Jaime Robles

(English version below)

Este mensaje es solo un aviso rápido:
Hoy un mensaje se ha saltado los filtros antispam y ha llegado al buzón.
Hablaba de actualizaciones para Adobe Reader…

Un vistazo al whois del dominio me ha despertado la curiosidad y en 5 minutos he encontrado unos cuantos dominios más relacionados con este posible ataque.

La fecha entre paréntesis indica la fecha de registro de los dominios, por lo que es fácil deducir que se han creado con el objetivo del ataque:

QUIT-THIS-adobe-pdf-solutions.com (2010.05.24)
QUIT-THIS-adobe-pdf-solutions.org (26-May-2010)
QUIT-THIS-adobe-acrobat-reader.com (2010.05.31)
QUIT-THIS-adobe-acrobat-reader.org (03-Jun-2010)
QUIT-THIS-adobe-acrobat-reader.de (23.06.20090) (dominio registrado por otra persona, a lo mejor no está relacionada)
QUIT-THIS-adobe-reader-2010.com (2010.05.29)
QUIT-THIS-adobe-reader-2010.org (03-Jun-2010)
QUIT-THIS-acrobat-reader-update.com (2010.06.15)
QUIT-THIS-download-adobe-pdf.com (2010.05.17)
QUIT-THIS-pdf-adobe-2010.com (2010.03.14)
QUIT-THIS-pdf-adobe-2010.net (2010.03.14)
QUIT-THIS-pdfreaderupdate.com (2010.05.11)
QUIT-THIS-pdfsoftware2010.org (09-Mar-2010)
QUIT-THIS-pdfsoftware2010.com (2010.03.09)
QUIT-THIS-pdfsoftware2010.net (2010.03.09)
QUIT-THIS-pdfsoftwareupdate.com (2010.03.12)
QUIT-THIS-pdfsoftwareupdate.net (2010.03.12)

De momento no tengo datos de qué pasa cuando te conectas a esas páginas… pero probablemente nada bueno.
Supongo que explotará alguna vulnerabilidad de IExplorer para instalar algún troyano.

De momento el consejo: no te conectes a esas páginas. Sencillo ¿no?

And now the English version for the English readers:

Today an email has jumped over the antispam filters and has arrived to the mailbox.
It was an email about Adobe Reader updates…

A quick look to the domain’s whois has awakened my curiosity and in 5 minutes I have found some more domains, maybe related to this possible attack.

The dates between brackets is the domain registration date. It is easy to infer than were created with the attack in mind:

QUIT-THIS-adobe-pdf-solutions.com (2010.05.24)
QUIT-THIS-adobe-pdf-solutions.org (26-May-2010)
QUIT-THIS-adobe-acrobat-reader.com (2010.05.31)
QUIT-THIS-adobe-acrobat-reader.org (03-Jun-2010)
QUIT-THIS-adobe-acrobat-reader.de (23.06.20090) (another guy registered this domain. Maybe it is not related.)
QUIT-THIS-adobe-reader-2010.com (2010.05.29)
QUIT-THIS-adobe-reader-2010.org (03-Jun-2010)
QUIT-THIS-acrobat-reader-update.com (2010.06.15)
QUIT-THIS-download-adobe-pdf.com (2010.05.17)
QUIT-THIS-pdf-adobe-2010.com (2010.03.14)
QUIT-THIS-pdf-adobe-2010.net (2010.03.14)
QUIT-THIS-pdfreaderupdate.com (2010.05.11)
QUIT-THIS-pdfsoftware2010.org (09-Mar-2010)
QUIT-THIS-pdfsoftware2010.com (2010.03.09)
QUIT-THIS-pdfsoftware2010.net (2010.03.09)
QUIT-THIS-pdfsoftwareupdate.com (2010.03.12)
QUIT-THIS-pdfsoftwareupdate.net (2010.03.12)

At this moment I have no data about what will happen if you connect to those pages… but probably nothing good.
I suppose that those page will exploit some IExplorer vulnerability to install a Trojan…

The suggestion: Do not connect to those pages. Easy, isn’t it?

Seguridad Incidente, Seguridad, Virus, exploit

Ayer hablaba de que Microsoft había decidido publicar el parche para corregir la vulnerabilidad de Internet Explorer que estaba generando todo el ruido mediático de la operación Aurora.

Pues bien, ayer tarde hizo público el parche que corrige la vulnerabilidad en Internet Explorer.
La información está en este boletín fuera de ciclo.

Ahora toca probar el parche (cuando lo publiquen) y actualizar… a ver si este parche, liberado rápidamente y bajo presión no nos trae ninguna sorpresa.

Está claro, la presión mediática funciona.

Actualización: Desde anoche ya tenemos los parches:

• MS10-001
• MS10-002

Seguridad Aurora Operation, Redmon, Seguridad, Virus

Hablaba el viernes de la Operation Aurora y de cómo Google y otras empresas habían sido atacadas aunque no todas lo reconocían públicamente y hoy (aunque la noticia es del mismo viernes) me entero de que el exploit ya circula libremente por Internet.

Es posible reproducir el ataque con Metasploit tal y como explican en esta página así que… estemos preparados para la tormenta.

Es previsible que en breve distintos grupos de crackers van a empezar a utilizar este exploit para generar sus propios ataques, contra sus propios objetivos así que en breve supongo que tendremos un nuevo virus.

Microsoft recomienda actualizar a IE8, a mi se me ocurre actualizar a Firefox pero mientras tanto, los usuarios de Windows deberán esperar al parche y tener mucho cuidado con lo que ejecutan o las webs que visitan.

Actualización: (19/01/2010) No solo a mi se me ocurre recomendar actualizar a Firefox. Los gobiernos de Francia y Alemania también recomiendan no utilizar IE6 y migrar a Firefox.
Además se ha hecho pública una dirección IP (140.136.148.42) desde la que se controlaban las máquinas afectadas por uno de los ataques que utilizan la vulnerabilidad de Adobe Reader.

Redmon, Seguridad Aurora Operation, Incidente, Seguridad, Virus, exploit

Estos primeros días de enero están siendo movidos en el mundo de la seguridad de la información.

Algunos de los grandes han reconocido que están siendo víctimas de ataques dirigidos aprovechando una vulnerabilidad Zero-Day de IExplorer que Microsoft reconoció ayer a través de su blog.

Lo bueno, que se está publicando información a través de diferentes medios y websites como Google, que habla de ataques desde China o McAffe, que habla de la operación Aurora o bien algunos otros, como twitter de George Kurtz o el twitter de ITSec.

Por ahí se lee que el problema viene de la última vulnerabilidad descubierta en Adobe Reader y Adobe lo niega y trata de limpiar su imagen tras los múltiples problemas que ha causado estos días.

Las informaciones que hay disponibles por la red hablan de ataques especialmente dirigidos contra empresas y organismos en concreto, no muchos, pero en varios sectores incluidos el de la defensa. De momento pocos reconocen que han sido objetivo de estos ataques, otros probablemente no vayan a anunciar que el ataque les ha afectado a ellos… pocos reconocerán que les han robado información como ha hecho Google.

¿Estará el gobierno Chino detrás de estos ataques o serún las mafias? ¿Espionaje industrial u otra cosa? ¿Hasta qué punto se pueden empezar a tomar medidas drásticas como cortar TODO el tráfico con China salvo el tráfico deseado? ¿Se puede desconectar al país? ¿Pueden las empresas permitirse el lujo de desconectar al gigante?

Existen muchas páginas con bloques de IP de China, Korea, configuraciones para IPtables para cortar el tráfico asiático,scripts para bloquear tráfico de determinados países como China o Afganistán.

Son días para estar atentos a los logs, escuchar a los usuarios por si comentan cosas raras, vigilar los informes de los helpdesk en busca de incrementos de problemas por visrus, leer las noticias de seguridad y preparar planes de actualizacián de parches de seguridad para actualizar rápidamente cuando los fabricantes (especialmente Microsoft) publique las soluciones a los problemas de sus productos.

Operation Aurora

Redmon, Seguridad Aurora Operation, Incidente, Seguridad, Virus, exploit

No sólo parece que Microsoft nos engaña sino que además parece que nos toma el pelo y nos trata de idiotas… con más intención a sus clientes hispanohablantes.

Llego un poco tarde con el rollo del antivirus de Microsoft.

Aluciné hace unos días cuando leía que Microsoft iba a lanzar un antivirus… Coincido completamente con Felipe, que habla de Contradictio in termini: Microsoft y su antivirus.

Evidentemente, Microsoft en vez de hacer un antivirus, IMHO debería corregir las vulnerabilidades que provocan la aparición de los virus, exploits y demás problemas de seguridad que sufrimos en sus productos y dejarse de historias raras.

Los antivirus son un mal necesario… porque existe otro mal, los virus y los usuarios serían felices si pudieran olvidarse de sus antivirus porque no hicieran falta.

Durante todos mis años de usuario de sistemas Linux NUNCA me he visto en la necesidad de instalar un antivirus porque es absolutamente innecesario. ¿Para qué voy a consumir ciclos de CPU en un antivirus cuando mi sistema no sufre de virus?

Pues Microsoft parece creer que lo importante no es tener un sistema seguro, parece que con que lo parezca es suficiente y para parecerlo… un antivirus es la solución. ¿Patético?

Pues no queda ahí la cosa… ahora viene lo bueno (¿no hay asesores de imagen en Microsoft?)

El antivirus de Microsoft se llama “Morro“, sin cortarse un pelo…. ¡¡MORRO!!

A mi me parece alucinante que un proveedor de sistema operativo como Microsoft decida que va a sacar un antivirus en vez de corregir los fallos y problemas de su sistema.

Supongo que es mejor entrar en otro negocio y competir contra los proveedores de antivirus que corregir los problemas pero ya, que llamen morro a su sistema operativo me parece simplemente inconcebible, alucinante, descarado… ¿atrevido?

Veremos el morro que le echa Microsoft al negocio de la Seguridad de la Información en unos días.

Redmon, Seguridad, Varios Redmon, Seguridad, Virus

250K dólares, unos 200K euros es la recompensa que está ofreciendo Microsoft por información que lleve al arresto del creador del gusano conficker, del que ya he hablado alguna que otra vez porque según ellos se trata de un ataque criminal.

La solución definitiva NO es detener al creador del gusano.

Lo que se consigue deteniendo al creador del gusano es eliminar a UN programador de malware, puede que incluso uno de los buenos y como mucho que sirva de escarmiento para algún otro… pero cuando estamos hablando de mafias, de profesionales del malware, … parece claro que, detener a un técnico, no es la solución definitiva.

El camino más eficiente para mitigar estos problemas es la CONCIENCIACIÓN.

• Concienciación y formación a los desarrolladores de software, para que desarrollen con la seguridad en mente, evitando que sus programas dependan, por ejemplo, de su ejecución con más privilegios de los necesarios, sin controles ni medidas enfocadas a producir herramientas robustas.
• Concienciación y formación a los administradores de sistemas y red, para que administren sus sistemas con la seguridad en mente, para que se instalen los parches necesarios y se mantengan los sistemas bien ajustados.
• Concienciación y formación a los usuarios, para que no utilicen más privilegios de los necesarios, no instalen cualquier programa que les llegue, desconfíen de los mensajes, páginas o personas sospechosas , …
• Concienciación y formación para los profesionales de la seguridad de la información, ingenieros, auditores, administradores de seguridad, … porque lo nuestro es una carrera y los malos van muchas veces por delante así que hay que estar al día en las nuevas técnicas y estrategias, intentar adelantarnos y detectar los problemas antes de que hagan daño.

Seguridad Concienciación, Redmon, Seguridad, Virus

No es nuevo el problema, Microsoft publicaba el parche a finales de octubre en una distribución de esas críticas fuera de ciclo. El hecho de que hagan una distribución fuera de ciclo debe ser motivo para tomárselo en serio y en muchas de las grandes redes se iniciaron los procedimientos para actualizar e instalar dicha actualización cuanto antes.

En menos de un mes ya teníamos al menos un virus detectado y dando guerra. El Conficker se hizo presente. Como siempre, las primeras informaciones eran vagas (conficker, Gimmiv, ¿otro?) y había que fiarse de la intuición y experiencia para identificar como un virus determinados patrones ya sea en el tráfico de la red, en las incidencias de los usuarios, …

A los días las primeras infecciones ya eran masivas. Grandes redes infectadas por un gusano que se introducía en todas las máquinas que no tenían el parche aplicado (y habían reiniciado tras la actualización), los fabricantes de antivirus no daban con la tecla para limpiar las infecciones y sacaban varios patrones de firmas al día tratando de dar con la tecla, las redes mal segmentadas se bloqueaban con el tráfico que el gusano generaba, … caos.

Pasa el tiempo, los administradores (que no lo hicieron a tiempo) van parcheando, los fabricantes de antivirus generan y distribuyen las firmas del virus y parece que todo vuelve a la normalidad… pero no.

A principios del mes de enero, una variante de conficker vuelve a las redes y caen de nuevo las grandes redes. Cuentas de usuario bloqueadas, tráfico que colapsa los routers, los foros y webs echando humo, … en medio de la confusión Panda la caga con un falso positivo y hace que los síntomas de un virus se mezclen con los síntomas del falso positivo de Panda… vuelta a investigar, …

Esta vez la variante es más lista y no sólo se propaga con un gusano típico como en noviembre/diciembre… ahora también lo hace a través de los recursos compartidos, los discos USB, … la Ingeniería Social, crackeando contraseñas débiles usando diccionarios rudimentarios, … vuelta a investigar, vuelta a poner parches (¿pero… no estaban puestos ya? ¿Es que la gente no aprende?).

No se si alguna vez se ganará la guerra a los creadores de virus y malware. Me da que no, siempre vamos al menos un paso por detrás… generando parches y antivirus.

Aun quedan administradores que no ven la actualización de parches de seguridad como algo crítico de sus sistemas (si funciona no lo toques). El miedo a que algo deje de funcionar por instalar un parche sigue pesando más que el miedo a que toda la red deje de funcionar y no puedan dar servicio por una infección masiva (¿?) pero el caso es que los parches no se instalan… o no se hace a tiempo.

¿Qué cuesta más? ¿Mantener un parque de máquinas actualizadas y con los parches de seguridad y antivirus al día o quedarte sin servicio, sin previo aviso, tener que parchear a toda prisa y sin hacer las pruebas pertinentes el día de la catástrofe?

La Gestión de la Seguridad de la Información suele recomendar eso de parchear…

Redmon, Seguridad Redmon, Seguridad, Virus