Daboweb | Seguridad y ayuda informática |

Hoy os quería recomendar una entrada del blog de Pablo Teijeira, (Sophos) en la que resume los puntos en los que basó su presentación acerca de las «Principales 5 fugas de información» y cómo afectan al cumplimiento de la LOPD, en un evento de www.siycn.com (Seguridad de la información, cumplimiento normativas, etc).

Su charla estaba basada en la fortificación del puesto de trabajo, el correo electrónico, etc, y cómo cubrir esas constantes fuentes de fuga de información o transmisión de datos por parte de los empleados de una empresa, ayudando de ese modo a cumplir varios puntos sensibles y de gran peso en la LOPD. Una Ley orgánica de protección de datos que por lo que he leído en «Sinyc», es incumplida por aproximadamente un 80 % de las multinacionales financieras según Compuware, ahí es nada…

El autor, se refiere a temas que habitualmente como sabéis tratamos en Daboweb, desde ataques por Malware, aplicaciones potencialmente peligrosas en cuanto a fugas de datos si no se usan correctamente, dispositivos móviles, redes sociales, etc. Temas que no por ser tratados ampliamente ya aquí, dejan de tener interés, al contrario, una de las prácticas más perjudiciales hablando de seguridad, es bajar la guardia y aún conociendo los riesgos, no se toman lo suficientemente en serio las posibles amenazas tanto internas como externas.

Acceso a; ¿Conoces las 5 principales vías de fuga de información? […]

El equipo de seguridad de Joomla ha anunciado la inmediata disponibilidad de la versión de seguridad 1.5.18 que corrige una seria vulnerabilidad XSS afectando a la versión 1.5.7 y todas las anteriores de la rama 1.5x.

Caso de ser explotado, el bug puede llevar a la inyección de código Javascript por parte de un usuario sin privilegios en el «Back-end» (panel de usuario) hacia la pantalla o sesión de un administrador con las fatales consecuencias que puede tener para el CMS. Ha sido reportada por Riyaz Ahemed y se recomienda actualizar a la mayor brevedad posible.

Más información en el anuncio oficial | Sobre el XSS.

Nos hacemos eco de esta noticia publicada en Inteco, referente a las precauciones a observar frente a robots conversacionales.

Los bots conversacionales son programas informáticos que se hacen pasar por una persona real en un programa de mensajería instantánea. Son capaces de mantener una conversación con alguno de los siguientes fines:

• Recopilar información confidencial como datos bancarios.

• Instalar programas maliciosos.

• Enviar publicidad no deseada.

• Conseguir imágenes del usuario solicitando que se active la cámara web.

En el siguiente vídeo publicado en el canal de Youtube de INTECO-CERT se puede ver un bot conversacional en acción:

watch?v=4W2HeV9wAIk

Para evitarlos, se recomienda seguir los siguientes consejos:

• Limitar la difusión de la dirección de correo electrónico. No sólo para evitar los bots conversacionales, sino también, para evitar el spam.
  Es recomendable disponer de varias direcciones de correo que emplearemos en cada circunstancia, como explicábamos en este manual:
  – Consejos de uso de las cuentas de correo electrónico.

• Desconfiar y eliminar los contactos e invitaciones cuya conversación no sea coherente, esté orientada a un tema concreto o que se encuentre en un idioma que no se espera.
  Además en la medida de lo posible configurar el programa para que no acepte llamadas de usuarios que no estén en nuestra lista de contactos.
  – Comunicarte solo con tu lista de contactos permitidos en Messenger.
  – Skype, comunicarse solo con usuarios de tu lista de contactos.

• Sospechar de los enlaces a páginas web o a programas que aparezcan en las conversaciones, aunque sean de amigos de confianza, sobre todo, si se tratan de enlaces o archivos que no se han solicitado.
  Mucha precaución sobre todo con aquellos que hacen referencia a la descarga o visionado de fotos, vídeos, etc. que exponíamos en este manual:
  – Prevenir infecciones desde el Messenger.

Algunos clientes de mensajería instantánea avisan al usuario del peligro de visitar estos enlaces como vemos en la captura superior.

En definitiva y como siempre repetimos utiliza el sentido común y precaución.

Si decimos que la industria del Malware, además de molesta, perniciosa y cansina, está siempre «a la última» en cuanto a técnicas de infección-redifusión, no sería nada nuevo ya que de todos es sabido.

Pero no está de más tener en cuenta esta información que podemos leer en Slashdot (ENG) con origen en este enlace (ENG), en la que se hacen eco de un aumento de ataques a través de servidores DNS vulnerables o con configuraciones potencialmente explotables, que son un filón para los crackers que consiguen hacerse con el control de esos servidores DNS, redirigiendo varios subdominios legítimos a una IP diferente y desde donde se llevan a cabo los ataques (de todo tipo) hacia el usuario a través de su navegador.

Sirva también a modo de recordatorio para los que administramos un servidor web, ya que como bien apuntan en la entrada original, a veces, una vez que has configurado las zonas DNS así como los diferentes dominios principales y subdominios, puede que no se revisen con la frecuencia que sería deseable y más si son subdominios creados no para servir páginas, sino para alojar por ejemplo imágenes, ficheros, etc, donde rara vez se consulta vía web sino más bien por FTP-SFTP.

Aunque personalmente opino que si ya se han hecho con el control de tu DNS, estás técnicamente K.O. Si hablamos de un servidor web bajo GNU/Linux, no está de más revisar esas configuraciones DNS y usar herramientas como «nslookup» o hacer consultas DNS con el comando «dig» para ver que está todo correcto y que tanto los dominios principales como subdominios, apuntan a IPs correctas.

Y para acabar, hablando de subdominios, es importante revisar a nivel de Apache que no queden expuestos o la vista de todos los subdominios (listado de directorios), aunque con un simple «index.php» o «.html» en el directorio principal del subdominio, caso de que como dije antes no se sirva tráfico web desde él, el contenido alojado dentro no quedará expuesto.

Ha sido reportada por parte de Nikolas Sotiriu una vulnerabilidad en McAfee LinuxShield que podría llevar a la ejecución de código arbitrario remoto en instalaciones de la versión 1.5.1 y anteriores sin el parche HF550192.

El ataque se vale de la interfaz web de LinuxShield además del demonio local «nailsd» que permanece a la escucha en el puerto 65443/tcp, pudiendo derivar bajo determinadas circunstancias tal y como explica Nikolas en el enlace anterior, (estando autenticado en el sistema afectado) a la ejecución de tares con privilegios de root (super ususario).

Si bien este fallo no es tan grave al ser necesaria una cuenta válida en el cliente de LinuxShield, se recomienda parchear el producto a la mayor brevedad posible para evitar problemas mayores en los sistemas afectados.

Desde McAfee ofrecen ya una solución a este bug vía el parche HF550192.

En el campo de la seguridad, desde sus comienzos, el movimiento Open Source ha plantado cara con éxito a las soluciones comerciales (algunas muy efectivas) sin ningún complejo.

Hoy queríamos recomendaros una lista muy elaborada de 50 herramientas Open Source relacionadas con la seguridad a modo de alternativas más que validas frente a las más usadas habitualmente, que no por ello tienen que ser necesariamente mejores.

La lista está en Inglés pero se entiende perfectamente y en lo personal, puedo decir que muchas de ellas llevo usándolas desde hace años con muy buenos resultados. En ella podremos encontrar antivirus, firewalls, sniffers, herramientas de cifrado, backups, recuperación de datos y un largo etc.

Acceso a; 50 herramientas de seguridad Open Source como alternativa a las más populares (ENG).

Se encuentran disponibles para su descarga los programas software libre para Windows, actualizados o incluidos en el Boletín Número 245 de CDlibre, entre el 26 de Abril y el 2 de Mayo de 2010.

A continuación os relaciono el listado de todos los programas que han actualizado y los nuevos que se han incluido en este último boletín.

Nuevos programas incluidos:
Chroma 1.12 – DccNiTghtmare 0.5.1 – DreamPie 1.0.2 – FreeFileSync 3.6 – jvgs 0.5 – Omnitux 1.1.0 – Performous 0.5.0 – PipeWalker 0.8.1 – Spacejunk 1.0 – SQLite Database Browser 2.0 beta 1 – SQLite Manager 0.5.15 – Xdriller 0.7.3 .

Programas actualizados:
R4 2010.04.26 – Aptana Studio 2.0.4 – Bacula 5.0.2 – Berkeley DB Java Edition 4.0.103 – Calibre 0.6.51 – cdrTools FrontEnd 1.3.7 – CMS Made Simple 1.7.1 – DosZip Commander 1.53 – Euler Math Toolbox 9.3 – Free Download Manager 3.0.852 – Frogatto r2418 – GCompris 9.3 – Joomla! 1.5.17 – JSoko 1.52 – Maxima 5.21.1 – MediaInfo 0.7.32 – Mercurial 1.5.2 – Miranda IM 0.8.22 – Paint.NET 3.5.5 – PeaZip 3.1 – PhET 1.0 2010.04.28 – QCAD 2.0.5.0 – RedNoteBook 0.9.4 – Snort 2.8.6 – Stendhal 0.83 – The battle for Wesnoth 1.8.1 – The legend of Edgar 0.52 – UltraStar Deluxe 1.0.1.a 2010.04.25 – UPX 3.05 – Wormux 0.9.2 2010.04.29 – Wubi 10.04 – Xcas 0.8.6 2010.04.28 – XMoto 0.5.3 – Zend Framework 1.10.4.

CdLibre Boletín 245

Se ha reportado una vulnerabilidad que afecta Adobe Photoshop CS4 (11.0.0) explotable a través de archivos TIFF previamente manipulados. El bug podría llevar a hacerse con el control del sistema afectado por los atacantes que lleguen a poder explotar el agujero de seguridad en CS4.

Hay que aclarar que para que el ataque se lleve a cabo con éxito, la víctima debe abrir manualmente ese fichero modificado para tal fin y que CS5 no está afectado. Para paliarlo, se recomienda actualizar CS4 a la versión 11.0.1 bien sea desde el menú de ayuda del propio programa o a través de estos enlaces; Windows y Mac OS X.

Esta vulnerabilidad ha sido catalogada como crítica por Adobe en su boletín informativo (ENG).

Fuente, Heise Security.

Se están reportando en los foros de soporte de Gmail un aumento de ataques vía inyecciones de spam especialmente desde la interfaz móvil de Gmail.

Según informan desde Google, este hecho no es imputable a algún bug en su software. Toda la información en Slashdot (ENG, trad) .Como siempre, recomendamos precaución y revisar las configuraciones de seguridad de los dispositivos móviles, al igual que lo hariamos con uno tradicional.

Interesante entrada en el blog de ESET Latinoamérica sobre los peligros que pueden acarrear para el usuario, ciertas URLs cortas (Short-URLs) muy usadas en servicios como puede ser Twitter.

El problema viene dado porque esa URL corta, podría llevarnos a un sitio web dañino sin darnos cuenta, ya que, situando el cursor del ratón sobre el enlace, no se puede ver el destino final del enlace. ¿Cómo paliarlo?

No es una solución definitiva, pero puede ser muy válida para la mayor parte de los casos, los usuarios de Firefox y derivados, pueden instalar la extensión «LongUrlPlease«(válida para Firefox: 2.0 – 3.6). Con este añadido, podremos ver al situar el ratón sobre el link el auténtico destino del mismo, funciona con unos 80 lugares que proporcionan el acortamiento de URLs y es una protección muy efectiva ante este tipo de engaños.

Nuestro compañero Dabo está de estreno con un proyecto compartido sobre Debian GNU/Linux, se trata de Debian Hackers y lo mejor es que os dejemos con las palabras que ha dejado en DaboBlog sobre el comienzo de este blog;

Mucha suerte compañero!!!

Nace Debian Hackers;

Bueno, los asiduos al podcast ya lo sabéis porque fue la “sorpresa” con la que venía este episodio. La historia es simple, Diego (n1mh) y yo, con el permiso de Forat que ahora como sabéis está a tope con su nueva paternidad, aunque está ahí,  nos hemos embarcado en una nueva aventura en La Red.

Hemos querido crear un lugar donde compartir nuestro día a día con Debian GNU/Linux y rendir un humilde y sincero homenaje a todos los hackers, en el sentido más auténtico del término, que dedican tanto tiempo, ganas y esfuerzo para seguir alimentando y potenciando el que para nosotros es “El sistema operativo”.

Será obviamente un blog para minorías, pero allí podré ir dejando cuestiones que quizás aquí no tengan tanta cabida y de ese modo. libraros de mis entradas periódicas, a veces un tanto farragosas, lo sé,  sobre Debian -;). De todos modos haré alguna referencia aquí cuando se publique algo reseñable en Debian Hackers.

Más info en www.debianhackers.net | RSS | Twitter

Desde la lista de correo de Apple Security nos llega este aviso de actualización de seguridad catalogada como 2010-002 en Mac OS X.

Concretamente, esta actualización viene a corregir hasta 88 vulnerabilidades de diverso impacto para el sistema, por lo que recomendamos actualizar vuestros equipos a la mayor brevedad posible.

Recordad que esta actualización de seguridad está disponible a través del menú “manzana” –> “actualización de software”.

Se encuentran disponibles para su descarga e instalación la versión 3.6.3 y la versión 3.5.9 de Mozilla Firefox, que solventan varios problemas de seguridad criticos de versiones anteriores de este navegador web.

Como siempre, la nueva versión de Firefox, tanto para la rama 3.6 como para la 3.5 se encuentra disponible para Windows, GNU/Linux o Mac OS X y es multi-lenguaje.

|  Notas de la versión 3.5.9. |  Notas de la versión 3.6.3. |

|  Descarga de Firefox 3.5.9 |  Descarga de Firefox 3.6.3

Por otra parte ha sido publicada una actualización de seguridad, considerada crítica, para todas las versiones compatibles del navegador web Internet Explorer, que viene a solventar hasta diez vulnerabilidades.

Más información y descarga.

En ambos casos, es recomendable actualizar los navegadores en la mayor brevedad posible, a las últimas versiones disponibles.

Alguna vez ya os hemos recomendado visitar la página personal de Alfon, Seguridad y Redes , también, para un mejor seguimiento de sus artículos, podéis suscribiros a su Feed.

La web de Alfon es un lugar donde se hacen las cosas «como antes», es decir, sin prisa, publicando series de artículos detallados donde realmente podrás aprender más allá de una breve reseña u opinión y con mucho fundamento.

Para este fin de semana os queremos sugerir esta serie de entradas en las que podréis aprender como se captura, filtra y analiza todo tipo de tráfico de red con varias de las herramientas más potentes para escuchar y capturar esos paquetes.

Michael Zalewski, reputado consultor y desarrollador en asuntos de seguridad, ha desarrollado para Google «Skipfish», un potente y rápido escáner de vulnerabilidades web que sin lugar a dudas dará que hablar. Por lo poco que he podido comprobar desde que lo he instalado, cumple fielmente con casi todo lo que se anuncia en cuanto a fluidez y certeza en los análisis.

Para compilarlo, una vez desempaquetado, sólo necesitarás usar «make» pero te recuerdo que necesitarás instalar la librería libidn primeramente.

Skipfish está escrito intégramente en «C», se distribuye gratuitamente bajo una Licencia Apache versión 2.0 y está disponible para sistemas GNU/Linux, FreeBSD 7.0+, MacOS X y Windows (Cygwin). Esta herramienta de seguridad cuenta entre otras, con las siguientes funciones hablando de detección de posibles fallos de seguridad;

* Alertas de riesgo alto:

o Server-side SQL injection (including blind vectors, numerical parameters).
o Explicit SQL-like syntax in GET or POST parameters.
o Server-side shell command injection (including blind vectors).
o Server-side XML / XPath injection (including blind vectors).
o Format string vulnerabilities.
o Integer overflow vulnerabilities.

* Alertas de riesgo medio:

o Stored and reflected XSS vectors in document body (minimal JS XSS support present).
o Stored and reflected XSS vectors via HTTP redirects.
o Stored and reflected XSS vectors via HTTP header splitting.
o Directory traversal (including constrained vectors).
o Assorted file POIs (server-side sources, configs, etc).
o Attacker-supplied script and CSS inclusion vectors (stored and reflected).
o External untrusted script and CSS inclusion vectors.
o Mixed content problems on script and CSS resources (optional).
o Incorrect or missing MIME types on renderables.
o Generic MIME types on renderables.
o Incorrect or missing charsets on renderables.
o Conflicting MIME / charset info on renderables.
o Bad caching directives on cookie setting responses.

* Alertas de bajo riesgo:

o Directory listing bypass vectors.
o Redirection to attacker-supplied URLs (stored and reflected).
o Attacker-supplied embedded content (stored and reflected).
o External untrusted embedded content.
o Mixed content on non-scriptable subresources (optional).
o HTTP credentials in URLs.
o Expired or not-yet-valid SSL certificates.
o HTML forms with no XSRF protection.
o Self-signed SSL certificates.
o SSL certificate host name mismatches.
o Bad caching directives on less sensitive content.

* Alertas internas:

o Failed resource fetch attempts.
o Exceeded crawl limits.
o Failed 404 behavior checks.
o IPS filtering detected.
o Unexpected response variations.
o Seemingly misclassified crawl nodes.

* Otros datos de interés:

o General SSL certificate information.
o Significantly changing HTTP cookies.
o Changing Server, Via, or X-… headers.
o New 404 signatures.
o Resources that cannot be accessed.
o Resources requiring HTTP authentication.
o Broken links.
o Server errors.
o All external links not classified otherwise (optional).
o All external e-mails (optional).
o All external URL redirectors (optional).
o Links to unknown protocols.
o Form fields that could not be autocompleted.
o All HTML forms detected.
o Password entry forms (for external brute-force).
o Numerical file names (for external brute-force).
o User-supplied links otherwise rendered on a page.
o Incorrect or missing MIME type on less significant content.
o Generic MIME type on less significant content.
o Incorrect or missing charset on less significant content.
o Conflicting MIME / charset information on less significant content.
o OGNL-like parameter passing conventions.

Página de Skipfish en Google Code | Más info | Fuente (ENG).