Se ha publicado una nueva versión de Wireshark puesto que en las anteriores se han encontrado múltiples vulnerabilidades que podrían ser explotadas por un atacante remoto, por medio de una serie de paquetes especialmente manipulados,… Actualización de seguridad para Wireshark
El movimiento de Hacking ya tiene sun lugar desde el cual se puede conocer la historia de los grupos y personas que han echo historia en los sistemas de Seguridad, destacando !Hispahack, La Vieja Guardia,… Hack Story: Historia de un movimiento
El conocido laboratorio Kaskersky Lab ha publicado (en ingles) un articulo para saber si nuestros ordenadores pertenecen a la red Zombie de mas de 1.000.000 ordenadores que estan infectados sin saberlo, siguiendo el manual podemos desinfectar nuestro sistema:
Instructions prepared by: Vitaly Kamluk, Kaspersky Lab Instrucciones preparado por: Vitaly Kamluk, Kaspersky Lab
Date: 06.08.2008 Fecha: 06.08.2008
MD5 of analyzed sample: 9e2ef49e84bc16c95b8fe21f4c0fe41e MD5 de la muestra analizada: 9e2ef49e84bc16c95b8fe21f4c0fe41e
Kaspersky Anti-Virus has been able to detect malware which supports the Shadow botnet since 30th of January 2008. Kaspersky Anti-Virus ha sido capaz de detectar malware que apoya la Sombra botnet desde el 30 de enero de 2008. Detection names may vary from version to version. Detección de nombres pueden variar de versión a versión. The malware is detected under the following names: El programa malicioso se detecta con los siguientes nombres:
The current sample was detected on 6th August 2008 as Trojan.Win32.DNSChanger.gvb La actual muestra se detectó el 6 de Agosto 2008 como Trojan.Win32.DNSChanger.gvb
As the bot doesn’t copy its body to the system, the name of the malicious file can vary. A medida que el robot no copiar su cuerpo al sistema, el nombre del archivo malicioso puede variar. The name of the malicious file depends on the installer used to infect the system with the bot. El nombre del fichero dañino depende de que el instalador utilizado para infectar el sistema con el bot. However, it is possible to detect the presence of the bot by checking the system registry. Sin embargo, es posible detectar la presencia del bot de control el registro del sistema.
Users can check the system registry by running regedit.exe and checking the following registry value: Los usuarios pueden comprobar el registro del sistema ejecutando regedit.exe y comprobar la siguiente valor del registro:
HKEY_CLASSES_ROOT\.htc\Content Type HKEY_CLASSES_ROOT \. HTC \ Tipo de Contenido
System administrators of large networks can do this remotely using the reg.exe command as shown below: Los administradores de sistemas de grandes redes puede hacer esto forma remota utilizando el comando reg.exe como se indica a continuación:
The default system registry value (checked on Windows XP Pro SP2) for HKEY_CLASSES_ROOT\.htc\Content Type is “text/x-component”. El sistema por defecto el valor de registro (comprobado en Windows XP Pro SP2) para HKEY_CLASSES_ROOT \. HTC \ tipo de contenido es «text / x-componente». If there is a different value such as “{space}” in the registry, this may mean the machine is infected with Shadow bot malware. Si hay un valor diferente, como «espacio ()» en el registro, esto puede significar que la máquina está infectada con malware Shadow bot.
si quieres meterle mano a tu PDA con esta utlidad podreis editar mas de 200 parametros del Microsoft Windows Mobile 6.x el creador es Julien Schapman y las utilidades que nos ofrece son: TouchXperience Advanced… Sacale jugo a tu Windows Mobile 6.0
Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo OS X que solventa un total de 17 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto para falsificar la resolución de dominios, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario en un sistema vulnerable.
Dentro del paquete Security Update 2008-005 se incluyen parches para los siguientes componentes: Open Scripting Architecture, CarbonCore, CoreGraphics, Data Detectors Engine, Disk Utility, OpenLDAP, OpenSSL, PHP, QuickLook, Rsync y también para la vulnerabilidad de falsificación de DNS en BIND.
Detalles sobre la macroactualización de seguridad para Apple Mac OS X
Breve resumen de las novedades producidas durante el mes de julio de
2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.
1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED Y LA CÁTEDRA UPM APPLUS+
* ¿ISO 20000 o ISO 27000? (Alejandro Corletti, artículo pdf, 3 páginas,
España)
http://www.criptored.upm.es/guiateoria/gt_m292o.htm
* Métricas de Seguridad, Indicadores y Cuadro de Mando (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292p.htm
* ISO–27001 ¿y las AA.PP.? (Alejandro Corletti, artículo pdf, 3 páginas,
España)
http://www.criptored.upm.es/guiateoria/gt_m292q.htm
* UNE–ISO/IEC 27001:2005 y LOPD (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292r.htm
* ISO/IEC 27001:2005 y LOPD II (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292s.htm
* Vídeo Seminario CAPSDESI Mayores y Acceso Seguro a la Sociedad de la Información (Cátedra UPM Applus+, 250 minutos, España) http://www.criptored.upm.es/paginas/docencia.htm#catedraSEMASSI
* 321 documentos para su libre descarga http://www.criptored.upm.es/paginas/docencia.htm#gteoria
2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES
* Informe de la Red de Sensores de INTECO del Mes de Junio de 2008
(España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200806.pdf
* Métricas de Inseguridad de la Información (Jeimy Cano, Colombia)
* Errores, Fallas y Vulnerabilidades: Reflexiones sobre la Inseguridad en las Aplicaciones (Jeimy Cano, Colombia)
Nuevos contenidos en la Red Temática CriptoRed (julio de 2008)
Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque útiles y necesarios) no se han matizado ni completado correctamente con el tiempo. Son consejos de hace años, que no se han adaptado a una industria (la del malware) que avanza mucho más rápido de lo que podamos imaginar. Vamos a ofrecer algunos consejos útiles contra el malware…
de hoy.
Administrador no, gracias
El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un «administrador»
está precisamente para «administrar», y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por fin la creación de un usuario distinto al administrador para el uso del sistema. Un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores, y por tanto fuese tan poderoso como él.
A nadie que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como «root» o súperusuario. En Windows, lo extraño es precisamente lo contrario, trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar… puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina.
En Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.
Aunque se presente aquí como panacea, no lo es. Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos… Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos.
Se han encontrado dos vulnerabilidades en Asterisk, ambas calificadas como críticas, que podrían permitir a un atacante local o remoto causar una denegación de servicio en los sistemas vulnerables.
Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes
características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
A continuación se explican con más detalle las vulnerabilidades encontradas y corregidas:
* Por medio del envío masivo de peticiones POKE a un sistema vulnerable, un atacante podría acaparar todos los números de llamada (líneas) asociados con el protocolo IAX2, impidiendo el procesamiento del resto de llamadas o peticiones, provocando una denegación de servicio. El fallo está causado porque, de acuerdo con el protocolo IAX2, una vez que el servidor recibe una petición de POKE, este mandaría una respuesta PONG y se quedaría esperando por un paquete ACK con el mismo número de llamada, manteniendo ocupada esa línea. El problema ha sido solucionado usando única y exclusivamente el número de llamada 1 (línea 1) para las peticiones POKE y descartando los paquetes ACK para dicha línea.
En un movimiento cuando menos curioso, Firefox 3 bajo Windows se aprovecha de una de las mejores (y a la vez más desconocidas) funcionalidades de Internet Explorer: las zonas de seguridad. De hecho, Firefox 3 se aplicará a sí mismo una opción de la configuración de las zonas de seguridad de Internet Explorer, de forma que si no se confía en un dominio para descargar ejecutables en el navegador de Microsoft, Firefox 3 tampoco permitirá la descarga.
Internet Explorer permite clasificar las páginas (los dominios) en distintas zonas. Las zonas son una clasificación lógica que hace el navegador de las distintas páginas que se visitan. A cada zona (que se puede ver como un conjunto de dominios) se le permiten ciertas licencias sobre el sistema, o ejecución de cierto tipo de código del lado del cliente según la zona donde quede adjudicado cada dominio. Esto permite clasificar de forma eficiente las zonas confiables o peligrosas y ejercer cierto control sobre el sistema según los escenarios a los que nos enfrentemos. Así, se puede limitar la ejecución de ActiveX a un cierto número de páginas confiables, permitirlo en todas menos en una lista conocida, permitir la descarga sólo desde ciertos dominios…
Las zonas de Internet Explorer son una herramienta injustificadamente ignorada en general por los usuarios… pero no por Firefox 3.
Firefox 3 aprovecha una opción de seguridad de Internet Explorer
Dentro del conjunto de boletines de seguridad de junio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se encuentra el anuncio (en el boletín MS08-039) de una actualización para Exchange Server que solventa dos vulnerabilidades que podrían ser aprovechadas por un atacante remoto para realizar ataques de cross-site scripting.
* La primera vulnerabilidad está causada porque Outlook Web Access (OWA) para Exchange Server no valida de forma suficiente los campos del email al abrirlo en una sesión individual de OWA. Esto podría ser explotado por un atacante remoto para acceder a los datos de la sesión individual del cliente de OWA, permitiendo una escalada de privilegios.
Cross-Site Scripting a través de Outlook Web Access en Exchange Server
Dentro del conjunto de boletines de seguridad de junio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se encuenta el anuncio (en el boletín MS08-040) de una actualización para Microsoft SQL Server que solventa cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para escalar privilegios y ejecutar código arbitrario.
Breve resumen de las novedades producidas durante el mes de junio de
2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.
1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED Y LA CÁTEDRA UPM APPLUS+
* Actualización Artículo Proceso Implementación Infraestructura de Clave Pública (María Paula Espinoza, artículo pdf, 15 páginas, Ecuador) http://www.criptored.upm.es/guiateoria/gt_m538b.htm
* ISO 27001 y las PyMEs (Alejandro Corletti, artículo pdf, 6 páginas,
España)
http://www.criptored.upm.es/guiateoria/gt_m292k.htm
* El nicho de mercado principal de ISO-27001 son las PyMEs (Alejandro Corletti, artículo pdf, 2 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292l.htm
* Metodología de implantación y certificación en las PyMEs (Alejandro Corletti, artículo pdf, 5 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292m.htm
* Problemática, ventajas y desventajas de ISO-27001 en PyMEs (Alejandro Corletti, artículo pdf, 5 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292n.htm
* Análisis forense de dispositivos móviles con Symbian OS (Rodrigo Hernández, Carlos Agualimpia, Coord. Jeimy Cano, artículo pdf, 6 páginas, Colombia) http://www.criptored.upm.es/guiateoria/gt_m142e1.htm
* 316 documentos para su libre descarga http://www.criptored.upm.es/paginas/docencia.htm#gteoria