30 junio, 2005

Noticias reseñadas por Sophos

Aunque sólo una de ellas esté traducida al castellano, merece la pena leer las noticias sobre seguridad que Sophos ha reseñado en los últimos días:

- Envío masivo de supuestas tarjetas postales que en realidad contienen troyanos.
- Sentencias de carcel a phishers bitánicos que estafaron casi 10 millones de euros.
- Un gusano utiliza para propagarse mensajes donde se afirma que la muerte de Juan Pablo II fue consecuencia de una conspiración.
- Australiano acusado de enviar ¡ 56 millones ! de mensajes de spam.

La única de las noticias traducida es, naturalmente, la tercera.

Windows XP Edición 'N'

El lanzamiento ha sido tan discreto que casi se me pasa, aunque un anuncio en prensa me ha alertado y ya he localizado la referencia. El caso es que Microsoft, en cumplimiento de lo dispuesto por la Comisión Europea ha lanzado la versión 'N' de Windows XP (tanto Professional como Home) que se caracteriza por no incorporar el reproductor Windows Media Player y cuya comercialización está restringida a Europa

Una de las cuestiones que se plantean ahora es la política que al respecto puedan llevar los OEM de cara a preinstalar una u otra versión de Windows XP.

En cualquier caso yo ya estoy descargando esta versión N para incorporarla al repositorio de software de la Universidad.

La información que Microsoft ofrece sobre esta nueva edición de Windows puede consultarse aquí.

29 junio, 2005

Actualización para Windows XP

Aunque no parece haber demasiada información (por el momento no tengo noticia de que se haya reseñado en ninguna parte) Microsoft publicó ayer una actualización para Windows XP que afecta al Instalador de paquetes para Windows.

Los detalles pueden consultarse aquí.

Actualizaciones de Adobe para Mac Os

Adobe ha publicado las versiones 7.0.2 para Aobe Reader y Adobe Acrobat para Mac OS, que corrigen una vulnerabilidad que podría permitir a atacantes remotos la ejecución de código arbitrario.

28 junio, 2005

Tímida alerta por nueva variante de Bagle

Algunos fabricantes (Sophos) o centros de recursos (VSAntivirus) se están haciendo eco de la difusión de una nueva variante de Bagle. No es previsible que llegue a difundirse demasiado y ademças tiene una característica que la delata, al infectar un equipo ejecuta MSPaint, lo que debería ser suficiente alerta para cualquier usuario.

Actualizaciones de Norman

Han sido dos en las últimas horas; la primera anoche con 3276 nuevas firmas y la segunda esta misma mañana con tan sólo tres, incluyendo una nueva variante de Mitglied, que supongo corresponderá a la Bagle que reseño en la siguiente nota.

27 junio, 2005

Los intentos de phishing parecen diversificarse

O al menos eso tengo que deducir de los mensajes que han ido llegando a mi buzón durante la última semana; al ya "clásico" de Cajamadrid (me ha llegado tres veces) tengo que unir una de Cajamar, dos eBay (estos en inglés) y uno más donde me anuncian que una supuesta transacción con cargo a mi tarjeta de crédito no ha sido autorizada.

Claro que este último resulta especialmente sospechoso, su título es "La traducción de la tarjeta de crédito fue declinada!" y ya me gustaría a mí que las tarjetas de crédito sirvieran para traducir, y ya de paso para declinar y conjugar correctamente!!

Vulnerabilidades en el Kernel de Linux 2.6.x

Según reseña Hispasec, se ha publicado una actualización del Kernel de Linux, que corrige dos vulnerabilidades detectadas en el núcleo de la rama 2.6. Dado que la posible explotación de ambas requería acceso local han sido catalogadas como de criticidad baja.

Vulnerabilidad en Real Player

VSAntivirus reseña el descubrimiento de una vulnerabilidad del tipo desbordamiento de memoria dinámica en el reproductor de archivos multimedia Real Player. Aunque no se ha notificado la propagación de Exploits que aprovechen el problema las actualizaciones correspondientes ya están en disponibles.

24 junio, 2005

Spoofing de cuadro de dialogo en múltiples navegadores

Ese es el título de la noticia que pubica VSAntivirus, en la que se explica como un sitio malicioso puede presentar ventanas de cuadro de diálogo, aparentemente pertenecientes a un sitio legítimo, en las que se solicite información delicada que iría a parar directamente a los estafadores.

El problema ha sido documentado (en inglés, por supuesto) por Secunia, que ha publicado un test en el que se puede comprobar como la mayor parte de los navegadores (incuidos Internet Explorer, Mozilla, Firefox, Safari y algunas versiones de Opera) son vulnerables a este intento de engaño.

Rota la protección de Windows Genuine Advantage

Según reseña Hispasec, un investigador hundú ha conseguido romper el sistema de protección de Windows Genuine Advantage.

WGA es un sistema desarrollado por Microsoft para permitir el acceso a sus descargas (excluidas las de seguridad) unicamente a quienes disponen de un sistema operativo legal y correctamente activado. Curiosamente Microsoft ho parece haberse alarmado excesivamente por ello, aparentemente contaban con que alguno de los intentos de reventar WGA tendría éxito, lo que hace sospechar que ya estaban trabajando en nuevas alternativas.

23 junio, 2005

Los riesgos de las redes P2P

Muchos usuarios son poco o nada conscientes de que el uso de las redes P2P de intercambio de archivos también entraña sus riesgos y que son un eficaz vector de propagación de cada vez más virus.

Quizá la noticia que publica hoy El Pais sirva a estos usuarios como llamada de atención.

Actualización de Norman

Tal como estaba previsto se acaba de de distribuir la actualización de Norman prevista para hoy, que además de diez nueva firmas incorpora la mejora de protección frente a los riesgos de los sistemas de mensajería instántanea y la posibilidad de utilizar Sandbox en el escaneo de acceso para usuarios y servicios remotos, amén de correcciones a otros pequeños problemas menos perceptibles para los usuarios.

22 junio, 2005

Microsoft advierte sobre "nuevas" técnicas de Phishing

Esta es la noticia que recoge hoy Enciclopedia Virus. Sin embargo la "novedad" es relativa, consultado el documento en Microsoft, se comprueba que no es sino una advertencia de que las ventanas emergentes pueden utilizarse en intentos de Phishing. Lo cierto es que ya en febrero al publicar la primera versión del documento sobre Phishing en nuestra Base de datos, reseñaba yo las investigaciones y pruebas de Secunia sobre secuestro de pop-ups, una ténica mucho más sofisticada que el apoyarse en el hecho de que las ventanas emergentes no suelan presentar ni barra de direcciones ni icono de identificación de página segura.

Detenido por cracker

Aunque no es la primera vez que sucede en España, es del tipo de noticias que siempre llaman la atención; El Pais informa hoy de la detención de individuo que se dedicaba a reventar las protecciones de programas de ingeniería para posteriormente publicar dichos cracks en Internet.

21 junio, 2005

Vulnerabilidad en Java Web Start y SUN JRE

Aunque la noticia me llegó desde Panda el jueves y desde Hisapsec el viernes, no había registrado la notificación de vulnerabilidades en Java Web Start y Sun Java Runtime Environment sobre distintas plataformas (Windows, Solaris y Linux).

¿Qué porqué la registro ahora? Porque he recordado que no sólo lo tengo instalado en una de nuestras aulas, sino que son muchos los servicios que las requieren (por poner un ejemplo, el correo electrónico en interfaz web que el Gobierno de Aragón proporciona a los alumnos de primaria).

Hackeadas 40 millones de tarjetas de crédito

La noticia ya se me había llegado a través de la televisión y ahora leo la reseña de Sophos. Esperemos que por atender a los riesgos del Phishing las entidades financieras no descuiden la seguridad de sus servidores !!

Actualización de Norman

Acaba de producirse una nueva actualización de Norman que incorpora 628 nuevas firmas. Por cierto que aunque se ha producido, notificado y reseñado en su web hoy dia 21, la información del Estado de la actualización recoge la fecha de ayer.

Nueva actualización de Netscape 8.0

Apenas un mes después de su lanzamiento ya van por la tercera versión. Vista la información que porporciona VSAntivirus, no puedo por menos que pensar que se han precipitado un tanto en el lanzamiento, ya que los problemas detectados tanto en esta como en la primera actualización deberían haber sido resueltos antes de poner el producto en circulación. O les ha fallado el proceso de beta test o han tenido demasiada prisa.

Vulnerabilidades en productos Adobe

En los últimos días he recibido noticia de diversas vulnerabilidades en productos de Adobe.

Por un lado Hispasec informa de problemas en Adobe Reader (anteriormente conocido como Acrobat Reader) cuya versión 7.0.2 ya está disponible para Windows y se espera que pronto lo esté para Mac OS.

Por otro DiarioTI.com reseña que Adobe ha informado de vulnerabilidades en Photoshop CS, Creative Suite 1.0 y Premier Pro 1.5 para Windows. En este caso la Universidad no dispone de licencias corporativas de estos productos.

20 junio, 2005

Denegación de servicio en SpamAssassin

Según reseña Hispasec, se ha detectado una vulnerabilidad en SpamAssassin, la herramienta de código libre para la identificación de mensajes de spam que usamos (entre otros muchos, calro) en la Universidad. Afortunadamente ya se dispone de una versión que no presenta este problema.

Actualización de Norman

El pasado viernes por la tarde Norman publicó una nueva actualización que no sólo incorpora 848 nuevas firmas, también introduce cambios en el motor de escaneo (aunque por el momento no tengo información sobre la naturaleza de los mismos).

17 junio, 2005

Madrid: Cinco detenidos por Phishing

Según informa el diario El Pais, la policia madrileña ha detenido a cinco personas acusadas de practicar estafas utilizando técnicas de Phishing.

El Reino Unido acosado por los piratas

¡Fu-Manchú revivido! pensarán los amantes de las teorías conspirativas al leer la noticia que reseña Sophos y que, teniendo por fuente el National Infrastructure Security Co-ordination Centre (NISCC) relata que en torno a 300 empresas y centros gubernamentales británicos están sufriendo el acoso de piratas informáticos con origen en el lejano oriente y que, mediante el uso de troyanos, están provocando importantes incidentes de seguridad que afectan a infraestructuras críticas del Reino Unido.

Aunque suelo ser muy cauteloso ante las noticias que hablan de maquievélicas conspiraciones lo cierto es que en este caso, vista la fuente de la información, si que le concedo un cierto crédito.

16 junio, 2005

Nueva versión de Norman

Norman ha anunciado que el próximo jueves dia 23 comenzará a distribuir la nueva versión de Norman Virus Control (la 5.81) que hasta ahora estaba en beta y que proporcionará análisis de mensajería instantánea a través del módulo Internet Protection y la posibilidad de utilizar Sandbox en el Esacaneo de acceso para Usuarios y servicios remotos.

Una nota sobre el número de versión; 5.81 se refiere al producto en sí (Norman Virus Control), algunos de los elementos, como el Motor de escaneo o Norman Program Manager ya se identifican con números de versión iguales o superiores.

Actualizaciones de Norman

Ayer miércoles se produjeron durante la tarde dos nuevas actualizaciones de Norman, la primera con 275 firmas de malware diverso y la segunda con una única firma, la de la ultimísima variante de Mytob, cuya familia mantiene Norman con la calificación de riesgo medio.

15 junio, 2005

El Phishing cabalga después de muerto

El hecho de que algunos (sino todos ellos) mensajes de Phishing provengan de máquinas infectadas, produce que, a pesar de que ya se hayan retirado de la red los servidores maliciosos a los que apuntan, los mensajes sigan llegando y provocando la consiguiente preocupación en los usuarios.

Hoy mismo he recibido uno de estos mensajes (en concreto el referido al Banco Popular) y he podido comprobar que el servidor al que apuntaba ya no está en la red. Esto puede acabar produciendo un nuevo tipo de consultas por parte de los usuarios, parecidas a las provocadas por los bulos (de las que por cierto ayer recibí una más).

Otras consulta sobre bulo

Hacía tiempo que no recibía ninguna, pero ayer mismo un usuario me preguntaba acerca de un mensaje de correo electrónico que había recibido en el que se anunciaba el típico aplocalíptico virus que, en esta ocasión, se difundía en mensajes de correo titulados "Ultimas de Atenas". Por supuesto se trata de un bulo que empieza a ser añejo; el supuesto gancho son noticias referidas a la Olimpiada del año pasado. Lo curioso es que ayer mismo se batió el record mundial masculino de los cien metros en lisos, por supuesto en Atenas.

Parches de Microsoft

Tal como estaba previsto ayer martes se publicaron los parches de Microsoft correspondientes al mes de junio que corresponden a los boletines del MS05-025 al MS05-034., además de a la nueva versión de la Herramienta Microsoft para la eliminación de software malicioso. Por supuesto no todos ellos son de aplicación a todas las instalaciones.

La sopresa ha venido cuando al ir a instalarlos (siempre lo hago de forma manual) Windows Update me ha señalado un nuevo parche, actualización del publicado en abril que correspondía al boletín MS05-019 sobre vulnerabilidades en TCP/IP (precisamente por esto hago las actualizaciones de forma manual).

La información proporcionada por Microsoft para los diez de junio está accesible aquí y la actualización del de abril aquí.

14 junio, 2005

Una empresa rusa paga a las paginas web por infectar a sus visitantes

Este es el sorprendente titular que se puede leer hoy en la sección de Tecnología de la edición electrónica de El Pais. Ciertamente no parece una inocentada, si se visita la página de la empresa en cuestión se puede leer como ofrecen pagos a sus asociados que incorporen código vírico (aunque claro, no lo denominan así) en sus páginas web, con el objeto de infectar a quienes las visiten.

Actualización de Norman

Ayer lunes por la tarde se produjo una nueva actualización de ficheros de firmas de Norman con 17 nuevos ejemplares, variantes de Mytob, troyanos y un nuevo rootkit.

Dirección para denuncias de Phishing

Multiples fuentes se hacen eco de que la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policia ha habilitado una dirección específica de correo electrónico para recoger las denuncias sobre Phishing.

La página de la BIT con las direcciones electrónicas para denuncias está accesible desde aquí.

13 junio, 2005

Actualizaciones de seguridad de Apple

El pasado día 8 Apple publicó actualizaciones de seguridad para sus sistemas Panther y Tiger, que están accesibles en su area de descargas. Desafortunadamente estas actualizaciones no resuelven el problema de acceso a servidores AppleTalk desde Tiger.

Parche para Macromedia

Macromedia ha publicado un parche que corrige una vulnerabilidad en variso de sus productos para Windows, que podría propiciar una escalada de privilegios. El correspondiente boletín de seguridad puede consultarse aquí.

Smitfraud: espía e infector de ficheros

Panda informa del descubrimiento de Smitfraud, un ejemplar de spyware que presenta la poco usual característica de ser capaz de infectar ficheros en los ordenadores a los que afecta.

El funcionamiento de Smitfraud es bastante maquiavélico; al infectar un ordenador instala una aplicación Antiespías, PSGuard, capaz de detectar el malware. Sin embargo para proceder a eliminarlo require que se formalice su registro, para lo cual solicita un pago. Una vez más se comprueba que el animo de lucro está detrás de buena parte de los modernos incidentes de seguridad.

Actualizaciones de Norman

Durante este fin de semana se han producido dos nuevas actualizaciones de Norman, una el sábado (de la que no hay lista de malware) y otra el domingo que incorporaba un anueva versión de Mytob.

10 junio, 2005

Detección de intrusiones y Visor de sucesos de Windows

En su noticia de hoy, Hispasec se hace eco de la publicación por parte de Microsoft de un documento publicado por Microsoft y titulado The Security Monitoring and Attack Detection Planning Guide.

La idea de fondo es utilizar los recursos de los sistemas locales para complementar los procedimientos de detección de intrusos basados en el análisis de tráfico de red, o expresado en siglas, compaginar HIDS y NIDS.

Previsión de parches de Microsoft

El martes que viene Microsoft publicará sus parches correspondientes al mes de junio y aunque en esta ocasión no he recibido (todavía) la comunicación previa, leo en Enciclopediavirus que serán diez, siete referidos a Windows (alguno de ellos Crítico), y sendos parches para Windows Services for UNIX, Exchange e ISA (Internet Security and Acceleration Server) y Small Business Server. estos últimos están catalogados como Moderados o Importantes.

Spam sobre suicidio de Michael Jackson descarga troyano

Según reseña Sophos, se ha detectado un envío de spam que, utilizando el gancho de un supuesto intento de suicidio del cantante Michael Jackson, incita a los receptores a seguir un enlace desde el cual se descarga el troyano Borobt.

No es la primera vez, ni será la última, en que para instalar un troyano se utilice la técnica del "dedo fácil".

Tímida alerta por Mytob

No es ni mucho menos generalizado, pero algunos fabricantes comienzan a a activar alertas por la familia Mytob. Así Norman, lo ha catalogado como riesgo medio y McAfee y Nod32, lo reseñan entre las amenazas más significativas.

Actualización de Norman

Adelantándose un poco a la fecha habitual de los viernes, Norman publicó ayer por la tarde su gran actualización semanal. En esta ocasión se han incorporado 3204 nuevas firmas.

09 junio, 2005

Variantes de Mytob utilizan técnicas de Phishing

Según reseña Sophos, se están detectando variantes del gusano Mytob que utilizan técnicas de Phishing para convencer a los receptores de los mensajes que generan de que accedan, a través de enlaces (obviamente falseados) a sitios desde los que se descargaría el gusano.

La nota puede consultarse aquí.

08 junio, 2005

El Pshishing amplía sus objetivos

Según informa hoy Enciclopediavirus el círculo de acción del phishing se está ampliando, a los ya habituales intentos de estafar a clientes de entidades bancarias o tiendas online se unen ahora como objetivo los clientes preferentes de la cadena hoteles Hilton.

Obviamente el riesgo de estafas masivas es en este caso bastante bajo, pero si la ampliación de objetivos continúa (líneas aereas, supermercados...) podemos acabar encontrando casi cualquier servicio a través d el que se efectúen transacciones económicas en el punto de mira de los estafadores.

Actualización de Norman

Ayer tarde se publicó una nueva actualización e Norman; un par de variantes de Mytob y 17 de un nuevo troyano: Hotworld.

07 junio, 2005

VGrep: Una metaenciclopedia sobre virus

Virus Bulletin, una organización dedicada a la recopilación de información sobre virus, tiene en marcha un proyecto, denominado VGrep, para integrar en una misma base de datos, la información que publican los diferentes fabricantes de antivirus.

El contar con un punto de consulta común y simultáneo puede ser muy útil a la hora de identificar malware. Eso sí, para acceder al servicio hay que registrarse.

Nuevo Scam: Ahora es un comerciante de cocos

Esta mañana he recibido un nuevo tipo de mensaje de scam o intento de estafa por correo electrónico.

Casi resulta divertido, pues lo que en el famoso scam nigeriano se refería al comercio de petroleo, en este caso se trata de un comerciante de cocos de Costa de Marfil, que, además intenta tocar la fibra sensible de los destinatarios del mensaje; el padre asesinado por sus socios, la madre muerta durante durante su infancia y la apelación a la ayuda por parte de un supuesto joven de tan sólo 22 años.

Ahora dudo si incorporar una mención a mí documento sobre el scam, en él ya reseño tres ejemplos y tampoco pretendo convertirlo en una "enciclopedia de la estafa".

Actualización de Norman

Ayer lunes por la tarde se publicó una nueva actualización de ficheros de firmas de Norman.

06 junio, 2005

Actualización de Norman

Este sábado Norman publicó una nueva actualización de su fichero de firmas para permitir la detección de dos nuevas variantes de Mytob. Sí, la avalancha continúa.

Actualización del Kernel de Red Hat

Según reseña Hispasec, Red Hat ha publicado paquetes actualizados del Kernel de sus versiones 7.3 y 9, para corregir vulnerabilidades que podrían permitir que se comprometiera la seguridad de estos sistemas.

Las descargas están disponibles en el sitio de Fedora Legacy, en:

http://www.fedoralegacy.org/download

03 junio, 2005

Avalancha de variantes de Mytob

Aunque por el momento no se han disparado grandes alertas (por lo que he podido ver apenas Panda ha estado algún tiempo en alerta naranja y Sophos ha reseñado el incremento de propagación) en las últimas horas 48 horas estamos asistiendo a la aparición de un buen número de variantes de Mytob, en lo que parece ser una estrategia previamente diseñada.

Así las cosas cabe plantearse si no deberáin modificarse el planteamiento de las alertas para reflejar estas inundaciones. Porque está claro que individualmente cada una de las variantes dificilmente logrará altos índices de propagación, pero en conjunto, la famila completa si puede constituir una amenaza lo suficientemente extendida como para justificar una alerta.

A la caza de zombies

Honeynet Project es una organización sin ánimo de lucro dedicada a la investigación avanzada sobre seguridad en internet. Entre sus objetivos se encuentran: incrementar la concienciación sobre los riesgos de seguridad, formar e informar y, por supuesto investigar y crear herramientas para afrontar las amenazas.

En su sección de documentación hay una buena cantidad de documentos interesantes, entre ellos Tracking Botnets, un muy interesante análisis sobre las redes de zombies. Desafortunadamente este es de los que no están traducidos al castellano, aunque si lo esté este otro de tan sugerente título: Conoce a tu enemigo: Redes trampa en universidades.

Actualización de Norman

***Corrección*** A última hora de la mañana se ha producido una nueva actualización; las variantes de Mytob siguen proliferando***

Se ha producido esta madrugada y sólo incorpora dos firmas de nuevas variantes de Mytob y Odiyan. Al parecer estamos asistiendo a una nueva inundación de versión de Mytob, además de a un repunte de Bagle-Mitglied.

02 junio, 2005

Beta de Norman

Norman anuncia la publicación de una beta de la que será su próxima versión, la 5.81, accesible aquí. Las novedades que se anuncian son soporte a sistemas de mensajería instántanea desde el módulo NIP (Norman Internet Protection) y posibilidad de utilizar Sandbox en el escaner de acceso para servicios y usuarios remotos.

Para descargar la beta hay que registrarse, y dada la hora y el hecho evidente de que *NO* pienso probarla en mi equipo de trabajo, la tarea quedará para mañana.

El troyano chantajista resultó ser débil

Según informa hoy Hispasec, el agoritmo de cifrado que utiliza el troyano PGPCoder (que reseñé aquí) es débil, de modo que es relativamente sencillo recuperar los ficheros secuestrados sin plegarse al chantaje. De hecho en Hispasec comentan que es muy probable que en los próximos días se disponga de herramientas para hacerlo de forma automática.

Actualización de Norman

***Corrección: Tres, ya son tres las actualizaciones de hoy (¡¡no hacía media hora desde que había reseñado la entrada!!) si la política de Norman cambia y las actualizaciones se hacen mucho más frecuentes tendré que limitarme a reseñar las más importantes (sea por cambios en el motor, en el número de ejemplares incorporados o en las alertas a que pudieran responder).***

Aunque sólo he recibido una notificación (probablemente han optado por ahorrarse un envío), durante esta mañana se han producido dos nuevas actualizaciones de Norman. Son pequeñas, 33 y 4 ejemplares respectivamente e incluyen una nueva variante de Bagle y varias de Mitglied. Este último según algunas fuentes (entre otras, el análisis detallado de Bagle que ya reseñé) ha de ser propiamente considerada como parte de la familia Bagle.

01 junio, 2005

Actualizo documento sobre Phishing

Acabo de actualizar mi pequeña descripción de phishing en la Base de documentación técnica. Esta accesible aquí.

Actualización de Norman

A última hora de la tarde de ayer Norman publicó una nueva actualización, 544 con una nutrida representación de phishing (Bancos), bots (Gaobot, SdBot)y droppers (SmallDrp, además de una colección de supuestas barras de ayuda a la navegación con Internet Explorer.

Actualización de QuickTime para Mac OSX

Según reseñaba Hispasec en su noticia de ayer, Apple ha publicado QuickTime 7.0.1 para Mac OSX incorporando una actualización de seguridad.


QuickTime 7.0.1 esta disponible en:

http://www.apple.com/quicktime/download/mac.html