Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Los supuestos premios obtenidos en lotería que llegan por email, es un tipo de estafa muy difundido por Internet, y a pesar de que a priori parezca un engaño poco creíble, la verdad es que nos llegan muchos casos de gente (especialmente de Latinoamérica) que dudan e incluso tieden a pensar que realmente han obtenido un premio de lotería, incluso sin haber jugado. Es evidente que no se puede ganar en ninguna lotería sin jugar. No se debe confundir este tipo de estafas con los servicios de lotería online que ejercen una actividad totalmente legal, citamos por ejemplo a Hispaloto.

Parece que dentro de nuestra labor estamos consiguiendo al menos orientar para que no se caiga en estas estafas, siendo prueba de ello un texto remitido por uno de nuestros visitantes:

“Solo quería contarles que gracias a esta pagina desde Argentina  pude reconocer un intento de estafa de los señores Juan Willson de Lagos Nigeria, James Bulo y dr. Hillari  con cuentas en el Afribank de Nigeria y Australia los  cuales se hacen pasar por responsables de pagos de billetes de lotería de  Australia Lottery Lotto inc. ; que nunca fueron sorteados y no existen y para hacerse acreedor del premio te piden que les deposites una importante suma de dinero a ellos en concepto de gastos anticipados de transferencia. Cuidado que los delincuentes destruyen todo a su paso .. Gracias “

Ciertamente nos llegan una gran cantidad de emails de este tipo, desde una gran cantidad de loterías y países, y recomendamos a todos los usuarios que no crean este tipo de engaños.

El correo basura detectado en los meses de febrero a abril del presente año supone un incremento del 5 % con respecto al último trimestre del año 2.005  y se sitúa en el 62% de los correos, confirmando la tendencia alcista de los últimos años.

Este informe ha sido publicado por Ipswitch y muestra las categorías de spam más frecuentes en nuestros buzones de correo. La mayor publicidad no deseada la recibimos de temáticas de pornografía, con casi uno de cada cuatro correos recibidos. Le siguen las hipotecas, préstamos y en mayor medida los medicamentos y software ilegal entre otros.

En los últimos años la tendencia ha sido al alza y resulta imparable esta progresión y al mismo tiempo resultan inútiles todas las medidas puestas en marcha por empresas, fabricantes, e incluso por gobiernos.

Esta semana conocíamos la frustración de la empresa de seguridad Blue Security en sus intentos de acabar con el correo basura mediante un contraataque mediante el envío de correos masivos a los spammers.

Está compañía ha desarrollado sin éxito el programa Blue Frog que funcionaba detectando el emisor del “spam” y enviándole un correo de vuelta requiriéndole la eliminación de la lista de correo. En caso de no acceder procedía a enviar a los “spammers” peticiones de sus clientes al mismo tiempo.

En esta guerra sin cuartel, los “spammers” enviaron mensajes intimidatorios a los clientes de la empresa instándoles a abandonar la empresa. Asimismo la empresa recibió ataques de denegación de servicio que ha provocado la decisión de la compañía de echar marcha atrás en sus pretensiones  y evitar una guerra a gran escala que podría haber ocasionado incluso problemas en la red.

Las mayores compañías tecnológicas del mundo han luchado contra el spam desde 2003 con estrategias por separado y conjuntas e incluso con estrategias conjuntas con gobiernos como EEUU y Reino Unido.

De esta manera establecieron estándares técnicos para combatir la amenaza e intentar promover nuevas leyes que luchen más eficazmente contra los spammers. Sin embargo los obstáculos con los que se encuentran empresas y gobiernos es la descentralización en la actividad de los spammers que pueden actuar desde cualquier parte del mundo, bajo legislaciones diferentes, más o menos permisivas en algunos casos e inexistentes en otros, además de técnicas muy sofisticadas que ocultan la identidad de los infractores llegando incluso a ocultar su identidad y obteniendo el control de miles de equipos que realizan los ataques sin conocimiento de sus titulares.

Otras compañías como Lycos ya adoptaron medidas agresivas como la iniciada en 2004 con su programa “Make love not Spam” y que resultó ineficaz al ser victima de un spammer que redirigió los ataques hacia la propia página de Lycos y le ocasiono una caída durante varias horas.

Despues que un usuario publicara en la messageboard de mirc.com el ultimo bug de mIRC, este hilo fue modificado por Khaled notificando que no tiene bug o vulnerabilidad alguna ya que si un usuario baja un exploit, es el usuario quien compromete su sistema y no la aplicación vulnerable. Ante esto escribí un mensaje explicando que un exploit no tiene sentido ni es peligroso sin una aplicación vulnerable a la cual atacar, pero Khaled borró esta explicación y cerró el hilo.

Antiguamente mIRC era gratuito y Khaled corregía rapidamente sus fallos, ahora la aplicación es de pago y parece no reconocer los fallos en su programa, ¿puede corromper el dinero a los programadores?

Para más informacion:
http://www.securityfocus.com/archive/1/420000
http://trout.snt.utwente.nl/ubbthreads/showflat.php?Cat=0&Number=146129&an=0&page=0#146129

Desde que aparecieron PHP-Nuke, WordPress, Drupal … y otros gestores de contenidos para web, han sido constantes los agujeros de seguridad aparecidos para todos ellos, lo cual deja una puerta abierta a un ataque si no se actualizan a tiempo (siempre y cuando la actualización esté disponible, porque ocurre en ocaciones que tenemos un portal con un agujero de seguridad que no podemos solucionar mientras no lancen un parche apropiado, o lo corrijamos nosotros mismos revisando el código fuente).

Sin duda, estos gestores (o CMS) proporcionan una buena herramienta para construir un sitio rápidamente, con una buena base y una cierta organización, pero, ¿son éstos beneficios suficientemente importantes como para tener la posibilidad de constantes problemas de seguridad? ¿En qué punto es mejor un CMS prediseñado frente a un portal programado por un webmaster profesional?

Una de las incógnitas que nos han generado éstos últimos huracanes que han desolado parte de Estados Unidos, es en qué medida afectan a las infraestructuras y a los centros neurálgicos de datos que se encuentran en el lugar. A modo de curiosidad, os dejo un mensaje que hemos recibido de una de las empresas que operan en el lugar:

“We have received an email from our server hosts in Port Arthur, Texas.

They have told us that they have had no power since Hurricane Rita hit the area on Friday. The flooding around the area has not damaged any of the servers that they supply us so that means all our servers and data are ok.

They have an emergency generator that they use when they lose power. However this generator runs on gasoline and has ran out during the storm. They are currently trying to get a supply of gasoline from the only available working gas station in the area. They have said if they manage to get gasoline they will have the power back to the servers ASAP.

The worst case scenario is that they do not manage to get some gasoline and cannot get power back to the servers. They are estimating it could be up to 14 days until the power lines are repaired and stable.

We will keep you all updated on the situation with the servers.

We would like to thank you for your patience on this unfortunate matter.”

Básicamente, el mayor problema que ha tenido esta empresa de hosting es quedarse sin suministro eléctrico y sin el generador auxiliar, por lo que las máquinas estarán todas paradas, pero al menos no han sufrido daños. Éste es un caso muy particular, e imaginamos que afortunado ya que no ha habido pérdida de datos ni equipos, imaginamos que a otros centros de datos puede haberles afectado de otra forma.

¿Conoceis qué daños han sufrido otros centros de datos o empresas en sus centros neurálgicos por éstos huracanes?

Esta es la incógnita que en muchos lugares aparece, y que cada vez se decanta más hacia una respuesta negativa. Es de sobra conocido que para el sistema operativo de Microsoft aparecen nuevas vulnerabilidades constantemente. En teoría, con su Windows Update los usuarios deben sentirse tranquilos en cuanto a actualizaciones críticas que puedan afectarles.

Incluso hay muchos problemas de seguridad que son reportados por terceras compañías de seguridad y no son solucionados a tiempo, a veces ni siquiera son solucionados. Por poner un ejemplo, la primera quincena de Agosto fue reportado un advisory a Microsoft con un problema en IE 6.0 bajo Windows XP SP2 parcheado, que podría llegar a ser explotable por un atacante, comprometiendo a los usuarios, y que aún no ha tenido respuesta oficial por parte de Microsoft.

Como agravante, se tenía previsto lanzar una actualización de seguridad para este martes 13 de Septiembre, que finalmente ha sido cancelada. Todo esto supongo que genera cierta inseguridad a los usuarios del sistema operativo. ¿Qué opiniones teneis al respecto?

Os proponemos algo con lo que todos saldremos beneficiados: exponer qué software (aplicaciones, scripts, etc…) de seguridad usamos para crear un listado con todo este material y que pueda ser consultado cuando busquemos seguridad en un ámbito determinado.

Para ello, hemos creado una nueva sección denominada “Software de seguridad informática“, en la cual ya hemos puesto un primer ejemplo: ModSecurity. Podéis exponer el software que usais añadiendo un comentario a este artículo, y los iremos añadiendo al listado. Os pongo un ejemplo de cómo añadir uno con el ejemplo de ModSecurity:

• Software: ModSecurity
• URL: www.modsecurity.org
• S.O.: Windows, Linux, BSD… etc
• Tipo: Seguridad servidor web
• Licencia: GPL
• Descripción:

ModSecurity es una herramienta para la detección y prevención de intrusiones para aplicaciones web, lo que podríamos denominar como “firewall web”. Este motor funciona como módulo de Apache, incrementando la seguridad del servidor web frente a ataques de tipo tanto conocido como desconocido. Ayuda a evitar, entre otros tipos de ataque:

• Técnicas anti-evasión

• Supervisa código HTML y cookies

• Análisis de los contenidos pasados al servidor mediante el método POST

• Permite realizar completas auditorías de los POSTs realizados

• Soporta HTTPS

• Soporta contenidos comprimidos

• etc..

La instalación y configuración en Apache no resulta excesivamente complicada, para lo cual sólo es necesario instalarlo como módulo y activar unas ciertas reglas en el fichero de configuración httpd.conf, y puede ser usado con otros módulos (como Snort o mod_rewrite) para obtener una mayor funcionalidad.

Toda la información que faciliteis y una buena descripción ayudarán a realizar un mejor catálogo. Aceptamos también que referenciéis simplemente el software que useis (sin descripción ni otros datos), pero esto ralentizará la creación del listado. Os pedimos en la medida de lo posible que aporteis todos los datos que podais.

El software puede ser tanto libre como propietario, siendo especialmente valioso el software libre para que pueda ser usado sin restricciones. No importa para qué sistema operativo sea, ni que sea de sobra conocido: la idea es que el listado pueda ser consultado tanto por usuarios nóveles como expertos.

Agradecemos de antemano cualquier colaboración.

En Netcraft comentan que algunos bancos, tras muchos años en los cuales han mantenido sus portales por completo bajo cifrado SSL (el conocido HTTPS://), están comenzando a migrar las páginas públicas de sus portales (la portada, aviso legal, política de privacidad … y en general todas las páginas que están fuera del panel de control privado de cada usuario) hacia el protocolo de texto plano sin el uso de SSL.

Esta parece que es una política mucho más lógica que la típica situación en la que al escribir la url de nuestro banco automáticamente nos redirige hacia otra página cifrada, la cual los usuarios siempre reconocen por comenzar por https:// y mostrarnos el típico candado de seguridad en el navegador web.

Esta redirección hacia una página cifrada suele tener varios inconvenientes. El primero es que suele ser una url muy larga, y que tiende a confundir a los usuarios,  siendo además más dificil de recordar cualquier url. Por otro lado, de cara a los buscadores, puede afectar negativamente al posicionamiento y a la indexación de contenidos, no por estar la página cifrada, sino por la propia redirección que para los buscadores suele ser un tratamiento del flujo de la web un tanto brusco y que suelen penalizar.

Nosotros en la empresa tuvimos una experiencia relacionada con este tema en un portal que estabamos estructurando, ya que al enviarse datos privados, decidimos que cuando el usuario se conectara al portal, éste automáticamente le redirigiera hacia la zona segura. Gran error, en especial porque los buscadores banearon la página. Posteriormente usamos una política mucho más racional, y fue que el usuario sólo estuviera en páginas cifradas cuando enviara datos críticos o circulara por su panel de control. Incluso la página donde se rellenan los datos puede estar sin cifrar, siempre que cuando se envíen los datos se haga a una página que sí está cifrada.

Con esto además conseguimos una mayor agilidad de carga para el usuario, ya que los datos cifrados hacen que la carga sea más lenta por tener una mayor cantidad de datos que transmitir.

Recomendamos pues un uso mucho más racional de las páginas cifradas mediante un estudio para saber dónde es necesario, y dónde no lo es. Y vosotros, ¿aún continuais cifrando todas las páginas del portal?