A través de los foros de MozillaZine me entero de que al menos un página de búsqueda de cracks está intentando instalar spyware a través del sistema XPI que los navegadores con motor Gecko usan para instalar extensiones. Si, en cambio, el navegador es Internet Explorer la página intentará instalar un control ActiveX. El spyware que se instala en ambos casos es XXXToolbar, así que toca hacer comparaciones de navegadores otra vez, en este caso Firefox 0.8 e Internet Explorer 6 SP1 con todos los parches instalados.

En mis pruebas con Firefox no salió el cuadro de diálogo pidiéndome que instalara la extensión maliciosa (Content Access Plugin 1.01), ni siquiera al intentarlo con una instalación por defecto. En MozillaZine también hay varios usuarios que están en la misma situación, el cuadro de diálogo no aparece automáticamente, como debería al cargar la página; probablemente, porque el javascript que trata de identificar al navegador no es muy bueno. Para instalar la extensión y probar qué hace exactamente tuve que bajarla al disco duro y después abrirla con Firefox.

Tras pulsar el botón de "Instalar ahora" (o en el mensaje del control ActiveX "OK"), se instala un archivo EXE (por lo que sólo funcionará en Windows, no en Linux, ni en Mac OS X, ni en ninguna de las otras plataformas en las que funciona Firefox), que ejecuta y éste, a su vez, descarga unos cuantos archivos más. Mientras en la prueba con IE, el firewall no se quejó, pues el control ActiveX usaba el mismo navegador de Microsoft para bajar los archivos, usando Firefox, el firewall saltaba a cada archivo, avisando de las descargas y ofreciéndome detenerlas). Una vez terminada la instalación, cerré Firefox y intenté abrirlo de nuevo, para ver si había algún cambio, pero se negó a abrirse hasta que reinicié. En la prueba con Internet Explorer, al intertar abrirlo de nuevo el sistema se reinició solo.

Tras reiniciar, me llevé un chasco, pues esperaba que XXXToolbar se hubiese instalado en Firefox como una extensión, pero éste no había sufrido cambio alguno. Al parecer, los archivos que se descargan son idénticos en ambos casos (control ActiveX o XPI) y los cambios siempre se realizan siempre sobre IE. A partir de aquí, pues, ya no hay comparación posible, los dos casos son idénticos: mientras Firefox continúa igual, Internet Explorer tiene una página de inicio nueva, que está fijada mediante el registro de Windows, usa un buscador de ocio y pornografía en lugar del de MSN y luce una barra que recomienda páginas pornográficas con buscador integrado y muestra publicidad en forma de pop-ups a cada momento.

Un repaso con Spybot-S&D actualizado dió como resultado 44 problemas, entre cambios en el registro de Windows, archivos ejecutables y librerías de sistema instaladas por el spyware.

Se ha abierto un informe de bug en Bugzilla para que en la proxima versión de los navegadores Gecko no haya posibilidad de que aparezca el cuadro de descarga automáticamente. También se está preparando un centro de control de extensiones mejorado que permita desintalarlas con facilidad.

Según parece, el Service Pack 2 para Windows XP, cuando salga, desactivará por defecto (por fin) los controles ActiveX en Internet Explorer, las actualizaciones se llevarán a cabo desde el Panel de Control de Windows en el nuevo Centro de Seguridad. Asimismo, traerá una nueva versión de IE, la 6.05, que vendrá con la posibilidad de instalar (mediante controles ActiveX) y desintalar add-ons (similar a las extensiones de Mozilla y Mozilla Firefox) desde un panel de control en el navegador. No está claro si Internet Explorer 6.05 estará disponible para otras versiones de Windows distintas de XP.

Tal y como adelanté a finales de enero, el portal comunitario Nautopia estrena su versión 3.0, con un nuevo formato (Movable Type), nuevo diseño, nuevo alojamiento y nuevo dominio: Nautopia.net.

De postre, han traducido al castellano el Manual de Usuario de Movable Type.

Una vez más, la integración de Internet Explorer con el sistema operativo Windows es fuente de problemas de seguridad. En este caso, se trata de que se usa el motor de IE para mostrar los ficheros de ayuda de Windows y es posible llamarlos desde una página web (ya sea pinchando en un link o automáticamente usando javascript) mediante dos protocolos propietarios de Microsoft que sólo entiende Internet Explorer. No es la primera vez que hay problemas con estos protocolos, que han sido parcheados en distintas ocasiones. Secunia le otorga una gravedad de 4 en una escala de 5.

Mediante la nueva forma de explotar la debilidad del sistema de archivos de ayuda de Windows, en combinación o no con otras vulnerabilidades que aún no han sido parcheadas puede conseguirse lo siguiente:

• Comprobar la existencia de un fichero en una localización concreta dentro del árbol de directorios de Windows.
  
• Abrir un fichero de ayuda que se encuentra en un servidor remoto. Ésta es incluso divertida, si se usara éste sistema para abrir pop-ups, ningún antipop-up para IE (esto incluye el que vendrá integrado en IE 6.05 dentro del SP2 para Windows XP) podría detenerlas, porque el navegador de Microsoft las dibuja a petición del sistema de ayuda.
  
• Instalar y ejecutar programas y hacerlos funcionar en segundo plano, en modo invisible para el usuario (para instalarlos es necesario usar otra vulnerabilidad distinta, de ahí que ésta no reciba el nivel de gravedad máximo).
  

Una solución es eliminar la asociación de los archivos CHM con IE, esto desactivará el sistema de ayuda pues ya no habrá ningún programa capaz de abrir los ficheros. Otra solución es editar el registro de Windows y en la rama HKEY_CLASSES_ROOT/PROTOCOLS/Handler, eliminar los protocolos ms-its(its) y mk:@MSITStore (si alguien se decide a jugar con el registro de Windows, haced copia de seguridad antes, que nunca se sabe).

Windows 98 es inmune a ésta vulnerabilidad, ya que las librerías de su sistema de ayuda son distintas y funcionan de forma diferente a las de las versiones más modernas de Windows.

A estas alturas, no creo que quede nadie que no se haya enterado de que Google está preparando el lanzamiento de Gmail, un nuevo servicio de webmail gratuito con capacidad de 1GB, una cantidad de almacenamiento entre 170 y más de 500 veces superior a lo que ofrecen las compañías líderes de la competencia: Yahoo! y MSN Hotmail, entre otras.

Sin embargo, hay una gran cantidad de confusión y desinformación alrededor de la forma que Google va a usar para financiar Gmail: su servicio de publicidad Google AdSense y sus anuncios de texto relevantes respecto al contenido. Se especula que el hecho de permitir que Google AdSense explore y registre los mensajes en busca de palabras clave para introducir publicidad basada en texto en consonancia con el contenido, puede menoscabar la privacidad del usuario del servicio y se están levantando numerosas voces en contra de Google por este motivo.

Desde luego, la privacidad puede quedar en entredicho con el servicio de Google, pero es que la competencia no está mejor. De hecho, lo corriente no es sólo no garantizar en modo alguno la privacidad de los correos electrónicos, sino obligar al usuario, mediante el contrato que le da derecho a una cuenta de correo gratuita, a ceder los derechos del contenido de cualquier envío a la empresa prestadora del servicio; es decir, que no sólo no te garantizan que no leerán tus correos, sino que se arrogan la propiedad del contenido de los mismos. A continuación dos ejemplos, que, espero, sean suficientemente explicativos por sí mismos:

De las Condiciones de uso de Hotmail, punto 6:

Con respecto a cualquier material que usted envíe o de otro modo proporcione a Microsoft en relación con los Sitios Web de MSN (un “Envío”), usted autoriza a Microsoft a (1) usar, copiar, distribuir, transmitir, mostrar públicamente, ejecutar públicamente, reproducir, editar, modificar, traducir y cambiar el formato de su Envío, siempre en relación con los Sitios Web de MSN y (2) sublicenciar estos derechos, en la medida de lo permitido por la ley aplicable. Microsoft no le pagará a usted nada por su Envío. Microsoft podrá eliminar su Envío en cualquier momento. En lo que respecta a cada Envío, usted manifiesta tener todos los derechos necesarios para conceder la autorización prevista en esta cláusula. En la medida de lo posible de acuerdo a lo permitido por la ley en vigor, Microsoft podrá controlar su correo electrónico u otras comunicaciones electrónicas y podrá revelar dicha información, en caso de que estime que tiene las razones suficientes para creer que efectivamente resulta necesario, al objeto de garantizar el cumplimiento de este Contrato y de proteger los derechos, propiedad e intereses de los Colaboradores de Microsoft o cualquiera de sus clientes.

De las Condiciones del Servicio de Yahoo!, punto 10.7:

Salvo que expresamente se manifieste lo contrario en las Condiciones Particulares, la remisión por parte de los Usuarios de informaciones y/o contenidos a las secciones de acceso público de este Portal (incluyendo, a título meramente enunciativo, maquetas, sugerencias, ideas, dibujos, conceptos, comentarios, preguntas, o cualesquiera otros de análoga significación) a través del correo electrónico o de cualesquiera otros medios, implicará el otorgamiento a favor de Yahoo! de una licencia no exclusiva, sin límite en el tiempo, de ámbito mundial y de carácter gratuito para reproducir, almacenar, editar, modificar, publicar, incorporar en bases de datos, comunicar públicamente, transmitir, visualizar, distribuir, representar o, en cualquier otra forma, explotar comercialmente, en todo o en parte, tales informaciones o contenidos titularidad del Usuario en el Portal en cualquier forma o a través de cualquier medio o tecnología. Yahoo! se reserva el derecho, a su sola discreción, de editar, rechazar o eliminar las informaciones y/o contenidos antes referidos.

Creo que no hace falta añadir nada más, pero por si acaso, vamos a comparar con los Términos de Uso de Gmail, punto 5 (traduciré a continuación):

Google does not claim any ownership in any of the content, including any text, data, information, images, photographs, music, sound, video, or other material, that you upload, transmit or store in your Gmail account. We will not use any of your content for any purpose except to provide you with the Service.

Traducido:

Google no reclama la propiedad de ninguno de los contenidos, inclyendo texto, datos, información, imágenes, fotografías, música, sonido, video, o cualquier otro material, que suba, trasmita o almacene en su cuenta Gmail. No usaremos ninguno de sus contenidos para propósito alguno, con la excepción de proporcionarle el servicio mismo.

Concluyendo, que el alboroto formado alrededor de Google y la privacidad de sus usuarios está siendo claramente exagerado, ya que, de hecho, sus condiciones son mejores y más respetuosas que las de la competencia.

Actualización 5/4/2004

En google.dirson.com también se trata el tema.

La vulnerabilidad en el cliente de la red P2P eDonkey eMule está explicada en Hispasec. La nueva versión del cliente de eMule, 0.42e, la corrige. Se recomienda actualizar inmediatamente, porque hay códigos en circulación que permiten aprovechar la vulnerabilidad.

El fallo en el reproductor multimedia WinAMP afecta a todas sus versiones desde la 2.91 (probablemente, también anteriores) hasta la 5.02. Consiste en un error en el manejo de los archivos de Fasttracker 2 que puede permitir la ejecución de código remota, por ejemplo, engañando al usuario para que visite una página web y reproduzca un archivo de ese tipo. La nueva versión 5.03 de WinAMP corrige el bug.

Microsoft publicó ayer los boletines de seguridad de este mes, junto con sus parches asociados. En total, cuatro parches que corrigen un total de 20 vulnerabilidades. Todas las versiones de Windows están afectadas, como mínimo, por cinco de estos fallos.

Se quejan en Hispasec, con razón, de que Microsoft cada vez da menos información en sus boletines. Esto es así hasta tal punto que es difícil decir, al menos a primera vista, qué es lo que han corregido, sobre todo si tenemos en cuenta que, al menos para mí, la lista de los fallos pendientes comenzaba a ser inmanejable, por lo extensa.

Para los usuarios domésticos, lo más importante son varios fallos arreglados que permitían ejecutar cualquier código remotamente (y por lo tanto servían de punto de entrada de virus y troyanos) en Outlook Express, Internet Explorer y el servicio RPC, que el gusano Blaster hizo famoso el verano pasado y que no ha dejado de dar problemas desde entonces, ya he perdido la cuenta de cuantas veces ha sido necesario parchearlo.

A pesar de que el número de vulnerabilidades arregladas este mes es alto, Microsoft está lejos de ponerse al día y tanto Internet Explorer como Outlook y Outlook Express quedan muy lejos de poder ser considerados seguros. El último bug de Internet Explorer, no es que sea precisamente un fallo de seguridad, pero es ilustrativo de hasta que punto con este navegador los problemas no terminan nunca: un sencillo javascript permitiría a un webmaster con mala idea, enviar la página que se visita a la impresora de una a infinitas veces, sin pedir confirmación y, supongo, dando un buen susto al usuario (una cosa es que se te abra un pop-up y otra que salga impreso por sextuplicado).

Otro punto curioso es ver como, cada vez más, las versiones de Windows más modernas y consideradas más seguras por la propia Microsoft, como XP o 2003 Server, sufren de fallos críticos que no tienen efecto alguno o un efecto mucho más moderado en los vetustos Windows 98 y NT 4.

Al hilo de lo que decía el otro día sobre la cada vez mayor falta de información en los boletines de seguridad de Microsoft, hay que añadir que siempre han usado un vocabulario algo especial en sus comunicados hasta el punto de que, como comenta rvr en su bitácora de Barrapunto alguien ha creído necesario hacer un diccionario Microsoft-Inglés.

Sin embargo, a veces, son realmente muy claros y directos. En la Microsoft Knowledge Base se encuentran recopilados los problemas conocidos del software de Microsoft junto con la solución recomendada por ellos mismos; gracias a Kim Scarborough tengo un ejemplo de lo que decía al principio del párrafo. La página de la Knowledge Base en cuestión describe un error de Outlook 2002 que impide el uso del programa, según Microsoft éstas son la causa y la solución del problema:

CAUSA
Este problema puede producirse si tiene usted un antivirus o un firewall instalado y funcionando en su computadora.

SOLUCION
Para resolver este problema, desinstale el antivirus o el firewall de su computadora.

¿Está claro, no? Gran solución. La página de la que hablo, hasta ayer, podía encontrarse aquí. Para evitar la publicidad negativa, Microsoft ha retirado el artículo que, en estos momentos, se estará reescribiendo. A ver qué dice cuando lo terminen.

Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de 23/04/2004 19:24 Enlace permanente. Tema: Opinión No hay comentarios. Comentar.

Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha una vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de scripting tienen una cosa en común: la flexibilidad. Es decir, que pueden hacerse scripts muy diferentes entre sí que hagan exactamente lo mismo. Por eso, ayer podría ser cierto que el antivirus de Panda detectaba ese script, hoy quizá ya no lo sea, si el autor ha decidido modificar su código.

Lo que funciona bien con los virus, que son programas bastante complejos, y es díficil hacer grandes cambios, no funciona tan bien con los scripts, que son muy sencillos, y muchas veces se componen de sólo una o dos líneas de código.

Vía blogpocket me entero de la existencia de DialerSpy, un programa anti-dialers de origen polaco que en su nueva versión ya es multi-lenguaje. La traducción al castellano ha sido realizada por red.es.

No ofrece nada que no hiciera ya CheckDialer (nota anterior sobre éste último), pero tampoco hace menos y es bueno tener dónde elegir. Lo he añadido a la lista de programas gratuitos de seguridad que mantengo en navegaseguro.es.tt.