Según el weblog de la conocida firma de seguridad Kaspersky Lab, el adware ha cruzado la línea que separa este tipo de programas maliciosos de los virus y ya hay al menos uno que infecta ficheros ejecutables.

El ejemplar en cuestión pertenece a la familia CoolWebSearch, que además de ser un adware clásico, también secuestra la página de inicio de Internet Explorer y, en ocasiones añade una barra de búsqueda al navegador de Microsoft, y que se ha ganado una merecida fama de extremadamente difícil de eliminar. Con esta innovación, CoolWebSearch dará todavía más quebraderos de cabeza a los que intenten deshacerse de él y sobre todo a los programas especializados en eliminar spyware y adware, ya que no están equipados con la tecnología necesaria para desinfectar ficheros. Es más, el código con el que se infecta los ficheros legítimos no es una copia de este nuevo adware/virus sino un lanzador que lo pone en marcha, así que eliminar el adware sin desinfectar los ficheros podría dar problemas de estabilidad adicionales.

Como noticia relacionada, Microsoft acaba de anunciar en una nota de prensa que adquiere la compañía líder en tecnología antispyware Giant Company Software y promete tener una beta de antispyware propio basado en los desarrollos de esta compañía en el plazo de un mes.

Habrá que ver cómo afecta ésto a programas que han demostrado ser efectivos y confiables y con mayor experiencia en éste campo como Ad-Aware, Spybot-Seach & Destroy y PestPatrol.

La gente de Secunia ha descubierto una vulnerabilidad que afecta a, al menos, todos los navegadores con una cuota de mercado significativa, esto es Internet Explorer, Mozilla/Firefox, Opera, Netscape, Konqueror y Safari. Hay una prueba de concepto disponible para todos ellos.

El agujero de seguridad que deja al descubierto no es muy peligroso por sí mismo. Permite construir un sitio web malicioso que inyectará contenido en otra página cuando el usuario pulsa un enlace hacia ésta última. Sin embargo, el engaño, aunque novedoso, resulta muy pobre sin la posibilidad de falsear la dirección de la barra de direcciones o el certificado de seguridad de un sitio.

Aunque en Secunia han colocado el mismo nivel de gravedad de la vulnerabilidad en todos los navegadores, lo cierto es que hay grandes diferencias, sobre todo si comparamos Firefox, el más seguro, con Internet Explorer, el más inseguro, el resto quedarían en un punto intermedio. Vamos a ver algunas:

• La prueba de concepto intenta eliminar la barra de estado. En Firefox 1.0 (en la configuración por defecto) no es posible eliminarla.
  
• Se intenta eliminar también la barra de direcciones (esto evitaría la necesidad de otra vulnerabilidad para falsificarla). Es posible configurar Firefox de manera que ésto tampoco sea posible.
  
• En páginas seguras (que son los objetivos más jugosos para este tipo de engaños) Firefox muestra en la barra de estado (que, recordemos, no es posible eliminar) dónde estamos realmente, aunque haya desaparecido nuestra barra de direcciones.
  
• La costumbre de usar el botón central del ratón para abrir todo en nuevas pestañas (algo que se vuelve autómatico al poco de usar Firefox) ocasiona que la prueba de concepto no funcione. Aunque me da la impresión de que el código malicioso puede mejorarse sin muchas dificultades para que funcione con pestañas, en principio no se ha tenido en cuenta el uso de éstas, y sólo Internet Explorer carece de ellas.
  
• Firefox 1.0 no tiene ningún otro fallo de seguridad conocido con el que combinar éste para mejorar el engaño. Internet Explorer tiene al menos otros 10 que permiten hacerlo casi perfecto.
  

En resumen, dependiendo del navegador usado, un sitio malicioso podría engañar o bien sólo a los más novatos, o bien hasta al más experto, sino está especialmente atento en ese momento.

Además, esta vulnerabilidad nos da otra oportunidad para ver cómo de rápido responden unos y otros al mismo fallo. Hagan sus apuestas.

Hace unos días en Barrapunto se habló sobre un artículo de USA Today que comentaba los resultados de un estudio que demostraba cómo máquinas limpias eran convertidas en zombies sólo minutos después de conectarlas a Internet, sin hacer nada más, sólo permanecer conectadas.

En concreto, un Windows XP SP1 sin los parches posteriores, tardaba cuatro minutos en sufrir la primera intrusión y media hora después ya estaba siendo controlado remotamente y era usado para buscar más máquinas desprotegidas.

Si en su día leíste Infectados en 20 minutos ésto no debería sorprenderte. Lo que sí puede ser sorprendente es que ese tiempo todavía puede disminuir drásticamente si se hace algo más que simplemente permanecer conectado a la Red, como por ejemplo, usar Internet Explorer. Mariano y Andrea enlazaron la semana pasada un artículo de Benjamin Edelman en el que se preguntaba ¿Quién se beneficia de los agujeros de seguridad? y desde el que se puede acceder a un vídeo (8 minutos, 4,3MB, formato Microsoft ASF) que demuestra que basta un solo minuto para comprometer seriamente un sistema Windows XP si se usa Internet Explorer.

En el vídeo se visita una página preparada para aprovechar los agujeros de seguridad de Internet Explorer que están sin corregir (no hay parche) y el resultado es que se instalan 16 programas distintos de tipo spyware, se cambia el fondo de pantalla por un anuncio y aparecen varios elementos nuevos en el escritorio, algunos de ellos dialers con imágenes de sexo explícito como icono. En un minuto. Y visitando una sóla página.

Hay que tener en cuenta que lo que se instala es spyware y no herramientas de control remoto, no porque no se pueda, sino porque no se quiere. Como dice Benjamin Edelman en su artículo, quien prepara estas páginas cobra por instalación de las empresas que se anuncian o de las que recaban los datos extraídos de las máquinas comprometidas. Si el objetivo fuese otro, como por ejemplo, reunir suficientes máquinas zombies como para atacar un sitio y eliminarlo de la Red (vease el reciente caso de Lycos y su salvapantallas contra el spam) lo que se instalaría sería más grave que el spyware.

Panda Software informa en una nota de prensa de la aparición del gusano de correo Tasin. Sus características más destacables son que se dirige al receptor del correo infectado en español y que borra ficheros con determinadas extensiones. No trata de destruir el sistema sino borrar archivos de datos del usuario, como imágenes, videos, música, presentaciones, documentos de texto, entre otros.

Como es habitual en este tipo de gusanos, trata de distraer al usuario de distintas formas (según la versión) mientras lleva a cabo la infección y comienza a enviar correos infectados con su propio motor SMTP.

Hasta el momento se han detectado tres versiones distintas, Tasin.A, Tasin.B y Tasin.C. Las dos primeras están entre los virus más frecuentemente detectados estos últimos días.

Avisan en Nautopia que se han descubierto dos nuevos fallos de seguridad en Internet Explorer. Los detalles allí, en Dos más para IE.

Cito los efectos:

La combinación de ambas vulnerabilidades podría ser explotada desde un portal malicioso para engañar al usuario, al facilitar la descarga de ejecutables maliciosos enmascarados como documentos HTML.

En Microsoft no dan abasto para tapar agujeros, actualmente, con un registro de 18 vulnerabilidades sin corregir, es el navegador más inseguro que existe. Incluso con el famoso Service Pack 2 para Windows XP instalado, hasta un usuario avanzado tiene que ir con cien ojos para evitar que se le cuele de todo a través del navegador; un navegador anticuado, lento, que no ha cambiado apenas nada en los últimos 3 años, y que, desde su aparición, practicamente no ha habido un momento en que no pudiera usarse para tomar el control de un equipo remotamente. En ésto último también tiene un record negativo, la tercera parte de los fallos de seguridad que se le han descubierto permiten el acceso remoto a un sistema.



Como puede verse en la imagen, lo normal es que se descubran dos o más vulnerabilidades al mes en IE6. Pero eso no es lo más grave, lo más grave es que Microsoft, de media, tarda más de un mes en disponer de parches para solucionarlas. El resultado es que, no importa si se está al día con los parches o no, el navegador siempre es vulnerable de una manera u otra. ¿Dos más para IE? La pregunta es ¿a alguien le extraña?

La compañía Finjan Software, que produce software de seguridad para Windows afirma en una nota de prensa (en español en VSAntivirus) que ha descubierto un total de 10 nuevos fallos de seguridad en Windows XP SP2.

Aunque no da detalles técnicos, se ha producido cierto revuelo por hacerlo público antes de que Microsoft tenga un parche para solucionarlas (de hecho, en Microsoft aún no están en situación de confirmar el alcance real de las mismas).

Además, es curioso que el anuncio de Finjan se produzca sólo unos días antes de presentar su nueva línea de productos.

Entre las vulnerabilidades se encontrarían los fallos usuales de Internet Explorer: incapacidad para impedir el acceso al sistema de archivos local, la falta de efectividad de las zonas de seguridad y una forma de evitar los avisos de descarga y ejecución de contenido activo (incluida la nueva barra amarilla).

De ser cierto, los usuarios de Windows XP SP2 estarían en la misma posición que el resto de usuarios de Windows (gracias a la última vulnerabilidad aparecida en Internet Explorer y a una conocida debilidad en el ICF) y podrían perder el control sobre su equipo simplemente viendo una página web con Internet Explorer, con la diferencia de que, en este caso, sólo la gente de Finjan y Microsoft sabe exactamente cómo hacerlo. Aunque, claro, para tomar el control de un Windows XP SP2 a través de una página web, siguen existiendo otros métodos para los que todavía no hay solución.

Un nuevo fallo de desbordamiento de buffer en Internet Explorer permite la instalación y ejecución de programas solamente viendo una página especialmente diseñada. El error se produce cuando se enfrenta al navegador de Microsoft con atributos SRC y NAME (entre otros) extremadamente largos en las etiquetas HTML FRAME, IFRAME y EMBED.

La semana pasada se publicó en la lista de corro BugTraq el código necesario para explotar la vulnerabilidad. Sólo cuatro días después, aparecieron dos nuevos virus que usaban ese código para propagarse. Como ya ocurrió en marzo de este año con algunas versiones del gusano Bagle no hay archivo adjunto en el mensaje de estos virus y basta con hacer clic en el enlace que incluyen para infectarse.

El fallo no afecta a Windows XP con SP2 instalado, pero se ha comprobado que funciona en XP SP1 con todos los parches, así como a Windows 2000 con todos los parches (otras versiones de Windows también podrían estar afectadas).

Soluciones:

• Desactivar el contenido activo en Internet Explorer.
  
• Usar un navegador y un cliente de correo más seguros.
  

En el día de ayer se hicieron públicos varios fallos de seguridad de distinta gravedad que afectan a (casi) todos los navegadores.

Por un lado, todos los navegadores que usan pestañas tienen un problema con el foco de los formularios web que se puede usar para intentar confundir a un usuario para que entregue su contraseña en un sitio malicioso pensando que está en un sitio seguro. Diversas variables, como abrir una pestaña mucho antes de tener intención de visitarla o abrir las pestañas al fondo por defecto, pueden minimizar la posibilidad de que el engaño sea efectivo. Hay más detalles y una prueba de concepto inofensiva en Secunia.

Éste es un problema principalmente del estándar javascript que da demasiado poder al webmaster (no es la primera vez que me quejo de ésto). Hace unos años Internet era un sitio más seguro y el lenguaje javascript cumplía su función, pero se está quedando obsoleto a pasos agigantados. Cada vez son más los navegadores que permiten bloquear varias funciones de javascript que hoy en día son claramente peligrosas, aunque en su momento tenían su papel y nadie pensó en los malos usos que podía dárseles, eran otros tiempos.

De entre los navegadores afectados, en el momento de escribir ésto, sólo Konqueror tiene ya corregido el problema en una versión considerada estable (en su versión 3.3.1, del 12 octubre), los navegadores Mozilla y Firefox tienen una solución que ya ha sido incluida en la rama Aviary, pero no hay todavía parches ni nuevas versiones oficiales que la incluyan (aunque es posible que ya esté incluida en las nightlies); en otros navegadores afectados, como Opera, Safari, Avant Browser o Maxthom no es posible saber cómo de avanzado tienen el arreglo (si es que tienen uno), dado que su desarrollo es cerrado, pero no ha habido anuncios oficiales de parches por parte de ninguno de ellos.

El problema que afecta a Internet Explorer, para variar, es mucho más grave y permite de hecho hacerse con el control de un equipo de forma remota. Se basa en una variación del ataque sobre las zonas de seguridad de Internet Explorer al hacer el movimiento de arrastrar y soltar sobre cualquier objeto de una página web, que fue parcheada la semana pasada por Microsoft. Y como decía entonces, era previsible, pues los fallos de este tipo son una constante en el navegador de Microsoft. El problema afecta a todas las versiones de Windows, incluido XP con Service Pack 2. Los detalles pueden leerse en español en VSAntivirus.

Los que salen peor parados son los navegadores basados en Internet Explorer como Maxthom (antes conocido como MyIE2) y Avant Browser, pues tienen fallos derivados de su funcionalidad mejorada (al estilo de navegadores modernos como Firefox u Opera) a la vez que comparten los graves problemas de seguridad de IE.

El pasado martes Microsoft publicó una nueva hornada de parches para las distintas versiones de su sistema operativo Windows. Del conjunto de once paquetes de parches que aparecieron (visita WindowsUpdate si no tienes las actualizaciones automáticas activadas, es seguro que alguno te hará falta) me voy a centrar en los que evidencian errores en el diseño de Windows y por lo tanto sufren de fallos de seguridad una, y otra, y otra vez.

En primer lugar, vamos con el paquete de parches para Internet Explorer (ocho parches). El diseño de zonas de seguridad del navegador de Microsoft que, en teoría, debe encargarse de decirle al sistema operativo que puede hacer una aplicación en base a dónde se encuentra ésta (en internet, en la red local, en el propio equipo...) está roto desde que era una idea en un papel y prácticamente no hay mes en el que no se encuentre una manera de pasarlo como si no estuviera. En este paquete vienen tres correcciones para tres formas distintas de saltárselo. En lugar de establecer protocolos distintos para local y red como hacen otros sistemas operativos, en Windows los protocolos son los mismos y se necesita del "apaño" de las zonas de seguridad para discriminar los permisos. Una mala idea que lleva dando problemas de seguridad casi una década.

Vamos con otra mala idea, en las condiciones del párrafo anterior, reunir el explorador de ficheros (entre otros programas) y el navegador web en una sola aplicación. Al contrario que otros navegadores, Internet Explorer no es sólo un interfaz y un motor de representación de páginas web, bajo la interfaz de IE hay varios programas independientes, que son parte integral del sistema operativo, entre ellos, los cito por ser los que más a menudo dan problemas, el explorador de ficheros y el sistema de ayuda remota. Para que el sistema operativo sepa cuales de estos programas están accesibles para Internet Explorer en un momento dado también se usan las zonas de seguridad (y ésta es la diferencia con Konqueror, por ejemplo, que aún siendo también un "interfaz para todo" dentro de KDE, se muestra mucho más seguro, ya que tiene un protocolo para cada cosa que hace y no tiene que intentar adivinar en todo momento si lo que está haciendo es seguro o no). Viene incluido un parche para una vulnerabilidad que permitía la descarga de cualquier tipo de fichero a cualquier parte del disco duro que seleccionase un atacante (por ejemplo, un ejecutable a la carpeta Inicio, para que se autoejecutara en el siguiente reinicio del sistema) con solo hacer el movimiento de arrastrar y soltar en el navegador. Si el explorador de archivos no estuviera incluido en el navegador ésto nunca habría sido posible. Por cierto, que han tardado lo suyo en corregirlo, que hace bastante que se sabe y hay exploits desde el primer día.

Cambiamos ahora de paquete de parches, pero seguimos con errores de diseño. Las librerias (algunos prefieren llamarlas bibliotecas) son, simplificando, archivos en los que se guardan datos y funciones que los programas necesitan para funcionar. En Windows cada programa lleva las suyas y vuelve a instalarlas aunque ya haya una versión de si mismas instalada en el sistema. Esto no sólo es un desperdicio de espacio, también puede traer problemas a la hora de asegurar un equipo. A modo de ejemplo, usaremos el fallo en la librería GDI+. Este archivo contiene las funciones necesarias para, entre otras cosas, manejar el conocido formato de imágenes comprimidas JPEG. Existía un fallo en esta librería que permitía ocultar código malicioso en una imagen, que se ejecutase sólo con verla. El problema está en que todos los programas de Microsoft llevan una versión de ésta librería, así que es necesario parchearlos todos, por separado. Por ejemplo, un sistema con Windows XP, con todos los parches, sería seguro, pero si le instalamos cualquiera de las versiones de MS Office, ya no lo sería, se podría colar un virus en una imagen al verla con cualquiera de los programas que forman la suite ofimática, hay que parchear cada uno de ellos. Lo mismo vale para cualquiera de los otros programas de Microsoft: los Visual Studio, Visio, Project, Picture It!... incluso el servicio Red de banda ancha de Microsoft (!). Cada programa debe revisarse y parchearse por separado.

Por cierto, en todo este tipo de fallos las famosas "mejoras de seguridad" del Service Pack 2 para Windows XP no resuelven nada, así que seguiremos viendo como se repiten los mismos fallos de siempre.

Según Secunia se puede usar una skin del famoso reproductor Winamp para colocar un programa en cualquier parte del sistema de archivos que se desee y ejecutarlo.

El usuario debe descargar voluntariamente una skin maliciosa, pero como no hay forma de diferenciarla de cualquier otra a primera vista, esto no tiene importancia. Las skins de Winamp vienen en archivos WSZ, que son paquetes de archivos comprimidos ZIP normales, con las imágenes necesarias y uno o más archivos XML en su interior. En uno de estos archivos XML puede hacerse una llamada a un documento HTML, es decir, una página web, por lo tanto Windows llamará al navegador por defecto para interpretarla. Este documento HTML tiene que contener una etiqueta OBJECT con su correspondiente atributo CODEBASE, que indica al navegador que debe cargar otro programa y dónde debe ir a descargarlo. En ese momento, si el navegador por defecto es Internet Explorer, gracias a los problemas de seguridad de este navegador con esa etiqueta, descargará y ejecutará el programa sin preguntar nada al usuario. En el caso de que sea otro el navegador por defecto, el usuario verá un diálogo del sistema preguntando qué debe hacer con el archivo, y le dará a elegir entre abrirlo, descargarlo al disco o cancelar la operación.

Microsoft ha intentado corregir los problemas de IE con la etiqueta OBJECT en tres ocasiones (con 3 parches distintos) y todavía es posible conseguir que ejecute programas sin preguntar si se consigue que se llamen a través de un archivo guardado en la propia máquina, lo que Microsoft llama la zona de seguridad "Mi PC" que no tiene restricción alguna. Es un ejemplo de lo frágil que es el diseño de Zonas de Seguridad de Windows. Se supone que el SP2 para Windows XP debe reforzar este punto débil, pero aún no está disponible en castellano.

Se ha comprobado que funciona con versiones de Winamp 3.x y 5.x (incluida la última, 5.04) en Windows XP SP1 con todos los parches instalados (en cualquier otra versión de Windows debería funcionar igualmente, ya que el fallo principal está en IE). No está confirmado si funciona o no en el SP2.

Las soluciones pasan por usar la versión Classic de Winamp, no descargar nuevas skins hasta que una nueva versión de Winamp corrija el fallo, usar otro programa para la reproducción de audio/video y, sobre todo, tener un navegador distinto de Internet Explorer como predeterminado.

Hasta que los ordenadores nuevos empiecen a venderse con el Service Pack 2 para Windows XP ya instalado, todavía pasarán algunos meses. Durante ese tiempo, y como ya vimos, la mayoría de equipos nuevos conectados a Internet durarán muy poco tiempo sin ser afectados por algún virus (sin necesidad de que el usuario tenga que hacer nada en especial). Según datos del SANS Institute, recopilados en este gráfico, actualmente ese tiempo es de unos 20 minutos.

En el gráfico podemos ver que, desde marzo de 2003, un equipo nuevo con Windows XP ha tenido un tiempo de supervivencia máximo (como media) en Internet de poco más de una hora. Una situación inaceptable que empieza a arreglarse ahora, con la llegada del SP2 y la mejora del firewall de Windows XP que incorpora y su puesta en marcha por defecto y en los primeros estadios del arranque. Digo que empieza a arreglarse porque entre los retrasos que se están produciendo debido a las traducciones a diversos idiomas, los que no podrán instalarlo hasta que haya actualizaciones para los programas o drivers de hardware que necesiten y, finalmente, como decía al principio, se venda en cada equipo nuevo con Windows XP todavía falta.

Entretanto, los usuarios con pocos o nulos conocimientos de seguridad podrán disfrutar de su nuevo ordenador durante esos escasos 20 minutos antes de empezar a tener que aprender algo de acerca de seguridad a la fuerza. Microsoft no ha tomado ninguna medida para evitar ésto hasta ahora (tras más de un año en esta situación), y los esfuerzos para informar y tratar de educar a los usuarios han venido siempre de terceros, como el ya citado SANS Institute o la empresa española Hispasec que tradujo la Guía supervivencia Windows XP, con información paso a paso que realmente pueda resultar de utilidad para el usuario (aunque probablemente esta información llegará tarde, si es que llega), a diferencia de la enrevesada y ambigua Proteja su PC en 3 pasos de Microsoft, que de todas formas en este caso es inútil porque no hay ningún tipo de aviso en el punto de venta, ni en la caja, ni en los manuales.

En lo que va de semana, se han encontrado dos nuevos fallos de seguridad en Internet Explorer. Liu Die Yu ha encontrado otra manera de hacer que Internet Explorer muestre en la barra de direcciones una dirección distinta de la real, lo que podría ser usado en lo que se ha dado en llamar phising, ataques que consisten en tratar de engañar al usuario para que entregue sus contraseñas o números de tarjeta haciéndole creer que está en un sitio de confianza (por ejemplo, su banco) cuando no es así. Por supuesto, para este tipo de timo, cuantas más cosas se puedan recrear al detalle, mejor.

Sin embargo, este método para sustituir el contenido de la barra de direcciones ya no funciona en IE6.05, la versión del navegador de Microsoft que viene con el Service Pack 2 para Windows XP. Supongo que a partir de ahora veremos unos cuantos en que los sucederá ésto, porque no hay que olvidar que los usuarios de otras versiones de Windows (98, ME, 2000) que aún tienen soporte por parte de Microsoft no pueden acceder a esta versión de Internet Explorer, ya que ha dejado de distribuirse como aplicación separada. Habrá que ver cómo de rápido funciona el soporte de Microsoft (en forma de parches, me refiero) para estas cosas, porque me da la impresión de que están muy centrados en XP y de los otros se acuerdan poco.

En cambio, el otro fallo de IE afecta también a los que ya hayan instalado el nuevo SP2. Y es bastante más peligroso, además. En este caso, http-equiv se basa en un trabajo realizado por la ya citada Liu Die Yu en septiembre del año pasado que Microsoft tuvo que parchear en dos ocasiones (con el primer parche no lograron solucionar el problema). En la prueba de concepto que ha diseñado, consigue colocar un programa en la carpeta Inicio de un Windows XP, actualizado con todos los parches disponibles (SP2 incluido), sin que el usuario reciba notificación de lo que ocurre, con lo que éste se ejecutará en el siguiente reinicio. Hay más información en Secunia en inglés y en Nautopia, en castellano, entre otros sitios.

Mientras que es de esperar que el Service Pack 2 sea efectivo contra epidemias de gusanos tipo Blaster o Sasser, no ocurre así para Internet Explorer 6.05, cuyas mejoras son pocos menos que cosméticas (quizá alguna de las modificaciones sea útil contra el spyware, pero eso aún está por ver) y es más que probable que siga marcando nuevos hitos en su impresionante registro de problemas de seguridad. De momento, empezaremos a contar los días que tardan en Microsoft en encontrar una solución para ésto.

Para terminar por hoy, un fallo en el diseño del nuevo firewall que viene con Windows XP SP2, provoca que aplicaciones que necesiten acceder al interfaz loopback dejen de funcionar, dando un mensaje de error indicando que no se ha podido establecer la conexión. Microsoft ya ha puesto ha disposición de los usuarios del Service Pack 2 una solución, en lo que es el primer parche para este paquete de actualizaciones de Microsoft, cuando apenas hace tres días que está disponible y después de acumular meses de retraso en su puesta a punto y distribución.

Si no hay más retrasos, a partir de mañana estará disponible "para todos los usuarios" en el servicio Windows Update de Microsoft (aunque imagino que la versión en castellano aún tardará algunos días más) el Service Pack 2, la esperada actualización que, en teoría (habrá que ver cómo se porta en la práctica) mejorará la seguridad de Windows XP, sobre todo para usuarios con mínimos o nulos conocimientos de seguridad informática. Los cambios que incluye el SP2 son muchos (la descarga será de entre 100 y 300 Megabytes, aproximadamente, según los parches que ya estén instalados), tantos que el resultado bien podría llamarse Windows XP Segunda Edición. Si no estás al tanto de en qué consisten estos cambios (y si lo estás también merece la pena) en Nautopia han hecho un buen análisis del Service Pack 2.

Una ventaja de que el SP2 llegue más tarde en castellano, es que podemos ir viendo cómo les va a los que ya han podido instalarlo (los que tengan Windows XP en inglés o alemán). Según Eweek (y otras fuentes dan datos en la misma línea) los resultados de la instalación de la actualización de Windows XP van desde ningún problema al fallo total del sistema, pasando por todo el abanico de situaciones intermedias (incluso en algún caso el SP2 se ha negado a instalarse). Como decía al principio, este Service Pack practicamente hace de Windows XP un nuevo sistema operativo y estaba previsto que muchos programas no fueran compatibles después de actualizar (Microsoft ha publicado una extensa lista con los programas que pueden ocasionar problemas o dejar de funcionar o no poder instalarse con SP2, incluidos muchos antivirus y cortafuegos), así que tener problemas con algún programa concreto puede considerarse normal (habrá que esperar nuevas versiones o parches de las aplicaciones problemáticas).

Desde Microsoft se recuerda que en caso de que haya problemas de rendimiento, o con el hardware (por lo visto muchas tarjetas de red inalámbricas dan problemas) o un programa crítico para el usuario deje de funcionar, es posible desinstalar el SP2.

Para minimizar el riesgo de problemas, y basándome en las experiencias de usuarios que he podido leer, recomiendo instalar el Service Pack 2 para Windows XP sobre una instalación limpia (hacer copia de seguridad de lo que sea necesario, formatear el disco e instalar Windows XP desde cero).

Se han publicado tres parches para Internet Explorer que corrigen tres vulnerabilidades que la propia Microsoft considera críticas. Y no es extraño, pues dos de los fallos de seguridad que corrigen permiten ejecutar código a traves de simples imágenes (a la vista del usuario, en realidad, archivos malformados intencionadamente), en concreto: GIFs y BMPs. Esto puede ser especialmente peligroso en imágenes que lleguen a través de correo electrónico, si se usa Outlook o Outlook Express, pues el código podría ejecutarse sin más restricciones que los permisos del usuario que maneje el cliente de correo. No me extrañaría que el proximo gusano de gran difusión use uno de estos metodos.

Más detalles y descarga de los parches en el boletín de Microsoft. Resaltar que Microsoft se ha saltado su política de liberar parches sólo el segundo martes de cada mes, lo que indica que les otorgan gravedad extrema y deberían instalarse inmediatamente.

Sin embargo, aún con estos parches instalados, Internet Explorer sigue permitiendo ejecutar código malicioso remotamente, pues las vulnerabilidades críticas que se han hecho públicas este mismo mes siguen sin arreglar. La recomendación de instalar los parches y no usarlo sigue vigente.

Avisan en Secunia de que es posible eliminar temporalmente mediante javascript la interfaz de Firefox y Mozilla (en realidad, esto primero puede hacerse en cualquier navegador, como ya hemos visto) y sustituirla por un archivo XUL (toda la interfaz de Firefox está escrita en XUL).

Al sustituir la barra de direcciones, se puede hacer creer al usuario que está en una página distinta a la que realmente se encuentra, pero lo realmente peligroso es que también se puede sustituir la barra de estado y el icono del candado que indica que estamos en una página segura. Al pulsar el candado para examinar un certificado, la ventana del navegador que se muestra con los detalles del mismo también es falsa, aunque parezca un dialogo de Firefox normal.

Incluso un usuario avanzado podría caer en este engaño, siempre, claro está, que no tenga configurado Firefox (o Mozilla) como recomendaba ya a principios de marzo.

El fallo de seguridad que se comenta en Secunia corresponde al bug 244965 en Bugzilla. Hay una prueba de concepto (solo para Firefox, pero podría hacerse igualmente para Mozilla) disponible para comprobar la vulnerabilidad. Lo cierto es que el efecto usando mi configuración es bastante curioso (y completamente inofensivo).

Voy mal de tiempo y estamos en una de esas temporadas en que parece que todos los días hay noticias relacionadas con la seguridad, lo que se traduce en pocas actualizaciones de esta página y con retraso.

Recopilaré en esta nota todas las novedades desde la última entrada, con la esperanza de ponerme al día y poder volver a comentar las novedades cuando sean noticia (o incluso antes, como ha sucedido en algunas ocasiones). Así pues, vamos con el repaso.

Tras un mes y cinco días, Microsoft por fin ofrece un parche a través de Windows Update para la vulnerabilidad que permitía descargar y ejecutar programas de forma invisible al usuario. Asimismo, también parchea la vulnerabilidad del protocolo shell (han tardado una semana, no está mal, para ser Microsoft), que se descubrió porque podía aprovecharse a través de varios productos de la Fundación Mozilla (se arregló en un día), pero que podía aprovecharse igualmente a través de otros programas de la propia Microsoft, como MS Word (había una ventana de aviso) o MSN Messenger (se ejecutaba directamente). Lamentablemente para los usuarios de Internet Explorer, al mismo tiempo que Microsoft publicaba sus parches, aparecían cuatro nuevas vulnerabilidades en IE (aunque la gravedad de una queda reducida al arreglar lo del protocolo shell, las otras también son consideradas críticas, ya que se puede obligar a Internet Explorer a ejecutar cualquier código con ellas). La recomendación sigue siendo bajar e instalar las actualizaciones de seguridad y no usarlo.

También hay un parche para Outlook Express y otros para distintos fallos en diversas versiones del sistema operativo Windows. Debido a la debilidad de Internet Explorer del que los clientes de correo Outlook dependen, se recomienda el uso de clientes de correo alternativos.

Otro popular cliente de correo, Eudora, también tiene problemas de seguridad graves.

Por su parte, quizá Opera se dió demasiada prisa en lanzar su versión 7.52, porque al día siguiente se hacía pública una vulnerabilidad en su manejo del javascript que puede camuflar la dirección auténtica en la barra de direcciones del navegador, haciendo creer al usuario que está en una página distinta de la que realmente se encuentra. Recordad el consejo de no acceder a sitios que necesiten de conexión segura (bancos, tiendas, cuentas de correo webmail...) a través de enlaces (mucho menos pinchando en enlaces que lleguen a través de correo eléctronico); hay que escribir directamente la dirección en la barra de direcciones.

Los usuarios del popular lector gratuito de archivos PDF Adobe Acrobat Reader deberían actualizar a la mayor brevedad a la última versión (6.0.2) ya que versiones anteriores permiten la ejecución de código arbitrario al visualizar un documento.

Se encontró ayer un fallo de seguridad en Mozilla, Firefox y Thunderbird (en cualquiera de ellos, sólo si están instalados sobre Windows) que permitía ejecutar programas instalados y pasarles parámetros construyendo un enlace shell://. Si se consiguiese explotar un fallo de desbordamiento de buffer en alguno de los programas instalados a través de un enlace de este tipo (y engañando al usuario para que lo pulse) el resultado sería la capacidad de ejecutar cualquier código en la máquina víctima; o más fácil (atención, lo que sigue va medio en broma, medio en serio, debo tener el día tonto) en vez de buscar un desbordamiento de buffer, se podría ejecutar Internet Explorer y pasarle como parámetro una página preparada para que descargara, instalara y ejecutara sin informar al usuario lo que hiciera falta.

Se ha anunciado la próxima salida de Mozilla 1.7.1, Firefox 0.9.2 y Thunderbird 0.7.2 para solventar este fallo. Mientras tanto, se aconseja desactivar el manejo del protocolo shell en cada uno de los productos afectados a los usuarios de alguno de éstos programas en sistemas operativos Windows. Ésto puede hacerse de dos maneras:

• La sencilla: usar el XPI que se ha preparado para hacer los cambios pertinentes pinchando en el enlace siguiente: Instalar Shellblock
  
• La avanzada: usar about:config para crear una nueva entrada de tipo lógico, con nombre network.protocol-handler.external.shell y asignarle el valor false.
  

Por su parte, Opera ya ofrece para descarga la versión 7.52 de su navegador, que soluciona el fallo de seguridad que afectaba a casi todos los navegadores descubierto la semana pasada.

De Microsoft y su Internet Explorer, en cambio, sólo hay malas noticias.

Tanto los desarrolladores de Mozilla como los de Opera han respondido con una rapidez encomiable pero, como siempre, no servirá de nada si los usuarios no responden con igual rapidez.

Sin esperar al segundo martes del mes, Microsoft publicó el viernes pasado un "parche" para la vulnerabilidad de Internet Explorer que ha causado el publicitado problema con el virus Scob (Download.Ject). Pongo las comillas porque el "parche" en cuestión lo único que hace es cambiar un par de configuraciones en el registro de Windows, un apaño rápido que no soluciona nada en absoluto, pues sólo unas pocas horas después de la publicación del remiendo, ya había un nuevo exploit que evitaba el cambio de configuración, dejando las cosas como estaban.

A punto de cumplirse un mes desde que la vulnerabilidad y la forma de explotarla son de dominio público, Microsoft sigue sin proporcionar una solución adecuada (la única efectiva deja sin soporte ActiveX, VBScript, JScript y Javascript al navegador, recortando su funcionalidad por debajo de niveles aceptables para un uso normal). Y esto, pese a que la gravedad del problema es tal, que por todas partes se alzan voces instando a abandonar el uso de Internet Explorer (ejemplos: Secunia, SecurityFocus, US-CERT, Slate...).

Con todo, no es el único problema que Microsoft tiene que resolver en su navegador, aparte de otros fallos más antiguos que aún esperan parche, se ha descubierto un nuevo agujero de seguridad que afecta a casi todos los navegadores, pero que es especialmente grave en IE debido a su extremadamente frágil diseño. Las últimas versiones de Mozilla y Firefox no están afectadas por ninguna de éstas vulnerabilidades.

Voy fatal de tiempo, así que no hay comentarios, sólo los enlaces.

• Respecto a las últimas vulnerabilidades críticas de Internet Explorer, que va para un mes que esperan parche:
  El Gobierno de EEUU advierte contra el uso de IE.
  
• ¿Quién está detrás del spam?
  El spam y la mafia, un asunto serio.
  

Firefox 0.9 ha salido finalmente sin una de las características de seguridad anunciadas: la lista blanca de sitios que pueden pedir al usuario que acepte instalar una extensión mediante XPIs.

Aunque finalmente el sistema de lista blanca está listo, como el desarrollo se retrasaba se decidió sacar la 0.9 sin él.

Ya vimos los problemas que podía ocasionar a los usuarios de Firefox en Windows la falta de un modo de bloquear que sitios maliciosos lanzaran la ventana de confirmación de instalación.

La capacidad de bloqueo está implementada en Firefox 0.9, y puede controlarse desde el menú Edit > Preferences como puede verse en la imagen (haz clic para verla ampliada):



Al desmarcar la casilla, ningún sitio podrá ofrecer el dialogo de instalación automáticamente, sin embargo, sí que aparecerá al pinchar en un enlace en, por ejemplo, Mozilla Update. Éste debería ser el comportamiento por defecto, pero no lo es, la casilla aparece marcada al terminar la instalación. Al parecer, se ha decidido esperar a que el interfaz de la lista blanca, que está en pleno desarrollo, esté terminado para activar el bloqueo por defecto, lo que para mí no tiene sentido (dejarla marcada es como seguir en la 0.8 a este respecto) y aconsejo desmarcar esa casilla ya mismo.

Aquellos que no tengan miedo de probar software pre-beta, encontrarán un enlace para descargar e instalar (es un XPI) una versión de prueba del interfaz (0.2.1) en el último enlace a Bugzilla. Los que no quieran instalarlo pero tienen curiosidad por saber que pinta tiene, que sigan leyendo.

Sólo hace unos minutos que lo tengo instalado, pero tras unas pocas pruebas, parece perfectamente funcional. Añade un botón a la sección Software Update (ver imagen)



Pulsando en él aparecerá la interfaz. En principio, la lista viene en blanco, hay que marcar la casilla "Enable the XPI whitelist" y añadir los dominios que nos parezcan seguros con el botón Add.



Finalmente, si escribimos about:config en la barra de direcciones y usamos el filtro xpinstall podremos ver los cambios que realiza este XPI de lista blanca (en negrita en la imagen, 80KB)



Espero que en cuanto esté más probado y pulido y sea seguro que se active por defecto tras la instalación, lo suban a Mozilla Update y le dediquen un recuadro especial.

Según ha publicado recientemente The Register en un artículo basado en un estudio de Sandvine, una empresa especializada en la optimización de recursos de red, el 80% del spam se envía desde ordenadores personales infectados y controlados por troyanos, sin el conocimiento de su dueño (a los equipos controlados de ésta forma se les llama zombies).

Ya han quedado atrás los tiempos en que la avalancha de spam podía ser controlada mediante listas negras que bloquearan los servidores de correo dedicados a ésto o aquellos que algún irresponsable mantenía mal configurados. Ahora ya no son unos pocos cientos de servidores aquí o allá, sino un ejército (en realidad, son varios, cada spammer profesional tiene el suyo) de decenas o cientos de miles de PCs infectados. No es posible bloquear a cada uno de éstos equipos individualmente, en primer lugar, porque sus IP son dinámicas y cambian cada vez que se conectan a Internet y, en segundo, porque los ordenadores antes o después son desinfectados; pero, al mismo tiempo, otros están siendo infectados y ocupando su lugar. Es una dinámica que no puede detenerse mientras existan usuarios descuidados con la seguridad de sus ordenadores.

La gente que controla estos ejércitos son mercenarios, y no se dedican exclusivamente a enviar spam. Hay más cosas para las que puede servir un número ingente de ordenadores bajo las ordenes de una sola persona (o de un grupo), y la magnitud de los "trabajos" que pueden realizar se incrementa, según aumenta el número de equipos bajo control, de ahí que la mayoría de las últimas oleadas de gusanos tenía como objetivo engrosar las filas de alguno de estos ejércitos.

Mi insistencia en llamarlos ejércitos no es gratuita, pues es habitual que se usen como fuerza de ataque, además no hay objetivo pequeño ni demasiado grande para ellos. Últimamente algunos de estos grupos incluso tienen el descaro de ofrecer publicamente sus servicios; y es lógico, pues a medida que Internet crece, y más y más usuarios sin nociones de seguridad, ni del funcionamiento de la misma Internet se conectan a la Red, su poder potencial se multiplica.

Para la supervivencia de la Red a largo plazo, es esencial que se creen programas de educación para usuarios a nivel global. Internet es una red global, la solución de sus problemas también debe serlo.

La 1ª Campaña Mundial de Seguridad en la Red es un paso en la dirección adecuada.

El cuento, reproducido en docenas de correos eléctronicos estúpidos distintos durante los últimos años, del virus imparable que borra todo el disco duro, es eso, un cuento. Los programadores de virus encuentran mucho más productivo controlar las máquinas infectadas (y usarlas para enviar spam, atacar los sitios web de otros, etc.) que destruirlas. Los virus que hacen ésto último son muy pocos y hacía años que no teníamos uno.

Los que hayan notado el énfasis en el tiempo pasado del párrafo anterior, que se sumen diez puntos, según Symantec tenemos uno nuevo: VBS.Pub.

Antes de abrir tu cliente de correo y escribir un e-mail del tipo que decía al principio sigue leyendo.

Sí, puede borrar todo el disco duro, pero tampoco es para tanto, me explico:

Como su nombre indica es un virus hecho en Visual Basic Script y, por tanto, sólo puede ejecutarse a través de Internet Explorer, Outlook Express, Outlook y algunos de los otros programas de Microsoft Office. Como es habitual, viene en un archivo adjunto al correo, y mientras éste archivo adjunto no sea abierto con ninguno de los programas de Microsoft que pueden ejecutarlo, no puede infectar a nadie. Hay un gran número de virus y troyanos escritos en Visual Basic Script, porque, además de ser muy fáciles de hacer, como es un lenguaje de la propia Microsoft permite llegar practicamente a cualquier parte del sistema operativo Windows (en cualquiera de sus versiones), lo que los hace muy potentes; aparte del lenguaje en que están escritos, todos ellos tienen en común que pueden llegar en un archivo con las siguientes extensiones: .asp, .hta, .htm, .htt, .html, .vbe y .vbs.

Mientras no abras ningún archivo con esas extensiones con un programa de Microsoft, no puedes infectarte ni con VBS.Pub ni con ninguno de los otros "bichos" escritos usando VBS.

Moraleja:
Los programas de Microsoft listados arriba no son seguros, y no deberían usarse para examinar ningún archivo que nos llegue a través de la Red, ya sea por correo electrónico o descargándolo directamente.

Secunia advierte de que se han descubierto dos nuevas vulnerabilidades en Internet Explorer de la máxima gravedad que permiten descargar, instalar y ejecutar cualquier programa sin que el usuario sea advertido de lo que sucede.

Se sabe con seguridad que se está usando para instalar adware y se rumorea que hay al menos una versión del troyano Agobot que también las está usando para propagarse.

De momento, no hay parches (salvo que Microsoft ofrezca uno para ésto en las actualizaciones que se esperan para hoy), así que la solución más fácil y segura es usar otro navegador.

Hay más detalles y una prueba de concepto para comprobar que funciona (de forma inofensiva) en Neohapsis.

Actualización 10/06/2004

Se ha confirmado que este método también funciona a través de Outlook y Outlook Express.

Aquellos que no puedan instalar otro navegador (por ser el del trabajo y no tener permisos para instalar programas, por ejemplo), pueden seguir las instrucciones de este artículo de VSAntivirus relativas a deshabilitar Active Scripting; ésto impedirá que el exploit funcione. No recomiendo esta solución para todo los usuarios de IE porque al deshabilitarlo, desactivamos ActiveX y Javascript y, la falta de éstos (sobre todo, del último), puede afectar a la navegabilidad de muchos sitios. Para la mayoría, es mejor probar las alternativas libres.

No hay una configuración similar para los clientes de correo de Microsoft que minimice el problema, así que lo único que puede hacerse es no hacer clic en ningún enlace desde estos programas, algo que, de todas formas, no debería hacerse nunca, por razones ya explicadas.

Java es una tecnología que la mayoría de navegadores soporta y, en muchos de ellos, está activada por defecto; en los casos en los que esto no es así, es bastante común instalar el plug-in (disponible de forma gratuita) y dejarlo activado para siempre. Ésto no es una buena idea dado que Java sólo es necesario en momentos muy puntuales (web-chats y algunas animaciones, principalmente) y la mayor parte del tiempo no hace ninguna falta.

Una de las reglas básicas de seguridad es mantener desconectado todo lo que no sea necesario de forma inmediata. Los problemas de seguridad pueden aparecer en cualquier parte y en cualquier momento, por lo que es razonable tratar de minimizar en lo posible el número de cosas que pueden hacernos vulnerables.

A modo de ejemplo, vamos a ver un caso de spoofing que se dió el mes pasado con los clientes de un banco estadounidense, con el objetivo de robar los números de cuenta, de tarjeta de crédito, de la seguridad social, así como sus nombres y direcciones:

Las víctimas de éste engaño recibieron un correo electrónico que aparentaba provenir de su banco. En el código del correo, había un exploit para uno de los varios fallos conocidos de Outlook y Outlook Express que aún no han sido corregidos que permiten falsear la dirección a la que apunta un enlace en la barra de estado de los clientes de correo de Microsoft (hay muchos de éstos, tres distintos sólo en el mes pasado). En el texto visible del correo se pedía que se visitase una dirección dentro del sitio web del banco, proporcionando el enlace trucado. Si el usuario engañado pinchaba el enlace, Internet Explorer cargaba una página en un servidor controlado por los estafadores, en el que había una copia de la página original del banco que incluía un applet Java, que superponía una imagen con la dirección correcta del banco sobre la barra de direcciones de Internet Explorer, para impedir que se viese la dirección real. Es un método bastante más sofisticado que el primer Spoofing Visual que vimos, ya que con este procedimiento es posible incluso seleccionar y modificar el contenido de la barra de direcciones, sin notar el engaño.

En la ficha de Antiphising.org del caso pueden verse imágenes y comprobar que el engaño era casi perfecto.

En este caso, el tipo de objetivo del ataque era muy definido: usuario de Outlook o Outlook Express, con Java activado en Internet Explorer (muy definido, pero dado que es el caso más común, no es un problema para los timadores); pero hay que tener en cuenta que otros clientes de correo han tenido o tienen vulnerabilidades que permiten falsificar el auténtico destino de un enlace (al cliente Eudora, hace muy poco le salió una de éstas) y, aunque este applet Java concreto sólo funciona en IE, es posible que una variante del mismo programa pudiese afectar a otros navegadores. El consejo de desactivar Java si no hace falta va para todos, no sólo para los que usen Internet Explorer.

VSAntivirus publica una lista de programas antispyware que no sólo no cumplen con su cometido, sino que ellos mismos agregan estos molestos programas que se supone debían eliminar. Es un tema que ya toqué de refilón el año pasado (aunque sólo daba un ejemplo). Los programas de este tipo que nunca deben instalarse son:

• AdProtector
  
• AdwareHunter (adwarehunter.com, browser-page.com)
  
• AdWareRemoverGold (adwareremovergold.com)
  
• BPS Spyware & Adware Remover (bulletproofsoft.com)
  
• InternetAntiSpy (internetantispy.com)
  
• NoAdware (noadware.net, netpalnow.com)
  
• Online PC-Fix SpyFerret
  
• PurityScan (purityscan.com, puritysweep.com)
  
• Real AdWareRemoverGold (adwareremovergold.com, sg08.biz)
  
• SpyAssault (spyassault.com)
  
• SpyBan (spyban.net)
  
• SpyBlast (spyblast.com, advertising.com)
  
• Spyblocs/eBlocs.com (eblocs.com)
  
• Spybouncer (spybouncer.com)
  
• SpyDeleter (spydeleter.com, 209.50.251.182)
  
• SpyEliminator (securetactics.com)
  
• SpyFerret (onlinepcfix.com)
  
• SpyGone (spygone.com)
  
• SpyHunter (enigmasoftwaregroup.com, spywareremove.com, spybot-spyware.com)
  
• SpyKiller (spy-killer.com, maxionsoftware.com, spykiller.com, spykillerdownload.com)
  
• SpyKillerPro (spykillerpro.com)
  
• Spyware Annihilator (solidlabs.com)
  
• SpywareBeGone (spywarebegone.com, freespywarescan.org)
  
• SpywareCleaner (www.checkforspyware.com, www.spw2a.com/sc/)
  
• SpywareCrusher (spywarecrusher.com)
  
• SpywareInfoooo.com
  
• SpywareKilla (spywarekilla.com)
  
• SpywareNuker (spywarenuker.com, trekblue.com, trekdata.com, spyware-killer.com)
  
• SpywareRemover (spy-ware-remover.com, spywareremover.com)
  
• SpywareThis (spywarethis.com)
  
• SpywareZapper (spywarezapper.com)
  
• SpyWiper (mailwiper.com)
  
• ssppyy pro (ssppyy.com)
  
• TZ Spyware Adware Remover (trackzapper.com)
  
• VBouncer/AdDestroyer (spywarelabs.com, virtualbouncer.com)
  
• Warnet (warnet.com)
  
• XoftSpy (download-spybot.com, paretologic.com, downloadspybot.com, no-spybot.com)
  
• ZeroSpyware (zerospyware.com, zeroads.com)
  

Se añade además como sospechoso Spyware X Terminator. Tengo que recordar que hay también en VSAntivirus otra lista con los programas de descarga P2P que nadie debería instalarse por las mismas razones. Los programas antispyware que funcionan, son gratuitos y no traen sorpresas pueden encontrarse en mi propia lista.

Nota: La falta de enlaces directos en la lista es intencionada.

Se despista uno un par de días y empiezan a salir fallos de seguridad por todas partes.

http-equiv, que lleva un par de semanas buscándole las vueltas a Outlook y Outlook Express (y hallando un nuevo fallo de seguridad cada 3 días) ha encontrado uno especialmente grave, que permitiría, combinando con una vulnerabilidad de Internet Explorer de esas que se conocen hace tiempo pero que en Microsoft no se deciden a parchear, instalar y ejecutar cualquier programa a través de un objeto OLE en una página web o un documento RTF. El fallo se puede aprovechar a través de Outlook 2003 y Office 2003 en general. No hay parches todavía, así que, de momento, lo único que se puede hacer es filtrar los mensajes y adjuntos en HTML y RTF y no abrirlos. Se está investigando como podría afectar esto a versiones anteriores.

Más cosas, se ha hecho público un fallo en el navegador Opera en su versión 7.23 que permitiría descargar archivos nuevos o sobreescribir los existentes en el espacio del usuario, en todas las plataformas en las que Opera funciona. Usar un usuario sin privilegios para navegar por Internet reduce la gravedad del problema. En la nueva versión 7.50 de Opera el fallo está corregido.

Después de hacerse público el agujero de seguridad en Opera, el equipo de KDE revisó su código para ver si alguno de sus programas podría ser vulnerable a un ataque similar, encontrando que, efectivamente, su navegador web Konqueror estaba afectado, aunque era bastante más complicado de explotar exitosamente que en el caso de Opera: en primer lugar, porque había que abrir Kmail a través de un enlace mailto: y en segundo, porque éste pregunta antes de iniciar la conexión para descargar el archivo. En cualquier caso, KDE proporcionó parches inmediatamente y avisó a todas las distribuciones que incluyen sus programas tres días antes de hacerlo asímismo público.

Todavía no acaba la cosa ahí, porque Safari, el navegador por defecto de MacOSX e Internet Explorer 5.2 para Mac también están afectados por varios fallos similares, que además, en este caso, también permiten ejecutar directamente los archivos descargados. Dado que aún no hay parches, se recomienda no navegar como administrador y no visitar sitios que no sean de plena confianza.

Leo con asombro en las noticias de SecurityFocus que se ha abierto una página dedicada a recaudar fondos para ayudar al presunto autor del gusano Sasser en los juicios que le esperan, ahora que ha sido detenido.

La razones que se exponen para pedir la ayuda económica son que tanto Netsky (del mismo autor) como Sasser eran inofensivos, además, mientras que el primero era un virus antivirus, que inició una guerra contra Mydoom y Bagle (también Mimail y otros puntualmente); el segundo pretendía ser una llamada de atención sobre un agujero de seguridad grave, para obligar a la gente a parchear sus sistemas antes de que un código realmente malicioso las aprovechara (llegó algo tarde para eso, como ya vimos).

La detención del presunto autor, no ha acabado con el desarrollo del gusano Sasser, del que continuan saliendo versiones nuevas, ya sean hechas por un imitador o por otro miembro del Skynet Antivirus Team.

Desde el 13 de abril que Microsoft publicó los detalles de la vulnerabilidad que aprovechaba el gusano Sasser, hasta que éste empezó a manifestarse, el último día del mismo mes, fueron apareciendo, en rápida sucesión, numerosos exploits para el bug en el servicio LSASS.

Varios de estos exploits fueron incluidos rapidamente, antes de la aparición de Sasser, en diversas variantes de troyanos de la familia de los peligrosos Phatbot/Agobot/Gaobot.

Los antivirus son de poca utilidad ante los troyanos, salvo que sean muy conocidos y las nuevas versiones vayan apareciendo en intervalos largos de tiempo; y éste no es el caso de esta familia de troyanos, que raro es el día que no hay versión nueva (a veces más de una diaria). Además, estos troyanos lo primero que hacen es preocuparse de desactivar firewalls (la única defensa verdaderamente efectiva contra ellos) y antivirus (si hay alguno instalado) y, a veces, impedir la conexión a las páginas de éstos últimos, para que no sea posible la actualización de sus ficheros de firmas.

Después de estos tres párrafos introductorios, ya es hora de ir a la razón del título de esta nota. En un gran número de los equipos infectados por Sasser se están encontrando también una o más variantes de alguno de estos troyanos. Así como Sasser era practicamente inofensivo, no es el caso de estos "*bot", que hacen de todo, roban contraseñas, recogen números de tarjetas de crédito y de la seguridad social, usan las máquinas infectadas para enviar spam y realizar ataques DDoS (ataques sobre sitios web)...

Pese a que apenas se les da publicidad, son más peligrosos que cualquiera de los gusanos corrientes (y por lo general, casi inofensivos) de los que oímos hablar tan a menudo; datos de F-Secure del mes de marzo indican que podría haber cientos de miles de máquinas infectadas por alguno de estos troyanos; ahora mismo, la cifra podría muy bien haberse multiplicado.

El cortafuegos de Windows XP es perfectamente inútil contra cualquier troyano, para defenderse de éstos es necesario instalar otro de terceros. Hay muchos gratuitos que son lo suficientemente buenos, encontraras varios en esta lista.

Ayer, como cada segundo martes de mes, Microsoft publicó su boletín de seguridad con, en este caso, su parche correspondiente, ya que sólo hay una vulnerabilidad grave que corregir. Ha sido un mes bastante tranquilo, Sasser aparte, sólo un par de fallos menores, con poco peligro, en Outlook Express, que ni yo he nombrado aquí, ni a Microsoft le ha parecido necesario corregir.

La vulnerabilidad que soluciona el único parche de este mes está, otra vez, en el sistema de ayuda de Windows, y afecta sólo a las versiones XP y 2003 de este sistema operativo. Como todos los fallos anteriores del sistema de ayuda, es muy fácil sacar provecho de él, basta con convencer al usuario de que pinche en un enlace especial, ya sea en una página web o en un correo electrónico. Un atacante que logre ésto podría hacerse de hecho con el control del equipo, ya que el bug permite instalar y ejecutar cualquier programa, sin que el sistema muestre ninguna advertencia de lo que ocurre. Hay algún dato más que podría resultar interesante, ya que de nuevo han solucionado un agujero de seguridad eliminando la fuente del problema en lugar de arreglarla, en el artículo al respecto de VSAntivirus.

Mi recomendación es desconectar el sistema de ayuda, casi nadie lo usa, y es una fuente constante de problemas de seguridad. Para ello, en Windows XP, hay que ir a Inicio, pulsar Ejecutar, escribir en la ventana que se abre services.msc /s, en la nueva ventana, hacer doble-clic en "Ayuda y soporte técnico" y en tipo de inicio, elegir Deshabilitado.

Nota: Para el que el parche de Microsoft funcione correctamente, el sistema de ayuda debe estar habilitado. Después de instalar el parche, ya puede deshabilitarse tranquilamente.

VSAntivirus advierte de la aparición del gusano Sasser. Como en el caso de Blaster, el usuario no tiene que abrir un correo, ni ejecutar un archivo, ni hacer nada en absoluto, basta con estar conectado a Internet para infectarse.

La vulnerabilidad que aprovecha el virus, que Microsoft solucionó en sus parches del pasado mes de abril, está en una de las interfaces del protocolo RPC asociada con el servicio LSASS. Sólo las distintas versiones de Windows 2000 y Windows XP están afectadas.

Pese a que, igual que en el caso de Blaster, hay un parche de Microsoft que soluciona el problema, que se sabía que existían exploits para sacar provecho de la vulnerabilidad y de los avisos de Microsoft de que el riesgo de aparición de un gusano de estas características era alto, más los continuos rumores de la aparición inminente del mismo, parece (a juzgar por el número de usuarios reportando la infección en distintos foros) que son muchos los que no han parcheado sus equipos. Un firewall bien configurado también impediría la infección incluso aunque no se hubiera aplicado el parche todavía.

Para desinfectarse, hay que descargar el parche de Microsoft en primer lugar, y actualizar y usar un antivirus después. También pueden seguirse las instrucciones para la desinfección manual que VSAntivirus proporciona. Al aplicar el parche de Microsoft desaparecerán las molestias (los reinicios del equipo) que causa el virus, pero ésto no lo elimina. Una de las causas de que Blaster permaneciera activo tanto tiempo fue que muchos usuarios no desinfectaron sus equipos después de aplicar el parche, por lo que el gusano continuaba reproduciéndose e infectando otros ordenadores desde equipos ya parcheados.

Actualizado 2/5/2004

El virus 'Sasser' afecta a millones de ordenadores en todo el mundo.

Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha una vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de scripting tienen una cosa en común: la flexibilidad. Es decir, que pueden hacerse scripts muy diferentes entre sí que hagan exactamente lo mismo. Por eso, ayer podría ser cierto que el antivirus de Panda detectaba ese script, hoy quizá ya no lo sea, si el autor ha decidido modificar su código.

Lo que funciona bien con los virus, que son programas bastante complejos, y es díficil hacer grandes cambios, no funciona tan bien con los scripts, que son muy sencillos, y muchas veces se componen de sólo una o dos líneas de código.

Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de 23/04/2004 19:24 Enlace permanente. Tema: Opinión No hay comentarios. Comentar.

Al hilo de lo que decía el otro día sobre la cada vez mayor falta de información en los boletines de seguridad de Microsoft, hay que añadir que siempre han usado un vocabulario algo especial en sus comunicados hasta el punto de que, como comenta rvr en su bitácora de Barrapunto alguien ha creído necesario hacer un diccionario Microsoft-Inglés.

Sin embargo, a veces, son realmente muy claros y directos. En la Microsoft Knowledge Base se encuentran recopilados los problemas conocidos del software de Microsoft junto con la solución recomendada por ellos mismos; gracias a Kim Scarborough tengo un ejemplo de lo que decía al principio del párrafo. La página de la Knowledge Base en cuestión describe un error de Outlook 2002 que impide el uso del programa, según Microsoft éstas son la causa y la solución del problema:

CAUSA
Este problema puede producirse si tiene usted un antivirus o un firewall instalado y funcionando en su computadora.

SOLUCION
Para resolver este problema, desinstale el antivirus o el firewall de su computadora.

¿Está claro, no? Gran solución. La página de la que hablo, hasta ayer, podía encontrarse aquí. Para evitar la publicidad negativa, Microsoft ha retirado el artículo que, en estos momentos, se estará reescribiendo. A ver qué dice cuando lo terminen.

Microsoft publicó ayer los boletines de seguridad de este mes, junto con sus parches asociados. En total, cuatro parches que corrigen un total de 20 vulnerabilidades. Todas las versiones de Windows están afectadas, como mínimo, por cinco de estos fallos.

Se quejan en Hispasec, con razón, de que Microsoft cada vez da menos información en sus boletines. Esto es así hasta tal punto que es difícil decir, al menos a primera vista, qué es lo que han corregido, sobre todo si tenemos en cuenta que, al menos para mí, la lista de los fallos pendientes comenzaba a ser inmanejable, por lo extensa.

Para los usuarios domésticos, lo más importante son varios fallos arreglados que permitían ejecutar cualquier código remotamente (y por lo tanto servían de punto de entrada de virus y troyanos) en Outlook Express, Internet Explorer y el servicio RPC, que el gusano Blaster hizo famoso el verano pasado y que no ha dejado de dar problemas desde entonces, ya he perdido la cuenta de cuantas veces ha sido necesario parchearlo.

A pesar de que el número de vulnerabilidades arregladas este mes es alto, Microsoft está lejos de ponerse al día y tanto Internet Explorer como Outlook y Outlook Express quedan muy lejos de poder ser considerados seguros. El último bug de Internet Explorer, no es que sea precisamente un fallo de seguridad, pero es ilustrativo de hasta que punto con este navegador los problemas no terminan nunca: un sencillo javascript permitiría a un webmaster con mala idea, enviar la página que se visita a la impresora de una a infinitas veces, sin pedir confirmación y, supongo, dando un buen susto al usuario (una cosa es que se te abra un pop-up y otra que salga impreso por sextuplicado).

Otro punto curioso es ver como, cada vez más, las versiones de Windows más modernas y consideradas más seguras por la propia Microsoft, como XP o 2003 Server, sufren de fallos críticos que no tienen efecto alguno o un efecto mucho más moderado en los vetustos Windows 98 y NT 4.

La vulnerabilidad en el cliente de la red P2P eDonkey eMule está explicada en Hispasec. La nueva versión del cliente de eMule, 0.42e, la corrige. Se recomienda actualizar inmediatamente, porque hay códigos en circulación que permiten aprovechar la vulnerabilidad.

El fallo en el reproductor multimedia WinAMP afecta a todas sus versiones desde la 2.91 (probablemente, también anteriores) hasta la 5.02. Consiste en un error en el manejo de los archivos de Fasttracker 2 que puede permitir la ejecución de código remota, por ejemplo, engañando al usuario para que visite una página web y reproduzca un archivo de ese tipo. La nueva versión 5.03 de WinAMP corrige el bug.

A estas alturas, no creo que quede nadie que no se haya enterado de que Google está preparando el lanzamiento de Gmail, un nuevo servicio de webmail gratuito con capacidad de 1GB, una cantidad de almacenamiento entre 170 y más de 500 veces superior a lo que ofrecen las compañías líderes de la competencia: Yahoo! y MSN Hotmail, entre otras.

Sin embargo, hay una gran cantidad de confusión y desinformación alrededor de la forma que Google va a usar para financiar Gmail: su servicio de publicidad Google AdSense y sus anuncios de texto relevantes respecto al contenido. Se especula que el hecho de permitir que Google AdSense explore y registre los mensajes en busca de palabras clave para introducir publicidad basada en texto en consonancia con el contenido, puede menoscabar la privacidad del usuario del servicio y se están levantando numerosas voces en contra de Google por este motivo.

Desde luego, la privacidad puede quedar en entredicho con el servicio de Google, pero es que la competencia no está mejor. De hecho, lo corriente no es sólo no garantizar en modo alguno la privacidad de los correos electrónicos, sino obligar al usuario, mediante el contrato que le da derecho a una cuenta de correo gratuita, a ceder los derechos del contenido de cualquier envío a la empresa prestadora del servicio; es decir, que no sólo no te garantizan que no leerán tus correos, sino que se arrogan la propiedad del contenido de los mismos. A continuación dos ejemplos, que, espero, sean suficientemente explicativos por sí mismos:

De las Condiciones de uso de Hotmail, punto 6:

Con respecto a cualquier material que usted envíe o de otro modo proporcione a Microsoft en relación con los Sitios Web de MSN (un “Envío”), usted autoriza a Microsoft a (1) usar, copiar, distribuir, transmitir, mostrar públicamente, ejecutar públicamente, reproducir, editar, modificar, traducir y cambiar el formato de su Envío, siempre en relación con los Sitios Web de MSN y (2) sublicenciar estos derechos, en la medida de lo permitido por la ley aplicable. Microsoft no le pagará a usted nada por su Envío. Microsoft podrá eliminar su Envío en cualquier momento. En lo que respecta a cada Envío, usted manifiesta tener todos los derechos necesarios para conceder la autorización prevista en esta cláusula. En la medida de lo posible de acuerdo a lo permitido por la ley en vigor, Microsoft podrá controlar su correo electrónico u otras comunicaciones electrónicas y podrá revelar dicha información, en caso de que estime que tiene las razones suficientes para creer que efectivamente resulta necesario, al objeto de garantizar el cumplimiento de este Contrato y de proteger los derechos, propiedad e intereses de los Colaboradores de Microsoft o cualquiera de sus clientes.

De las Condiciones del Servicio de Yahoo!, punto 10.7:

Salvo que expresamente se manifieste lo contrario en las Condiciones Particulares, la remisión por parte de los Usuarios de informaciones y/o contenidos a las secciones de acceso público de este Portal (incluyendo, a título meramente enunciativo, maquetas, sugerencias, ideas, dibujos, conceptos, comentarios, preguntas, o cualesquiera otros de análoga significación) a través del correo electrónico o de cualesquiera otros medios, implicará el otorgamiento a favor de Yahoo! de una licencia no exclusiva, sin límite en el tiempo, de ámbito mundial y de carácter gratuito para reproducir, almacenar, editar, modificar, publicar, incorporar en bases de datos, comunicar públicamente, transmitir, visualizar, distribuir, representar o, en cualquier otra forma, explotar comercialmente, en todo o en parte, tales informaciones o contenidos titularidad del Usuario en el Portal en cualquier forma o a través de cualquier medio o tecnología. Yahoo! se reserva el derecho, a su sola discreción, de editar, rechazar o eliminar las informaciones y/o contenidos antes referidos.

Creo que no hace falta añadir nada más, pero por si acaso, vamos a comparar con los Términos de Uso de Gmail, punto 5 (traduciré a continuación):

Google does not claim any ownership in any of the content, including any text, data, information, images, photographs, music, sound, video, or other material, that you upload, transmit or store in your Gmail account. We will not use any of your content for any purpose except to provide you with the Service.

Traducido:

Google no reclama la propiedad de ninguno de los contenidos, inclyendo texto, datos, información, imágenes, fotografías, música, sonido, video, o cualquier otro material, que suba, trasmita o almacene en su cuenta Gmail. No usaremos ninguno de sus contenidos para propósito alguno, con la excepción de proporcionarle el servicio mismo.

Concluyendo, que el alboroto formado alrededor de Google y la privacidad de sus usuarios está siendo claramente exagerado, ya que, de hecho, sus condiciones son mejores y más respetuosas que las de la competencia.

Actualización 5/4/2004

En google.dirson.com también se trata el tema.

Una vez más, la integración de Internet Explorer con el sistema operativo Windows es fuente de problemas de seguridad. En este caso, se trata de que se usa el motor de IE para mostrar los ficheros de ayuda de Windows y es posible llamarlos desde una página web (ya sea pinchando en un link o automáticamente usando javascript) mediante dos protocolos propietarios de Microsoft que sólo entiende Internet Explorer. No es la primera vez que hay problemas con estos protocolos, que han sido parcheados en distintas ocasiones.