Jaime Robles

Ayer hablaba de que Microsoft había decidido publicar el parche para corregir la vulnerabilidad de Internet Explorer que estaba generando todo el ruido mediático de la operación Aurora.

Pues bien, ayer tarde hizo público el parche que corrige la vulnerabilidad en Internet Explorer.
La información está en este boletín fuera de ciclo.

Ahora toca probar el parche (cuando lo publiquen) y actualizar… a ver si este parche, liberado rápidamente y bajo presión no nos trae ninguna sorpresa.

Está claro, la presión mediática funciona.

Actualización: Desde anoche ya tenemos los parches:

• MS10-001
• MS10-002

Seguridad Aurora Operation, Redmon, Seguridad, Virus

No sólo parece que Microsoft nos engaña sino que además parece que nos toma el pelo y nos trata de idiotas… con más intención a sus clientes hispanohablantes.

Llego un poco tarde con el rollo del antivirus de Microsoft.

Aluciné hace unos días cuando leía que Microsoft iba a lanzar un antivirus… Coincido completamente con Felipe, que habla de Contradictio in termini: Microsoft y su antivirus.

Evidentemente, Microsoft en vez de hacer un antivirus, IMHO debería corregir las vulnerabilidades que provocan la aparición de los virus, exploits y demás problemas de seguridad que sufrimos en sus productos y dejarse de historias raras.

Los antivirus son un mal necesario… porque existe otro mal, los virus y los usuarios serían felices si pudieran olvidarse de sus antivirus porque no hicieran falta.

Durante todos mis años de usuario de sistemas Linux NUNCA me he visto en la necesidad de instalar un antivirus porque es absolutamente innecesario. ¿Para qué voy a consumir ciclos de CPU en un antivirus cuando mi sistema no sufre de virus?

Pues Microsoft parece creer que lo importante no es tener un sistema seguro, parece que con que lo parezca es suficiente y para parecerlo… un antivirus es la solución. ¿Patético?

Pues no queda ahí la cosa… ahora viene lo bueno (¿no hay asesores de imagen en Microsoft?)

El antivirus de Microsoft se llama “Morro“, sin cortarse un pelo…. ¡¡MORRO!!

A mi me parece alucinante que un proveedor de sistema operativo como Microsoft decida que va a sacar un antivirus en vez de corregir los fallos y problemas de su sistema.

Supongo que es mejor entrar en otro negocio y competir contra los proveedores de antivirus que corregir los problemas pero ya, que llamen morro a su sistema operativo me parece simplemente inconcebible, alucinante, descarado… ¿atrevido?

Veremos el morro que le echa Microsoft al negocio de la Seguridad de la Información en unos días.

Redmon, Seguridad, Varios Redmon, Seguridad, Virus

Como cada mes hace poco MS publicó el conjunto de parches correspondiente.
Este mes de abril ha hecho una publicación jugosa con bugs de todo tipo.

El que me ha llamado la atención es el que clasifican como “Moderado” (creo que es la categoría menos importante), el MS09-015.

Se trata de un parche para corregir una elevación de privilegios que podría permitir a un atacante ejecutar software con más privilegios de la cuenta o hacerse con el control del equipo… nada nuevo, novedoso ni extraño.

Lo curioso es que si te pones a ver las plataformas afectadas y a leer la letra pequeña… se lee que W2K SP4 aparece como no afectado… bueno eso es una buena noticia para esos usuarios.

Si sigues leyendo el informe se lee:

The architecture for implementing the SetSearchPathMode function does not exist on the Microsoft Windows 2000 system, making it infeasible to eliminate the vulnerability in Microsoft Windows 2000. To do so would require rearchitecting a significant portion of the Microsoft Windows 2000 operating system, not just the affected component. The end result of such efforts would be sufficiently incompatible with Microsoft Windows 2000 that there would be no assurance that applications designed to run on Microsoft Windows 2000 would continue to operate on the rearchitected system. However, Microsoft is unaware of any valid attack vectors that would target this vulnerability on Microsoft Windows 2000.

Este párrafo es todo una perla en sí mismo… para los que no sepan inglés, el párrafo dice que, corregir la causa que genera esta vulnerabilidad es muy difícil y que en el supuesto caso de que lo corrigieran haría que muchas aplicaciones dejaran de funcionar…

Vamos que les sale caro corregir esta vulnerabilidad y han decidido pasar de ella.

Esta opción no me parece muy “profesional” pero el hecho de que digan que el sistema no está afectado me parece un engaño.

Es cierto que no se ve afectado por el parche… (porque han decidido no hacerlo) pero evidentemente W2K SI parece afectado pr la vulnerabilidad.

¿Nos engaña Microsoft?

Redmon, Seguridad Abusos, Redmon, Seguridad

250K dólares, unos 200K euros es la recompensa que está ofreciendo Microsoft por información que lleve al arresto del creador del gusano conficker, del que ya he hablado alguna que otra vez porque según ellos se trata de un ataque criminal.

La solución definitiva NO es detener al creador del gusano.

Lo que se consigue deteniendo al creador del gusano es eliminar a UN programador de malware, puede que incluso uno de los buenos y como mucho que sirva de escarmiento para algún otro… pero cuando estamos hablando de mafias, de profesionales del malware, … parece claro que, detener a un técnico, no es la solución definitiva.

El camino más eficiente para mitigar estos problemas es la CONCIENCIACIÓN.

• Concienciación y formación a los desarrolladores de software, para que desarrollen con la seguridad en mente, evitando que sus programas dependan, por ejemplo, de su ejecución con más privilegios de los necesarios, sin controles ni medidas enfocadas a producir herramientas robustas.
• Concienciación y formación a los administradores de sistemas y red, para que administren sus sistemas con la seguridad en mente, para que se instalen los parches necesarios y se mantengan los sistemas bien ajustados.
• Concienciación y formación a los usuarios, para que no utilicen más privilegios de los necesarios, no instalen cualquier programa que les llegue, desconfíen de los mensajes, páginas o personas sospechosas , …
• Concienciación y formación para los profesionales de la seguridad de la información, ingenieros, auditores, administradores de seguridad, … porque lo nuestro es una carrera y los malos van muchas veces por delante así que hay que estar al día en las nuevas técnicas y estrategias, intentar adelantarnos y detectar los problemas antes de que hagan daño.

Seguridad Concienciación, Redmon, Seguridad, Virus

No es nuevo el problema, Microsoft publicaba el parche a finales de octubre en una distribución de esas críticas fuera de ciclo. El hecho de que hagan una distribución fuera de ciclo debe ser motivo para tomárselo en serio y en muchas de las grandes redes se iniciaron los procedimientos para actualizar e instalar dicha actualización cuanto antes.

En menos de un mes ya teníamos al menos un virus detectado y dando guerra. El Conficker se hizo presente. Como siempre, las primeras informaciones eran vagas (conficker, Gimmiv, ¿otro?) y había que fiarse de la intuición y experiencia para identificar como un virus determinados patrones ya sea en el tráfico de la red, en las incidencias de los usuarios, …

A los días las primeras infecciones ya eran masivas. Grandes redes infectadas por un gusano que se introducía en todas las máquinas que no tenían el parche aplicado (y habían reiniciado tras la actualización), los fabricantes de antivirus no daban con la tecla para limpiar las infecciones y sacaban varios patrones de firmas al día tratando de dar con la tecla, las redes mal segmentadas se bloqueaban con el tráfico que el gusano generaba, … caos.

Pasa el tiempo, los administradores (que no lo hicieron a tiempo) van parcheando, los fabricantes de antivirus generan y distribuyen las firmas del virus y parece que todo vuelve a la normalidad… pero no.

A principios del mes de enero, una variante de conficker vuelve a las redes y caen de nuevo las grandes redes. Cuentas de usuario bloqueadas, tráfico que colapsa los routers, los foros y webs echando humo, … en medio de la confusión Panda la caga con un falso positivo y hace que los síntomas de un virus se mezclen con los síntomas del falso positivo de Panda… vuelta a investigar, …

Esta vez la variante es más lista y no sólo se propaga con un gusano típico como en noviembre/diciembre… ahora también lo hace a través de los recursos compartidos, los discos USB, … la Ingeniería Social, crackeando contraseñas débiles usando diccionarios rudimentarios, … vuelta a investigar, vuelta a poner parches (¿pero… no estaban puestos ya? ¿Es que la gente no aprende?).

No se si alguna vez se ganará la guerra a los creadores de virus y malware. Me da que no, siempre vamos al menos un paso por detrás… generando parches y antivirus.

Aun quedan administradores que no ven la actualización de parches de seguridad como algo crítico de sus sistemas (si funciona no lo toques). El miedo a que algo deje de funcionar por instalar un parche sigue pesando más que el miedo a que toda la red deje de funcionar y no puedan dar servicio por una infección masiva (¿?) pero el caso es que los parches no se instalan… o no se hace a tiempo.

¿Qué cuesta más? ¿Mantener un parque de máquinas actualizadas y con los parches de seguridad y antivirus al día o quedarte sin servicio, sin previo aviso, tener que parchear a toda prisa y sin hacer las pruebas pertinentes el día de la catástrofe?

La Gestión de la Seguridad de la Información suele recomendar eso de parchear…

Redmon, Seguridad Redmon, Seguridad, Virus

Decía el otro día que los señores de Redmon habían anunciado una vulnerabilidad de uno de sus productos pero que no se sabía cuando se iba a publicar el parche.

Pues bien… parece que es una cosa seria el parche va a estar disponible a lo largo del día de hoy a través de una distribución especial de diciembre. Lo normal es que sea el MS08-078 (a la hora de escribir esto el enlace aun no funciona).

La vulnerabilidad que originalmente parecía funcionar sólo en IE7, parece afectar también a otras versiones IE5, IE6, …

Merece la pena actualizar nuestras máquinas para que no pase como con el anterior que dejó a más de uno fuera de juego durante más de un par de horas.

Casualmente se están detectando los típicos mensajes de virus o spam que llega con una URL similar a esta: http://www.jabsQUITAESTO.com/file/68902.htm (no la pulseis porque es una URL peligrosa).

Lo dicho… los afectados a actualizar… o a cambiar de navegador

Redmon, Seguridad Redmon, Seguridad

¿Cómo se empieza un blog? ¿Por qué?

El por qué es relativamente sencillo: porque si.

El problema puede llegar con el cómo. No debería ser difícil… hablar de alguna de las cosas que te puedan interesar… no se, a lo mejor podría:

• empezar con algún tema de seguridad de la información: hoy el día es propicio, se ha conocido un exploit para Internet Explorer 7 que unos chinos han desvelado sin querer, Microsoft reconoce el problema pero no dice cuando publicará el parche… o de cómo cada día es más habitual que se hable de terrorismo, guerras y sus equivalentes en Internet, … cualquiera de esos temas dan por lo menos para un mensaje inicial.
• empezar hablando de radioafición: que se trata de un tema que probablemente muchos desconozcan. Hay varias operaciones anunciadas para hoy como las de Artántida (KC4AAA) o la Rep. Dem. del Congo (9Q1TB) y alguna otra cosa curiosa.
• empezar hablando de software libre que también es un buen tema. Podría comentar algo de KDE, de KDE-ES y el magnífico equipo de traductores que lo forma.
• empezar hablando de Debian, de algún paquete nuevo, que me guste, disguste o llame mi atención.
• empezar hablando de software libre y radioafición comentando que hace sólo unos pocos días que publiqué la versión 0.4.5 de KLog y explicando las mejoras que trae esta nueva versión.
• empezar comentando alguna noticia que me haya llamado la atención a lo largo del día de hoy.
• empezar hablando del blog de un amigo o del blog de otro (que cualquiera de los dos pueden sentirse culpables porque esté escribiendo yo esto… a base de leeros me ha dado por probar!).
• empezar presentando cómo los vecinos de Valdemoro (Madrid) se han organizado para acabar con los malos olores que la industria cercana genera alrededor de una web (Valdemoro Apesta) y cómo las acciones on-line tienen repercusiones en el mundo real, off-line.

Vamos que hay muchas cosas sobre las que se puede escribir para comenzar un blog y no siempre es fácil elegir.

Blog Blog, Radioafición, Redmon, Seguridad, Software Libre