31 enero 2009

"Google puede dañar tu equipo"


Interrumpimos la tarde del sábado para ofrecerles un boletín de última hora (siempre he querido decir esto...)



Podríamos decir que acabamos de vivir lo que podría ser un momento de los que serán recordados por mucho tiempo, aún habiendo sido escasamente de una hora.
Google, a causa de quién sabe qué, mostraba, para todas y cada una de sus búsquedas realizadas mediante su buscador, que los enlaces de los resultados, todos todos, podrían dañar nuestro equipo. Incluso buscando "google" en la propia Google (tranquilos, me aseguré antes de que no degeneraría en un agujero negro), también resultaba ser un enlace dañino.


Está claro que a alguien se le ha escapado la mano con un filtro, algo nuevo, una optimización, o lo que sea, supongo que pronto averiguaremos que pasó realmente, pero la "conmoción en internet" ha sido global. Es lo que tiene ser global, que cualquier anécdota temporal o despiste, sea claro protagonista de internet en apenas décimas de segundo.

Echemos un vistazo a twitter, que en el momento del caos era como entrar a una taberna de pinchos un domingo:
En cuestión de segundos al suceso se le asignó un hash de twitter, para poder así categorizar todas las conversaciones y poder ser seguidas desde la búsqueda de este servicio de microblogging, y poder ver las reacciones de todo el mundo.

Muchos medios se han hecho ya eco de la noticia, y ahora mismo, se especula con las posibles causas, que si por el futuro gdrive, refuerzo de seguridad de algún servicio...que si alguien habrá comentado una línea de código donde no debía...y también se intentan recopilar cuales han sido las repercusiones, y como no, las que más preocupan son las económicas. 

También cabe destacar que por ejemplo, muchos usuarios han reportado que en su carpeta de spam de gmail, han aparecido por error mensajes que en realidad deberían haber llegado a su inbox, así que os recomendamos que navegueis entre viagras, loterias y premios ganados por si acaso alguno se ha colado.

Leer más...

Información EXIF en imagenes.

Exchangeable image file format o EXIF , es una especificación para almacenar información en imágenes de formato JPEG, TIFF, RIFF y en archivos de audio WAV. Fué creado originalmente por JEITA, pero actualmente no se mantiene por ninguna organización, siendo su última versión del 2002. Aún así, por su amplio uso en cámaras digitales y software de edición fotográfico, se sigue utilizando en casi todos los productos.

Algunos de los datos que almacena son:
  • Fecha y hora de la imagen
  • Software utilizado para su edición
  • Geolocalización (en caso de que la cámara fotográfica tenga GPS)
  • Una miniatura de la imagen.
  • Modelo de cámara utilizada
  • Descripción y derechos de la imagen.
Una forma sencilla de consultar la información de una de nuestras imágenes, es viendo sus propiedades con el propio explorador de archivos de Windows.


La misma tarea se puede simplificar desde un navegador ahorrando algunos pasos intermedios como almacenar la foto en nuestro disco y luego usar una segunda herramienta, solo es necesario instalar el add-on para Firefox: Exif Viewer.



Por mencionar una última utilidad, mediante el script para GreaseMonkey, EXIF Thumbnailer Fetcher, podemos convertir el típico "Directory Listing", como el que se muestra en el siguiente ejemplo:


En un catálogo de pequeñas miniaturas solicitando únicamente la cabecera del archivo, ahorrando ancho de banda y tiempo en ir imagen por imagen comprobando su contenido.



Leer más...

30 enero 2009

Guerra 2.0: Israel emplea técnicas SEO contra Gaza

Según cuentan diversas fuentes, el ejercito Israelí (o mas bien el servicio de inteligencia) ha hecho uso de una empresa afincada en Texas (USA) para que realice técnicas de posicionamiento en los buscadores y de esa forma minimizar el impacto mediático de las atrocidades realizadas en Gaza.

Incluso se han creado diversos grupos en Facebook 'pro sionistas' para tratar de generar conciencia-positiva hacia Israel.

El asunto de la Ciberguerra no es nada nuevo, tanto a nivel partisano mediante grupúsculos de cultura 'Hacker' que 'defacean' webs en nombre de la causa, hasta ataques mas sofisticados como el que Rusia perpetró contra Estonia.

Lo que realmente me llama la atención es si ese tipo de cosas realmente funcionan, si tienen impacto real en la 'conciencia' de la gente.
Leer más...

29 enero 2009

Seguridad en entornos SaaS + Cloud Computing

Mientras el hombre es un animal de costumbres, a la tecnología la mueven las modas. Así pues, hemos pasado de la centralización (antiguos servidores Mainframe que ocupaban una habitación completa), a la descentralización, es decir, tener una máquina para cada cometido (un firewall, un antivirus, un proxy saliente, un antispam,...), la alta disponibilidad (lo mismo de antes pero por parejas o clústers para evitar mantener el servicio), la centralización (UTMs, o Unified Threat Management, máquinas que incorporan un sinfín de servicios en una sola caja), la virtualización (o centralización una vez más, teniendo un montón de servidores acumulados en una máquina de una capacidad computacional desmesurada, compartiendo los recursos de la máquina física)...

Esta última filosofía nos pretende llevar incluso a virtualizar el escritorio de los trabajadores, de manera que volvamos a la época de los terminales tontos (o diskless) que ejecutaban en un servidor pesado y simplemente servían para transmitir a través de vetustas y obsoletas redes de comunicaciones, las señales de teclado y ratón hacia el servidor, así como la imagen de lo presentado al usuario. Como ventajas a esta forma de hacer las cosas podemos destacar la comodidad para la administración (políticas de seguridad conjuntas, facilidad de hacer backups, aplicación de parches, antivirus, contro del software instalado, etc,...) de manera que el usuario tiene su escritorio corporativo en un lugar seguro y accesible desde cualquier parte.

El gran despliegue de Internet en nuestras vidas en estos últimos años, ha dado lugar a llevar la virtualización o la disponibilidad de diversos servicios a través de Internet. Prueba de ello son las aplicaciones del Web 2.0 que el gigante de los negocios Google nos ofrece. En SbD hemos hablado de forma reiterada sobre el Cloud Computing, incluso Yago se ha animado a ofrecer aplicaciones que permiten enlazar Windows con servicios ofrecidos en la nube (como el antivirus del Team CYMRU). Empresas de la talla de Microsoft también se suben al carro del SaaS o del Cloud Computing, de manera que vaticinan que las tendencias nos llevará a ejecutar absolutamente todo tipo de software a través de Internet. De esta manera pretenden evitar grandes lacras para su negocio como es la piratería del software.

En estos tiempos de crisis se abre un nuevo abanico de posibilidades para hacer negocios. Pensemos en empresas de integración de sistemas, de apoyo y soporte a empresas sin departamentos de informática, de manera que haya que dar cabida a todo un portfolio de productos que se ejecutan a través de Internet.

Sin embargo, las filosofías SaaS y de Cloud Computing, son una espada de doble filo. Por un lado nos proveen la posibilidad de ejecutar software libre de malware, 100% parcheado, corriendo sobre servidores dimensionados para su correcta ejecución... Sin embargo, pensemos en la seguridad de los datos producidos y/o guardados en los propios servidores. Cientos de ficheros temporales, así como los que se puedan almacenar dentro de los mismos en caso de ofrecer servicios de salvado de información. ¿Qué sucedería si los servidores se viesen comprometidos? Toda la información privada de los usuarios que religiosamente han pagado su licencia por utilización quedaría a merced de los atacantes.

Analicemos además otra de las características más importantes de la utilización de los sistemas: las denegaciones de servicio. Tanto si son por parte de un ataque de DoS contra los servidores, como si lo son por parte del cliente (no es nada raro al menos en España que las conexiones ADSL funcionen más que deficientemente), lo que está claro es que puede darse la posibilidad (supongo que más por nuestra parte) que no tengamos disponibilidad de acceso a nuestro software. En el caso de una empresa, suele haber redundancia de líneas telefónicas por lo que sería posible continuar trabajando, pero en el caso de un usuario en casa, tendrá que recurrir a su antiguo software instalado en su máquina local,... o siempre le quedará pedirle prestado el acceso a Internet a un vecino durante un rato
Leer más...

28 enero 2009

¿Como se llama mi perro?

FACUA ha denunciado a Microsoft, Google y Yahoo ante la Agencia de Protección de Datos, ya que consideran insuficiente la pregunta secreta como medida de seguridad para obtener una nueva contraseña, vulnerando la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal

La pregunta secreta es un mecanismo que utiliza un usuario cuando olvida o pierde su contraseña para modificarla siempre y cuando sepa algunos datos personales, como pueden ser el código postal o la fecha de nacimiento y la respuesta a una pregunta "secreta", establecida cuando se da de alta en el servicio. En algunas ocasiones las preguntas están preestablecidas y en otras el sistema nos permite añadir nuestra propia pregunta. Las hay tan triviales, como el nombre de una mascota, de un pariente o de una película favorita.

Hace unos días publicábamos la intrusión que había sufrido David Bisbal en su cuenta de Hotmail. Esto fue posible porque los extorsionadores sabían cuál era la dirección de su correo y averiguaron la respuesta a su pregunta, que teniendo en cuenta su popularidad , sería publicada en alguna de las entrevistas que hay disponibles en la red. Tal y como ocurrió con Sarah Palin.

Es obvio que el problema existe y que la falta de concienciación de los usuarios hace posible el ataque. Incluso en las ocasiones en las que se permite añadir una nueva pregunta, el desconocimiento convierte esta fortaleza en una debilidad, ya que la nueva pregunta es aún mas sencilla que una de las preestablecidas. Por lo tanto, es necesario un cambio en la tecnología para evitar el riesgo.

Por otra parte, imagino que han decido estas tres compañías como muestra, además de por su popularidad, ya que prácticamente todos los servicios online como blogs, contenedores de imágenes, redes sociales, subastas, contenedores de video o cualquier otro, tienen sistemas similares. Además de los ¿2.000? servicios de correo distintos en los que uno se puede dar de alta.
Leer más...

27 enero 2009

Redes Neuronales + OCR en Javascript = FAIL de megaupload

Uno de los posts más visitados de nuestro blog es el que escribió nuestro compañero Alejandro Ramos sobre el sistema de captchas utilizado por megaupload.com, servicio de descargas directas por excelencia junto con rapidshare.com. Alejandro desarrolló un script en bash mediante el cual era posible saltarse la protección mediante captcha para evitar la descarga masiva, y mediante bots, de ficheros hospedados allí.

Pues bien, al hilo del mismo tema, Shaun Friedle nos ha sorprendido con la publicación de un script para el add-on greasemonkey del navegador Mozilla Firefox ( y ahora también en Google Chrome...), que mediante unas "cuantas" líneas de código Javascript, incluyendo una red neuronal y una especie de sistema de OCR realizado para la ocasión, es capaz de resolver automáticamente los captchas, tan solo visitando la web de megaupload. Recordaros que greasemonkey, si dispone de este javascript instalado y activado, detectará cuando se visita la web, y automáticamente ejecutará dicho script.

Los pasos que realiza grosso modo son:
  1. Pasar la imagen del captcha a una escala de grises
  2. Separar cada uno de los tres carácteres en una matriz de píxeles individual, mediante su color, que recordemos, siempre es el mismo según la posición.
  3. Seguidamente, tras "limpiar" los pixeles de las matrices que no correspondan con los carácteres (mediante la función clean_noise del script), se procede a la detección de los lados de la forma (función find_edges del script), obteniendo así una matriz de 20x25 pixeles con un rectángulo en blanco y negro.
  4. Se extraen ciertos puntos estratégicos, que harán de receptores de la red neuronal(función check_receptors del script) y que serán los que sirvan de entrada para dicha red, definiendo así un conjunto de estados, pudiendo establecer si por ejemplo el valor del pixel en la posición con coordenadas XxY es un '1' o un '0'. Con ello, conseguimos aproximadamente unos 64 estados, más fácilmente computables que no una matriz de píxeles.
  5. Para adivinar la letra, se introduce en la red los 64 valores, junto con otros valores ya pre-computados (función create_net del script), y que podemos encontrar en el código fuente, en forma de constantes. En las comprobaciones, a cada letra se le otorgará una especie de puntuación, que no llega nunca al 100% pero que se aproxima bastante, obteniendo así los tres caracteres buscados de entre los ganadores.
No puedo decir la frase de "sencillo y para toda la familia", pero lo que si puedo decir es que es increible lo que es capaz de crearse mediante un simple navegador web, y lo que esto puede dar de si.

En la web del autor, se puede visitar una demo de como calcula, mostrando los receptores de cada letra, los captchas que muestra en la parte superior. Incluye la comparación tanto por redes neuronales como por comparación de píxeles. En la mayoría de los casos, el resultado mediante comparación de píxeles sería suficiente, pero tiene pinta de que mediante el método de redes neuronales, los resultados serán mucho más exactos.

Leer más...

26 enero 2009

Lanzada la versión 1.1.23 de Fast HTTP Vulnerability scanner

Los hermanos Tarasco, que son algo así como la versión hacker de los Wachowski, han publicado una nueva versión de su escaner de vulnerabilidades web Fast HTTP Vulnerability Scanner.

La herramienta no está diseñada para encontrar las típicas vulnerabilidades en el propio aplicativo como podrían ser inyecciones SQL o XSS, está enfocada a la localización de servicios web con problemas de configuración, usuarios por defecto o predecibles. Es muy útil como complemento a otras aplicaciones como nessus o wikto.

Dispone de un frontend para facilitar su uso, aunque en las pruebas que hemos llevado a cabo en nuestro laboratorio su resultado ha sido óptimo en la versión por linea de comandos.

Entre sus características principales se encuentra:

  • Multi hilo, pudiendo escanear redes enteras en apenas unos segundos
  • Soporte SSL
  • Combinación de 40 usuarios y contraseñas conocidos.
  • 151 esquema de routers (para realizar la fuerza bruta contra su autenticación)
  • 129 esquemas web, para llevar a cabo fuerza bruta sobre estos formularios
  • 16 usuarios únicos
  • 21 vulnerabilidades conocidas
  • Reconocimiento de 84 servidores web
  • 146 routers conocidos.
  • Configurable mediante archivos .INI
  • Generación de reportes en formatos procesables o HTML



Aclarar que el hecho de que las herramientas de seguridad en general, como el core de esta, se encuentre bajo línea de comandos no es para parecer más cool como mucha gente piensa, si no porque en ocasiones se consigue acceso a un CMD vía telnet o incluso un CreateProcess de una shellcode y en ese entorno, las ventanas pintan más bien poco, por muy bonitas que se vean.

Leer más...

25 enero 2009

monster.com owned

Monster, el buscador mas grande de ofertas de trabajo, confiesa haber sido hackeado recientemente.

Según leo en Securityfocus el incidente no es el típico donde alguna pagina web secundaria es defaceada en nombre de vaya-usted-a-saber-que-grupo, el ataque fue mucho mas sofisticado y tuvo como objetivo la base de datos de usuarios.

Lo curioso del asunto es que en 2007 ya se había repetido el incidente y se reportaron 1.300.000 usuarios cuyos datos 'volaron' a manos no identificadas.

Personalmente pienso que dice bastante de una compañía que se produzcan este tipo de incidentes. Si ya se puede entender poco que una empresa cuyo mercado no esté en Internet descuide su infraestructura y se deje hackear, una empresa cuya vía de negocio sea 100% online debería extremar las precauciones.

En cualquier caso, ya tenemos un futuro hackeo memorable para dentro de unos añitos
Leer más...

23 enero 2009

El Conficker se la juega al Vista


Que si Conficker por aquí, que si Conficker por allá, que si en las noticias, que si un troyano, que si gusano, que si muchos millones de infectados, que si ministerios, gobiernos, que si por qué es tan famoso ahora si lleva rondando por ahí desde Octubre del año pasado...

Ya lo dijimos por aquí, apenas unas horas después de que saliese la vulnerabilidad de la que se aprovecha, y al final, no ha sido caos exactamente, pero por lo menos, en boca de todos si que está, para que nos vamos a engañar.

Entre toda la marabunta de noticias relacionadas con números de pcs afectados, me gustaría señalar una noticia que se centra más bien en un detalle de su técnica (es uno entre muchos...) de expansión. Dicha noticia aparece en la edición digital de las noticias de la BBC, en su sección de tecnología, y se centra en lo que realmente está aportando, como posibilidad, para otros futuros gusanos. Exactamente, en la de propagación no sólo por internet, como era el caso de otros gusanos de renombre, si no también mediante unidades extraíbles.

En la noticia comentan como por ejemplo, en sistemas operativos Windows Vista, el virus que se encuentre dentro de un pendrive USB, podría engañar a un usuario para que nada más enchufarlo al sistema para que fuera instalado localmente, aprovechandose de la funcionalidad de Autoplay o Reproducción Automática del sistema. El virus es capaz de "hijackear" o "inmiscuirse" en el proceso de búsqueda de programas en este procedimiento automático, para enmascararse como un directorio en la ventana que aparece.


Cuando se hace click en ella, automáticamente lo que se está sucediendo por debajo es la instalación del gusano. Y a partir de ahí, uno más "a la saca", y seguidamente, lo que ya os sonará sobre generación de dominios aleatorios (ya detectados y estudiados por algunos expertos), conexiones a servidores y demás.

No es nada nuevo lo de virus en pendrives, y tampoco es nuevo lo de saber que si el problema es de un servicio de Windows, afectará a mucha gente debido a su uso tan extendido, por muchos parches que se saquen a las pocas horas, pero... ¿y si juntamos todas esas técnicas de explotación, propagación, engaños al sistema operativo, infecciones, generación de servidores web instantáneos y demás? Pues está muy claro: conseguireis que vuestro invento pueda ser protagonista de las noticias junto con crisis, nuevos presidentes y colegas compromisarios "Added as a friend" de Facebook con fotos taggeadas.

[+] Noticia en BBC NEWS
Leer más...

22 enero 2009

Reimage, una solución original a los problemas de Malware

Recuperar un sistema comprometido puede llegar a ser mas entretenido que jugar una partida online de Ajedrez, los programas malware han evolucionado de tal forma que su capacidad para ocultarse y resistirse a la eliminación es comparable a la del Agente Smith en Matrix.

Soluciones antimalware hay muchas pero casi todas tienen un componente de laboriosidad que las hacen tendentes a fallos.

La aproximación que hace al problema reimage es completamente novedosa, para empezar has de lanzar un 'scaneo online' que se realiza mediante un componente ActiveX disponible en la web, mas tarde, una vez terminado el scaneo, en caso de detectar archivos problemáticos, Reimage los elimina y sustituye por componentes 'sanos' que provienen de versiones Windows limpias.

Puede suceder que Windows esté completamente 'muerto' y ni siquiera se pueda arrancar el sistema, para eso disponen de un boot-cd específicamente diseñado para arrancar de nuevo el PC, navegar hasta la web de Reimage y comenzar la reparación.

La herramienta no es 'free' hay que pagar por los servicios y los precios oscilan entre los 65 dolares por un solo equipo hasta 79 por tres PCs

Sin duda Reimage supone un soplo de aire fresco en las tecnologías anti-malware
Leer más...

21 enero 2009

Vuelve el SMURF (antiguo y mítico DoS)

Hace no demasiado, se popularizó un tipo de ataque devastador llamado Smurf que tuvo en jaque a ISPs enteros. En una época en la que las IRC-Wars estaban en pleno auge, este tipo de ataque era la forma mas efectiva de poner fuera de juego cualquier sistema.

El ataque se fundamentaba en las facilidades que da tanto ICMP como UDP para 'spoofear' tráfico. Lo único que había que hacer era bombardear direcciones de broadcast con la dirección IP que se pretendía dejar offline (provocando un efecto bola-de-nieve).

Si tu lista de direcciones broadcast era lo suficientemente amplia, el sistema atacado no lardaba ni 30 minutos en pedir árnica.

Paulatinamente el aumento de la seguridad en ISPs y organizaciones hizo ese ataque inviable ya que se aplicaron los filtros correctos hasta hacer practicamente imposible encontrar direcciones broadcast que se presten a ese tipo de usos.

Ahora en 2009 parece que el concepto resurge con otra forma de ataque que ha sido detectada por la gente del ISC-Sans.

Mucho se habló el año pasado sobre las debilidades del protocolo DNS motivado por el uso de UDP y la facilidad para falsear tráfico inherente a ello (nosotros propusimos una solución).

En este caso se ha detectado un uso bastante intensivo de una oscura forma de hacer peticiones DNS que genera un volumen relativamente alto de tráfico. Por lo visto, lanzando una petición a un DNS preguntando por '.' el servidor DNS devuelve la lista de root nameservers.
$ host -t ns .
. name server F.ROOT-SERVERS.NET.
. name server G.ROOT-SERVERS.NET.
. name server H.ROOT-SERVERS.NET.
. name server I.ROOT-SERVERS.NET.
. name server J.ROOT-SERVERS.NET.
. name server K.ROOT-SERVERS.NET.
. name server L.ROOT-SERVERS.NET.
. name server M.ROOT-SERVERS.NET.
. name server A.ROOT-SERVERS.NET.
. name server B.ROOT-SERVERS.NET.
. name server C.ROOT-SERVERS.NET.
. name server D.ROOT-SERVERS.NET.
. name server E.ROOT-SERVERS.NET.
El ataque consiste en falsear la dirección IP en las consultas DNS para que el servidor responda la petición al host que se pretende atacar. Como el volumen de la respuesta tiene una equivalencia superior a 1=1 (por cada petición que se lance, el servidor devuelve mucho más tráfico) se consigue el efecto de amplificación necesario para realizar el ataque.

Habrá que estar atento
Leer más...

20 enero 2009

Protección frente a Cross-Site Scripting en desarrollos ASP.NET

Entre los errores de programación web más comunes, y claro protagonista de varios de nuestros posts aquí en nuestro blog, se encuentra el Cross-Site Scripting, o también conocido como XSS. Y si a este error, le juntamos el hecho de que cada vez, los desarrollos web de aplicaciones grandes tomen el camino del lenguaje de programación ASP.Net.

Hoy os presentamos una librería, que nos dejará un poco más tranquilos a la hora de comenzar a desarrollar una aplicación en este lenguaje, proporcionándonos mecanismos de seguridad que evitarán tener que implementar nosotros mismos esa capa o clase encargada de la validación de los datos de entrada que maneja la aplicación. Se trata de la Microsoft Anti-Cross Site Scripting Library.

Su punto fuerte es la utilización de listas blancas, o en otras palabras: Nosotros definimos previamente cual es el conjunto de caracteres válido y permitido, y el resto es el que pasará por un filtro de codificación.

Actualmente, la versión final corresponde con la 1.5, que podréis descargar desde aquí, pero ya en diciembre del año pasado, se publicó la beta de lo que será la futura versión v3.0 (no me pregunteis dónde está la v2, porque no sabría deciros...), cuyas principales novedades frente a la anterior son la de una lista blanca más extensa, mejoras en el rendimiento, la inclusión de una aplicación de ejemplo y un módulo HTTP del motor SRE (Security Runtime Engine).


Leer más...

19 enero 2009

Magirus OpenHouse 09

El mayorista de productos de seguridad (entre otros) celebrará el 5 de Febrero de 2009 lo que en otras ediciones anteriores llamaban Magirus Day.

Para los que no sepan de qué se trata o no hayan asistido a este tipo de eventos, consiste en una congregación de todos los fabricantes de seguridad que Magirus comercializa, en un evento común. En él se puede aprovechar para conocer el "state of the art" de cada uno de los fabricantes, tendencias de los diferentes productos de seguridad, el saber hacia qué tipo de vulnerabilidades se está poniendo el foco para aprender a hacerles frente. Habrá conferencias, laboratorios con maquetas, así como la posibilidad de hacer relaciones sociales con el personal del mayorista, con gente de los diferentes fabricantes, así como con los muchos asistentes invitados (integradores, consultores, medios de prensa relativa a seguridad, etc,...)

Después de ver las cancelaciones que ha habido en los diferentes eventos de informática (como SIMO 2008) o algunas referentes a eventos de seguridad típicos puros como Infosecurity, es loable el ver que realmente haya empresas dedicadas a vender un portfolio de productos de seguridad siga apostando por el márketing en estos tiempos de crisis.

Yo de momento ya me he apuntado y espero poder asistir si mi agenda no me lo impide con alguna viaje fuera de Madrid ese día. Y vosotros, lectores de SbD ¿iréis a Openhouse 2009?

Más información en la página web de Magirus España
Leer más...

17 enero 2009

Cloud Antivirus 1.0

Cloud Computing es sin duda el termino que está arrasando a día de hoy en el mundo de las nuevas tecnologías, y nosotros que además somos fans confesos de nubeblog, no queríamos quedarnos al margen de esta tendencia, así que nos sumamos con nuestra pequeña contribución: Cloud Antivirus

La herramienta está basada en el servicio del que ya hablamos del Team CYMRU, que resumiendo, viene a ser una enorme base de datos de hash de ficheros que han sido reportados como maliciosos, y nosotros hemos creado una interface 'amigable' para Windows que permite consultar cualquier fichero que nos resulte sospechoso.

Una vez instalada nos añadirá en el menú contextual del Explorer una nueva opción 'Enviar a CloudAntivirus', lo que desencadenará que se obtenga el Hash SHA-1 del fichero (tentado estuve de ironizar y usar MD5) y enviarlo mediante una petición al servicio del team CYMRU.He podido leer un abyecto comentario sobre Cloud Antivirus en la referencia que nos hicieron nuestros compañeros de Genbeta que venía a decir algo como 'Esto no sirve para nada, si alteras el fichero infectado no sería detectado'. Lo gracioso es que proponía como alternativa usar un antivirus convencional, obviando que ese tipo de limitaciones afectan a *cualquier* antivirus (Recomiendo leer nuestro post al respecto).

Cloud Antivirus no es un sustituto al antivirus convencional, (no tiene todas las características básicas como el acceso en tiempo real y además solo funciona en modo online), ha de ser visto como una segunda opinión que consultará si ese fichero ha sido marcado como malicioso por cualquiera de las 30 soluciones antivirus que emplea el Team CYMRU para la detección, lo que resulta muy útil ya que los tiempos de respuesta ante nuevos virus no siempre son óptimos si empleamos un único producto.
Leer más...

16 enero 2009

¿cómo vas? ¿y tú certificado SSL qué tal?

SSLFail.com es una web que nace con el objetivo de evidenciar a todos a aquellos que utilizan servicios SSL y que disponen de un certificado erróneo por alguno de los múltiples motivos que se pueden dar.

Salvo curiosidades de algunas webs, tampoco parece ser demasiado interesante, pero usaremos una captura para explicar a que se deben estos errores.




La imagen superior muestra lo que es el fallo más típico. A la hora de generar un certificado SSL se solicita el "CommonName" o CN, que es el nombre DNS del sistema junto al domino al que pertenecen, también denominado FQDN. En el ejemplo, en el momento de la generación se introdujo "www.verisign.com", lo que es correcto siempre y cuando se acceda a esa URL únicamente mediante la dirección: http://www.verisign.com.

La captura, en cambio, evidencia que se accedió sin utilizar el subdominio "www", pero los servidores DNS resuelven ambas direcciones a la misma IP y por lo tanto el certificado SSL es el mismo.
[aramosf@sbd ]$ host www.verisign.com
www.verisign.com is an alias for www.verisign.net.
www.verisign.net has address 65.205.249.60
[aramosf@sbd ]$ host verisign.com
verisign.com has address 65.205.249.60
El navegador, al solicitar el certificado comprueba que el nombre introducido en la URL (verisign.com) y el CN (www.verisign.com) son distintos. Lo que genera el error: "ssl_error_bad_cert_domain" y que puede ser saltado añadiendo una excepción.

Este aviso en concreto y conociendo lo que hacemos, no es realmente grave y es muy habitual cuando se acceden a servicios mediante https eliminando las "www", ya que por usabilidad es práctica habitual que el dominio responda al mismo contenido que el web principal.

Los certificados pueden ser consultados manualmente con la aplicación "openssl":
[aramosf@sbd ~]$ openssl s_client -connect verisign.com:443
CONNECTED(00000003)
---
Certificate chain
0 s:/serialNumber=2497886/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/C=US/postalCode=94043/ST=California/L=Mountain View/streetAddress=487
East Middlefield Road/O=VeriSign, Inc./OU=Production Security Services/OU=Terms of use at www.verisign.com/rpa (c)06/CN=www.verisign.com
i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA
1 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA
i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Au
thority - G5
2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Au
thority - G5
i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
3 s:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIGCDCCBPCgAwIBAgIQakrDGzEQ5utI8PxRo5oXHzANBgkqhkiG9w0BAQUFADCB
vjELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL
[...]
También existen servicios online que nos muestra el certificado SSL de un host, como el que ofrece serversniff.net



Por último, una aplicación gráfica para entornos Windows con la que también se pueden hacer estas consultas. SSLDigger de Foundstone.




Leer más...

15 enero 2009

Esta semana se ha celebrado en Washington D.C. una convención de seguridad que reuniría a expertos en seguridad informática de todo el mundo, con el instituto SANS y el MITRE como máximos exponentes, para elaborar un TOP que constataría los 25 errores de programación más peligrosos.

En el documento, que podéis encontrar aquí, se detallan las 25 categorías de vulnerabilidades, ofreciendo tanto la descripción como un conjunto de medidas para solventarlas y educar a los programadores para que no las cometan. Cuanto antes se conozcan los problemas, menos dolores de cabeza darán luego las vulnerabilidades y como no, el tener que estar sacando parches cada poco tiempo.

Al ser un documento muy educativo y detallado, os podéis imaginar su extensión (ronda las 40 páginas). Recomendamos su lectura encarecidamente, pero aún así, os ofrecemos un resumen de los puntos "ganadores" que son tratados en el TOP, englobados en 3 categorías:

  • Categoría sobre la interacción insegura entre componentes
En esta categoría encontramos, en otras palabras, los típicos errores por una incorrecta validación de los parámetros que maneja la aplicación, y que tanto han dado que hablar, sin ir más lejos, en nuestro blog. Aquí podemos encontrar técnicas de ataque como son inyecciones SQL, Cross-Site Scripting, Cross-Site Request Forgery o la obtención de información mediante los errores que arroja la aplicación, y que en múltiples ocasiones, nos ofrecen datos sensibles y muy útiles para encontrar puntos de entrada.

Como contramedidas, es más que obvio: validar todos y cada uno de los datos de entrada, más preferiblemente basándonos en listas blancas, no confiar en validaciones en la parte cliente, utilizar procedimientos almacenados para el caso de operaciones a bases de datos, etc.

  • Categoría sobre la gestión incorrecta de los recursos
Aquí nos encontramos errores que se dan tanto en la creación y la utilización como liberación de los recursos del sistema. En ella nos encontramos las vulnerabilidades que pueden llegar a ocasionar una denegación del servicio ofrecido o una ejecución de código por desbordamiento de búfer. También se encuentra lo relacionado con ficheros importantes del sistema que en ningún caso deben ser accesibles por un usuario cualquiera (Vulnerabilidades de "Path Traversal"), así como la información que deposita la aplicación remotamente en clientes (ya sea mediante cookies u otro tipo de ficheros de registro).

En este caso, para evitar tales vulnerabilidades, se recomienda siempre gestionar de manera adecuada la memoria que utiliza la aplicación, inicializar y definir correctamente todas las variables y rebajar al mínimo los permisos necesarios por el software para que, en caso de ataque, el usuario no obtenga demasiados privilegios en el sistema afectado.

  • Categoría relacionada con técnicas de protección que suelen ser infravaloradas
Los puntos que se engloban en esta categoría son, entre otros, los controles de acceso no adecuados derivando en un proceso de autorización insuficiente en la aplicación, carencias en los algoritmos de cifrado utilizados y predicción de valores que se suponían ser aleatorios, así como por ejemplo el incluir credenciales válidas en el propio código fuente (hay veces que un click botón derecho -> Ver Código Fuente nos puede deparar tantísimas sorpresas...).

Según se informa en el anuncio, todos los puntos de este TOP se irán actualizando y completando con más información, pero no deja de ser un documento muy completo a tener en cuenta y como exigencias a un equipo de desarrollo, ya sea propio o antes de llevar a su contratación.

[+] TOP25 en SANS y en MITRE
[+] Documento en PDF aquí y aquí.
Leer más...

14 enero 2009

Paris Hilton, hospedaje, pero no de hoteles

Llevo semanas esperando a que ocurriese un acontecimiento para poder subir la imagen que acompaña esta entrada. Y ahi está, los hackers siempre a tiempo.

La web oficial de Paris Hilton ha sido alterada, introduciendo un enlace a un troyano en su contenido (concretamente Trojan-Spy.Zbot.YETH). La técnica utilizada ha sido la inclusión de una ventana emergente que informaba que era necesaria esta aplicación para visitar la página web. Asi que podemos hablar de ingenieria social aplicada a malware.

El troyano estaba alojado dentro del propio dominio y a fecha del lunes, apenas era detectado por las compañías antivirus. Una vez evidenciando que las listas negras no funcionan.

Podeís consultar más información de este bicho en ThreadExpert.
Leer más...

Intentos de e-extorsión a David Bisbal.

Lo que más me ha llamado la atención de esta noticia es que no me había enterado hasta que una persona completamente ajena al mundo de la seguridad me la comentó.

Según comunicado de prensa, que actualmente ha sido borrado de la página web (pero que puede ser consultado en la cache de google), David Bisbal ha sido objetivo de unos sofisticados extorsionadores dominicanos.

Estos, tras hacerse con las credenciales de una cuenta de correo electrónico remitieron varios mails solicitando dinero para no publicar información confidencial, que tal y como comenta el propio artista (meterle comillas si queréis), podría incluir la copia de una maqueta para su futuro disco.

Finalmente cuerpos de seguridad españoles en colaboración con los propios de la república dominicana han localizado a los presuntos delincuentes.

Tras el comunicado de prensa en la web davidbisbal.com, esta ha sido modificada por un grupo de "peligrosos hackers" (ahora si, comillas) aparentemente chileno. Actualmente la página no muestra contenido, aunque se reestablecerá pronto.

Esta es la captura de pantalla con la modificación


Leer más...

13 enero 2009

F-Secure ofrece protección contra 'SMS Curse of Silence'

F-Secure la empresa especializada en Antivirus para PCs y otro tipo de dispositivos informa que su solución 'F-Secure Mobile Security' dispone de mecanismos que permiten protegerte contra el ataque y, mas importante, recuperar un móvil atacado sin necesidad de hacer un 'Hard Reset' y por tanto, perder los datos

El antivirus no es gratuito, pero como dispone de 7 días de prueba se puede emplear para realizar la reparación.

La noticia, aquí

UPDATE: Me cuenta Lorenzo que Fortigate, tiene una herramienta totalmente gratuita que también es capaz de 'limpiar' un móvil atacado
Leer más...

12 enero 2009

Ya hemos hablado en varios posts sobre el affaire MD5, también otros blogs lo han hecho con bastante criterio.

En este caso lo hacemos para hablar de una curiosa extensión para Firefox llamada SSL Blacklist, que actúa a modo de 'analizador' de certificados digitales en busca de aquellos que, bien hayan sido generados en una Debian/Ubuntu con OpenSSL bug, o bien hagan uso de MD5 como algoritmo de hash.

Sin duda, una extensión que hará las delicias de aquellos a los que les preocupa la seguridad de sus comunicaciones.

Una vez detectado un certificado inseguro, nos mostrara una advertencia:


Otro de los puntos interesantes es que, si detectamos un certificado 'no apto', podemos reportarlo ayudando de esta forma al proyecto.

Adicionalmente, disponen de un servicio, al estilo del que comentamos del Team CYMRU, para hacer consultas de certificados empleando el hash del certificado y lanzando consultas DNS
Leer más...

09 enero 2009

Recuperando información de discos duros siniestrados

Sobre todo antiguamente, seguro que tenemos experiencias con catástrofes en discos duros. La calidad de los mismos, así como las tecnologías utilizadas no daban mucho más de sí. Se decía que los SCSI aparte de más rápidos que los IDE, eran aún más fiables.

Yo tuve de los dos tipos, y en ambos sufrí los típicos errores de sectores defectuosos que te obligaban a tirar de FSCK o de Scandisk (según el tipo de sistema de ficheros y sistema operativo utilizado en el momento) para intentar recuperar tus datos, después de escuchar unos molestos y continuos ruidos de reintento de lectura/escritura.

Parece ser que la tecnología ha ido evolucionando hacia discos duros más fiables (IBM fue el primero en sacar discos duros con tecnología airbag para sus portátiles), sistemas de almacenamiento de información sin piezas móviles (memorias flash, pendrives USB,..) que incrementan la fiabilidad. Asimismo, cada vez en mayor número de empresas, se instalan los servidores con configuraciones de discos en RAID. De esta manera, se utiliza espacio en discos auxiliares para guardar información redundante, de manera que si un disco falla (en el caso del RAID 1 o RAID 5) se pueda reconstruir la información con los discos restantes.

Sin embargo, hay veces que no hay tecnología que pueda hacer frente a ciertos desastres naturales. Basta recordar incendios como el del Windsor, inundaciones como las producidas por el huracán Katrina en Nueva Orleans, terremotos, radiación electromagnética o degaussing producida por tormentas solares geomagnéticas, descargas de electricidad estática sobre un disco duro externo (¿verdad Yago?)... para que se te ponga la piel de gallina al pensar en la cantidad ingente de información destruida e irrecuperable que haga pensar en si el último backup hecho habrá funcionado o no correctamente.

En este post me habría gustado dar soluciones fiables para poder restaurar íntegramente dicha información en casa. Cierto es que dependiendo del tipo de problema del disco, es posible "revivirlo" el tiempo suficiente como para poder volcar la información existente a otro lugar más seguro y luego deshacernos de él.

Os dejo este enlace [fotosok.com] para poder hacer una pre-reparación casera para algunos casos. Aquí se nos indica incluso que podemos tener que recurrir a meter el disco duro en una bolsa de plástico y proceder a congelarlo incluso.

Sin embargo, he de deciros que pese a no estar todo perdido en la mayoría de los casos, se hace imprescindible contar con servicios profesionales especializados. Puede darse lo que se llama un head crash que es cuando, por una caida de tensión por ejemplo, el peine con las cabezas del disco se caen directamente sobre los platos provocando pérdidas de información.

Para reparar este tipo de discos siniestrados, las empresas disponen de lo que se llaman cámaras blancas, habitaciones con garantía de estar libres de motas de polvo en un porcentaje muy elevado. Se suelen llamar de clase 100, que exige menos de 100 partículas de más de 0.5µm por pie cúbico de aire. Este requisito es imprescindible puesto que el polvo de una habitación puede depositarse entre los platos de un disco duro y dañarlo aún más.

La pega principal es que suelen ser servicios bastante caros (entre 500 y 2000 euros para discos duros y hasta 6000 euros en el caso de algunos discos en RAID 5). Obviamente, si la información que contiene el disco son los últimos avances en una energía renovable independiente del petróleo, seguramente merecerá la pena.

Siempre podéis comprar un disco duro externo como el que nos ofrece SentrySafe que se vanaglorian de poder aguantar 850 grados Celsius durante media hora o 24 horas bajo el agua (precios a partir de 250 euros).

Esperemos que no os haga falta pero por si acaso os enlazo a diferentes compañías que realizan estos servicios en España.
  • Recovery Labs: Empresa multinacional dedicada exclusivamente a la recuperación de información por catástrofes. En Madrid y Barcelona.
  • Datex: Empresa especializada con 20 años de experiencia. Presencia multinacional, pero en Barcelona únicamente para España.
  • Lineared: Situada en Madrid. Capacidades para recuperar información de un montón de tipos de diferentes tipos de discos y sistemas de ficheros.
Leer más...

08 enero 2009

Enero negro para twitter

No por ser un servicio archiconocido y usado por casi todo el mundo implica que sea invulnerable. Ya se demostró hace un tiempo en este blog, y con el par de sucesos que le han ocurrido en este Enero al servicio de micro-blogging twitter, podremos añadir un ejemplo más a la primera frase de este post.

En lo que llevamos de 2009, el servicio ha sido víctima de dos tipos de ataques conocidos ya por todos: phishing y obtención de credenciales mediante ataque por diccionario. El primero de ellos, reportado por su blog el sábado día 3 de Enero, se hacía eco de un phishing por el cual una gran cantidad de usuarios recibieron un mensaje privado (dm o direct message) en el que se les instaba a visitar una página, que contenía el login al servicio idéntico, robando así las credenciales de todo aquel que introduciese sus datos. La página se encontraba situada en http://twitter.access-logins.com/login/.


Rápidamente el servicio alerta a los usuarios de que hagan caso omiso a estos mensajes privados, y la cosa queda ahí, o eso se creía.

El lunes, 5 de Enero, nuevo post en el blog de twitter, con un título alarmante, "monday morning madness". La palabra madness y monday siempre suelen ir asociadas en nuestra vida cotidiana, pero en este caso, el tema pintaba mal: 33 cuentas del servicio habían sido comprometidas, y no cuentas cualesquiera...entre ellas se encuentran las de Britney Spears, Barack Obama, periodistas de renombre en Estados Unidos, etc. Para más inri, las causas no tenían relación alguna con el caso de phishing de dos días antes.

En este caso, el "hack" lo llevó a cabo una única persona, un joven con nick GMZ, el cual pudo acceder a las herramientas administrativas que están disponibles para los miembros del staff. Más concretamente, las de la usuaria Crystal. Digo concretamente, pero el objetivo resulto ser fruto de la casualidad. Según las declaraciones del "hacker", la elegió como víctima simplemente porque la veía "followeada" por muchísima gente, por lo que debía tratarse de una persona de gran repercusión en la red. Y tanto, al final resultó ser del propio staff...

Mediante un script propio con un simple ataque de diccionario contra su cuenta, consiguió la contraseña (si si amigos, twitter tampoco tenía limite de intentos por logins fallidos...) de crystal, que era happiness, accediendo por completo a su perfil personal, y por sus privilegios dentro de twitter, herramientas administrativas, entre las que se encuentran, la posibilidad de resetear cualquier contraseña de cualquier usuario de twitter.

Ahora viene lo más peliculero de todo. Ya después de su gran hazaña, en vez de suplantar y resetear el mismo las cuentas, simplemente abrió un post en su foro Digital Gangster (típico foro underground de temática hacking) aceptando peticiones sobre a que cuentas querían acceso el resto de usuarios. El daba la llave, los demás, la podían liar parda y campar a sus anchas en el perfil de cualquiera.

Y claro con esa libertad...pues a por cuentas de famosetes, y a poner mensajes de todo tipo, que si "estoy hasta arriba de crack y en pelotas", que si "mi programa de televisión es una basura"...etc etc.

Actualmente ya se están llevando a cabo medidas para solventar todos los fallos que han ocasionado este caos, sobretodo con la implantación de un mecanismo de autenticación algo más seguro.

En el siguiente video, aunque con malísima calidad, podréis ver un video colgado por la revista Wired y realizado por el propio GMZ demostrando la vulnerabilidad.



[+] Weak Password Brings 'Happiness' to Twitter Hacker (Wired)
Leer más...

07 enero 2009

Silenciando Nokias a mensajes

El ultimo congreso CCC ha sido bastante prolífico en cuanto a cosas interesantes, tal vez la prima donna haya sido el asunto del MD5 y las Rogue CAs.

En el transcurso del congreso se ha publicado una vulnerabilidad bastante 'curiosa' y muy dañina por el hecho de que afecta a Teléfonos Móviles, dispositivos para los que no es ni de lejos tan sencillo parchear como un ordenador. No obstante a fecha de hoy no existen parches para el bug.

El exploit es tan sencillo como enviar un SMS debidamente formateado a cualquier dispositivo que esté ejecutando Symbian S60, que no solo incluye a la mayoría de móviles Nokia, también algunos de otros fabricantes como Panasonic o Samsung (la lista completa aquí).

Una vez enviado el SMS, el móvil destino dejará de poder recibir mas SMS o MMS. Al ataque lo han llamado "Curse Of Silence" y una vez DoSeado el teléfono, las soluciones pasan por llevarlo al servicio técnico o ejecutar un 'Hard Reset'.

La forma de ejecutar esta gran p***da es enviando un SMS en formato e-mail que comience con:
123456789@123456789.1234567890123
(notese el espacio final)

Para enviar un SMS en formato Email (al menos en un N70):
  1. abriendo el editor de SMS normal
  2. yendo a "Opciones"
  3. luego "Opciones de envio"
  4. "Mens. enviado como"
  5. "Correo"
Leer más...

05 enero 2009

Averigua la magnitud del 'problema MD5' con md5out

Por todos lados se está hablando del affaire MD5 y existen muchas especulaciones sobre el uso real de MD5 a día de hoy en implementaciones PKI.

Para hacerme una pequeña idea personal sobre si MD5 es o no es un algoritmo 'ampliamente utilizado' he diseñado una pequeña herramienta que verifica en cuantos certificados digitales de las Root CAs que tiene Windows se está empleando MD5 como algoritmo de Hash.

El programa disponible aquí, se ejecuta por linea de comandos (cmd.exe) y básicamente, lo que hace es scanear el contenedor criptográfico de Windows en busca de certificados root cuyo hash sea MD5 y devuelve el nombre de la CA en cuestión.

¿Los resultados? Inquietantes ...
Leer más...

02 enero 2009

Predicciones 2009

Algo que no puede faltar a todo buen consultor con blog es su bola de cristal para año nuevo. Con ella podrá equivocarse nuevamente con las predicciones sobre las tendencias del año entrante.

Para este 2009, Robert Auger de cgisecurity.com nos presenta una recopilación con lo que podrían ser los adivinos más importantes.

Seguro que más de uno se equivoca, pero seguro que también alguno de ellos hará diana. Sobre todo los que marcan tendencia. Los steve jobs de la seguridad.

  1. Opinion: Security predictions for 2009
    http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9124621&source=rss_news
  2. 2009 Security Predictions
    http://www.sans.edu/resources/securitylab/2009_predictions.php
  3. Security predictions for 2009
    http://www.itworld.com/security/59948/security-predictions-2009
  4. 10 Security Predictions For 2009
    http://www.crn.com/security/212201985
  5. The 2009 Security Prediction Prediction List
    http://blogs.gartner.com/greg_young/2008/12/19/the-2009-security-prediction-prediction-list/
  6. 2009 security predictions: Deja vu all over again
    http://www.infoworld.com/article/08/12/31/2009_security_predictions_Deja_vu_all_over_again_1.html
  7. 2009 - my security predictions
    http://www.itpro.co.uk/blogs/danj/2008/12/10/2009-my-security-predictions/
  8. Tech: What will go wrong in 2009
    http://redtape.msnbc.com/2008/12/at-1230-am-on-d.html
  9. Four Threats For '09 That You've Probably Never Heard Of (Or Thought About)
    http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=212700328
  10. Security Predictions for 2009
    http://blogs.splunk.com/raffy/2008/12/25/security-predictions-for-2009/

Otra buena opción, tal y como comento YJ en una entrada pasada, es leer los reportes de seguridad del año 2008 y sacar nuestra propia bolita:

  1. Annual report pandaLAbs 2008 http://pandalabs.pandasecurity.com/blogs/images/PandaLabs/2008/12/31/Annual_Report_Pandalabs_2008_ENG.pdf
  2. McaAfee Virtual Criminology Report, Edition 4 http://www.avertlabs.com/research/blog/index.php/2008/12/09/mcafees-virtual-criminology-report-edition-4-released/
  3. Sophos Security Thread Report 2009: http://www.sophos.com/sophos/docs/eng/marketing_material/sophos-security-threat-report-jan-2009-na.pdf
  4. Symantec Report on the Underground Economy: http://www.symantec.com/business/theme.jsp?themeid=threatreport
  5. 2008 Global Information Security Survey http://www.ey.com/Global/assets.nsf/International/TSRS_Global_Information_Security_Survey_2008/$file/TSRS_Global_Information_Security_Survey_2008.pdf
Leer más...