31 octubre 2009

Truco o Troyano!!

Se acerca la noche de Halloween. Zombies, vampiros y esqueletos saldrán de sus tumbas para atormentar nuestra feliz existencia y darnos algún que otro susto. Pero estos no llegan solos, sino que vienen acompañados por oleadas de terrorífico Spam.

Es bien conocido por todos, que en época de festividad, plagas de malware amenazan nuestra tranquila vida en la red. Desde Sophos, Sunbelt Software, PandaLabs o Trend Micro nos alertan para que estemos atentos, activemos y actualicemos nuestros kits de anti-malware. Elijamos bien donde vamos ir a pedir caramelos, siempre a sitios confiables, pasándole siempre el escáner a cada caramelo que nos ofrezcan, no vaya a ser que caigamos en casa de algún malware-zombie o un phishing-esqueletor y quedemos infectados.

Los ataques más típicos para colarte algún ser extraño en tu máquina o robar tu información personal suelen ser:
  • Esqueleto bailarín: podrías recibir un correo que te anima a visitar una página web, en donde puedes descargar una aplicación y disfrutar de un terrorífico esqueleto bailarín junto a un malvado troyano, que permitirá a los atacantes remotos acceder y controlar tu ordenador, acceder a tu información personal y enviar spam.
  • Cupones regalo: podrías recibir un correo que te ofrece cupones regalo si te registras para obtener una tarjeta de crédito. Esta forma de estafa robará información financiera personal para un uso fraudulento a posteriori.
  • Invitación a una fiesta de Halloween: podrías recibir un correo, que te invita a una supuesta fiesta de Halloween, si proviene de un destino desconocido podría tratarse de un ataque que intentará que accedas a un link con contenido malicioso o abras un archivo adjunto. Incluso si es de un sitio de confianza, pásalo antes por tu escáner habitual.
  • Dinero extra: correos cuyos links llevan al usuario a sitios maliciosos donde puede ser infectado.
Desde Sophos nos comentan, que también asistirá a la fiesta nuestra amiga la viagra, siempre presente en estos casos de spam, que hace uso de las técnicas de posicionamiento SEO para aumentar su pagerank y posicionarse en los buscadores.

Les deseo un terrorífico Halloween con muchos sustos y poco spam, así que ya saben:
  • No confiar en los adjuntos de los correos no confiables.
  • No dar nuestra información financiera.
  • No hacer click en links no confiables.
  • No ejecutar ninguna aplicación de Halloween, sin antes haberla pasado por nuestro escáner de malware.
Leer más...

30 octubre 2009

Panda Internet Security 2010

Admitámoslo, cuando se habla de Panda, la gran mayoría de personas asocian rápidamente un montón de tópicos que justa o injustamente ganados, habría que revisar cuantos de ellos tienen vigencia actualmente.

El caso es que a raíz del Security Blogger Summit he tomado un contacto mas directo con Panda y he tenido la oportunidad de contrastar unos cuantos tópicos que había oído y leído durante años.

Para empezar, ¡¡ sorpresa !! Panda Software hace tiempo que tuvo un importante cambio accionarial y en ese cambio, toda la parte mas oscura desapareció y la compañía pasó a manos de un fondo de inversiones. Junto con este cambio, fue nombrado como CEO Juan Santana, persona con una visión estratégica bastante clara. Así que, de entrada, casi seguro que no veremos a Tom Cruise en un anuncio de Panda.

El segundo punto que se le achaca a Panda es la poca optimización de sus productos, su exagerado consumo e inestabilidad. Mi última experiencia pre Panda Internet Security 2010 fue hace demasiado tiempo, y no guardo un recuerdo nítido de la experiencia, pero si he probado bastantes antivirus y lo que supone uno que no esté optimizado, (AVG estuvo a punto de generarme tics irreversibles por la desesperación).

He probado Panda 2010, de hecho lo tengo en un PC donde paso muchas horas frente a el y tengo que decir que mis sensaciones son muy positivas, cumple todo lo que se espera de un producto de estas características y lo cumple con nota

Sobre el tema del consumo de memoria: otra leyenda que se derrumba, aquí una pequeña captura de los procesos Panda y el consumo de memoria RAM (click para agrandar):



A pesar de que el tamaño total de algunos procesos es un poco grande, lo que realmente 'mata' un PC es el uso que se le de a la memoria RAM, y en eso como se puede ver en la captura, Panda consume realmente poco, lo que hace que resulte imperceptible a la hora de usar el equipo.

Además últimamente Panda está teniendo bastantes iniciativas novedosas como su Cloud Antivirus que, posteriormente, han sido copiadas por los grandes del sector (McAfee, por ejemplo).

Tampoco me quiero dejar que, hace un tiempo, publicabamos el estudio independiente de AV-Test.org donde Panda sacaba un muy meritorio tercer puesto

Conclusión: Igual que Microsoft sufrió la ira y la crítica mordaz por su Windows 95-98 debido a los mil y un fallos e inestabilidades, y luego sorprendió a todos con Windows 2000 y XP que no tenían nada que ver, Panda también ha sabido re-inventarse y proponer un producto interesante y de gran calidad que deja en el pasado un montón de mitos y leyendas.
Leer más...

29 octubre 2009

Once vulnerabilidades para Mozilla Firefox este Octubre


El día de ayer nos dejó nada menos que 11 vulnerabilidades en Mozilla Firefox. Lo peor de todo, que 6 de ellas han sido catalogadas como de carácter crítico, motivo por el cuál seguramente ya contéis con el chivato en la aplicación de actualizaciones diciendo que tenéis la versión 3.5.4 disponible para ser instalada. Digamos que ayer la Fundación Mozilla vivió su particular patch wednesday...

No lo dejéis para más tarde en caso de que sigáis con una versión anterior: se debe actualizar este navegador a su última versión disponible ya.

¿Y por qué tanta gravedad? Las vulnerabilidades críticas reportadas van desde desbordamientos de búfer en heap (MFSA 2009-56 y MFSA 2009-59), escalado de privilegios (MFSA 2009-57), problemas en la liberación de recursos al realizar llamadas recursivas de web-workers (MFSA 2009-54), así como fallos en librerias relacionadas con elementos multimedia (MFSA 2009-63), etc.

Pero de todo este abanico de vulnerabilidades, las que más me llaman la atención son la 2009-52, 2009-61 y 2009-62:


  • MFSA 2009-52 - Posibilidad de robar el historial de formularios mediante eventos relacionados con el ratón y el teclado. Una pena que de momento no sepamos más información o una demostración, más que la reflejada en el aviso de seguridad.
  • MFSA 2009-61 - Mediante la llamada document.getSelection() ha sido posible obtener un texto seleccionado desde otro dominio. 
  • MFSA 2009-62 - Falseado de un nombre de fichero descargado al no tratar correctamente carácteres RTL. Gracias a esta vulnerabilidad, un usuario podría esconder el nombre y extensión verdaderas de un fichero que pusiese en un sitio web para descargar, al no mostrar correctamente los nombres en los cuadros de diálogo de descarga. En este enlace de Bugzilla se puede ver el primer reporte de esta vulnerabilidad, así como más detalles.


Aunque las anteriores tres vulnerabilidades no se hayan clasificado como críticas por varios motivos (sobretodo por la necesidad de la interacción por parte de la víctima), a mi personalmente me parece que son las que más juego podrían dar.




Recordad que también podéis descargaros la aplicación FFHardener para bastionar vuestros Firefox desde la página de proyectos de sBD, así como seguir los consejos de nuestro post anterior Profiláctico para navegadores.

Con todo esto, el zorro favorito de muchos dormirá tranquilo...

Leer más...
Ayer se celebraron 11 años desde que el 28 de octubre naciera la lista de correo "una-al-día", uno de los principales medios de comunicación por el que diariamente recibimos una noticia de seguridad en nuestro correo.

Hoy en día para muchos de nosotros forma parte de nuestras vidas y parece que fue un servicio que siempre estuvo ahí. Es increíble el esfuerzo que se realiza en Hispasec para mantener la calidad y continuidad de sus noticias, que poco a poco han penetrado en todos los rincones. Es seguramente una de las listas de correo de seguridad de habla hispana con mayor difusión. Algo sobradamente merecido.

Para celebrar este cumpleaños, Hispasec ha decidido regalar la segunda edición de su libro en formato PDF, más de 300 páginas con "historias de abuelo", que a más de uno le hará caer una lagrimilla nostálgica.

El libro es mucho más que una recopilación de las mejores noticias de cada año, de las que se pueden leer entre cinco y siete por sus 11 capítulos (uno por año) . Incluye entrevistas exclusivas y "puestas en escena" del momento al que pertenecen.

Su lectura es casi obligatoria para todo aquel que quiera conocer de dónde venimos y como hemos evolucionado a lo largo de todo este tiempo.

Personalmente tengo ganas de encontrarme otro lector de este magnífico libro y comentar con el alguna de las historias que refleja.

¡Gracias Hispasec!

Leer más...

28 octubre 2009

No pongas al zorro a vigilar las gallinas

Otro bonito ejemplo de hasta donde puede llegar la candidez humana bajo un exceso de confianza.

Situémonos: UK, condado de Nottinghamshire, prisión de Ranby. Ahí esta cumpliendo condena por fraude en Internet Douglas Havard que fue encontrado culpable de una importante trama de fraude mediante phishing que ascendió a 6.5 millones de Libras, los detalles de las fechorias del angelito aquí

El caso es que dentro -supongo- de las iniciativas de re-inserción que tiene el siempre pedagógico sistema penitenciario de Inglaterra, la prisión de Ranby deseaba implementar una especie de televisión-interna como incentivo para que los reclusos estuvieran ocupados creando y produciendo contenido.

Muy al estilo 'Spanish' alguien del staff de la prisión debió preguntar ¿quien es el que mas sabe de estas cosas? y claro, teniendo entre rejas a un 'genio' de la informática le pidieron que lo implementara el. El problema es que todo ese sistema se quería implementar usando la red interna de la prisión ¿Y que hizo el angelito en cuanto tuvo acceso a la red? Se puso a cambiar las contraseñas de todos los equipos, dando como resultado un bloqueo total en la red de la prisión del que tuvieron que salir contratando expertos.

Moraleja, igual que cualquier persona con sentido común no hubiera puesto al ínclito Luis Roldan como gestor del patrimonio penitenciario en sus días de reclusión, el mismo razonamiento aplica a todas las áreas.

Solo espero quiero y deseo que la gente de Ranby no hayan puesto como 'director de contenidos' a un convicto por pedofilia

Leído en The Register
Leer más...

27 octubre 2009

Análisis de los resultados de la encuesta Threat Assessment de Novell


Se ha publicado la última encuesta a empresas sobre Threat Assessment de Novell. La verdad es que los resultados pueden ser peores,... pero poco más.

Fundamentalmente, los mayores riesgos se han identificado en el sector de la protección de la información en dispositivos fijos y móviles (siendo estos los que mayor exposición tienen).


  • El 71% de las empresas no cifra los datos en los portátiles. En SbD hemos hablado largo y tendido de lo importante que es tener este tipo de medidas con los dispositivos móviles.
  • El 73% no cifra unidades extraibles: discos USB y pendrives. Siempre me ha impresionado cuando he estado en algún cliente que he necesitado un pendrive para transferir en mano algún fichero. Aunque no quieras mirar lo que hay dentro, al insertarlo en un PC con windows, la configuración por defecto es que se muestre el contenido del "directorio raíz". Una persona no honrada, podría copiarse montones de ficheros (posiblemente con alto porcentaje de documentos clasificados como confidenciales). Con lo sencillo que es llevar un contenedor cifrado y Truecrypt por ejemplo en el mismo dispositivo (sin cifrar) para poderlo montar en cualquier ordenador mediante acceso con contraseña.
  • Un 72% no controlan las copias de datos a dispositivos extraibles y un 78% no hacen accounting de qué se copia a los pendrives. ¿Problemas de DLP?
  • El 90 % de las empresas encuestadas reconocen que sus empleados acceden a redes wireless inseguras, de forma consciente, cuando están en hoteles, aeropuertos, bares o donde encuentran una red wireless. Aquí podemos ver dos problemas bastante importantes: Por un lado, el exponer de forma directa un PC a una red no conocida, no siempre correctamente bastionados, no siempre correctamente protegidos por cortafuegos de host, etc... (un 76% de la empresas no pueden asegurar la salud de los dispositivos móviles fuera de la empresa). El otro problema es el protocolo utilizado para intercambiar tráfico sensible a través de un canal inseguro. Por ejemplo, servidores de correo configurados para permitir recoger el correo por POP3 y envío por SMTP (sin VPNs como medida de protección). Sé positivamente de gente que provee hotspots para que la gente acceda de forma gratuita, pero tiene herramientas de sniffing para recoger contraseñas varias y sobre todo trastear con lo que la gente hace a través de su red sin cifrar. A día de hoy, con la competencia que hay entre operadores, el disponer de un dispositivo USB 3G (o a través de un enlace con el teléfono móvil) es una propuesta muy barata que proporciona un nivel de seguridad mayor que usar de forma gratuita la inocente red de un vecino....
  • Entre un 65% y un 73% de las compañías no disponen de tecnologías NAC que puedan permitir detectar y/o prevenir el acceso a la red de dispositivos que no cumplan con una política de protección del puesto del usuario definidas por la organización: Antivirus, niveles de parches, IDS/IPS de host, etc,....
Leer más...

26 octubre 2009

Drupal en la Casa Blanca

Es noticia [1][2], que la Casa Blanca ha decidido migrar su gestor de contenido a la plataforma Open Source Drupal para su web principal whitehouse.gov

Las críticas por esta decisión no se han hecho esperar, RSnake dedica una entrada en su blog comentando porque considera errónea esta decisión. Que resumo en estos puntos:

- Más de 12 páginas de vulnerabilidades en la web de OSVDB.

-Un tercero puede auditar el gestor de contenidos montándose una réplica en un laboratorio sin ser detectado

-Tiene que ser altamente fortificado y despersonalizado para evitar ser vulnerable. Tanto que acabaría siendo un gestor de contenido propio.

Será esta gripe que estoy pasando, pero yo en todos esos motivos solo veo razones para instalar Drupal o cualquier otro gestor de contenido similar:

- El gestor ha sido analizado y auditado en caja blanca por hackers que han reportado vulnerabilidades y mejorado su código haciéndolo más seguro.

- Tanto con malos como con buenos propósitos se puede auditar el sistema sin necesidad de que se haga en la página de producción de la Casa Blanca y sin necesidad de firmar largos contratos de acuerdos de confidencialidad (NDA) para facilitar el código fuente.

- El CMS dispone de los mecanismos necesarios que permiten hacerlo altamente configurable y fortificable para mitigar posibles ataques de intrusos (KGB como poco).

Y eso sin entrar a valorar que el sitio en cuestión no deja de ser una página informativa que muy posiblemente esté en una DMZ compartiendo switch con otros servicios de la misma importancia, como puede una máquina de hacer palomitas (aunque molan más las de microondas) u otra de algodón dulce.

Además, si el servicio web corre en un sistema enjaulado, con un usuario sin privilegios y con otras medidas de seguridad como un cortafuegos de capa 7... ¿Dónde está el problema?

Leer más...

24 octubre 2009

LiveCDs de Seguridad Informática

Recuerdas que hoy son las charlas del Asegúr@IT Camp, lástima si no has podido asistir. Decides twittear un rato, actualizas tu estado en Facebook, entras en el chat, después soltar unas cuantas frases sin sentido decides encender la 360.

Pasadas unas horas, está que arde y habría que darle un respiro para no volver a ver ese anillo rojo, y no me refiero al que nos unirá a todos, sino al que hace que tengas que llamar a Seur para que se la lleven a reparar. Decides buscar algo interesante por la red.

Os propongo una lista de LiveCDs de Seguridad.
Leer más...

23 octubre 2009

FAIL: Se te ve la IP

Imagen curiosa dónde las haya, no me digáis que no. Quizás no sea tan impactante como el FAIL que vimos la que vimos hace unas semanas, pero me chocó.

No había necesidad de censurar nada de lo que aparece, ya que para sacar esta dirección IP interna que se muestra no ha hecho falta ni nmaps, ni hpings, ni traceroutes, ni fingerprintings varios. Lo único que se necesita es mirar los monitores, esos que salen muchas horas y ciudades y códigos, y andenes, y retrasos, etc.




¿Qué utilidad tendrá el poner esta pegatina con esta información? No es lo mismo que una contraseña, pero juego puede dar...

Se mira, pero no se toca...¡pasajeros al tren!
Leer más...

22 octubre 2009

Mi jefe no llega a las 8:30

El horario, típico problema de oficina, que normalmente suele ser argumento fácil para criticar a alguien y mas en estos tiempos de nerviosismo y malas caras por culpa de la crisis.

El caso es que mucha gente sigue tratando de aplicar parámetros propios de cadenas de montaje a entornos donde se debería primar los objetivos y el trabajo orientado a resultados, aunque implique picos hacia arriba o hacia abajo.

En cualquier caso, una de las figuras típicas de la oficina es el clásico 'pues yo estoy aquí desde las 8:30 de la mañana' (la hora puede variar, llegando incluso a las 7). Al hilo de todo esto, y como ejercicio mayormente inofensivo se me ocurrió que sería un divertido experimento sociológico hacerme una idea del ritmo de vida que lleva la gente que me rodea, horas de entrada, tiempo de comida, hora de salida ... Y dándole una pensada di con un método fácil de implementar.

La mayoría de móviles relativamente nuevos tienen capacidades de bluetooth y gracias al auge de los manos libres, conexiones 3G y cosas por el estilo, es increíble la enorme cantidad de gente que lleva su bluetooth activado y visible a todo el mundo. Así que después de juguetear un poco con el API bluetooth de Python el resultado ha sido Girlfriend.

Girlfriend permite hacer dos cosas:

Por un lado actúa a modo de 'sonar' barriendo a intervalos cortos la zona de alcance del dispositivo bluetooth y 'logeando' los dispositivos bluetooth que ve y deja de ver (in / out).

La segunda funcionalidad es la que da el nombre al programa, Girlfriend permite asociar la dirección física de un dispositivo bluetooth y, en el momento que ese dispositivo deja de ser visible, bloquea el equipo, permitiendo que el PC quede debidamente bloqueado si salimos a la carrera y no lo hemos bloqueado. (Lorenzo nos dio una clase magistral sobre des-autenticación)

El programa se puede descargar desde aquí y aprovecho para presentar el portal devel de SbD que hemos creado en Code Google donde tenemos la intención de centralizar todas las herramientas desarrolladas y tratar de que aquel que quiera involucrarse, lo pueda hacer de una forma mas cómoda.

Configuración y uso de Girlfriend

Punto uno, hay que identificar la dirección física de nuestro móvil para que actúe a modo de 'master'. Para ello podemos usar la herramienta (incluida en el .rar) inquiry.exe.

Abrimos un cmd.exe y ejecutamos:

D:\Girlfriend>inquiry.exe
performing inquiry...
found 5 devices
00:03:7A:AA:D4:0C - NALVA
00:1C:9A:F8:6C:69 - Risc
00:1C:CC:05:D8:FB - BlackBerry 8310
00:1C:D6:88:B9:07 - Richy
00:1D:FD:74:6A:1C - N82 DAVID

De ellas, una vez localizamos nuestro dispositivo, nos quedamos con la parte de la izquierda, por ejemplo, si mi móvil fuera Risc, el dato que necesito es 00:1C:9A:F8:6C:69

Esa dirección la apuntamos en un fichero con el nombre config.txt que deberá estar en el mismo directorio que Girlfriend.exe

Nota: Es importante que config.txt solo contenga la dirección física del dispositivo, ningun otro caracter (nada de \n o espacios al final)

D:\Girlfriend>type config.txt
00:1C:9A:F8:6C:69

Una vez hecho eso, pasamos a ejecutar Girlfriend.exe (desde un cmd.exe) y podemos probar a apagar el bluetooth de nuestro móvil para comprobar que el equipo queda bloqueado al no encontrarse visible.

Los logs de la actividad que se ha ido detectando se guarda en el fichero bluelog.txt en un formato pseudo-syslog como este:

Wed Oct 21 18:16:52 2009 Nueva Device encontrada 00:1C:CC:05:D8:FB BlackBerry 83
10
Wed Oct 21 18:17:03 2009 Device 00:03:7A:B1:5A:ED fuera de alcance
Wed Oct 21 18:17:12 2009 Nueva Device encontrada 00:03:7A:B1:5A:ED
Wed Oct 21 18:17:14 2009 Nueva Device encontrada 00:1C:CC:9C:D3:12 Magda
Wed Oct 21 18:17:23 2009 Device 00:03:7A:B1:5A:ED fuera de alcance

Yo, ya se quien madruga y quién no, ¿y tu?
Leer más...

21 octubre 2009

Metasploit es comprada por Rapid7

A HD Moore, creador del archiconocido framework de seguridad libre Metasploit, le ha venido Dios a ver gracias a que la compañía americana de seguridad Rapid7 ha decidido financiar el proyecto. Así, Rapid7 une a su lista de productos destinados a la protección de sistemas, bases de datos y aplicaciones web, una de nuestras herramientas favoritas.

HD Moore se incorpora al equipo de Rapid7 para trabajar como CSO (Chief Security Officer) a full-time en la plataforma Metasploit. Según indican en su propio sitio web, la herramienta seguirá siendo open source. Libre sigue siendo el curso online que os anunciamos tiempo atrás en SbD.

Rapid7, como compañía de protección de infraestructuras electrónicas que es, aportará varios checks de seguridad al code base de exploits existentes de Metasploit. Asimismo, la idea es que Rapid7 dé soporte comercial para los usuarios de la herramienta, integrándola en NeXpose, el sistema gestor de vulnerabilidades que ya comercializaba la compañía compradora.

La noticia original, publicada en la web de Rapid7 la podéis ver aquí.

Me alegra ver que algunos creadores de herramientas de seguridad como Metasploit, sean financiados por inversores que permitan desarrollar en sus soluciones dedicados al 100% dándole un rumbo con más posibilidades, tanto de funcionalidad, márketing y expansión.
Leer más...

Lanzado Nikto 2.1.0


Nikto es una herramienta open-source escrita en perl cuya función es la de analizar servidores web basándose en una gran base de datos de plugins. No pretende ser competencia a productos comerciales de la talla de HP Webinspect, IBM Rational AppScan o Acunetix, si no que gracias a ella obtendremos un buen punto de partida para comenzar nuestras auditorias a sitios web.

Es "ruidosa", no posee una gran interfaz gráfica (aunque se que os encanta la consola...) y no contiene herramientas aparte para realizar otras tareas, pero es tremendamente efectiva y los resultados nos darán "pistas" de por dónde empezar el correspondiente análisis.


El 18 de Octubre, David Lodge anunció la liberación de la versión 2.1.0, con un buen conjunto de novedades, sobretodo en su programación y optimización. A continuación os dejo un resumen de su Changelog traducido al castellano:
  • Reescrito el motor de plugins y de reporting.
  • Gran revisión de la documentación para comentar los métodos incluidos y las variables
  • Añadido soporte de caché para reducir el número de llamadas realizadas a los servidores web, junto con la posibilidad de desactivar la función de control sobre los mensajes HTTP 404
  • Añadidas técnicas básicas para poder reconocer si el sistema analizado se trata de un dispositivo empotrado, dando detalles del tipo.
  • Plugin de utilización de los diccionarios de palabras de OWASP para realizar fuerza bruta de directorios contra el servidor web.
  • Plugin para realizar fuerza bruta sobre dominios
  • Posibilidad de obtención de usuarios utilizando un diccionario de palabras así como fuerza bruta
  • Soporte de autenticación NTLM
  • Arreglados varios fallos y comprobaciones de seguridad.

Está claro que la apuesta principal de esta versión es la posibilidad de realizar ataques de fuerza bruta en busca de posibles recursos no indexados, como por ejemplo directorios, además de usuarios válidos.




Sin duda, una herramienta básica que debería estar en tu directorio de /tools/ si te gusta buscarle las cosquillas a los servidores web...siempre con moderación y con el debido consentimiento.

[+] Página oficial de Nikto | Descarga la versión 2.1.0 [.tar.gz|.bz2]
[+] Manual de uso de Nikto 2.1.0
Leer más...
Tal vez después de Twitter, Facebook sea uno de los temas mas recurrentes en cuanto a incidentes de seguridad, ya hace tiempo alertamos sobre lo fácil que es introducir phishing en Facebook sin que nadie haga nada, los problemas de privacidad han sido otra enorme lacra muy controvertida con respecto a las aplicaciones FB.

En este caso, el problema ha surgido cuando algunas aplicaciones de Facebook han sido hackeadas y han insertado exploits que emplean aparentemente el último bug de Acrobat Reader.

Evidentemente los 'pobres' creadores de las aplicaciones no tienen culpa alguna, son meros afectados en todo este incidente, pero si resulta muy interesante como, poco a poco, facebook se va convirtiendo en un ecosistema con vida y reglas propias.

Como las aplicaciones en facebook se ejecutan dentro del contexto FB, soluciones tipo NoScript no sirven, porque normalmente para acceder a toda la funcionalidad de FB, tiene que estar deshabilitado.

Cada vez mas, la única solución razonable es emplear profilácticos.

La lista de aplicaciones hackeadas y 'malwarizadas' en FB:

* CityFireDepartment
* MyGirlySpace
* Ferrarifone
* Mashpro
* Mynameis
* Pass-it-on
* Fillinthe
* Aquariumlife

Mas información en el blog de AVG
Leer más...

20 octubre 2009

Inversiones en Seguridad para el 2010

Cuando una compañía invierte en seguridad, busca soluciones que reduzcan los costes y aumenten el retorno de la inversión (ROI).

En tiempo de crisis, las inversiones en seguridad se verán afectadas. Sin embargo podemos leer en Net-Security, que otras áreas verán un crecimiento para el 2010.
  1. XTM: los usuarios migrarán de UTM a XTM que proporciona mayor funcionalidad y flexibilidad (como ya expusimos anteriormente). Los costes representan el 25% de una solución equivalente y tener un sólo dispositivo hace mas fácil la presentación de informes.

  2. Autenticación fuerte de dos factores (2FA). Debido a una mayor concienciación sobre el robo de identidades y el deseo de reducir los costes que requiere la autenticación simple (uso frecuente del helpdesk), se impulsa una creciente demanda por el 2FA, algo que tienes (token) + algo que sabes (PIN). 2FA mejora la seguridad y reduce la dependencia del helpdesk.

  3. Cifrado. Muchas empresas están reduciendo costes y haciendo uso del teletrabajo. El uso del cifrado aumentará ya que proporciona una forma de proteger los datos estén donde estén y a bajo coste (independiente de la plataforma).

  4. Hosting de paquetes de seguridad. Muchas empresas no pueden permitir costearse determinadas soluciones de seguridad, porque no tienen acceso a créditos o no tienen una suma determinada de dinero para hacer una inversión en un momento puntual. Tener sus servicios de seguridad (anti-virus, back-up online, seguridad web, UTM, anti-spam y 2FA) albergados en empresas de hosting puede ayudarles a aligerar sus cuentas.

  5. Filtrado de contenidos de Internet. Ha aumentado considerablemente el contagio del malware desde el navegador, incluso en sitios seguros. Esto supondrá un mayor uso de soluciones de seguridad como UTM, que puede detectar el malware antes de que entre en la red, y de soluciones de filtrado con web proxy, que puede restringir al personal el acceso a sitios web.

  6. Seguridad para usuarios finales. La reducción de costes está impulsando el teletrabajo y los contrato por obra. Esto plantea importantes riesgos de fuga de datos y malware introducido en la red. Los puestos de teletrabajo tiene menos protección que los puestos que están dentro del perímetro de la red. Proteger la seguridad los dispositivos remotos con firewall, antivirus, cifrado y protección web, será cada vez más importante durante el próximo año.

  7. Antivirus ligeros. Muchos anti-virus y soluciones de usuario final generan una gran carga sobre los recursos del ordenador, con actualizaciones y escaneos intensos. Las empresas buscan antivirus eficaces con baja comprobación de firmas que cuiden el rendimiento del ordenador.

  8. Seguridad en VoIP. El aumento del uso de VoIP significará el crecimiento de las soluciones de seguridad de VoIP. Las empresas son conscientes de ello, ya que perder el acceso a un ordenador es un problema grave, pero perder los datos y el acceso telefónico podría ser catastrófico.

  9. Cumplimiento. Los requisitos de cumplimiento para la seguridad de TI han crecido rápidamente y están teniendo su impacto en las empresas. Desear cumplir con reglamentos tales como los requerimientos de PCI, puede proporcionar un excelente marco para la seguridad general de sus sistemas y redes.

  10. Convergencia de voz y datos. La convergencia de los sistemas de telefonía fija y móvil, junto con voz y datos, proporciona grandes oportunidades para reducir costes y mejorar la eficiencia. Los usuarios buscarán soluciones de seguridad que aseguren su funcionamiento en este entorno integrado. Hace tiempo ya hablamos de esta tendencia igualmente.
Leer más...

19 octubre 2009

Security By Default en el Asegur@IT Camp


Ya os avisamos hace un par de semanas, y la fecha se acerca. Este fin de semana se celebra el Asegúr@IT Camp de Informática64, un evento maligno en el que SecurityByDefault estará presente, con una charla de 17:00 a 18:00 en la que Alejandro repasará algunos de los hackeos memorables que os hemos ido comentando por aquí, y como no, cubriendo el evento, twitteando, twitpic-eando y lo que haga falta (más bien, lo que tecnológicamente podamos desde la Sierra de Madrid...).

Las charlas recorren temas de forense, sistemas operativos, DNS, metadatos, bluetooth, momentos remember, y diversión, destacando a Niko de Nikodemo Animation, creador del Cálico Electrónico, que seguro que nos hace pasar un rato genial.



Si echáis un ojo a la agenda, os daréis cuenta que se nos presenta un conjunto de charlas muy interesantes al igual que sus ponentes, y si a eso le juntamos el lugar en el que se celebra, así como el jolgorío del viernes noche, sábado noche y desayuno del domingo...¿qué más se puede pedir? No os preocupéis por buscar hoteles o en que banco dormir, ya que la entrada incluye el alojamiento en  cabañas junto con otros tres iguales que tú, con tus mismos intereses, inquietudes y ganas de pasarlo bien.

Quedan pocas plazas (Chema en su post del domingo dijo que apenas 10 entradas...) ¡así que no esperéis más y a registrarse!
Leer más...

18 octubre 2009

Hackeos memorables: sistema biometrico con gominolas

Tsutomu Matsumoto es un investigador japonés especialista en criptografía y sistemas biométricos. Entre sus trabajos más destacados se encuentra uno de los hackeos memorables más dulces de todos los tiempos que hoy recordaremos.

En el año 2002 publicaba el artículo: "Impact of artificial "gummy" fingers on fingerprint systems" (cryptome) en el que Matsumoto describía varios métodos para saltarse sistemas de autenticación biométrica basados en huellas dactilares.

El primero de los métodos es el mismo que tantas veces se ve en películas de espias donde meten la llave que quieren duplicar en una pequeña caja y esta hace de molde. Solo que en esta ocasión la llave es un dedo y el molde está hecho con 35 gramos de FreePlastic.

El problema de este sistema es que necesita el dedo original y obtenerlo temporalmente es algo más complicado que en el caso de una llave.

Sobre el molde, la gelatina de los ositos de gominola (de los de toda la vida, nada de usar los que llevan azúcar pegada).

Otra opción que se describe en el informe, es la obtención de la huella original de otro objeto como un vaso o botella. Mediante el uso de cinta adhesiva con cianocrilato se obtiene la impresión que es fotografiada con una cámara digital (por ejemplo Nikon último modelo) y con un editor de imágenes (Phoshotop de toda la vida) afinar detalles aumentando el contraste, imprimir sobre una diapositiva y utilizar esta para grabar la huella en el cobre de una tarjeta de circuito impreso foto-sensible (PCB) que será el molde final para la gelatina de gominola.

Con estos sistemas se consiguió engañar con una tasa de acierto de un 80% a los distintos dispositivos biométricos, aunque cabe señalar que ninguno de ellos estaba diseñado para controlar accesos de entornos críticos.

Me pregunto que sería capaz de hacer Matsumoto con una bolsa de M&M's (los que son como Lacasitos)

Referencias:
Presentación de Matsumoto
CryptoMe

Leer más...

17 octubre 2009

¿Llegan bien nuestros correos al destino?

Debido a las, cada vez más, innovadoras técnicas para determinar si un correo es fraudulento o no, los sistemas antispam generan cada vez más falsos negativos y positivos (correos que quedan en la carpeta de spam siendo lícitos y correos basura que llegan a destino).

Aquellos que disponemos de un servidor de correo con gestión propia del dominio, en muchas ocasiones pensamos si los correos (completamente lícitos) que salen desde nuestro servidor llegan correctamente a destino, o por algún motivo meramente "de servidor" (y no por el contenido del mensaje en sí) son catalogados como basura o directamente rechazados por el servidor final.

He tenido la experiencia al enviar desde mi servidor de correo, mensajes a cuentas de Hotmail, con que los destinatarios han de moverlos manualmente de la carpeta "correo no deseado" a Inbox.

En ocasiones la dirección IP en la que está el servidor, ha sido banneada (generalmente una subred completa de un ISP) por los servicios de listas negras como Spamhaus y te toca solicitar que al menos tu IP la pongan en una lista blanca, siguiendo un procedimiento para demostrarlo, claro está.

En general, cada servidor accede a un servicio de listas negras de direcciones IP. Al haber tantos diferentes, podemos consultar el estado de nuestra(s) IPs de envío de correo para ver si estamos en alguna en Whatsmyipaddress.com

Hotmail por ejemplo, verifica si el servidor de correo que envía, tiene un registro DNS llamado SPF (o TXT), una cadena del tipo "v=spf1 mx ptr ~all" que hay que configurar en el servidor DNS del gestor de dominios.

No obstante, muchas veces no sabes por qué motivo te clasifican como Spam. Para darnos una orientación de qué puede estar pasando, existe un servicio gratuito por parte de Port25, mediante el cual hay que mandar desde una cuenta del dominio, un correo a check-auth@verifier.port25.com.

En respuesta nos llega un correo con un informe detallado de la situación de nuestro dominio/sistema/servidor que nos permita intentar mejorar la calidad de los envíos.

Un ejemplo de este tipo de informes:

==========================================================
Summary of Results
==========================================================
SPF check: pass
DomainKeys check: neutral
DKIM check: neutral
Sender-ID check: pass
SpamAssassin check: ham

==========================================================
Details:
==========================================================

HELO hostname: XXXXXXXXX
Source IP: 213.XXX.YYY.ZZZ
mail-from: XX@YYYYYYYYY.es

----------------------------------------------------------
SPF check details:
----------------------------------------------------------
Result: pass
ID(s) verified: smtp.mail=XX@YYYYYYYY.es
DNS record(s):
YYYYYYYYY.es. 4500 IN TXT "v=spf1 mx ptr ~all"
YYYYYYYYY.es. 4500 IN MX 10 YYYYYYYYY.es.
YYYYYYYYY.es. 4500 IN A 213.XXX.YYY.ZZZ

----------------------------------------------------------
DomainKeys check details:
----------------------------------------------------------
Result: neutral (message not signed)
ID(s) verified: header.From= XX@YYYYYYYYY.es
DNS record(s):

----------------------------------------------------------
DKIM check details:
----------------------------------------------------------
Result: neutral (message not signed)
ID(s) verified:

NOTE: DKIM checking has been performed based on the latest DKIM specs
(RFC 4871 or draft-ietf-dkim-base-10) and verification may fail for
older versions. If you are using Port25's PowerMTA, you need to use
version 3.2r11 or later to get a compatible version of DKIM.

----------------------------------------------------------
Sender-ID check details:
----------------------------------------------------------
Result: pass
ID(s) verified: header.From= XX@YYYYYYYYY.es
DNS record(s):
YYYYYYYYY.es. 4500 IN TXT "v=spf1 mx ptr ~all"
YYYYYYYYY.es. 4500 IN MX 10 YYYYYYYYY.es.
YYYYYYYYY.es. 4500 IN A 213.XXX.YYY.ZZZ

----------------------------------------------------------
SpamAssassin check details:
----------------------------------------------------------
SpamAssassin v3.2.5 (2008-06-10)

Result: ham (2.7 points, 5.0 required)

pts rule name description
---- ---------------------- --------------------------------------------------
-0.0 SPF_HELO_PASS SPF: HELO matches SPF record
-0.0 SPF_PASS SPF: sender matches SPF record
0.0 BAYES_50 BODY: Bayesian spam probability is 40 to 60%
[score: 0.4477]
2.7 AWL AWL: From: address is in the auto white-list

==========================================================
Explanation of the possible results (adapted from
draft-kucherawy-sender-auth-header-04.txt):
==========================================================

"pass"
the message passed the authentication test.

"fail"
the message failed the authentication test.

"softfail"
the message failed the authentication test, and the authentication
method has either an explicit or implicit policy which doesn't require
successful authentication of all messages from that domain.

"neutral"
the authentication method completed without errors, but was unable
to reach either a positive or a negative result about the message.

"temperror"
a temporary (recoverable) error occurred attempting to authenticate
the sender; either the process couldn't be completed locally, or
there was a temporary failure retrieving data required for the
authentication. A later retry may produce a more final result.

"permerror"
a permanent (unrecoverable) error occurred attempting to
authenticate the sender; either the process couldn't be completed
locally, or there was a permanent failure retrieving data required
for the authentication.


Leer más...

16 octubre 2009

Sistemas con varias direcciones IP

Existen varios métodos para tratar de averiguar si un conjunto de IPs o un par de IPs pertenecen a un único host (alias).

Esta tarea es de gran ayuda si se desea hacer un test de intrusión y se sospecha que el sistema mantiene otros servicios y aplicaciones distintos a los principales y más obvios.
  • IPID consecutivos: en hosts que no tienen mucho tráfico y el ID de IP es predecible, se puede conocer si una misma IP está asociada a otra porque la diferencia entre ambos números ID es muy baja o consecutiva.
  • Mismo fingerprint de SO: todos aquellos equipos con el mismo sistema operativo y versión se pueden suponer el mismo, aunque puede dar muchos falsos positivos, es otra vía para obtener esta información, que junto a otros métodos puede ser útil.
  • Mismo TCP Timestamp: si dos IPs distintas mantienen un número similar de timestamp (del que se puede obtener el tiempo uptime del sistema) existe una probabilidad muy alta de que pertenezcan al mismo host.
  • Mismas versiones de servicios: Otra pista que ayuda es si las versiones de todos los servicios coinciden en producto y número en cada una de las direcciones IP , siempre sin olvidar que se puede bindear, distintos productos en cada alias.

Para hacer estas tareas se puede utilizar, por ejemplo, nmap y hping y comparar los resultados. Para automatizar la tarea he desarrollado un script en bash que lo hace basándose en estas dos utilidades.

La sintaxis del script es la siguiente:

[root@sbd tools]# ./sameips.sh
syntax: sameips.sh <ip> <network> <-i/-o/-t>
-i: use IPID
-t: use TCP timestamp (portscan+syn with tstamp flag)
-o: use nmap fingerprint

Donde "<ip>" es la dirección IP que se prueba y "<network>" las direcciones, en formato Nmap, que se analizan para saber si son alias de la primera.

El primero de los métodos (opción -i) ejecuta un hping y se comprueba si el IPID es random o fácilmente predecible, si lo es, lanzará un hping a cada uno de las IPs que se especifiquen en "network" para detectar similitudes. Este es el método más rápido y que menos falsos positivos genera.

La segunda opción (-t), realiza un portscan simple con nmap para detectar un puerto abierto, con esta información realiza un hping para comprobar si los paquetes tcp contienen timestamp, y de esta forma, nuevamente con hping barrer la red en busca de IPs con coincidencia con este tiempo. El método es lento ya que ha de hacer un portscan, pero genera bajos falsos positivos.


La última de las opciones (-o), ejecuta un "nmap -O" con el que trata de detectar el sistema operativo, con esta información se realiza la comprobación con el resto de IPs de la red. Es un sistema lento y genera bastantes falsos positivos.

Estos tres métodos se pueden usar en combinación para poder contrastar resultados.

El siguiente ejemplo muestra una ejecución en la que se tratan de encontrar otras IPs asignadas dentro del rango "208.110.68.100-110" y que estén asociadas a "208.110.68.106".

[root@sbd tools]# ./sameips.sh 208.110.68.106 208.110.68.100-110 -t -i -o
+ Looking for alive IP address in 208.110.68.100-110
- FOUND: 11 IP
+ Fingerprinting OS in alive IP address
- Systems with same OS in 208.110.68.100-110: (NO OS)
--+ 208.110.68.100 YES!
--+ 208.110.68.101 YES!
--+ 208.110.68.102 YES!
--+ 208.110.68.105 YES!
--+ 208.110.68.107 YES!
--+ 208.110.68.108 YES!
--+ 208.110.68.109 YES!
--+ 208.110.68.110 YES!
+ Testing random IPID (208.110.68.106)... 16762 16763 16764 16765 16766
- Good! No random IPID
-+ Testing IPID of alive hosts
--+ 208.110.68.106 YES! (16774)
--+ 208.110.68.107 YES! (0)
--+ 208.110.68.108 YES! (16778)
--+ 208.110.68.109 YES! (16780)
--+ 208.110.68.110 YES! (16782)
+ Testing TCP Timestamp (208.110.68.106)... 637781696
- Good! TCP Timestamp enabled
+ Scanning ports...
--+ 208.110.68.106 YES!
--+ 208.110.68.107 YES!
--+ 208.110.68.108 YES!
--+ 208.110.68.109 YES!
--+ 208.110.68.110 YES!

El script, sameips.sh (view), fue publicado en la web de 514 en el 2007.

Leer más...

15 octubre 2009

Show me the malware Google !

Una de las cosas mas molestas que le puede suceder a un Webmaster es que su site sea comprometido y termine siendo una plataforma de distribución de malware.

Recientemente ha sucedido en el mismísimo NY que sufrió una infección mediante los anuncios que servía.

Google, entre sus muchas y altruistas actividades, se dedica a escanear los sites web que indexa en busca de código malicioso y cuando detecta uno, automáticamente lo bloquea en sus búsquedas así como también notifica a distintas organizaciones (como mozilla) que ese site no es confiable.

Mediante las 'webmaster tools' de Google existe la posibilidad de verificar tu propio site web y en caso de haber sido marcado como peligroso, iniciar el tramite de re-verificación.

El caso es que según se puede leer en el blog de seguridad de google, a partir de ahora, junto a la información de por qué se ha marcado como inseguro el site, también se va a poder consultar exactamente el extracto de código malicioso que ha sido insertado en el site, haciendo mas fácil su detección y eliminación.

(No estaría de mas que Google también se preocupara de sus propios 'problemas')

Dado que he leído ya bastantes casos de sitios que son infectados y su dueño se vuelve literalmente loco buscando donde le han metido 'el veneno' no está de mas recomendar una breve pero ilustrativa guía donde se explica como detectar una infección de malware en un site web
Leer más...

14 octubre 2009

Informe de McAfee sobre el Spam

Recientemente se ha publicado el informe sobre el spam de octubre por parte de la compañía de seguridad americana McAfee.

Fundamentalmente lo que se dice en él es que un gran porcentaje (un 70%!!) de estos molestos correos simulan ser ofertas de venta de medicamentos por parte de farmacéuticas canadienses. Por compartir cifras de dicho documento: Hasta 150.000 millones de correos spam AL DÍA!!! son enviados desde ordenadores comprometidos. 19 de cada 20 correos enviados son Spam, o lo que es lo mismo 96 de cada 100. Un 4% es tráfico lícito con ese correo que sí que estamos esperando...

Lógicamente, la gripe revelación del año tenía que tener una alta repercusión en este tipo de tráfico que todos recibimos. -modo irónico ON- Si el Tamiflú se termina en las farmacias, comprarlas por Internet puede ser muy interesante comprarlo por Internet -modo irónico OFF-

Las entidades financieras o sitios dedicados al comercio electrónico o simplemente a "mover" dinero son un claro y conocido blanco de este tipo de ataque. Correos falsos de Western Union, Ebay, PayPal, etc,... ocupan otra buena porción de las conclusiones de este informe.

Sin embargo, este informe está hecho en América, por una compañía americana. Evidentemente, a mí personalmente me han llegado correos electrónicos simulando ser de eBay o de Paypal,... pero realmente, el spam depende en gran medida de la localización y el idioma del usuario final (o del ISP que proporciona la cuenta de correo). En general, al ser mi empresa francesa y mi idioma español, el correo resumen del spam diario suele acumular varios referentes a ofertas de viajes y casinos online franceses, de vez en cuando una oleada de varios bancos españoles, etc,..... En este caso, el refrán de "nadie es profeta en su tierra", no se cumple. Me quedaré sin comprar tamiflú por internet a este paso.

El informe original puede descargarse desde aquí
Leer más...

12 octubre 2009

¿Qué ocurriría si los robots se volvieran contra nosotros?

En InfoSec News hablaban de un artículo que trataba de lo peligroso que podría llegar a ser un robot, si fuera hackeado, si un atacante tomara el control; esto parecía sacado de una película de ciencia ficción.

Investigadores de la Universidad de Washington nos indican que se debe poner especial atención en la seguridad de los robots. ¿Qué ocurriría si llegaran a ser usados para espiarnos o realizar actos de vandalismo en nuestras casas?

Poco a poco los robots, se hacen un hueco en nuestras casas, robots aspiradora (iRobot's Roomba), Erector Spykee, RoboSapien y Rovio. Luchar como Sarah Conor en Terminator contra el RoboSapien suena divertido, pero no quiero imaginar los desperfectos que podría ocasionar.

Un profesor de la Universidad de Washington comenta que están alarmados por lo fácil que resulta a día de hoy comprometer la seguridad de algunos de estos robots. Su preocupación no es un futuro como en Terminator, sino un mundo en donde los hackers tomaran el control de los robots que circulan por nuestras casas.

Comenta, que algunos de estos robots son manejados vía WiFi y no sería difícil para un atacante situarse cerca y tomar el control del robot. Los robots Rovio pueden ser controlados desde Internet, por lo que un atacante que lograra obtener su usuario y contraseña podría controlar de forma remota el robot y usarlo como una máquina espía, podrían ver lo que hacemos y escuchar lo que decimos. También hablan sobre los posibles actos de vandalismo que pudieran realizar estos robots contra nosotros.

Pensemos en seguridad y privacidad desde el comienzo del diseño para que después no tengamos que estar aplicando parches cuando hayan ocurrido los desastres.
Leer más...

10 octubre 2009

Pescando cuentas de Hotmail

Las filtraciones que han sufrido las cuentas de Hotmail no han dejado de estar en boca de todos desde que el pasado lunes salió a la luz la noticia. Sbd barajó diversas hipótesis sobre las posibles causas del robo de las cuentas, pero a día de hoy parece que no está claro cómo se realizó el ataque.

Hace dos días, un amigo al conectarse al servicio de mensajería, recibió un mensaje de un contacto que le invitaba a ver una foto en un sitio web. Esta persona sospechó de este mensaje y me envió el pantallazo. Le remitimos el problema al contacto, quien admitió no usar esa cuenta de hotmail desde hacía tiempo, ya que usaba otra para el servicio de mensajería.

Miramos en Internet la dirección que aparece y nos informan:
Accedemos a la página y encontramos un panel para autenticarnos con nuestra cuenta de MSN. Como vemos un caso de phishing con un formulario para introducir nuestro usuario y contraseña:
Buscamos dónde está albergada la página:
# whois Face-The-Truth.com
Hospedada en Beijing.

Detectamos más personas a las que les han llegado este tipo de mensajes. En McAfee Site Advisor nos informan sobre el robo de IDs de Windows Live y claves mediante un falso panel de autenticación.


Una recomendación, que no cunda el pánico, pero si recibes mensajes extraños o correos que te invitan a autenticarte, mejor no confíes, no te dejes pescar.

Leer más...

09 octubre 2009

FAIL: código de seguridad

No he podido evitarlo, la foto lo merece. De manos de Xavier, un ejemplo de puerta trasera en un elemento de seguridad física.


Leer más...

Grave vulnerabilidad en Adobe Reader y Acrobat


Ayer jueves 8 de Octubre se informaba desde el Security Incident Response Team de Adobe (PSIRT) de una vulnerabilidad crítica en Adobe Reader y Acrobat para versiones 9.1.3 y anteriores. Se ofrecen pocos datos, muy pocos.

Únicamente sabemos que esta vulnerabilidad tiene asignado el código CVE CVE-2009-3459, cuya información sigue en estado reservado, hasta que Adobe saque los parches de seguridad pertinentes.

Según cuentan, la vulnerabilidad afecta a todos los sistemas operativos (Windows, Linux y Mac OS X), pero está siendo activamente (y de una forma limitada) explotada en su versión Windows.

Adobe planea sacar el parche de seguridad este próximo martes 13 de Octubre, y considera actualizar urgentemente. Mientras pasan estos 4 días de fin de semana, fiestas nacionales y demás, se recomienda no ejecutar ningún PDF que pudiese resultar sospechoso, y si eres usuario de Windows Vista, activa el DEP para estar a salvo del exploit.

Recuerda:

Windows Vista en castellano : Equipo -> Propiedades del sistema -> Tareas-> Protección del sistema -> Opciones Avanzadas
En Rendimiento, hacer click en el botón Configuración, y seguidamente en la pestaña "Prevención de ejecución de datos"




Windows Vista en inglés: Computer -> Properties -> Tasks -> Advanced System Settings
En Performance, hacer click en Settings, y seguidamente dirigirse a la pestaña "Data Execution Prevention"




[+] Adobe Reader and Acrobat issue (PSIRT)
Leer más...

08 octubre 2009

¿Quieres un sobresueldo? Alquila tus ojos a través de Internet...

Pues así es. Si quieres ganarte 1000 libras por estar en casa pegado al PC, la empresa de Reino Unido, Internet Eyes, te lo proporciona. Ahora te explicamos cómo.

Ya hablamos de esto tiempo atrás, sobre lo impactante que es la vigilancia urbana en la ciudad de Londres, en la que los servicios de seguridad se apoyan en un despliegue masivo de cámaras de seguridad a lo largo y ancho de toda la ciudad. En ese viaje, no salí de Londres, pero por lo visto, UK, es un país con un parque de 4,2 millones de cámaras (la estadística es de 1 cámara por 40 habitantes)

La verdad es que la idea es bastante inteligente. Se alquila a un cliente una cámara que apunta a una ubicación (preferentemente su casa) por el módico precio de 20 libras/semana, con fines de vigilancia. Las cámaras están conectadas a la Red y cada una se asigna de forma gratuita a personas voluntarias, que vía Internet se conectan y tienen un canal de televisión personalizado para vigilar.

El modo de funcionamiento: Los ciber-vigilantes suscritos al "concurso", cuando detectan un ataque delictivo o una sospecha (robo, atraco, asesinato, etc...) mandan una foto y un mensaje asociado que le llega al que tiene alquilada dicha cámara. Éste, tras comprobar que la amenaza era real, da feedback positivo del aviso y se le asigna un punto al vigilante. Se supone que el que más puntos gane, en un periodo de tiempo, se lleva las 1000 libras. Cuidado con reportar avisos de más, puesto que los falsos positivos hace que bajen los puntos del vigilante.

De momento, este tipo de vigilancia, es un piloto que comenzará en la ciudad de Stratford-upon-Avon y quien sabe si la experiencia logra ampliar sus miras para el resto del país.

Sinceramente me parece una aberración contra la privacidad humana y la seguridad en sí, lo que se plantea. Visto como un juego, en el que la gente compra un servicio de vigilancia, pero en el que el personal no es propiedad de la empresa en sí. Al no haber contrato vinculante de ningún tipo entre un "vigilante" y la empresa Internet Eyes,... ¿qué pasaría si hubiese un atraco cuando el vigilante está en el baño o comiendo o descansando? Al no haber niveles de servicio definidos, nadie garantiza que por las 20 libras semanales el servicio vaya a ser aceptable. ¿Y si yo como vigilante, me entero de qué localización estoy vigilando y me compincho con los atacantes para hacer la vista gorda? La polémica está servida, una vez más. Sólo espero que en España no propongan dar la solución al problema del paro, con este tipo de iniciativas de tan dudosa legalidad, ética y eficacia.

La noticia entera la podéis leer en The Times, en el que se cuenta también que ya hay varios detractores de este tipo de servicio, y que se duda de la legalidad de la actuación.
Leer más...

07 octubre 2009

¿Qué ha ocurrido realmente con Hotmail?


Si os digo la cifra de "10.000", vosotros decís Hotmail ¿verdad? Sobran las palabras. Si vas al colegio, universidad o trabajo, con sólo preguntar algo así como "¿Te has enterado de lo de las 10000?", no hace falta decir nada más para saber de que se está hablando. Salió en blogs, salió en toda la prensa online, y en unas pocas horas saltó a la prensa escrita y en televisión: Se habían publicado en internet una lista de más de 10.000 cuentas de Hotmail con su correspondiente contraseña. Y parecía que sólo era una parte (direcciones que empezasen por a y b), por lo que se recomendaba cambiar la contraseña urgentemente en caso de tener una cuenta en el servicio de correo de Microsoft.
La página Neowin daba esta noticia, y se propagó al resto del mundo como la gripe A: con caos, desconocimiento, aprovechamiento, malicia, amarillismo... Viendo titulares y posts de blogs, hagamos la reflexión de cosas que han pasado y cosas que no han pasado:

- Teoría 1: Windows Live Hotmail había sido comprometido: Dado el grandísimo número de cuentas listadas, su ordenación de "a" a "b" (evidenciando que había más listas), y sobretodo, que la mayoría (¿casi todas?) funcionaban correctamente, parecía ser que habían conseguido pinchar al gigante, y estaba sufriendo una gran hemorragia de cuentas y contraseñas. Yo personalmente, no me lo creía, no se, tenía la corazonada (no quiero risas...) de que no iban por ahí los tiros. De todas formas, Microsoft informó que ya estaba estudiando el asunto.

- Teoría 2-a: Comprometido un servicio legítimo que necesitase credenciales de hotmail: No sé si lo habrá realmente, pero también podría ser, alimentado por lo comentado antes: eran demasiadas cuentas válidas y dudaba que Hotmail se hubiese roto (salió el comunicado de Microsoft diciendo que en ningún caso se trataba de una falla de seguridad en sus sistemas, y yo les creo)

- Teoría 2-b: Descubierto el mayor phishing de Hotmail: Microsoft se pronunció, y dijo que en ningún caso se trataba de un fallo interno de su sistema de correo, así que lo más posible es que las cuentas fuesen obtenidas mediante el típico phishing de "Mira quién te ha no admitido.org", "Mete tu cuenta y te damos 1000 emoticonos.net", "Adivina dónde estás con tu cuenta de hotmail.com" o mi favorito (porque llevamos 15 años así) "Mete tu cuenta para salvar a Hotmail que lo van a quitar o lo hacen de pago.org". Podréis visitar este post de SpamLoco para conocer un poco más sobre este tipo de mecanismos.



Para mi esta teoria es la que más fuerza tiene, pero eso si...el servicio que ofrecía el phishing debía ser muy válido y no descubierto por nadie, porque tantísima cuenta obtenida es algo bastante raro (si, sigo creyendo en la gente todavía...). O espera...¿y si se trataba de una red de páginas que, con el mismo fin, han conseguido una grandísima lista de cuentas válidas de incautos que todavía no saben que en las últimas versiones del protocolo no es posible saber quién te ha eliminado del msn?

¿Y si el leak de cuentas en pastebin, primer lugar dónde se distribuyeron las 10.000 contraseñas, no era más que un preview de alguien que estaba apunto de vender LA lista con todas las cuentas válidas obtenidas a lo largo de X años de fraude por muchísimo dinero?

Si, imaginaros la situación, como cuando estás en una discoteca y un señor te mete en la boca (pastebin) una pastilla (10.000 cuentas de correo con contraseñas), y si quieres más (cuentas) porque te ha gustado la mercancia (comprobación de que has conseguido acceder correctamente a algunas cuentas) ya te pasará más.

Microsoft ya ha iniciado el proceso de "recuperación" de cuentas, para todos aquellos afectados. Ahora sale a la palestra que es posible que se han liberado cuentas válidas de gmail y yahoo también.

Cuando pastebin estos días seguía permitiendo la búsqueda de contenido en sus ficheros (ahora están con la limpieza de las listas y no es posible realizar búsquedas relacionadas con este tema), intentamos buscar dicha lista, encontrándonos una con más de 10.000 pares de cuentas con contraseña. No estaban ordenadas de a a b, por lo que parecía ser que no era el fichero en cuestión del que tanto se hablaba.

Una vez analizadas las cuentas, y realizando las pruebas mínimas de estadísticas sobre fortaleza en las contraseñas, parecía ser que en realidad se trataba de cuentas obtenidas mediante un phishing relacionado con la página Neopets, una comunidad con animales virtuales. ¿Por qué creemos esto? En primer lugar, el top de contraseñas utilizadas para esas casi 11,000 cuentas eran nombres simples de animales, y además, como contraseña también se había utilizado mucho la palabra "neopets".



Buscando e investigando, damos con posts en foros comentando la gran cantidad de phishings que hay en la red para intentar ganar puntos en esta comunidad, robando cuentas de otros.

Otro fichero con cuentas de correo que empiezan por a y b, y al lado sus contraseñas ha caído en nuestras manos. La gran mayoría de hotmail.com, pero hay otros muchos dominios implicados (ya sabemos que desde hace tiempo, no es necesario una cuenta de hotmail.com o live.com para entrar al MSN Messenger). Puede ser o no el referenciado por neowin, podría ser fake obviamente, pero creemos que tiene buena pinta. Analicemos las contraseñas de dicho fichero, imaginándonos que se trata del que ha supuesto tantos dolores de cabeza para mucha gente.



* En primer lugar, llama la atención que haya cuentas repetidas, con baile de caracteres en algunos casos, además de en sus contraseñas. Tambien, hay muchos errores a la hora de escribir el dominio asociado (hotmailcom, hotmailc.om, hotmeil.com, hotmai.fr....). Con este hecho podríamos decir que las cuentas se han obtenido por su introducción en un formulario, no sacadas de una base de datos de un servicio que funcione legítimamente (es decir, no se realiza una comprobación de la cuenta una vez introducida).

* También han quedado registrados intentos con palabras como asd, asdf, asdafasf, etc...seguramente introducidos por los que no se fiaban un pelo del tema. Minipunto para ellos.

* Como dato muy aislado, existe una cuenta en el fichero cuyo dominio corresponde con "borrame.net". Si lo buscáis por google, sabréis perfectamente a que se dedicaba hace un tiempo antes de desaparecer...curioso cuanto menos.

* Sigamos con las contraseñas como tal. Estadísticas, teniendo en cuenta fallos de introducción en los datos, repeticiones, equivocaciones y demás. A pesar de todo, podemos hacernos una idea de la política que siguen muchos usuarios a la hora de elegir sus contraseñas (curiosamente, muy hispanas...):
  1. Top de contraseñas utilizadas:
    • 123456
    • 123456789
    • alejandra
    • 111111
    • tequiero
    • alejandro
    • alberto
    • 12345678
    • 1234567
    • ESTRELLA
    • daniel
    • roberto
    • iloveyou
    • AMERICA
  2. Contraseñas únicamente compuestas por números: 20% aprox.
  3. Contraseñas únicamente compuestas por minúsculas [a-z]: 45% aprox.
  4. Contraseñas únicamente compuestas por mayúsculas [A-Z]: 3% aprox.
  5. Dominios hotmail.com: 80% aprox.
  6. Otros dominios:
    1. hotmail.[it|fr|..]
    2. gmail.com
    3. live.[es|com|se|fr|it|com.ar|mx...]
    4. yahoo.[es|com|mx|com.ar|fr...]
Desde SecurityByDefault os recordamos este post de concienciación sobre vuestras contraseñas.


¿Tenéis alguna teoría más de las aquí mostradas? Lo que está claro es que estos días, irán saliendo más datos sobre este hecho.
Leer más...