Daboweb | Seguridad y ayuda informática |

Los que llevamos un tiempo en Daboweb, recordamos como si fuera ayer infecciones masivas como las del Blaster o Sasser (publicado aquí). Conficker es como un «remake» pero más elaborado y el modus operandi e impacto en el sistema, aún teniendo algún paralelismo con ellos va un paso más allá.

Ayer fue 1 de Abril, un día en el que la amenaza Conficker se ha sentido por toda la Red ya que se hablaba de una actividad masiva del virus, cosa que realmente no ha sucedido.

Este malware que se propaga como un virus y actúa como un troyano, como mucho sabréis explota una vulnerabilidad provocada por un desbordamiento del búfer a través de una solicitud RPC manipulada para ese fin y una vez se hace un hueco en el sistema, deja fuera de juego a servicios como Windows Update, pasando por todos los relacionados con la seguridad de Windows (Defender o el Centro de Seguridad o reporte de errores).

Adicionalmente, se conecta con el exterior a través de un puerto (filtrar el 445 en vuestro Firewall) en el que permanece a la escucha además de continuar propagándose e infectar el sistema con más malware o réplicas de si mismo, pudiendo enviar a terceros información personal de la «víctima».Algunas variantes de este virus también llamado Downup o Kido, pueden crear unas 50.000 urls falsas para seguir distribuyéndose.

Su impacto ha sido tan grande que se estima que entre un 6 y un 8% de todos los ordenadores de la población mundial están infectados y los daños que está provocando ahora mismo, son casi imposibles de calcular, tanto es así, que Microsoft  este pasado 13 de Febrero, ofreció 250.000 $ de recompensa a quien de los datos necesarios para descubrir a su creador…

Lo que parece mentira, es que unos años después del Blaster, ese bug en las llamadas a procedimientos remotos (RPC) explotado por Conficker, tenga tanta repercusión y que el virus siga tan activo ya que comenzó su andadura a principios de Octubre y el día 23 Microsoft publicó un parche que solventaba el fallo, 23 de Octubre…hace más de 4 meses.

Por lo que tenemos que pensar que la gente no acaba de concienciarse de la importancia de tener un sistema operativo debidamente actualizado.

Pero además de este detalle, parece ser que muchos usuarios a su vez no tienen sus antivirus actualizados lo cual agrava el problema y en este caso no se le puede echar toda la culpa a Microsoft como muchos suelen (solemos) hacer, hay que ser serios que para bromas la que postee ayer sobre Internet Explorer 8.1 -;), Microsoft dio la solución, bugs los hay en todas las plataformas sólo que algunos parchean más rápido que otros y también, dada la cuota de mercado de Windows, es lógico que los que se sufren bajo esa plataforma, se expandan con más rapidez y tengan más impacto (otro tema sería en servidores web donde GNU/Linux tiene una fuerte y creciente implantación, ahí seria un caso parecido en cuanto al impacto).

Algo achacable a Microsoft, puede ser que no haya liberado parches para versiones que no sean o Windows Vista, XP SP2 o SP3 o Windows 2000 SP4, técnicamente están en su derecho ya que son versiones que no tienen ya soporte pero en un caso de estos, creo que hay que hacer un esfuerzo extra por parar de la forma más rápida posible un virus como este más allá del titular de los 250.000 $.

La verdadera culpa es del creador de Conficker cuya «cabeza» vale 250.000 $ (mucho dinero para tanta crisis) y la responsabilidad final es del usuario que no actualiza debidamente el sistema porque

«me sale a la derecha un rollo de Windows Update pero yo lo cierro y pista, total, ¿qué me va a pasar? y ahh «tampoco tengo nada que ocultar».

Amigos, esto no es una ciber-bronca que todos tenemos mucho que callar, pero un ordenador ahora mismo es un centro de recopilación de información de una persona y de la misma forma que pones una puerta acorazada en tu casa, deberías de pensar en tu ordenador como algo parecido. Piensa que las pérdidas de tiempo, información y privacidad son mayores que ese tiempo que «no pierdes» asegurando tu sistema.

Herramienta de eliminación de Conficker | Parche de Microsoft

Por David Hernández (Dabo)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticia

Desde la fundación Mozilla nos informan de que ya está disponible una (rápida) actualización de seguridad para Firefox etiquetada con el número de versión 3.0.8.

Esta actualización de Firefox viene a corregir dos vulnerabilidades críticas para el sistema incluyendo la tan comentada «0 day». Se recomienda a todos los usuarios que actualicen a la mayor brevedad posible sus navegadores para estar protegidos ante los posibles ataques que podrían sufrir caso de explotar dichos bugs.

Descarga de Firefox 3.0.8 | Notas de la versión | Bugs corregidos.

Junto a KDE, GNOME es el entorno de escritorio más utilizado en sistemas GNU/Linux. Destaca su facilidad de uso y configuración, además, cuenta con una gran comunidad de usuarios y desarrolladores detrás como Software Libre que es.

Hoy se ha liberado la esperada versión 2.26 con interesantes novedades y mejoradas herramientas para la administración del equipo y su uso habitual, en el post del lanzamiento de esta nueva versión se resumen las mejoras para el usuario más destacables;

• Nueva grabación de discos completa
• Compartición de archivos simple
• Evolution evoluciona su migración desde Windows
• Mejoras en el reproductor multimedia
• Control de volumen integrado con PulseAudio
• Soporte para múltiples monitores y proyectores
• Comunicación casi telepática
• Barra de direcciones de Epiphany
• Integración de lector de huellas
  

Notas de lanzamiento de GNOME 2.26 (En castellano)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Symantec pcAnywhere es un software para administrar y conectarse remotamente a otros equipos para realizar tareas de soporte o iniciar una sesión de control remoto del mismo.

Se ha reportado una vulnerabilidad por parte de Deral Heiland (Layered Defense) que puede ser explotada por atacantes locales para causar una caida del sistema o denegación de servicio en el equipo afectado.

Concretamente, este bug afecta a las siguientes versiones;

Symantec pcAnywhere  12.0
Symantec pcAnywhere  12.1
Symantec pcAnywhere  12.5

La solución pasa por instalar la versión 12.5 SP1 vía Symantec LiveUpdate, su gestor de actualizaciones.

Fuente; VUPEN Security.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

¿Os imagináis un software que sólo tiene un bug conocido cada 10 años?, es el caso de Djbdns, hasta ahora y de Qmail que, corregidme si me equivoco, sigue ahora encabezando la lista en solitario.

Dan Bernstein cumplirá su promesa hecha hace años que no era otra que comprometerse a pagar 1.000 $ US a quien descubriera una vulnerabilidad en Djbdns, el servidor de DNS considerado hasta ahora el más seguro y alternativa a el considerado casi como un standard y muy castigado por los bugs, BIND.

La vulnerabilidad no es fácil de explotar, pero de paso que nos hacemos eco de esta curiosa forma de premiar a quien reporta un bug, os aconsejamos a quienes lo utilicéis su conveniente actualización (Bernstein ya ha parcheado el software).

El afortunado ganador de los 1.000 $ es Matthew Dempsky. La película podía titularse; “Vivir de los bugs en tiempos de crisis…”. Bernstein ha cumplido su «Garantía de seguridad» (y de pago), a ver cuanto tiempo aguanta Qmail -;).

Fuente Slashdot | Info del Bug (traducido con Google).

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Desde phpt.net anuncian la disponibilidad de la versión 5.2.9 que viene a solventar unas 50 vulnerabilidades encontradas en la rama 5.2.x.

Algunas de ellas están catalogadas como «severas», por lo que conviene actualizar a la mayor brevedad posible tal y como informan en el anuncio de la release.

Los fallos más notables solucionados son los siguientes;

• Fixed security issue in imagerotate(), background colour isn’t validated correctly with a non truecolour image. Reported by Hamid Ebadi, APA Laboratory (Fixes CVE-2008-5498). (Scott)
• Fixed a crash on extract in zip when files or directories entry names contain a relative path. (Pierre)
• Fixed explode() behavior with empty string to respect negative limit. (Shire)
• Fixed a segfault when malformed string is passed to json_decode(). (Scott)

Toda la lista de cambios | Sección de descargas.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Desde Spotify (servicio de música online) informan sobre un grave fallo de seguridad mediante el cual un grupo de atacantes habría podido comprometer los protocolos del servicio.

Este grupo podría haber tenido acceso a determinada información de registro que podría permitir adivinar la contraseña de la cuenta.

Los datos referentes a Números de tarjetas de crédito no están almacenados en el sistema, como informan en el propio comunicado, por lo que en principio no deben estar comprometidos.

Son vulnerables aquellas cuentas que se crearon antes del 19 de diciembre de 2008 y en las que no se ha cambiado la contraseña en fecha posterior, además de aquellas que cuenten con contraseñas débiles.

Desde la web y como es obvio, recomiendan cambiar inmediatamente la contraseña de las cuentas creadas con antelación al 19 de Diciembre,  utilizar contraseñas fuertes, así como, cambiarla también en otros servicios si utilizabas la misma.

# Aviso de seguridad de Spotify.  | Actualización del aviso.

Una vez más recomendamos la lectura de esta entrada con consejos para crear y mantener nuestras contraseñas.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Esta entrada viene a raíz del robo de cuentas sufrido por Christian Van Der Henst, administrador de Maestros del web y Foros del web, caso felizmente resuelto y del que nos hicimos eco en Daboweb, (No hay de que -;) al igual que desde muchos otros blogs y comunidades.

Hace unos días, en una conversación vía Skype con Kids de Blogoff, cuando el se encontraba preparando su podcast de rabiosa actualidad con Christian como protagonista (os lo recomiendo), yo le decía que no acaba de entender el por qué de no avisar al usuario de cuando su cuenta (de correo, panel web, facebook, twitter, etc, etc como le sucedió a Christian) estaba siendo víctima de un ataque o cuando se cambia una contraseña.

Por ataque me pueden servir los que se realizan por fuerza bruta (intentos masivos de crackeo/adivinación de la contraseña del usuario) o de otro modo, con la peligrosa opción de “olvidé mi contraseña” y la consiguiente pregunta para recuperarla, uno de los males de la seguridad más explotados y que siguen dando sus devastadores frutos todos los días por ataques de ingeniería social (a través del conocimiento de los usos, costumbres y detalles personales de la víctima)

Está claro que la responsabilidad final de la seguridad de un servicio ofrecido vía web es principalmente del usuario, (sobre este punto habría mucho que «puntualizar» llegado el caso) pero estaréis de acuerdo conmigo en que no cuesta nada que por parte del prestador del servicio faciliten las cosas. Un caso que técnicamente cuesta bien poco implementar pero muy efectivo y que ha sido aplaudido por todos, es la política de Gmail de mostrar en el pie de página la dirección IP de la última conexión al correo, tan sencillo como leerlo de logs de acceso y meter el “refer” al final de la página ¿coste? cero.

Lo que me cuesta más entender es que en muchos de esos servicios (gmail o hotmail por ejemplo), te inviten a dejar una dirección de correo secundaria en tu perfil y no se valgan de esa segunda dirección para enviar un aviso en el caso de que estén intentando reventarte la cuenta legítima, porque cuesta lo mismo impedir el acceso de forma temporal caso de hotmail a la recuperación de una cuenta tras varios intentos fallidos que leer en la base de datos esos intentos y llegado a un número enviar un mail avisando.

Muchas veces hemos hablado de las contraseñas seguras y su importancia,(lo escribí hace 4 años) del uso de programas como Keepass o Colossus,  de como trabajar de forma remota con seguridad, también de no usar una sola cuenta o la principal y pública para administrar sitios web, información sensible, etc, etc, pero creo que también es momento de compartir la responsabilidad con el usuario del aseguramiento de una cuenta ya que el coste es mínimo y para ese usuario, un mail que incluya la IP desde la que se produjo el error de acceso, vital en esos momentos en los que se está llevando a cabo el ataque y a posteriori para depurar responsabilidades.

Muchos de esos servicios no deberían preocuparse sólo por sus anunciantes, monopolios, cuotas de mercado e impresiones de página, sino también por esos usuarios que son los que se tragan sus cookies, publicidad en ocasiones abusiva y condiciones de uso (y desuso).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Por David Hernández (Dabo).

Se han reportado varias vulnerabilidades en el navegador Safari de Apple que afectan a sistemas Windows Vista y XP.

Ya está disponible la versión 3.2.2 de Safari que solventa dichos bugs desde el actualizador de software de Apple así como del sitio de descargas del navegador.

Estos fallos (ejecución de código arbitrario en feeds / RSS manipulados o Javascript embebidos en los mismos) no afectan a sistemas Mac OS X con el Security Update 2009-001 instalado (publicados los detalles del mismo en Daboweb hace unas horas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Está ya disponible vía el menú «Actualizacion de software» de vuestros Mac la revisión de seguridad 2009-1 para Mac OS X 10.5.6 y 10.4.11 versiones de escritorio y server.

Dado los fallos que esta actualización de seguridad soluciona, es recomendable su instalación inmediata para estar protegidos ante una posible explotación de los mismos.

Concretamente, se han corregido los siguientes componentes vulnerables del sistema;

AFP Server, Apple Pixlet Video, CarbonCore, CFNetwork, CFNetwork, Certificate Assistant, ClamAV, CoreText, CUPS, DS Tools, fetchmail, Folder Manager, FSEvents, Network Time, Perl, Printing, Python, Remote Apple Events, Safari RSS, SMB, SquirrelMail, X11, XTerm.

También se han liberado sendas actuaciones de Java para las mismas distribuciones que solventan vulnerabilidades en Java Web Start y Java Plug-in que podrían ser sensibles a ataques vía webs especialmente manipuladas para tal fin.

Más info | Zona de descargas de Apple.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Se ha reportado una vulnerabilidad catalogada como de alto riesgo por Secunia en el software BlackBerry Aplication Web Loader, un cargador de aplicaciones web que viene instalado en dispositivos BlackBerry y que usa la tecnología Microsoft® ActiveX® para la instalación de aplicaciones vía web.

Este bug puede ser aprovechado para, a través de una página web manipulada para tal fin, engañar al usuario y romper la seguridad del dispositivo mediante un desbordamiento del buffer que llevaría a la ejecución de código arbitrario en la BlackBerry. El error se da en AxLoader.ocx or AxLoader.dll.

La solución pasa por actualizar el software a la versión 1.1 (en su sección de desarrollo, descarga bajo registro previo hasta que publiquen una actualización de su software de escritorio).

Más información (BlackBerry USA)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

En estos momentos se puede ver el siguiente mensaje en phpBB.com, el sitio oficial de soporte del popular sistema de foros phpBB;

Han sido víctimas de un ataque a causa de una instalación del software de gestión y envío de listas de correo PHPlist sin actualizar y del que según puedo leer, el día 29 se anunció una vulnerabilidad que podía llevar a un acceso al sistema comprometido.

La gente de phpBB está trabajando duro para poder restablecer el servicio normal de descarga y soporte y mientras lo solventan, han habilitado una zona para las descargas de phpBB (aseguran que el software está exento de cualquier problema) y otra zona para dar soporte vía foro hasta que puedan arreglarlo.

En un hilo de ese foro, se puede leer (en Inglés) como los atacantes accedieron a todas direcciones de correo de usuarios de la lista de PHPlist, para después realizar un ataque sobre la base de datos de phpBB.com y conseguir volcar la tabla de usuarios registrados. Tanto los datos de la lista de correo con todos los mails de suscriptores, como la tabla de la base de datos de los usuarios registrados fueron sustraidos.

Esto plantea un problema de seguridad a los usuarios registrados en phpBB.com y recomiendan cambiar sus passwords rápidamente si usaban el mismo en otros sistemas de foros (y más si cabe con el mismo nick). También comentan que uno de los motivos de haber dejado de dar soporte a la rama 2.0.x de phpBB es los hashes de las contraseñas no son tan potentes como los de la versión 3.0.x y que si el usuario se había registrado en phpBB.com cuando estaba en la versión 2.0x y no había entrado cuando ya estaban bajo la 3.0x, ese hash conserva el formato antiguo siendo más débil frente a un ataque que, precisamente, se ha centrado en capturar esas cuentas de usuario creadas bajo phpBB 2.0x.

(Gracias The KuKa por el aviso).

Por David Hernández (Dabo)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Se encuentra disponible para su descarga la nueva versión Firefox 3.0.6 Final del navegador web de Mozilla.

Esta nueva actualización viene a solventar varios fallos de seguridad catálogados como críticos, así como otros menores  y problemas de estabilidad que afectarían a las versiones anteriores del navegador.

Problemas de seguridad:

• MFSA 2008-69 XSS vulnerabilities in SessionStore

• MFSA 2008-68 XSS and JavaScript privilege escalation

• MFSA 2008-67 Escaped null characters ignored by CSS parser

• MFSA 2008-66 Errors parsing URLs with leading whitespace and control characters

• MFSA 2008-65 Cross-domain data theft via script redirect error message

• MFSA 2008-64 XMLHttpRequest 302 response disclosure

• MFSA 2008-63 User tracking via XUL persist attribute

• MFSA 2008-60 Crashes with evidence of memory corruption (rv:1.9.0.5/1.8.1.19)

El navegador web Mozilla Firefox está disponible para varios sistemas e idiomas incluido el español. La actualización puede realizarse desde el propio navegador mediante la actualización automática a través del menú Ayuda -> Buscar actualizaciones si no tenéis configurada la detección automática de nuevas versiones, o bien, realizar la descarga manualmente e instalar posteriormente.

A todos aquellos que aún utilizáis la rama 2.x recordaros que Mozilla ya dejó de dar soporte a esta versión desde el pasado mes de Diciembre por lo que debéis actualizar a la rama 3.x.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Llegan unas fechas muy señaladas con la celebración del día de los enamorados, San Valentín y/o Día del amigo en muchos países el próximo día 14 de Febrero. Una situación propicia para el envío y recepción en nuestras cuentas de correo electrónico de multitud de Postales de felicitación virtuales.

Pero ojo, no siempre obedecen a intereses legítimos y en muchas ocasiones, más de las deseables, este tipo de felicitaciones o tarjetas electrónicas suponen un riesgo añadido a la seguridad de nuestros equipos, al contener algún tipo de malware, bien sea desde la descarga de archivos adjuntos, o a través de webs manipuladas a las que nos dirigen al pulsar en un enlace desde el que se supone deberíamos visionar la tarjeta.

Como siempre, desde daboweb os recomendamos prudencia, extremar las precauciones a la hora de acceder a este tipo de mensajes, confirmar el remitente del mismo,  idioma, asunto, etc., y ante la duda; lo mejor ignorarlos.

Sentido común por encima de todo.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias