jueves, 26 de febrero de 2009

Excel y Adobe Reader: debilidades de día cero.

A veces pienso que los fabricantes de software se sienten relegados y menos importantes si no tienen su debilidades día cero…sí, aquellas que no tienen parche.

 

Esta vez es el turno de Adobe Reader (CVE-2009-0658) y de Excel (CVE-2009-0238) y tiene debilidades que fueron anunciadas el 19 y 24 de febrero respectivamente. ¿Qué hacer? Para variar, no mucho.

 

Adobe dijo en su comunicado (http://tinyurl.com/aq6al3) que deshabilitando el JavaScript del Reader se podría proteger a los usuarios. Sin embargo hay evidencia de que esto no sirve de mucho (http://secunia.com/blog/44/).

 

Microsoft también ofreció un workaround (http://tinyurl.com/bjpb8z), el cual al menos nadie ha dicho que no sirve…sinceramente no lo he probado para ver si Excel deja de ser funcional.

 

Para ambos casos existe código de explotación y para Excel ya hasta hay un troyano (http://tinyurl.com/aqrwfe). Es importante mencionar que los ataques hasta ahora son limitados y aunque tienen el potencial de hacer daño, aún no hay código de propagación masiva y no creo que lo vaya a haber por la naturaleza de las debilidades  (como en el caso del bien conocido Conficker).

 

Habrá que estar atentos y actualizar nuestro antivirus para que nos pueda avisar de posible código malicioso relacionado a estas debilidades. Por cierto, Adobe promete un parche para el 11 de marzo (¿no podrían ser más rápidos?) y para Excel  no hay ni siquiera una promesa de publicación de parche.


jueves, 19 de febrero de 2009

Un troll me deja un comentario.

 

El mes de enero escribí un post en este blog respecto al Conficker [http://tinyurl.com/dfufr8]. La idea principal es que no se sabe cuáles son las intenciones de ese gusano o más bien de sus creadores.

 

Hace unos días recibí un comentario en ese post de un troll. Mencionó que lo que leyó era  basura y que yo pretendía ser un "sabelotodo". Nunca argumentó el por qué de su desacuerdo; por ejemplo: "en tal sitio dicen que lo que hace Conficker es robar tus credenciales de banca en línea, tú por qué dices que no se sabe lo que hace?"

 

En fin, borré el comentario; acepto las opiniones fundamentadas y con argumentos (al menos uno), de por qué se está en desacuerdo. Las expresiones de "eso es basura porque lo digo yo y nada más" no enriquecen y son dignas de un troll, como bien dice un post del blog Alt1040 y les dejo de hecho esa reflexión [http://alt1040.com/tag/troll]:

 

"La realidad es que tengas la onda que tengas y escribas como escribas (con más o menos opinión, según te guste) muchos estarán en contra de lo que dices y, algunos de ellos, serán trolls. Estos odiados bichos de internet que se esconden tras la pantalla riendo, babeándose y mirando de reojo para ver si alguien ve cuando escriben un comentario puteando al autor de la entrada aparecerán siempre si tu blog tiene unas cuantas lecturas. Pero lógicamente hay formas de hacer que se vayan o, al menos, que aflojen un poco y se den cuenta que la vida es linda y no todos tenemos que opinar de la misma forma porque, la diversidad, nos hace crecer a todos".

 

"Llevo tiempo reflexionando sobre la violencia verbal y las desproporciones a la hora de expresarse al comentar en un blog, de parte de algunas personas. Hay diferentes variables y niveles. Desde aquellos que lo hacen por divertirse y burlarse del escritor, del mundo, de ellos mismos y del universo. Y aunque me parece un método absurdo de diversión, puedo entender sus motivaciones lúdicas. Ellos se ríen en la oscuridad de sus rincones y los escritores de blogs tienden a ignorarlos. Es como reírse sólo en el autobús o en el metro, de un chiste que nadie más comparte. Rara vez este tipo de personas llegan a niveles de violencia importantes. Son simples mosquitos a medianoche".

miércoles, 18 de febrero de 2009

Mejor usa cuentas de correo temporales

¿Cuántos sitios de Internet te piden una cuenta de correo para bajar un documento o activar un servicio? Yo me encuentro constantemente con este tipo de sitios sobre todo cuando intento bajar un documento “x” como por ejemplo información de un producto. Y no me puedo acostumbrar a estar dando mi cuenta de correo corporativa a cuanto sitio la pida. ¿Qué hacer?

 

Afortunadamente existe la posibilidad de crear cuentas de correo temporales. Por ejemplo sitios como Mytrashmail, Temporaryinbox, Mailinator y varios más ofrecen la posibilidad de crear cuentas temporales de correo que uno puede proporcionar para bajar ese documento que tanto queremos sin exponer nuestra cuenta ”principal” y que pueda ser susceptible a ser víctima del spam.

 

La mayoría de este tipo de sitios de cuentas temporales nos brindan la oportunidad de poder ver nuestro buzón, ya que es cierto que no pocas veces se nos envía una liga o contraseña para por ejemplo bajar el documento que queremos.

 

Para encontrar estos sitios tan útiles, basta con “googlear” algo así como “temporary mail” o en este sitio se listan varios servicios de cuentas temporales. Yo ya no proporciono mi cuenta de correo principal o corporativa y prefiero dar estas cuentas temporales o bien una cuenta de GMail o Yahoo.

 

lunes, 16 de febrero de 2009

Tú podrías hackear el BlackBerry de Obama.

 

Al menos, eso es lo que plantea Kevin Mitnick. Si tienes las suficientes agallas y conocimientos, él afirma que se podría intentar hackear la BlackBerry de Obama, esa que dicen que es de muy alta seguridad y que usa para comunicación con un círculo de conocidos. Al menos ese es el planteamiento de Kevin, uno de los ¿ex?-hackers más famosos. Y yo digo que también tienes que ser ingenuo para siquiera intentarlo.

 

Recordarán los numerosos hackeos de Kevin el siglo pasado, los cuales lo hicieron saltar a la fama. Ahora él afirma que es un buen chico y se dedica a la consultoría de seguridad y a dar pláticas. Mitnick comentó que no es imposible hackear la BlackBerry de Obama. Para los enterados en estas cuestiones de la seguridad, este no es un gran anuncio ni una "bomba"; la seguridad al 100% no existe y es posible vulnerar software o dispositivos con suficientes recursos como lo pueden ser dinero y/o recursos humanos y/o motivación.

 

Kevin comenta [http://tinyurl.com/dymc5n] que lo que haría primero es vulnerar una computadora de uno de los conocidos que forma el círculo cercano de quienes se pueden comunicar con Obama y luego de ahí enviar un correo con un link malicioso a la BlackBerry para intentar penetrarla.

 

¡Buena idea Kevin! Ahora falta el valiente que lo intente y además con esta estrategia no contamos con demasiados intentos...deberemos encontrar un exploit que funcione casi casi a la primera. Así es que para esto, como podemos ver, se necesita un poco de suerte, mucho conocimiento informático y ser un poco despistado como para ignorar el hecho de que nos estamos metiendo con la BlackBerry del Presidente de los EUA -¿Algún voluntario? Yo paso-. Tal vez las agencias gubernamentales de oros países lo intenten, pero esa es otra historia.

 

Le sugiero a Kevin no hacer este tipo de declaraciones, no vaya a ser que otra vez esté en el radar del FBI. Sin mencionar que en mi opinión me parece una afirmación publicitaria que no enriquece a la seguridad de la información.

 

jueves, 12 de febrero de 2009

MS09-003: de especial cuidado

De los parches que sacó Microsoft el martes pasado, me preocupa el MS09-003 para Exchange. El parche soluciona dos debilidades, una crea negación de servicio (no es para menos) y otra (la CVE-2009-0098) podría lograr ejecutar código en el servidor. Para este segundo caso, basta enviar un correo con formato enriquecido RTF a un servidor de correo Exchange para tratar de explotarla.

 

No se requiere participación del administrador o de un usuario ya que la debilidad CVE-2009-0098 funciona cuando el servidor de correo procesa los mensajes con formato RTF, y no es por nada, pero qué servidor de correo podría dejar de recibir correo con formato RTF sin causar inconvenientes? Así es no se puede dejar de recibir el correo y por lo tanto se está expuesto. Todavía no hay código de explotación, pero esto puede cambiar.

 

La otra debilidad que es importante también es la MS09-004 para SQL, si no se aplica el parche, se está expuesto a una inyección de código SQL; las protecciones perimetrales podrían mitigar este riesgo.

 

Más información en:

http://www.scmagazineus.com/Patch-Tuesday-Microsoft-fixes-critical-flaws-in-Exchange-IE/article/127178/

http://www.securityfocus.com/brief/906

http://www.microsoft.com/technet/security/Bulletin/MS09-003.mspx

 

[Tu amigo] necesita ayuda urgentemente.

 

Facebook, Hi5 o MySpace. Todas ellas redes sociales donde la gente se junta virtualmente con amigos y comparte fotos y conversaciones. De pronto, en la página social de uno de nuestros amigos aparece un mensaje que dice "I AM IN URGENT NEED OF HELP!!!".

 

Le preguntamos a nuestro amigo: "qué clase de ayuda necesitas o por qué tienes ese mensaje en tu página?" Nos responde que necesita dinero y que nos lo regresará un unos días. Nos da una cuenta a donde depositar o nos pide otro medio para que le podamos prestar dinero.

 

Vaya, es nuestro amigo y necesita dinero, no lo podemos abandonar. Por cierto, no es una cantidad muy alta, tal vez unos miles de pesos. Se los prestamos. Días después nos lo encontramos en persona o le mandamos un correo recordándole amablemente que cuándo nos regresará el dinero, a lo cual obtenemos un "¿De qué me hablas?".

 

La cuenta de la red social de nuestro amigo fue hackeada. Alguien más ingresó a la cuenta de nuestro amigo y puso ese mensaje de "ayuda"; se hizo pasar por nuestro amigo y nos robó algunos miles de pesos: [http://tinyurl.com/be3as2].

 

No, no es porque nuestro amigo se haga "pato" y no nos quiera pagar (bueno, ya con estos antecedentes alguien lo puede usar de excusa, cierto?). Este tipo de ataques existen y aunque no he visto casos en México, no estoy seguro de que nunca los vayamos a ver en nuestro país.

 

Es necesario tomar precauciones y sobre todo avisar de estas prácticas a nuestros hijos y familiares más jóvenes, quienes son asiduos visitantes de este tipo de sitios sociales.

 

Por cierto, en un caso documentado de F-Secure, la potencial víctima fue escéptico y cuando "su amigo" le pidió prestado dinero, le hizo un par de preguntas personales que su amigo sabría responder; obviamente el atacante no las supo y por más que quiso evadirlas no pudo, está interesante y corto, véanlo: [http://tinyurl.com/cu3xv8].


Kaspersky hackeado

 

En esta semana la compañía antivirus Kaspersky tuvo un incidente de seguridad. Su página web que da la cara en EUA fue vulnerada usando un ataque de "SQL injection" [http://tinyurl.com/cutcyw]. ¿Cómo una compañía que intenta dedicarse a la seguridad recibe de pronto un ataque? Aunque no fue grave, tampoco es una situación de la cual presumir.

 

Según fuentes de la compañía, ningún dato fue extraído aunque al parecer un hacker más experimentado pudo haber obtenido más información como cuentas de correo de clientes y registros de activación de productos.

 

Claro, la reputación es algo valioso y aunque hayan extraído información realmente no nos lo dirán, de esta forma queda como un ataque sin mayor importancia.

 

Efectivamente no fue un ataque importantísimo, a diario podemos decir que algún sitio web en el mundo es hackeado de alguna forma con inyecciones de SQL. Sin embargo, caramba, es una compañía de seguridad y los clientes presentes y futuros querrán saber que se toman esto de la seguridad en serio, empezando por su propia infraestructura. Percepción es realidad.

 

Creo que cambiaré de antivirus (es un decir, de hecho uso un AV gratuito).

sábado, 7 de febrero de 2009

Cómo obtener el CISA y no morir en el intento.


El lunes de la Candelaria recibí un correo de ISACA informándome que había pasado exitosamente el examen CISA que presenté en diciembre de 2008. ¡Wow! Me sentí muy satisfecho ya que había dedicado varias horas de estudio a la semana durante algunos meses y al final se había traducido en un buen resultado.

 

Bueno, dejando de lado mi satisfacción personal, supongo que los que van a presentar el examen CISA tendrán un par de preguntas: cómo pasar exitosamente el CISA y qué hay que hacer exactamente?

 

Primero, encontrar tiempo. Cada quien tiene ritmos y una disponibilidad diferente. Tal vez sea un rato en la mañana, en la noche; puede ser entre semana o el fin de semana. Pero considero que a la semana habrá que estar al menos 4 horas e idealmente 6 horas estudiando por alrededor de 4 meses.

 

La parte de las horas semanales y los meses que hay que estudiar son parámetros muy subjetivos, ya que hablo desde mi propia experiencia y cada quien deberá ajustar estos criterios conforme crea conveniente y sienta que es suficiente.

 

Una vez resuelta la parte del tiempo, viene el material de estudio. Lo que no puede faltar es una base de conocimientos que se puede conseguir de ISACA llamada "CISA Practice Question Database". Para no miembros de ISACA cuesta $225 USD. Definitivamente vale la pena. Deben de practicar cada una de las preguntas, analizar la justificación de las respuestas y entender por qué esa es la respuesta correcta. Al final y luego de varias "pasadas", cada una de las preguntas deberán contestarlas correctamente y estimo que deben de llegar a tener cerca de un 95% de aciertos para considerar que tienen ya un buen nivel.

 

Pero no se deben de quedar sólo en la base de conocimientos ya mencionada (ok, yo lo hice pero no lo recomiendo). Deben de buscar un libro de apoyo. El propio libro de ISACA llamado "CISA Review Manual" es una opción sin embargo se me hace muy extenso y difícil de llegar a leer por completo. Yo recomendaría buscar en Amazon y seleccionar un libro como el "CISA Certified Information Systems Auditor Study Guide" o el "CISA Certified Information Systems Auditor All-in-One Exam Guide". Seleccionen el libro de ISACA o uno de Amazon pero adquieran al menos uno, léanlo y estúdienlo.

 

¿Qué hay de los cursos que se imparten en México y a los cuales uno puede asistir? Personalmente no puedo hablarles de ellos ya que no asistí a ninguno. Personalmente prefiero adquirir el material de estudio necesario y en el tiempo que yo quiera y al ritmo que yo desee, ir estudiando y entendiendo los conceptos requeridos. Así también hice el CISSP (sólo estudiando de libros y sin cursos). Como ya dije, cada quien debe de evaluar esta opción de los cursos.

 

Finalmente, todavía no soy CISA de manera oficial, faltan aún algunos trámites para verificar que tengo al menos 5 años de experiencia como auditor o en el área de seguridad para que ya pueda decir que soy CISA. Esto de los años se puede justificar con Maestrías u otras cuestiones.

 

¿Qué viene ahora para mi? El CISM (también de ISACA) para diciembre de este año. Espero que en un año les esté relatando "Cómo obtener el CISM y no morir en el intento".

 

¿Son importantes estas certificaciones? Yo pienso que sí, de otro modo supongo que no las estaría haciendo. Demuestran que tienes experiencia en el ramo (no te la dan si no tienes experiencia laboral de seguridad) y que al menos tienes una idea de lo que hablas. No, no es una garantía, pero sí  un parámetro. Hay gente de seguridad muy buena sin certificaciones y viceversa. Como sea, no están de más y para nada estorban sino todo lo contrario. Es una "estrellita" en un CV.

 

jueves, 5 de febrero de 2009

Nueva e inútil forma de proteger "smartphones"

Si estoy junto a una persona que tiene una contraseña para habilitar su teléfono inteligente, simplemente puedo ver la posición de sus dedos al ir tecleando e inferir qué números introdujo. La empresa PINoptic [http://tinyurl.com/d5d993] ha creado un producto que para evitar estas situaciones lo que hace es presentar una pantalla con imágenes ligadas a números. El usuario selecciona una secuencia de imágenes en lugar de números (las imágenes van cambiando con cada "sesión") y con esto se logra cambiar la secuencia cada vez que el usuario habilita el celular. Buena idea pero no creo que sea muy útil.

 

Por la información del producto, únicamente se enfoca a los casos en donde el atacante está junto a mi y me observa introducir la secuencia de números que forman la contraseña de desbloqueo del teléfono. El siguiente paso sería que el atacante me lo arrebate o me siga hasta que se me olvide "por ahí". Demasiados problemas para el atacante a menos que sea un ataque dirigido, donde ya el maleante va por mi teléfono porque sabe que hay algo interesante. Y aún en este caso seguramente no se esperará a que teclee mi contraseña y luego me lo robará…lo que hará es simplemente robarlo y encontrar un método (herramienta) para romper la contraseña del dispositivo.

 

miércoles, 4 de febrero de 2009

Explota celular y muere

 

¿Otra noticia de explosión de un celular? [http://tinyurl.com/bm8fcx] Qué casualidad que todos parecen provenir de China (¿alguien sabe de otros casos en otros países?). Este tipo de noticias (explosiones en baterías de celulares) como que nunca me han convencido del todo. En caso de ser verdad, tal vez se deba a que en China las regulaciones de seguridad no son estrictas y de ahí que haya explosiones de este tipo. Muy extraño.

 

Su auto mal estacionado viola las regulaciones

 

Tranquilamente uno deja el automóvil estacionado al ir al súper, al asistir a alguna reunión o comida. De regreso, nos encontramos con un mensaje en nuestro parabrisas que dice que “Su auto ha sido mal estacionado incumpliendo las disposiciones de tránsito. Vaya al sitio “fulano” para ver más información de su infracción”. En cuanto llegamos a casa visitamos el sitio para ver de qué se trata. Abrimos la página y…bueno, ya adivinan qué pasa?

 

Efectivamente, el sitio presenta varias fotos de autos mal estacionados en nuestra ciudad a manera de ejemplo y a continuación nos pide instalar un programa para ver los detalles de nuestra infracción, incluyendo la foto de nuestro auto. Suena convincente y debemos seguir adelante. Así es que hemos instalado un troyano y claro, no aparece más información. Fin de la historia.

 

Un ataque innovador [http://tinyurl.com/awwvrx]. Podríamos aventurarnos y decir que las víctimas que caerán a causa de los volantes es casi uno a uno (un volante, una víctima). Los correos electrónicos son menos efectivos pero por la cantidad que se pueden enviar (a diferencia de la cantidad de volantes que se pueden repartir), también significan un buen número de víctimas.

 

¿Por qué el atacante se habrá decidido por este tipo de ataque que inicia en el mundo físico? ¿Será sólo un tipo de “estudio” o es que ya necesitan nuevos vectores de ataque porque enviar correos ya no les está resultando? Con las crecientes protecciones en la nube y en los nuevos navegadores, me parece que en este caso tenemos a un atacante desesperado. No creo que vaya a ser una práctica generalizada ya que recordemos, la ventaja de la red es su velocidad y cantidad de correos maliciosos que se pueden enviar en un corto tiempo versus la cantidad de volantes que se pueden repartir.