetos a todos los dispositivos Bluetooth presentes en las cercanías que estén en modo visible, pudiendo ser útil en pruebas de hacking e ingeniería social, pero también en campañas de marketing de proximidad. Sin duda alguna lo que más será es una molestia para quienes estén cerca del gracioso…

Por supuesto el programa es gratis, y requiere del .NET CF 2 para andar.

Vía FreewarePocketPC.

Compártelo

Está dando vueltas un nuevo tipo de malware que se vale de los archivos multimedia para propagarse. No sería nada nuevo, si no fuese por el hecho de que se aprovecha de una funcionalidad, no una vulnerabilidad, de formatos de archivo como ASF o WMA que permiten incluir comandos dentro de los mismos. De esta manera este malware consigue que al abrir cualquier archivo de audio o video infectado sea lanzado el navegador con una supuesta descarga de un "codec", el que engañosamente se le pide al usuario desprevenido que descargue y ejecute para poder luego reproducir correctamente el archivo multimedia. Por supuesto lo que está descargando e instalando es el malware en sí. La otra faceta maligna de este virus es que no presenta este comportamiento si la máquina ya está infectada, por lo que aquél que comparte sus archivos multimedia infectados no tiene noción de este hecho, ya que puede reproducirlos normalmente sin que le salga nada raro.

Ni bien es instalado en un sistema, este malware se encarga de escanear todas las unidades en busca de contenido multimedia para infectarlo, y en el caso de los archivos MP3 tiene un comportamiento muy interesante: Ya que el formato no permite la ejecución de comandos, los convierte a WMA para poder realizar su infección. Así que si de repente toda su colección de MP3 figura como en formato WMA en el diálogo de información de su reproductor multimedia, ya pueden imaginarse por qué.

Al parecer el objetivo principal del malware (su payload) es instalar un keylogger que roba contraseñas. Desconozco si algún antivirus estará detectando como peligrosos los archivos multimedia que contengan comandos incluidos, pero por las dudas es mejor abstenerse de andar dándole click a cualquier cosa, como siempre.

Más info en Dark Reading y The Hacker Webzine.

Compártelo

El autor de The Hacker Webzine, Ronald van den Heetkamp, demuestra una vez más su predilección por el navegador Opera, esta vez ofreciendo un UserScript (archivos con código Javascript que permite modificar el comportamiento de un sitio web, lo mismo que hace la extensión GreaseMonkey para Firefox) que aprovecha las capacidades de Opera de interceptar código antes de de ejecución desde esta plataforma. De esta forma nace Arioso, un script que promete ir mejorando y que está enfocado a impedir cualquier ejecución de código potencialmente malicioso, respetando más que nada a rajatabla la política de no permitir nada que no provenga del mismo origen que el sitio en cuestión.

De momento en las pruebas realizadas me resultó demasiado agresivo, bloqueando videos embebidos y anuncios en general,  pero será cuestión de tiempo para ver si resulta de verdadera utilidad para cualquier usuario de Opera.

Actualización: Ya está disponible la segunda versión de Arioso.

Compártelo

El DNS siempre fue un gran olvidado por años en lo que respecta a la seguridad en IT, aunque últimamente muchos venían levantando voces sobre el peligro que representaba. Ahora, todos parecen haberse puesto de acuerdo en el problema gracias al especialista en seguridad Dan Kaminsky, y todos los grandes pilares de Internet y del Software, como Cisco, Microsoft, Debian, Red Hat, y un larguísimo etcétera, están liberando parches para solucionarlo.

El problema que existe con el servicio de DNS es tan viejo como su propia creación probablemente, y radica en la forma en que se realizan las transacciones entre los servidores DNS no autoritativos que realizan consultas a otros servidores y cacheo de las respuestas. DNS utiliza el protocolo UDP, que es liviano y a diferencia de TCP no tiene ningún control de sesión o secuencia de paquetes, por lo que la respuesta a cada petición DNS es autenticada únicamente mediante estas condiciones:

• Debe existir una petición exclusiva para esa respuesta.
• La dirección IP de origen debe ser la misma a cuyo servidor se le envió la petición.
• Cada petición utiliza un número de ID único de 16 bits, el cual debe ser idéntico al de la respuesta.
• La respuesta debe ser enviada al mismo puerto de donde se originó la petición.

Hasta acá parece que la seguridad estaría bastante cubierta, pero como siempre, del dicho al hecho hay largo trecho, y en la práctica las cosas no son tan lindas como en la teoría.

Seguir leyendo »

Compártelo

Algo que ya se veía venir y que ahora comienza a materializarse en una realidad palpable: Apareció DNSChanger, un troyano que crackea por fuerza bruta routers domésticos para cambiar los servidores DNS configurados y así comprometer, mediante ataques de phishing (por ejemplo haciéndole creer al usuario que está en el sitio web de su banco) o inyección de malware cualquier computadora en la red local que navegue mediante ellos. Para lograr la intrusión el troyano utiliza una lista de passwords por defecto conocidos con los que intenta acceder, y si lo logra ya tiene el control completo del router, y con este virtualmente de toda la red local que aquel maneja. Aparentemente los ataques se concentran en routers de las marcas D-Link y Linksys.

Una forma de detectar si fuimos comprometidos por DNSChanger es encontrar el rango IP 85.255.*.* en nuestros parámetros de TCP/IP; otra consiste en ingresar en el navegador un dominio que sabemos inexistente y observar que aún así se carga un sitio web. Más información y capturas relativas a este troyano pueden verse en el blog de TrustedSource.

Por el momento, una de las medidas de prevención obvias y básicas, que hay que hacer ni bien se instala un router, es cambiar su contraseña por defecto por una segura creada por nosotros. También es importante no mantener sesiones abiertas con la interfase web del router mientras se navegan otros sitios. Lo mejor después de haber terminado de trabajar con la interfase web del router es cerrar el navegador por completo (incluyendo todas las ventanas y solapas abiertas) para asegurarse que cerramos la sesión, o utilizar las opciones de privacidad de navegadores como Opera o Firefox que permiten hacer lo mismo. También podemos evitarnos algunos problemas si utilizamos algún firmware más avanzado.

Vía Dark Reading.

Compártelo

DecaffeinatID es una aplicación freeware para Windows que pretende agregar una capa extra de seguridad al sistema, pero que para nada reemplaza a un firewall personal ni a un buen antivirus. Básicamente consta de dos partes: Una que examina constantemente los logs de Windows para informarnos de cualquier intento de acceso a uno de los servicios de nuestro sistema o de algún cambio en el firewall, y otra que vigila el protocolo ARP contra ataques de Poisoning, que suelen usarse para controlar/espiar en el tráfico de otros usuarios de la misma red.

Mientras que estas características hacen útil a DecaffeinatID tanto en una red hogareña como en una gran oficina, su principal objetivo y utilidad se enfoca en las conexiones a hotspots o zonas Wi-Fi públicas, donde este tipo de técnicas para espiar e interceptar la información privada de otros puede llegar a ser moneda corriente. Funciona tanto en Windows XP como en Vista.

En pocas palabras una descarga recomendada para nuestra notebook.

Vía LifeHacker.

Compártelo

En el sitio de Microsoft están disponibles tres guías de seguridad con templates e información para asegurar de la mejor manera posible tanto servidores como estaciones de trabajo. Se encuentran en inglés y son las siguientes:

• Windows Vista Security Guide
• Windows XP Security Guide
• Windows 2003 Security Guide

Las guías en sí constan de un archivo de instalación que descomprime en el sistema decenas de configuraciones de seguridad preestablecidas para modificar las políticas de Windows. Vale la pena tenerlo a mano para cuando hay que ponerse serio con la seguridad.

Vía IntelliAdmin.

Compártelo

Este bien podría entrar en la categoría de micropost. No hay mucho que decir, se trata de otro sitio pedorro que pretende quedarse con los datos de las cuentas de MSN de los pobres incautos que ingresen en el, el cual como siempre promete decirte quién te borró, quien te bloqueó, y quién dijo a tus espaldas que la tenés chiquita. Lo que me pareció gracioso de este es el penoso gancho gráfico, que cuadra por supuesto con la mediocridad uniformada del resto de estos sitios:

Además de manejar a la perfección el lenguaje HOYGAN, el creador de esta maravilla gráfica apunta a comunicar la promesa de ese sentimiento de banana bárbaro que experimentaría el nardo que, con toda la evidencia en sus manos, increpa (posiblemente desde otro MSN, ya que si lo borraron casi seguro también lo bloquearon) al malvado y rastrero borrador/bloqueador, quien se ve tremendamente sorprendido por la clarividencia de aquél que despreció, pidiendo disculpas luego y prometiéndose a sí mismo y a éste que no lo hará nunca más. Bueno, o eso soñará el usuario medio que ingresa a estos sitios.

Compártelo

La gente de InfoSpyware creó un programa llamado MSNCleaner, el cual promete eliminar automáticamente la mayor parte de los virus más conocidos que se distribuyen a través de Windows Live/MSN Messenger, así como reparar y restaurar diversos elementos de Windows bloqueados o modificados por estos. Recomiendan para su efectiva utilización ejecutarlo iniciando previamente Windows en modo a prueba de fallos, luego eliminar todos los temporales con una aplicación como CCleaner y finalmente volver a iniciar en modo normal. En el caso particular de la restauración de la página de inicio de Internet Explorer, lo hace cambiándola por la dirección del sitio de InfoSpyware, pero como también habilita la posibilidad de cambiarla desde la configuración del navegador puede luego reemplazarse fácilmente por nuestra página de inicio habitual.

Vía iMessengr.

Compártelo

Según The Hacker Webzine lo es, cuyo autor incluso publica código de ejemplo mostrando como con un simple formulario y una línea de Javascript sería posible comprometer una base MySQL cuyo nombre y el de sus tablas sea conocido o adivinable, si visitamos un sitio que explote esta vulnerabilidad mientras aún permanecemos con la sesión iniciada en PHPMyAdmin. La única forma de prevenir esto es, por supuesto, no navegar otros sitios mientras trabajamos con él, y una vez que acabamos cerrar y volver a abrir el navegador, o utilizar las opciones de eliminación de información privada para eliminar la sesión PHP que por defecto dura alrededor de 24 minutos desde la última vez que se tuvo acceso al software.

Compártelo

Si administrás equipos que corran Debian o alguna otra distro derivada del mismo, como Ubuntu y sus varios sabores, y generaste certificados entre el 2006 y el 2008, es muy posible que éstos sean vulnerables debido al reciente y famoso bug-de-la-línea-de-código-omitida que afectó críticamente a todas las claves generadas desde el paquete OpenSSL incluído. Debido a la gravedad del asunto ya existen algunas compañías que ofrecen servicios de detección online de certificados comprometidos, como ServerSniff.net, la cual se ofrece a decirnos si los certificados SSL o SSH de nuestro Linux está en la lista negra de certificados predecibles generados por la versión defectuosa de OpenSSL incluida en Debian. También es importante saber que, si no nosotros no nos encargamos de hacer esta revisión en nuestros equipos y tomar las medidas pertinentes, cualquiera puede hacerla fácilmente en nuestro lugar, y ya con eso saber que puede irrumpir fácilmente en nuestro sistema. De todas formas el escaneo no es exhaustivo, y si estamos ante la duda, lo mejor será regenerar todos los certificados si esto no nos reporta mayores problemas.

Vía Kriptópolis.

Compártelo

La gente de LifeHacker rescató del olvido a una de esas aplicaciones que recuperan contraseñas de archivos PST de Microsoft Outlook, en este caso a PstPassword, y yo no pude evitar ponerme nostálgico. Me acordé de una jefa de sistemas que conocía que era una especie de Bela Talbot de Supernatural, por lo buena que estaba y por lo garca que era, que tenía entre muchas de sus paranoicas costumbres la de ponerle contraseña al PST de su Outlook y a los de otras amebas importantes dentro de la empresa. Me acuerdo que cuando conseguí un CD lleno de herramientas de todo tipo, entre las cuales figuraba una aplicación similar a la mencionada, su PST fue el primero en venir a mi mente para poder probarla; culpa suya por tener la pieza faltante que necesitaba para mi test.

El caso es que el cifrado de estos archivos PST es muy liviano, tanto que incluso pueden ser abiertos no sólo por la contraseña original, sino por otras que dan como resultado el mismo hash al procesarlas. Y en esto PstPassword brinda una ventaja, ya que no obtiene una clave, sino 3 para un PST dado, maximizando las probabilidades de que entre estas 3 esté la clave original que el usuario puede también estar usando en otros sistemas y cuentas.

¿Y que pasó con la dueña del PST cifrado? Como buena Bela que es continuó en su carrera embaucadora y ahora es gerente de sistemas de un importante hotel de la zona de Retiro. Pobrecitos.

Compártelo

No es la primera vez que ocurre, pero esta vez es masivo. En otra oleada de ataques masivos de inyección SQL, en los cuales se busca infectar la mayor cantidad de sitios posible, esta vez la carga maligna que descargan en los servidores afectados son básicamente animaciones Flash (archivos swf) que explotan un bug de Adobe Flash Player conocido como CVE-2007-0071, supuestamente ya solucionado en la última versión del reproductor, pero reportado por Symantec como aún efectivo en ésta. Este bug del reproductor Flash permite descargar e instalar cualquier programa que se le ocurra al atacante, desde keyloggers hasta troyanos de todo tipo, y todo lo que hace falta es abrir un sitio web que contenga un objeto Flash maligno. Dado que el 99% de los sitios web portan algún objeto Flash, la decisión es difícil, pero si realmente se quiere tener cuidado, lo mejor es deshabilitar los objetos Flash a menos que sea realmente necesario utilizarlos, ya que no se sabe si el sitio legítimo al que accedemos hoy pudo haber sido comprometido hace días para infectar a sus visitantes.

En Opera podremos habilitar o deshabilitar Flash a voluntad mediante un botón personalizado, mientras que en Firefox se puede usar la extensión Flashblock; y en Internet Explorer… bueno,