Archivos de Categoría: Redmon

Operation Aurora: Exploit disponible

Hablaba el viernes de la Operation Aurora y de cómo Google y otras empresas habían sido atacadas aunque no todas lo reconocían públicamente y hoy (aunque la noticia es del mismo viernes) me entero de que el exploit ya circula libremente por Internet.

Es posible reproducir el ataque con Metasploit tal y como explican en esta página así que… estemos preparados para la tormenta.

Es previsible que en breve distintos grupos de crackers van a empezar a utilizar este exploit para generar sus propios ataques, contra sus propios objetivos así que en breve supongo que tendremos un nuevo virus.

Microsoft recomienda actualizar a IE8, a mi se me ocurre actualizar a Firefox :-) pero mientras tanto, los usuarios de Windows deberán esperar al parche y tener mucho cuidado con lo que ejecutan o las webs que visitan.

Actualización: (19/01/2010) No solo a mi se me ocurre recomendar actualizar a Firefox. Los gobiernos de Francia y Alemania también recomiendan no utilizar IE6 y migrar a Firefox.
Además se ha hecho pública una dirección IP (140.136.148.42) desde la que se controlaban las máquinas afectadas por uno de los ataques que utilizan la vulnerabilidad de Adobe Reader.

Operación Aurora: Ataques dirigidos contra distintas empresas desde China

Estos primeros días de enero están siendo movidos en el mundo de la seguridad de la información.

Algunos de los grandes han reconocido que están siendo víctimas de ataques dirigidos aprovechando una vulnerabilidad Zero-Day de IExplorer que Microsoft reconoció ayer a través de su blog.

Lo bueno, que se está publicando información a través de diferentes medios y websites como Google, que habla de ataques desde China o McAffe, que habla de la operación Aurora o bien algunos otros, como twitter de George Kurtz o el twitter de ITSec.

Por ahí se lee que el problema viene de la última vulnerabilidad descubierta en Adobe Reader y Adobe lo niega y trata de limpiar su imagen tras los múltiples problemas que ha causado estos días.

Las informaciones que hay disponibles por la red hablan de ataques especialmente dirigidos contra empresas y organismos en concreto, no muchos, pero en varios sectores incluidos el de la defensa. De momento pocos reconocen que han sido objetivo de estos ataques, otros probablemente no vayan a anunciar que el ataque les ha afectado a ellos… pocos reconocerán que les han robado información como ha hecho Google.

¿Estará el gobierno Chino detrás de estos ataques o serún las mafias? ¿Espionaje industrial u otra cosa? ¿Hasta qué punto se pueden empezar a tomar medidas drásticas como cortar TODO el tráfico con China salvo el tráfico deseado? ¿Se puede desconectar al país? ¿Pueden las empresas permitirse el lujo de desconectar al gigante?

Existen muchas páginas con bloques de IP de China, Korea, configuraciones para IPtables para cortar el tráfico asiático,scripts para bloquear tráfico de determinados países como China o Afganistán.

Son días para estar atentos a los logs, escuchar a los usuarios por si comentan cosas raras, vigilar los informes de los helpdesk en busca de incrementos de problemas por visrus, leer las noticias de seguridad y preparar planes de actualizacián de parches de seguridad para actualizar rápidamente cuando los fabricantes (especialmente Microsoft) publique las soluciones a los problemas de sus productos.

Operation Aurora

El morro de Microsoft

No sólo parece que Microsoft nos engaña sino que además parece que nos toma el pelo y nos trata de idiotas… con más intención a sus clientes hispanohablantes.

Llego un poco tarde con el rollo del antivirus de Microsoft.

Aluciné hace unos días cuando leía que Microsoft iba a lanzar un antivirus… Coincido completamente con Felipe, que habla de Contradictio in termini: Microsoft y su antivirus.

Evidentemente, Microsoft en vez de hacer un antivirus, IMHO debería corregir las vulnerabilidades que provocan la aparición de los virus, exploits y demás problemas de seguridad que sufrimos en sus productos y dejarse de historias raras.

Los antivirus son un mal necesario… porque existe otro mal, los virus y los usuarios serían felices si pudieran olvidarse de sus antivirus porque no hicieran falta.

Durante todos mis años de usuario de sistemas Linux NUNCA me he visto en la necesidad de instalar un antivirus porque es absolutamente innecesario. ¿Para qué voy a consumir ciclos de CPU en un antivirus cuando mi sistema no sufre de virus?

Pues Microsoft parece creer que lo importante no es tener un sistema seguro, parece que con que lo parezca es suficiente y para parecerlo… un antivirus es la solución. ¿Patético?

Pues no queda ahí la cosa… ahora viene lo bueno (¿no hay asesores de imagen en Microsoft?)

El antivirus de Microsoft se llama “Morro“, sin cortarse un pelo…. ¡¡MORRO!!

A mi me parece alucinante que un proveedor de sistema operativo como Microsoft decida que va a sacar un antivirus en vez de corregir los fallos y problemas de su sistema.

Supongo que es mejor entrar en otro negocio y competir contra los proveedores de antivirus que corregir los problemas pero ya, que llamen morro a su sistema operativo me parece simplemente inconcebible, alucinante, descarado… ¿atrevido?

Veremos el morro que le echa Microsoft al negocio de la Seguridad de la Información en unos días.

¿Nos engaña Microsoft?

Como cada mes hace poco MS publicó el conjunto de parches correspondiente.
Este mes de abril ha hecho una publicación jugosa con bugs de todo tipo.

El que me ha llamado la atención es el que clasifican como “Moderado” (creo que es la categoría menos importante), el MS09-015.

Se trata de un parche para corregir una elevación de privilegios que podría permitir a un atacante ejecutar software con más privilegios de la cuenta o hacerse con el control del equipo… nada nuevo, novedoso ni extraño.

Lo curioso es que si te pones a ver las plataformas afectadas y a leer la letra pequeña… se lee que W2K SP4 aparece como no afectado… bueno eso es una buena noticia para esos usuarios.

Si sigues leyendo el informe se lee:

The architecture for implementing the SetSearchPathMode function does not exist on the Microsoft Windows 2000 system, making it infeasible to eliminate the vulnerability in Microsoft Windows 2000. To do so would require rearchitecting a significant portion of the Microsoft Windows 2000 operating system, not just the affected component. The end result of such efforts would be sufficiently incompatible with Microsoft Windows 2000 that there would be no assurance that applications designed to run on Microsoft Windows 2000 would continue to operate on the rearchitected system. However, Microsoft is unaware of any valid attack vectors that would target this vulnerability on Microsoft Windows 2000.

Este párrafo es todo una perla en sí mismo… para los que no sepan inglés, el párrafo dice que, corregir la causa que genera esta vulnerabilidad es muy difícil y que en el supuesto caso de que lo corrigieran haría que muchas aplicaciones dejaran de funcionar…

Vamos que les sale caro corregir esta vulnerabilidad y han decidido pasar de ella.

Esta opción no me parece muy “profesional” pero el hecho de que digan que el sistema no está afectado me parece un engaño.

Es cierto que no se ve afectado por el parche… (porque han decidido no hacerlo) pero evidentemente W2K SI parece afectado pr la vulnerabilidad.

¿Nos engaña Microsoft?

Ponencia en el Máster en Seguridad de la Información y las Comunicaciones de la UAX

No había tenido tiempo de comentar que los días 6 y 7 de febrero participé como ponente en el Master Oficial en Ingeniería de Seguridad y las Comunicaciones de la UAX.

La sesión trató sobre seguridad en sistemas UNIX/Linux, recomendaciones generales, buenas prácticas, securización de sistemas, … Vamos un poco de todo.

Creo que los alumnos quedaron contentos, la participación fue buena, hubo buen ambiente y cubrimos lo planificado tanto en contenido como en tiempo. Evidentemente mi presentación no fue perfecta y hay cosas que mejorar y que pulir…
Probablemente los alumnos habrían agradecido tener más tiempo para pegarse con los ordenadores pero el tiempo es limitado y, si los alumnos no tienen conocimientos de administración de sistemas Linux no se puede correr más de la cuenta pues hay que ir a una velocidad a la que todos puedan llegar.

La seguridad en sistemas UNIX y Linux es un tema amplio que es difícil de cubrir en sólo dos sesiones de 4’5h…

Yo lo pasé bien… Espero que los alumnos disfrutaran de la sesión y les resultara interesante.

Mi próxima sesión será sobre KDE en el Máster en Software Libre de la URJC, ya os contaré qué tal.


Vuelve Conficker y los problemas de no parchear

No es nuevo el problema, Microsoft publicaba el parche a finales de octubre en una distribución de esas críticas fuera de ciclo. El hecho de que hagan una distribución fuera de ciclo debe ser motivo para tomárselo en serio y en muchas de las grandes redes se iniciaron los procedimientos para actualizar e instalar dicha actualización cuanto antes.

En menos de un mes ya teníamos al menos un virus detectado y dando guerra. El Conficker se hizo presente. Como siempre, las primeras informaciones eran vagas (conficker, Gimmiv, ¿otro?) y había que fiarse de la intuición y experiencia para identificar como un virus determinados patrones ya sea en el tráfico de la red, en las incidencias de los usuarios, …

A los días las primeras infecciones ya eran masivas. Grandes redes infectadas por un gusano que se introducía en todas las máquinas que no tenían el parche aplicado (y habían reiniciado tras la actualización), los fabricantes de antivirus no daban con la tecla para limpiar las infecciones y sacaban varios patrones de firmas al día tratando de dar con la tecla, las redes mal segmentadas se bloqueaban con el tráfico que el gusano generaba, … caos.

Pasa el tiempo, los administradores (que no lo hicieron a tiempo) van parcheando, los fabricantes de antivirus generan y distribuyen las firmas del virus y parece que todo vuelve a la normalidad… pero no.

A principios del mes de enero, una variante de conficker vuelve a las redes y caen de nuevo las grandes redes. Cuentas de usuario bloqueadas, tráfico que colapsa los routers, los foros y webs echando humo, … en medio de la confusión Panda la caga con un falso positivo y hace que los síntomas de un virus se mezclen con los síntomas del falso positivo de Panda… vuelta a investigar, …

Esta vez la variante es más lista y no sólo se propaga con un gusano típico como en noviembre/diciembre… ahora también lo hace a través de los recursos compartidos, los discos USB, … la Ingeniería Social, crackeando contraseñas débiles usando diccionarios rudimentarios, … vuelta a investigar, vuelta a poner parches (¿pero… no estaban puestos ya? ¿Es que la gente no aprende?).

No se si alguna vez se ganará la guerra a los creadores de virus y malware. Me da que no, siempre vamos al menos un paso por detrás… generando parches y antivirus.

Aun quedan administradores que no ven la actualización de parches de seguridad como algo crítico de sus sistemas (si funciona no lo toques). El miedo a que algo deje de funcionar por instalar un parche sigue pesando más que el miedo a que toda la red deje de funcionar y no puedan dar servicio por una infección masiva (¿?) pero el caso es que los parches no se instalan… o no se hace a tiempo.

¿Qué cuesta más? ¿Mantener un parque de máquinas actualizadas y con los parches de seguridad y antivirus al día o quedarte sin servicio, sin previo aviso, tener que parchear a toda prisa y sin hacer las pruebas pertinentes el día de la catástrofe?

La Gestión de la Seguridad de la Información suele recomendar eso de parchear…

Noticias frescas desde Redmon

Decía el otro día que los señores de Redmon habían anunciado una vulnerabilidad de uno de sus productos pero que no se sabía cuando se iba a publicar el parche.

Pues bien… parece que es una cosa seria el parche va a estar disponible a lo largo del día de hoy a través de una distribución especial de diciembre. Lo normal es que sea el MS08-078 (a la hora de escribir esto el enlace aun no funciona).

La vulnerabilidad que originalmente parecía funcionar sólo en IE7, parece afectar también a otras versiones IE5, IE6, …

Merece la pena actualizar nuestras máquinas para que no pase como con el anterior que dejó a más de uno fuera de juego durante más de un par de horas.

Casualmente se están detectando los típicos mensajes de virus o spam que llega con una URL similar a esta: http://www.jabsQUITAESTO.com/file/68902.htm (no la pulseis porque es una URL peligrosa).

Lo dicho… los afectados a actualizar… o a cambiar de navegador ;-)