jueves, 28 de agosto de 2008

Houston, tenemos un virus

Como habrán notado, este mes no he posteado mucho. Cuestiones de poco tiempo, la verdad... Pero estaba leyendo una noticia hoy y me pareció interesante compartirlo.

Parece ser, de acuerdo a la NASA, que un malware hizo de las suyas y logró llegar hasta la Estación Espacial Internacional. Si, sres., y lo más interesante, no es la primera vez que un código malicioso llega hasta el espacio.

En una noticia que apareció en varios medios entre ayer y hoy, se informó sobre las palabras de un vocero de la NASA que confirmó que unas laptops que se enviaron a la Estación Espacial Internacional tenía un malware capaz de robar contraseñas de software de juegos en línea.

Además de que la razón de esto es que algunos procesos de seguridad deben haber fallado, otro motivo de lo sucedido es que las mismas no tenían antivirus.

Obviamente, la NASA informó que esto de ninguna manera afectó ni pudo haber afectado el correcto funcionamiento de la Estación.

Con tanto malware y problemas de seguridad dando vueltas, uno se pregunta cómo puede ser que una de las agencias gubernamentales estadounidenses que mayor cantidad de dinero tiene asignado a su presupuesto puede tener tan pobres procedimientos de seguridad que permitan tamaña falla.

Fuente: The Register

martes, 5 de agosto de 2008

Guia de Seguridad en Windows Vista

Como esta semana estoy algo complicado de tiempo, al menos les quiero dejar algo interesante que vi el día de hoy: La Guía de Seguridad en Windows Vista.

Es un documento al estilo manual que analiza diversos aspectos de seguridad en el último sistema operativo de Microsoft, incluyendo aspectos como malware, políticas, protección de datos, etc.

La guía solamente está en inglés (y francés), pero no deja de ser interesantes para quienes tengan la posibilidad de leerla, más allá de que algunos conceptos es bueno tomarlos con pinzas, porque no es tan bonito como lo pintan ahi.

Está más bien orientada a usuarios avanzados o administradores, pero también se las recomiendo a aquellos que tienen ganas de experimentar un poco en materia de seguridad con sus equipos.

Está disponible desde al año pasado, en:

http://technet.microsoft.com/es-ar/bb629420.aspx

Visto en Segu-Info y DragonJAR.

Para quienes anden interesados en ver la de XP, algo más antigua, aquí también les dejo el enlace:

http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/default.mspx

sábado, 2 de agosto de 2008

Cuando somos nosotros los culpables (II)

La semana pasada escribí un post titulado “Cuando somos nosotros los culpables”, respecto a cómo, tanto usuarios y administradores, somos en parte responsables de muchos de los problemas de seguridad relacionados con el malware.

En ese post destacaba los casos del cliqueo adictivo sobre enlaces a mensajes de correo electrónico que nos llegan, así como el alojamiento de malware en sitios web “normales” debido a que los administradores no toman las medidas de seguridad necesarias.

Pero que quede claro, no sólo de eso somos culpables, hay más, y esto no es más que una toma de conciencia de lo irresponsables que somos muchos al andar por Internet.

Los usuarios de Internet están siendo cada vez más culpables de que sus usuarios y contraseñas circulen por la red. ¿Por qué? Porque ellos mismos son quienes los entregan, voluntariamente, a terceros, sin siquiera pensar en quien los está viendo del otro lado.

Ya había hecho referencia al tema cuando escribí “¡Conseguí amigos y mucho spam!”, pero no solo nos quedamos ahí.

Acá tenés las llaves de mi casa, desconocido

Esta semana recibo de un amigo, por MSN, un mensaje simplemente con un enlace; ese enlace llevaba a una página donde se me solicitaban mis datos de usuario y contraseña de mi mensajero instantáneo. Leyendo para qué querían mis datos (además de para mil cosas maravillosas), reviso sus términos y condiciones, en las cuales claramente se expresaba que se usarían para distribuir más enlaces entre mis contactos de MSN.

Explicándolo simplemente: mis datos de usuario y contraseña serían usados para seguir distribuyendo esos enlaces entre mis amigos, con mi consentimiento, dado que estaba explicado en el sitio, aunque en letra pequeña, que para eso lo usarían.

Este tipo de servicios es seguido bien de cerca por Cristian de Segu-info, y justamente el que recibí lo comentamos en la semana, y encontrarán más detalles en los siguientes enlaces:

http://seguinfo.blogspot.com/2008/07/checkapic-otro-sitio-sospechoso.html
http://seguinfo.blogspot.com/2008/07/friendlypixx-roba-tus-datos.html

Lo que no terminan de comprender las personas que “caen voluntariamente” en este tipo de cosas, es que al ingresar su usuario y contraseña en este tipo de sitios que no conocen, le están entregando las llaves de su casa, y una vez hecho eso, no saben qué es lo que estos “desconocidos” harán con las mismas.

No importa cuantas veces advertimos sobre este tipo de cosas, siempre pero siempre, los usuarios de Internet siguen cayendo en estas trampas. Pese a que uno se cansa un poco de repetirlo, aquí van las recomendaciones sobre el tema:

  1. No ingresen su usuario y contraseña en sitios desconocidos.
  2. Referirse a la recomendación 1.
  3. Si no quedó claro, volver a referirse a la recomendación 1.
  4. Si hasta ahora no se entienden las recomendaciones de los 3 puntos anteriores, repito, ¡NO INGRESEN SUS CONTRASEÑAS EN SITIOS DESCONOCIDOS POR USTEDES! :-)
Si alguna vez lo hicieron, cambien su contraseña ya mismo, en este instante, ¡YA! Con las “llaves de su casa”, una persona maliciosa puede hacer básicamente lo que quiera… ¿o no?

Desprotegiendo al querer proteger

Como siempre, los administradores a veces no se quedan atrás. Leo hoy en PuntoGeek sobre un servicio llamado DirProtect, que es básicamente una página que permite crear, en línea, los archivos necesarios para que, luego de subirlos a nuestro sitio web, podamos proteger algún directorio del mismo.

Quienes administramos sitios web, siempre tenemos la necesidad de que alguna parte del mismo quede fuera del acceso de cualquier curioso, y una de las mejores medidas para hacerlo, es cerrar esa parte mediante una protección, por ejemplo.

Si lo pensamos desde el punto de vista funcional, servicios como DirProtect son muy útiles para muchos de quienes hoy tienen un sitio web, pero no tienen los conocimientos técnicos necesarios para administrarlo completamente.

Pero si lo pensamos desde el punto de vista de la seguridad, al usar un servicio de DirProtect, ¡le estamos dando las llaves de nuestra casa a un desconocido antes incluso de poner la cerradura!

Esto es así porque el servicio nos pide: ruta del directorio a proteger de nuestro sitio web (la cual normalmente incluye el dominio de nuestra página), y el usuario y contraseña que queremos usar… o sea… ¡todo lo necesario para poder luego ingresar y saltar esa protección!

No es que crea que la gente detrás de DirProtect sea maliciosa o tenga esa intención con este servicio, pero no los conozco, entonces, si no sé quienes son, no los voy a invitar a que sepan como entrar a mi casa (Al menos yo, no invito desconocidos a mi hogar). Para colmo, en todo el sitio de DirProtect no encuentro ninguna confirmación de si almacenan esos datos o no, así como ni una declaración de si hacen algo con la información allí ingresada.

Este tipo de servicios puede ser muy útil, pero usarlos, implica abrir la puerta a futuros problemas de seguridad en nuestro sitio web. En este caso se aplican las mismas recomendaciones que dí antes: ¡No ingresar usuarios y contraseñas de algún servicio de uds. en un sitio desconocido!

En el caso particular de DirProtect, si así y todo tenés la necesidad utilizar el servicio, lo menos que podés hacer es:
  1. Ingresar una ruta inexistente y cuando se genere el htaccess, cambiala por la real
  2. Utilizar un usuario cualquiera, y cuando el archivo htpasswd se genere, cambialo por el que realmente querés utilizar (vas a tener que poner el password real de todas formas, pero al poner otro usuario y otra ruta, menos inseguro va a terminar siendo el tema)
Otra vez el post quedó largo, pero dejar claros estos puntos necesita mucho espacio. Espero quede claro el tema, y sino, no tenemos ningún derecho a quejarnos luego cuando nuestro MSN ya no anda, nuestra cuenta sea “robada” o nuestro sitio sea vulnerado por alguien, porque somos nosotros mismos quienes le estamos abriendo la puerta a los ladrones, sabiendo que están ahí.

“is”

viernes, 1 de agosto de 2008

El drama de los DNS (II)

Como dije en el último post sobre el tema de la vulnerabilidad del cache poisoning en los servidores DNS, mi idea es mantenerlos al tanto sobre los distintos avances de este tema tan problemático para todos los que usamos Internet a diario.

Primero comentarles que además de la posibilidad de chequear si sus DNS son vulnerables a través de la página de Dan Kaminsky, el descubridor de la vulnerabilidad, DNS-OARC también liberó una herramienta similar (hacer click en la opción Test my DNS en el centro de la página disponible aquí).

Es importante contar con dos herramientas porque nos dará más seguridad sobre si nuestros DNS aún son vulnerables o no.

Con lo complicado del alcance de esta vulnerabilidad, se hace más marcada la diferencia entre tres tipos de proveedores de servicios y/o software de de DNS:


El mayor problema está en que no solo la vulnerabilidad ya es conocida públicamente, sino que ya existen herramientas para explotarlas, tales como Evilgrade, o lo incluido en Metasploit.

Lo anterior hace que ya se comiencen a encontrar algunos casos de ataques que podrían estar dándose gracias al aprovechamiento de esta vulnerabilidad, y como se dijo anteriormente, todavía hay demasiados proveedores y fabricantes que no han logrado parchear o liberar actualizaciones.

Todo esto no ha hecho que algunas soluciones ya seguras, como OpenDNS, comiencen a recibir mucha atención y las recomendaciones para utilizarlos pululan en Internet. No es que sea mala idea, todo lo contrario; si no saben si su DNS es vulnerable, o si comprueban que lo es con las herramientas anteriores, les recomiendo analizar la posibilidad de utilizar estos proveedores ya asegurados.

Algunos enlaces de interes para todos:


En resumen: si son administradores, ¡parcheen ya! Si son usuarios, comprueben si sus DNS son vulnerables, y sino, cambien a algunos que no lo sean.

"is"