Daboweb | Seguridad y ayuda informática |

Alguna vez ya os hemos recomendado visitar la página personal de Alfon, Seguridad y Redes , también, para un mejor seguimiento de sus artículos, podéis suscribiros a su Feed.

La web de Alfon es un lugar donde se hacen las cosas «como antes», es decir, sin prisa, publicando series de artículos detallados donde realmente podrás aprender más allá de una breve reseña u opinión y con mucho fundamento.

Para este fin de semana os queremos sugerir esta serie de entradas en las que podréis aprender como se captura, filtra y analiza todo tipo de tráfico de red con varias de las herramientas más potentes para escuchar y capturar esos paquetes.

Desde websecurity, nos ofrecen una serie de interesantes consejos y medidas a poner en práctica para dotar a un sistema basado en GNU/Linux de un mayor nivel de seguridad. Partiendo de la creencia (al menos por estos dominios) de que la seguridad total es una utopía, cuanto más hagamos por llegar a ella, mejor que mejor.

Se da un repaso a herramientas creadas para fortalecer el núcleo (linux) con parches que pueden protegerte de ataques por desbordamiento del búfer, denegación de servicio y otros muy comunes. También se revisan servicios innecesarios o que puedan ser fuente de problemas y cómo desactivarlos, implementación de políticas de seguridad en el sistema, etc, etc.

El contenido se ofrece en 5 partes para una mejor comprensión.

Como blindar nuestro sistema Linux

• Blindaje de nuestro sistema (Parte I)
• Blindaje de nuestro sistema (Parte II)
• Blindaje de nuestro sistema (Parte III)
• Blindaje de nuestro sistema (Parte IV)
• Blindaje de nuestro sistema (Parte V)

Como podréis comprobar, los consejos y medidas a adoptar, además de mucha lógica, están escritos de un modo comprensible por todos. Recordad que en nuestro subforo de GNU/Linux, nos tenéis para echaros un cable -;)

Se acaba de anunciar el lanzamiento de la versión 1.4.0 de SystemRescueCd. Como sabréis, se trata de una distro de GNU/Linux basada en Gentoo que se ejecuta como un Live CD y que puede ayudaros a solventar más de un desastre en instalaciones de GNU/Linux con problemas.

Con SystemRescueCd podrás intentar recuperar datos borrados accidentalmente, redimensionar o solventar problemas de particionado , comprobar la integridad de un sistema de ficheros además de repararlo, etc, etc.

Como se puede leer en la lista de cambios que publicamos debajo, hay nuevas e interesantes opciones para el arranque en unidades de red, además de una actualización de los kernels estándar y alternativos.

Lista de cambios;

* 1.4.0) 2010-03-01:

o Updated the standard kernels to linux-2.6.32.9
o Updated the alternative kernels to Linux-2.6.27.45
o Updated mozilla-firefox to 3.6
o Added zfs-fuse-0.6.0 filesystem
o Updated fsarchiver to 0.6.8 (fixes archive corruption when saved to smbfs/cifs)
o Updated sys-apps/parted to 2.1 (support for devices with sectors > 512 bytes)
o New boot option «nbdboot=ip:port» to boot sysresccd from NBD (network block device)
o New boot option «nfsboot=ip:/path» to boot sysresccd from NFS (network filesystem)
o New boot option «isoloop=xxx» to boot sysresccd from an ISO on the disk with grub2

Os recomendamos tener a mano siempre una copia de esta potente distro ya que, cuando nos sobreviene un desastre, la experiencia nos dice que cuanto antes podamos atajar el problema, mejor que mejor.

Más información y descarga de SystemRescueCd 1.4.0.

Los Rogue o Falsos Antivirus gratuitos, malware cuyos procedimientos o métodos de infección,  empleados para que “muerdas el anzuelo”, están en continua evolución y la presentación o formas, cada vez son más variopintas, por tanto y antes de que descargues e instales programa de seguridad alguno, te recomendamos busques información al respecto del mismo.

Este es el caso de Security Essentials 2010, un Rogue o falso antivirus que simula ser el último antivirus gratuito de Microsoft, pero que en realidad lo que hace es instalar malware en nuestro equipo, cambiando el fondo de escritorio y lanzando avisos de infección, etc., con el fin de que el usuario realice la compra del supuesto programa que eliminará esa infección.

El hecho de ser gratuito o tener un vistoso nombre no son garantía de fiabilidad, es más, la mayoría de ellos tratarán de asemejar su nombre a otros programas de seguridad de contrastada y reconocida calidad con lo que confundir y llevar a error al usuario para que lo instale.

• Más información.

Como siempre, mucho ojo con lo que permites instalar en tu equipo y os recomendamos el visionado del siguiente vídeo.

• Vídeo educativo Rogue o falsos antivirus.

Una vez más y debe ser la enésima, vuelven a circular correos electrónicos que supuestamente proceden de Microsoft alertando sobre una infección con el gusano Conficker.B, en el que además encontraréis un archivo adjunto.

Este en particular podríamos pensar que nos lo envía Microsoft Team y tanto el asunto del mensaje Conflicker.B Infection Alert, como el texto del mismo están en inglés.
.

Realizando una traducción desde un buscador web de ese texto, viene a decir algo así como:

…El «gusano Conficker ‘comenzó a infectar a los clientes de Microsoft inusualmente rápido. Microsoft ha sido advertido por su proveedor de Internet que está infectado de la red.

Para contrarrestar la propagación le recomendamos eliminar la infección mediante un programa anti spyware. Estamos suministrando todos los usuarios de Windows a cabo con un sistema de exploración libre con el fin de limpiar los archivos infectados por el virus.

Por favor instale el archivo adjunto para iniciar la exploración. El proceso tarda menos de un minuto y evitará que sus archivos se vean comprometidos. Le agradecemos su cooperación inmediata.

Microsoft ya comunicó en su dia que no utiliza estos procedimientos para informar de sus actualizaciones ni similares.

Desde daboweb recomendamos que hagais caso omiso de este tipo de correos, extreméis la medidas de seguridad y sobre todo sentido común…

Adobe ha publicado un boletín de seguridad en el que informa que ha actualizado sus productos Adobe Acrobat y Adobe Reader, corrigiendo diversas vulnerabilidades críticas de las versiones anteriores, por cierto publicadas la pasada semana, que entre otras, podrían permitir a un atacante tomar el control del sistema afectado.

Las nuevas versiones actualizadas son las numeradas como 9.3.1 y 8.2.1 para Windows, Unix y Macintosh.

Por tanto si utilizas este programa para manipular o ver los archivos pdf en tu equipo, recomendamos actualices a estas nuevas versiones a la mayor brevedad posible.

Acceder al boletin Adobe.

Una vez más con la llegada de fechas señaladas, en este caso la celebración del día de los enamorados, San Valentín y/o Día del amigo en muchos países el próximo día 14 de Febrero, volvemos a ser bombardeados en nuestros correos electrónicos con multitud de Postales de felicitación virtuales, páginas de regalos, etc.

Pero ojo, no siempre obedecen a intereses legítimos y en muchas ocasiones, más de las deseables, este tipo de correos con enlaces a páginas de regalos, con felicitaciones o tarjetas electrónicas, etc., suponen un riesgo añadido a la seguridad de nuestros equipos, al contener algún tipo de malware, bien sea desde la descarga de archivos adjuntos, o a través de webs manipuladas a las que nos dirigen al pulsar en un enlace desde el que se supone deberíamos visionar la tarjeta o acceder a la web de compra.

Como siempre, desde daboweb os recomendamos prudencia, extremar las precauciones a la hora de visionar este tipo de mensajes, confirmar el remitente del mismo,  idioma, asunto, etc., y ante la duda; lo mejor ignorarlos.

Sentido común por encima de todo.

Os recomendamos para hoy la lectura de una entrada del Blog para Webmasters de Google, en la que se habla del proceso de revisión que sigue Google sobre un sitio web que contenía malware.

También nos dan pistas sobre cómo actuar para que Google no la marque como potencialmente dañina a los visitantes, con la consiguiente pérdida de tráfico y prestigio e ingresos según la actividad.

Según nos informan desde Google;

Los esfuerzos para combatir el malware por parte de Google están orientados tanto a los webmasters como a los visitantes del sitio web. Google escanea continuamente nuestro índice web, detectando las páginas que podrían ser peligrosas para los visitantes del sitio. Cuando encontramos este tipo de páginas, se marcan como perjudiciales en nuestros resultados de búsqueda y también se proporcionan estos datos a varios navegadores, para que los usuarios de esos navegadores reciban avisos directamente […]

Obviamente, se entiende que el responsable de la página afectada, (a no ser que sea algo voluntario), actuará de forma rápida y no sólo por la pérdida de tráfico, sino por el riesgo de infectar a los visitantes, pero no está de más reseñar cuales son los pasos a seguir por nuestra parte, caso de que nos veamos en una situación similar.

Acceso a; «El proceso de revisión de Malware«.

De todos es sabido que las redes sociales son uno de los lugares preferidos por los spammers (correo electrónico no solicitado) y creadores de malware (programas maliciosos) para comprometer la privacidad o integridad del sistema de quienes las frecuentan.

Uno de los lugares más acechados es FaceBook y de la mano de WebSense, nos llega la versión 2 de Defensio, una especie de «firewall» o protección de tu muro, comentarios en una bitácora, etc, etc. Defensio 2.0 no es sólo válido para blogs gestionados con  WordPress o Drupal, se soportan muchos más servicios «2.0», pero la gran novedad, es la protección en tiempo real de una cuenta de FaceBook.

Esta solución de seguridad para la web social, te protegerá del spam además de enlaces con contenido malicioso, bien borrando su contenido o dejándolo en cuarentena como haría un antivirus al uso. Filtros para contenidos como apuestas, venta de medicamentos (viagra especialmente), pornografía además de ficheros ejecutables o scripts que puedan comprometer la seguridad de la cuenta del usuario.

Todo ello de un modo gratuito previo registro nada complicado aunque en Inglés. ¿Qué es Defensio? (ENG).

Fuente Darknet (ENG). Más info en Threatpost (ESP), recomendable blog sobre cuestiones de seguridad.

Desde la lista de correo de Apple Security nos llega este aviso de actualización de seguridad catalogada como 2010-001 en Mac OS X.

Recordad que está disponible a través del menú «manzana» – «actualización de software» y dado los temas que se solventan, es más que recomendable actualizar.

Concretamente, se han corregido varios bugs de diverso impacto para el sistema en las siguientes aplicaciones;

CoreAudio

CVE-ID:  CVE-2010-0036
Mac OS X v10.5.8, Mac OS X Server v10.5.8,
Mac OS X v10.6.2, Mac OS X Server v10.6.2

CUPS

CVE-ID:  CVE-2009-3553
Mac OS X v10.5.8, Mac OS X Server v10.5.8,
Mac OS X v10.6.2, Mac OS X Server v10.6.2

Flash Player plug-in

CVE-ID:  CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798,
CVE-2009-3799, CVE-2009-3800, CVE-2009-3951
Mac OS X v10.5.8, Mac OS X Server v10.5.8,
Mac OS X v10.6.2, Mac OS X Server v10.6.2

ImageIO

CVE-ID:  CVE-2009-2285
Mac OS X v10.5.8, Mac OS X Server v10.5.8

Image RAW

CVE-ID:  CVE-2010-0037
Mac OS X v10.5.8, Mac OS X Server v10.5.8,
Mac OS X v10.6.2, Mac OS X Server v10.6.2

OpenSSL

CVE-ID:  CVE-2009-3555
Available for:  Mac OS X v10.5.8, Mac OS X Server v10.5.8,
Mac OS X v10.6.2, Mac OS X Server v10.6.2

Adobe ha publicado un boletín de seguridad en el que informa que ha actualizado sus productos Adobe Acrobat y Adobe Reader, corrigiendo diversas vulnerabilidades críticas de las versiones anteriores, que entre otras, podrían permitir a un atacante tomar el control del sistema afectado.

Las nuevas versiones actualizadas son las numeradas como 9.3 y 8.2 para Windows, Unix y Macintosh. Por tanto si utilizas este programa para manipular o ver los archivos pdf en tu equipo, recomendamos actualices a estas nuevas versiones a la mayor brevedad posible.

Acceder al boletin Adobe.

Este es el aviso de seguridad que podemos leer en Slashdot (ENG) informando acerca del peligro que puede suponer para tus datos personales y bancarios instalar alguna aplicación del desarrollador «Droid09» en Android Market, el sitio web de aplicaciones para dispositivos basados en Android (por ejemplo HTC o Nexus One).

Se recomienda encarecidamente borrar cualquier rastro de una de sus aplicaciones caso de que hubiesen sido instaladas, además de informar a la operadora de telefonía y cambiar datos de acceso a la banca electrónica.

El peligro real reside en que una vez instalado el programa, abre una shell oculta que intenta acceder a la información financiera de la víctima, un ejemplo de phising pero con técnicas mucho más agresivas que las que buscan el engaño a través de la ingeniería social o, simplemente mandando un aviso de «cambio de cuenta o datos almacenados en el sistema» buscando que la victima envíe su contraseña real.

Fuente original (ENG).

Hace un tiempo en Daboweb nos interesábamos por el futuro de milw0rm.com cuando vimos que llevaba un tiempo sin publicar nuevos exploits.

Milw0rm retornó su actividad, pero desde Septiembre, ha vuelto a cesarla sin haber ahora mismo una fecha prevista para su vuelta. Como alternativa tenemos a www.exploit-db.com (Exploit Database), website creado nada más y nada menos que por los responsables de BackTrack, distro de GNU/Linux orientada a la seguridad.

Offensive Security nos mantiene informados desde su dirección RSS o en su Twitter donde también publican los nuevos exploits que van surgiendo, aunque siempre puedes consultar su ya amplia lista vía web en la que se ordenan por categorías, (Exploits remotos, locales, aplicaciones web, etc).

El lanzamiento de esta web, es sin duda una gran noticia para los aficionados y profesionales a la seguridad informática que estábamos viendo un importante vacío informativo desde que Milw0rm cesó su actividad.