¿Le han dado la puntilla a Windows Vista?

De todos son conocidos los problemas de Windows Vista para entrar en el mercado, con controvertidas cifras de venta (recordemos que se lo hacen comer con patatas a cada comprador de un sistema informático) y con otros serios problemas con el hardware, los recursos y la compatibilidad, como ya predijo Gartner en su momento. Pero puede que la puntilla destinada a acabar definitivamente con este sistema operativo tan polémico, se la hayan acabado de dar en Las Vegas.

Al parecer, investigadores de IBM y VMWare acaban de desvelar, durante la conferencia Black Hat de Las Vegas, una técnica que permite obtener control total de Windows Vista y lo hacen, de una manera que puede que sea prácticamente imposible de solucionar por Microsoft, a menos que cambie por completo, o al menos sustancialmente, la arquitectura de seguridad de Windows Vista, lo que sinceramente, como están las cosas, me parece improbable.

El problema nace en la forma en la que algunos programas de Windows Vista, como el navegador Internet Explorer, cargan las DLL's (librerías dinámicas) en la memoria de la máquina. El error se basa en que Microsoft asumió para la arquitectura de seguridad de su sistema operativo Windows Vista, que cualquiera de los archivos de DLLs que se cargasen a través de su tecnología .NET, eran seguros por definición. Apuesta, que sin duda, es arriesgada para la seguridad del sistema, pero que parecía conveniente por motivos comerciales. Como están las cosas, basta mezclar la tecnología .NET con código malicioso embebido en DLL's, para tener un cóctel explosivo y demoledor para la seguridad de los usuarios.

Lo peor de todo, es que es una técnica muy sencilla de implementar y muy flexible, puesto que se pueden modificar las DLL's maliciosas con mucha facilidad y añadirles una carga de pago personalizada, lo que puede abrir las puertas a un nuevo universo de maldades informáticas, gracias a que cualquiera podrá tomar el control total y absoluto de un ordenador dotado con Windows Vista, con un acto tan inocente como visitar una página Web preparada para ejecutar el ataque.

Por si alguno piensa que el parche llegará pronto, hay un problema adicional en todo este asunto, como hemos dicho, el fallo reside en la arquitectura de seguridad de Windows Vista, es decir, que no explota un error de programación, más bien, explota un error de diseño que afecta a lo más íntimo del sistema operativo. La consecuencia es clara, puede que no se pueda arreglar con facilidad, o si se puede, el parche puede ser de varios cientos de megas y sobre todo, de poder arreglarse, es posible que tarde algún tiempo en llegar.

Por ahora, por asombroso que parezca, la mejor solución para protegerte de esto, es instalarte un Linux y no usar Windows Vista para abrir ningún archivo, o para acceder a Internet, si eres un feliz usuario de Vista no te puedes fiar de nada, la DLL maliciosa que, robe tu información personal, lo convierta en un miembro de honor de una red botnet, o que lo configure como servidor de pornografía infantil, puede venir por cualquier medio, a través de un chat, por correo electrónico, o simplemente, visitando una página web, etc, por ello, el mejor consejo que os puedo dar, felices usuarios de Vista es "olvidaos de Vista hasta que se solucione el problema, si es que se soluciona".

Ahora es el momento de pensar en lo que decía Bruce, sobre el coste para la seguridad que tiene un monopolio, o sobre los problemas de seguridad del código cerrado y monolítico.Pero lo peor de todo, es que a pesar del desastre para los usuarios de Vista, habrá muchos usuarios que no serán conscientes del problema y que seguirán usando Vista con todo lo que ello puede suponer para la seguridad global.

Fuente: Search Security / Black Hat.

"Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved."

Un gusano de Internet explota una vulnerabilidad de Windows

Se supone que Microsoft había solucionado con un parche este defecto de seguridad en sus sistemas operativos Windows, pero el gusano Win32/Conficker.A está propagándose y explotando esa vulnerabilidad de nuevo.

El boletín de seguridad MS08-67 ya había cerrado teóricamente el problema, pero parece que no acabaron de pulir el comportamiento de esa parte de Windows, ya que el gusano es capaz de aprovechar la vulnerabilidad para abrir un puerto aleatorio entre el 1024 y el 10000 y se comporta como un servidor web que luego propaga su efecto a otros ordenadores explotando esa vulnerabilidad citada en el boletín de seguridad.

El Microsoft Malware Protection Center Blog confirmó la actividad de este gusano en Internet, que parece que ha infectado un buen número de máquinas en EEUU pero que también está propagándose a otros países como Alemania, España, Francia, Italia, o China.

Fuente: http://www.theinquirer.es/

Entregan pendrives USB infectados en una conferencia de seguridad

La gente de la mega-telco Australiana Telstra siguen con caras de tontos después de distribuir pendrives USB infectados con malware a los asistentes de la conferencia de seguridad anual de AusCERT de este año.

La directora de marketing de AusCERT, Claire Groves confirmó que los dispositivos USB eran de segunda mano (usados) y fueron entregados en un seminario de la conferencia.

"Fue recién ayer en el seminario", dijo ella. "Telstra obsequió los pendrive USB que no sabían que estaban infectados."

"Apenas se dieron cuenta empezaron a recogerlos de nuevo". agregó Groves.

De acuerdo con el informe de SearchSecurity, el archivo malicioso incluido era de la variedad "autorun", programado para ejecutarse automaticamente cuando se interta el dispositivo en una computadora.

Según estimaciones, cerca del 10% de todo el malware es diseñado para usarse en dispositivos de almacenamiento portables, como los pendrive USB, como una forma de ataque y vector de difusión.

Fuente: http://blog.segu-info.com.ar/2008/11/entregan-pendrives-usb-infectados-en.html

Hack PDF

Dé un vistazo sobre el hombro de un Hacker que incorpora código maligno en un documento PDF.

Según un experto de F-Secure, el programa Acrobat Reader es un programa que es mejor evitar.

Acrobat Reader de Adobe ha presentado innumerables vulnerabilidades y agujeros de seguridad críticos durante los últimos años.

El programa ha sido diseñado para leer el formato para documentos PDF.

La compañía de seguridad informática Watchcom publicó recientemente un informe según el cual alrededor del 50% de los sitios Web internacionales han sido intervenidos utilizando los denominados PDF exploits.

Estas intrusiones son posibles mediante la incorporación de código maligno en documentos PDF. Los mismos ficheros contienen información sobre versiones anteriores del documento. Esta función hace posible analizar el contenido, o la historia de un documento. Tal ejercicio arqueológico ha despertado el interés del consejero de seguridad informática Didier Stevens.


Stevens se propuso revelar la forma en que trabaja un Hacker. En un comentario en su Blog, Stevens relata paso a paso y minuto a minuto la forma en que es escrito un código maligno. Concluye en su artículo que fue interesante poder espiar la forma en que el escritor del virus desarrollaba su trabajo.

El experto espera que otros Hackers sean igual de descuidados y que se revelen a sí mismos incorporando información personal en los documentos PDF malignos que diseñan.

Recientemente, el experto en seguridad informática de F-Secure, Mikko Hyppönen , comentó que “Acrobat Reader figura entre los peores programas escritos alguna vez. Este es un programa que debe evitarse, y en lugar de el usar extensiones para el navegador que puedan leer documentos PDF".

El código y el análisis de Stevens

Fuente: http://www.diarioti.com/gate/n.php?id=20299

Cierran un servidor de la empresa McColo altamente peligroso

Se ha clausurado un servidor de Internet de California acusado de albergar un sinnúmero de sitios nocivos e ilícitos.

Se cree que los cibercriminales utilizaban el servidor de la empresa McColo Corp. para establecer sitios web que descargaran códigos nocivos o realizaran estafas electrónicas a los internautas.

Además, se cree que el servidor era utilizado para enviar una enorme cantidad de mensajes spam. Los spammers utilizaban los servidores de McColo para controlar los ordenadores que formaban parte de sus redes zombi.

Entre las redes zombis protegidas por McColo se encontraban Srizbi, Rustock, Pushdo, Warezov y Mega-D.

Poco después de que el servidor dejara de funcionar, se vio un descenso repentino del volumen de spam. Los expertos en seguridad estiman que hubo un descenso de más de la mitad del spam tras la clausura del servidor.

Además, al momento de ser clausurado, McColo albergaba hasta 40 sitios de pornografía infantil al mismo tiempo. Uno de ellos recibía entre 15.000 y 25.000 visitantes al día.

Mark Rasch, ex fiscal del Departamento de Justicia y director de FTI Consulting en Washington, explicó que, por lo general, la ley no castiga a los servidores de Internet por las actividades ilícitas de los sitios que alberga.

Sin embargo, hay crímenes virtuales que sí representan una amenaza legal para sus servidores, incluyendo la pornografía infantil en Internet. En estos casos, las personas a cargo del servidor pueden ser procesadas si se logra probar que sabían que este tipo de crímenes se estaba realizando y no tomaron medidas para evitarlo.

Richard Cox, director de Spamhaus, dijo que estos servidores suelen borrar los rastros comprometedores de los sitios nocivos cuando empiezan a atraer demasiada atención y los usuarios comienzan a quejarse.

“Muchos de estos servidores saben lo que sus clientes están haciendo y tratan de protegerlos”, explicó Cox.

Las empresas de seguridad han estado esperando este momento por años. Aunque muchas empresas alertaron a las autoridades sobre las supuestas actividades nocivas de McColo repetidas veces, solo ahora se han tomado medidas para solucionar el problema.

Pero aún no hay que cantar victoria. Es muy probable que los sitios nocivos de McColo no tarden en encontrar otro servidor que los hospede.

Fuente: www.Viruslist.com

WPA ¿Crakeado?

El estándar de cifrado WiFi Protected Acess (WPA) ha sido parcialmente crackeado por los investigadores de seguridad Erik Tews and Martin Beck, según han informado en el día de hoy.

Al parecer los investigadores darán a conocer todos los datos en la conferencia PacSec que se celebrará en Tokio la semana próxima.

Básicamente el ataque permite al Cracker leer los datos enviados del Router al portátil y enviar información imprecisa a los clientes conectados.

Según afirman han encontrado una manera de romper el protocolo Temporal Key Integrity Protocol (TKIP) usado por el estándar WPA en menos de 15 minutos (estoy ansioso por ver una demostracion en breve) , periodo muy corto de tiempo en comparación con el método de fuerza bruta usado hasta ahora.

Por contra los investigadores no han podido crackear las claves de cifrado de los datos que van de los ordenadores al Router, aunque es mas que posible que sea cuestión de tiempo.

Según los investigadores el WPA2 no es más seguro en cuanto a este tipo de ataque , por lo que si llegaran a completar el sistema que han empezado probablemente sería el principio del fin de las redes inalámbricas empresariales y personales que contengan o muevan datos importantes y confidenciales. Claro que siempre hay otras opciones como las VPN's ect...

Encontradas 500.000 cuentas bancarias en un Troyano.

Los Laboratorio de Investigación de Acciones Fraudulentas de RSA ha descubierto los registros de 500.000 cuentas bancarias de usuarios de Internet recolectados por un troyano durante tres años.

Con esto, el troyano Sinowal, también conocido como Torping y Mebroot, ha creado uno de los registros más grandes de datos robados jamás encontrados.

Pero la longevidad del troyano es lo que más sorprende a los expertos en seguridad, pues no todos los días se ve un troyano de una edad tan avanzada.

"El troyano común tiene un ciclo de vida de unos cuantos días o semanas, pero este espécimen ha estado recolectando datos desde 2006, lo que lo hace muy antiguo", explicó Sean Brady, gerente del departamento de protección de identidad de RSA.

Pero, en lugar de debilitarse con el tiempo, el troyano está cada vez más activo. En solo seis meses, de marzo a septiembre de este año, Sinowal ha recolectado datos de más de 100.000 cuentas bancarias de usuarios de Internet.

También ha ido aumentando la cantidad de variantes de Sinowal que se ven rondando en la red. Desde febrero, en lugar de las 25 variantes que solían aparecer por mes, empezaron a verse más de 70 variantes del troyano.

Aunque los expertos en seguridad ya conocían a Sinowal hace bastante tiempo, ha sido muy difícil controlarlo. Esto se debe a que se enfrentan a un rival muy preparado y con altos conocimientos en tecnologías de la información, que organizan sus estafas de una forma sumamente sofisticada.

En vez de tratar de convencer a los usuarios de pulsar en un enlace para infectar su ordenador, Sinowal se propaga aprovechando vulnerabilidades en el sistema operativo de Windows o aplicaciones como Adobe Flash y Quicktime.

Después se camufla entre los informes de inicio del equipo, lo que hace que sea muy difícil detectarlo. La única solución para deshacerse de la infección es reformatear el disco duro y reinstalar el sistema operativo.

Además, los creadores del troyano modifican su código con frecuencia para hacerlo más peligroso e indetectable.

El RSA dice haber notificado a los bancos afectados sobre el asunto para que ellos se pongan en contacto con los clientes afectados.

Acceso remoto a webs

Pepelux miembro del grupo eNYe-sec ha publicado un documento en el que nos muestras las vulnerabilidades web mas populares que permiten acceso remoto a un sistema.

El contenido del documento es:

1 - Introducción

2 - Local y Remote File Inclusion (LFI/RFI)
2.1 - Introducción
2.2 - Ejecutando comandos remotamente
2.2.1 - Inyectando código PHP en los logs de apache
2.2.2 - Inyectando código PHP en la tabla de procesos
2.2.3 - Inyectando código PHP en una imagen
2.2.4 - Inyectando código PHP en los ficheros de sesiones
2.2.5 - Inyectando código PHP en otros archivos
2.3 - Obteniendo una shell
2.4 - Remote File Inclusión

3 - Blind SQL Injection
3.1 - Introducción
3.2 - Cargando ficheros locales
3.3 - Obteniendo datos sin fuerza bruta
3.4 - Ejecutando comandos remotamente
3.5 - Obteniendo una shell

4 - Referencias

Descarga el archivo en .Pdf

Internet desde China

Curiosa noticia la de Kriptopolis, recomiendo probar la extensión de Firefox llamada China Channel a la cual se le pueden dar otros usos como por ejemplo: utilizarlo para navegar anonimamente por la red, y si ademas lo conjuntas con Tor pues...

¿Cómo ven Internet los chinos? Nada mejor que ponerse en su lugar para saberlo ¿Verdad?.

Eso es lo que hace una nueva extensión para Firefox llamada China Channel. Una vez instalada (y reiniciado Firefox para activarla) basta seleccionar "CHINA CHANNEL" y pulsar el botón "Go" en la nueva barra que aparece bajo la barra de marcadores para que un proxy chino se interponga entre nosotros y el sitio web que queremos visitar.

Al principio una página nos mostrará nuestra IP actual y nuestro país, pero en cuanto logramos acceder a un proxy chino (y ubicarnos por tanto dentro de su Gran Muralla de censura) se nos indicará esta circunstancia con una pantalla similar a la que sigue (a veces puede demorarse y/o requerir varios intentos). A partir de ese momento podemos tratar de visitar cualquier web con una IP correspondiente a China, lo que nos permitirá hacer algunas comprobaciones interesantes.

Copiar llaves a distancia con una Foto

El Gagdet Lab de Wired tiene un interesantísimo artículo titulado Software Enables Cameras to Duplicate Keys que habla de una técnica, digna de James Bond, que permite obtener un duplicado de una llave sin tocar físicamente el original: con una imagen fotográfica basta. Y es que sucede que con eso de que las cámaras digitales han avanzado una barbaridad, el récord ya está en conseguirlo a partir de una foto de unas llaves tomada a unos 60 metros de distancia, mediante un teleobjetivo, aunque hacerles más o menos de cerca una foto con el móvil también es suficiente.

Todo esto es un trabajo de Stefan Savega, un profesor de ciencias de la Universidad de San Diego en California, que publicó recientemente sus investigaciones (Keys can be copied from afar) y explicó con algunos ejemplos prácticos cómo funciona un software diseñado al efecto para tal tarea.

Desde siempre se ha sabido que las llaves convencionales no son tan difíciles de imitar como parece; según el artículo algunos cerrajeros pueden incluso hacer copias «a ojo» viendo una llave original o una foto en alta resolución.

Una llave corriente de un modelo determinado (fácilmente identificables a simple vista) encaja en una cerradura que tiene habitualmente cinco o seis pines en un tambor, separados a intervalos regulares. Cada uno de ellos se ajusta a una altura determinada, pero el número de «alturas» o «escalones» también tiene un valor finito (normalmente alrededor de diez). El punto en que coinciden las sinuosas curvas de la llave con las posiciones de los pines determina una especie de código de la llave. El total teórico de llaves «posibles» de un modelo determinado se obtiene a partir de ambos valores; por ejemplo digamos 10 posiciones y cinco pines, 10⁵ = 100.000 llaves diferentes.

Attacks Against The Mechanical Pin Tumbler Lock [PDF]

El software de Stefan Savega utiliza técnicas de reconocimiento de imagen relativas a lo ángulos de la escena, de modo que a partir de la forma de los dientes de las llaves fotografiadas y tras algunas pistas (puntos de control) que introduce el operador puede recrear una imagen normalizada (plana) de la llave. A partir de ahí se calculan las alturas de los pines y se obtienen los valores únicos que permiten reproducirla sin demasiados problemas. Los avances en reconocimiento y fotografía, con imágenes cada vez de mayor calidad y la alta potencia de los zooms y teleobjetivos hacen la tarea más fácil.

La versión de baja tecnología de esta técnica puede leerse en Duplicating a key from only a picture, que puede servir para cerraduras de baja calidad como las típicas de los escritorios o puertas de baja seguridad. Una foto cualquiera, un poco de habilidad con Photoshop (usando por ejemplo una moneda como guía de control), recortar una lata con la forma adecuada, y voilà, cerradura abierta.

Una derivada interesante del asunto es que la gente que tenga un nivel especialmente alto paranoia ya puede añadir a sus agobios el pensar en retirar de los sitios de alojamiento de fotos todas las que contengan llaves porque a lo mejor van por ahí con una sonrisa enseñando complacientemente las llaves de su casa nueva y dentro de unas semanas cuando abran la puerta, algún listo les ha desplumado.

Fuente: http://www.microsiervos.com/archivo/seguridad/como-copiar-llaves-a-distancia-con-una-foto.html

Troyano Indetectable roba 500.000 cuentas bancarias

Una banda criminal bien organizada ha robado las credenciales de más de medio millón de cuentas financieras en menos de tres años utilizando un troyano sofisticado que permanece indetectable para la vasta mayoría de sus víctimas, advirtió un informe publicado este viernes.

El botín del banco, tarjetas de crédito y débito y números de cuentas robados por el troyano Sinowal está entre los mayores jamás descubiertos. Fue descubierto por investigadores del Laboratorio de Investigación de Acciones de Fraude de RSA. Dicen que el programa, que también es conocido como Torpig y Mebroot, ha estado operando sin interrupciones por casi tres años, un lapso de tiempo poco común en el irresponsable mundo del cibercrimen.

"Muy raramente nos topamos con crimenware que ha estado robando continuamente y coleccionando información personal, datos de tarjetas, y comprometiendo cuentas bancarias desde 2006," escriben los investigadores de RSA.

Lo que es más, Sinowal se ha vuelto más productivo con el tiempo. En los últimos seis meses comprometió mas de 100.000 cuentas. Desde febrero, el número de variantes ha pasado de menos de 25 por mes a mas de 70, según RSA. Este aumento ayuda a que el malware evada la detección de los programas antivirus.

En total el troyano ha infectado al menos 300.000 máquinas Windows y robado 270.000 números de cuentas bancarias y 240.000 credenciales de tarjeta de débito y crédito.

El Sinowal es también admirable por otras razones. A diferencia de muchos troyanos, no se basa en engañar al usuario en hacer clic en un vínculo o archivo para instalarse. En lugar de eso se disemina silenciosamente mediante sitios web que hacen presas a equipos con vulnerabilidades del sistema operativo Windows o de aplicaciones de terceros como Flash de Adobe o el reproductor multimedia QuickTime de Apple.

"Este troyano en particular puede quedar instalado sin siquiera que lo note el usuario final que está seguro que no aceptó nada o que nada fue instalado," dijo en una entrevista Sean Brady, administrador de protección de identidad de RSA.

Luego se oculta en el registro maestro de arranque del disco de la computadora, haciendo extremadamente difícil que sea hallado. Y el único remedio que tienen las víctimas, que por fortuna descubren que su sistema está contaminado, es reformatear el disco duro y reinstalar el sistema operativo.

Brady dijo que RSA compartió la información que descubrió con los bancos afectados y espera que ellos notificarán a los clientes que están infectados.

Sinowal permanece dormido en la máquina hasta que un usuario dirige su navegador a un sitio de un banco u otra institución financiera. Entonces un motor de inyección HTML agrega campos en la página de ingreso del sitio para pedirle a la víctima que ingrese el número de seguro social, contraseñas y otras credenciales. Una vez ingresadas, la información es transmitida a un servidor bajo el control de los autores del malware. El mecanismo de inyección es activado por más de 2.700 direcciones web distintas.

Se sabe poco sobre el grupo responsable del Sinowal, pero al menos una pista sugiere que el grupo pertenece a Rusia: mientras el troyano apunta a instituciones en docenas de países en Norteamérica, Europa, Asia [y Latinoamerica], ninguno es de Rusia.

Fuente: http://www.theregister.co.uk/2008/10/31/sinowal_trojan_heist/