Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Una de las incógnitas que nos han generado éstos últimos huracanes que han desolado parte de Estados Unidos, es en qué medida afectan a las infraestructuras y a los centros neurálgicos de datos que se encuentran en el lugar. A modo de curiosidad, os dejo un mensaje que hemos recibido de una de las empresas que operan en el lugar:

“We have received an email from our server hosts in Port Arthur, Texas.

They have told us that they have had no power since Hurricane Rita hit the area on Friday. The flooding around the area has not damaged any of the servers that they supply us so that means all our servers and data are ok.

They have an emergency generator that they use when they lose power. However this generator runs on gasoline and has ran out during the storm. They are currently trying to get a supply of gasoline from the only available working gas station in the area. They have said if they manage to get gasoline they will have the power back to the servers ASAP.

The worst case scenario is that they do not manage to get some gasoline and cannot get power back to the servers. They are estimating it could be up to 14 days until the power lines are repaired and stable.

We will keep you all updated on the situation with the servers.

We would like to thank you for your patience on this unfortunate matter.”

Básicamente, el mayor problema que ha tenido esta empresa de hosting es quedarse sin suministro eléctrico y sin el generador auxiliar, por lo que las máquinas estarán todas paradas, pero al menos no han sufrido daños. Éste es un caso muy particular, e imaginamos que afortunado ya que no ha habido pérdida de datos ni equipos, imaginamos que a otros centros de datos puede haberles afectado de otra forma.

¿Conoceis qué daños han sufrido otros centros de datos o empresas en sus centros neurálgicos por éstos huracanes?

El Viernes 30 de Septiembre de 2005 se celebrará en Madrid una nueva edición de las Conferencias de Seguridad ISSA / FIST. Con la colaboración de Escuela Superior de Negocios, el evento tendrá lugar en la Calle Moscatelar, 10-12. La asistencia a este evento es gratuita y sólo es necesario inscribirse. En la página de FIST también existe un enlace para la inscripción, pero dicho enlace está roto y no se encuentra la página.

Para aquellos que se encuentren en una zona más cercana a la ciudad de Barcelona, os recordamos que en el mes de Octubre de este mismo año tendrá lugar allí una nueva conferencia de ISSA / FIST.

El programa es el siguiente:

La gran mayoría de galerías implementadas en PHP soportan la opción EXIF (Exchangeable Image File). EXIF es una especificación internacional en la que se muestran una serie de datos en los archivos jpeg a modo de cabecera. Añadiendo código malicioso en la sección EXIF de un archivo jpeg permitirá a un usuario realizar un ataque de tipo cross site scripting, cuando algunas de las galerias vulnerables muestren el contenido de la imagen.

Sistemas vulnerábles:
 * Coppermine versión 1.3.3 y anteriores
 * Gallery versión 1.5.1-RC2 y anteriores
 * phpGraphy versión 0.9.9a y anteriores
 * YaPig versión 0.95 y anteriores

Prueba del concepto:
Para comprobar si un software está afectado, tan sólo debemos editar un archivo .jpg y reemplazando la sección EXIF por:
< script> alert (document.cookie) < /script>

Actualizaciones de distintos sistemas:

* Coppermine: Update to Coppermine pg1.3.4

* Gallery: Update to the final release of Gallery 1.5.1.

* phpGraphy: Update to version 0.9.10

Aviso original

Las entidades bancarias tienen un gran reto por delante ante la sofisticación y tecnología que utilizan los ciberdelincuentes, los cuales cada vez más atacan los sistemas de pago por tarjetas bancarias.

El Vicepresidente de prevención del fraude de Visa y el vicepresidente de seguridad de Mastercard han admitido recientemente que el sector financiero tendrá que gastar mucho dinero en seguridad para garantizar a sus clientes un estándar de seguridad (valga la redundancia).

El responsable de prevención de Visa aporta datos de las autoridades norteamericanas y manifiesta que el número de delitos relacionados con tarjetas de crédito/débito e Internet creció un 24 por ciento en el pasado año, y las pérdidas se triplicaron hasta alcanzar la cifra record de 2.400 millones de dólares.

Afirma también que están invirtiendo en este terreno, pero que los avances de seguridad tardarán en estar operativos y que la mayor preocupación está en las claves de acceso que últimamente son objeto de la mayoría de los ataques de phishing.

Por fin ha salido la nueva versión de Mozilla Firefox (1.0.7) que resuelve la vulnerabilidad provocada por el desbordamiento de búfer en la función  NormalizeIdn, para el procesamiento de una URL modificada. Este problema es debido a la forma en que Firefox  maneja los nombres de dominio internacionales que permite la utilización de caracteres ASCII, ejemplo “ñ”, en los nombres de dominio.

Soluciona también en la versión Linux, el problema ocasionado por una URL que pueda utilizarse para la ejecución de arbitraria de código.

Soluciona la regresión de una vulnerabilidad de la función Install-Trigger.get version() que daba un error de escritura.

La nueva versión que también incluye los parches de la anterior versión, corrige también el problema que surgía cuando el programa tenía una falta de respuesta cuando se carga un script del Proxy Auto-Config. con parámetro -eval-.

En esta nueva versión se requiere instalar en una configuración limpia para que funcione correctamente, para ello debeis desinstalar las versiones anteriores, o borrar los perfiles de usuarios. Y se aconseja que no se instale en  una versión anterior para evitar vulnerabilidades

Aún no ha salido la versión en español, pero esperamos que lo haga en pocos días.

El próximo Jueves 22 de Septiembre se inaugurará en Mallorca una nueva edición del Congreso de Seguridad informática NcN que cuenta este año con el patrocinio de Internet Security Auditors y el Govern Balear.

Este congreso, dirigido tanto a estudiantes como a representantes de las más prestigiosas empresas de seguridad informática de nuestro país, se celebrará, al igual que en pasadas ediciones, en el Parc Bit.

La duración de la NcN es de 4 días (Jueves - Domingo) y en ella se darán charlas sobre seguridad en Entornos Wifi, bluetooth,  técnicas forenses y  nuevas técnicas de  explotación de vulnerabilidades.

Data Execution Prevention (DEP) es una nueva opción de seguridad integrada en los sistemas Windows XP Sp2, Windows 2003 y Windows Vista que tiene como objetivo minimizar el impacto de gusanos y aplicaciones maliciosas en el sistema.

DEP no es una herramienta de seguridad preventiva dado que no monitoriza la instalación de aplicaciones en el sistema ni filtra conexiones no deseadas. Su funcionamiento se basa en verificar que las aplicaciones en ejecución no accedan a segmentos de memoria reservados para el sistema operativo u otras aplicaciones.

Para su funcionamiento, DEP utiliza facilidades ofrecidas por el procesador para marcar segmentos de memoria como “No Ejecutable”. Cualquier intento de acceso y ejecución del código almacenado en esta zona de memoria provocará que DEP finalice la ejecución de esa aplicación notificando al Administrador.

La presencia de un procesador que soporte DEP “non Execute page Protection” por Hardware (AMD Operton, Athlon 64NX,  Intel Itanium) Permitira activar la política de “Hardware Enforced” que aumentara el rendimiento del sistema y el control de excepciones. En caso contrario, sólo estara disponible la protección por Software.

Dentro de las protecciones ofrecidas, ya sea en modo nativo o mediante Software, DEP permite seleccionar qué aplicaciones se van a monitorizar. La opción básica es la monitorización de los servicios del sistema, pudiendo ayudar a evitar desbordamientos de buffer en los sistemas. Si se requiere un nivel mayor de seguridad, se puede monitorizar todo el sistema pero para ello se recomienda tener todos los drivers certificados por Microsoft. Debemos también verificar que nuestras aplicaciones son compatibles con DEP puesto que muchos controles de excepciones de aplicaciones comerciales pueden provocar que DEP detecte errores en ejecución y cierre la aplicación. En este caso podemos agregar la lista de aplicaciones que no funcionan plenamente con DEP en la lista de excepciones.

Mas información: Microsoft DEP

Según otro estudio de Symantec, el 0.8 % de los e-mails enviados en todo el mundo son intentos de phishing. 5´7 millones de ataques de phishing  al día durante los seis primeros meses del año, lo que supone un aumento del 100% con respecto al semestre anterior y se sitúa en 40 millones de ataques a la semana. (ayer ya os comentabamos el incremento de software malicioso en búsqueda de beneficios económicos)

El estudio de Symantec también revela otros datos de interés al manifestar que ha aumentado un 54 por ciento con respecto al semestre anterior el número de ataques para capturar información confidencial, y que los ataques se centran cada vez más hacia equipos de particulares.

Por países España se sitúa en tercer lugar, por detrás de Gran Bretaña y EEUU. Los códigos maliciosos son cada vez más sofisticados y es muy probable que a medida que aumenten los beneficios económicos aumenten los códigos maliciosos indetectables para utilizarlos en redes bot, con capacidad para desactivar antivirus, cortafuegos y otras medidas preventivas.

El que los ataques se dirijan cada vez más hacia el beneficio económico, lo corrobora el comité llamado Grupo de Trabajo contra el Phishing, quien ha afirmado que el sector financiero es el destinatario del 86 % de los ataques de phishing, y han aumentado las infecciones de virus que permiten la sustracción de claves y datos personales.

Esta organización ha dado un dato de interés:

“Entre los meses de junio y julio han descendido el número de fraudes llamados convencionales, pero han aumentado los ataques con código malicioso diseñado para robar información sensible o personal.

Asimismo los cyberdelincuentes han pasado a atacar a instituciones bancarias de menor tamaño, sabedores que las grandes instituciones financieras han adquirido experiencia a la hora de detectar y controlar los ataques

En estos últimos días hemos detectado un troyano que era enviado en un email con muy poco texto en el cuerpo del email, pero que adjuntaba un fichero.zip que solía llevar en el nombre del fichero la palabra “price”. Este troyano ha sido identificado como BagleDl-U, y ha sido enviado a millones de direcciones de correo electrónico de todo el mundo con la intención de desactivar programas antivirus y otros programas de seguridad.

El mensaje infectado, que no contiene asunto, incluye en sus primeras versiones un mensaje que anuncia un “nuevo precio” y un documento adjunto que puede llamarse de diversas maneras, tales como “”09_price.zip”, “price_new.zip”, o “price2.zip”. Sin embargo, el texto de los mensajes está cambiando continuamente con la intención de escapar a la detección de los filtros anti-spam.

El documento ZIP  adjunto contiene el troyano BagleDl-U. Una vez instalado, el troyano modifica el registro del sistema e intenta desactivar programas antivirus y otros programas de seguridad del ordenador infectado, dejando el camino libre a  ataques posteriores.

Este troyano está siendo distribuido en masa utilizando tecnologías propias del spam para propagar códigos maliciosos a todos los ordenadores posibles en poco tiempo, cualquier persona lo suficientemente desprevenida como para abrir este documento adjunto corre el riesgo de permitir el acceso de crackers a su ordenador con la intención de robar, espiar o causar cualquier otro tipo de estrago.

La actualización continua de los programas antivirus es fundamental. Una actualización regular del programa antivirus, combinado con políticas internas efectivas y una política estricta se seguridad en la pasarela de entrada reducen al mínimo riesgos como este.

Otra práctica sana es crear una política interna en cuanto al uso de recursos, como ya comentamos hace unos días con los mayores problemas del uso de Internet en el trabajo.

Más información sobre el troyano BagleDl-U. 

Esta es la pregunta que desde que apareció este navegador, muchas personas se han realizado. Realmente, con Firefox la sensación que suelen tener los usuarios respecto a  estructuración y seguridad parece ser mayor que con el navegador de Microsoft. Esto, unido a que Internet Explorer ha ido precedido siempre por la merecida fama de inseguro, parecían decantar la balanza hacia el navegador de Mozilla.

Pero si analizamos los datos fríamente, obtenemos unas cifras preocupantes en los últimos meses en cuanto a vulnerabilidades publicadas, que indican que Internet Explorer ha tenido un menor número de incidencias de seguridad de forma considerable, llegando a tener hasta 4 veces más avisos de seguridad:

En cuanto a exploits, obtenemos una desventaja de nuevo por parte de Firefox:

Parece evidente que en este aspecto, Mozilla Firefox tiene que ponerse al día, ya que son excesivos problemas de seguridad los que han aparecido para el navegador, el cual ya ha conseguido situarse en el segundo lugar en cuanto a cantidad de usuarios que lo usan.

¿Acabarán los problemas de seguridad en Firefox? ¿Hará esto que este navegador no llegue a imponerse a IE?