Phishing y ofuscación de URLs

Una de las técnicas utilizadas por los phishers ofuscar las URLs de las direcciones que animan a visitar para hacer creer a los usuarios que se encuentran en sitios legítimos.

Esta entrada del blog de S21sec comenta estas técnicas.

Zero-day en Firefox

Unaaldía informa de la sorpresiva publicación de una prueba de concepto que expone la explotación de una vulnerabilidad en Firefox 3 que causaría la denegación del servicio y que al parecer podría manipularse para permitir también la ejecución remota de código.

El problema afectaría a todas las versiones de Firefox, y esto es lo llamativo, sobre cualquier sistema operativo.

La actualización, que quizá alcance también a Thunderbird, está prevista para la próxima semana.

Panda USB Vaccine, protegiendo las memorias

Leo en Websecurity.es que se ha publicado Panda USB Vaccine una herramienta gratuita para la protección (que no desinfección) de los dispositivos de almacenamiento USB.

Ya la estoy descargando (está disponible aquí), aunque para recomendarla primero habrá que probarla... y leerse el acuerdo de licencia; desde la página el enlace falla.

Troyano también para Mac

Leo en el blog de Graham Cluley (Sophos) la noticia del descubrimiento de un troyano que afecta también a Mac OSX.

El tal OSX/RSPlug-F no tiene nada de particular, el típico troyano que intenta valerse de la ingeniería social haciéndose pasar por un software para Televisión en Alta Definición.

Lo novedoso es el vídeo, no recuerdo otro en el que se ilustrara la acción de malware sobre Mac.

Actualización de Java

Secunia informa de la publicación de una actualización para Sun Java a fin de solventar múltiples vulnerabilidades que podrían provocar el traspaso de las barreras de seguridad, causar la denegación de servicio o comprometer los sistemas vulnerables.

Guía para la impresión segura de documentos

INTECO ha traducido al castellano una Guía para la impresión segura de documentos, elaborada por ENISA, la Agencia Europea de Seguridad de las Redes y de la Información.

Está disponible para su descarga en su sección de Estudios e Informes

Conficker: Alerta para el 1 de abril

La alerta sobre la activación de las nuevas características de Conficker se está propagando con rapidez, y eso que no parece saberse a ciencia cierta cuales van a ser las consecuencias. O al menos eso se deduce de noticias como esta de PcWorld.es.

Dudo sobre si publicar una alerta en nuestra web.

Una botnet de routers

Lo cuentan en Unaaldía, psyb0t es una botnet que se aloja en routers ADSL que utilizan procesadores MIPS y Linux como sistema operativo y que ha sido utilizada para atacar a DroneBL, un servicio de gratuíto de publicación de listas negras de IPs.

Mucho me temo que acabar con esta botnet va a ser muy costoso.

Vulnerabilidades en Lotus Notes

Secunia reseña una vulnerabilidad en Lotus Notes 7.x y 8., que podría permitir comprometer sistemas vulnerables.

Esto de las vulnerabilidades de Notes es un tema en el que vamos a tener que ponernos las pilas.

Ranking de antivirus

A raíz de lo que reseñaba en la entrada anterior veo que el ISC tiene en buena consideración a SRI, una organización de la que no tenía demasiadas referencias y de la que sigo su ranking de antivirus.

Parece que los productos que utilizamos en la Universidad de Zaragoza salen bastante bien parados.

Recursos sobre Conficker

Parece que este malware sigue dando mucha guerra, de modo que en el ISC han publicado una relación de recursos. Hay un poco de todo, instrucciones para la eliminación manual, herramientas de desinfección (aunque falta esta de Norman), artículos...

Beta pública del nuevo Norman

Ya está disponible y ya la he instalado en el ultraportátil para ir probándola.

El problema es que está diseñada para grandes organizaciones y mucho me temo que no consigamos aprovechar todas las posibilidades por la incapacidad de esta universidad para ponerse al día y dotarse de una red de Windows decente.

Internet Explorer 8, esta tarde

Microsoft ha anunciado que estar a las 18:00 (hora española) estará disponible la versión definitiva de Internet Explorer 8.

¿Se caerán sus servidores por de la demanda de descargas?

Lo único que se es que si lo hacen Microsoft lo atribuirá a la demanda y sus detractores asegurarán que los dimensionaron deliberadamente a la baja. Y si no, los unos alardearán de su capacidad e infraestructura y los otros dirán que no ha interesado a nadie.

En cualquier caso lo más divertido es que en la página aparezca una imagen de la Wikipedia, con Isaac Newton, nada menos.

Malware y geolocalización

Una nueva vuelta de tuerca a los procedimientos de distribución de malware por ingeniería social con mensajes alarmistas; utilizar la geolocalización para anunciar que la supuesta bomba, accidente o terremoto ha sucedido en las cercanías del receptor del mensaje.

Lo he leído en Websecurity.es.

Troyano para cajeros automáticos

En el blog del laboratorio de Hispasec comentan el descubrimiento de un, al parecer no muy reciente, troyano que se instalaría en cajeros automáticos de un determinado fabricante.

Creo que mi banco los utiliza de otra marca, pero tendré que cerciorarme :-)

http://blog.hispasec.com/laboratorio/335/tbZ3ping

Berners-Lee timado en Internet

Pcworld.es reseña que Tim Berners-Lee ha confesado en una entrevista haber sido estafado al realizar una compra en Internet.

Aclaro que mi intención no es hacer escarnio de los "padres" de Internet, sino insistir en que hay estar ojo avizor y en que el mejor escribano echa un borrón.

PDFs *NO* inofensivos

En mi humilde opinión la gente del Laboratorio de ESET Latinoamérica se han pasado un poco con la ironía del título "Los archivos PDF son inofensivos". Aunque lo cierto que tampoco está de más insistir en el asunto, la familia Pidief, por ejemplo, lleva actuando al menos desde octubre de 2007, como puede comprobarse en la descripción publicada por Norman.

La botnet de la BBC

Con tanto jaleo de paradas y huelgas no me había enterado de la polémica organizada en torno a un programa de la BBC para el que montaron una botnet real para enviar spam. No es que me parezca mañ que se muestren los riesgos que existen en Internet (¡al contrario!), ni que desconfié de que desmontaran todo, pero coincido con quienes piensan que ha sido muy poco ético.

He leído la historia en esta entrada del blog de S21sec.

DHCP malicioso

No conocía esta "técnica", y al parecer ya hubo noticias en diciembre; el Internet Storm Center informa de un falso servidor DHCP cuyo objetivo pricipal es envenenar el DNS.

Lo cierto es que es ingenioso.

Huelga en el SICUZ

Por aquí las cosas andan revueltas desde hace ya bastante tiempo, de modo que que vamos a la huelga los próximos días 23 y 25 de este mes.

No es este el lugar para extenderse sobre el tema, de modo que limito a enlazar a los blogs:

Sobre el conflicto

Opiniones de los trabajadores del SICUZ

Un buen día para actualizar Ubuntu

Ese es el consejo que ofrece hoy el Internet Storm Center.

Acrobat y Reader (algo) parcheados

Adobe ha publicado un boletín de seguridad para resolver la vulnerabilidad que comenté hace un par de semanas.

Sin embargo la felicidad no es completa; se actualizan sólo las versiones 9 de Windows y Mac OSX, quedando las 7 y 8 retrasadas hasta el día 18 y Reader para Unix hasta el 25.

Los van a criticar mucho por esto (véase por ejemplo Unaaldía).

PS: POr cierto, he vuelto a intentar suscribirme a su servicio de notificaciones, esta vez con la cuenta de Gmail, a ver si el problema es que le tienen manía a unizar.es

Otra condena

Leo en Websecurity.es la noticia de la condena a cuatro años de prisión a un asesor de seguridad de Los Ángeles por dedicarse a infectar ordenadores para hacerse con datos personales.

Parches Microsoft de marzo

Tras un par de días de jaleo, retomo la marcha.

Microsoft publicó este martes los tres boletines de seguridad anunciados:

MS09-006, de carácter Crítico soluciona tres vulnerabilidades del kernel de Windows que podrían permitir la ejecución remota de código.

MS09-007, catalogado como Importante resuelve un problema en Secure Channel de Windows que podría ser aprovechada po un atacante remoto para falsificar certificados.

MS09-008, solventa cuatro vulnerabilidades en DNS y WINS que podrían permitir a un atacante remoto redirigir tráfico.

Asegur@IT en Zaragoza

La semana pasada asistí, junto con algunos compañeros al Asegur@IT que se celebró en Zaragoza y ahora acabo de recibir el mensaje de agradecimiento por la asistencia en el que incluyen el enlace a los webcasts de Microsoft, aunque me temo que en este caso no existen grabaciones.

Lo mejor, la parte de Pedro Sánchez (a quien por cierto no pude saludar) titulada Autopsia de una intrusión . ¡ A ver si al menos cuelga la presentación !

Otro gusano de IM

En el blog del laboratorio de Eset anuncian el descubrimiento de un malware que se propaga a las listas de contactos de mensajería instantánea para distribuir un troyano por medio de técnicas de ingeniería social. Un bonito cóctel.

Actualización de Firefox

La Fundación Mozilla ha publicado la versión 3.07 de su navegador Firefox con el fin de resolver diversos problemas de seguridad.

Sin embargo tal y como reseñan en Unaaldía, persisten probelasm similares en otros de sus productos.

Previsión de parches Microsoft para marzo

Microsoft ha anunciado que este mes de marzo publicará tres boletines de seguridad, todos ellos referidos a las versiones soportadas de Windows, siendo uno Crítico y dos Importantes.

Actualización de Opera

Opera acaba de publicar la versión 9.64 de su navegador, que viene a resolver diversos problemas de seguridad.

Los detalles están disponibles aquí.

Recolectando muestras

Hago recuento y compruebo que en las últimas cuatro semanas he enviado a Norman nueve muestras de virus que todavía no detectaban. Y eso que el viernes pasado espere un ratito antes de enviar dos más por si la inminente actualización ya incorporaba sus firmas, como así fue.

El que cada vez haya que enviar más muestras no es de extrañar, el malware no hace más que crecer. Para muestra un botón: la actualización de Norman que acaba de publicarse incorpora 18.452 nuevas firmas.

Conficker se sofistica

Hoy ha sido un día bastante liado, (Asegur@IT),enlazo al Maligno porque Microsoft me falla y no he podido, hasta ahora, anotar nada.

En cualquier caso, no quería dejar pasar el momento sin reseñar que el malware sigue dando mal. La mejor muestra es este mensaje de Unaaldía sobre el "amigo" Conficker:

http://www.hispasec.com/unaaldia/3781

¿Será él el responsable de los últimos incidentes en la Universidad?

Es una posibilidad, pero lo que sí sé es que no tenemos recursos para confirmarlo y mucho menos para desarrollar una estrategia efectiva para enfrentarlo.

Y me retiro, que no son horas ni momentos.