jueves, 23 de octubre de 2008

Grave vulnerabilidad en Windows (en serio)

No me gustan los títulos que parecen sensacionalistas pero este tema amerita llamar la atención mediante un titulo igualmente llamativo.

Microsoft liberó hoy un boletín de seguridad, con actualización de software incluida, debido a una grave vulnerabilidad descubierta en casi todas las versiones vigentes de Windows, desde 2000 hasta el Server 2008.

No quiero entrar en detalles técnicos ya que el mismo boletín los cubre en detalle, pero básicamente, el problema se encuentra en que debido a un agujero de seguridad en el servicio RPC de Windows es posible realizar ataques remotos a equipos vulnerables a fin de ejecutar cualquier tipo de acción en los mismos sin el consentimiento del usuario.

Este tipo de vulnerabilidad es de gravedad crítica aunque existen varios aspectos que la mitigan notablemente:

  • Dentro de una red corporativa con un firewall correctamente configurado no debería existir la posibilidad de que se den ataques externos (aunque si internos)
  • Si el usuario utiliza otro firewall distinto del de Windows en su equipo, y dicho firewall bloquea las conexiones externas al servicio RPC en los puertos 139 y 445 (lo lógico por defecto), tampoco podría darse el ataque
  • Si la conexión de la red hogareña es a través de un router que también bloquea dichas conexiones, tampoco se podrían dar los ataques desde el exterior

La mayor preocupación que produce esta vulnerabilidad yace en el hecho de que ya se han visto ataques, debido a que ya se han publicado, en ciertos círculos, los exploits necesarios para aprovecharla.

Esto motivó que Microsoft liberará un boletín de seguridad, con los parches necesarios para resolver el problema, fuera de su ciclo normal de actualizaciones.

A parchear (instalar la actualización) para evitar caer victima de alguno de los ataques que se pueden llegar a producir.

Más información en:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

/is

miércoles, 22 de octubre de 2008

Nuevas herramientas del Microsoft SDL próximamente

En Junio comentaba la apertura del Microsoft Security Development Lifecycle, una interesante iniciativa de la empresa de Bill Gates para el desarrollo de aplicaciones en forma segura.

Hasta ahora, dicha iniciativa constaba principalmente de una serie de documentaciones y recomendaciones describiendo lo que Microsoft propone para lograr la creación y mantenimiento de soluciones de software con un alto grado de seguridad.

Ahora, se están agregando varias herramientas a la iniciativa, que estarán disponibles en breve, y de las cuales existen dos de alto interes para aquellos equipos de programadores que quieran mejorar los procesos de desarrollo de sus aplicaciones.

Una de ellas es un modelo de optimización (SDL Optimization Model) que estará pronto disponible para descarga desde el sitio de Microsoft y tiene como objetivo facilitar la implementación de SDL.

La otra que me ha resultado interesante es una herramienta de modelaje de amenazas (Microsoft SDL Threat Modeling Tool 3.0) que permitirá realizar un analisis estructurado para la mitigación de potenciales riesgos de seguridad en el desarrollo de aplicaciones.

La iniciativa SDL de Microsoft me parece que tiene varios aspectos muy positivos, tanto para la comunidad de desarrolladores como para conocer en detalle cómo son pensadas y desarrolladas las aplicaciones de la empresa.

Interesante lectura para todos los interesados, que está disponible en el siguiente enlace:

http://msdn.microsoft.com/es-es/security/cc967276(en-us).aspx

/is

miércoles, 15 de octubre de 2008

Nueva versión de Adobe Flash Player

Adobe lanzó una nueva versión de los plugin para navegadores del Adobe Flash Player, la 10.0.12.36, la cual reemplaza a la anterior 9.0.0.124. Sin embargo, no se debió a problemas de seguridad, sino a la actualízación necesaria para soportar las nuevas funcionalidades de las aplicaciones de Adobe.

Si quieren actualizar, o consultar qué versión tienen instalada, podrán hacerlo desde este blog, donde encontrarán en la barra derecha la información que brinda la herramienta que hice para chequear la versión de Adobe Flash Player que tienen instalada quienes visitan la página.

/is

jueves, 9 de octubre de 2008

Mes del Cyber Security Awareness del ISC / SANS

Tal como comenté el año pasado, Octubre es el mes de la campaña de awareness del Internet Security Center del SANS, y en esta ocasión, en el Handler's Diary, están dando consejos diarios sobre manejo de incidentes relacionados a la seguridad informática.

Estos consejos han comenzado desde la preparación previa necesaria para poder luego responder a incidentes, para luego pasar por las distintas etapas propuestas por el SANS, como la identificación, la Contención, la Erradicación, la Recuperación y las lecciones aprendidas por el incidente.

Les recuerdo que la información está en inglés, y les recomiendo leer estos consejos, dado que dan un paneo interesante de lo necesario para detectar y responder ante un incidente de seguridad.

miércoles, 8 de octubre de 2008

8 años después, la futurología acierta en una

Hace casi ocho años escribí un artículo llamado “Virus: ayer, hoy y mañana”, el cual volvió a mi mente luego de ver en el blog de Segu-info un interesante artículo que no sé como se me pasó de largo.

En aquel artículo me animaba a hacer algo de futurología, así como a comentar otras tantas “profecías” de otros tantos que escribían sobre seguridad en aquellas épocas.

Releer ese artículo (además de hacerme sentir un tanto “antiguo” por no decir viejo) y conectarlo al que comentaré a continuación, realmente, me ha sorprendido en cuanto al acierto de uno de los párrafos donde hacía futurología.

En dicho párrafo hablaba sobre cómo se venía comentando que a medida que se conectaran más y más dispositivos a Internet, también se ampliaba el horizonte a los virus informáticos y demás amenazas similares.

Bueno, un artículo escrito por David Martin para Muy Computer hace referencia a una vulnerabilidad (o serie de ellas) en una cafetera inteligente con conexión a Internet que permitiría no solo atacar a dicho dispositivo sino también utilizarlo como puente para acceder a otros equipos en la misma red donde se encuentre.

Esto es posible a que dicha cafetera tiene un pequeño sistema operativo, con el objetivo de que pueda ser más inteligente, conectarse a Internet e incluirse ser reparada, lógicamente hablando, a través de la red por los técnicos del fabricante.

Al tener dicho software (o firmware, hablando en mejores terminos) incluido, la cafetera es susceptible de los mismos fallos que cualquier otro dispositivo conectado a la red, y por ende, puede tener agujeros de seguridad, tal como se comenta en el artículo de David que se descubrió en este caso.

Este hecho demuestra claramente que los ataques y amenazas informáticos van teniendo otros lugares adonde ir, tal y como se pensaba en aquella época, y que a veces, solo a veces, cuando se habla de lo que se viene, no es por alarmar infundadamente, ya que, aunque lleve tiempo, si la advertencia tiene fundamento técnico, puede llegar a hacerse realidad.

/is

Malware desde fábrica (III) y ¡atenti periodistas!

En sendos posts hace unos meses informaba sobre cómo es posible que algunos dispositivos de hardware, e incluso software varios, completamente legales, pueden llegar a nosotros con malware incluido, por errores de control de calidad en el proceso de liberación de nuevos productos por parte de los fabricantes.

¡Ojo! No lo hacen a propósito, sino que debido a que los procesos internos de algunos fabricantes son bastante "complejos" y que no siempre incluyen todas las medidas de seguridad que harían falta, se dan casos esporádicos donde nuevos productos salen al mercado con códigos maliciosos incluidos.

El último caso detectado fue reportado hoy por el medio británico “The Register” e informa sobre como una partida del modelo desktop de la Asus Eee PC (no las mini-notebooks, sino las PCs de escritorios) estaban infectados por un malware.

Según Asus, esto solo pasó con un modelo particular, el Asus Eee Box de 80 GB y en la partida que se envió a Japón para su comercialización.

El problema no tiene nada de “anormal” respecto a los anteriores, pero nos recuerda que debemos estar atentos a que tan seguras son las cosas que adquirimos, aunque segundos antes los hayamos sacado, nuevos y relucientes, de su caja.

Ahora bien, lo interesante de la noticia escrita por Tony Smith para The Register, es el comentario que hace respecto a que un Eee Box que recibió para hacer una revisión (review en inglés) también estaba infectado por malware.

La duda que le quedó al periodista es si eso se debio a problemas de fábrica o a que la misma se hubiera infectado por aquellos que hayan recibido la máquina para probar antes de ellos…

En sus propias palabras:

“En este momento, no queda claro si la infección que encontramos estaba presente desde el comienzo, o si fue accidentalmente agregada por un revisor anterior.”

Entonces, ¡Atenti periodistas! Es claro que no todos utilizamos las recomendaciones de seguridad básicas en nuestras computadoras personales, por lo que seguramente menos lo haremos en equipos que nos presten, sobre todo cuando los mismos andan pasando de mano en mano porque son provistos para los fabricantes para las pruebas.

Por lo que si ud., querido lector, es un periodista y/o blogger que reviews sobre software y/o hardware en su medio, antes de “enchufarlo”, revise si el mismo no trae de “regalo sorpresa” algún bichito. Si esto pasa en Inglaterra, ¿por qué no va a pasar por estos lugares?”

/is

lunes, 6 de octubre de 2008

¿Se puede alguna vez estar seguro?

Hace unos días, Sebastián publicaba un post titulado “¿Cómo sé que estoy seguro?” en su blog Un Mundo Binario que me llevó a reflexionar sobre el tema y si realmente en algún momento es posible estar seguro.

En su entrada, Sebastián comenta cómo el tema surgió en una de las listas de correo de Security Focus y distintas impresiones de los que participaron del tema así como de las suyas propias. Recomiendo su lectura porque realmente el post da en el clavo en muchos temas.

La conclusión a la que se llega tras analizar en detalle la pregunta y las posibles respuestas que se puedan dar la misma en que uno nunca puede saber si está realmente seguro.

Suena melodramático, alarmista y muy pesimista, pero como siempre digo, la informática e Internet, en cuanto a seguridad, no son otra cosa que un reflejo del mundo “real”. ¿Podemos saber con certeza si cuando salimos a la calle todos los días estamos 100 % seguros? No; por lo tanto, tampoco podemos responder afirmativamente a la pregunta de si nuestra computadora de casa, nuestra red hogareña o la propia infraestructura tecnológica de nuestra empresa lo están.

Existen un sinfín de medidas de seguridad y recaudos que podemos tomar para estar seguros en Internet, desde la instalación de software antivirus y firewall, la actualización de nuestro sistema operativo, navegador y demás aplicaciones que tengamos, el llevar adelante prácticas seguras al utilizar la PC, pero pese a ello, podemos igual seguir teniendo una probabilidad de enfrentarnos a problemas de seguridad.

Aunque nos diga que estamos protegidos, el antivirus puede haber dejado pasar una amenaza sin detectarla y comprometer la seguridad de nuestro equipo; nuestro sistema operativo o navegador puede ser vulnerable a algún agujero de seguridad desconocido (0-day) y nosotros no saberlo; ese sitio de Internet al que le tenemos confianza e ingresamos siempre, puede haber sido comprometido por un atacante y por ello ser un riesgo para nosotros visitarlo…. La lista de posibilidades podría seguir indefinidamente.

La búsqueda de un entorno seguro, ya sea en el hogar como en la empresa, puede tener como objetivo último alcanzar un 100 % de protección, pero dicho número “mágico” es un tanto utópico.

Dada la gran cantidad de problemas de seguridad a los que podemos enfrentarnos en la Internet de estos días, es cada vez más importante que tengamos en cuenta que tomar medidas preventivas y educarnos (y educar a otros) en materia de seguridad es primordial para maximizar la seguridad al máximo posible. Y si queremos agregar medidas, tenemos que realizar resguardos (backups), y en las empresas debemos contar con planes de contingencia y de continuidad del negocio.

Pero, más allá de lo anterior, siempre debemos tener en cuenta que no importa lo que hagamos, siempre existe la posibilidad de un incidente de seguridad, porque no es posible responder afirmativamente, con un 100 %, a la pregunta que planteo en mi post, pero si podemos responder que hemos tomado todas las medidas necesarias para intentar lograrlo.

Conocer el alcance de nuestras acciones y las debilidades que podemos tener en nuestros sistemas es uno de los primeros pasos para poder realmente alcanzar un alto nivel de seguridad.

/is

domingo, 5 de octubre de 2008

Actualicen Flash de una vez (III)

Pasaron varias veces desde que implementé la pequeña herramienta que ven a la derecha de este blog y que detecta que versión de Adobe Flash Player tienen instalada uds. en sus computadoras.

Adobe Flash Player es uno de los plugin de navegadores más utilizados dado que es el que permite visualizar muchas de las animaciones que se encuentran en millones de páginas de Internet. Por ejemplo, sin dicho plugin, no podrías ver los videos de Youtube.

Luego de crear dicha herramienta, escribí dos veces sobre qué porcentaje de uds., los visitantes de este blog, tienen actualizado dicho plugin y cuántos no. Esto debido a que tener un plugin vulnerable, hace que tu equipo sea susceptible de verse afectado por un malware que aproveche dicho agujero de seguridad, y siendo el Adobe Flash Player tan utilizado (+99 % de los visitantes del blog lo tienen instalado) es algo que da para preocuparse.

Sin embargo, habiendo pasado casi 4 meses desde entonces, las estadísticas de actualización no han mejorado demasiado...

  • Al 21 de Julio pasado, el 55 % de los visitantes del blog tenían la última versión de Adobe Flash Player
  • Hoy, solo son el 62,83 %, es decir, un 7 % más que hace 3 meses y tantos días. Hablando en cristiano, más de 1 de cada 3 visitantes son vulnerables.
El mayor problema de esto es que el Adobe Flash Player es multiplataforma, ya que existen versiones para los principales sistemas operativos, incluyendo Windows y Linux, así como los principales navegadores, sino todos ellos, y si tenés una versión vulnerable del mismo, no importa qué tan seguro creas que estás, dado que estás dejando una ventana abierta a cualquier tipo de ataque que aproveche esta vulnerabilidad.

Por ello, chequea si tenés la última versión, y si no es así, instala ya mismo la última versión del Adobe Flash Player. Después, no digas que no te avisé...

/is

sábado, 4 de octubre de 2008

Si no evolucionamos nosotros, menos lo hará el resto

El otro día, Martín publicó un post en su blog sobre un tema que muestra una triste involución en la industria antivirus, titulado "Antivirus, y la eterna guerra por ver quién la tiene más larga".

Antes de seguir leyendo, tengan en cuenta que trabajo en una empresa antivirus que no es nombrada en el post. Daré mi opinión personal pero obviamente se pueden dar lecturas subjetivas de la misma :-)

Martín hace referencia a una "lucha" que existe desde los inicios de la industria antivirus, y está basada en la cuestionable cantidad de malware que cada compañía antivirus informa detectar. Cuando los antivirus comenzaban y estaban estrictamente basados en firmas únicas, es decir, por cada virus existente debían agregar un registro en su base de datos de detecciones, el número de códigos maliciosos reconocidos era un valor muy importante para comparar soluciones.

Pero eso fue quedando en el tiempo a medida que las detecciones genéricas comenzaron a aparecer a partir de los virus polimorficos y las familias de malware que mantenían similitudes entre ellas. A partir de entonces, un registro en la base de datos de firmas podía llegar a detectar 1 o varios códigos maliciosos distintos, por lo que el número informado por los antivirus comenzó a ser relativo. Con la aparición de distintas técnicas proactivas de detección como la heurística y los bloqueadores de comportamiento, que se enfocan no en los códigos conocidos sino en los desconocidos, el número no solo dejó de tener valor, sino que pasó a ser completamente inútil, dado que no se puede enumerar la cantidad de códigos susceptibles de ser detectados por cada tecnología proactiva.

Desterrar ese concepto de la mente de los usuarios llevó años, y ahora cuando la mayoría de los mismos entiende que es un dato inocuo, parece que la guerra se reaviva, tal y como marca Martín, lo cual es una triste involución de la industria, al menos desde el punto de vista de la comunicación.

Lamentablemente, esta es una clara muestra de que a la educación de los usuarios no está en la agenda de todos los que formamos parte de la industria, y que es dañino para que la seguridad de internet siga mejorando. Si no informamos y educamos responsablemente a los usuarios, estamos atentando contra su seguridad, y yendo en contra de la realidad. Hablar de cantidades que detecta o no un antivirus es realmente denostar los avances en los campos de detección proactiva. Si el mensaje que comunica la industria no evoluciona, menos podremos hacer que la seguridad evolucione y mejore.

Espero, sinceramente, que esto solo quede como una anecdota pasajera...

/is

viernes, 3 de octubre de 2008

El MSN y el malware

 El otro día una visitante de este blog dejó un comentario preguntando sobre si una cosa que había recibido por MSN era un malware o no, y que debía hacer al respecto.

Como no estaba relacionado directamente con el post donde se comentó, preferí moderarlo y aprovechar otra entrada para contestar algo que, seguramente, muchos se preguntan o tienen dudas al respecto.

Hace un par de meses, como parte de la serie de aprendizaje, escribí sobre cómo la mensajería instantánea (por ejemplo, el MSN) es una de las formas a través de la que el malware puede ingresar a un sistema.

Lo que le sucedió a este visitante en particular (a.k.a. foxycar) fue:

  • Recibió un enlace a través de un mensaje del MSN por parte de un amigo
  • Hizo click en el enlace, descargó el ZIP al que apuntaba, lo descomprimió
  • Ejecuto el contenido del mensaje
  • Aparentemente nada pasó...
Lo que en realidad terminó sucediendo fue:
  • El amigo de foxycar estaba infectado por un malware
  • Dicho malware envió mensajes instantáneos con un enlace para seguir reproduciendose a toda la lista de contactos de ella
  • foxycar no se dió cuenta que era un malware, su antivirus tampoco lo detectó y por ende, lo ejecutó
  • El malware, al ejecutarse, no muestra ninguna ventana ni nada, sino que realiza todas sus acciones en forma oculta
  • El equipo de foxycar ahora está infectado
Lo que debería haber hecho ella es:
  • Al recibir un enlace a través del MSN que no solicitó, debería haber confirmado con el usuario que lo envió para saber qué era
  • Seguramente el usuario no le hubiera respondido porque no estaba frente a la computadora y/o le hubiera dicho "¿qué enlace?"
  • foxycar debería haber entonces dudado de la "seguridad" de dicho enlace y no haberlo descargado y asi su equipo no estaría hoy infectado
Este tipo de situaciones son muy normales día a día dado que la mensajería instantánea es un vector relevante de distribución de malware y mucha gente no está al tanto de ello. Es prioritario que todos tengamos un poco más de precaución al manejarnos por internet dado que el malware no solo llega a través de personas desconocidas, sino que si nuestros conocidos se infectan con el mismo, también por ellos podremos llegar a recibirlo.

A estar atentos, que hay mucho malware dando vuelta...

/is