Archive for Abril, 2005

La importancia de la rapidez en la lucha contra los virus

Abril 27, 05 by admin

Anton Zajac, CEO de la empresa de seguridad Eset, que tiene como producto estrella el antivirus NOD32, explica porque muchas empresas antivirus están fallando en detectar los últimos virus de correo electrónico.

Ontinyent (Valencia), 25 de Abril de 2005 – ¿Si hoy en día los productos antivirus son tan buenos, cómo es posible que existan tantos troyanos y virus por correo electrónico? ¿Cómo es posible que virus como el SoBig, Klez, Melissa y BugBear hayan infectado millones de computadoras causando un daño superior al de billones de dólares antes de que hayan sido controlados por las compañías de antivirus? Muchas de estas victimas tenían protección antivirus en su PC, pero en muchas de ellas, estos virus altamente dañinos ingresaron sin ser detectados. ¿Cómo es posible? ¿Los antivirus no están haciendo su trabajo?

Cada nuevo virus es distribuido desde alguno sitio, y una vez que entra al mundo de la Internet, rápidamente comienza a enviar copias de él mismo utilizando el directorio de correo electrónico del usuario infectado.

La forma tradicional de proceder de muchas empresas antivirus es que cuando reciben una muestra de un nuevo virus, y su “firma” única debe ser analizada antes la su detección pueda ser desarrollada y distribuida a los suscriptores. Los mejores proveedores de antivirus son muy buenos para reaccionar rápidamente ante los nuevos virus. Pero, igualmente, las mejores compañías pueden tardar varias horas en analizar el nuevo virus, y es en esas precisas preciosas primeras horas cuando el virus hace el mayor daño a los usuarios.

Afortunadamente, hay otra manera de detectar a los nuevos virus llamada análisis de heurística, el cual protege contra los virus desconocidos. Este análisis significa que el antivirus busque operaciones específicas dentro del código de un programa dentro de la PC que normalmente sean usadas por un virus, y no por programas de uso cotidiano. Los métodos de análisis heurísticos determinan la efectividad de este tipo de detección que tienen los programas antivirus. Dos diferentes variantes son generalmente utilizadas, con frecuencia combinados: El pasivo, que busca secuencias de código que generan secuencias digitales sospechosas; y el activo, el cual ejecuta al archivo dentro de una PC virtual creada por el programa antivirus dentro de la memoria de la computadora para observar que tareas realiza el archivo sospechoso. Por eso, la heurística de un antivirus puede identificar y detener al nuevo virus, sin la necesidad de la actualización de firmas y antes de que pueda causar algún daño.

Además de emplear heurística, un buen antivirus debe trabajar constantemente en segundo plano. La velocidad de exploración del sistema es, por lo tanto, muy importante; el software entrante debe ser analizado en cuestión de fracciones de segundo, porque de lo contrario, el usuario se puede ser tentando a desactivar el antivirus por frustración.

Tan critico como esto es la habilidad de evitar las falsas alarmas. Como saben aquellos que han intentado reparar su propio ordenador tras un ataque de virus, las ‘reparaciones’ pueden causar más daño que la propia infección. Un promedio alto de falsas fastidiar al usuario, llevando al síndrome de ‘ahí viene el lobo’ por el cual terminen ignorando las verdaderas alertas.

Finalmente, los mejores antivirus tienen que ser capaces de actualizarse a si mismos sin la necesidad de reiniciar el sistema. Reiniciar una computadora de escritorio puede ser tedioso; en cambio, reiniciar los servidores de Internet, los cuales deberían estar disponibles las 24 horas del día, es un gran dolor de cabeza para el mantenimiento.

Virus Bulletin, la más respetada publicación dentro de la industria antivirus, conduce la evaluación independiente más importante de software de detección de virus en la red. Visitando el sitio web de Virus Bulletin, se pueden encontrar las compañías con sus respectivos productos y consultar si han aprobado constantemente la evaluación, lo cual significa que son los mejores protegiendo la computadora y la información de negocios de una empresa.

Autor: Anton Zajac, CEO de Eset

VeriSign completa la adquisición de LightSurf

Abril 27, 05 by admin

La adquisición incluye un conjunto de mensajería con imágenes y capacidad ampliada de mensajería multimedia para los servicios de contenidos digitales de VeriSign

Madrid, 25 abril de 2005 - VeriSign, Inc. (Nasdaq: VRSN), el proveedor líder de servicios de infraestructura inteligente para Internet y redes de telecomunicaciones, ha anunciado la culminación satisfactoria de la compra de la empresa LightSurf, con sede en Santa Cruz, California, Estados Unidos.

VeriSign anunció el acuerdo definitivo para la adquisición de LightSurf el 10 de enero de 2005. Los términos del acuerdo estipulan el pago por parte de VeriSign de 270 millones de dólares en acciones de VeriSign, Inc. La adquisición se está tratando como una transacción comercial. VeriSign mantendrá las oficinas de LightSurf en Bangalore, India y Santa Cruz, California, Estados Unidos, creciendo en aproximadamente 300 empleados a jornada completa.

LightSurf es un líder global en mensajería multimedia y soluciones de interoperabilidad para el mercado de productos inalámbricos. La plataforma de la empresa, a la vanguardia del sector, permite a sus usuarios móviles intercambiar imágenes, vídeos y otras formas de contenidos multimedia. Los operadores y proveedores de servicios que ofrecen en estos momentos las soluciones de LightSurf incluyen a las empresas Sprint, Bell Mobility, Kodak, Rogers Wireless, Microcell, Telecom New Zealand, Iusacell y Qwest.

“LightSurf mejora nuestra infraestructura de comunicaciones inteligentes y nuestra estrategia comercial y de contenidos añadiendo un equipo técnico de talla mundial y una plataforma a la cabeza del sector para mensajería multimedia”, aseguró Stratton Sclavos, Presidente y Director Ejecutivo de VeriSign. “Los innovadores servicios gestionados de LightSurf y su sólida implantación entre operadores la convierten en una aliada natural de VeriSign.”

Al añadir la capacidad de LightSurf a las plataformas de servicios de comunicaciones, VeriSign espera ofrecer a los operadores una utilidad integral para datos inalámbricos que cubra todos los aspectos de la cadena de valor de contenidos móviles. La funcionalidad incluirá la mensajería con imágenes, los servicios de mensajería multimedia y la mensajería e interoperabilidad entre operadores.

VeriSign espera que la adquisición genere un aumento de los ingresos de al menos 30 millones de dólares en los últimos nueve meses de 2005, para quedar en una posición neutra con respecto a los beneficios por acción de 2005 y crecer modestamente con respecto a los de 2006.

Acerca de VeriSign

VeriSign, Inc. (Nasdaq: VRSN), proporciona servicios de infraestructura inteligente que permiten a las personas y empresas encontrarse, conectarse y reforzar la seguridad de las transacciones comerciales que realizan en las complejas redes globales actuales. Podrá encontrar más noticias adicionales e información sobre la empresa en www.verisign.es.

Acerca de LightSurf

LightSurf es el líder mundial de MMS de estándar abierto, mensajería de imágenes y vídeo, así como de soluciones de interoperabilidad que cubren todos los dispositivos móviles y redes inalámbricas. Los servicios con estándares abiertos de LightSurf tienen una cobertura mundial en la actualidad con asociados como Bell Canada, Eastman Kodak, Iusacell, LG International Corp., Motorola, Rogers Wireless, Samsung Electronics, Sanyo, Sprint, Telecom New Zealand y Toshiba. Fundada en 1998 por Philippe Kahn, LightSurf es una empresa con capital privado con sede en Santa Cruz, California.

8 son los avisos de seguridad publicados en el boletín de seguridad de Microsoft en Abril

Abril 20, 05 by admin

Microsoft ha publicado 8 nuevos avisos de seguridad para sus productos, siendo 5 de ellos críticos, en el boletín mensual correspondiente a Abril de 2.005. Los avisos son los siguientes:

Vulnerabilidades importantes:

1. Vulnerabilidad en el shell de Windows podría permitir la ejecución remota de código. Ver

2. Vulnerabilidad en el componente Message Queuing podría permitir la ejecución de código. Ver

3. Vulnerabilidades en el Kernel de Windows podrian permitir la elevación de privilegios y negacion de servicios. Ver

Vulnerabilidades críticas:

4. Vulnerabilidades en TCP/IP podrían permitir la ejecución remota de código y negación de servicio. Ver

5. Actualización acumulativa para Internet Explorer. Ver

6. Vulnerabilidad en el Servidor Exchange podría permitir la ejecución remota de código. Ver

7. Vulnerabilidad en MSN Messenger podría permitir la ejecución remota de código. Ver

8. Vulnerabilidad en Microsoft Word podría inducir la ejecución remota de código. Ver

Problemas de seguridad en Dameware NT Utilities y MiniRemote Control

Abril 15, 05 by admin

Jordi Corrales, colaborador de Shell Security, ha reportado unos problemas de seguridad en Dameware NT Utilities y MiniRemote Control versión 4.9 y anteriores. Dameware NT Utilities es una aplicacion de administracion remota orientada a Windows NT/2000/XP/2003 desde la cual junto la colección de utilidades de administracion se puede tener una interfaz centralizada para administrar tanto servidores como pcs de sobremesa.

El 08/04/2005 fue notificado el problema a Dameware, sin haber obtenido aún respuesta. Hacemos un llamamiento a la empresa responsable de la aplicación para que corrija este problema de seguridad, y sugerimos a los usuarios de dicha aplicación, que actualicen a la próxima versión cuando aparezca.

El problema de seguridad lo podeis encontrar en Castellano: http://www.shellsec.net/leer_advisory.php?id=6

El problema de seguridad lo podeis encontrar en Inglés: http://www.shellsec.net/leer_advisory.php?id=7

La página web de la empresa responsable: http://www.dameware.com/

Articulos sobre seguridad en nombres de dominio y en el servicio DNS

Abril 11, 05 by admin

UNAM-CERT nos ha remitido una nota en la cual nos comentan unos nuevos artículos que han realizado sobre la seguridad en nombres de dominio y en DNS:

« Ante los recientes problemas de Secuestro de dominos y de DNS cache Poisoning, que han comenzado a impactar en el uso de internet, el Departamento de Seguridad en Cómputo y el UNAM-CERT, como parte de la difusion e investigación que lleva a cabo, informa de la liberación de un espacio en el sitio del Laboratorio de Seguridad para el proyecto de Seguridad en DNS, con el propósito de dar a conocer información sobre tópico de seguridad relacionados al Sistema de Nombres de Dominio.

Actualmente el sitio web cuenta con tutoriales y articulos selacionados al DNS.

En el se discute dos de los problemas mas comunes hoy dia en Internet como son : DNS Cache Poisoning y DNS Hijacking.

Proximamente se liberaran más documentos sobre RFCs relacionados al DNS, un Comparativo entre distintas implementaciones de DNS, DNSSEC y temas relacionados que puedan ser de utilidad para la comunidad universitaria y al publico en general.

Los documentos que actualmente se encuentran en el portal son:

* Introduccion al DNS
=====================

Divido en cutro partes, este documento describe el funcionamiento y los conceptos basicos del DNS. Este tutorial esta dirigido a las personas que deseen conocer como funciona el DNS y sus caracterìsticas principales.

* Ataque DNS Cache Poisoning
============================

En este articulo se describe el funcionamiento del ataque conocido como Cache Poisoning, el cual consiste en incluir registros falsos en el cache del DNS. Mediante la manipulacion del DNS, el intruso puede enviar al usuario a un sitio falso para obtener informacion sensible.

*Ataque DNS ID Hijacking.
==========================

Este tipo de ataque esta relacionado con vulnerabilidades en el protocolo del DNS, por lo cual ninguna implementación se ha visto ajena a este problema. Dada su carga tecnica, este es un documento que mediante ejemplos sencillos esquematiza su funcionamiento.

* Ataque DNS Spoofing
=====================

Este tipo de ataque, muy similar en esencia a los anteriores, busca engañar al cliente de DNS para consultar un sitio falso. Este tipo de ataque ha sido solucionado en muchas implementaciones, sin embargo, es importante conocer su funcionamiento.

El Departamento de Seguridad en Computo y el UNAM-CERT, a través del Proyecto de Seguridad en DNS, esta interesado en conocer sus comentarios y de esta forma obtener la retroalimentacion por parte de la comunidad de cómputo interesado en el trabajo actual y futuro; además de conocer la problemática en este tema que pueda ser cubierto en este espacio. »

El sitio puede ser accedido a través de la siguiente dirección:

http://www.seguridad.unam.mx/labsec/?det=50

Aparecen nuevas versiones del gusano Mytob a gran velocidad

Abril 06, 05 by admin

Mytob es un gusano basado en otro de su misma especie llamado MyDoom, y en estos últimas horas han surgido muchas nuevas versiones, pero muy similares entre si.

Basándose en las principales empresas de antivirus, han sido detectadas más de 20 versiones con diferentes nombres, pero todas basadas en la misma. Como cada versión únicamente presenta pequeñas modificaciones en algunos nombres de archivos y de las entradas de los registros, lo cual hace pensar que el autor del virus esta “creando” nuevas variantes para hacer trabajar a las compañías de antivirus. Y no es exagerado aventurar que la cantidad de Mytob nuevos seguirá creciendo.

El Mytob recurre al correo electrónico como método de propagación, y además, utiliza las funcionalidades de un troyano del tipo BOT para propagarse usando la vulnerabilidad LSASS (puerto 445).

Para más información, se encuentra disponible una descripción completa del gusano en EnciclopediaVirus.com.

El primer Mytob detectado fue el 26 de febrero pasado y hasta el 25 de marzo (cuando comenzó esta nueva oleada de la familia del gusano) sólo se habían detectado 7 ú 8 versiones del virus. Desde fines de marzo hasta la fecha ya llevan aparecidas más de 15 nuevas muestras.

El gusano está esparciéndose principalmente por Europa y dejando de lado a América Latina y España, pero igualmente no sería extraño que en pocos días los usuarios no afectados de este continente comiencen a recibir al virus.

Según Virus-Radar, el servicio de estadísticas en línea de NOD32, el gusano Win32/Mytob.S, el cual comenzó a circular el día de hoy, ya alcanzó la posición 13 con más de 1.600 muestras.

Siempre es importante que todos los usuarios tengan antivirus con su base de firmas actualizada y que además el antivirus tenga una Heurística capas de detectar a los virus antes de que la actualización del antivirus sea realizada.

Además, se recomienda a los usuarios no abrir archivos adjuntos sin estar completamente seguros de que fueron mandados por algún usuario conocido.

NOD32, producto antivirus de la empresa Eset, líder en el desarrollo y comercialización de soluciones de seguridad informática, protegió a todos sus usuarios contra éstas amenazas gracias a su poderosa Heurística Avanzada, la cual ha detectado todas las versiones del gusano, antes de que sea necesaria la actualización de firmas. De esta manera, los usuarios de NOD32 no tienen nada que temer ante las constantes nuevas apariciones de la familia del gusano.

Información proporcionada por ESET

Un ejemplo de ataque phising

Abril 06, 05 by admin

Ha aparecido hoy en Barrapunto una historia que muestra un caso real de cómo un atacante puede inducir a una víctima a caer en un caso de phising, con el agravante de actuación "mercenaria" por parte del atacante. Os dejo la historia:

« Hace unos días recibí un mensaje en el que me comentaban que si quería podía tener la posibilidad de obtener cualquier contraseña de Hotmail o Yahoo previo pago de 15 dólares americanos. Esta cantidad sólo se abonaba si se obtenía la contraseña solicitada. Como tenía curiosidad por saber cómo lo hacían, decidí investigar por mi cuenta. Esta es la historia de lo que había detrás de ese mensaje. Decidí abrir una cuenta en Yahoo! y seguidamente escribí al individuo un mensaje en el que le pedía por favor que me proporcionara la contraseña de la cuenta de mi novia , es decir la contraseña de la cuenta que yo acababa de abrir. Para evitar ataques sencillos puse a esa cuenta una contraseña difícil de averiguar, es decir, formada por letras mayúsculas, minúsculas, números y signos de puntuación.

Después de hacer un seguimiento de la mencionada cuenta recibo un email en ella en que se me dice que me han enviado una postal electrónica y que debo pulsar en un enlace para ver el contenido de la misma. Concretamente lo que recibí fue esto:

Date: 4 Apr 2005 01:57:23 -0000
To: xxxxxxxx@yahoo.es
Subject: ¡Has recibido una tarjeta en Gusanito.com!
From: "Gusanito.com"

¡Hola! Hay una tarjeta disponible en Gusanito.com de parte de Gusanito.com. Para verla, hacer click en el siguiente enlace:

http://gusanito.com/g/gusanito/retrieveCard.jsp?sCardCode=3AWEF458S45S1F4A8S46D5

Te recordamos que si eres Gusuario Premium tu tarjeta estará disponible en todo momento durante la vigencia de tu membresía; si no lo eres, estará disponible dos semanas a partir de la fecha en que la envíes. […]

————

Obviamente este mensaje sólo podía provenir de la persona que trataba de conseguir la contraseña. Aprovecho para aclarar que www.gusanito.com es un servicio legítimo de envío de tarjetas postales muy conocido en Latinoamérica por lo que no me extrañaría que alguien que lo conozca caiga de lleno en esta trampa.

Pero la sorpresa viene al hacer click en el enlace para recoger la tarjeta. Obviamente no apunta a www.gusanito.com sino a la página:

http: //xecsx.com/004d5e345634400d234/0212456gsder6 2sd2.php?212SSa11q2212sasa34Hgfgg=ewed55645ff45343 1223d33&a3dwe43ws099120=xxxxxxxx@yahoo.es&ws120a30 99dwe43=xxxxxxxx

(nótese que la URL está modificada pues he omitido la identificación de la cuenta que usé para desenmascarar el ataque)

y que curiosamente es una copia casi perfecta de la página de Yahoo en la que te dicen eso de:

¿Por qué me piden mi contraseña?
Para proteger la seguridad de tu cuenta, de vez en cuando pediremos que escribas tu contraseña. […] Únicamente puedes entrar en una cuenta por sesión. Si no eres "xxxxxxxx", ingresa con tu propia ID.

Claro, como esta solicitud de contraseña la suele hacer Yahoo en ciertas ocasiones, es normal que la persona caiga en la trampa e introduzca su contraseña, que obviamente será enviada a la persona que después pasará a cobrarme los 15 dólares por el servicio prestado.

Es de notar que este ataque está bien elaborado y, dadas sus características, no me parecería extraño que tuviera una efectividad cercana al 100% si no fuera por algunos detalles que considero que pasarían desapercibidos para el típico usuario de ordenadores.

Esto ha sido ya comunicado al departamento de Delitos Telemáticos de la Policía y a los servicios de correo electrónico gratuitos mencionados para que tomen cartas en el asunto.

Reciban un cordial saludo y tengan cuidado ahí fuera… »

La historia y comentarios al respecto se encuentran en: http://barrapunto.com/articles/05/04/06/0852239.shtml

Actualización en PHP: versión 5.0.4

Abril 01, 05 by admin

Nuestro lenguaje intérprete de programación favorito, PHP ( Hypertext Preprocessor, http://www.php.net/ ) acaba de sacar una nueva versión para su rama 5.x, en concreto la versión 5.0.4.

En esta nueva versión se corrigen recientes fallos de seguridad encontrados en las versiones 4.2.2, 4.3.9, 4.3.10 y 5.0.3 (otras versiones probablemente estén afectadas también). No se ha especificado el resultado de un ataque satisfactorio en algunos de estos fallos, en otros se ha comunicado que provocan una denegación de servicio (DoS) al causar un bucle infinito en la CPU.

Se recomienda actualizar a las versiones 4.3.11 o 5.0.4 (según la rama estable que se esté siguiendo): Descargas PHP

Más información:

The PHP Group:
http://www.php.net/release_4_3_11.php

iDEFENSE:
http://www.idefense.com/application/poi/display?id=222&type=vulnerabilities