VSAntivirus publica una lista de programas antispyware que no sólo no cumplen con su cometido, sino que ellos mismos agregan estos molestos programas que se supone debían eliminar. Es un tema que ya toqué de refilón el año pasado (aunque sólo daba un ejemplo). Los programas de este tipo que nunca deben instalarse son:

• AdProtector
  
• AdwareHunter (adwarehunter.com, browser-page.com)
  
• AdWareRemoverGold (adwareremovergold.com)
  
• BPS Spyware & Adware Remover (bulletproofsoft.com)
  
• InternetAntiSpy (internetantispy.com)
  
• NoAdware (noadware.net, netpalnow.com)
  
• Online PC-Fix SpyFerret
  
• PurityScan (purityscan.com, puritysweep.com)
  
• Real AdWareRemoverGold (adwareremovergold.com, sg08.biz)
  
• SpyAssault (spyassault.com)
  
• SpyBan (spyban.net)
  
• SpyBlast (spyblast.com, advertising.com)
  
• Spyblocs/eBlocs.com (eblocs.com)
  
• Spybouncer (spybouncer.com)
  
• SpyDeleter (spydeleter.com, 209.50.251.182)
  
• SpyEliminator (securetactics.com)
  
• SpyFerret (onlinepcfix.com)
  
• SpyGone (spygone.com)
  
• SpyHunter (enigmasoftwaregroup.com, spywareremove.com, spybot-spyware.com)
  
• SpyKiller (spy-killer.com, maxionsoftware.com, spykiller.com, spykillerdownload.com)
  
• SpyKillerPro (spykillerpro.com)
  
• Spyware Annihilator (solidlabs.com)
  
• SpywareBeGone (spywarebegone.com, freespywarescan.org)
  
• SpywareCleaner (www.checkforspyware.com, www.spw2a.com/sc/)
  
• SpywareCrusher (spywarecrusher.com)
  
• SpywareInfoooo.com
  
• SpywareKilla (spywarekilla.com)
  
• SpywareNuker (spywarenuker.com, trekblue.com, trekdata.com, spyware-killer.com)
  
• SpywareRemover (spy-ware-remover.com, spywareremover.com)
  
• SpywareThis (spywarethis.com)
  
• SpywareZapper (spywarezapper.com)
  
• SpyWiper (mailwiper.com)
  
• ssppyy pro (ssppyy.com)
  
• TZ Spyware Adware Remover (trackzapper.com)
  
• VBouncer/AdDestroyer (spywarelabs.com, virtualbouncer.com)
  
• Warnet (warnet.com)
  
• XoftSpy (download-spybot.com, paretologic.com, downloadspybot.com, no-spybot.com)
  
• ZeroSpyware (zerospyware.com, zeroads.com)
  

Se añade además como sospechoso Spyware X Terminator. Tengo que recordar que hay también en VSAntivirus otra lista con los programas de descarga P2P que nadie debería instalarse por las mismas razones. Los programas antispyware que funcionan, son gratuitos y no traen sorpresas pueden encontrarse en mi propia lista.

Nota: La falta de enlaces directos en la lista es intencionada.

Java es una tecnología que la mayoría de navegadores soporta y, en muchos de ellos, está activada por defecto; en los casos en los que esto no es así, es bastante común instalar el plug-in (disponible de forma gratuita) y dejarlo activado para siempre. Ésto no es una buena idea dado que Java sólo es necesario en momentos muy puntuales (web-chats y algunas animaciones, principalmente) y la mayor parte del tiempo no hace ninguna falta.

Una de las reglas básicas de seguridad es mantener desconectado todo lo que no sea necesario de forma inmediata. Los problemas de seguridad pueden aparecer en cualquier parte y en cualquier momento, por lo que es razonable tratar de minimizar en lo posible el número de cosas que pueden hacernos vulnerables.

A modo de ejemplo, vamos a ver un caso de spoofing que se dió el mes pasado con los clientes de un banco estadounidense, con el objetivo de robar los números de cuenta, de tarjeta de crédito, de la seguridad social, así como sus nombres y direcciones:

Las víctimas de éste engaño recibieron un correo electrónico que aparentaba provenir de su banco. En el código del correo, había un exploit para uno de los varios fallos conocidos de Outlook y Outlook Express que aún no han sido corregidos que permiten falsear la dirección a la que apunta un enlace en la barra de estado de los clientes de correo de Microsoft (hay muchos de éstos, tres distintos sólo en el mes pasado). En el texto visible del correo se pedía que se visitase una dirección dentro del sitio web del banco, proporcionando el enlace trucado. Si el usuario engañado pinchaba el enlace, Internet Explorer cargaba una página en un servidor controlado por los estafadores, en el que había una copia de la página original del banco que incluía un applet Java, que superponía una imagen con la dirección correcta del banco sobre la barra de direcciones de Internet Explorer, para impedir que se viese la dirección real. Es un método bastante más sofisticado que el primer Spoofing Visual que vimos, ya que con este procedimiento es posible incluso seleccionar y modificar el contenido de la barra de direcciones, sin notar el engaño.

En la ficha de Antiphising.org del caso pueden verse imágenes y comprobar que el engaño era casi perfecto.

En este caso, el tipo de objetivo del ataque era muy definido: usuario de Outlook o Outlook Express, con Java activado en Internet Explorer (muy definido, pero dado que es el caso más común, no es un problema para los timadores); pero hay que tener en cuenta que otros clientes de correo han tenido o tienen vulnerabilidades que permiten falsificar el auténtico destino de un enlace (al cliente Eudora, hace muy poco le salió una de éstas) y, aunque este applet Java concreto sólo funciona en IE, es posible que una variante del mismo programa pudiese afectar a otros navegadores. El consejo de desactivar Java si no hace falta va para todos, no sólo para los que usen Internet Explorer.

Secunia advierte de que se han descubierto dos nuevas vulnerabilidades en Internet Explorer de la máxima gravedad que permiten descargar, instalar y ejecutar cualquier programa sin que el usuario sea advertido de lo que sucede.

Se sabe con seguridad que se está usando para instalar adware y se rumorea que hay al menos una versión del troyano Agobot que también las está usando para propagarse.

De momento, no hay parches (salvo que Microsoft ofrezca uno para ésto en las actualizaciones que se esperan para hoy), así que la solución más fácil y segura es usar otro navegador.

Hay más detalles y una prueba de concepto para comprobar que funciona (de forma inofensiva) en Neohapsis.

Actualización 10/06/2004

Se ha confirmado que este método también funciona a través de Outlook y Outlook Express.

Aquellos que no puedan instalar otro navegador (por ser el del trabajo y no tener permisos para instalar programas, por ejemplo), pueden seguir las instrucciones de este artículo de VSAntivirus relativas a deshabilitar Active Scripting; ésto impedirá que el exploit funcione. No recomiendo esta solución para todo los usuarios de IE porque al deshabilitarlo, desactivamos ActiveX y Javascript y, la falta de éstos (sobre todo, del último), puede afectar a la navegabilidad de muchos sitios. Para la mayoría, es mejor probar las alternativas libres.

No hay una configuración similar para los clientes de correo de Microsoft que minimice el problema, así que lo único que puede hacerse es no hacer clic en ningún enlace desde estos programas, algo que, de todas formas, no debería hacerse nunca, por razones ya explicadas.

El cuento, reproducido en docenas de correos eléctronicos estúpidos distintos durante los últimos años, del virus imparable que borra todo el disco duro, es eso, un cuento. Los programadores de virus encuentran mucho más productivo controlar las máquinas infectadas (y usarlas para enviar spam, atacar los sitios web de otros, etc.) que destruirlas. Los virus que hacen ésto último son muy pocos y hacía años que no teníamos uno.

Los que hayan notado el énfasis en el tiempo pasado del párrafo anterior, que se sumen diez puntos, según Symantec tenemos uno nuevo: VBS.Pub.

Antes de abrir tu cliente de correo y escribir un e-mail del tipo que decía al principio sigue leyendo.

Sí, puede borrar todo el disco duro, pero tampoco es para tanto, me explico:

Como su nombre indica es un virus hecho en Visual Basic Script y, por tanto, sólo puede ejecutarse a través de Internet Explorer, Outlook Express, Outlook y algunos de los otros programas de Microsoft Office. Como es habitual, viene en un archivo adjunto al correo, y mientras éste archivo adjunto no sea abierto con ninguno de los programas de Microsoft que pueden ejecutarlo, no puede infectar a nadie. Hay un gran número de virus y troyanos escritos en Visual Basic Script, porque, además de ser muy fáciles de hacer, como es un lenguaje de la propia Microsoft permite llegar practicamente a cualquier parte del sistema operativo Windows (en cualquiera de sus versiones), lo que los hace muy potentes; aparte del lenguaje en que están escritos, todos ellos tienen en común que pueden llegar en un archivo con las siguientes extensiones: .asp, .hta, .htm, .htt, .html, .vbe y .vbs.

Mientras no abras ningún archivo con esas extensiones con un programa de Microsoft, no puedes infectarte ni con VBS.Pub ni con ninguno de los otros "bichos" escritos usando VBS.

Moraleja:
Los programas de Microsoft listados arriba no son seguros, y no deberían usarse para examinar ningún archivo que nos llegue a través de la Red, ya sea por correo electrónico o descargándolo directamente.

Según ha publicado recientemente The Register en un artículo basado en un estudio de Sandvine, una empresa especializada en la optimización de recursos de red, el 80% del spam se envía desde ordenadores personales infectados y controlados por troyanos, sin el conocimiento de su dueño (a los equipos controlados de ésta forma se les llama zombies).

Ya han quedado atrás los tiempos en que la avalancha de spam podía ser controlada mediante listas negras que bloquearan los servidores de correo dedicados a ésto o aquellos que algún irresponsable mantenía mal configurados. Ahora ya no son unos pocos cientos de servidores aquí o allá, sino un ejército (en realidad, son varios, cada spammer profesional tiene el suyo) de decenas o cientos de miles de PCs infectados. No es posible bloquear a cada uno de éstos equipos individualmente, en primer lugar, porque sus IP son dinámicas y cambian cada vez que se conectan a Internet y, en segundo, porque los ordenadores antes o después son desinfectados; pero, al mismo tiempo, otros están siendo infectados y ocupando su lugar. Es una dinámica que no puede detenerse mientras existan usuarios descuidados con la seguridad de sus ordenadores.

La gente que controla estos ejércitos son mercenarios, y no se dedican exclusivamente a enviar spam. Hay más cosas para las que puede servir un número ingente de ordenadores bajo las ordenes de una sola persona (o de un grupo), y la magnitud de los "trabajos" que pueden realizar se incrementa, según aumenta el número de equipos bajo control, de ahí que la mayoría de las últimas oleadas de gusanos tenía como objetivo engrosar las filas de alguno de estos ejércitos.

Mi insistencia en llamarlos ejércitos no es gratuita, pues es habitual que se usen como fuerza de ataque, además no hay objetivo pequeño ni demasiado grande para ellos. Últimamente algunos de estos grupos incluso tienen el descaro de ofrecer publicamente sus servicios; y es lógico, pues a medida que Internet crece, y más y más usuarios sin nociones de seguridad, ni del funcionamiento de la misma Internet se conectan a la Red, su poder potencial se multiplica.

Para la supervivencia de la Red a largo plazo, es esencial que se creen programas de educación para usuarios a nivel global. Internet es una red global, la solución de sus problemas también debe serlo.

La 1ª Campaña Mundial de Seguridad en la Red es un paso en la dirección adecuada.

Firefox 0.9 ha salido finalmente sin una de las características de seguridad anunciadas: la lista blanca de sitios que pueden pedir al usuario que acepte instalar una extensión mediante XPIs.

Aunque finalmente el sistema de lista blanca está listo, como el desarrollo se retrasaba se decidió sacar la 0.9 sin él.

Ya vimos los problemas que podía ocasionar a los usuarios de Firefox en Windows la falta de un modo de bloquear que sitios maliciosos lanzaran la ventana de confirmación de instalación.

La capacidad de bloqueo está implementada en Firefox 0.9, y puede controlarse desde el menú Edit > Preferences como puede verse en la imagen (haz clic para verla ampliada):



Al desmarcar la casilla, ningún sitio podrá ofrecer el dialogo de instalación automáticamente, sin embargo, sí que aparecerá al pinchar en un enlace en, por ejemplo, Mozilla Update. Éste debería ser el comportamiento por defecto, pero no lo es, la casilla aparece marcada al terminar la instalación. Al parecer, se ha decidido esperar a que el interfaz de la lista blanca, que está en pleno desarrollo, esté terminado para activar el bloqueo por defecto, lo que para mí no tiene sentido (dejarla marcada es como seguir en la 0.8 a este respecto) y aconsejo desmarcar esa casilla ya mismo.

Aquellos que no tengan miedo de probar software pre-beta, encontrarán un enlace para descargar e instalar (es un XPI) una versión de prueba del interfaz (0.2.1) en el último enlace a Bugzilla. Los que no quieran instalarlo pero tienen curiosidad por saber que pinta tiene, que sigan leyendo.

Sólo hace unos minutos que lo tengo instalado, pero tras unas pocas pruebas, parece perfectamente funcional. Añade un botón a la sección Software Update (ver imagen)



Pulsando en él aparecerá la interfaz. En principio, la lista viene en blanco, hay que marcar la casilla "Enable the XPI whitelist" y añadir los dominios que nos parezcan seguros con el botón Add.



Finalmente, si escribimos about:config en la barra de direcciones y usamos el filtro xpinstall podremos ver los cambios que realiza este XPI de lista blanca (en negrita en la imagen, 80KB)



Espero que en cuanto esté más probado y pulido y sea seguro que se active por defecto tras la instalación, lo suban a Mozilla Update y le dediquen un recuadro especial.