Categoría: Seguridad

Blue Hat meeting: Microsoft y los hackers

Últimamente estoy viendo cosas en Microsoft que nunca hubiese imaginado y una de estas cosas es esta nueva actitud de acercarse más a la comunidad tecnológica que no es de su “palo” y entre estas “partes enemigas” están los hackers. Hace un tiempo hicieron una reunión llamara Blue Hat en la que se mostraba como se rompía código en la cara de los mismos que lo habían creado y lo pensaban seguro.

Es cierto, que los “grey hat” que fueron son consultores reconocidos y que seguramente no mostraron sus mejores trucos (como los magos no van a revelar sus secretos a la audiencia) y que, seguramente, en el ambiente underground o de “black hats” hay excelentes hackers, pero realmente este tipo de iniciativas es más que importante por más que en algunos sites digan que es una pavada.

Lo impotante es saber que, al menos, se escucha a los que saben; se buscan soluciones o al menos, ideas para mejorar la seguridad y sobre todo, se están abriendo al mundo. Este Jim Allchin me está pareciendo cada día más groso.

Tor y el anonimato online

El 3 de Junio, la Electronic Frontier Foundation lanzó un comunicado de prensa sobre el reconocimiento que Tor recibio de PC World y pese a que muchos de nosotros no entendemos la necesidad de anonimato o privacidad, en algunas partes del mundo es realmente necesario “cubrir tus huellas”.

“Ciertas tendencias actuales en leyes, políticas y tecnología amenazan el anonimato como nunca antes, lastimando nuestra habilidad de hablar o leer libremente online.”

A ver, estamos acostumbrados a no necesitar el anonimato; pero ponganse por un minuto en la piel de un usuario de Internet en China. A las “prohibiciones y filtros” que Google y Yahoo! ya tenían en funcionamiento ahora se les suma MSN prohibiendo hasta simples búsquedas como ”democracy”, “freedom” o “human rights”. Hay veces que la poca importancia que se le dedican a estos temas me hacen pensar que o estamos muy acostumbrados a la “libertad” o simplemente no la apreciamos.

Dia de fallas

Secunia demuestra una falla de Seguridad en Firefox 1.0.4 (Phishing) que, increíblemente había sido resuelta en las versiones anteriores. Al día siguiente que Microsoft tuvo que “tirar abajo” una parte de MSN por un problema (cross-site scripting) le permitía a un atacante lograr acceso a las cuentas de hotmail de los usuarios.

Pero no se pongan paranoicos, si esto es grave, imaginen la cara de los ejecutivos del Citibank cuando descubrieron que en un envío de UPS se les habían perdido los datos de 3,9 millones de clientes, incluyendo nombres, direcciones, números de seguro social, de cuentas, historiales crediticios, y de préstamos… los que hacen robo de identidad (Id theft) deben estar trabajando a pleno. Y después me dicen que “la red es insegura”.

Graves problemas de seguridad en Tiger y Firefox

Para los que se sentían seguros al evitar las plataformas inseguras, ahora pueden ir viendo que la seguridad total es una simple utopía.

Tiger: Leo en Slashdot que se encontró un grave problema de seguridad en el Mac OSX Tiger. Básicamente pueden instalarse “Dashboard Widgets” sin autorización con cierto código en una página web si usas ese sistema operativo y usás Safari. Un ejemplo pueden verlo si visitan esta página (si tienen una Mac solo visítenla bajo su propia cuenta) y para desinstalar ese widget hay que removerlo manualmente y luego rebootear.

Pero eso indica un agujero realmente grave en la seguridad del nuevo sistema de Apple; porque el widget se instala sin autorización y sin que el usuario se entere. ¿Cuanto tardará en aparecer Spyware y/o similares aprovechando este problema?

FF 1.0.3: Por otro lado la gente de FrSIRT acaba de descubrir un “exploit” grave en Firefox 1.0.3; donde, si uno hace click en una página con un código especial ese código puede crear y ejecutar automáticamente un archivo .exe/

Una solución no-oficial es: – Desabilitar JavaScript, y la opción “Allow web sites to install software” dentro del menú [Tools – Options – Web Features].

Más programas AntiSpyware

En su momento, Microsoft presentó su programa AntiSpyware, en Beta, como una gran novedad y un “gran paso para mejorar la seguridad de los usuarios”; al poco tiempo también salió un programa AntiSpyware de McAfee y ahora se suman Symantec-Norton con su versión en fase beta.

Y aunque todavía no se definieron políticas de precios en esos casos, no se olviden del Spybot S+D y del Ad-Aware de Lavasoft, excelentes (mejor si laburan en combinación), gratuitos y que estaban aún cuando este mercado no era un negocio para los grandes.

Desactivando PIE

Hacve un tiempo publiqué una nota sobre PIE (más tracking, menos privacidad), de la empresa UnitedVirtualities.

Afortunadamente en menos de 10 días Greg Yardley acaba de lanzar Objection 0.1: un plugin para Firefox que agrega en el menú de privacidad la posibilidad de desactivar esta “mega-cookie”. Y por ahora sólo está par FF/Win; no creo que pase mucho antes que alguien lo porte a IE, Opera (Fede siempre me acuerdo :P), Linux, Mac, etc.

Recomendación? Instalen.

Choicepoint y la ilusión de la privacidad

Choicepoint es una de las empresas más grandes de “provisión de información para una mejor toma de decision y risk-assesment“, la forma delicada de decir que venden datos personales y personales de cualquier persona a cualquier empresa/ente/persona que tenga la plata para pagarlo. Hace unos días esta empresa tuvo un gravísimo problema al darle acceso a criminales que se hicieron pasar por empresas reales acceso a sus bases de datos.

Comentando con otro blogger, la respuesta fue “Bueno, eso pasa en USA el paraíso del DB-marketing”. Lamentablemente no es así, de hecho EPIC “Electronic Privacy Information Center” acaba de hacer públicos una serie de documentos en los cuales se prueba que esta empresa, violando incluso las leyes de su propio país, vendió al FBI información financiera, de antecedentes, y sobre todo de datos de navegación (incluyendo cookies, datos recolectados por Spyware, registros de numeros celulares y de conectividad) de estadounidenses y tambien de “Europeos y latinoamericanos”.

Quizás esto realmente les ayude a entender la cantidad de derechos que uno deja pisotear por desconocimiento o, simplemente, al instalar aplicaciones con spyware, aceptando cookies de sites NO confiables, o dando datos propios a esos sites que prometen cosas increíbles.

Como salvar a Internet según el CIO de AT&T

Ed Amoroso, CISO de AT&T: “Internet es insegura porque los usuarios son inútiles o malos. Hagamos servicios centralizados y que los usuarios no tengan la posibilidad de ejecutar código propio sin pasar por nuestros servidores.. y cobremos por el acceso a estos servicios”

En la reunión de CIO’s de empresas grandes de Estados Unidos hubo opiniones mucho más sensatas y, algunas geniales. Pero la opinión de Ed Amoroso de AT&T es realmente estúpida.. o corrupta por ser delicado. Es cierto muchas veces los problemas de seguridad son por falta de conocimiento de los usuarios… pero ¿Cuantas veces es por código mal hecho o programas mal diseñados y cuantas la falta de conocimiento es por falta de educación hacia los usuarios?.

Via BoingBoing

Firefox 1.0.1

Si tenés instalado Firefox 1.0 es necesario que hagas un upgrade a la nueva version 1.0.1 para corregir 17 agujeros de seguridad. Esta actualización corrige principalmente “problemas de phishing y una falla que permitiría a un atacante tomar control de tu PC”, algo extraño es que no exista un parche sino una actualización total.

En algún momento había que empezar a preocuparse, no? ;)

T-Mobile hackeado

En realidad no fue sólo Paris la que tuvo su Sidekick hackeado, el gran problema es qeu el hackeado fue T-Mobile.

..hacker tuvo acceso a los servers de T-Mobile por al menos un año, tiempo que usó para monitorear el email del Servicio Secreto, obtener claves de usuarios, numeros de Social Security, y bajar las fotos de los usuarios de Sidekick, incluyendo celebridades de Hollywood.

Hace un año la empresa estaba tratando de dar con el hacker que finalmente fue arrestado que vendia datos sensibles de cualquier persona en foros de seguridad y hackers en internet.

Continuar leyendo “T-Mobile hackeado”

Dia de Vulnerabilidades

En el día de ayer, Secunia lanzó una serie de advertencias sobre agujeros de seguridad que comprometen datos (a través del conocido Spoofing) a los siguientes navegadores:

Internet Explorer
– Opera
Mozilla / Mozilla Firefox
– Camino
– Safari
– Netscape
– Konqueror
– Avant Browser
– Maxthon

Dejando de lado el peligro que esto supone (hay ejemplos de las vulnerabilidad acá y acá) sería bueno que alguien vea quien reacciona más rápido y soluciona estos problemas primero ya que las alertas fueron dadas el mismo día.

Vía Slashdot

Mozilla Bug Bounty Program

Pese al exitoso récord de seguridad que tiene Mozilla (en lo referente a cantidad de agujeros críticos encontrados y velocidad en repararlos) la Fundacion Mozilla acaba de anunciar un nuevo programa: el Security Bug Bounty Program.

Con el apoyo financiero de Mark Shuttleworth (el fundador de Lindows Linspire) darán u$s 500 a los usuarios que reporten “agujeros de seguridad críticos antes que sean explotados”, más información acá

El mismo compromiso que su competidor, no? :)

Via BoingBoing

Nuevas vulnerabilidades en MS y, finalmente se demora el service pack para WInXP

La misma vulnerabilidad que afectaba a Mozilla (resuelta en menos de un dia) afecta varios programas de Microsoft, entre ellos Microsoft Word y MSN Messenger; interesantemente es la primera vez que una vulnerabilidad nos permitira comparar la velocidad de reaccion de Microsoft frente a los developers Open Source.

Al mismo tiempo, Microsoft demora su, ya famoso, Windows XP Service Pack2. En vez de eso nos entregan una nueva version de su WindowsUpdate

link:Slashdot

iPods como riesgo de seguridad.. paranoia total

En ZDnet se publica un reporte de Gartner con una frase trágica:

“Los reproductores de MP3 y dispositivos de almacenamiento USB estan en todos lados hoy en día. Darle libertad a los empleados para que los usen en la oficina puede abrir a brechas de seguridad y pérdida de datos”

Continuar leyendo “iPods como riesgo de seguridad.. paranoia total”

Siguen sin aprender que no se abren adjuntos asi nomás.

Desde ayer un nuevo virus está propagándose más rápido que cualquier otro en la historia. Infectando 1 de cada 12 e-mails circulando el MyDoom está entrando en todas las redes de mails.

Un par de características interesantes:

1- Se está expandiendo también vía redes P2P (como el Sinit)y deja un residente para mandar un DOS a SCO.
2- En el campo “From:” o “De:” deja de tomar la dirección de mail de la casilla infectada y toma una al azar de las que esa casilla (la infectada) tiene en su libreta de direcciones de Outlook o OE

Ingeniería social y los detalles que uno no mira

Un par de noticias en ZDNet Uk me llamaron la atención (Fraudulent e-commerce site proves hard to close y Mimail.j prevention and cure), ambas son relativas a seguridad pero con un cambio en la “filosofía” de los autores donde empiezan a combinar: ingenieria social + scams + virus tradicionales.

Esperan, de un usuario desprevenido, una respuesta con los datos de sus tarjetas de crédito, datos personales y etc., y la parte autónoma del virus se ocupa de recolectar direcciones como siempre, pero las reenvía a la dirección de los crackers para comenzar el ciclo nuevamente.

Y por más que una parte de esto sea culpa de las macros de Outlook/OE, el eslabón mas débil de la seguridad sigue siendo el humano y aunque es increíble lo bien armados que estaban estos “híbridos”… la gente sigue enviando claves/datos por mail o sin mirar si está en un site seguro o si la URL corresponde a la empresa real… detalles que uno no mira y sirven para que te roben.