En Hispasec se hacen eco de este artículo (en inglés) en el que se explica un error en el diseño del kernel de Windows y en la manera en que éste procesa los mensajes de las aplicaciones y cómo es posible aprovecharlo para, en la práctica, conseguir los privilegios necesarios para hacer cualquier cosa que se desee en la máquina víctima.

De momento, esto sólo puede hacerse de forma local, es decir, hay que estar sentado delante de la máquina víctima o, en el caso de una red, tener acceso a una de las estaciones de trabajo (es suficiente una cuenta de invitado). También se ha hecho público el correo del Security Response Center de Microsoft en el que se afirma que no es un fallo de seguridad. Este correo puede leerse aquí. Se dice que no es un fallo de seguridad basicamente porque

if I understand things correctly, the attack you describe either requires the user to run an attacker's program on their system or the attacker needs to have access to the user's system [...] If a bad guy can persuade you to run his program on your computer, it's not your computer anymore.

Traduzco:

Si he entendido las cosas correctamente, el ataque que describe requiere, bien que el usuario ejecute el programa del atacante en su sistema, o bien que el atacante tenga acceso al sistema del usuario [...] Si un chico malo puede persuadirle de que ejecute su programa en su ordenador, ya no es su ordenador.

Bien, muy bonito eso. Lástima que engañar al usuario para que ejecute algo que no debería es lo que hacen el 90% de los virus hoy en día. Si bien la mayoría de ellos trata de explotar de todas formas alguna vulnerabilidad antigua y bien conocida por si cuela, al final si se reproducen a gran velocidad, es porque el mismo usuario es engañado para que los ejecute.

La vulnerabilidad está ahí y no es sencilla de arreglar, no con un simple parche al menos, ya que es un error de diseño que obligaría a cambiar la forma en que el núcleo de Windows trabaja, la forma de explotarlo también es conocida, ya sólo falta que alguien cree un virus que la aproveche. Pero todo el mundo tranquilo, que Microsoft dice que no es un fallo de seguridad.

Entre unos y otros (estos últimos en dos capítulos) me han convencido de que era buena idea pasarse a Mandrake. Así que me bajé la última versión (la 9.2, al momento de escribir ésto) y me puse a ello. Por lo que he visto hasta ahora, su fama de sencillez está bien ganada, desde su instalación, fácil (sin embargo, el que sepa o quiera toquitear un poco tiene botones de avanzado en casi cada pantalla), rápida (en mi caso, 40 minutos y toquiteé mucho) y en castellano, desde el primer paso, en el que se elige el idioma (todo está en castellano, incluso las páginas man). Una vez instalado, uno tiene once escritorios para elegir el que más le guste (por defecto, KDE) y todo el software que uno pueda necesitar, además, Supermount (invisible al usuario, que ni se dará cuenta de que existe y fácil de desactivar para el usurio avanzado) evita que sea necesario conocer el concepto de montar una unidad, MenuDrake incluye cualquier cosa que instales en el menú en la categoría correcta (si no existe la crea), sin que haya que decirle nada y, lo mejor para el final, urpmi.

Aquí hago un inciso para aclarar que urpmi es mi primer gestor de paquetes (en SuSE resolvía las dependencias a mano), sólo conozco otros como apt-get, apt-rpm y yum de oídas y, sobre todo, para agradecer a NoP sus artículos en Libertonia (enlaces de éstos, al comienzo de este texto) que me permitieron hacerme con él en dos minutos.

El concepto de gestor de paquetes es desconocido en Windows, así que paso a explicarlo brevemente, urpmi (y los otros gestores) permiten instalar cualquier programa sin tener que buscarlo, ni ejecutar el instalador. Sólo es nesario conocer el nombre del programa que quieres instalar y el gestor lo busca, lo baja y lo instala (y MenuDrake lo añade al menú en la categoría correcta). Así, si yo quiero instalar DOSBox, por ejemplo, solo tendría que abrir una consola y escribir:

urpmi DOSBox

Tras pulsar la tecla Enter, el proceso comienza y ya no hay que preocuparse de nada, a hacer otra cosa mientras baja y se instala. Cuando termina, mi menú tiene una nueva categoría, emuladores, y dentro está DOSBox, sólo me falta hacer clic para ponerlo a funcionar.

Para mí no era mi primer Linux, pero todos los días leo en distintos foros gente que tiene problemas con Linux, por no haberse informado mínimamente sobre él antes de instalarlo, así que detallo, a continuación, los pasos a seguir para la migración:

• Comprobar que cumplimos los requisitos mínimos de memoria, espacio en disco, etcétera, para instalar Linux.
  
• Comprobar que no tendremos problemas de hardware en la base de datos de hardware soportado.
  
• Si se va a conservar Windows, defragmentar el disco duro y hacer un scandisk. Los sistemas de archivos de Windows tienen la mala costumbre de dejar fragmentos de fichero sueltos por todo el disco duro, aunque (y especialmente cuando) haya mucho espacio libre. Si se hace una partición sin tomar estas precauciones la posibilidad de perder datos en la partición de Windows es muy alta.
  
• Si no se sabe qué es una partición o cómo hacerla, este tutorial y este otro pueden resolver todas las dudas. Aunque si se usa Windows 9x/ME, el instalador de Mandrake proporciona suficiente información sobre la marcha y uno podría, en principio, saltarse este punto, saber algo nuevo nunca está de más.
  
• Leer un poco acerca de lo que uno se va a encontrar tras la instalación. La guía del usuario es un buen sitio para ésto.
  

Nota: Los enlaces de esta lista son para Mandrake, casi todas las distribuciones disponen igualmente de una lista de requisitos mínimos, una base de datos de hardware soportado y una guía de usuario.

Los usuarios del servicio de conferencia de voz de Yahoo!, ya sea a través de Yahoo! Messenger o de Yahoo! Charlas, están expuestos a un desbordamiento de búfer que puede permitir a un atacante ejecutar comandos en la máquina vulnerable, así como caídas del servicio y el cuelgue de Internet Explorer. Yahoo! ofrece toda la información necesaria, así como la actualización a una nueva versión libre del fallo de seguridad en esta página.

No añado nada más, porque está todo muy bien explicado, de forma sencilla y clara, por Yahoo! en su página, sería bueno que otras empresas tomaran nota y se generalizara esta transparencia.

En Hispasec hay un artículo que presenta una recopilación de distribuciones de Linux que tienen dos cosas en común: se presentan en LiveCD y están orientadas a las auditorías de seguridad y/o a la recuperación de datos.

La más famosa de las distribuciones LiveCD es, sin duda, Knoppix, conocida por su amplio soporte de hardware y por incluir más de 2 GB de programas en un sólo CD. Está bien tenerla a mano, pues te puede sacar de más de un apuro (contraseñas olvidadas, recuperación de datos en particiones no accesibles desde Windows...), pero está orientada al escritorio. Permite llevar un sistema operativo de escritorio/oficina en el bolsillo, ejecutable en cualquier ordenador con lector de CD, pero no dispone de herramientas especializadas de auditoría y análisis de redes.

El artículo me ha descubierto una que no conocía y me ha hecho gracia el nombre: R.I.P. Linux (Recovery Is Possible). Sobre ella dice Xavier Caballé en Hispasec

Se trata de una distribución de Linux pensada por recuperar datos de sistemas de ficheros defectuosos. Merced a esta distribución, el autor de este boletín pudo recuperar los datos de una máquina con un disco duro defectuoso que Windows XP se negaba a reconocer ni tampoco sabía como reparar. Con R.I.P. Linux fue posible no tan solo montar y acceder a la información, sino transferirla por la red a otro sistema.

Con ese nombre no será difícil acordarse de ella cuando un disco duro se "muera", ¿no?

Los parches de seguridad de Microsoft de éste mes, que tenían prevista su salida ayer, no se distribuyen todavía. Los de Redmond no aclaran si esperarán al mes que viene para distribuirlos o saldrán en cuanto estén listos, sólo dicen que siguen investigando las vulnerabilidades que han sido publicadas (que, por cierto, se están explotando).

Ya que se retrasan, que vayan "investigando" éste también. Ya se pueden construir falsas páginas idénticas (incluido el URL) a las auténticas.

No es que no se hiciera ya, que se hacía, pero la URL en la barra de direcciones las delataba. Si estás usando Internet Explorer ya no será posible advertir el engaño, que, por cierto, es tan fácil de hacer que, en estos mismos momentos seguro que hay un buen montón de chavales haciendo falsas páginas de acceso a Hotmail con la intención de robarle la contraseña de correo a la novia. Claro que también habrá quien no se conforme con eso y vaya a por los números de tarjetas de crédito, por ejemplo.

Novell, que ha sido noticia ultimamente en el mundo del software libre por la compra de SuSE y Ximian, ha anunciado que la próxima versión de su sistema operativo Netware podrá funcionar tanto con el kernel de Linux, como con el actual de Novell. Todo el paquete de servicios de Novell (eDirectory, DirXML, iFolder, iPrint...) funcionarán también con el kernel de Linux.

Entretanto, se lanza una solución de compromiso, bajo el nombre de Novell Nterprise Linux Services, en el que ya funcionan algunas de las aplicaciones Novell y que usa el escritorio Ximian (la versión actual de Netware usa IceWM en el servidor de X correspondiente).

A ésto podemos añadir que SuSE anuncia que pone a la venta el paquete Wine Rack que incluirá CrossOver Office y CrossOver Plugin de Codeweavers (permite utilizar aplicaciones Windows como MS Office y Photoshop 7, entre otras, en Linux) además de WineX de Transgaming (Los juegos "sólo Windows", también en Linux).

Sumando dos y dos, Novell con Netware 7 y SuSE pretende llegar tanto a servidores como a estaciones de trabajo, sin olvidar al usuario doméstico. Su "distribución" de Linux (¿habrá por ahí algún Linux con más software propietario encima?) será valida para cualquier ambiente y completamente multiplataforma, con compatibilidad no sólo a nivel de sistema de archivos (como hasta ahora) sino también de aplicaciones (gracias a los desarrollos para el kernel de Linux de Codeweavers y Transgaming).

En Hispasec han preparado unas pruebas de concepto para demostrar los efectos de los dos últimos fallos de Internet Explorer. Al primero de ellos, el de la falsificación de URL (del que ya avisé en su momento) puede accederse desde aquí. Atención los usuarios de la suite Mozilla, dicen en Secunia, que al pasar el ratón sobre estos enlaces preparados para engañar al IE, la barra de estado del navegador mostrará la dirección falsificada, aunque luego, una vez que se ha ingresado en la página, mostrarán la URL real, de forma correcta. Esto ocurrirá incluso aunque se haya desactivado el javascript para los cambios de la barra de estado, pues aquí no hay script alguno, es sólo añadir dos caracteres. En Mozilla Firebird la barra de estado muestra, tras la dirección falsa, un revelador cuadrito blanco.

La segunda vulnerabilidad de IE, permite, con la inclusión de una sóla línea de código en cualquier página web, la apertura de infinitas ventanas del navegador, a una velocidad muy rápida (no da tiempo a cerrarlas) hasta que la máquina se quede sin memoria y se cuelgue o el navegador caiga, lo que suceda antes. Aquí esta la página que da acceso a la demostración.

Los usuarios de Opera que todavía no hayan actualizado a la versión 7.23, ya tienen una razón más para hacerlo. Usando la vulnerabilidad descrita en Secunia, un sitio web malicioso podría eliminar cualquier archivo del que se conozca su localización (lo que incluye todos los archivos críticos para el funcionamiento del sistema) siempre que pueda convencer al usuario de que descargue un archivo cualquiera de éste sitio web. El archivo a descargar puede ser absolutamente inofensivo (simple texto, una imagen, un MP3...), pero en vez de ser descargado a una carpeta temporal, para luego ser trasladado a la ubicación elegida por el usuario (éste es el comportamiento normal en todos los navegadores) se descargará en la localización que decida el sitio malicioso, sobreescribiendo el fichero elegido y destruyéndolo.

Héctor Sánchez, responsable de Seguridad Corporativa de Microsoft Ibérica, ha escrito a Hispasec una carta en la que responde a las críticas que desde alli ha recibido la nueva política de distribución de parches mensual de Microsoft.

A continuación un extracto:

...podemos poner un ejemplo reciente con el virus Blaster: La vulnerabilidad que utilizó Blaster (026) ha estado latente. El riesgo que ha supuesto durante esos años es mínimo, prácticamente inexistente. ¿Cuando aumenta el riesgo? Cuando se descubre y anuncia su existencia. De hecho, es solo 27 días después cuando Blaster entra en escena. Técnicas de Ingeniería inversa sobre el update publicado son en parte responsables de esta celeridad.

Si volvemos a pensar en el anuncio que hace Microsoft, tendremos mas claro que no perdemos en materia de seguridad desde el momento que asumimos que el riesgo es casi inexistente antes de cualquier tipo de anuncio, y solo a partir de entonces, el riesgo es elevado.

[...]

Pero aun así, en ese 0.1% de casos donde el orden de sucesos no ocurra de esta forma, como por ejemplo el conocimiento de una vulnerabilidad de forma previa a la creación del update, NO SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en cuanto la actualización esté preparada.

Si se asume el riesgo de que una vulnerabilidad se conozca internamente (dentro de Microsoft, quiero decir), y no se haga pública puesto que aún nadie ha dado la alarma, ésto sería bastante correcto, siempre que sólo Microsoft publicase sus fallos y lo hiciese junto con el parche correspondiente. Pero es que resulta que no funciona así la cosa. Más bien, al contrario. Muy rara vez Microsoft publica un parche para una vulnerabilidad que no sea ya conocida y, en bastantes ocasiones, un exploit está disponible antes de que Microsoft saque el parche correspondiente.

En cuanto a la afirmación de que el porcentaje es al contrario, es decir, que sólo el 0,1% de las veces ocurre como explico en el párrafo anterior, creo que el enlace siguiente será suficientemente explicativo, aquí hay una lista con 20 vulnerabilidades de Internet Explorer que aún esperan parche.

Mientras, Microsoft retira el soporte al único de sus sistemas operativos que no es vulnerable a través de IE a la más grave de esas 20 vulnerabilidades (Windows 95 y NT no cuentan, pues ya hace tiempo que se les retiró el soporte; curiosamente, tampoco son vulnerables).

Actualizado 26/12/2003

Hispasec ha publicado un resumen de los comentarios de sus lectores a la noticia en la que se reproducía la carta de Microsoft como respuesta a ésta. No tiene desperdicio.

He incluido el programa CheckDialer en la lista de programas de seguridad gratuitos que mantengo en navegaseguro.es.tt.

El programa, a través de listas negras o blancas, permite definir cuales son los números de teléfono que el modem está autorizado a marcar. Personalmente, recomiendo la configuración por lista blanca, formada por un sólo número, el que nuestro proveedor de Internet (ISP) nos haya proporcionado.

También he añadido un nuevo artículo a la sección "¿Qué es...?": ¿Qué es un dialer?

Las fechas especiales, como son estas fiestas navideñas, que ya se acercan, se caracterizan por un incremento en el tráfico de correo electrónico en los buzones personales. Los correos de felicitación con un archivo adjunto (una imagen a modo de postal, una presentación de Powerpoint...) llenan nuestros buzones de correo.

Entre tanto correo con archivo adjunto, todos los años aparece el de algún creador de virus que pretende "felicitarnos" las fiestas también. Por lo que hay que extremar precauciones: desconfiar de las extensiones de fichero no habituales (.exe, .pif, .bat...), mantener el antivirus actualizado, procurar no abrir mensajes de desconocidos y escanear todos los ficheros adjuntos antes de abrirlos.

En Navidad, es especialmente necesario mantener la cautela no vaya a ser que recibamos un "regalo" inesperado.

Pues eso, cuidado ahí fuera y...

¡Feliz Navidad a todos!

Gracias a Urban Design he encontrado un buen lugar para inspirarse a la hora de hacer un diseño nuevo. Misspato recoge 473 sitios con excepcionales diseños, organizados en 14 estilos, seleccionados por la diseñadora portuguesa Patricia Carvalho.

"Windows XP: Sobrevivir al primer día" es el título de una pequeña guía que ha publicado el SANS Institute y que ha sido traducida al castellano por Hispasec (incluidas las capturas de pantalla). La guía no es un documento sobre como asegurar un Windows XP, sino, simplemente, cómo conseguir conectar a Internet un Windows XP nuevo (recién instalado desde un CD) o preinstalado sin ser infectado por el gusano Blaster durante el tiempo que se tarda en bajar las actualizaciones de seguridad (casi 50 MB, además es bastante probable que sea necesario reiniciar varias veces).

Siguiendo la guía (que puede conseguirse siguiendo este enlace), se puede evitar que lo primero que hagan con su equipo aquellos que reciban un ordenador como regalo estas navidades sea coger un virus.

Como siempre, le toca a otro hacer el trabajo de soporte a Microsoft, ya que ellos no se molestan en hacerlo. Aún así, la gran mayoría de los que deberian leer la guía ni siquiera se enterarán de su existencia. Microsoft debería poner un aviso de que su producto es vulnerable y no está preparado para conectarse a Internet en la caja de Windows XP y traer una guía como ésta en el interior. Pero claro, eso sería lo lógico y normal en un mundo mejor que éste, en el que los productores de software aceptaran una mínima responsabilidad por los productos que venden. En el mundo que vivimos lo normal es que lo primero que le pase a tu ordenador nuevo recién estrenado, después de menos de cinco minutos conectado a Internet y sin que tengas que hacer nada en especial, es que un virus te infecte y tu equipo comience a reiniciarse solo.