[Thylacinus.net]

Interesante noticia relacionada con el bug de OpenSSH de Debian que lleva unos días generando muchas horas extra de trabajo de administración de servidores Debian...

Acabo de leerlo y no me lo termino de creer... Por lo visto el CAPTCHA de GMail ha sido hackeado... La gente de WebSense se ha currado una explicación muy buena de cómo lo están intentando hacer... El artículo está en inglés (sorry)

Una pequeña traducción rápida sería:
"Websense acaba de anunciar que el CAPTCHA de Gmail ha sido roto, por lo visto existen bots que están consiguiendo crear cuentas con un ratio 1 a 5. Lo más interesante por lo visto son los detalles técnicos sobre cómo los miembros de la red de bots coordinan el ataque con 2 ordenadores distintos durante el proceso. Por lo que creen el segundo host está intentando aprender el sobre el proceso de reventar el CAPTCHA o está haciendo algún chequeo. Es más los bots intentand disimular pretendiendo leer la información de ayuda, para así no levantar sospechas, así además evitan el timeout por parte de los servidores de Google."

El siguiente extracto lo he extraído de Slashdot y es el texto anteriormente traducido.

"Websense is reporting that Gmail's CAPTCHA has been broken, and that bots are beginning to sign up with a one in five success rate. More interestingly, they have a lot of technical details about how the botnet members coordinate with two different computers during the process. They believe that the second host is either trying to learn to crack the CAPTCHA or that it's a quality check of some sort. Curiously, the bots pretend to read the help information while breaking the CAPTCHA, probably to prevent Google from giving them a timeout message."

Por lo visto el demostrar la existencia de un timo sólo te expone a que te ataquen personalmente... Desde hace unos días Genbeta está sufriendo un ataque DDoS que les impide operar correctamente. Primero poner una pequeña aclaración de los propietarios de Genbeta WeblogSSL.

Algunas otras páginas que se han echo eco de la noticia también han sufrido algún que otro problemilla, Por ejemplo Meneame ha sufrido también su ración de ataque, Error500, y más... Pero como siempre, la gente de Meneame me sorprende gratamente y en este aclaratorio post en su blog comentan con un poco de chulería y un cinismo refrescante, su pequeño contratiempo, ese ataque DDoS... La verdad siempre me encanta leer este tipo de cosas, debo admirar la velocidad y reflejos para salir de algo que yo no podría controlar, mi página web fijo que muere con la milésima parte de tráfico...

Encontré alguna ampliación de la información en este blog Novatilla en Apuros.

También la gente de SpamLoco está recibiendo una parte del ataque...

Por lo visto el origen de todos sus problemas es el siguiente artículo extraído de Genbeta, muy interesante y cuya lectura os recomiendo encarecidamente:

************************Inicio artículo************************
¿Quieres saber quién te tiene no admitido/eliminado en el MSN? Pues no des tu contraseña a desconocidos

Víctor Pimentel

MSN Messenger Live

Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.

Disculpad los lectores avanzados que ya habéis dejado atrás este tipo de engaños facilones hace mucho tiempo, pero es que hoy me he vuelto a conectar al messenger por obligación y me he dado cuenta de que las cosas han cambiado muy poquito.
************************Fin artículo************************

La verdad parece increíble que a estas alturas aún haya cosas así... Por lo visto el messenger es la vida de la gente...

Ánimo a todos y no os amilaneis...

Noticia leída en Kriptópolis que nos intenta recordar lo inseguro que es el protocolo de GSM. La verdad sabía que era fácil, pero tan fácil no.

Sí sabía que mediante triangulación las empresas de telefonía saben con un pequeño margen de error dónde está tu móvil. Pero pensé que hacía falta algo más de dinero y esfuerzo para reventar el protocolo GSM...

El video ilustrativo está muy bien...

Los siguientes enlaces extraídos de Kriptopolis nos explican qué se demostró en la BlackHat 2007 (la de este año). La existencia de la posibilidad de hackear nuestras cuentas de Gmail utilizando las cookies y los session id que se envían o reciben via WiFi, para ello nos dan un par de consejos de cómo operar con nuestras cuentas mientras no se solucionen los problemas encontrados.

ZDNet (Noticia original).

http://www.kriptopolis.org/inseguridad-gmail-3
http://www.kriptopolis.org/inseguridad-gmail-2
http://www.kriptopolis.org/inseguridad-gmail

El siguiente texto se ha extraído de Hispasec. Ha sido escrito por Sergio de los Santos.

Son días agitados para el navegador de Microsoft, Internet Explorer. A día de hoy, existen dos vulnerabilidades importantes sin parche oficial, una de ellas incluso está siendo aprovechada masivamente. Diferentes compañías sacan parches no oficiales y además, la propia Microsoft crea una página oficial donde aceptará sugerencias de usuarios y desarrolladores.

Hace apenas unos días se hizo pública la existencia de una nueva vulnerabilidad crítica en Internet Explorer 5.x y 6.x. A las pocas horas de darse a conocer apareció la primera prueba de concepto funcional y poco después, como se esperaba, ya existían páginas aprovechando la vulnerabilidad. Poco después se daba a conocer otro error igual de importante en Internet Explorer. Este ha sido llevado de forma mucho más discreta por su descubridor y la propia Microsoft, de forma que no se conocen demasiados detalles sobre el problema ni se tiene constancia de que esté siendo aprovechado de forma masiva. El fallo se debe a un error no especificado en el manejo de aplicaciones .HTA que permite la ejecución automática de programas ".HTA" (HTML Applications).

El primero de los errores está reconocido y documentado por Microsoft, pero no se sabe si publicará un parche antes de lo previsto para mitigar el problema o habrá que esperar al día 11 de abril en el que se espera su publicación mensual de boletines y parches de seguridad. Mientras, Microsoft recomienda modificar la configuración del explorador para evitar el Active Scripting.

Ante la urgencia y gravedad del problema, eEye y Determina, de forma independiente y simultánea, han puesto a disposición de cualquiera ejecutables que solucionan (siempre temporalmente y sin garantías) el problema. eEye incluso pone a disposición de todos el código fuente del parche. Como es lógico las empresas no ofrecen garantías sobre el parche y debido a la celeridad con la que han aparecido no aseguran que no pueda provocar incompatibilidades con alguna página o software.

Como ya ocurriera con la vulnerabilidad WMF, en la que desarrolladores independientes crearon parches no oficiales y los hicieron públicos, en esta ocasión son ya dos las compañías que ofrecen una solución cómoda para mitigar el problema. Llama la atención que en pocos meses hayamos asistido a la aparición de hasta cuatro parches no oficiales destinados a mitigar dos problemas de seguridad acuciantes en el navegador de Microsoft. El primer parche para WMF fue creado de forma independiente por el reconocido Ilfak Guilfanov, desarrollador de uno de los desensambladores más populares (IDA), que hizo el trabajo por su cuenta y publicó un parche que se mostró muy eficaz y estable. Aunque ya existieron parches no oficiales en el pasado para otras vulnerabilidades, ninguno fue tan popular. El éxito inesperado y el número de descargas hicieron que la página desde donde estaba disponible fuese colapsada durante varias horas. A los pocos días Eset, empresa detrás del antivirus NOD32, se apuntaba al carro y publicaba otro parche no oficial para el problema.

Es posible que nos hallemos ante una nueva tendencia en la que compañías y empresas de seguridad se adelantan a la propia Microsoft con la intención de obtener reconocimiento, prestigio, visitas y popularidad. Al margen de la eficacia de estos parches y de la libre decisión de usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft de forma indirecta para la publicación de un parche oficial y provocan una importante presión mediática en la compañía, en cuya política de publicación de seguridad prima la calidad (dedican mucho más tiempo a pruebas que al desarrollo) antes que la velocidad de publicación. De hecho, fue la presión mediática la que hizo que no se esperara al segundo martes de febrero para publicar el parche oficial para la vulnerabilidad WMF.

Por otro lado y al margen (o quizás no) de esta publicación no oficial de parches, Microsoft saca a la luz un portal desde donde acepta todo tipo de feedback o sugerencias (sobre seguridad o no) dedicadas a Internet Explorer. Al Billings, en el blog oficial que lo anuncia, lo compara con Bugzilla. Una idea con la que se pretende estimular la cooperación de la comunidad con el producto de Microsoft de una forma mucho más cómoda y centralizada. Es evidente que si la comunidad pública y privada es capaz de desarrollar parches eficaces, puede aportar mucho al navegador, y parece que de esta forma Microsoft, acertadamente, ha reconocido la importancia de su colaboración activa.

Más Información:

Downloading eEye’s Temporary Workaround
http://www.eeye.com/html/research/alerts/AL20060324.html

How to Disable Active Content in Internet Explorer
http://support.microsoft.com/kb/q154036/

Determina Fix for CVE-2006-1359
http://www.determina.com/security_center/security_advisories/securityadvisory_march272006_1.asp

Big hole unearthed in IE6
http://jeffrey.vanderstad.net/grasshopper/

Noticia editada por el propio Phil Zimmermann y extraída de Hispamp3.

Leído también en Error500 (el mejor resumen que he leído).

El desarrollador de PGP, Phil Zimmermann, ha afirmado que su nuevo "software" de encriptación podría, por primera vez, hacer completamente seguras las llamadas telefónicas a través de Internet.

El programa ya está disponible para Linux y Mac, la versión Windows XP en abril.

Ahora mismo Zfone funciona interceptando las comunicaciones de cualquier cliente SIP que utilicemos, aunque el propósito de Zimmermann es que acabe convirtiéndose en un estándar (ya ha sido enviado a la IETF) y se integre en los clientes (OpenWengo, Gizmo). Técnicamente, Zfone no requiere nada adicional para su funcionamiento, ni infraestructura de clave pública (PKI) - aunque utiliza un algoritmo de clave pública - ni certificados digitales, ni administración de claves ni confiar en una autoridad certificadora, en un esquema similar al de PGP y viene a ser una oferta de seguridad en la VozIP que no requiere de conocimientos técnicos.

REUTERS LAS VEGAS (EEUU).- El conocido criptógrafo afirma que esta tecnología puede hacer imposibles escuchas por parte de piratas o investigadores gubernamentales.

"Poner todas nuestras preciosas llamadas a disposición del tugurio del crimen que es Internet creo que sería desaconsejable sin protegerlas encriptándolas", dijo en la conferencia Defcon, según informa el corresponsal de Reuters Andy Sullivan.

Voice Over Internet Protocol o VoIP se ha hecho popular en los últimos años como una alternativa al tradicional servicio telefónico. Sin embargo, este servicio es vulnerable y puede ser atacado, como cualquier otro en la Red.

La encriptación es algo normal en el comercio "on line", y el "software" de la empresa de Zimmermann PGP es ampliamente usado para encriptar correos electrónicos. No obstante, los métodos de encriptación de las llamadas VOIP todavía no están disponibles para su uso comercial.

Zimmermann planea comenzar una campaña para vender su "software", provisionalmente llamado Zfone, y podría sacar un prototipo para ordenadores Macintosh en aproximadamente un mes. Entre los socios de la nueva aventura se incluyen el pionero de VoIP, Jeffrey Pulver, y al ex "zar" antiterrorista estadounidense Richard Clarke.

Los usuarios de Zfone se aseguran de que nadie esta escuchando porque pueden leer una corta serie de letras y números cuando la llamada se establece. Si los códigos no coinciden, significa que la conexión ha sido interrumpida o "intervenida".

El sistema sólo funciona para los usuarios de VoIP que contactan entre ellos directamente y no dependen de un proveedor comercial como Vonage. Asimismo, tampoco funciona para las llamadas a un teléfono tradicional.

Zimmermann afirmó que el método es más simple y más facil de usar que otros sistemas que dejan a una tercera parte la responsabilidad de establecer la comunicación "segura". Además, añadió que no se prevén conflictos con las actividades de vigilancia del gobierno, debido a que la encriptación está ampliamente aceptada.

Noticia leída de Hispamp3. Y creada por VSantivirus.

EDITO: El equipo de Winamp ha liberado una nueva versión la 5.3Beta que soluciona este grave fallo. Para descargarla Winamp.

Grave vulnerabilidad con exploit de "cero día" (Zero day o 0day), compromete la seguridad de todos los equipos que ejecuten Winamp como reproductor multimedia.

(VSAntivirus) Secunia reporta una vulnerabilidad crítica descubierta por ATmaCA en Winamp, que puede ser explotada por un usuario malicioso para comprometer al sistema del usuario, pudiendo incluso ejecutar código en forma arbitraria.

Winamp es un reproductor multimedia utilizado ampliamente por millones de usuarios. La vulnerabilidad se debe a un error de límites que puede provocar el desbordamiento de búfer cuando se maneja una playlist (archivos .PLS), que contenga un nombre de archivo con un nombre de computadora excesivamente largo (más de 1040 caracteres).

La explotación exitosa de este problema, puede permitir a un sitio malicioso comprometer la seguridad del equipo del usuario que lo visite, al poder ejecutar en él código sin la participación directa de la víctima.

La vulnerabilidad ha sido confirmada en la versión 5.12 de Winamp bajo Windows XP con SP2 y las versiones anteriores también pueden ser afectadas.

Se publica esta alerta como urgente ante la existencia de un exploit disponible públicamente en Internet que permite la ejecución de la calculadora de Windows, fácilmente modificable para ejecutar un código malicioso.

NOTA: El término "Zero day" (o "0day"), se aplica en este caso a un exploit hecho público para una vulnerabilidad de la que aún no existe un parche, generalmente el mismo día de haber sido descubierta.

Software vulnerable

- Winamp 5.12

Versiones anteriores también pueden ser vulnerables.

Soluciones

No existen soluciones oficiales para este problema. Se recomienda no utilizar Winamp para reproducir contenidos descargados de Internet.

La verdad me ha pillado por sorpresa esta nueva funcionalidad que propuso el WHATWG, es la posibilidad de hacer PING desde el navegador.

Decir que sólo está operativo en la versión 1.6a (Nightly Builds) y que ya está generando ríos de tinta:
A favor están 16Bits y el propio WHATWG que por algo lo han pedido.

En contra está nada más y nada menos que Kriptópolis, yo personalmente en este caso me decanto por sus opiniones esta opción no me mola nada de nada. Espero que rectifiquen y esta opción venga dehabilitada por defecto.

Noticia extraída de NoticiasDot y leída en Barrapunto.

Mark Russinovich, famoso por el descubrimiento de los rootkits en los CDs de Sony, ha descubierto que el antivirus Kaspersky (desde la versión 5.0) y el Norton SystemWorks de Symantec (desde mediados de los 90), crean una carpeta oculta a las APIs de Windows y a los antivirus en general, que puede servir de escondite para posibles virus. Mark Russinovich afirma que esto es como un rootkit. Symantec lo niega y Kaspersky dice que no supone ningún agujero de seguridad. En cualquier caso sí aparenta ser un peligro potencial. Parece ser que Symantec ya ha deshabilitado esta función con una actualización y que Kaspersky no tiene intención de hacerlo. Symantec también ha sacado su propia nota explicativa.

Extraído de la página de Hispasec. Una posible solución mientras Microsoft no publica el parche (lo hacen el día 10 de Enero) está en el texto extendido de la noticia.

A lo largo del día de hoy se ha detectado en la red un exploit que aprovecha una vulnerabilidad de Microsoft Windows XP y 2003, para la que de momento no existe parche, y que puede ser explotada por atacantes remotos para comprometer los sistemas afectados.

Dicho código de explotación, localizado en el dominio unionseek[PUNTO]com, aprovecha un problema de Windows XP y 2003 (concretamente, en el componente "Visor de imágenes y fax de Windows") a la hora de tratar metaarchivos de Windows (WMF) para ejecutar código arbitrario.

Si la víctima utiliza Internet Explorer, puede provocarse la ejecución automática de código arbitrario al visitar la web maliciosa. Otros navegadores como Firefox preguntarán sobre si se quiere cargar la imagen en el componente vulnerable antes mencionado.

Este código malicioso se está utilizando para distribuir troyanos como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp, Trojan.Win32.Small.ga y Trojan.Win32.Small.ev.

En estos momentos varias soluciones antivirus presentes en VirusTotal detectan el exploit, por lo que además conviene mantener actualizado el antivirus que se utilice.

El problema se ha confirmado en sistemas XP y 2003 totalmente parcheados, aunque no se descarta que pueda afectar a otras plataformas.

A la espera de un parche de actualización que solvente el problema, se recomienda filtrar el acceso a dicho dominio, además de archivos en ese formato a nivel aplicación (proxy web, servidor de correo, etc).

Noticia leída en Kriptópolis.

<<¿Sabías que cualquier sitio web puede leer tu portapapeles? Cuesta creerlo, así que lo mejor es comprobarlo.

Y la prueba es sencilla:

* Copia cualquier texto en el portapapeles de Windows.
* Arranca tu Explorer (da igual que sea la ultimísima versión, perfectamente actualizada).
* Visita la página de demostración.
* Voilà! Ahí tienes -negro sobre blanco- lo que antes copiaste.

¿Magia? ¿Adivinación digital?. No, simplemente otra chapuza de Microsoft. Ahora imagina por un momento que lo que tienes en el portapapeles es una contraseña o cualquier texto que consideras privadísimo.

Por cierto: si realizas la prueba con Firefox (y yo diría que con cualquier otro navegador) no es posible leer tu portapapeles. Compruébalo y comenta aquí tus resultados...

ACTUALIZACIÓN: Al parecer Microsoft no considera esto una vulnerabilidad, sino una funcionalidad de Explorer. Quien no esté conforme (y creo que hay muchos motivos para no estarlo) puede desactivar esta conducta mediante Opciones de Internet -> Seguridad -> Nivel Personalizado -> Automatización -> Permitir Operaciones de pegado por medio de una secuencia de comandos -> Desactivar. La pregunta -entonces- es: ¿Por qué Microsoft activa este comportamiento por defecto?>>

Noticia extraída de Hispamp3.

Enlace para descargar el programa AntiPharming 1.30.

FAQ del AntiPharming 1.30.

<

El pharming es una nueva modalidad de fraude online que consiste en suplantar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa.

El Centro de Alerta Temprana Antivirus colabora con el Grupo de Delitos Telemáticos de la Guardia Civil y la compañía de seguridad NGSec para desarrollar una herramienta gratuita AntiPharming.

La herramienta puede ser libremente descargada y funciona con Windows 2000, Windows XP y Windows 2003.>>

Artículo extraído de Hispasec. Ya hablamos de esta noticia hace unos días.

EDITO: Weblog de Ed Felten dónde explica cómo saber si estás infectado, cómo desactivarlo y cómo desinstalarlo...

<

Como ya comentamos en una nota anterior, entre las diversas funciones que el sistema anticopia de Sony instala, a modo de rootkit, destaca que oculta por defecto todas las entradas del registro, procesos, carpetas y archivos cuyo nombre comiencen por "$sys$".

Tal y como ya fue advertido, pese a la negativa de Sony, esa característica suponía una brecha en la seguridad de Windows. Ya que cualquier malware podría utilizar un nombre que comience por "$sys$" para, automáticamente, permanecer oculto en los sistemas que hubieran utilizado un CD original con el sistema de protección de Sony.

Hoy se ha detectado el envío mediante spam de un malware que utiliza exactamente esa técnica, hospedándose en el directorio de sistema de Windows bajo el nombre de "$sys$drv.exe". El troyano se conecta a un servidor IRC donde puede recibir diferentes órdenes de los atacantes, hasta el punto de poder instalar otros programas maliciosos y obtener el control total del sistema infectado.

Las características de este troyano y su incidencia son irrelevantes. De hecho, un error del creador del troyano hace que no se ejecute tras reiniciar el sistema, al no introducir correctamente la entrada en el la clave RUN del registro de Windows. Detalles sobre el error del creador del troyano en http://blog.hispasec.com/laboratorio/72

Lo destacado de este caso es que pone en evidencia la táctica intrusiva utilizada por Sony en su sistema anticopia, que además pone en un riesgo innecesario a sus clientes.

Lo cierto es que, lejos de rectificar, Sony está realizando una gestión nefasta de este caso, que va en contra de sus propios intereses y los de la industria discográfica en general.

En primer lugar negando el peligro de su sistema anticopia, que ya era evidente y que a día de hoy está demostrado con un incidente real. Mientras que siempre se ha defendido que las copias originales protegían al usuario contra problemas de seguridad, Sony acaba de demostrar que también se puede dar el caso inverso.

En segundo lugar poniendo trabas y alimentando especulaciones con el método para permitir desinstalar el rootkit, desde solicitar la dirección de e-mail, hasta capturar de forma oculta información sobre el hardware del ordenador del cliente. Para los que quieran ahondar en este tema no se pierdan la segunda entrega de Mark Russinovich (en inglés):
http://www.sysinternals.com/blog/2005/11/sony-you-dont-reeeeaaaally-want-to_09.html

Con estas acciones no ha hecho más que aumentar el desconcierto y la indignación de los usuarios. En los foros de Internet se puede leer comentarios de clientes que aseguran no volverán a comprar CDs con sistemas anticopia, y algunos van más allá y rechazan los productos de Sony.

El incidente no sólo ha quedado en protestas más o menos encendidas
de usuarios particulares, sino que ya están emprendiendo investigaciones y acciones legales contra Sony en, al menos, California, New York e Italia. >>

El siguiente texto ha sido extraído de Kriptópolis.

<<Simson Garfinkel acaba de publicar un estupendo artículo en Wired, donde recopila los que -según él- son los diez peores fallos del software de la historia.

A modo de resumen, y aún recomendando para más detalle la lectura del artículo original (inglés), son los siguientes:

1. Fallo de la sonda Mariner I (1962).
2. Oleoducto soviético -> explosión no nuclear más grande de la historia (1982).
3. Radiaciones letales en un dispositivo médico (1985-1987).
4. Gusano de Morris (1988).
5. Generador de números aleatorios de Kerberos (1988-1996).
6. Caída de la red telefónica de AT&T (1990).
7. División en coma flotante del Intel Pentium (1993).
8. El Ping de la Muerte (1995/1996).
9. Desintegración del Ariane 5 (1996).
10. Sobredosis radiológica en el Instituto Nacional del Cáncer de Panama City (2000).

Curioso: ni una triste mención al famoso "Efecto 2000", que según muchos iba a acabar con la civilización occidental...>>