[Thylacinus.net]

Noticia extraída de Hispasec.

<

Greasemonkey es una extensión para Mozilla Firefox que permite añadir porciones de scripts de usuario DHTML a cualquier página para cambiar su comportamiento. Mediante esta extensión, es habitual encontrar scripts desarrollados por la comunidad de usuarios, con el fin de mejorar la usabilidad de los sitios web que frecuentamos.

A través de una vulnerabilidad todavía sin documentar claramente, sería posible explotar el sistema comprometido a través de peticiones del tipo GM_xmlhttpRequest y acceder a cualquier archivo legible del sistema comprometido. El problema afecta a todas las versiones de Greasemonkey inferiores a 0.3.5.

Por citar un ejemplo, el siguiente exploit consigue acceder al fichero boot.ini, presente en cualquier sistema moderno Microsoft Windows:

http://diveintogreasemonkey.org/experiments/localfile-leak.html

Para añadir más gravedad al problema, ni siquiera existe necesidad de saber el nombre del archivo al cual queremos acceder. La vulnerabilidad permite obtener vía GET listados de directorios a través de URLs del tipo "file:///c:/" , lo que nos devolvería una estructura de directorio totalmente accesible.

Adicionalmente, GM_xmlhttpRequest permite el uso de GET y de POST, con lo que la información obtenida podría ser enviada a cualquier lugar sin nuestro conocimiento.

Hispasec recomienda, de modo urgente e inmediato, en consonancia con las directrices del equipo de mozdev.org, la desinstalación o en su defecto, la desactivación de Greasemonkey hasta la publicación de una versión de la extensión que corrija el problema. Opcionalmente, se puede instalar la versión 0.3.5, que, como medida cautelar, neutraliza la
presencia de APIs en Greasemonkey, y por tanto, la posibilidad de explotación del bug descubierto.

Más información:
Mozdev

Noticia extraída de Hispasec. Escrita por Bernardo Quintero.

<

Tal y como comentamos la pasada semana en Hispasec, a los rumores del interés de Microsoft por adquirir a Claria, más conocida anteriormente como Gator, se sumó a la polémica el hecho de que su AntiSpyware, aunque lo sigue detectando, haya dejado de eliminar el adware de Claria por defecto.

A efectos prácticos, cuando Microsoft AntiSpyware realiza un análisis del sistema presenta un informe de los componentes detectados junto a una serie de acciones recomendadas para cada uno de ellos, que podremos ejecutar de forma global con tan sólo pinchar un botón.

Entre las acciones encontramos "Remove" para eliminarlo, "Quarantine"
para eliminarlo pero guardar una copia por si es necesario restaurarlo, e "Ignore" que no realiza ninguna acción, no lo elimina.

La mayoría de usuarios, al no tener los suficientes conocimientos para distinguir el grado de peligrosidad de cada componente detectado, o de si realmente se trata de archivos necesarios para su sistema, suele ejecutar las acciones por defecto sin modificarlas, al fin y al cabo es la recomendación de Microsoft que se supone ha analizado cada espécimen.

Con las últimas modificaciones en sus firmas, en las que algunos especímenes detectados han pasado de "Remove" o "Quarantine" a "Ignore", Microsoft AntiSpyware deja por defecto que adware y spyware continúen instalados en los sistemas de los usuarios.

La publicación de este hecho ha propiciado que Microsoft reciba cantidad de consultas al respecto, y finalmente ha decidido enviar una carta abierta en la que explica sus motivos.

Básicamente, Microsoft afirma que no hay ningún tipo de trato de favor con Claria y que actúan de igual forma con el resto de empresas. Que Microsoft ofrece a todas las compañías de software la oportunidad de revisar la clasificación de sus productos respecto a como deben ser procesados por su AntiSpyware, atendiendo también a una serie de criterios y categorías preestablecidas. Que Claria pidió una revisión en enero y que Microsoft, tras estudiar las alegaciones de Claria, ha estimado oportuno modificar sus firmas para que por defecto no se eliminen sus componentes.

Recomendamos la lectura completa de la respuesta de Microsoft para que cada cual saque sus propias conclusiones, disponible en la siguiente dirección:

Response to questions about Claria software.

Mi opinión al respecto es que la explicación de Microsoft no aclara el fondo de la cuestión y plantea más dudas.

Si hace unos meses los técnicos del laboratorio antispyware, tras analizar los componentes de Claria, decidieron que debía ser eliminado. ¿Qué ha cambiado ahora?

Porque recordemos que el adware de Claria sigue ralentizando el sistema, sigue conectándose y enviado datos a los servidores de Claria
sin avisar al usuario, sigue resultando complicado desinstalarlo por completo y deja huellas en el sistema, etc.

La respuesta de Microsoft debería haber zanjado este tema, sin embargo ha dado una explicación genérica sin ningún detalle técnico y concreto que permita contrastar su decisión.

Una cosa sí se puede constatar, en la que tengo que darle la razón a Microsoft, y es que Claria no es la única empresa de adware y spyware que ha conseguido modificar la política de su AntiSpyware. En pruebas realizadas en el laboratorio de Hispasec estamos comprobando como la lista de especímenes que pasa de "Remove" o "Quarantine" a "Ignore"
es mayor. Lo cual, como es evidente, me preocupa aun más desde el
punto de vista de los usuarios que ejecutan las recomendaciones por defecto de Microsoft AntiSpyware.

En estos momentos resulta irónico que algunos especímenes de adware
y spyware tengan la recomendación de "Ignore" y otros menos dañinos
la de "Remove". Microsoft debería unificar de forma genérica sus criterios, sean cuales sean, de lo contrario da la impresión de que las empresas más potentes que lo soliciten pueden obtener el indulto de su solución antispyware.

Un detalle que me llama la atención de la respuesta de Microsoft es como en todo momento habla del "software de Claria", de "productos de
Claria", y evita denominarlo "adware" o "spyware" aunque es algo obvio y su propio antispyware lo identifica como tal. Entiendo que es simple estrategia desde el punto de vista de comunicación para defender el nuevo criterio adoptado al respecto por su solución, pero sería preocupante que fuera tomado por un intento de legitimar el adware de Claria.

Por último creo que es importante hacer una lectura correcta de todo lo anterior, sobre todo leído los comentarios extremistas a raíz de la primera noticia sobre este tema. Por un lado hubo quién (pro-Microsoft) puso en entredicho la noticia de Hispasec y afirmó que Microsoft AntiSpyware eliminaba por defecto el adware de Claria, evidentemente Hispasec realizó las comprobaciones oportunas antes de afirmarlo y Microsoft con su nota lo acaba de corroborar por si quedaban dudas. Por otro lado nos encontramos a los detractores de Microsoft, los más recatados venían a decir que los usuarios debían desinstalar inmediatamente Microsoft AntiSpyware de sus sistemas.

Por norma general, mi recomendación es que desconfíe de las posturas
extremistas y/o de las opiniones que siempre se inclinan del mismo lado.

Mi lectura es que el adware es un terreno farragoso, incluso en ocasiones es complicado delimitar que características debe tener una aplicación para ser denominada adware, y en muchas ocasiones entrará en conflicto con software desarrollado por empresas. No ocurre lo mismo con los virus o los gusanos, por ejemplo.

Ahora bien, una vez se establece una política al respecto, esta debería ser aplicada de forma independiente y con criterios puramente técnicos, y no estar a merced de presiones e intereses de las empresas cuyos productos pudieran verse afectadas. El hecho de que algo sea legal no quiere decir que sea ético, y cualquier antispyware o antivirus no debería hacer diferencias de si un adware ha sido o no desarrollado por una empresa legítima (que no es sinónimo de que sus prácticas sean éticas), sino limitarse a defender los intereses de los usuarios. Caiga quién caiga.

Por otro lado, lo realmente crítico sería que Microsoft AntiSpyware dejara de detectar determinado adware de forma consciente e intencionada. Hasta el momento no se ha doblegado en ese sentido, o al menos no tenemos conocimiento de ello, y sigue detectando el adware de Claria y de otras empresas como tal. Este es un punto a su favor, y mi experiencia al respecto es que en el terreno de este tipo de soluciones su comportamiento es bueno, se encuentra en la gama alta de los productos específicos contra el adware y spyware.

Llegados a este punto podemos concluir que Microsoft AntiSpyware ha dado un paso atrás, especialmente para los usuarios que no pueden discernir entre que es dañino o no para su sistema (la mayoría), pero sigue manteniendo su poder de detección intacto, en los que obtiene unos ratios notables, y los usuarios más experimentados no tendrán mayores problemas que modificar las opciones recomendadas por defecto para eliminar todo el software no deseado.

Sin embargo, si tenemos en cuenta que Microsoft AntiSpyware va dirigido a un público mayoritario, especialmente al usuario final, y que éste puede ser simplemente el principio de un largo número de excepciones a la hora de eliminar por defecto el adware comercial, el futuro se presenta incierto para la efectividad real de este producto.

En manos de Microsoft queda corregir el rumbo de su antispyware, por nuestra parte seguiremos atentos a su evolución.>>

Más información aquí.

Extraído de Sophos. También está este link en español, que son quienes lo han traducido.

<

12 minutos con una probabilidad del 50%, estas fueron sus conclusiones. Es decir aquel sistema que no se encuentre protegido con las actualización lanzadas por Microsoft reparando los agujeros encontrados en el sistema se encuentra con un 50% de posibilidades de que infectarse en apenas un cuarto de hora si se conecta a internet.

La compañía ha llegado a ésta conclusión al clasificar los 10 virus más importantes de la primera mitad de éste año. Ordenados descentemente: Zafi-D, Netsky-P, Sober-N, Zafi-B, Netsky-D, Mytob-BE, Netsky-Z, Mytob-AS, Netsky-B y Sober-K.>>

Noticia extraída de Hispamp3.

<

Descubierta por Secunia, la nueva vulnerabilidad Javascript afecta a Firefox, Opera, Safari, Mozilla y por supuesto Internet Explorer.

La vulnerabilidad permite el diseño de sites maliciosos, que presenten cuadros de usuarios falsos y solicitar contraseñas.

Más información y ejemplos de la vulnerabilidad en la web de Secunia.>>

Os recomiendo muy encarecidamente a todos leer este artículo de Hispasec.

Incluye una demostración gráfica impresionante. La verdad están innovando mucho el las estafas electrónicas, hoy día hay que tener un cuidado del demonio.

Para cualquier duda no dudeis en dejar un comentario. A partir de ahora intentaremos poner más sobre phising y cómo evitarlo. Nunca penseis que sois más listos que los timadores, os jugais vuestro dinero.

Noticia extraída de Barrapunto.

<este enlace nos explican cómo hacerlo probablemente en algo más de 3 minutos pero se consigue hacer. La noticia la redactan en Hispasec. Al parecer la solución reside en utilizar protocolos del tipo IPSec.>>

PD: Otro enlace de la gente de TomsNetworking, la verdad son 11 páginas geniales.

Noticia extraída de Kriptópolis.

<

Así, el primer documento consiste en un resumen de sólo seis páginas, asequible para cualquier lector.

El segundo es un documento técnico, de 48 páginas, donde se aborda la seguridad Wi-Fi a un mayor nivel de profundidad...>>

Noticia extraída de DiarioTI.

La compañía de seguridad informática Secunia ha detectado un nuevo agujero en el navegador Firefox. El error puede resultar en la filtración de datos a Internet desde la memoria del sistema.

Secunia indica que el agujero está presente en las dos versiones actualizadas de Firefox, 1.0.1 y 1.0.2. El error radica en un error en el motor JavaScript del navegador, que en teoría permite a intrusos acceder a información almacenada en la memoria del sistema.

“A diferencia que en otros problemas de seguridad con navegadores, este error no se basa en phishing o acceso al sistema. Sin embargo, puede presentar información digitada en otros sitios visitados”, indica Secunia en un comunicado.

El agujero ha sido calificado de “relativamente crítico” por Secunia. El gran éxito que ha experimentado Firefox aumenta las posibilidades de que sus usuarios se vean afectados por el problema.

Mozilla Foundation, organización desarrolladora de Firefox, está elaborando una actualización de seguridad que elimine la vulnerabilidad. Mozilla recalca que hasta ahora no tiene noticias de casos en que el problema haya sido explotado por intrusos.

Secunia ofrece a los usuarios de Firefox un sencillo test en línea que permite detectar la eventual vulnerabilidad del sistema.

Os dejo este pedazo artículo sobre Phising que han publicado en Barrapunto.

El autor ha sido DayDream, la verdad te ha quedado curradísimo. El editor fue SegFault.

A continuación lo reproduzco íntegramente.

<

Después de hacer un seguimiento de la mencionada cuenta recibo un email en ella en que se me dice que me han enviado una postal electrónica y que debo pulsar en un enlace para ver el contenido de la misma. Concretamente lo que recibí fue esto:

Date: 4 Apr 2005 01:57:23 -0000

To: xxxxxxxx@yahoo.es

Subject: ¡Has recibido una tarjeta en Gusanito.com!

From: "Gusanito.com"

¡Hola! Hay una tarjeta disponible en Gusanito.com de parte de Gusanito.com. Para verla, hacer click en el siguiente enlace:

http://gusanito.com/g/gusanito/retrieveCard.jsp?sCardCode=3AWEF458S45S1F...

Te recordamos que si eres Gusuario Premium tu tarjeta estará disponible en todo momento durante la vigencia de tu membresía; si no lo eres, estará disponible dos semanas a partir de la fecha en que la envíes. [...]

------------

Obviamente este mensaje sólo podía provenir de la persona que trataba de conseguir la contraseña. Aprovecho para aclarar que www.gusanito.com es un servicio legítimo de envío de tarjetas postales muy conocido en Latinoamérica por lo que no me extrañaría que alguien que lo conozca caiga de lleno en esta trampa.

Pero la sorpresa viene al hacer click en el enlace para recoger la tarjeta. Obviamente no apunta a www.gusanito.com sino a la página:

http://xecsx.com/004d5e345634400d234/0212456gsder6 2sd2.php?212SSa11q2212sasa34Hgfgg=ewed55645ff45343 1223d33&a3dwe43ws099120=xxxxxxxx@yahoo.es&ws120a30 99dwe43=xxxxxxxx

(nótese que la URL está modificada pues he omitido la identificación de la cuenta que usé para desenmascarar el ataque)

y que curiosamente es una copia casi perfecta de la página de Yahoo en la que te dicen eso de:

¿Por qué me piden mi contraseña?

Para proteger la seguridad de tu cuenta, de vez en cuando pediremos que escribas tu contraseña. [...] Únicamente puedes entrar en una cuenta por sesión. Si no eres "xxxxxxxx", ingresa con tu propia ID.

Claro, como esta solicitud de contraseña la suele hacer Yahoo en ciertas ocasiones, es normal que la persona caiga en la trampa e introduzca su contraseña, que obviamente será enviada a la persona que después pasará a cobrarme los 15 dólares por el servicio prestado.

Es de notar que este ataque está bien elaborado y, dadas sus características, no me parecería extraño que tuviera una efectividad cercana al 100% si no fuera por algunos detalles que considero que pasarían desapercibidos para el típico usuario de ordenadores.

Esto ha sido ya comunicado al departamento de Delitos Telemáticos de la Policía y a los servicios de correo electrónico gratuitos mencionados para que tomen cartas en el asunto.

Reciban un cordial saludo y tengan cuidado ahí fuera...»

Siguen aumentando los casos de Phishing, para el que no lo sepa es la estafa bancaria utilizando internet, como siempre hace falta un descuido por parte del usuario para robarle sus datos bancarios. Por lo que os recomendamos que leais este documento sobre seguridad para acceder a bancos on-line. La maejor manera de protegerte de este tipo de robos es el conocimiento, porque en este tipo de timos hace falta la colaboración del usuario, así que si conseguimos cerrar esa via, reduciremos el número de fraudes.

También podeis leer este comunicado de Caja madrid sobre qué debe esperar un usuario y qué no.

Uno de los mejores libros de criptografía ha sido liberado para uso personal. "The Code Book" cuyo autor Simon Singh ya liberó (publicó) otros libros sobre el último teorema de Fermat; trata de los principios básicos de criptografía.

La verdad se agradecen gestos como este. La noticia completa está en Hispasec.

Sun Microsystems ha alertado del peligro de un error descubierto en un plug-in de Java, uno de los lenguajes más utilizados de Internet, que podría afectar a todos los buscadores y sistemas operativos.

Los intrusos podrían llegar a controlar el ordenador de sus víctimas ya que el componente vulnerable se utiliza en el desarrollo de un importante número de aplicaciones. Podrían llegar incluso a consentir la carga de una página no solicitada.

Las agencias de seguridad han calificado la incidencia de altamente crítica por su capacidad de difundirse sin que apenas sea apreciado por el usuario.

Habida cuenta de que Java carece de protección hasta el momento contra piratas informáticos y virus, Sun Microsystems recomienda actualizar las versiones vulnerables de Java y del software de desarrollo instalado en los equipos. A su alerta se ha sumado también Apple con recomendaciones dirigidas a los usuarios de Mac OS X.

Fuente: La Voz de Galicia

Ante el auge del navegador Firefox, Microsoft siempre ha adoptado la máxima de que el mayor desprecio es no hacer aprecio. La compañía siempre ha tratado de restar relevancia al hecho de que, durante los últimos meses, el navegador de código abierto Firefox haya recortado terreno a su omnipresente Explorer subrayando que la pujanza de su competidor no es tal y que, ni siquiera, merecía la pena actualizar su navegador. No obstante la realidad se ha impuesto y Microsoft ha anunciado el lanzamiento de la versión 7.0 de Explorer.

(Continúa en Leer Más)

Extraído de Kriptópolis, tres nuevos fallos de seguridad que se suman a otro fallo grave, tb en español.

Estos tres nuevos fallos hasta tienen nombre propio: Firedragging, Firetabbing y Fireflashing.

<> Extracto de la noticia de Kriptópolis.

Noticia extraída de Hispamp3.

Más información en Kerneltrap.org.

Las versiones no actualizadas de los kernel Linux permiten que un usuario local obtenga privilegios de administrador o "root".

Las versiones no actualizadas de las series 2.4 y 2.6 del kernel Linux contienen un error que permite que cualquier usuario local del sistema obtenga provilegios de administrador o "root".

El problema reside en la función "uselib()" del kernel, utilizada para cargar y ejecutar código binario en memoria. En dicha función se realizan llamadas de gestión de memoria sin la protección de semáforos, pudiendo así corromper el sistema provocando su caída o la obtención de privilegios suplementarios. En algunos casos el problema incluso puede presentarse bajo condiciones no maliciosas; por ejemplo, bajo presiones extremas en el uso de memoria RAM.

Hasta el momento no se ha publicado ninguna actualización oficial de las series 2.4 y 2.6 del kernel Linux. Es de destacar, también, que existen "exploits" ya en circulación, y que este ataque permite también escapar a sistemas virtuales del tipo UML (User Mode Linux).

La recomendación de Hispasec es actualizar en cuando se publique una nueva versión de la serie del kernel que se use. En caso de sistemas con usuarios locales no confiables, es conveniente aplicar alguno de los parches no oficiales disponibles, siempre siendo consciente de los riesgos que ello implica.

La versión "2.4.29-rc1" soluciona el problema, pero se trata de una versión de evaluación. No se ha publicado ninguna actualización oficial para la serie 2.6.