[SSD] Security & Development Blog

Nuevo Blog

2007-04-22T01:11:00.000-06:00

Se ha creado un nuevo blog para Shadow Security and Development Team, el cual esta en el servidor dond se aloja la pagina del team, El backup se ha creado perfectamente y ya estan pasados los post de este blog al nuevo, ya pueden ver los post en el otro blog.

url del nuevo blog

y aqui la nueva url de la pagina del team

Usuarios de Linux en peligro cuando usan redes Wifi

2007-04-21T10:58:00.000-06:00

De acuerdo a un informe realizado por el por el investigador de France Telecom, Laurent Butti, los controladores para conectarse a redes Wifi de Linux presentan un grave agujero de seguridad..

La falla descubierta en los drivers Wi-fi para Linux, es un agujero stack-overflow y posibilitaría que un atacante ejecute en forma remota un código malicioso en forma arbitraria, incluso cuando la computadora no esté conectada a una red inalámbrica.

Los controladores afectados son los denominados madwifi para los chipsets inalámbricos de Atheros, y el ataque fue detectado mediante el uso de las técnicas de ‘fuzzing‘.

El fuzzing es un procedimiento para buscar problemas de seguridad en un software, que se basa en crear entradas semi-válidas para una aplicación.

Los inputs deben ser tratados como válidos por la utilidad y lo suficientemente alterados para hacer fallar al sistema.

Así, cuando el programa se malogra, esta operación permite detectar en forma inmediata los agentes maliciosos que generalmente son pasados por alto y explotados por los ciberdelincuentes.

Además, el analista de France Telecom ofreció información sobre la vulnerabilidad encontrada, y los desarrolladores del proyecto madwifi pusieron a disposición de los linuxeros un parche en descarga.

Sin embargo, algunas distribuciones Linux aún no han incluido el código de su parche, por lo que los usuarios de dicho sistema operativo deben actuar con cautela si disponen de una tarjeta inalámbrica con chipset de Atheros y utilizan el controlador de madwifi

Fuente : Noticiasdot.com

Ataques directos, phishing más sofisticado

2007-04-21T10:48:00.000-06:00

Los ataques de spam y phishing se dirigen cada vez más a usuarios y organizaciones concretas, según un reciente reporte de MessageLabs, conocida compañía vendedora de seguridad para el correo electrónico de empresas.

Por día, MessageLabs examina más de 180 millones de mensajes de todo el mundo. Según el informe, de 716 comunicaciones electrónicas diferentes relacionadas con phishing interceptadas en un día promedio, casi 250 tenían destinatarios concretos, en lugar de usuarios al azar.

Esta frecuencia es casi diaria, mientras hace apenas un mes, este tipo de ataques se daba una o dos veces a la semana.

Lo que se desprende de este análisis, es que los delincuentes informáticos están cambiando sus tácticas para obtener más ganancias. Esta clase de ataque dirigido a una organización específica, es más peligroso que otros contra usuarios al azar.

Por ejemplo, si no tiene cuenta en un banco determinado -o tal vez en ninguno-, y recibe un correo donde se le solicita el cambio de usuario y contraseña por motivos de seguridad, redirigiéndolo a una página que aparenta ser del banco, el riesgo será proporcional a la curiosidad que UD. sienta como para, de todos modos, hacer clic en el enlace.

Pero si recibe un correo de SU banco, tal vez resulte menos cuidadoso a la hora de -por lo menos- "curiosear" la página que le piden visite. Y también hay más probabilidades que cometa el grave error de ingresar sus datos en dicha página, antes de averiguar directamente con la institución sobre el tema.

Además, este tipo de ataque suele estar mejor preparado, con detalles más convincentes. Por ejemplo, puede utilizarse un dominio casi similar al verdadero. Si su banco tiene una dirección como "mi-banco.com", el criminal podría haber registrado un dominio como "m1-banco.com". La mayoría de los usuarios no llega a notar que la letra "i" fue suplantada por el número uno.

Muchos de esos ataques, además, utilizan vulnerabilidades conocidas para descargar otros malwares cuando UD. visita esos sitios. De ese modo, aún cuando no llegue a caer en la trampa de ingresar directamente su usuario y contraseña en ella, su PC podría quedar comprometido, y tarde o temprano, cuando visite la verdadera página del banco, el malware descargado y ejecutado antes, obtendrá la información que busca.

Según el informe ya comentado, es evidente que la tendencia actual de los chicos malos, es realizar sus ataques, cada vez de forma más directa.

Un 84 por ciento de estos ataques, están utilizando la descarga de software malicioso, además de usar la clásica ingeniería social para hacer creer a sus víctimas que el mensaje es real.

Por otra parte, noticias como el trágico tiroteo de la universidad tecnológica de Virginia, son utilizadas para la descarga de troyanos que explotan el robo de información confidencial.

Ya hace unos días, comentábamos la aparición de algunos. Otros similares han sido detectados en las últimas horas. Detrás de imágenes del asesino, o del tristemente famoso video enviado a una importante cadena de televisión pocas horas antes de la masacre, se esconden malwares que buscan obtener sus datos.

Por ejemplo, si registran sus hábitos de navegación, y que páginas visita -además de obtener el nombre y dirección de correo de su máquina-, UD. podría recibir apenas horas después, un mensaje de su propio banco donde le piden que ingrese a la página de inicio del mismo, para cambiar su contraseña y otra información, "por razones de seguridad".

El mundo "allí afuera", siempre va a estar acechando a los incautos o demasiados confiados. Mientras más conozca UD. que este tipo de cosas es posible, más preparado estará para enfrentarlo.

Relacionados:

Tragedia de Virginia Tech usada por troyanos y phishers
http://www.vsantivirus.com/18-04-07.htm

Tendencias del malware para el 2007
http://www.vsantivirus.com/tendencias-malware-2007.htm

Bruce Schneier: "la gente es demasiado paranoica"
http://www.vsantivirus.com/mm-bruce-schneier.htm

Sitio falso que simula ser del Banco Santander
http://www.vsantivirus.com/phis-gruposantander-220306.htm

En Internet, todos somos extraños (Por Jose Luis Lopez)
http://www.vsantivirus.com/23-06-05.htm

El "phishing" se extiende al teléfono (Mercè Molist)
http://www.vsantivirus.com/mm-phishing-telefonico.htm

Más sobre phishing y spam:

http://www.vsantivirus.com/hoaxes.htm

Revientan acto de Bill Gates en China

2007-04-21T10:03:00.000-06:00

Bill Gates acababa de pronunciar su discurso en la Universidad de Pekín (donde estaba siendo homenajeado), cuando un sujeto irrumpió bruscamente en el escenario dando gritos contra el monopolio de Microsoft y sosteniendo una pancarta que decía "Free Software, Open Source".

El individuo fue retirado de inmediato por los cuerpos de seguridad y detenido para ser interrogado.

No me gustaría estar en su pellejo. La dictadura china no suele estar de humor... y puede que Bill Gates tampoco...

Fuente:
Open source protestor crashes Bill Gates' speech in China [Engadget].

Apple publica un parche de seguridad que soluciona 25 vulnerabilidades

2007-04-20T22:59:00.000-06:00

Apple ha publicado una actualización que soluciona múltiples vulnerabilidades en Mac OS X que podrían ser aprovechadas por un atacante local o remoto para comprometer un sistema vulnerable.

Apple ha publicado un parche de seguridad que corrige hasta 25 errores distintos en su sistema operativo Mac OS X. Estas vulnerabilidades podrían ser aprovechadas por un atacante para provocar denegaciones de servicios, ejecutar comandos arbitrarios, acceder a información importante del sistema o para eludir restricciones de seguridad.

Esta es la cuarta gran actualización del año (con el código 2007-004). Los componentes y software afectados son muchos: AFP Client, CoreServices, sistema de ficheros UFS, Visor de ayuda, Libinfo, librería RPC, ftpd, fetchmail, la ventana de login (que podría ser eludida), sistema de ficheros en WebDAV, WebFoundation... entre muchos otros sobre los que apenas se han proporcionado detalles técnicos.

De las más graves resulta el fallo en AirPortDriver, que permite la ejecución de código con privilegios administrativos en eMac, iBook, iMac, PowerBook G3, PowerBook G4, o Power Mac G4 que vengan con una tarjeta AirPort.

La anterior actualización para Apple se publicó el día 13 de marzo y supuso el parcheo de 45 errores de seguridad en sus sistemas, muchos de ellos (al igual que en esta ocasión) dados a conocer durante el "mes de los fallos en Apple" que tuvo lugar el pasado mes de enero.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

Security Update 2007-004 (10.3.9 Server) :
http://www.apple.com/support/downloads/securityupdate20070041039server.html

Security Update 2007-004 (10.3.9 Client) :
http://www.apple.com/support/downloads/securityupdate20070041039client.html

Security Update 2007-004 (PPC) :
http://www.apple.com/support/downloads/securityupdate2007004ppc.html

Security Update 2007-004 (Universal) :
http://www.apple.com/support/downloads/securityupdate2007004universal.html

Más Información:

14/03/2007 Apple publica un parche de seguridad que soluciona 45
vulnerabilidades
http://www.hispasec.com/unaaldia/3063

About Security Update 2007-004
http://docs.info.apple.com/article.html?artnum=305391

Los antivirus en línea

2007-04-20T22:54:00.000-06:00

Un antivirus en línea, es un programa antivirus que se ofrece, por lo general, de forma gratuita para “escanear” y en algunos casos desinfectar los archivos infectados por virus. La característica principal de este tipo de programa es que se distribuyen a través de Internet, basta con tener un navegador Web (Internet Explorer) y acceso a la red para poder utilizarlo.

A pesar de que el uso de este tipo de programas es una gran ventaja, hay que tomar en cuenta algunas consideraciones:

i) La mayoría de los rastreadores en línea, en realidad no son tan en línea. De hecho instalan el rastreador en la máquina del cliente, de manera más o menos permanente. Lo hacen así porque realizar el rastreo desde una máquina remota sería extremadamente lento. Lo que ocurre es que no instalan el "exe", sino solo los DLL´s y las definiciones; la orden de ejecutar el rastreo es lo único que viene del servidor Web una vez que se instaló el rastreador en el equipo del usuario (esto quiere decir algo interesante: cuando se hace un rastreo en línea, generalmente el producto se queda en la máquina del cliente y puede usarse sin tener que comprarlo, siempre que se sepa cómo activarlo sin ir a la página del fabricante) Algunos “escaners” tienen la decencia de incluir un desinstalador, mientras otros dejan allí su basura; y otros más, los que sí “escanean” desde el servidor, tienen la limitación de que hay que subir los archivos a “escanear”, lo que prácticamente anula su utilidad para la mayoría de las situaciones

ii) El uso de la tecnología ActiveX, excluye a usuarios que usen otros navegadores como Netscape u Opera.

iii) En ocasiones, sólo van a ser útiles para detectar el tipo de virus que infecta al equipo. Por lo que se sugiere informarse si es necesario ocupar algún procedimiento especial de desinfección.
No obstante, existe una ventaja que a veces se pasa por alto: muchos virus y gusanos desactivan los antivirus para evitar ser detectados, pero a menudo sólo desactivan los antivirus que el autor del virus conoce, lo que excluye a las versiones "en línea", así que no es raro que algunos antivirus no puedan detectar virus que su “escáner” en línea sí encuentra.
Sería maravilloso, tener tantos antivirus en línea verdaderamente funcionales -no importando los recursos y características del equipo de cómputo donde vayan a ser empleados- a toda prueba. Pero desgraciadamente esto no sucede.
Después de analizarlos -todos ellos- minuciosamente -en el caso de los "rastreadores on-line"- llegué a la conclusión de que solamente uno de ellos, COMMAND ON DEMAND (el rastreador en línea de Command Antivirus con F-Prot), es el único que ofrece todas las garantías de transparencia, rapidez y accesibilidad.

Información sobre COMMAND ON DEMAND
Guía de Usuario de COMMAND ON DEMAND SCANNER
Rastreador COMMAND ON DEMAND

No tengo nada en contra de las demás casas antivirus que proporcionan este servicio, pero honestamente -en su caso- es más sencillo bajar la versión de evaluación de su producto y limpiar la PC con ésta, que pretender que sea algo operante intentar "limpiar -con ellos- nuestro equipo desde Internet."

Si deseamos, solamente verificar si algún archivo tiene virus, el servicio de VIRUS TOTAL es además de nítido, francamente insuperable.

Fuente: http://securityinformationdeluxe.blogspot.com/2007/04/acerca-de-los-antivirus-en-lnea.html

Virus informático "letal para humanos" causa alarma en Pakistán

2007-04-20T16:59:00.000-06:00

Un virus para teléfonos móviles causa alarma entre abonados de telefonía celular en Pakistán, que temen contraerlo personalmente.

Diario Ti: La impresión de algunos usuarios es que al recibir el mensaje que acompaña el virus no solo el aparato quedará fuera de servicio, sino el propio usuario será infectado por el virus.

SMS intimidatorio
En el mensaje de texto se señala que el usuario morirá debido al virus que acaba de infectarlo. La compañía Telecom de Pakistán dice haber recibido un gran número de clientes preocupados por el mensaje, cuyo origen se desconoce.

Según el sms, "el virus ya ha costado la vida a 20 personas".

Mezquitas advierten
Incluso algunas mezquitas han comenzado a advertir sobre el peligroso virus. Por su parte, Telecom ha debido explicar a sus usuarios que es imposible contraer, y menos aún morir, por efecto de un virus para teléfonos móviles.

La broma de mal gusto también ha llegado a Afganistán, donde las autoridades atribuyen al Talibán la autoría del irresponsable mensaje.

Fuente: Techweb.

Seguridad... ¿Qué seguridad?

2007-04-20T09:33:00.000-06:00

Cuando uno irrumpe en el escenario donde todos corren presurosos a realizar la triunfal presentación de su correspondiente producto ultraseguro, instantáneamente se convierte en el Pepito Grillo que nadie quiere escuchar, el inoportuno imbécil que se atreve a revelar que el emperador está desnudo.

Pero alguien tiene que hacerlo. Las cifras son muy preocupantes, hasta el punto de que no debería hablarse nunca más de "seguridad" en la Red, sino de "inseguridad" pura y dura.

Veamos; el 80% de los principales sitios web escaneados (incluyendo bancos y otros sitios muy populares) son muy vulnerables a ataques. El 70% tienen uno o más fallos XSS. Uno de cada tres filtra información al exterior que podría facilitar un ataque. Uno de cada cuatro permite falsificar contenidos. Algo menos de uno de cada cuatro permite inyección de SQL, etc, etc...

La fuente de todos estos datos es un reciente estudio realizado por Jeremiah Grossman, basado en el escaneo de vulnerabilidades en cientos de los sitios web más populares.

Fuente:
Eight in ten major Web sites highly vulnerable to attack [Computer World].

El estudio original:
WhiteHat Security Web Application Security Risk Report – April 2007 Edition (la descarga del pdf requiere registro previo, pero en mi caso se ha dado una curiosa paradoja: tras registrarme con mis datos reales, el formulario los rechaza como "inválidos" y NoScript me avisa de un intento de exploit XSS. Procedo a utilizar datos aleatorios y puedo descargar el documento sin problemas .

Múltiples vulnerabilidades en varios servicios de IBM Tivoli Monitoring

2007-04-19T21:04:00.000-06:00

Se han identificado diversas vulnerabilidades en IBM Tivoli Monitoring que podrían permitir a un atacante la ejecución de código arbitrario en sistemas afectados.

Estas vulnerabilidades son causadas por un desbordamiento de buffer ocasionado al procesar cádenas con una longitud demasiado grande. Son varios los servicios que se ven afectados por este fallo: el Tivoli Universal Agent Primary (con puerto TCP de escucha 10110), el Monitoring Agent for Windows OS - Primary (con puerto TCP 6014)y el Tivoli Enterprise Portal Server (este con puerto TCP 14206).

Si un atacante enviara solicitudes muy extensas a cualquiera de estos servicios, se produciría un desbordamiento de pila durante la llamada a una función incluida en kde.dll, lo que posibilitaría la ejecución de código en el sistema sin necesidad de ser un usuario autentificado.

IBM recomienda actualizar a IBM Tivoli Monitoring versión 6.1.0 Fix
Pack 2 (6.1.0-TIV-ITM-FP0002)
ftp://ftp.software.ibm.com/software/tivoli_support/patches/patches_6.1.0/6.1.0-TIV-ITM-FP0002/

Más Información:

IBM Tivoli Monitoring Express Universal Agent Heap Overflow Vunlerability
http://www.zerodayinitiative.com/advisories/ZDI-07-018.html

IBM Tivoli Monitoring Version 6.1.0 Fix Pack 2 (6.1.0-TIV-ITM-FP0002)
http://www-1.ibm.com/support/docview.wss?uid=swg24012341

Semana de la Seguridad

2007-04-19T14:04:00.000-06:00

Semana de la seguridad de microsoft a llevarse acabo del 24 al 29 de abril, todos los interesados visitar aqui

Vulnerabilidad de Windows aprovechada por el gusano Rinbot.Q

2007-04-19T11:39:00.000-06:00

- Este gusano está diseñado para descargar otros códigos maliciosos en los ordenadores infectados

PandaLabs ha detectado el gusano Rinbot.Q, que se propaga aprovechando la vulnerabilidad en el DNS Server de Windows. Esta vulnerabilidad, descubierta recientemente, aún no ha sido parcheada por Microsoft.

“Los usuarios deben estar atentos porque, hasta que el fallo sea parcheado, podrían aparecer nuevos códigos maliciosos que intenten explotar esta vulnerabilidad. Además, hay publicado un exploit que ya aprovecha este fallo, por lo que la situación es bastante grave”, explica Luis Corrons, Director Técnico de PandaLabs.

Rinbot.Q tiene funcionalidades downloader. “Esto lo hace aún más peligroso. Una vez ha llegado al ordenador aprovechando la vulnerabilidad, este gusano puede descargar otros códigos maliciosos en la máquina. Es decir, los ciber-delincuentes cuentan con una forma rápida y silenciosa de propagar sus creaciones más dañinas”, afirma Luis Corrons.

Cuando se instala en el ordenador, este gusano comprueba si hay instalado algún programa para el control de la red, como Ethereal. En caso afirmativo, lo elimina para evitar su detección. Además, Rinbot.Q crea ciertas modificaciones en el registro para ejecutarse con cada reinicio. Este gusano también es capaz de propagarse a través de las unidades compartidas de red.

“No sería extraño que en los próximos días viésemos una oleada de otros gusanos, como alguno de la familia Spamta. Muchas veces, esas oleadas son sólo un señuelo para que los usuarios y las compañías se centren en esa oleada. Mientras, por otro lado y de manera más silenciosa, se están distribuyendo nuevos códigos que aprovechen esta vulnerabilidad”, advierte Luis Corrons.

Los usuarios que deseen comprobar si éste o algún código malicioso ha atacado su ordenador pueden utilizar, de manera completamente gratuita, la solución online TotalScan.

También pueden hacer uso de NanoScan beta, un escáner online que detecta todo el malware activo en un ordenador en menos de un minuto.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de Panda Software.

El spam representa aún el 90% del correo electrónico

2007-04-19T10:27:00.001-06:00

La empresa Commtouch ha publicado sus cifras sobre las tendencias del correo basura, y los resultados para el primer trimestre del año no son nada halagüeños. El spam sigue muy, muy activo.

Como cualquiera que utilice una cuenta de correo electrónico sabrá, el spam sigue llenando los buzones de correo, y del 85 al 90% de todos los e-mails que nos llegan son correo basura, con los anuncios sobre viagra y otras "mejoras sexuales" en el número uno de las categorías de spam. A continuación los más frecuentes son las estafas de todo tipo, que tratan de hacernos introducir datos confidenciales mediante todo tipo de trucos.

El spam en forma de newsletter es uno de los últimos modelos de correo basura que trata de evitar los límites de los filtros anti-spam. Así lo afirma Amir Lev, presidente de Commtouch, que dijo "luchar contra el spam combatiéndolo técnica a técnica es inútil. El ciclo de innovación de los spammers es tan rápido y sofisticado que en cuanto las soluciones anti-spam dan con formas de bloquear esa última técnica, los spammers ya han descubierto otra nueva":

"Los botnets masivos siguen siendo los mayores responsables del spam a nivel global" dijo Lev, confirmando lo que ya de todos modos muchos sabíamos.

Si queréis conocer más datos excitantes sobre el spam, podéis consultar el PDF de Commtouch aquí.

Fuentes:
http://es.theinquirer.net/2007/04/19/el_spam_representa_aun_el_90_d.html
http://www.commtouch.com/documents/Commtouch_2007_Q1_Spam_Trends.pdf

Un fallo en Word permitió intrusión en los ordenadores del Departamento de Estado

2007-04-19T10:24:00.002-06:00

Hoy se ha sabido que los ordenadores del Departamento de Estado de los Estados Unidos sufrieron una brecha de seguridad el pasado verano. Los atacantes utilizaron una vulnerabilidad aún no publicada en Microsoft Word, que explotaron mediante un correo de apariencia legítima remitido a un funcionario del departamento.

Cuando el Departamento de Estado supo de la intrusión (que estableció una vía de comunicación oculta desde la red del departamento hacia los intrusos), se movilizó al Departamento de Seguridad Interior y al FBI para urgir a Microsoft la elaboración de un parche, que sin embargo tardó dos meses en estar disponible...

Aunque el Departamento de Estado dice que detectó la intrusión de inmediato, intentó mantenerla en secreto mientras trataba de localizar a los atacantes, pero la prensa se enteró de la situación y rompió el velo de silencio.

Más información:
State Department's Got Mail, and Hackers [The Guardian].

Aseguran haber accedido a datos de jugadores de Counter Strike y Half Life

2007-04-19T10:24:00.001-06:00

Alguien denominado MaddoxX asegura haber accedido a servidores de Valve Corporation, la empresa que comercializa los populares juegos Counter Strike y Half Life.

Según informa hoy The Register, el intruso habría accedido a los números de tarjetas de crédito de clientes, así como a datos financieros de la propia empresa y amenaza con publicar esa información si la empresa no adopta una postura "correcta" al respecto. Se dice en ese mismo artículo que la empresa sabía del problema desde el pasado 8 de Abril, pese a lo cual se habría limitado a borrar las notas sobre el jaqueo de sus foros oficiales, en lugar de avisar a los propietarios de los miles de cibercafés que pudieran verse afectados...

Al parecer en algunas redes de intercambio de ficheros ya ha aparecido una carpeta de más de 14MB conteniendo información que sustentaría las afirmaciones de MaddoxX, en concreto los detalles de cinco operaciones con tarjeta, información sobre cómo falsificar un certificado para cibercafé y los ficheros necesarios para acceder al servidor central de autenticación de Valve.

Fuente:
Counter Strike firm in credit card hack claim

Grupo de parches de abril para diversos productos Oracle

2007-04-18T22:20:00.000-06:00

Tal y como anunciamos recientemente Oracle ha publicado un conjunto de 36 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.7, 9.2.0.8
* Oracle Secure Enterprise Search 10g Release 1, versión 10.1.6
* Oracle Application Server 10g Release 3 (10.1.3), versiones
10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0
* Oracle Application Server 10g Release 2 (10.1.2), versiones
10.1.2.0.1 - 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
* Oracle Application Server 10g (9.0.4), versión 9.0.4.3
* Oracle10g Collaboration Suite Release 1, versión 10.1.2
* Oracle E-Business Suite Release 11i, versiones 11.5.7 - 11.5.10 CU2
* Oracle E-Business Suite Release 12, versión 12.0.0
* Oracle Enterprise Manager 9i Release 2, versiones 9.2.0.7, 9.2.0.8
* Oracle Enterprise Manager 9i, versión 9.0.1.5
* Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48
* Oracle PeopleSoft Enterprise Human Capital Management versión 8.9
* JD Edwards EnterpriseOne Tools versión 8.96
* JD Edwards OneWorld Tools SP23
* Oracle9i Database Release 1, versiones 9.0.1.5, 9.0.1.5 FIPS
* Oracle9i Database Release 2, versiones 9.2.0.5
* Oracle Database 10g Release 2, versión 10.2.0.1

De las 36 correcciones:

* 13 afectan a Oracle Database. Además se publica una actualización para Oracle Enterprise Manager, otra para Oracle Workflow Cartridge, y otra para Ultra Search component. Dos de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Dos de ellas son aplicables a instalaciones de Oracle Database client.

* Una corrección para Oracle Enterprise Manager.

* Cinco vulnerabilidades de Oracle Application Server. Una de Oracle Workflow Cartridge y una de Oracle Secure Enterprise Search también afectan a Oracle Application Server. Dos de las cuales son aprovechables de forma remota sin necesidad de autenticación.

* Un parache para Oracle Collaboration Suite que no puede ser aprovechado de forma remota sin autenticación.

* 11 parches en Oracle E-Business Suite y Applications. Dos de ellas son aprovechables de forma remota sin autenticación.

* Un nuevo parche para Oracle Enterprise Manager, que podría ser aprovechable de forma remota sin autenticación.

* Dos nuevos parches para Oracle PeopleSoft Enterprise. Un nuevo parche para PeopleSoft Enterprise Human Capital Management, y un nuevo parche para JD Edwards EnterpriseOne y JD Edwards OneWorld Tools.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update - April 2007:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Critical Patch Update - April 2007 Documentation Map:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=420060.1

Más Información:

Oracle Critical Patch Update - April 2007:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Critical Patch Update - April 2007 Documentation Map:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=420060.1

Microsoft presenta un plugin para Firefox

2007-04-18T11:04:00.001-06:00

Vivir para ver. Microsoft acaba de publicar un plugin para Firefox que permite utilizar Windows Media Player desde el navegador de Mozilla.

Obviamente sólo está disponible para Windows (XP SP2 y Vista) y llega en la forma de un ejecutable de 302 KB...

Sólo para valientes. Si alguien se atreve a probarlo, al menos puede ser luego desinstalado desde el Panel de Control.

Windows Media Player Firefox Plugin - Download [Port 25, Microsoft Open Software Lab].

Tragedia de Virginia Tech usada por troyanos y phishers

2007-04-18T11:01:00.001-06:00

La noticia ya es conocida. Más de 30 personas, incluyendo el supuesto agresor, murieron el lunes en un tiroteo en un campus universitario de los Estados Unidos.

Y el triste in suceso acaecido en la Universidad Tecnológica de Virginia (Virginia Tech), ya está siendo explotado por inescrupulosos delincuentes informáticos, algo que ya no debería asombrarnos, aunque nunca dejaremos de aborrecer.

A las pocas horas de la tragedia, ya se divulgaba por Internet algún mensaje refiriéndose a un supuesto video inédito del cruento tiroteo.

Un ejemplo concreto, un spam en portugués, muestra un enlace
a un falso video, que al descargarse, instala en nuestro PC
un troyano de la familia de los "Banload", el que a su vez
descarga una variante de Win32/Spy.Banker, malware que roba
información del usuario relacionada con sus cuentas
bancarias.

La página HTML que muestra el enlace, contiene el siguiente texto:

Aguarde... O video está sendo carregado...
Para visualizar o video, aguarde carregar
e clique 'PLAY' ou 'EXECUTAR'.

Seu computador pode exibir Avisos de Segurança!

El script de dicha página, es detectado como HTML/TrojanDownloader.Agent

.NAB, y el archivo que es descargado de allí, como Win32/TrojanDownloader.Banload.ZK.

Pero esto solo debe tomarse como un simple ejemplo. Lo importante aquí, es no bajar la guardia, y siempre estar atentos a la aparición de casos similares, seguramente con alguna otra clase de malware, que, a no dudarlo, llegarán en las próximas horas o días a nuestras casillas y programas de mensajería.

Además de esto, reportes del ISC (Internet Storm Center),
advierten sobre la proliferación de registros de dominios
relacionados con la Universidad de Virginia (al final, en
"Más información", damos los enlaces a las listas de algunos
de ellos).

Seguramente muchas de esas páginas, serán utilizadas de buena
fe, por personas que pretenden ayudar a los familiares y
amigos de las víctimas. Pero desgraciadamente, la historia
reciente no nos permite dudar ni por un instante, que una
gran parte de esos sitios serán utilizados por autores de
phishing para obtener ganancias económicas con el dolor de
las víctimas.

Casos concretos ya se han dado, cuando otras tragedias como
el huracán Katrina en 2005 o el tsunami de 2004, hicieron
proliferar muchos sitios falsos que supuestamente recibían
donaciones para las damnificados de Nueva Orleáns o de Asia
respectivamente.

Por más bienintencionadas que parezcan algunas solicitudes de
donativos, debemos evitar hacer clic sobre los enlaces
enviados, y mucho menos dar información personal.

Y aunque seguramente nos duela admitirlo, el morbo por
visualizar supuestas imágenes inéditas de algún momento
crucial del tiroteo, puede convertirse en nuestro principal
enemigo.

Reconocerlo, puede ser en algunos casos, lo único que nos
impida infectarnos, o que impida que nuestra identidad sea
robada por delincuentes que no solo lucrarán con la desgracia
de otras personas, sino también con nuestro propio dinero.

Más información:

Phishers taking advantage of Virginia Tech tragedy
http://isc.sans.org/diary.html?storyid=2652

GoDaddy Registers Dozens of Questionable Virginia Tech Names
http://blog.wired.com/27bstroke6/2007/04/godaddy_registe.html

Relacionados:
Gusanos y troyanos que se aprovechan del Katrina
http://www.vsantivirus.com/ev-040905.htm

Inescrupulosos se aprovechan del desastre del Tsunami
http://www.vsantivirus.com/ev-05-01-05.htm

El scam del Tsunami, y como colaborar de verdad
http://www.vsantivirus.com/scam-tsunami.htm

Cataclismos en el aire y fraudes en la red
http://www.vsantivirus.com/eb-01-09-06.htm

(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director ejecutivo de ESET NOD32 Uruguay.

Fuente: http://www.vsantivirus.com/18-04-07.htm

Vulnerabilidad descubierta en ZoneAlarm

2007-04-18T11:00:00.001-06:00

El conocido cortafuego ZoneAlarm tiene un fallo que podría utilizarse en un ataque causando una denegación de servicio.

Un cortafuego es una aplicación diseñada para controlar los puertos de comunicación utilizados en el ordenador. Su trabajo es restringir el acceso desde Internet y viceversa, manteniendo la salida y entrada de datos solo de los programas permitidos.

Existen un grupo de rutinas dentro de Windows (APIs) que son utilizadas por las aplicaciones para pedir y ejecutar servicios en forma transparente al usuario. Por su lado, Windows tiene una tabla indice dinámica de asignaciones para dirigir correctamente este tráfico. La misma recibe el nombre de SSDT (System Service Descriptor Table).

Para realizar su trabajo ZoneAlarm se sirve de múltiples funciones de servicios SSDT. De esta manera intercepta las peticiones de los programas cuyo destino son las API de Windows. Una vez interceptadas, son verificados los privilegios de las peticiones recibidas.

Dos de las funciones involucradas son validadas incorrectamente existiendo la posibilidad de que algunos parámetros inconsistentes sean utilizados, por lo que el cortafuego sufriría una denegación de servicio (DoS). El componente vulnerable de la aplicación es VSDATANT.SYS.

De quedar el ordenador sin la protección del cortafuego, sus puertos estarían vulnerables a cualquier agente malicioso que busque alguna forma de entrar o infectar el sistema.

Existe una prueba de concepto disponible. No ha sido confirmado pero es probable la ejecución remota de código malicioso. Tampoco se han visto publicados exploits que aprovechen este fallo.

Las versiones afectadas por esta vulnerabilidad son ZoneAlarm 6.5.737.000 y ZoneAlarm 6.1.744.001. No se descarta que anteriores versiones también sean vulnerables.

Se recomienda la actualización a una versión más nueva que no sea afectada. Públicamente la versión 7.0.337.000 es la última.

Temas relacionados

Prueba de concepto
http://www.securityfocus.com/data/vulnerabilities/exploits/ZoneAlarm_vsdatantDrv_DoS.c

Página de ZoneAlarm
http://www.zonelabs.com/

Descarga de ZA en Español
http://www.zonealarm.com/store/content/company/products/znalm/freeDownload.jsp?dc=34std&ctry=ES〈=es

¿Buscas trabajo?. Cuidado con el Scam

2007-04-18T10:58:00.000-06:00

Si usted esta en paro o quiere un trabajo extra tenga mucho cuidado puede llevarse una desagradable sorpresa y tener problemas con la justicia al realizar transferencias sospechosas, por este motivo la Asociación de Internautas quiere alertar de correos electrónicos con ofertas falsas de trabajo que circulan por la red con el asunto: Esta es una buena oportunidad de ganar en tiempo parcial.

¿Buscas trabajo?
¿Tiene dificultades para llegar a final de mes?
¿Quiere un trabajo extra?

Este tipo de reclamos llamativos es lo mas común en este tipo de ofertas laborales falsas, la necesidad de poder obtener un trabajo rápido, cómodo y un sueldo atractivo puede llamar nuestra atención, pero las ofertas de trabajo no caen de cielo!

Use el sentido común, las ofertas de trabajo de estas características y sin conocer nuestro curriculum no puede ser pura casualidad, detrás de esta golosa oferta hay una estafa.

La forma de captar a una victima de este tipo engaño es la recepción de un correo electrónico, ejemplo del correo trampa recibido:

Como podemos observar en el correo electrónico nos informa que para optar a la oferta solo hay que tener tiempo libre para trabajar. Solo debemos enviar nuestros datos a la dirección que adjuntan apply@ *dominios .hk

En este momento de la investigación tenemos detectadas el siguiente listado de web, advertimos que es posible que existan mas:

isitreal.hk
motojob.hk
ilokemoney.hk
parttimejobavailable.hk
parttimejobavailable.hk
wewanttohireyou.hk
moreinfoplease.hk
ihatespamitisbad.hk
import-export.hk
workwithus.hk
virtcjobs.hk

Todas ellas son idénticas, curioso.

Aun después de este tipo de alertas de posibles estafas laborales usando este medio, hay internautas que nos informan incluso que no se creen que son falsas ya que el delincuente les envía un “contrato” (es falso) para certificar la veracidad del mismo. Desgraciadamente luego nos informan que teníamos razón y que tienen problemas legales con la justicia y su cuenta bancaria bloqueada.

El tipo de contrato que puede recibir puede ser tan espectaculares a la vista como los siguientes, pero se pueden dar cuenta que no tienen ningún tipo de valor legal;

GUIAS DE AYUDA PARA ESTE TIPO DE FRAUDES

Como puede reconocer de forma rápida este tipo de ofertas falsas de trabajo:

- La oferta se recibe por medio de un correo electrónico no solicitado, aunque también existe la posibilidad por medio de anuncios en foros, web, chats, etc.

- Siempre piden a la víctima del fraude que tenga o abra una cuenta bancaria.

- Su trabajo consiste en recibir transferencias bancarias a su cuenta bancaria, sacar este dinero y quedarse con un porcentaje y posteriormente el resto del dinero enviarlo a países extranjeros por medio de empresas tipo Western Union, Money Gram.

Recuerde algo muy importante las ofertas laborales están muy mal en estos tiempo y no hay chollos, nadie le envía una oferta de trabajo usando SPAM -Envío masivo de correo no solicitado-.

Consejos para no caer en este tipo de trampas y como actuar en caso de ser victima del engaño:

- Desconfié de las ofertas de trabajos recibidas por medios indirectos.

- Recuerde la vida laboral esta bastante mal y no hay chollos de este tipo de trabajos.

- Si usted fue victima del engaño guarde todas las pruebas y denuncie lo antes posible a la fuerzas del estado.

- Comunique de forma inmediata el hecho a su entidad bancaria.

- No saque el dinero de la cuenta. Su entidad bancaria le comunicara los pasos a seguir.

¿Que es el Scam?

El Scam es la captación de personas por medio de correos electrónicos, chats, irc, etc... donde empresas ficticias le ofrecen trabajar cómodamente desde casa y cobrando unos beneficios muy altos. Sin saberlo, la víctima esta blanqueando dinero obtenido por medio del phishing (procedente de estafas bancarias).

Fuente: http://www.internautas.org/

Detalles y evolución de la vulnerabilidad RPC/DNS de Microsoft Windows

2007-04-18T10:57:00.000-06:00

La vulnerabilidad RPC/DNS en Microsoft Windows está dando que hablar por su gravedad y rápida evolución. El pasado día 13 de abril emitíamos un boletín con carácter de urgencia previendo el potencial alcance del problema. Las sospechas se han confirmado y hoy esta vulnerabilidad supone una seria amenaza en muchos entornos.

Microsoft confirmaba a través de una notificación oficial el día 13, la existencia de una vulnerabilidad que estaba siendo aprovechada por atacantes "de forma muy limitada" según la propia compañía. El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Esto afectaría a un sistema sólo si mantiene un DNS (típicamente en servidores de Microsoft) y un potencial atacante tuviese acceso a unos puertos específicos. El ataque no sería posible exclusivamente a través de puerto 53, abierto habitualmente al exterior para las consultas DNS, sino que debe apoyarse de la capacidad de administración remota de DNS (a través de RPC) para explotar la vulnerabilidad y ejecutar código. Microsoft proporcionó un método para eliminar esta funcionalidad y proteger el sistema a falta de parche oficial.

Aun así, varios factores se han añadido a la ecuación para convertir esta vulnerabilidad en un verdadero peligro. Típicamente un controlador de dominio en red interna es también el servidor autorizado DNS del dominio. En una red interna, no suelen protegerse estos controladores tras un cortafuegos, o las reglas de filtrado pueden estar más relajadas. En ese caso, aunque no expuesto al exterior, el servidor podría quedar fácilmente comprometido desde la misma red interna. Si el controlador de dominio queda comprometido, el atacante habría llegado al corazón de una red interna controlada por el directorio activo.

El día 15, metasploit descubrió un exploit público capaz de aprovechar esta vulnerabilidad. Queda desde entonces abierta para todos la posibilidad de estudiar y experimentar con el fallo. El problema concreto parece estar en la función extractQuotedChar. Los ataques dejan de ser "limitados".

Además, aparece al poco tiempo un nuevo exploit (programado por Andrés Tarasco y Mario Ballano) que es capaz de aprovechar la vulnerabilidad sin necesidad de tener acceso al rango mencionado en un principio (1024-5000), sino que permitiría ejecutar código a través del puerto 445. Este puerto es usado para el protocolo SMB (Server Message Block) sobre TCP/IP, y se utiliza para el intercambio de ficheros, entre otros fines. Una vez más, este puerto no suele estar expuesto al exterior, pero mantiene e incluso agrava el problema en redes internas, donde estará abierto con casi toda seguridad. Este código también afecta a Windows 2003 con SP2.

Para colmo, se ha detectado un gusano que intenta aprovechar la vulnerabilidad. El nombre elegido es Rinbot, y una vez que logra ejecutar código, se conecta al dominio x.rofflewaffles.us y convierte a su víctima en zombie (parte de una botnet). La detección específica por parte de los antivirus es escasa todavía. Según el SANS, que ha usado VirusTotal para el análisis:

AhnLab-V3 2007.4.14.0 04.16.2007 Win32/IRCBot.worm.199680.I
AntiVir 7.3.1.52 04.16.2007 HEUR/Crypted
AVG 7.5.0.447 04.16.2007 Win32/CryptExe
DrWeb 4.33 04.16.2007 BackDoor.IRC.Sdbot.1299
eSafe 7.0.15.0 04.16.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 04.16.2007 suspicious
Kaspersky 4.0.2.24 04.16.2007 Backdoor.Win32.VanBot.bx
Prevx1 V2 04.16.2007 Malware.Trojan.Backdoor.Gen
Symantec 10 04.16.2007 W32.Rinbot.A
Webwasher-Gateway 6.0.1 04.16.2007 Heuristic.Crypted

Sospechamos que esta vulnerabilidad provocará un nuevo parche fuera del ciclo habitual de Microsoft. De lo contrario no habría solución oficial hasta al menos el ocho de mayo. Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000 e incluso 445 si no es necesario.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"

se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4. Es importante destacar que es necesario reiniciar el servicio DNS para que el cambio surta efecto.La vulnerabilidad RPC/DNS en Microsoft Windows está dando que hablar por su gravedad y rápida evolución. El pasado día 13 de abril emitíamos un boletín con carácter de urgencia previendo el potencial alcance del problema. Las sospechas se han confirmado y hoy esta vulnerabilidad supone una seria amenaza en muchos entornos.

Microsoft confirmaba a través de una notificación oficial el día 13, la existencia de una vulnerabilidad que estaba siendo aprovechada por atacantes "de forma muy limitada" según la propia compañía. El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Esto afectaría a un sistema sólo si mantiene un DNS (típicamente en servidores de Microsoft) y un potencial atacante tuviese acceso a unos puertos específicos. El ataque no sería posible exclusivamente a través de puerto 53, abierto habitualmente al exterior para las consultas DNS, sino que debe apoyarse de la capacidad de administración remota de DNS (a través de RPC) para explotar la vulnerabilidad y ejecutar código. Microsoft proporcionó un método para eliminar esta funcionalidad y proteger el sistema a falta de parche oficial.

Aun así, varios factores se han añadido a la ecuación para convertir esta vulnerabilidad en un verdadero peligro. Típicamente un controlador de dominio en red interna es también el servidor autorizado DNS del dominio. En una red interna, no suelen protegerse estos controladores tras un cortafuegos, o las reglas de filtrado pueden estar más relajadas. En ese caso, aunque no expuesto al exterior, el servidor podría quedar fácilmente comprometido desde la misma red interna. Si el controlador de dominio queda comprometido, el atacante habría llegado al corazón de una red interna controlada por el directorio activo.

El día 15, metasploit descubrió un exploit público capaz de aprovechar esta vulnerabilidad. Queda desde entonces abierta para todos la posibilidad de estudiar y experimentar con el fallo. El problema concreto parece estar en la función extractQuotedChar. Los ataques dejan de ser "limitados".

Además, aparece al poco tiempo un nuevo exploit (programado por Andrés Tarasco y Mario Ballano) que es capaz de aprovechar la vulnerabilidad sin necesidad de tener acceso al rango mencionado en un principio (1024-5000), sino que permitiría ejecutar código a través del puerto 445. Este puerto es usado para el protocolo SMB (Server Message Block) sobre TCP/IP, y se utiliza para el intercambio de ficheros, entre otros fines. Una vez más, este puerto no suele estar expuesto al exterior, pero mantiene e incluso agrava el problema en redes internas, donde estará abierto con casi toda seguridad. Este código también afecta a Windows 2003 con SP2.

Para colmo, se ha detectado un gusano que intenta aprovechar la vulnerabilidad. El nombre elegido es Rinbot, y una vez que logra ejecutar código, se conecta al dominio x.rofflewaffles.us y convierte a su víctima en zombie (parte de una botnet). La detección específica por parte de los antivirus es escasa todavía. Según el SANS, que ha usado VirusTotal para el análisis:

AhnLab-V3 2007.4.14.0 04.16.2007 Win32/IRCBot.worm.199680.I
AntiVir 7.3.1.52 04.16.2007 HEUR/Crypted
AVG 7.5.0.447 04.16.2007 Win32/CryptExe
DrWeb 4.33 04.16.2007 BackDoor.IRC.Sdbot.1299
eSafe 7.0.15.0 04.16.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 04.16.2007 suspicious
Kaspersky 4.0.2.24 04.16.2007 Backdoor.Win32.VanBot.bx
Prevx1 V2 04.16.2007 Malware.Trojan.Backdoor.Gen
Symantec 10 04.16.2007 W32.Rinbot.A
Webwasher-Gateway 6.0.1 04.16.2007 Heuristic.Crypted

Sospechamos que esta vulnerabilidad provocará un nuevo parche fuera del ciclo habitual de Microsoft. De lo contrario no habría solución oficial hasta al menos el ocho de mayo. Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000 e incluso 445 si no es necesario.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"

se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4. Es importante destacar que es necesario reiniciar el servicio DNS para que el cambio surta efecto.

Más Información:

Monday update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/16/monday-update-on-microsoft-security-advisory-935964.aspx

Situation update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/15/situation-update-on-microsoft-security-advisory.aspx

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code
Execution.
http://www.microsoft.com/technet/security/advisory/935964.mspx

New Rinbot scanning for port 1025 DNS/RPC
http://isc.sans.org/diary.php?storyid=2643&rss

DNS Vulnerability being Exploited in the Wild
http://www.symantec.com/enterprise/security_response/weblog/2007/04/dns_exploit_time_is_upon_us.html

Objetivo: destruir el disco duro

2007-04-17T10:12:00.000-06:00

Casi todos estamos de acuerdo que el Disco Duro es uno de los dispositivos fundamentales de nuestra PC, debido a esto, muchas veces solo nos centramos en como protegerlo, como recuperarlo, etc.

Sin embargo en esta nota no hablaremos de cómo prever el temible fallo de nuestra unidad de disco, sino de todo lo contrario: cómo librarse de él... para siempre...

En diversas ocasiones hemos sabido de los problemas de confidencialidad que puede provocar el hecho de que los discos duros sean descartados sin más, muchas veces acompañando a un ordenador que hemos decidido desechar o regalar. El formateo puede ser suficiente para las necesidades de un particular, pero no para empresas que necesitan deshacerse de muchos discos... o hacerlo muy rápido.

Aquí aparece un curioso aparato denominado HDC (Hard Disk Crusher), capaz de destruir un disco duro en pocos segundos, a base de perforar sus platos giratorios y provocar arrugas mecánicas en ellos. Según el fabricante la información es absolutamente irrecuperable.

Pero, ¿puede haber gente que necesite destruir tantos discos como para que esta máquina -que cuesta casi 12.200 dólares - resulte rentable?

Pues parece que sí. Según comenta el fabricante, tiene registrados clientes que han destruido más de 9.000 unidades en un mes y algunos que se han cargado 800 discos ¡en un solo día!

Ni yo mismo soy capaz de tanto ;)

Enlaces relacionados:

Hard Disk Crusher

Nueva técnica para el borrado rápido y seguro de discos duros

Google tiene un presupuesto de 11 millones de dólares para «ideas locas»

2007-04-17T10:11:00.000-06:00

El buscador destina esta gran cantidad de dinero ya que cuando alguien es libre de preocuparse de asuntos monetario se crean cosas realmente buenas.

Google dispone de un presupuesto de 11 millones de dólares para financiar «ideas locas» entre las que estuvo, por ejemplo, la compra de YouTube el año pasado. Salman Ullah, director de Desarrollo Corporativo de Google, dijo que la empresa examina todo cuidadosamente ya que «los realmente locos hacen cosas realmente buenas».

Ullah explica que «los locos» ignoran las cantidades comprometidas en una inversión, sólo piden lo que necesitan sin medir lo que solicitan y afirma que cuando alguien es libre de preocuparse de los asuntos monetarios se crean cosas realmente buenas. Dentro de estas iniciativas están los nuevos productos con los cuales la compañía pretende competir en el mercado como Orkut o las nuevas aplicaciones on-line.

Ademas el gigante de las búsquedas tiene a un grupo de 15 personas trabajando en adquisiciones que se logran con docenas de reuniones semanales, según publica Blomberg. En todo caso, el ejecutivo explica que no se trata del «tráfico por el tráfico, simplemente» sino que se trata de buscar utilidades.

Samsung lanzará un reproductor compatible con Blu-ray y HD DVD

2007-04-17T10:08:00.000-06:00

Samsung lanzará a finales de año BDP-S300, un reproductor que soporta los formatos Blu-ray y HD DVD. Su precio rondará los 599 dólares.

Una de las compañías que mayor apoyo ha prestado al formato Blu-ray, la surcoreana Samsung Electronics, espera lanzar un reproductor este año compatible tanto con Blu-ray como con HD DVD. BDP-S300 estará disponible algo después en Europa, aunque todavía no se ha decidido la fecha exacta ni el precio que tendrá.

Samsung se convierte así en la segunda compañía que apuesta por la idea de lanzar un reproductor dual que puede leer ambos tipos de discos. Le había precedido LG que lanzó un reproductor dual a principios de año.

Las compañías informáticas y de electrónica de consumo han estado divididas durante los últimos años entre los dos formatos. Blu-ray cuenta fundamentalmente con el respaldo de Sony y compañías como Panasonic, Sharp y Dell. Por su parte, Toshiba es el mayor valedor de HD-DVD, que además cuenta con el apoyo de Microsoft e Intel, y el respaldo del propio DVD Forum, el grupo que está detrás del formato DVD.

La guerra de formatos ha creado una gran confusión entre los consumidores que, si compran uno de los nuevos reproductores, se enfrentan a la posibilidad de no poder ver algunas de sus películas favoritas. Así las cosas, no deja de ser paradójico que Samsung, que potenció la división, ahora señale que piensa más en los consumidores que en el negocio. BDP-S300 se lanzará a mediados de año por un precio de 599 dólares

Antivirus, Antispam, antispyware y Firewall gratuitos

2007-04-17T09:51:00.000-06:00

Una completa lista de productos gratuitos, para no cometer el error de descargar programas desconocidos y llevarse una sorpresa como un troyano.

La lista completa y la para obtener el producto puede obtenerse aquí

Antivirus:

* Active Virus Shield powered by Kaspersky (Homepage) for Windows 98/2000/Me/XP
* AntiVir for Windows 98/Me/NT/2000/XP
* Avast! for Windows 95/98/Me/NT/2000/XP/Vista
* AVG Free Anti-virus for Windows 2000/XP/Vista
* BitDefender for Windows 98/Me/NT/2000/XP
* Clam AV for Windows XP
* ClamWin for Windows 98/Me/2000/XP/2003
* Comodo for Windows 2000/XP
* Cyberhawk for Windows 2000/XP/2003/Vista
* PC Tools for Windows 2000/XP/Vista

Antispyware y antispam:

* Ad-Aware for Windows 98/Me/NT/2000/XP
* AVG Free Anti-Spyware for Windows 2000/XP/2003
* Comodo Anti-Spam for Windows 2000/XP
* HijackThis for Windows 2000/XP
* SpyBot Search & Destroy for Windows 95/98/Me/2000/XP/2003/Vista
* SpywareBlaster for Windows 98/Me/NT/2000/XP
* WinPatrol for Windows 95/98/Me/2000/XP/2003/Vista
* Windows Defender for Windows XP, and is included with Vista

Firewalls:

* Comodo Firewall for Windows 2000/XP/2003
* Outpost Firewall for Windows 95/98/Me/NT/2000/XP
* PC Tools Firewall for Windows 2000/XP/2003/Vista
* R-Firewall for Windows 98/2000/XP/2003
* Windows Firewall included with Windows XP SP2 and Vista
* ZoneAlarm Basic Firewall for Windows 2000/XP/2003

Fuente: http://tech.cybernetnews.com/2007/04/03/cybernotes-free-anti-virus-anti-spyware-and-firewall-downloads/

Microsoft "ayuda" a crear exploits segun ZDNet

2007-04-17T09:50:00.000-06:00

Los avisos de seguridad que Microsoft presenta para parchear vulnerabilidades son demasiado explícitos: tanto, que ofrecen información adicional que los "hackers" pueden utilizar para encontrar más vulnerabilidades. El debate puede ser seguido aquí.

Según ZDNet, el último de los fallos 'Zero-Day' en la implementación de la interfaz de Windows DNS Server RPC se ha desarrollado utilizando información que se encontraba en la sección de soluciones del documento de asesoramiento de seguridad de Microsoft.

David Maynor, investigador en Errata Security, desveló ese fallo concreto, y dijo que fue capaz de utilizar la documentación proporcionada por Microsoft le permitió crear una prueba de concepto de forma relativamente sencilla. Maynor afirma que otros muchos también pudieron hacerlo, simplemente porque Microsoft dio demasiada información sobre el error.

ZDNet encontró varios exploits adicionales en los que los hackers habían operado de la misma forma. Hay incluso unos cuantos más aquí.

Fuentes:
http://es.theinquirer.net/2007/04/17/microsoft_ayuda_a_los_hackers.html
http://blogs.zdnet.com/security/?p=167
http://blogs.zdnet.com/security/?p=164
http://uk.theinquirer.net/?article=38976

El spam superará al correo deseado este año, según IDC

2007-04-17T09:49:00.000-06:00

Según ha desvelado la consultora en un reciente estudio, el crecimiento del correo masivo no deseado (spam), junto con el mayor uso de mensajes de texto y sistemas de voz IP (VoIP), harán que el correo electrónico reduzca su importancia como medio de comunicación, especialmente entre los trabajadores y los consumidores más jóvenes.

IDC estima que en 2007 se enviarán diariamente unos 97 millones de correos electrónicos a nivel mundial, de los que 40 millones serán correos basura. Este año, se espera que por primera vez el volumen total de spam supere al de mensajes útiles.

Según Mark Levitt, analista de IDC, "el volumen de spam está aumentando más rápido de lo esperado gracias al éxito de evitar los sistemas antispam de los mensajes basados en imágenes, así como a las técnicas de suplantación de identidad (spoofing), lo que genera mayores tasas de respuesta". Por otra parte, el analista señala que "la mensajería instantánea y la posibilidad de hacer llamadas VoIP más baratas, o incluso gratuitas, repercutirá en un crecimiento más lento del correo electrónico, especialmente entre adolescentes y adultos".

IDC calcula que el volumen de correos electrónicos de empresas enviados en 2007 en todo el mundo se acercará a 5 Exabytes (5 millones de Gigabytes), casi el doble de la cantidad acumulada en los últimos dos años.

En opinión de IDC, los proveedores de soluciones de correo electrónico, así como sus proveedores y clientes, deben responder a estas continuas amenazas reconociendo que el correo electrónico será solamente uno de los elementos que los proveedores ofrecerán a sus clientes dentro de una visión unificada de comunicaciones. Además, también será necesario el despliegue de múltiples capas de soluciones antispam, software, dispositivos y servicios que estén actualizados regularmente para incrementar su eficacia con el tiempo.

Por último, la consultora también aconseja proporcionar acceso al correo electrónico por igual a sistemas de escritorio y dispositivos inalámbricos mediante aplicaciones Ajax y push email.

Fuente: http://www.idg.es/pcworld/index.asp?link=estructura%2Fi%5Fnoticia%5FcentroNoticia%2Easp&IdNoticia=92673620

Escalada de privilegios a través de ficheros no especificados en Adobe ColdFusion MX 7.x

2007-04-17T06:49:00.000-06:00

Se ha anunciado la existencia de una vulnerabilidad en Adobe ColdFusion MX 7, que podría ser empleada por atacantes locales para conseguir elevar sus privilegios en el sistema.

El problema reside en la aplicación de permisos inseguros a determinados archivos y directorios. Un atacante local podría emplearlo para elevar sus privilegios en el siguiente reinicio de ColdFusion al reemplazar o editar los archivos afectados.

Se recomienda la consulta del boletín de seguridad de Adobe, disponible en:
http://www.adobe.com/support/security/bulletins/apsb07-08.html
Donde se indica la actualización que se ha publicado para corregir el problema así como la lista de archivos y directorios sobre los que debe aplicarse un cambio de los permisos de forma manual.

Más Información:

Workaround available for Linux and Solaris ColdFusion MX 7 file permissions vulnerability
http://www.adobe.com/support/security/bulletins/apsb07-08.html

Fuente : hispasec.com

VULNERABLILIAD EN AIRODUMP-NP

2007-04-16T10:57:00.000-06:00

Parece que hoy, definitivamente, la actualidad va de caza, sólo que en este caso, el cazador se encuentra que debido a un fallo de su "escopeta" el cartucho le explota en las narices.

Hablo de la vulnerabilidad recién detectada en airodump-ng, uno de los integrantes de aircrack-ng (probablemente el programa más utilizado para craquear claves de cifrado en redes inalámbricas).

Y es que, aprovechando este fallo, la presunta víctima puede hacerse con el control de la máquina del presunto atacante...

El fallo radica en que paquetes 802.11 especialmente malformados provocan un desbordamiento de buffer en airodump-ng, que permite la inyección y ejecución de código arbitrario en la máquina que ejecuta el sniffer.

Para que este "contraataque" tenga éxito, es necesario que se esté utilizando la opción -w (ó --write).

Se ha publicado un exploit que abre un shell en un puerto de Backtrack 2.

Están afectadas las versiones hasta la 0.7, pero al parecer el fallo ya está reparado en la última versión estable para descarga.

Más información:
Original advisory.

Múltiples vulnerabilidades en Cisco Wireless LAN Controller y Cisco Lightweight Access Points

2007-04-16T09:15:00.001-06:00

Se han encontrado múltiples vulnerabilidades en Cisco Wireless LAN Controller y Cisco Lightweight Access Points.

* WLC utiliza cadenas de comunidad SNMP por defecto conocidas.

* WLC puede dejar de responder ante tráfico Ethernet especialmente manipulado.

* Múltiples vulnerabilidades en Network Processing Unit (NPU) permiten a atacantes no autenticados provocar denegaciones de servicio a través de paquetes SNAP y tráfico 802.11 especialmente manipulado.

* Contraseña por defecto en Cisco Aironet 1000 Series y 1500 Series permite a un atacante acceder al sistema si tiene acceso físico al dispositivo.

* Existe un problema en la comprobación de checksum que hace que las ACL no se mantengan tras un reinicio.

Hardware Vulnerable:
*Wireless LAN Controllers
*Cisco 4400 Series Wireless LAN Controllers
*Cisco 2100 Series Wireless LAN Controllers
*Cisco Wireless LAN Controller Module
*Wireless Integrated Switches and Routers
*Cisco Catalyst 6500 Series Wireless Services Module (WiSM)
*Cisco Catalyst 3750 Series Integrated Wireless LAN Controllers
*Cisco Wireless LAN Controller Module
*Cisco Aironet Access Points
*Cisco Aironet 1000 Series
*Cisco Aironet 1500 Series

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Dada la diversidad de dispositivos y versiones afectadas se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a008081e189.shtml

Más Información:

Cisco Security Advisory: Multiple Vulnerabilities in the Cisco
Wireless LAN Controller and Cisco Lightweight Access Points
http://www.cisco.com/warp/public/707/cisco-sa-20070412-wlc.shtml

Manual para asegurar tu red Wi-fi (Windows)

2007-04-15T22:48:00.000-06:00

En esta ocasión, Danae ha preparado en Daboweb un más que interesante tutorial sobre como asegurar tu red Wi-fi.

Es válido para todos los públicos y niveles, además de repasar los aspectos más básicos de las políticas de restricción en vuestra red inalámbrica, toca cuestiones más avanzadas.

Hace un tiempo os postee algo parecido pero para Mac, en este caso es para Windows y os recomiendo su lectura y aplicación. Estaréis más seguros frente a posibles ataques sobre vuestra red.

Acceso al tutorial.

Fuente: http://www.daboblog.com/2007/04/15/manual-para-asegurar-tu-red-wi-fi-windows/

Microsoft reconoce que ya se ha pirateado Windows Vista con éxito

2007-04-15T00:04:00.001-06:00

El equipo antipiratería de Microsoft ha reconocido la existencia de un crack informático capaz de saltarse el sistema de activación de Windows Vista.

El jefe de producto senior de Windows Genuine Advantage (WGA), Alex Kochis, ha explicado que se trata de un sistema efectivo siempre y cuando el sistema operativo venga preinstalado en el ordenador.

El crack se aprovecha de una característica incluida en Vista pensada para que los fabricantes tengan acceso a ciertos aspectos del sistema operativo sin necesidad de activarlo.

Estos sistemas de hackeo se están popularizando ahora gracias a las defensas antipiratería de Vista, ya que, según explica Kochis, con los sistemas operativos anteriores había métodos de pirateo mucho más sencillos.

Sin embargo, Microsoft no parece muy preocupada por este tipo de actividad y, de momento, no tiene intenciones de desarrollar una defensa contra este crack.

Fuente: 20minutos.es

Una nueva variante del virus informático "Storm Worm" comienza a propagarse por Internet

2007-04-14T13:17:00.000-06:00

Un ataque masivo de spam o "correo basura" que induce a los usuarios a abrir ficheros infectados con nueva variante del virus "storm worm" ha comenzando a propagarse a través de Internet. Según la firma de seguridad informática Postini se trata del mayor ataque en los últimos 12 meses, más de tres veces superior a los dos que se han producido en los tiempos recientes. Por el se ha contabilizado cinco millones de copias de este ataque en las últimas 24 horas en especial en EEUU por lo que se prevé que siga expandiéndose al resto del mundo.

L D (EFE) Adam Swidler, experto de la empresa Postini, apuntó que "estamos viendo 50 ó 60 veces más volumen de spam de lo habitual". Los "correos basura" en cuestión llegan con encabezamientos como "Worm Alert!", "Worm Detected" o "Virus Activity Detected!", junto con un fichero de extensión ZIP que incluye un virus capaz de desactivar el software de seguridad y robar información del ordenador. El ataque no está exento de ironía, ya que los nocivos correos advierten a los usuarios de la necesidad de protegerse contra los gusanos informáticos.

Según Swidler, el spam trata de convencer a los usuarios de que sus ordenadores ya están infectados y son parte de una red de sistemas "zombies" a disposición de los piratas informáticos. Postini señaló que ha contabilizado cinco millones de copias de este ataque en 24 horas, y, según sus cálculos, este spam cuenta con el 87 por ciento de todo el "correo basura" que circula en estos momentos por la Red.

FUENTE : http://www.libertaddigital.com/noticias/noticia_1276303290.html

Security Awareness - Educación en Seguridad

2007-04-14T09:39:00.000-06:00

Microsoft ha publicado un conjunto de documentos sobre el tema.
El material está pensado para realizar el entranamiento del personal de la organización ya sea en la toma de decisiones por parte del personal estratégico o en las operaciones diarias.

El documento de 120 MB en inglés cubre los siguientes aspectos:

1 - Program Development Guidance
- Security Awareness Presentation Template
- Security Awareness Value Proposition Presentation Material
- Security Awareness Whitepaper
2 - Sample Awareness Materials
- Internet Safety
- PC Security and Safety
- Protect Your PC
3 - Sample Training Materials
- Incident Response
- Risk Management
- Security Controls
4 - Sample Templates
- Brochure Template
- Email Invite Templates
- Fact Sheet Template
- FAQ Template
- Newsletter Template
- Poster Template
- PowerPoint Templates
- Quick Reference Card Template

Fuente: http://www.microsoft.com/technet/security/understanding/awareness.mspx

Instalar Beryl en Ubuntu edgy con tarjetas ATI (de la manera más fácil)

2007-04-13T23:01:00.000-06:00

Una de las tareas que más pesadas me resultaban a la hora de formatear el ordenador venía siendo, desde hace un tiempo, instalar los paquetes de Beryl. Ya desde su precursor, compiz, resultaba una tarea un tanto ardua, sobre todo para principiantes. El problema de instalar beryl, viene a raíz de que este necesita aceleración gráfica para poder funcionar, y los que tenemos tarjetas gráficas de ATI no lo tenemos tan facil como los que se han decantado por nVidia.

Pues bien… desde hoy esto es algo que ya no me preocupa gracias a un script desarrollado por un miembro de la comunidad Ubuntu quien ha sintetizado todos los comandos necesarios en un script de muy fácil manejo. Con tan solo dos lineas que escribamos en un terminal ya podremos disfrutar del mejor gestor de ventanas de software libre conocido hasta el momento. Eso si, los drivers que instala el script no son los fglrx de ati sino los de código abierto aiglx, pero yo os puedo garantizar de que funcionan a las mil maravillas.

Lo único que teneis que hacer para tener beryl en vuestro PC es escribir en un terminal las siguientes líneas:
wget -P ~/ http://koti.mbnet.fi/waappu/download/ati-aiglx-beryl.sh
sudo sh ~/ati-aiglx-beryl.sh

La primera línea descargará el script a la carpeta desde la que ejecuteis la orden y la segunda comenzará la ejecución del script, lo que incluye la descarga de los drivers aiglx, su instalación y configuración, la descarga de los paquetes de beryl y su correcta instalación. Osea… todo un lujo. Después de ejecutar el script, el terminal quedará en blanco y trancurridos unos minutos (unos 15 en mi caso) estará todo funcionando.

En caso de que algo falle bastará con poner, las siguientes líneas que restaurarán el sistema a su punto inicial.
sudo aptitude remove beryl emerald
sudo sh ~/.sysreset.sh

Por último, si quieres que Beryl se ejecute siempre al iniciar la sesión solo queda agregarlo a los programas de inicio siguiendo estos pasos.
Vete a Sistema -> Preferencias -> Sesiones
Selecciona la pestaña de Programas de Inicio
Presiona el botón Añadir y escribe en Comando de inicio beryl-manager

Es todo un lujo que haya gente que haga este tipo de favores a la comunidad. Como pequeño aporte, yo he probado el script en mi Dell Inspiron 9300 con una ATI x300 de 128mb y tan solo decir que va de lujo.

Es necesario tener los siguientes repositorios instalados (Treviño repositories):
deb http://download.tuxfamily.org/3v1deb edgy beryl-svn
deb-src http://download.tuxfamily.org/3v1deb edgy beryl-svn

Para ello, como ya sabreis, es simplemente teclear sudo gedit /etc/apt/sources.list y añadir estas dos líneas al final.

Fuente en español: Blumex.net
Fuente original más detallada (inglés): Beryl|ATI|AIGLX on Edgy

Kobrasoft® 2007

Frameworks para Penetration Test

2007-04-13T10:41:00.002-06:00

Hace un tiempo la gente de vulnerabilityassessment nos entregaba un mapa de los pasos a seguir y las herramientas a utilizar en un Penetration Test.

Ahora la gente de wirelessdefence hace lo propio con su Penetration Testing Framework para Wireless

Comparativa de seguridad de sistemas operativos

2007-04-13T10:41:00.001-06:00

Os dejo un interesante enlace, en el que se ha sometido a análisis a diversos sistemas operativos. El artículo data de finales de Marzo de 2007, y se llama 2006 Operating System Vulnerability Summary.

Los sistemas analizados son Windows XP, Server 2003, Vista Ultimate, Mac OS9, OSX Tiger, OSX Tiger server.5, FreeBSD 6.2, Solaris 10, Fedora Core 6, Slackware 11, SuSE Enterprise 10 y Ubuntu 6.10.

Todos estos sistemas fueron sometidos a escaneos de vulnerabilidades durante la fase de instalación, algo que es la primera vez que veo. Posteriormente, se repitió el análisis tras el primer inicio, para dar a conocer la situación del sistema “tal y como viene”. Adicionalmente, con nmap, se hicieron enumeraciones de puertos y servicios, para determinar el grado de exposición frente a ataques externos tras la instalación.

Las conclusiones son más o menos las que todos tenemos en mente:

As far as “straight-out-of-box” conditions go, both Microsoft’s Windows and Apple’s OS X are ripe with remotely accessible vulnerabilities. Even before enabling the servers, Windows based machines contain numerous exploitable holes allowing attackers to not only access the system but also execute arbitrary code. Both OS X and Windows were susceptible to additional vulnerabilities after enabling the built-in services. Once patched, however, both companies support a product that is secure, at least from the outside. The UNIX and Linux variants present a much more robust exterior to the outside. Even when the pre-configured server binaries are enabled, each system generally maintained its integrity against remote attacks. Compared with the Microsoft and Apple products, however, UNIX and Linux systems tend to have a higher learning curve for acceptance as desktop platforms.

Dicen que las comparativas son siempre odiosas. A mí esta me ha parecido curiosa.

Fuente: http://www.sahw.com/wp/archivos/2007/04/12/comparativa-de-seguridad-de-sistemas-operativos/
http://www.omninerd.com/2007/03/26/articles/74

Oracle publicará parches para 37 problemas de seguridad el próximo 17 de abril

2007-04-13T10:40:00.001-06:00

Oracle ha anunciado que en su ciclo habitual trimestral de publicación de parches, el próximo 17 de abril se corregirán 37 problemas de seguridad en sus productos.

Para la próxima CPU (Critical Patch Update) de Oracle, se solucionarán 37 problemas de seguridad en total. 13 de estos parches estarán destinados a corregir fallos en Oracle Database, producto "estrella" de la compañía. Dos para Oracle Enterprise Manager. Uno para Oracle Workflow Cartridge y otro para el componente Ultra Search (incrustado en Oracle Database).

De estos fallos mencionados, tres de ellos son especialmente graves, pues no necesitarán autenticación para ser aprovechados. Dos estarán destinados a instalaciones cliente de Oracle Database. Además, 11 serán para Oracle E-Business Suite, 5 para Oracle Application Server y el resto para PeopleSoft y las herramientas JD Edwards Enterprise.

A pesar de ser un número abultado, 37 parches de seguridad en Oracle suponen una drástica reducción en el número de problemas a los que se enfrenta Oracle habitualmente de forma trimestral. Por ejemplo, en su ciclo anterior de enero se anunciaron algo más de 50 parches. En octubre, publicaron más de 100 fallos.

Esta es la segunda vez que Oracle anuncia con antelación algunos detalles de lo que publicarán el día de parcheo. Decidió tomar esta estrategia (en clara analogía con la que sigue Microsoft) en enero de 2007. Esto supuso un paso más en su nueva apuesta por mejorar la estrategia de seguridad de la empresa. Un primer acercamiento fue el unificar los parches de forma mensual, luego trimestral, más tarde incluir más y mejor información en sus boletines y por último anunciar con cierta antelación detalles sobre lo que será publicado el día que se liberen las actualizaciones. Aun así, Oracle necesitará de mucho tiempo para limpiar una imagen muy deteriorada con respecto a la seguridad.

Más Información:

Oracle Critical Patch Update Pre-Release Announcement - April 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Oracle Update to Fix 37 Security Flaws
http://www.eweek.com/article2/0,1759,2113043,00.asp

Ejecución de código arbitrario a través de RPC en servidor DNS de Microsoft Windows

2007-04-13T10:38:00.000-06:00

Este es un boletín con carácter de urgencia debido a la gravedad del fallo. Se ha encontrado una vulnerabilidad en el sistema DNS de Microsoft Windows que puede ser aprovechada por atacantes remotos para ejecutar código en el sistema.

El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas enviadas a un puerto entre el 1024 y 5000. Esto puede ser aprovechado por usuarios no autenticados para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Sólo se ven afectados los sistemas que ejecuten este servicio (DNS), que suele ser la gama "server" de Microsoft. Desde algunas fuentes afirman que ya se están produciendo ataques intentando aprovechar el fallo.

Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"
se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4.

Más Información:

Microsoft Security Advisory (935964)
http://www.microsoft.com/technet/security/advisory/935964.mspx

Troyano phishero

2007-04-12T18:56:00.000-06:00

Comienza a ser una estrategia bastante común. El atacante lanza un troyano que haga capturas genéricas o concretas de entidades bancarias. En los equipos que logra infectar, el troyano va enviando al servidor las URLs y datos de los formularios seguros por los que navega el usuario.

El atacante va examinando los datos que le van llegando al servidor, buscando entre las URLs capturadas webs de banca electrónica, y prepara páginas de phishing específicas en base a las entidades que más se repiten entre los usuarios infectados.

Desde el servidor indica a los troyanos que cuando el usuario navegue por ciertas páginas de banca los rediriga a los contenidos de los phishings que ha preparado. A partir de entonces, cuando los usuarios infectados visitan la página de su banco, el troyano los redirige a la falsa.

Si un banco detecta la página fraudulenta y la consigue desactivar, el atacante sólo tiene que hospedar la página de phishing en otro servidor y actualizar los datos. Dado que utiliza servidores diferentes para comunicarse con el troyano y hospedar las páginas de phishing, hasta que el banco no cierre el servidor que controla a los troyanos los usuarios infectados seguirán en peligro.

En ocasiones las entidades detectan páginas de phishing de las que no han tenido noticias por correos electrónicos, no han detectado que se haya hecho un spam solicitando a los usuarios que visiten esas páginas. ¿Algún atacante despistado? ¿Detección antes de que se lance el ataque?... ¿o es que forma parte de un ataque de phishing segmentado y/o troyano?

Fuente: http://blog.hispasec.com/laboratorio/213

Los procesadores UltraSPARC mejoran su rendimiento

2007-04-12T10:01:00.000-06:00

Los servidores de Sun Microsystems con tecnología UltraSPARC optimizan funcionalidades y capacidad gracias a Solaris.

Sun Microsystems ha anunciado la disponibilidad de los nuevos procesadores UltraSPARC IV+ a 1.96 GHz y 2.1GHz para su gama de servidores Sun Fire. De hecho, el fabricante asegura que "los nuevos servidores Sun Fire con procesadores UltraSPARC IV+ a 1.95GHz y 2.1GHz marcan un record mundial en rendimiento, ofrecen una sencilla portabilidad de aplicaciones y protegen la inversión del cliente. Además, estas nuevas soluciones disponen del sistema operativo Solaris, que ofrece a los usuarios compatibilidad binaria, asegurando por tanto que las aplicaciones existentes funcionarán en los procesadores UltraSPARC IV+ sin necesidad de recodificación o recopilación".

De acuerdo con los informes de los analistas, Sun ha logrado por cuarto trimestre consecutivo ganar cuota de mercado. Es más, John Fowler, vicepresidente ejecutivo de sistemas en Sun Microsystems, confirma que "SPARC, junto con Solaris, es el motor de nuestro negocio de servidores, y es nuestro compromiso el continuar mejorando los productos basados en tecnología SPARC. La creciente demanda de servidores UltraSPARC IV+ nos ha permitido situarnos en una posición privilegiada y aumentar la cuota de mercado en detrimento de nuestros competidores".

Bajo esta perspectiva, Sun Fire E2900 con UltraSPARC IV+ 1.95 GHz (US-IV+1.95GHz) supone un nuevo record mundial de un servidor para una única aplicación, con Sun Fire T2000 como servidor de base de datos, alcanzando SPECjAppServer2004>1781 JOPS, el resultado de rendimiento más alto ofrecido por un doble nodo hasta ahora. Sun Fire (US-IV+1.95GHz) utiliza seis Solaris Containers que, por consolidación, mejoran la eficiencia del centro de datos y permiten mayores niveles de utilización del sistema.

Igualmente, Sun Fire E6900 (24 procesadores, 48 núcleos, 48 hilos de ejecución) con UltraSPARC IV+ 1.95GHz ha marcado un nuevo record mundial en las pruebas SAP-SD 2-Tier Standard Application para sistemas con 24 o menos procesadores realizadas el 04/02/07, alcanzando los 6160 usuarios.

Mientras, los servidores Sun Fire V490, V890, E2900, E4900, E6900, E20K y E25K, con los nuevos procesadores UltraSPARC IV+ a 1.95GHz y 2.1GHz tienen el doble de tiempo de vida en comparación con servidores IBM y mejoran en un tercio el coste de propiedad.

En comparación con anteriores modelos, el nuevo procesador UltraSPARC IV+ ha demostrado el doble de rendimiento respecto al UltraSPARC IV y cinco veces más que el UltraSPARC III.

Las plataformas Sun Fire UltraSPARC han sido diseñadas para ayudar a los clientes con sus aplicaciones CRM, business intelligence/data warehousing, y aplicaciones empresariales que utilizan grandes bases de datos. Los sistemas son ideales para entornos de virtualización utilizando una combinación de particiones aisladas y Solaris Containers.

Yahoo y SanDisk plantan cara al iPod con un MP3 con capacidad WiFi

2007-04-12T09:48:00.000-06:00

Sansa Connect cuenta con capacidades WiFi y un disco duro de 8 GB de memoria Flash. El dispositivo de SanDisk y Yahoo es sin embargo más pesado que iPod de 80 GB.

SanDisk y Yahoo han sido las últimas compañías que se han atrevido a competir con el hasta ahora imbatible iPod de Apple. Su arma de batalla es el dispositivo Sansa Connect, que tiene conexión WiFi.

Sansa Connect cuenta con una pantalla LCD de 2,2 pulgadas y pesa 431 gramos, es decir, que es más pesado y tiene una pantalla más pequeña que el iPod de 80 GB. También tiene un disco duro de 8 GB de memoria flash, el mismo que el iPod nano de mayor tamaño, aunque puede ser ampliado con una tarjeta de memoria microSD.

Gracias a la conexión WiFi, los usuarios de Sansa Connect pueden acceder a servicios de Yahoo tanto gratuitos como de pago, incluyendo la radio por Internet Launchcast, las galerías de imágenes online Flickr y ver la música que están escuchando sus contactos de Yahoo Messenger. El reproductor soporta archivos MP3 y WMA.

Yahoo Music Unlimited To Go puede descargar música directamente a Sansa Connect sin necesidad de un PC. Los usuarios pueden ver recomendaciones de amigos y otros propietarios del mismo dispositivo, pero no pueden intercambiarse música. SanDisk no ha revelado el precio de venta de Sansa Connect, aunque en Amazon.com el precio del dispositivo es de 249,99 dólares.

La futura Palm basada en Linux admitirá aplicaciones antiguas

2007-04-12T09:47:00.000-06:00

El CEO de Palm Ed Colligan ha anunciado para finales de año un Smartphone basado en Linux, probablemente un Treo, que soportará las antiguas aplicaciones de Palm.

Palm ha anunciado que lanzará a finales de año un nuevo smartphone, que bien puede ser un Treo, que soporta las antiguas aplicaciones de Palm. El anuncio, realizado por el CEO de Palm Ed Colligan es una magnífica noticia para aquellos a quienes le gusta el sistema operativo Palm Os pero quieren un dispositivo más actualizado.

Según Colligan, el nuevo dispositivo correrá un sistema operativo con un kernel de Linux, lo que trae a la cabeza Access Linux Platform. Access no se mencionó expresamente, probablemente por un tema contractual (Palm tiene ciertos derechos que adquirieron en el acuerdo para comprar el uso exclusivo de la marca Palm de Palmsource, la escisión que poseía el sistema operativo y fue vendida a Access).

La presentación de Palm ofreció otros puntos de interés. Básicamente, Colligan reconoció que Palm no ha tenido demasiado éxito en el mercado de empresas y espera que se incremente su papel y su presencia en el mercado de consumo, con un aumento de los beneficios. También hizo mención a la compra de ChatterEmail.

Fuente: IDG.es

Ya está aquí OpenOffice.org 2.2

2007-04-12T09:35:00.000-06:00

La comunidad de 'OpenOffice.org' presentó hace unos días 'OpenOffice.org 2.2', la última versión de la popular suite ofimática de código fuente abierto, que ya está lista para su descarga en el sitio web oficial de 'OpenOffice.org' en inglés. Este nuevo lanzamiento es muy importante y se recomienda a los usuarios de versiones anteriores su descarga, puesto que resuelve fallos de seguridad e incorpora significativos avances, aunque todavía no se encuentra traducida al español.

Entre las nuevas características y mejoras que incorpora 'OpenOffice.org 2.2' podemos destacar las siguientes:

Mejora en la presentación del texto en todas las herramientas que componen 'OpenOffice.org' (Writter, Calc, Impress, Draw, Base y Macth).

Mejor adaptación a Windows Vista de Microsoft.

Mejor soporte para la combinación de tablas en la hoja de cálculo 'Calc'.

Adaptación de nuevas funciones trigonométricas en 'Calc'.

'Calc' también ha recibido características adicionales para los formatos de archivo de 'Excel' de Microsoft

Diversas mejoras en el software para optimizar 'Base', el gestor de bases de datos.

Se ha mejorado el SQL de 'Base'.

Igualmente se han mejorado las opciones de compatibilidad para algunos conductores de 'Base', tales como Oracle ODBC.

Mejoras en el gestor de presentaciones 'Impress' que le hacen más intuitivo.

Una versión más robusta de la versión para Apple Mac con X11.

Mejor protección contra las últimas vulnerabilidades descubiertas.

Es importante recordar que 'OpenOffice.org' no es solamente un paquete de software libre, sino que es también una comunidad de usuarios y desarrolladores que intercambian sus experiencias y extensiones, por eso, esta nueva versión 'OpenOffice.org 2.2', permitirá integrar más fácilmente las extensiones de terceros, puesto que se han desarrollado nuevas características para simplificar la instalación, el intercambio y la puesta al día de éstas. Igualmente, se han agregado nuevas características para facilitar la tarea de los encargados de la traducción y la localización de 'OpenOffice.org'.

Enlaces Relacionados:

Descarga de 'OpenOffice.org 2.2' (inglés)

Descarga de 'OpenOffice.org 2.0' (español)

El 43% de las empresas obligadas a cesar su actividad por culpa del malware

2007-04-12T08:38:00.000-06:00

El malware sigue haciendo mella en las empresas de todo el mundo. De hecho, un 43% de ellas han visto interrumpido su negocio debido a los programas maliciosos o malware.

Como consecuencia de la infección provocada por estos programas “espía”, un 26% de las empresas confiesan haber expuesto información confidencial a los ciberdelincuentes.

Así se desprende del informe “El Estado de la Seguridad en Internet” elaborado por Webroot Software, que también desvela que los ataques más frecuentes son el correo basura (85%), la publicidad no deseada (67%), los virus (61%), las estafas mediante webs o correos falsos (51%) y los troyanos (39%).

El equipo de investigación de la compañía ha descubierto que ya son unos 4,2 millones de páginas de Internet de todo el mundo, de una muestra de 250 millones, las que albergan software dañino.. Sólo durante el 2006 se descubrieron casi 3 millones de estas páginas peligrosas.

La falta de protección de muchas compañías provoca, según el mismo estudio, que en la actualidad un 39 % de las empresas analizadas estén infectadas por troyanos, un 24 % por monitores de sistema y un 20 % hayan sufrido intentos de estafa mediante webs o correos falsos (phising) y espías de teclado.

Webroot recuerda que, a pesar de esta creciente amenaza y de las medidas legales y reguladoras llevadas a cabo, el último informe del Small Business Technology Institute ha descubierto que el 20% de las empresas ni siquiera tienen la protección anti-virus adecuada, dos tercios no cuentan con ningún plan de protección de la información, y muchos sólo adoptan medidas de seguridad después de sufrir pérdidas en sus datos por un accidente informático.

Fuente: noticias.com

Activación de Vista: ¿Un cuento chino?

2007-04-12T08:34:00.000-06:00

Parece que Oriente tiene a Microsoft cogido por la BIOS.

Antes incluso de que Vista se presentase, fue Tailandia. Ahora, comienza a preocupar en Microsoft la evolución de Vista Loader, un software de origen chino. Se trata de un cargador de arranque que emula la existencia de una BIOS preparada por un fabricante para ejecutar Vista y permite saltarse así la activación del sistema operativo...

Previamente a la aparición de Vista Loader ya existía un sistema similar, pero que requería modificar directamente la placa base, para hacerla pasar por una preparada por el fabricante para ejecutar Vista sin necesidad de activación. Pero Vista Loader, al ser un simple software, facilita mucho las cosas, al desaparecer el riesgo de dejar la placa inservible.

Microsoft manifiesta ser consciente de la situación, pero parece no estar dispuesto a hacer sonar las alarmas, al menos mientras el sistema no se generalice y pase a ser utilizado comercialmente por organizaciones de piratería de software.

Si alguien quiere deducir de estas palabras cierta tolerancia ante la piratería de Vista por parte del usuario particular está en su derecho de hacerlo, porque las opiniones son libres. Y las sospechas también.

Más información:

Vista Loader 2.0 [My Digital Life].
Reported OEM BIOS Hacks [Blog de WGA, MSDN].

El Pharming y la manipulación del tráfico de Internet

2007-04-11T09:54:00.000-06:00

Uno de los delitos informáticos relacionados con el desvío del tráfico de Internet hacia páginas falsas pero diseñadas en forma similar a la original, es el pharming.

En cierto aspecto, suele tener alguna similitud con el phishing, pero éste último tiene que ver con un link falso al que el usuario ingresa a través de un correo electrónico, mientras que en el pharming no hay ningún mail ni participación directa del usuario.

Pero veamos bien qué es el pharming y cómo actúa. Se denomina pharming a la modalidad mediante la cual el delincuente logra controlar un servidor DNS (Sistema de Nombre de Dominio) o un equipo particular. De esta manera, cuando el usuario ingresa al nombre de un dominio, se redirecciona automáticamente hacia una página falsa, y no a la original, que previamente ha sido especificada por el atacante.

En buen criollo, sería cuando queremos acceder a una Web pero como el DNS o la máquina está controlada por el delincuente, el tráfico se direcciona hacia una página falsa que él ha determinado.

La finalidad, al igual que el phisihing, es la de obtener información privada del usuario, como números de cuenta, contraseñas, etc. Por eso es que generalmente las páginas que más son falsificadas son las de bancos o entidades financieras.

Existen dos formas en que se den los ataques de pharming. Por un lado, al atacar a una máquina particular a través del ingreso de un código malicioso que controla y modifica los “hosts”, archivos que se encuentran en equipos que trabajan con Windows y otros sistemas como Unix, que contienen direcciones de Webs.

Cuando esos archivos (los hosts) son controlados, cada vez que el usuario ingrese a una dirección de las que están allí será redireccionado a una página falsa predeterminada por el delincuente. En este caso el que sufre el ataque es ese único usuario.

La otra forma, y más compleja por la cantidad de víctimas que puede tener, es cuando el que está controlado es directamente el servidor DNS, que contiene nombres de dominios y direcciones en red. El “envenenamiento de DNS”, como se conoce a este ataque, es cuando el delincuente logra apoderarse y modificar una base de datos de algún proveedor de Internet por lo que cada vez que un usuario ingresa a una página que está allí contenida, es redireccionada hacia el sitio falso prederterminado por el delincuente.

Para protegerse de esta modalidad de fraude, existe el software especializado, el que generalmente utilizan los servidores de las grandes compañías y protecciones DNS, con lo que se busca evitar justamente el “envenenamiento de DNS”.

En cuanto a las máquinas domésticas, por supuesto que lo más importante es la continua actualización de los antivirus que permitan reconocer los archivos que contienen los códigos maliciosos. Estos códigos pueden ingresar de diversas maneras (correos electrónicos, descargas online, etc.) y se van modificando continuamente. Por eso siempre hay que estar al día en cuanto a este tipo de amenazas y las actualizaciones correspondientes.

Más información:
http://es.wikipedia.org/wiki/Pharming
http://www.microsoft.com/spain/athome/securi ty/privacy/pharming.mspx
http://www .baquia.com/noticias.php?id=9414
http://www.info-tecnologia.com.ar/seguridad/que-e s-pharming.php
htt p://www.rompecadenas.com.ar/articulos/1580.php

Fuente: http://www.rompecadenas.com.ar/articulos/1595.php

Microsoft parchea 5 vulnerabilidades (una afectando a Windows Vista)

2007-04-11T09:50:00.000-06:00

Acaba de publicarse el boletín de parches de Microsoft para Abril, que incluye soluciones para cinco vulnerabilidades, cuatro de ellas críticas (es decir, permitiendo ejecución remota de código) y una de las cuales también afecta a Windows Vista...

Las vulnerabilidades para las que se han publicado hoy parches son las siguientes:

Más de 2.000 sitios explotan vulnerabilidad ANI

2007-04-10T10:13:00.000-06:00

Según informa Websense, son ya más de 2.000 los sitios web que, o bien explotan por sí mismos la vulnerabilidad en el manejo de cursores animados ANI en Windows, o bien han sido comprometidos y redirigen a máquinas que explotan la vulnerabilidad.

Se pueden distinguir dos oleadas principales de ataque. La primera tuvo su origen en China y se extendió luego a otros países asiáticos. Su principal objetivo era lograr contraseñas de acceso a juegos on line, sobre todo a Lineage, muy popular en Asia.

La segunda oleada, iniciada hace sólo un par de días, tiene su origen en países de Este de Europa, donde algunos grupos, que disponen de toda una infraestructura de servidores comprometidos, han añadido los exploits de la vulnerabilidad ANI a su arsenal. En este caso el objetivo principal es el acceso a cuentas bancarias, afectando sobre todo a servidores de Estados Unidos.

Diversas vulnerabilidades en Kerberos

2007-04-10T10:11:00.001-06:00

Se han descubierto diversas vulnerabilidades en krb5 que pueden permitir a un atacante remoto

Se ha encontrado un fallo en la forma en la que se manejan los nombres de usuario en el demonio telnet de MIT krb5. Un atacante remoto podría tener acceso de root sin necesidad de contraseña.

También existen encontrado desbordamientos de memoria intermedia en KDC y kadmin server daemon.

Y por último se ha encontrado un fallo de "double-free" en la librería GSSAPI, que puede permitir la ejecución de código arbitrario.

Se han publicado parches (en código fuente) para la corrección de estos problemas, disponibles desde las direcciones:
http://web.mit.edu/kerberos/advisories/2007-003-patch.txt
http://web.mit.edu/kerberos/advisories/2007-002-patch.txt
http://web.mit.edu/kerberos/advisories/2007-001-patch.txt
Las distribuciones Linux más populares ya han publicado paquetes que incluyen estas actualizaciones.

Más Información:

MITKRB5-SA-2007-003
double-free vulnerability in kadmind (via GSS-API library)
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-003.txt

MITKRB5-SA-2007-002
KDC, kadmind stack overflow in krb5_klog_syslog
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-002-syslog.txt

MITKRB5-SA-2007-001
telnetd allows login as arbitrary user
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-001-telnetd.txt

Critical: krb5 security update
http://rhn.redhat.com/errata/RHSA-2007-0095.html

[ MDKSA-2007:077 ] - Updated krb5 packages fix vulnerabilities
http://archives.mandrivalinux.com/security-announce/2007-04/msg00005.php

Ubuntu Security Notice USN-449-1. krb5 vulnerabilities
http://www.ubuntu.com/usn/usn-449-1

[SECURITY] [DSA 1276-1] New krb5 packages fix several vulnerabilities
http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00032.html

MIT Kerberos 5: Arbitrary remote code execution
http://www.gentoo.org/security/en/glsa/glsa-200704-02.xml

Seguridad en Windows Vista

2007-04-09T15:00:00.001-06:00

El tema de la seguridad en Windows Vista está dando que hablar por varias razones. La primera es que este nuevo S.O. parece ser mucho más seguro que sus antecesores. Muchas novedades: el User Account Control (UAC), el Modo Protegido del IE7 y el Service Hardening serán barreras "infranqueables" para el software maligno. El Firewall de Vista controlará todas las conexiones de salida y entrada. Windows Defender nos protegerá del spyware, y el Parental Control integrado ayudará a los padres a cuidar a sus hijos del "mal" que acecha en internet. Luego nos extenderemos, pero lo interesante es que MS quiere ser el protagonista de la seguridad en cada una de las PC donde exista el Vista, y eso quizás no sea posible.

La segunda razón, quizás un tanto más preocupante y que deriva de la expuesta anteriormente, es que muchos programas antivirus "no serán compatibles" con el Windows Vista. Lo que quiero decir es que el nivel de protección de Vista es tal que muchos programas AV tendrán problemas para proteger el núcleo de Vista, y por ello se les imposibilitará su tarea.
Al parecer las características de seguridad realmente no han cambiado, lo que significa que la seguridad integrada de Vista no será suficiente, por lo que necesitaremos software antivirus. Vista Welcome Center incluye una invitación a COMPRAR Windows Live OneCare, pero es muy probable que los usuarios quieran seguir utilizando el software que han venido utilizando anteriormente... Y aquí está el problema.

Symantec y McAfee trabajaron para desarrollar, con módulos propios, elementos de seguridad para el Windows XP, pero MS eliminó todos los elementos que permitían que estos módulos funcionaran en las primeras versiones de Vista. MS restauró luego la opción para reemplazar el Firewall de Windows, pero no trabajó en el reemplazo de Windows Defender, hasta setiembre de 2006. Otras políticas similares con el Security Center han dejado a los desarrolladores de software antivirus con muy poco tiempo para trabajar en nuevas versiones compatibles con Vista.

Pero lo más importante, son los obstáculos que representa Kernel Patch Protection, conocido como PatchGuard, que cierra el acceso a los componentes centrales de Vista, evitando cualquier modificación. Si el malware logra entrar en el S.O. y amenaza al núcleo, PatchGuard elimina la intrusión mediante un colapso deliberado del sistema. Vista será más seguro y "estable" porque no se podrá cambiar nada que sea importante... pero ¿esto es una ventaja?.
Los proveedores de seguridad también protegen el núcleo en un nivel bajo (a bajo nivel), siendo mucho más que "una protección adicional", pero PatchGuard los dejaría a todos afuera del juego. MS quiere dejar afuera a los proveedores de seguridad ajenos, aunque les ofrecen a cambio una "solución interesante": "dinos por qué necesitas parchar el núcleo y te programamos una solución gratuita". Con este ofrecimiento amigable, MS mataría varios pájaros de un tiro; por un lado descubriría bugs en forma gratuita, y por otro se haría de porciones de codigo de la competencia para (quizás) utilizarlo en OneCare, su producto antivirus. Lo gracioso es que PatchGuard ya ha sido violado por hackers, y puede ser desactivado, pero los proveedores de seguridad legítimos no pueden acceder al núcleo por las políticas de MS, y por lo tanto no lo pueden proteger.

Por ahora, la supuesta seguridad de Vista ya no es tal, y habrá que esperar a que, de a poco, los proveedores de seguridad vayan desarrollando software "compatible". Entre las desarrolladoras que están trabajando en el tema tenemos a: Symantec, McAfee, Trend Micro, F-Secure, y casi una docena más; muchas ofrecerán una actualización on-line, pero lo cierto es que hay que esperar.

Un consejo: No se metan con Vista hasta que estos temas estén solucionados.

Fuente: PC Magazine - Argentina - Neil J.Rubenking - Marzo 2007

Fuente: http://seguridadtotal.blogspot.com/2007/04/seguridad-en-windows-vista.html

Detectan código maligno en documentos RTF

2007-04-09T14:57:00.000-06:00

Compañía danesa de seguridad informática ha detectado un sistema para ocultar código maligno en documentos de formato RTF.

Numerosas empresas usan RTF (Rich Text Format) para intercambiar documentos. Entre otras razones, prefieren RTF debido a que ha sido más seguro que los archivos de Word, que pueden ocultar diversas formas de malware. Sin embargo, la compañía de seguridad informática CSIS advierte que los archivos RTF también pueden contener objetos dañinos precisamente al ser abiertos en programas como Word.

Normalmente los archivos RTF no han sido relacionados con código inseguro. Quizás por esa misma razón los programadores de malware optan ahora por ocultar aplicaciones de sabotaje y ciberdelincuencia en ellos.

En concreto, CSIS dice haber encontrado un documento en Internet, que intenta instalar una serie de componentes dañinos en el PC.

El formato RTF (formato de texto enriquecido) fue desarrollado por Microsoft en 1987 y es compatible con la mayoría de los programas de procesamiento de texto.

Fuente: http://www.diarioti.com/gate/n.php?id=13746

Intel anuncia la plataforma Centrino Pro

2007-04-09T09:26:00.000-06:00

Intel extiende su gama de ordenadores portátiles Centrino con el anuncio de la nueva gama Centrino Pro .

Centrino Pro es análoga a la plataforma de escritorio Intel vPro . Centrino Pro está basado en la plataforma Santa Rosa y soporta los procesadores Core 2 Duo con un bus de 800 MHz que utilizan la tecnología de virtualización de Intel (VT) . Usa el chipset 965 Express (GM/PM) que va junto con el southbridge ICH8M-Enhanced , que incorpora la tecnología de Intel Active Management Technology 2.5 (AMT) .

El AMT funciona guardando datos e información de software y hardware en una memoria flash no volátil . Los administradores pueden acceder a esa información de forma remota incluso cuando el sistema está apagado . También incorpora un Sistema de Defensa , que bloquea activamente las peticiones entrantes mientras pone en cuarentena a las máquinas infectadas antes de que éstas puedan afectar a otras a través de la red .

El soporte para la red cableada la lleva el controlador 82566N GbE , mientras que la red WiFi la lleva el controlador Intel Wireless WiFi Link 4965AGN , que en teoría lograría unas tasas de transmisión de datos de 300 Mbps , es por supuesto 802.11n .

Intel comenzará a distribuir los nuevos Centrino Pro a lo largo del segundo trimestre del 2007 .

Fuente: Dailytech

Nuestro IRC

2007-04-09T08:48:00.000-06:00

Ahora tenemos un canal IRC para los que quieran entrar y hablar con nosotros con respecto a dudas que tengan hacerca de seguridad informatica, programacion, redes, hardware o alguna otra cosa en que se les pueda ayudar.

los datos para entrar al IRC son :

server : chat.irc-domain.org

canal #shadowsecurity

si no pueden entrar al server intente haciendo esto

/server chat.irc-domain.org

asi entraran luego para entrar al canal solo escriben

/join #shadowsecurity

eso es para los que no tiene idea como poder entrar

se les espera ahi

salu2

Los 20 virus más nocivos detectados en el tráfico de correo

2007-04-09T07:32:00.001-06:00

Cada mes se detecta un programa informático nocivo diferente.

El número uno del ranking de Karspersky de marzo recae en Trojan-Spy.HTML.Bankfraud.ra con un 31,93 por ciento de detecciones en los correos electrónicos.

Se trata de una carta de phishing común y corriente, enviada millones de veces por todo el mundo.

Según Karspersky, continúa la fiebre en el mundo de los virus informáticos.

A lo largo de los tres primeros meses de 2007, ha habido un líder distinto en las "Listas de los veinte" cada mes.

Cada mes nuevos programas nocivos se reemplazan unos a otros en nuestros informes. Al mismo tiempo, muchos de ellos dan claras muestras de estar en competencia.

A nuestro parecer, también el nuevo líder de la lista de marzo, Trojan-Spy.HTML.Bankfraud.ra es consecuencia de las epidemias virales recientes.

Y es que no es nada más que una carta de phishing común y corriente, enviada millones de veces por todo el mundo.

Kaspersky detecto varias veces los envíos masivos de este troyano. El primero de ellos tuvo lugar el 27 de febrero de 2007 y en un mes alcanzó un notable índice de más del 30 por ciento de la cantidad total de programas nocivos descubiertos en el tráfico postal.

Entre los otros virus de los cinco primeros cabe destacar que Bagle.gt puede conservar su porcentaje del mes anterior y en caso de que en abril Bancfraud.ra desaparezca, puede volver a ocupar el primer lugar.

Los gusanos Netsky.t y Netsky.q han intercambiado posiciones: el primero bajó dos lugares, mientras que el segundo subió dos.

Por supuesto, siguen sin darse por rendidos los autores de Warezov.

En marzo su criatura más exitosa fue Warezov.jx, que ocupó el quinto lugar.

Fuente: itweek.es

Microsoft publicará cinco boletines de seguridad el próximo martes

2007-04-09T07:29:00.000-06:00

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cinco boletines de seguridad, cuatro dedicados a su sistema operativo Windows, y uno a Microsoft Content Management Server.

Si en marzo no se publicaron boletines de seguridad (quizás por la proximidad con el cambio horario, y para evitar una posible interacción con el parche correspondiente), este mes Microsoft prevé publicar cinco actualizaciones el día 10 de abril. Esta sería la segunda actualización del mes, después de que el día 3 de abril se publicara el parche de emergencia para la vulnerabilidad en ficheros ANI dentro del boletín MS07-017.

Del grupo de cuatro boletines para el sistema operativo, alguno alcanza el rango de crítico en su gravedad. También el dedicado al Microsoft Content Management Server. Adicionalmente se publicarán varias actualizaciones de alta prioridad no relacionadas con la seguridad, distribuidas a través de Microsoft Update, SUS, WSUS y Windows Update.

Parece finalmente que la carencia de boletines en marzo no ha "engordado" tanto como se esperaba el número de boletines de seguridad de abril. Cinco boletines (más el MS07-017, que aunque publicado antes de tiempo estaba destinado a hacerse público junto con el resto el día 10) no son demasiados según la media de los últimos tiempos. Recordemos, sin embargo, que cinco boletines no suponen necesariamente la existencia de cinco vulnerabilidades, sino que un boletín suele agrupar una misma solución para varios errores de seguridad.

Extraña, además, que no se hayan notificado actualizaciones de seguridad para Office, pues todavía queda pendiente una solución para un grave problema de seguridad descubierto el 15 de febrero en Office y que permitía la ejecución de código a través de ficheros Word. Este no es el único problema en Office que queda por resolver, pero sí de los más graves, pues está siendo aprovechado por atacantes activamente.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Más Información:

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx

Fuente : hispasec.com

Detectado el primer virus que ataca los iPods : Podloso

2007-04-08T10:05:00.002-06:00

Kaspersky Lab, la empresa rusa de seguridad, ha anunciado la detección del primer virus que infecta a iPod. El virus, que ha recibido el nombre de Podloso, no representa un peligro real, ya que es un representante de las “pruebas de concepto”.

El virus detectado por los especialistas de Kaspersky Lab es un archivo capaz de ejecutarse y funcionar en iPod.

Vale decir que para que el virus funcione, es necesario que en el iPod esté instalado el sistema operativo Linux.

Después de guardarse en el iPod del usuario, el programa malicioso se instala en el directorio de versiones demo.

El inicio automático de Podloso es imposible y sólo el usuario puede iniciarlo.

Después de iniciado, el programa nocivo escanea el disco duro del iPod y contagia todos los ficheros con la extensión .elf.

Al tratar de ejecutar los archivos infectados, el virus muestra en la pantalla del iPod “You are infected with Oslo the first iPodLinux Virus”.

El virus Podloso pertenece a la categoría de programas “pruebas de concepto”, los así denominados “virus conceptuales”.

Estos programas se suelen crear con el objetivo de demostrar que determinada plataforma puede ser infectada y no tienen potencial destructivo.

Además, Podloso no es capaz de reproducirse: para infectar el iPod es necesario que el usuario guarde el virus en la memoria del reproductor musical.

De esta manera, el primer virus para iPod no tiene ninguna función peligrosa y no representa riesgo para los usuarios, sin embargo muestra que es posible escribir programas nocivos para estos dispositivos en el futuro.

Fuente:noticiasdot.com

Ejecución de código arbitrario en Yahoo Messenger 8

2007-04-08T10:05:00.001-06:00

Se ha identificado un fallo en en Yahoo Messenger que puede ser aprovechado por atacantes para ejecutar código arbitrario en el sistema de la víctima.

El fallo se debe a un desbordamiento de memoria intermedia en el control ActiveX AudioConf en la librería yacsom.dll a la hora de procesar argumentos muy largos que se le pasen el método createAndJoinConference. Esto puede ser aprovechado por atacantes remotos para ejecutar código arbitrario si una víctima visita una página especialmente manipulada.

Se recomienda actualizar a la última versión desde:
http://messenger.yahoo.com

Más Información:

Yahoo! Messenger AudioConf ActiveX Control Buffer Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-012.html

Denegación de servicio en Windows Vista por problema en driver ATI Radeon

2007-04-07T10:04:00.000-06:00

Se ha descubierto un problema en Microsoft Windows Vista que puede ser explotado por usuarios locales maliciosos para provocar denegaciones de servicio.

El problema se debe a un error no especificado en el driver de modo kernel de ATI Radeon (atikmdag.sys) en ciertas configuraciones de sistema. Esto puede ser utilizado por un atacante para provocar el cese de la ejecución del sistema al realizar acciones como permitir la funcionalidad slideshow en ciertos directorios o al cargar o salir de ciertos juegos.

A falta de parche oficial, se recomienda no utilizar la funcionalidad slideshow o simplemente utilizar un driver diferente.

Más Información:

Microsoft Windows Vista ATI Radeon Kernel Mode Driver Denial of Service Vulnerability
http://www.frsirt.com/english/advisories/2007/1160

Varias vulnerabilidades en servidor X.Org

2007-04-05T07:20:00.000-06:00

iDefense ha publicado varias vulnerabilidades en el servidor X.Org, que utilizan muchos sistemas operativos de código libre.

Alguna de ellas permiten una escalada de privilegios a usuarios locales, pero hay otra que incluso podría ser explotada de forma remota para ejecutar código arbitrario...

Puesto que los parches ya están disponibles, cabe esperar que las diferentes distribuciones no tardarán en publicar paquetes actualizados.

Más información:

Several holes in the X.Org server [Heise Security].

Microsoft publica boletín de forma urgente

2007-04-04T11:57:00.000-06:00

Para los usuarios de Microsoft Windows se han publicado actualizaciones que resuelven varias vulnerabilidades, entre ellas la relacionada con los cursores animados, que recientemente ha sido ampliamente explotada.

El boletín publicado engloba siete vulnerabilidades de diferentes grados de impacto, pero no por ello menos peligrosas.

La primera vulnerabilidad afecta a Microsoft Windows con una elevación de privilegios en modo local, cuando las estructuras de datos mapeadas como solo lectura son modificadas para ser leídas o escritas por otros procesos, aparte del encargado de ello. Un ataque exitoso puede resultar en la elevación de privilegios. Puede ejecutarse código arbitrario, comprometiendo todo el sistema. Los intentos fallidos pueden causar denegaciones de servicio. Son afectados Windows 2000 y XP.

El segundo problema corregido, permite a un atacante explotar un fallo que se produce al manejar archivos WMF (Windows MetaFile), causando que el sistema deje de responder y posiblemente deba ser reiniciado. Esto ocurriría al visitar un sitio web malicioso con imágenes prediseñadas para que el problema ocurra.

Una tercera vulnerabilidad permite que un usuario con acceso limitado, pueda ejecutar un programa aprovechándose de una debilidad existente en el proceso de archivos EMF (Enhanced Metafile), que elevaría los privilegios que tiene adjudicados, permitiéndole tomar el total control de la máquina.

El cuarto problema se produce cuando Windows maneja un valor inválido de los tamaños de ventanas, provocándose un fallo que permitiría a un atacante tomar el control del sistema en su totalidad, gracias a la elevación de sus derechos de acceso. Este problema solo es explotable en forma local y posiblemente con una aplicación que use un parámetro que cause el buscado valor.

El quinto problema solucionado, lo ocasiona una validación errónea de Windows al manejar archivos de iconos y cursores animados, y permite tomar el control total del sistema afectado en forma remota. La actualización en el boletín modifica la forma de validar los formatos afectados antes de su proceso de renderización, solucionando el mencionado fallo. Esta es la vulnerabilidad que ha sido explotada en los últimos días para la descarga y ejecución de diversos troyanos en los equipos de los usuarios, cuando estos visitan sitios web maliciosos.

NOD32 detecta los exploits que se valen de dicha vulnerabilidad como Win32/TrojanDownloader.Ani.G y Win32/TrojanDownloader.Ani.Gen.

Una elevación de privilegios es el sexto problema corregido. El mismo se produce cuando el GDI (Graphics Device Interface) procesa los parámetros relacionados al color erróneamente, accediendo a una sección de la memoria sin examinar. El fallo provocado puede permitir a un atacante tomar el control total del sistema.

La última de las vulnerabilidades solucionada por esta actualización de Microsoft, permite a un atacante ya validado en un ordenador, la ejecución de un programa que cargue un modelo de fuente malformada, de tal manera que el procesador de fuentes provoque un fallo, permitiendo el escalamiento de privilegios. Al obtener privilegios de administrador, todo el sistema queda comprometido. La vulnerabilidad solo puede ser explotada de forma local.

El software afectado por estas actualizaciones es el siguiente:

* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003
* Microsoft Windows Vista

Las versiones no mencionadas no son vulnerables o ya no tienen soporte técnico.

Se recomienda descargar la actualización de seguridad correspondiente a su sistema operativo, o utilizar las actualizaciones automáticas. Antes debe quitar, si lo ha puesto, cualquier parche no oficial que pudiera haber instalado para protegerse de la vulnerabilidad de los cursores animados.

Boletín MS07-17
www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

Rompiendo WEP de 104 bits en menos de 60 segundos

2007-04-04T11:55:00.001-06:00

Los expertos en seguridad afirman que este sistema debería ser abandonado en redes especialmente sensibles.

Varios investigadores de la Darmstadt Polytechnic dijeron que WEP hace uso de una cadena RC4 para cifrar los datos que se transmiten de forma inalámbrica, usando normalmente una clave secreta con una longitud de 40 a 104 bits de longitud.

Se descubrió que WEP era inseguro ya en 2001 después de que Scott Fluhrer, Itsik Mantin, y Adi Shamir publicaron un análisis de esa cadena de cifrado RC4. Desde entonces los crackers y hackers han sido capaces de recuperar las claves con menor o mayor grado de éxito.

En 2005 Andreas Klein presentó otro análisis del cifrado que demostró que había más correlaciones con la clave de la cadena de cifrado. Los ingenieros de Darmstadt utilizaron esa idea para adaptarla de forma que fuera posible recuperar una clave WEP de 104 bits en la mitad de tiempo con tan solo 40.000 paquetes capturados.

Cuandos más paquetes capturan, más posibilidades tienen de encontrar la clave. Con 85.000 paquetes de la transmisión capturados, podían averiguar la clave de acceso a la red inalámbrica el 95% del tiempo.

Usando 40.000 paquetes, que pueden ser capturados en menos de un minuto, el tiempo de proceso para averiguar la clave lleva unos tres segundos en un Pentium M 1,7 GHz.

Los científicos dijeron que este hack hace que el protocolo WEP sea tan útil como una taza de chocolate en ambientes sensibles en los que los datos que se transfieren requieren una seguridad fiable. Teniendo en cuenta que la mayoría de los vendedores de equipamiento soportan WPA1 y WPA2, los clientes deberían usar esos mecanismos de protección.

Pueden descargarse los paperd "recover a 104-bit WEP key in under a minute" y "Breaking 104 bits WEP in less than 60 seconds"

Fuentes:
http://es.theinquirer.net/2007/04/04/la_seguridad_wep_completamente.html
http://uk.theinquirer.net/?article=38704
http://hardware.slashdot.org/article.pl?sid=07/04/03/2116239

FireGPG: criptografía desde Firefox

2007-04-03T12:35:00.000-06:00

Dos linuxeros franceses, Achraf Cherti y Maximilien Cuony, han desarrollado durante el pasado mes de marzo FireGPG, una extensión para Firefox que facilita el uso de GnuPG desde el propio navegador, tanto en Windows como en Linux.

FireGPG no proporciona por sí mismo la capacidad de cifrar, firmar y verificar, sino que se requiere una instalación previa de GnuPG, siendo también conveniente disponer de algún interfaz gráfico desde el que poder gestionar claves y demás...

La extensión (aún en fase beta) se instala en Firefox como cualquier otra. Tras rearrancar el navegador se dispone de un nuevo menú de opciones desplegables que permite firmar, cifrar, descifrar, verificar y establecer algunas características de configuración. Gracias a él puede hacerse fácil uso de GnuPG para manejar información en cualquier foro o en el formulario de cualquier página web.

FireGPG dispone además de una buena integración con Gmail, añadiendo algunos botones al interfaz web de este sistema de correo. En ese sentido FireGPG es muy parecido a GMail Encrypt.

FireGPG

Microsoft publica su parche contra la vulnerabilidad ANI

2007-04-03T12:29:00.000-06:00

Microsoft acaba de publicar su esperado parche contra la vulnerabilidad crítica en el manejo de ficheros de cursores animados detectada en diferentes versiones de Windows.

Más de 100 parches para Vista

2007-04-03T06:50:00.000-06:00

The Hotfix, que hace tiempo puso para descarga Service Pack 3 Preview para Windows XP, anuncia ahora el denominado Windows Vista Service Pack 1 Hotfix Preview, que se supone contiene los primeros más de 100 parches para Vista que Microsoft publicará como Service Pack 1 oficial hacia finales de año.

Hoy, 3 de Abril, espero que ya podamos confiar en que esta noticia no es otra broma... ¿O no?

Fuente : Kriptopolis.com

Chequeador y nuevos exploit .ANI

2007-04-02T15:07:00.000-06:00

Se ha publicado un chequeador para saber si somos vulnerables a los archivos .ANI manipulados.

También se ha publicado un nuevo exploit que funciona en cualquier Windows incluso en aquellos ya patcheados con EEye . Ejecútelo bajo su propia responsabilidad.
Anteriormente el descubridor de la vulnrabilidad ya había publicado este.

Algunos antivirus lo siguen detectando sin problemas:

Avalancha de parches para la vulnerabilidad en ficheros ANI

2007-04-02T15:06:00.000-06:00

McAfee dio a conocer el pasado día 28 de marzo una grave vulnerabilidad en Microsoft Windows que permitía a atacantes ejecutar código de forma totalmente silenciosa. Poco después, se hacía público un exploit y los acontecimientos se han precipitado. Hasta tres parches no oficiales se han publicado y el oficial de Microsoft se adelanta para salir el día 3 de abril, rompiendo su ciclo habitual de los segundos martes de cada mes.

Microsoft confirmaba la existencia de la vulnerabilidad el día 31 de marzo. Se trata de un fallo en el tratamiento de archivos ANI que afecta a casi todas las versiones recientes de Windows: 2000 SP4, XP SP2, XP 64 bits, Server 2003, Server 2003 64 bits y Vista. El problema se basaba en una vulnerabilidad ya conocida y solventada (al parecer no del todo), calificada con el boletín MS05-002 por Microsoft y descubierta inicialmente por eEye.

El ataque se llevaría a cabo a través de documentos HTML, imágenes JPG, o ficheros ANI propiamente que referenciasen a un archivo ANI especialmente construido. Al ser cargado por el navegador, ejecutaría de forma silenciosa código arbitrario en el sistema afectado. Los usuarios
de Internet Explorer 7 en Windows Vista no se verán afectados debido al modo protegido de IE7. Tampoco prosperarían ataques a través de Microsoft Outlook 2007.

eEye publican el mismo día 28 un parche no oficial. Esta primera aproximación no ataca realmente a la vulnerabilidad. Simplemente evita que los cursores animados se carguen fuera del directorio de sistema.

Así, las páginas que intentaran aprovecharse de esto no podrían ejecutar sus cursores, pero un exploit especialmente preparado podría eludir este parche. Poco después, la organización ZERT publica una nueva actualización no oficial que sí ataca de raíz el fallo, evitando que cualquier exploit funcione y finalmente ejecute código arbitrario.

Cuestión de horas después, Microsoft anuncia oficialmente que sacará el día 3 de abril un parche fuera del ciclo habitual de los segundos martes de cada mes. En su propio blog, indica por qué tanta "velocidad" en su actuación, cosa que seguro "se estará preguntando la gente". Explica que
los ataques se han incrementado durante el fin de semana, que existe exploit público y que en realidad, estaban investigando el fallo desde finales de diciembre de 2006. De hecho, pensaban sacar el parche para este problema el día 10 de abril, en su ciclo habitual, pero dadas las
circunstancias se adelanta una semana.

Por último, en lo que se ha convertido en una verdadera avalancha de soluciones, una tercera entidad privada saca un nuevo parche de emergencia que se engancha a la API vulnerable protegiéndola. Se trata de X-Solve, una compañía de Taipei (Taiwán) que entra por primera vez en escena en el campo de los parches no oficiales.

Los parches no oficiales están de moda, y no es nada nuevo. Simplemente, cabe recordar lo que ya escribíamos en este mismo espacio hace justo un año: "Es posible que nos hallemos ante una nueva tendencia en la que compañías y empresas de seguridad se adelantan a la propia Microsoft con la intención de obtener reconocimiento, prestigio, visitas y popularidad. Al margen de la eficacia de estos parches y de la libre decisión de usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft de forma indirecta para la publicación de un parche oficial y provocan una importante presión mediática en la compañía, en cuya política de publicación de seguridad prima la calidad (dedican mucho más tiempo a pruebas que al desarrollo) antes que la velocidad de publicación."

Más información:
An Emergent Patch for Windows Vulnerability
http://x-solve.com/blog/?p=125

Latest on security update for Microsoft Security Advisory 935423
http://blogs.technet.com/msrc/archive/2007/04/01/latest-on-security-update-for-microsoft-security-advisory-935423.aspx

ZERT Patches ANI 0day
http://blogs.securiteam.com/index.php/archives/863
http://zert.isotf.org/advisories/zert-2007-01.htm

Windows .ANI Processing
http://research.eeye.com/html/alerts/zeroday/20070328.html

Sergio de los Santos
ssantos@hispasec.com

Fuente: http://www.hispasec.com/unaaldia/3082/

Saltando el Firewall de Windows Vista

2007-04-02T12:28:00.000-06:00

Como informábamos hace un par de días se había lanzado la semana de los fallos en Windows Vista (WOVB).
Hoy, han iniciado la semana publicado la forma de saltear el Firewall de Windows. Los autores nos informan que se publicarán todos los códigos el próximo fin de semana.

Ataque de Phishing: Tus keyloggers están en el correo

2007-04-02T12:22:00.000-06:00

Un acercamiento del bajo-tech a phishing ha cogido una organización NSW-basada después de que sus empleados fueran CD-ROM enviados que contenían software keylogging ocultado. Mientras que la identidad de la organización no se ha revelado, los autores sabían su blanco mientras que los CD-ROM fueron tratados a la organización. El portavoz Macleonard Starkey de AusCERT (Computer Emergency Response Team australiano) dijo ITRadio.com .au que, insertado una vez en las computadoras del personal, los CDes comenzaran un fichero ejecutable del jugador de medios de Windows. En el fondo, el software keylogging fue descargado. “Porque la mayoría de los usuarios tienen acceso administrativo a sus máquinas, incluso en redes corporativas hoy, será caído generalmente derecho al directorio de Windows system32, y sale para arriba de allí. Esto es mismo un scam del bajo-tech pero es también muy bueno,” Starkey dicho. Él declinó revelar el nombre de la organización afectada o de su industria. “Es absolutamente probable que esto se pueda realizar por alguien que assistió a una conferencia y envió una cierta información que se relaciona con algún otro,” ZDNet dicho Starkey Australia en una entrevista del teléfono esta mañana. La organización era enterada del problema después de que su software del antivirus detectara los datos que eran enviados. Entonces informó a AusCERT cuál todavía está examinando el malware. Starkey no podría decir si muchos datos fueron comprometidos. El scam era buen como pocas organizaciones tenían medidas de control en lugar de guardar contra este tipo de ataque, él agregó. “No sé de ninguna organizaciones con excepción de el de la defensa que tengan políticas a ocuparse de ataques como esto.” AusCERT ha visto este tipo de ataque antes, pero para cada que ocurre, “hay probablemente 20 que no oímos sobre”, él dijo. Starkey no dijo si el policía investigaba el incidente.

zdnet.com .au

Microsoft anuncia parche para la vulnerabilidad .ANI

2007-04-02T08:53:00.000-06:00

Microsoft ha anunciado para el próximo martes 3 (rompiendo su habitual norma del segundo martes de cada mes), la publicación de al menos un boletín de seguridad con sus correspondientes parches y actualizaciones.El único boletín previsto afecta a Microsoft Windows, y está catalogado con el nivel de crítico. Este nivel es utilizado cuando se relaciona con una vulnerabilidad, cuya explotación pueda permitir la propagación de un gusano de Internet o código malicioso sin la intervención del usuario.Aunque en la página donde se anuncian los próximos boletines,no se suele adelantar detalles de las vulnerabilidades queserán corregidas, en el blog de seguridad de la empresa, semenciona que dicho parche será el que reparará el grave falloque afecta a los archivos de cursores e iconos animados deWindows.Según el blog, se está trabajando para que en esa fecha estédisponible y en las últimas horas se ha estado probandoexhaustivamente, para asegurar a los clientes la totalcompatibilidad con los programas instalados.Por supuesto, a pesar del anuncio, Microsoft no descarta queen caso de inconvenientes, la fecha estimada podríaatrasarse.Cómo muchos se preguntarán cómo es posible que Microsoftllegue a publicar en tan poco tiempo una actualización parauna vulnerabilidad, cuyo exploit fue hecho público apenashace unos días (28/03/07), la explicación del blog es que elproblema era conocido desde diciembre de 2006, y por lo tantoya se estaba trabajando para solucionarlo desde ese entonces.Además, curiosamente, ya estaba prevista antes de estosataques su liberación para el segundo martes de abril (o seael 10 en este caso). Pero debido al elevado nivel de riesgoque la aparición del exploit significa, y el aumento desitios comprometidos con el exploit, capaces de infectar ausuarios que los visiten con códigos maliciosos, se decidióadelantar la fecha de publicación.Además de este parche, se anuncia que también estarádisponible la versión actualizada del "Microsoft WindowsMalicious Software Removal Tool", software que examina el PCen busca de virus, gusanos, troyanos y otra clase de malwaresconocidos, pero que no mostrará al usuario mensaje alguno, ano ser que se detecte algún código sospechoso.Recordemos que la vulnerabilidad está siendo ampliamenteexplotada para la distribución código malicioso. El ataquepuede producirse sin ninguna intervención del usuario, cuandoéste visita un sitio web comprometido, o mediante correoelectrónico.* Más información:Todo sobre la vulnerabilidad en cursores animadoshttp://www.vsantivirus.com/vul-cve-2007-1765.htmAlerta Amarilla por ataques a vulnerabilidad .ANIhttp://www.vsantivirus.com/01-04-07.htm* Relacionados:Microsoft Security Bulletin Advance Notificationwww.microsoft.com/technet/security/bulletin/advance.mspxLatest on security update for Microsoft Security Advisory 935423http://blogs.technet.com/msrc/archive/2007/04/01/latest-on-security-update-for-microsoft-security-advisory-935423.aspxFuente: http://www.vsantivirus.com/02-04-07.htm

Nuevo gusano explota la vulnerabilidad ANI de Windows

2007-04-01T18:52:00.000-06:00

El CISRT (es decir, el equipo chino de respuestas de seguridad en Internet) acaba de informar de la detección de un nuevo gusano que explota la vulnerabilidad de los ficheros animados ani en Windows.

EEye publica un parche para una vulnerabilidad de día cero en Windows

2007-03-31T10:18:00.000-06:00

El fabricante de seguridad eEye Digital Security ha publicado un parche no oficial para una nueva vulnerabilidad de Windows que ya había empezado a ser explotada por los hackers.

El parche cubre un agujero relacionado con la forma en que Windows procesa archivos Animated Cursor, utilizados para crear cursores tipo viñeta en Windows.

Fueron los investigadores de McAffe los que alertaron por primera vez de este fallo el miércoles, advirtiendo que estaba siendo utilizado para la realización de ataques basados en Web.

Microsoft ha asegurado que desarrollará su propio parche para el agujero. Generalmente, el fabricante recomienda a los usuarios evitar el uso de parches desarrollados por terceras partes, como es el caso del de eEye.

La próxima actualización regular de seguridad de Microsoft –que el fabricante lanza el segundo martes de cada mes- está prevista para el próximo día 10 de abril, pero la compañía aún no ha informado sobre si en ella incluirá o no el parche para el nuevo problema en Windows.

El suministrador de seguridad asegura haber informado a Microsoft sobre la vulnerabilidad el pasado diciembre.

"Microsoft parcheó una vulnerabilidad estrechamente relacionada en su actualización MS05-002, pero el parche estaba incompleto", explica la empresa en su sitio Web.

Fuente: idg.es/ (Computerworld)

Ojo con los cursores animados

2007-03-31T09:19:00.000-06:00

Diversas compañias han comenzado a alertar sobre la vulnerabilidad confirmada por Microsoft y que permite la ejecución de archivos que pueden ser descargados de internet (malware).
Las aplicaciones vulnerables son Windows, Outlook y Outlook Express

Si alguien te ofrece un archivo .ani, ignóralo a menos que quieras infectarte.

Vista también es vulnerable cerrando la carpeta en donde se aloja el archivo del cursor.

Toda la información en:
http://isc.sans.org/diary.html?storyid=2534
http://isc.sans.org/diary.html?storyid=2539
http://isc.sans.org/diary.html?storyid=2540
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=777
http://www.hispasec.com/unaaldia/3079/
http://www.vsantivirus.com/vul-cve-2007-1765.htm
http://www.vsantivirus.com/trojandownloader-ani-g.htm
http://www.microsoft.com/technet/security/advisory/935423.mspx
http://blogs.technet.com/msrc/archive/2007/03/29/microsoft-security-advisory-935423-posted.aspx
http://blogs.technet.com/msrc/archive/2007/03/30/update-on-microsoft-security-advisory-935423.aspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0038
http://archives.neohapsis.com/archives/fulldisclosure/2007-03/0470.html
http://www.determina.com/security_center/security_advisories/securityadvisory_0day_032907.asp
http://www.us-cert.gov/cas/techalerts/TA07-089A.html
http://www.kb.cert.org/vuls/id/191609
http://secunia.com/advisories/24659
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1765

Confirmada vulnerabilidad en algunos dispositivos inalámbricos Linksys

2007-03-30T16:12:00.001-06:00

Algunos dispositivos inalámbricos de Linksys revelan información confidencial (incluyendo la contraseña de acceso al interfaz web de administración y la frase contraseña de WPA) cuando se les envía un paquete UDP al puerto 916.

En concreto están afectados los modelos WAG200G con firmware 1.01.03 y anterior, WRT54GC v1 con firmware 1.03.0 y anterior y WRT54GC v2 con firmware 1.00.7 y anterior...

Según Secunia, se publicarán nuevas versiones de firmware para estos productos la próxima semana.

Herramientas de Seguridad para VoIP

2007-03-30T16:07:00.000-06:00

A continuación de un listado de herramientas (gratuitas y pagas) para análisis de VoIP:

Además vale la pena dar un recorrido por

VOIPSA's VoIP Security Threat Taxonomy

, el sitio s de NIST Security Considerations for Voice Over IP Systems y ya que estamos leer un par de libros sobre el tema:

"Practical VoIP Security". Thomas Porter.
"Hacking Exposed VoIP". David Endler & Mark Collier.

Fuente: http://radajo.blogspot.com/2007/03/voip-security-tools.html

Nueva amenaza en Latinoamérica

2007-03-30T16:04:00.000-06:00

Latinoamérica está siendo blanco de un ataque bastante particular de un troyano. El mismo simula ser una descarga de Internet Explorer para engañar al usuario.
Si bien este caso es uno más de los cientos que se ven a diario, siempre hay que prestar especial atención en estos casos que salen de la normalidad por la cantidad de correos que están llegando.

Los Antivirus lucen así hasta este momento:

Es decir que como siempre la solución pasa por nosostros.
Sea precavido: mire, piense y luego no haga click.

La Semana (Santa) de los fallos de Windows Vista

2007-03-30T14:43:00.000-06:00

Esto de dedicar las temporadas temáticas se ha puesto tan de moda que ahora se pisan las fechas. Este mes de abril se habían propuesto hacer el mes de los fallos de MySpace, pero además, se ha lanzado The Week of Vista Bugs (TWOVB) para la semana que viene.

Ahora mismo están pidiendo por mail que las contribuciones al equipo y desde el lunes 2 de Abril empezarán a postear los bugs. El equipo está formado, según pone en la web por:

The TWOVB Team
--------------
* Jerome A.
* Class 101
* Brett M.
* H. M.
* Anonymous

Y como se puede ver en el menú de la web, se unen a cierta corriente popular de usar el acrónimo "M$" para definir a Spectra.

Veremos que hacen público. La información en esta URL.

De momento no dan más información. ¿Serán grabes? ¿Prefieren hacerlos públicos a ganar la pasta que se supone que se paga por los fallos de Windows Vista?

Fuente: ElLadoDelMal Securinfos.info

Sistemas de ficheros cifrados con Debian GNU/Linux

2007-03-30T14:37:00.000-06:00

Una funcionalidad muy útil para asegurar la confidencialidad de nuestros datos es poder cifrar un sistema de ficheros completo.

En este breve artículo describo cómo hacerlo en Linux (Debian Etch, para ser más exactos). El procedimiento es similar para otras distribuciones...

En realidad, adapto aquí -con permiso de su autor- un mensaje incluido en la lista de correo de Debian (desarrolladores)...

Descripción general

La funcionalidad que deseamos utilizar viene dada por los siguientes paquetes:

loop-aes-utils
loop-aes-modules-2.6.18-4-686 (o el que corresponda para nuestra versión del kernel).

Básicamente se trata de un módulo para el núcleo -con sus utilidades de gestión correspondientes- que permite trabajar con sistemas de ficheros cifrados. Los paquetes anteriores instalan una versión especializada del típico "mount", que nos pedirá una contraseña cuando intentemos montar el sistema cifrado en cuestión.

Para trabajar con estas herramientes es conveniente también instalar los siguientes paquetes, si no los tenemos:

pwgen
gnupg

Mini "cómo"

A continuación mostraremos un ejemplo de uso: crearemos un sistema de ficheros dentro de un fichero regular (a un usuario de Windows a lo mejor esto le sorprendería), lo montaremos en modo "cifrado", lo "formatearemos" y escribiremos datos dentro.

1) Instalamos los paquetes necesarios:

# apt-get install ...

2) Creamos un fichero que almacenará un sistema de ficheros en su interior (de 100MB, para probar). Podemos usar la ubicación y nombre que más nos gusten (en nuestro caso /mnt/testfs):

# dd if=/dev/zero of=/mnt/testfs bs=1k count=102400

3) Creamos un fichero (cifrado con gnupg) de contraseñas para acceder al sistema de ficheros cifrado:

#  pwgen -cns 30 65 | gpg -aco /mnt/testkey

(gpg nos pedirá introducir una clave, que utilizaremos posteriormente para acceder al sistema de ficheros)

4) Asociamos un "loop device" a nuestro sistema de ficheros y establecemos el tipo de cifrado. Es recomendable la versión más potente de AES (existen otros tipos de cifrado descritos en la documentación del paquete).

# losetup -e AES256 -K /mnt/testkey /dev/loop0 /mnt/testfs

5) Creamos la estructura del sistema de ficheros (lo "formateamos"). Elegimos un sistema habitual en Linux: ext3.

# mkfs -t ext3 /dev/loop0

6) Creamos el directorio de montaje:

# mkdir /mnt/test

7) Deshacemos la asociación entre el "loop device" /dev/loop0 y nuestro sistema de ficheros:

# losetup -d /dev/loop0

8) Añadimos al fichero /etc/fstab una entrada como la siguiente: (a continuación se muestra la línea a añadir; aunque aquí pueda aparecer partida, es una sola línea)

/mnt/testfs /mnt/test ext3 defaults,rw,user,noauto,loop=/dev/loop0,encryption=AES256,gpgkey=/mnt/testkey 0 0

9) Ahora podremos montar nuestro sistema de ficheros cifrado, incluso como usuario normal:

$ mount /mnt/testfs
Contraseña:

Nos pedirá la contraseña que habíamos introducido en el punto 3). Si la introducimos bien, volverá a establecer la asociación entre el "loop device" y el sistema de ficheros, y podremos acceder a este último. A partir de ahora, todos los datos que escribamos en el sistema de ficheros se guardarán cifrados.

Podemos acceder y ver lo que tiene (inicialmente vacío):

$ cd /mnt/testfs
$ ls -l
total 12
drwx------ 2 root root 12288 2007-01-31 17:38 lost+found
$

Para poner a buen recaudo el sistema de ficheros, después de trabajar con él, simplemente lo desmontamos:

$ umount /mnt/testfs

Obviamente, también podemos cifrar una partición "real" como /dev/hda1, /dev/hda5, etc.

Para más información, consultar la documentación oficial del paquete en cuestión. La página oficial es: http://loop-aes.sourceforge.net

Múltiples vulnerabilidades en IBM Lotus Domino 6 y 7

2007-03-30T08:41:00.001-06:00

Se han encontrado varios problemas de seguridad in IBM Lotus Domino y Lotus Domino Web Access que pueden ser aprovechados por atacantes para perpetrar ataques de cross site scripting o provocar una denegación de servicio.

* Un error no especificado dentro del servicio IMAP puede ser aprovechado para provocar un desbordamiento de memoria intermedia y hacer que el servidor deje de responder.

* Un error no especificado en el servidor LDAP a la hora de manejar ciertas peticiones puede ser aprovechado para provocar un desbordamiento de memoria intermedia y hacer que el servidor deje de responder.

* Ciertas entradas en Lotus Domino Web Access no son debidamente tratadas antes de ser devueltas al usuario, lo que puede permitir ejecutar código HTML y script en el navegador del usuario bajo el contexto de seguridad del sitio afectado.

Se recomienda actualizar a la versión 6.5.6 o 7.0.2 Fix Pack 1.

Más Información:

IBM Lotus Domino IMAP Server CRAM-MD5 Authentication Buffer Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-011.html

IBM Lotus Domino Web Access Cross Site Scripting Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=493

IBM Lotus Domino Server LDAP Request Invalid DN Message Heap Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=494

Lotus Domino Web Access Cross-Site Scripting Vulnerability
http://www-1.ibm.com/support/docview.wss?uid=swg21257026

IBM Lotus Domino IMAP Server Buffer Overflow Vulnerability
http://www-1.ibm.com/support/docview.wss?uid=swg21257028

IBM Lotus Domino Buffer Overflow Vulnerability in LDAP Server Task
http://www-1.ibm.com/support/docview.wss?uid=swg21257248

Publicado informe sobre vulnerabilidades en sistemas operativos durante 2006

2007-03-29T21:33:00.002-06:00

OmniNerd ha publicado un estudio basado en el escaneo, mediante Nessus y Nmap, de vulnerabilidades explotables de forma remota en diferentes sistemas operativos: Windows XP, Server 2003, Vista Ultimate, Mac OS9, OSX Tiger, OSX Tiger server, FreeBSD 6.2, Solaris 10, Fedora Core 6, Slackware 11, SuSE Enterprise 10 y Ubuntu 6.10.

Los detalles son interesantes y las conclusiones probablemente polémicas...

Concluye el estudio que tanto Windows como MacOS "salen de la caja" con varias vulnerabilidades explotables de forma remota, que en el caso de Windows ni siquiera precisan que se activen los servidores incorporados, si bien la situación empeora en ambos sistemas tras habilitarlos. Sin embargo, una vez parcheados ambos sistemas parecen seguros desde el exterior.

En cuanto a Linux-UNIX el trabajo afirma que presentan un aspecto mucho más robusto hacia el exterior y que incluso con los servidores preconfigurados activos mantienen su integridad frente a ataques remotos. El inconveniente frente a los productos de Microsoft y Apple radicaría en que su curva de aprendizaje es más pronunciada.

En lo que respecta a un uso empresarial, se afirma que la mayoría de sistemas analizados pueden servirse de los conocimientos de administradores capacitados para parchearlos y configurar correctamente sus servicios. No ocurre lo mismo en los ordenadores domésticos. Dada la naturaleza esotérica de UNIX y Linux sus usuarios suelen ser mejores conocedores de aspectos relativos a su seguridad, con lo que se benefician de una amplia base de usuarios entendidos. Los sistemas operativos de Microsoft y Apple, al estar más orientados al consumidor, tafrontan un riesgo mayor de que un usuario abra servicios remotos de manera arbitraria o juguetee con las configuraciones por defecto, por lo que los sistemas pueden volverse enseguida vulnerables a intrusiones.

Concluye el estudio diciendo que si no se aplican con diligencia los parches apropiados o no se habilitan las actualizaciones automáticas, los propietarios de sistemas Windows y OS X son los más susceptibles a intrusiones rápidas y devastadoras.

Fuente:

2006 Operating System Vulnerability Summary [OmniNerd].

Vulnerabilidad en el manejo de cursores animados en Windows

2007-03-29T21:33:00.001-06:00

Una nueva vulnerabilidad, afectando esta vez al manejo en Windows de cursores animados, puede provocar la ejecución de código en la máquina afectada.

Para ello es necesario descargarse un fichero malformado (en principio con extensión .ani, pero que puede ser renombrado) bien desde una página web o bien mediante un correo html. Se ha informado ya de la existencia de un troyano que se camufla en el fichero afectado.

No existe parche y son vulnerables Windows 2000 SP4, Windows XP SP2, Windows Server 2003 y Windows Vista...

En Windows Vista se produce además un curioso efecto al arrastrar el fichero del cursor animado al escritorio, puesto que Vista entra en una curiosa dinámica, que puede observarse en este vídeo de McAfee.

Microsoft ha emitido un aviso relativo a esta nueva vulnerabilidad.

Bug en hotmail sigue activo

2007-03-29T12:29:00.000-06:00

Pues como han visto en uans noticias atras el bug de hotmail XSS sigue activo al parecer no se ha parchado y los de hotmail no se han dado cuenta o se les ha alertado con respecto a ese bug.

buscando un poco he encontrado los codigos a usar para poder tener acceso a las cuentas de las personas usando el XSS de hotmail.

tambien el año pasado habia un codigo similar a ese que por el momento sigue mandado los las cookies pero lo hace en datos raros que no he probado si se podrian usar tambien, pero usando este otro codigo para robar las cookies con este d ahora se puede obtener los mismos datos ya con dos diferentes codigos.

Aqui pongo el codigo q lleva el index.php

index.php

aki el log para la cookie estealer

log.php

aki el javascript

nice.php

Por seguridad el codigo lo modifique para q no lo copies y arreglen y pues empiezen a robar contraseñas, y esta en txt.

el codigo se puede encontrar en muchos lugares y la unica recomendacion q doy es q no le den click a cualquier link que les llegue por correo ya q estas expuestos a perder su correo y su privacidad.

Moyo[SSD]

Dell comienza la "cuenta atrás" para preinstalar Linux en sus ordenadores

2007-03-29T09:36:00.000-06:00

La compañía confirma que dará respuesta a las peticiones masivas de sus usuarios, e incluirá una o varias versiones de este sistema operativo en los PCs que fabrica.- No da detalles sobre el calendario de lanzamiento

Dell confirmó ayer su intención de incluir Linux por defecto, y sin coste alguno, en algunos de los ordenadores de sobremesa y portátiles de su gama. Esta decisión, sobre la que se especula desde hace semanas, es la consecuencia lógica a la tormenta de ideas que la compañía lanzó a mediados de febrero, y en la que preguntaba a sus clientes qué nuevas herramientas querrían tener en su PC.

La respuesta de Michael Dell, fundador de la compañía y presidente de ella de nuevo desde hace sólo unos meses, no se hizo esperar. "Queremos que los usuarios tengan la oportunidad de ayudar a definir el mercado de Linux en ordenadores de sobremesa y portátiles", decía el pasado 25 de febrero Michael Dell, añadiendo además que estaba ya negociando con Novell y otros desarrolladores de distribuciones de Linux, para ver cómo encajar el producto en su cadena de producción.

Un mes de especulaciones

Durante más de un mes, las especulaciones siguieron su curso, entre la impaciencia de los fanáticos del software libre y el escepticismo de algunos analistas (que afirmaban que Dell no se atrevería a soportar en su cuenta de resultados un aumento meteórico de los gastos de soporte técnico a los usuarios).

La confirmación de las palabras de Michael Dell ha llegado mediante un mensaje en la web oficial de la compañía, en la que afirma que "facilitaremos más información en las próximas semanas, incluyendo detalles sobre los sistemas que ofreceremos (...) y la distribución o distribuciones que estarán disponibles. La cuenta atrás comienza hoy".

La decisión de Dell es revolucionaria, por cuanto supondrá un espaldarazo a la expansión de los sistemas Linux, y en especial de aquellas distribuciones (o versiones) que resulten elegidas. Y más aún si se tiene en cuenta que muy probeblemente otras compañías sigan el paso que marca Dell.

Hasta la fecha, Linux no era considerada una alternativa seria a los sistemas tradicionales, especialmente a Windows de Microsoft, debido a las dificultades de configuración, problemas de compatibilidad y sobre todo, un entorno gráfico que hacía muy complicado su uso. Pero los últimos avances de los grupos sin ánimo de lucro y de las empresas que desarrollan las diversas distribuciones de Linux están cambiando rápidamente el panorama.

Ubuntu, el Linux que llegó de África

2007-03-29T09:31:00.000-06:00

Has decidido pasarte al software libre y el primer cambio respecto a Windows es que en Linux las opciones se multiplican. Según el sitio DistroWatch existen más de 300 distribuciones diferentes del sistema operativo, pero la más popular es Ubuntu.
Creada desde Sudáfrica por Canonical, la compañía del emprendedor y segundo turista espacial de la historia, Mark Shuttleworth, esta versión del sistema operativo Lunux destaca por su facilidad de uso e instalación, su aspecto gráfico y el soporte técnico disponible.

"Ubuntu, Linux para seres humanos", reza la página de esta distribución, alundiendo a la facilidad de uso. Hace ya tiempo que software libre no tiene por qué ser una opción sólo para expertos en informática dispuestos a comunicarse con su ordenador utilizando comandos de texto. La distribución de Linux realizada por Canonical no es la primera ni será la última que le pone las cosas fáciles al neófito, pero si pare ser la de más éxito en estos momentos.

Puede probarse incluso sin necesidad de instalar el software en el ordenador, utilizando un Live CD. Cuando se descarga Ubuntu (aprende cómo) uno puede grabar el software en un CD, introducirlo en el ordenador y arrancar éste desde el disco, de forma que lo que se cargará será Ubuntu y no el sistema que tengamos instalado. Es una buena forma de tener un primer contacto con Linux, y si te gusta, no tienes más que ponerte a instalar desde el mismo disco.

Tiene versiones para servidor y escritorio que pueden descargarse en varios idiomas, se actualiza casi dos veces por año, y en él trabaja, además de los empleados de la empresa de Mark Shuttleworth, una amplia comunidad de desarrolladores. Es la distribución elegida por ejemplo por la junta de Andalucía para desarrollar, en base a ella, su propio desarrollo, Guadalinex.

Hijos de Debian

Ubuntu no ha surgido de la nada, y como siempre pasa en el mundo del código abierto, es algo que se ha construido sobre el trabajo realizado antes por otros. El software libre tiene una gran capacidad de evolución, pues el código que hay tras los programas y sistemas operativos es publicado y cualquiera puede partir de él para crear una herramienta mejor, o para tomar idea la original y distribuirla empaquetada con software adicional.

Las distribuciones de Linux parten del sistema operativo GNU/Linux, al que se pueden añadir un entorno gráfico o gestor de ventanas para facilitar el manejo (KDE y GNOME son los más populares) y empaquetarlo todo con los programas más comunes en el usuario al que esté dirigido el producto. Uno de los sistemas GNU más populares es Debian, de que parten distribuciones populares como SUSE Linux, de Novell, Linex, realizado por la Junta de Extremadura, Linspire, o la propia Ubuntu.

Fuente: ElPais.com

Screenshots de Ubuntu 6.10

Nace Citizendium, el nuevo rival de la Wikipedia

2007-03-29T09:29:00.000-06:00

Creada por el cofundador de Wikipedia, Larry Sanger, se trata de una iniciativa que espera corregir los fallos de esta enciclopedia online. Para escribir artículos, los usuarios tendrán que registrarse con su nombre real.

Citizendium, una enciclopedia online fundada por el creador de la Wikipedia ha anunciado que el servicio colaborativo Wiki ya está abierto para uso público. El proyecto, que fue lanzado en modo piloto en noviembre, espera corregir los errores de funcionamiento de Wikipedia al pedir a los usuarios que utilicen su nombre real y no un alias. Desde noviembre, 180 expertos y 800 autores se han unido al proyecto para trabajar en 1.000 artículos. En Citizendium se avisa a los usuarios en el caso de que cometan un error y se les explica lo que está mal.

“El modesto éxito de nuestro proyecto piloto muestra que hay esperanza de que podamos corregir con exactitud el tipo de abusos en torno a los cuales la gente demoniza a la Web 2.0”, asegura Larry Sanger, redactor jefe de Citizendium y co-fundador de Wikipedia. “Hemos demostrado que podamos crear contenido creíble y abierto. Podemos, de hecho, estar abiertos a todo tipo de participantes al tiempo que elevamos los niveles de contenido y comportamiento como comunidad”.

Wikipedia se vio envuelta en la polémica a principios de mes cuando se descubrió que uno de los contribuidores más frecuentes, que aseguraba ser un profesor, era en realidad un estudiante. Por otra parte, la última semana, dos empleados de la fundación que gestiona Wikipedia se despidieron de sus cargos sin dar ningún tipo de explicación.

Fuente: IDG.es

Keyloggers USB

2007-03-29T09:28:00.002-06:00

Irongeek publica hoy un interesante análisis de KeyCarbon, un dispositivo USB que registra en su memoria todo lo que el usuario teclea.

Este tipo de dispositivos no son precisamente baratos, pero presentan varias ventajas frente a los conocidos keyloggers por software. En primer lugar son más difíciles de detectar (e invisibles para las utilidades anti-malware). Además son independientes del sistema operativo utilizado, pudiendo incluso registrar lo que se teclea antes de que éste se cargue (la contraseña de la BIOS, por ejemplo)...

Irongeek apunta sin embargo una forma de burlar estos dispositivos (al menos dentro de Windows): el uso de contraseñas que incluyan caracteres raros.

Yo, por mi parte, apunto otra: un buen pegamento.

Dos por uno: navegador con rootkit

2007-03-29T09:28:00.001-06:00

La truculenta historia de los navegadores fraudulentos da ya para una enciclopedia. Por mencionar algunos ejemplos palmarios, tratados en su día Kriptópolis, remitiremos al caso Browsezilla y al caso Browzar.

Hoy nos llega otro ejemplo interesante, que además ha sido objeto de un análisis pormenorizado...

Se trata de NetBrowserPro, que se presenta como un navegador "seguro y confidencial, que no deja hueco para virus".

Al menos la última afirmación ("no deja hueco para virus") se ha mostrado indiscutible, porque parece que NetBrowserPro esconde un rootkit que apenas deja sitio para -otros- intrusos.

Pero quizás lo más interesante es que el propio sitio web de NetBrowserPro comparte dirección IP con el del famoso Browsezilla.

Sin duda un curioso caso de clonación.

Más de un millón de consultas por el celular de Apple

2007-03-29T09:23:00.000-06:00

Al menos eso es lo que dijo una de las empresas líderes en telefonía celular de los Estados Unidos. El iPhone de la marca de la manzanita llegará recién en julio. El entusiasmo de los consumidores en los Estados Unidos por el iPhone comienza a crecer a pocos meses del lanzamiento, previsto para mitad de año.

La unidad móvil de AT&T, Cingular Wireless, dijo que recibió casi un millón de consultas sobre el teléfono celular de Apple.

El presidente de operaciones de la firma, Randall Stephenson, informó que no está tomando pedidos por el avanzado celular que podrá conseguirse desde u$s499.

Cingular será la primera en vender el iPhone y por ello lanzaron una página dedicada a este móvil que combina un teléfono con el iPod.

En esa página se invita a los visitantes a dejar su dirección de correo electrónico para recibir información sobre el celular, una vez que sea lanzado.

"Un millón de personas nos ha solicitado llamarles cuando el teléfono esté disponible", dijo Stephenson en su discurso en la conferencia de tecnología inalámbrica CTIA, indica la agencia de noticias Reuters.

La versión de 4GB de memoria tendrá un valor de us$499, mientras la versión de 8GB costará us$599

Intel desarrolla una conexión WIFI con un alcance de 100 km

2007-03-28T12:21:00.000-06:00

Los investigadores de la compañía Intel, en colaboración con la Universidad de Berkeley, han creado un sistema de antenas unidireccionales que permiten una conexión a la red vía WIFI con un alcance de hasta 100 Kilómetros.

Las primeras investigaciones prácticas se han llevado a cabo con éxito en California, ya que además, permiten un ahorro en la instalación de este tipo de antenas de hasta el 90 % con respecto al coste de las extendidas WIMAX.

Sin embargo, precisan de dos antenas para recibir y emitir las señales situadas en el radio de conexión pretendido, además de precisar de la no interferencia de ningún objeto entre ambas, porque la wifi caería en decibelios de recepción inmediatamente, aspectos que la compañía aún está mejorando.

Sin embargo, y como acostumbra a ocurrir con este tipo de procesos, tardará en extenderse su uso por EEUU y más aún por Europa.

Fuente: Gennio.com

Adiós al disco duro

2007-03-28T09:25:00.000-06:00

Apenas quince días después de que SanDisk anunciase su nueva unidad de 32 GB de memoria Flash, Samsung dobla la oferta con el el anuncio de una de 64 GB, que estará disponible en el segundo trimestre de este año.

Pero no sólo de capacidad vive el PC. La unidad de Samsung leerá a 64 MB/s (15 MB/s en la típica unidad de disco duro de portátil), escribirá a 45 MB/s (frente a 7 MB/s) y consumirá 500 mW en funcionamiento y 100 mW en reposo (frente a los 1.5 W que consume una unidad convencional, tanto en funcionamiento como en reposo)...

La vida útil de este tipo de unidades también parece haber aumentado sensiblemente en los últimos años. Así, el dispositivo de SanDisk presume de 2 millones de horas de MTBF (tiempo medio entre fallos).

Digital Trends

Metasploit Framework 3.0 ya disponible

2007-03-27T17:19:00.000-06:00

Se ha liberado la versión 3.0 de Metasploit Framework.

Este Framework tiene su principal utilidad para la realización de tests de penetración, con los que los administradores de seguridad pueden comprobar el estado de permeabilidad de su perímetro.

Esta nueva versión trae consigo 177 exploits distintos, 104 payloads, 17 codificadores y 3 módulos nop. Además, tal y como se lee en la página de SANS, se han incluído 30 módulos auxiliares para realizar tareas diversas, como el descubrimiento y enumeración de máquinas y ensayos de denegación de servicio.

Y como una imagen vale más que mil palabras, he aquí un vídeo en el que se identifican, empleando Metasploit, instalación y login para un servidor SQL Server. La música, además de horriblemente mala en cuanto a calidad, está a un volumen muy alto, así que no os asustéis

Metasploit Framework funciona en entornos Linux, BSD, Mac OS X, Windows Cygwin, así como en plataformas Windows.

Ah, y es absolutamente gratuítoFuente: http://www.sahw.com/wp/archivos/2007/03/27/metasploit-framework-30-ya-disponible/

Vista Aero Vs Ubuntu Beryl

2007-03-26T16:15:00.000-06:00

Navegando por la red nos encontramos un video "aceptable" por asi decir, que nos muestra la interfaz gráfica del Windows Vista "Aero" contra la interfaz gráfica de Ubuntu con "Beryl" instalado.

Acá les dejamos el video.

Esperamos sea de su agrado ;)

Tutorial para realizar tu propia auditoría Web

2007-03-26T15:11:00.001-06:00

Hacer auditorías Web no tiene ningún misterio. Basta con conocer los métodos, para después aplicarlos con rigor, y que la mezcla entre constancia y experiencia haga que no dejemos cabos sueltos sin atar. No obstante, se trata de hacer siempre lo mismo, ya que los puntos de control habituales son independientes de la plataforma en muchos casos. Así, por ejemplo, nos da igual que haya un Cross-Site Scripting en un aplicativo Web que corre en Apache+Linux que en un aplicativo que corre en IIS+Windows 2003. Se trata de fallos equivalentes.

Para comprobar que el método no tiene ningún misterio, os enlazo este tutorial de auditorías Web de SANS Institute, en el que se puede apreciar claramente lo sencillo que es el método.

El tutorial consta de las siguientes partes

1. Introducción
2. Herramientas necesarias
3. Preparación
4. El proceso de auditoría
5. Conclusiones
6. Referencias

En el apartado 4 se ejemplifican los puntos de análisis habituales que son:

Análisis de robots.txt
Cross-Site Scripting
Inyección SQL
Cookies y campos ocultos
Sesiones
Google Hacking
Spidering

Localizar y arreglar vulnerabilidades no sirve de nada (si es lo único que hacemos)

Especial interés tiene para mí el final del artículo de SANS, que reproducimos a continuación:

We did not say much about how to defend against each of these tests. However, the overall approach should not be to fix vulnerabilities one at a time as they are found, but to develop strategies and procedures that will prevent these vulnerabilities in the first place. It is imperative for a Web application to create a library of authentication, access control, session handling, and validation functions that are used consistently throughout the application.

Es crucial que los análisis que hagamos sean eso, cosas útiles. Parchear vulnerabilidades es una solución deficiente, y que aporta escasa o nula utilidad para el propietario de los sistemas. Lo único que aporta valor añadido es desarrollar, tal y como dicen en SANS, estrategias para prevenir las vulnerabilidades.

También muy acertado el comentario de que la mejor auditoría posible de un aplicativo Web es aquella en la que se analiza el código fuente.

Fuente: http://www.sahw.com/wp/archivos/2007/03/26/tutorial-para-realizar-tu-propia-auditoria-web/

Microsoft: discos virtuales gratuitos

2007-03-26T13:45:00.000-06:00

Esta mañana he descubierto que Microsoft se ha desmelenado y ha puesto una serie de discos virtuales disponibles para su descarga gratuita.

En concreto han colgado Windows Server 2003, ISA Server 2006, Exchange Server 2007 y SQL Server 2005, para que podamos jugar con ellos.

Descargar Disco Duro Virtual (VHD)
Varios Discos Duros Virtuales

Hotmail aún vulnerable (demo)

2007-03-26T09:53:00.000-06:00

Luego de 3 días de publicado un grave fallo de XSS en el servicio hotmail (ahora live) de Microsoft, millones se usuarios aun siguen siendo vulnerables.
No me voy a extender sobre los motivos por los cuales Microsoft no soluciona este problema, sencillamente porque no lo sé.
Lo que si voy a hacer es pegar un par de pantallas en donde puede verse que el agujero sigue existiendo y por el cual pueden robarse las cookie de cualquier usuario de este servicio.
Robar estas cookies equivale a decir que un usuario podrá ingresar en la cuenta de otro sin validación previa de usuario/contraseña.

También vale aclarar que los scripts para realizar este ataque son públicos y no lleva más de 5 minutos realizar un intento con éxito.

Como primer paso se crean los scripts en PHP y js (se pueden descargar de varios lugares). Aqui puede verse parte de uno de ellos en donde se aprecia el XSS en el sitio msn.com:

Luego se crea un correo engañoso para que la víctima haga click:

De más está decir que este engaño puede perfeccionarse mucho más para que sea absolutamente creíble.
Si Ud. todavía es usuario de este servicio, el consejo es: piense primero, luego NO haga click.

Denegación de servicio y ejecución de código en CA ARCserve Backup

2007-03-26T07:30:00.000-06:00

Se han encontrado cuatro vulnerabilidades en CA BrightStor ARCserve Backup que pueden ser aprovechadas por atacantes remotos para provocar denegaciones de servicio o ejecutar código arbitrario en el sistema afectado.

BrightStor ARCserve Backup de Computer Associates, es una completa suite de respaldo y recuperación de datos muy usada en el mundo empresarial. Funciona bajo multitud de plataformas y permite el respaldo en varios sistemas distintos: cintas, discos duros remotos...

El primer fallo se debe a una corrupción de memoria en el Tape Engine a la hora de procesar ciertos argumentos de procedimientos RPC. Esto puede ser aprovechado para ejecutar código arbitrario de forma remota.

Una segunda vulnerabilidad se debe a la presencia de una función RPC que cuando es llamada, deshabilita la interfaz del Tape Engine. Esto puede ser aprovechado por atacantes para hacer que la funcionalidad deje de responder (denegación de servicio).

Existe otro problema en Tape Engine que puede dar lugar a un desbordamiento de búfer y la consiguiente ejecución de código. Y por último, una vulnerabilidad en el tratamiento de parámetros no válidos en el servicio portmapper (catirpc.dll), que permitirá a un atacante remoto provocar una denegación de servicio.

Los productos afectados son:
CA BrightStor ARCserve Backup r11.5
CA BrightStor ARCserve Backup r11.1
CA BrightStor ARCserve Backup r11 para Windows
CA BrightStor Enterprise Backup r10.5
CA BrightStor ARCserve Backup v9.01
CA Server Protection Suite r2
CA Business Protection Suite r2
CA Business Protection Suite for Microsoft Small Business Server
Standard Edition r2
CA Business Protection Suite for Microsoft Small Business Server
Premium Edition r2

Según versión y plataforma, se recomienda actualizar desde:
CA BrightStor ARCserve Backup r11.5 - Instalar QO86255 :
http://supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO86255

CA BrightStor ARCserve Backup r11.1 - Instalar QO86258 :
http://supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO86258

CA BrightStor ARCserve Backup r11.0 - Instalar QI82917 :
http://supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QI82917

CA BrightStor Enterprise Backup r10.5 - Instalar QO86259 :
http://supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO86259

CA BrightStor ARCserve Backup v9.01 - Instalar QO86260 :
http://supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO86260

Más Información:

Security Notice for BrightStor ARCserve Backup Tape Engine and Portmapper
http://supportconnectw.ca.com/public/storage/infodocs/babtapeng-securitynotice.asp

Fuente : hispasec.com

Un exploit que explota un fallo de Hotmail pone en peligro la clave de millones de usuarios

2007-03-26T07:20:00.000-06:00

Un exploit que explota un fallo de Hotmail pone en peligro la clave de millones de usuarios.
Recientemente se ha hecho publico en algunos foros un exploit que se aprovecha de una vulnerabilidad de Hotmail y donde este fallo hace que se puedan apoderar de la cookies de sesión de un usuario de Hotmail para obtener la clave.

Con cuatro ficheros configurados de forma personalizada puede usted conseguir la claves de un usuario de Hotmail con solo enviarle un enlace preparado para este objetivo, es lo único que hace falta para secuestrar la sesión de un usuario de Hotmail.

Fichero usados:

Cookies robadas:

Modificación:

Enlace trampa:

Se recomienda a los usuarios de Hotmail que durante unos días si reciben un correo electrónico con algún enlace sean prudentes antes de pulsar sobre el mismo, puede que le secuestre su sesión y con esto le pueden cambiar la clave, ver sus correos electrónico, su libreta de direcciones, resumiendo todo aquello que pueda afectar a su privacidad e identidad.

Fuente: http://www.internautas.org/html/4168.html

Noventa dias de Windows Vista y sus vulnerabilidades

2007-03-26T07:18:00.000-06:00

El 28 de febrero se cumplieron 90 días del lanzamiento de Windows Vista.

En diciembre se hizo público la primera vulnerabilidad y en febrero se lanzó el primer Boletín de Seguridad que lo mencionaba.

Puede descargarse el reporte completo desde aquí

Fuentes:
http://blogs.csoonline.com/windows_vista_90_day_vulnerability_report
http://www.csoonline.com/pdf/Vista_Vuln_Report.pdf

Ubuntu 7.04, beta, Feisty Fawn

2007-03-24T09:31:00.000-06:00

Ya está disponible la primera versión beta de Ubuntu, la 7.04 "Feisty Fawn".

La primera beta de Ubuntu Feisty Fawn 7.04 ya está versiones para las arquitecturas i386, amd64 y powerPC, en sus variantes para escritorio y servidor.

De las nuevas caracteristicas que trae esta version * destaca la versión 7.2 de Xorg 7.2, mejoras en el soporte para VPN, mejoras en el tema gráfico y activación de efectos de escritorio sencilla y accesible.

Aca clic Aca para más informacion y descargas de Ubuntu, Kubuntu, Edubuntu y Xubuntu.

La importancia de los backups

2007-03-24T09:30:00.000-06:00

Un técnico mete la pata y borra los datos de un disco duro. Su valor: 38.000 millones de dólares

Es probable que muchos de vosotros hayáis perdido de vez en cuando datos al formatear o borrar datos de una unidad de disco por error. Pero seguro que nunca os ha costado 38.000 millones de dólares.

El Departament of Revenue en Alaska sufrió esa catástrofe cuando un técnico de sus instalaciones informáticas borró información de un disco con datos sobre cuentas petrolíferas, y luego acabó formateando también el disco donde residía la copia de seguridad.

La historia la cuentan en CNN.com, donde señalan que una 'tercera línea de defensa', las cintas de backup, tampoco sirvieron, puesto que eran ilegibles, lo que hizo que se perdieran importantes datos.

Por ejemplo, nueve meses de datos recogidos del Fondo Permanente de Alaska, 800.000 imágenes escaneadas a mano, certificados de nacimiento, de residencia, y solicitudes ingresadas durante todo el 2006.

Todo ese material sólo estaba guardado en un segundo almacén. Y no digitalmente, sino tan sólo en forma de los papeles e impresos con todos esos datos.

Eso obligó a que unas 70 personas tuvieran que trabajar todos los fines de semana durante mes y medio para reintroducir los datos, lo que costó 220.000 dólares.

Fuente: TheInquirer.net

Moka5 tu PC Virtual en una Memoria USB

2007-03-24T09:27:00.000-06:00

Moka5 LivePC Engine es un software que mediante imágenes del VMWare permite virtualizar cualquier Sistema Operativo u aplicación de cualquier plataforma, sea Windows, GNU/Linux, Mac OS, etc.

No es necesario llevar las imágenes con moka5 ya que también dispone de un sistema para descargarlas vía online obviamente solo tienen a disposición de nosotros imágenes con licencia OpenSource,GPL,etc...

Moka5 permite intercambiar datos por medio de una carpeta compartida entre la maquina emulada y el pc anfitrión, con lo que resultara muy útil en muchos entornos.

Algunos casos de uso

Café Internet con limitaciones de instalación: Podrás llevar tu sistema operativo favorito en tu memoria usb y en el podrás instalar lo que quieras pudiendo hacer uso de la conexión de Internet del café.

Pen-Test: Puedes llevar una iso de tu live cd preferido (véase BackTrack) y hacer tus pruebas de Pen-Test sin necesidad de reiniciar el pc.

Puedes crear un conjunto de herramientas en las que se incluya el Moka5 para complementar tu memoria usb.

Puedes llevar instalado tus juegos favoritos, con lo que podrás ejecutarlos en cualquier parte y no perderás tus partidas guardadas.

En fin son infinidades los usos que se le pueden dar a el Moka5, espero que lo disfruten.

Moka 5