Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Alejandro Corletti Estrada nos vuelve a enviar un nuevo documento. En esta ocasión, se trata de “Análisis de ISO-27001“, un interesante y necesario trabajo que puede ser considerado muy seriamente por el ámbito empresarial, pues es un estándar que se va a comenzar a imponer en un corto plazo de tiempo, siendo la continuidad natural del ISO-17799.

[…] “la sensación que deja el análisis de esta norma, es que se está gestando con toda rigurosidad este hecho, y que como cualquier otra certificación ISO, este estándar internacional ha sido desarrollado (por primera vez con relación a la seguridad, a juicio de este autor) con toda la fuerza y detalle que hacía falta para empezar a presionar al ámbito empresarial sobre su aplicación. Es decir, se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo, lo cual es lógico, pues si se desea interrelacionar sistemas de clientes, control de stock, facturación, pedidos, productos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informática, sino se abren brechas de seguridad entre sí…………este estándar apunta a poder exigir dichos niveles; y ya no puede caber duda que las empresas, para competir con sus productos (sean de la índole que fueren) en este mercado cibernético actual, tienen cada vez más necesidad de interrelacionar sus infraestructuras de información…..ISO-27001 en este sentido es una muy buena y sólida opción”  […]

El documento consta de 12 páginas y lo podéis encontrar como siempre en nuestra sección de Documentos de Seguridad. Agradecemos el envío a Alejandro.

Resulta cuando menos curioso, que tras el reciente y gravísimo problema de seguridad detectado en Internet Explorer, Microsoft no tome las medidas necesarias para proteger a los usuarios de su navegador (el cual va integrado en su sistema operativo, tan extendido), quedando clara y gravemente expuestos a ataques informáticos. Es más, han anunciado que hasta el día 11 de mes próximo no lo lanzarán, en su actualización mensual.

Por ello, terceras empresas, han tenido que crear un parche no oficial para ayudar a los usuarios a protegerse. Como por ejemplo Determina y eEye Network Security. Desde luego, no parece una política a seguir la de Microsoft en lo referente a la seguridad, es más, incluso indica a sus usuarios que no instalen parches de terceras empresas y que “esperen” al parche oficial, si es que les da tiempo y sus equipos no caen víctimas de las webs trampa que ya hay repartidas por Internet.

Ésta es la conclusión a la que ha llegado un estudio llevado a cabo por Coverity y Symantec, y finanaciado por EEUU. El estudio se denomina “The Nacional Strategy to Secure Cyberspace” en el cual se sometieron a examen 32 proyectos de Software Libre más empleados y 32 Software propietarios alternativos de los primeros.

Las diferencias de seguridad fueron concluyentes y determinaron que el Software Libre presentaba 0.4 errores por cada mil líneas de código frente a las 20-30 errores por cada mil líneas de código propietario.

Visto en La Flecha.

Ha sido descubierto un sitio web ruso que vende un kit de programas espía, llamado WebAttacker, por cerca de 15 euros. En este sitio web, cuyos autores se congratulan de ser  creadores de programas espía y adware, se pueden comprar kits de programas espía, y ofrece además soporte técnico a sus compradores.

En los kits se incluyen también consejos para simplificar la tarea de infectar ordenadores, de modo que el comprador sólo tenga que mandar mensajes de spam invitando a sus destinatarios a visitar una página web. Los ejemplos encontrados revelan mensajes de temas de interés periodístico que intentan captar la atención de las víctimas. Uno de ellos se presenta como una advertencia sobre el virus H5N1 de la gripe aviar, y contiene enlaces a un sitio web infectado, que se hace pasar por consejos para proteger “a usted y a su familia”. Otros mensajes afirman que Slobodan Milosevic fue asesinado e invita a los destinatarios a visitar el sitio web para obtener más información. Estos sitios web descargan código malicioso en los ordenadores de las víctimas aprovechándose de los navegadores web y de las vulnerabilidades del sistema operativo (recordemos el reciente bug crítico para IE)

Este tipo de comportamiento incita a los que son meros aficionados informáticos a la ilegalidad. Al simplificar las tareas del crimen por tan sólo 15 euros, este tipo de sitios web van a atraer a muchos oportunistas que no son precisamente unos genios informáticos y los van a convertir en cibercriminales.

El código JavaScript de los sitios web infectados detecta la versión del navegador web y el sistema operativo del equipo de las víctimas, incluyendo los parches instalados, y lanza así el ataque más apropiado para cada ordenador. A través de este ataque se descarga un programa que intenta desactivar el cortafuegos e instala un programa malicioso, generalmente un programa que roba contraseñas, un capturador de pulsaciones del teclado o troyanos de bancas on-line. Hace unos días comentábamos cómo cada vez es más frecuente que los ataques a equipos persigan fines económicos.

A medida que se generalizan los ataques por Internet, vamos a ver aparecer cada vez más y más tipos de sitios web como éstos. Hay mucha gente que quiere sacar provecho de este mercado sumergido de los cibercriminales, y aparecerán otras páginas que propongan kits, bases de datos o direcciones de correo electrónico, así como troyanos o programas espía. Mientras circule el dinero en este negocio seguirá habiendo gente interesada en él.

Microsoft ha reconocido una vulnerabilidad muy crítica en Internet Explorer que fue reportada recientemente por el equipo de seguridad de Secunia. El problema está producido en la llamada al método “createTextRange()”. Como es habitual en este tipo de vulnerabilidades, para aprovecharla un atacante podría generar una página web especialmente modificada que conseguiría la ejecución arbitraria de código en el equipo de la víctima. Afecta a todas las versiones actuales del navegador, incluyendo la beta de Internet Explorer 7 y todas las versiones estables de IE 6 (incluso en SP2).

El instituto SANS ha lanzado un código “proof of concept”, a partir del cual se puede obtener un exploit. Además, aún no ha sido corregido de forma oficial por Microsoft, por lo que todos los usuarios de IE están peligrosamente expuestos a nuevos ataques. Como solución provisional, se recomienda desactivar la opción de “Active Scripting” en la configuración del navegador, o usar otro navegador.

El parecido de los dispositivos móviles con las computadoras, es cada vez más sorprendente, y los nuevos dispositivos móviles con sistema binario, son una realidad. Microsoft no podía quedarse atrás en este sentido, y ha sacado su nuevo Windows de bolsillo, conocido como Windows Mobile 5.0. Este sistema operativo para celulares incluye un Office Mobile, Windows Media Player Mobile, opciones para fotografías y videos, un Internet Explorer Mobile y Pocket MSN, que viene siendo un MSN Messenger para celular. Windows Mobile 5.0 nos permite estar conectados con el PC gracias a Microsoft Exchange Server 2003 SP2, que vendría siendo algo así como el escritorio remoto. Ni que decir que ahora, podremos llevar Windows con nosotros a todos lados mediante nuestros dispositivos portátiles. Pero no todo son funcionalidades, al igual que ocurre con las computadoras, el avance de este sistema opertativo para dispositivos portátiles significa también programas antivirus, antispyware, y otras herramientas necesarias para la seguridad que ya están disponibles también y diversidad de programas como si de un PC se tratara.

Nota: En los foros de Shell Security ha sido añadido una sección para seguridad en dispositivos móviles.

Como si no fuera suficiente tener que lidiar con los virus para computadoras, ahora tendremos que lidiar con los virus para teléfonos móviles. Antes los virus eran solamente para computadoras, pero con el avance tecnológico de los avances que los asemeja bastante a las computadoras, se han propagado virus a través de teléfonos móviles. El primer ataque de un virus a celular ocurrió en junio de 2004 (anteriormente en Shell Security ya se comentó la aparición de otros virus como SymbOS/Cardtrap) y se espera que para que para este año, el índice ascienda a 700 infecciones, sin mencionar la variedad de virus que se propagaran, así como malwares y spywares, que esto significara tomar medidas para evitar infecciones. Los virus para teléfonos móviles difieren  poco de los virus de PC, pero esto significara un problema serio en un futuro no muy lejano. Hasta ahora, lo que han hecho los actuales virus son poco dañinos, como la descarga rápida de las baterías al intentar propagarse a otros teléfonos móviles mediante el bluethoot o el infrarrojos, pero no dudemos de que puedan también propagarse mediante SMS o MMS.

Afortunadamente, ya hay antivirus disponibles para teléfonos móviles, lo cual significaría gastos extras para usuarios de móviles modernos. Pero igual, hay también virus para móviles no tan modernos, como un virus que sea capaz de ejecutar programas basados en J2ME (Java 2 Mobile Edition). El principal problema al que se han enfrentado los actuales virus para celulares es la variedad de sistemas operativos para teléfonos móviles, tanto para los más modernos, como lo nos tan modernos, pero con la implementación del J2ME, se ve reducido ligeramente ese problema de propagación que tienen los virus.

Fuentes: Consumer, PcActual

Macromedia ha anunciado dos vulnerabilidades críticas que afectan a Flash Player. Una animación en Flash especialmente modificada por un usuario malintencionado puede permitir la ejecución remota de código de forma arbitraria en el equipo del usuario afectado. Una vez modificada se puede cargar automáticamente cuando el usuario visita un sitio web. 

La empresa propietaria Abobe (la cual adquirió Macromedia) recomienda a los usuarios que tengan instalado Flash Player 8,0,22,0 y versiones anteriores, así como otras versiones de productos relacionados, que realicen actualizaciones a la nueva versión 8,0,24,0

Macromedia ha relacionado su software que presenta tal vulnerabilidad:

Flash Player 8,0,22,0 y versiones anteriores.
Flex 1.5
Shockwave Player versión 10,1,0,11, y versiones anteriores.
Flash Debug Player versiones 7,0,14,0 y anteriores.
Breeze Meeting Add-In 5,1 y versiones anteriores.

Y las versiones actualizadas a las que se debe actualizar los sistemas:

Flash Player 8,0,24,0
Shockwave Player versión 10,1,1
Flash Debug Player versiones 7,0,63,0
Breeze Meeting Add-In 7,0,55,331 (Win)
Breeze Meeting Add-In 7,0,55,118 (Mac)

Para ver la versión instalada, se puede acceder a las siguientes URLs:

http://www.macromedia.com/software/flash/about/
http://www.macromedia.com/shockwave/welcome/

Los sistemas de identificación por radiofrecuencia (lo que conocemos como el famoso RFID), además se usarse para distintos métodos de identificación personal, son un nuevo método de identificación de productos, que está compuesto por un lector, una antena y una etiqueta de radiofrecuencia. Este sistema es muy utilizado por los agentes de la cadena de suministros para reducir costes de identificación de existencias. Este sistema está llamado a ser el sustituto del código de barras.

Sin embargo la privacidad de estos sistemas está en entredicho ya que está tecnología no se desactiva una vez adquirido el producto por el cliente y permite que el control del producto continúe aunque haya concluido la cadena de fabricación y distribución.

Otro y no menos importante problema que presenta está tecnología es la aparición de nuevos ataques en forma de virus especializados para este software.

Las etiquetas reaccionan al ser expuestas a una señal de radiofrecuencia y devuelven un pequeño código numérico. Un atacante malintencionado puede modificar este código y producir fallos en el sistema que podrían llegar incluso a la inutilización completa del sistema.

En realidad el fallo en el sistema se produce en el lector del código que puede malinterpretar los datos captados en la etiqueta. Así pues vemos otro claro punto negativo para el uso de RFID, bien sea para la identificación de personas, o de productos, como en este caso.

Es curioso lo de este troyano. Al más puro estilo de un secuestro, encripta documentos y pide un rescate por ellos. El troyano Zippo-A  (también conocido como CryZip) busca archivos tales como documentos Word, bases de datos u hojas de cálculo en los ordenadores de sus víctimas, y los transforma en archivos comprimidos con contraseña. A continuación, el troyano solicitará el pago de 300 dólares a través de una cuenta eGold a cambio de los archivos encriptados.

El troyano Zippo actúa como si secuestrase los documentos del usuario y pidiera un rescate para su liberación. Las empresas que hayan hecho copias  de seguridad no tendrán ningún problema para recuperar sus datos, pero aquellos que hayan sido menos cuidadosos tendrán el dilema de si deben o no pagar el rescate. La época en que los programas maliciosos eran obra de adolescentes que querían impresionar a sus amigos parece ya muy lejana. Hoy en día la mayoría de virus y troyanos tienen un trasfondo económico. Además, los ataques se han vuelto más organizados y sutiles, lo que aumenta la necesidad de proteger adecuadamente los ordenadores.

Al parecer el troyano oculta la contraseña en: C:Program FilesMicrosoft Visual StudioVC98. Una vez conocida la contraseña no hay necesidad alguna de pagar el rescate.

Desconocemos si dicha contraseña está en texto plano, pero de ser así el remedio contra este troyano es bastante sencillo para cualquier usuario medio.