Según el weblog de la conocida firma de seguridad Kaspersky Lab, el adware ha cruzado la línea que separa este tipo de programas maliciosos de los virus y ya hay al menos uno que infecta ficheros ejecutables.

El ejemplar en cuestión pertenece a la familia CoolWebSearch, que además de ser un adware clásico, también secuestra la página de inicio de Internet Explorer y, en ocasiones añade una barra de búsqueda al navegador de Microsoft, y que se ha ganado una merecida fama de extremadamente difícil de eliminar. Con esta innovación, CoolWebSearch dará todavía más quebraderos de cabeza a los que intenten deshacerse de él y sobre todo a los programas especializados en eliminar spyware y adware, ya que no están equipados con la tecnología necesaria para desinfectar ficheros. Es más, el código con el que se infecta los ficheros legítimos no es una copia de este nuevo adware/virus sino un lanzador que lo pone en marcha, así que eliminar el adware sin desinfectar los ficheros podría dar problemas de estabilidad adicionales.

Como noticia relacionada, Microsoft acaba de anunciar en una nota de prensa que adquiere la compañía líder en tecnología antispyware Giant Company Software y promete tener una beta de antispyware propio basado en los desarrollos de esta compañía en el plazo de un mes.

Habrá que ver cómo afecta ésto a programas que han demostrado ser efectivos y confiables y con mayor experiencia en éste campo como Ad-Aware, Spybot-Seach & Destroy y PestPatrol.

La gente de Secunia ha descubierto una vulnerabilidad que afecta a, al menos, todos los navegadores con una cuota de mercado significativa, esto es Internet Explorer, Mozilla/Firefox, Opera, Netscape, Konqueror y Safari. Hay una prueba de concepto disponible para todos ellos.

El agujero de seguridad que deja al descubierto no es muy peligroso por sí mismo. Permite construir un sitio web malicioso que inyectará contenido en otra página cuando el usuario pulsa un enlace hacia ésta última. Sin embargo, el engaño, aunque novedoso, resulta muy pobre sin la posibilidad de falsear la dirección de la barra de direcciones o el certificado de seguridad de un sitio.

Aunque en Secunia han colocado el mismo nivel de gravedad de la vulnerabilidad en todos los navegadores, lo cierto es que hay grandes diferencias, sobre todo si comparamos Firefox, el más seguro, con Internet Explorer, el más inseguro, el resto quedarían en un punto intermedio. Vamos a ver algunas:

• La prueba de concepto intenta eliminar la barra de estado. En Firefox 1.0 (en la configuración por defecto) no es posible eliminarla.
  
• Se intenta eliminar también la barra de direcciones (esto evitaría la necesidad de otra vulnerabilidad para falsificarla). Es posible configurar Firefox de manera que ésto tampoco sea posible.
  
• En páginas seguras (que son los objetivos más jugosos para este tipo de engaños) Firefox muestra en la barra de estado (que, recordemos, no es posible eliminar) dónde estamos realmente, aunque haya desaparecido nuestra barra de direcciones.
  
• La costumbre de usar el botón central del ratón para abrir todo en nuevas pestañas (algo que se vuelve autómatico al poco de usar Firefox) ocasiona que la prueba de concepto no funcione. Aunque me da la impresión de que el código malicioso puede mejorarse sin muchas dificultades para que funcione con pestañas, en principio no se ha tenido en cuenta el uso de éstas, y sólo Internet Explorer carece de ellas.
  
• Firefox 1.0 no tiene ningún otro fallo de seguridad conocido con el que combinar éste para mejorar el engaño. Internet Explorer tiene al menos otros 10 que permiten hacerlo casi perfecto.
  

En resumen, dependiendo del navegador usado, un sitio malicioso podría engañar o bien sólo a los más novatos, o bien hasta al más experto, sino está especialmente atento en ese momento.

Además, esta vulnerabilidad nos da otra oportunidad para ver cómo de rápido responden unos y otros al mismo fallo. Hagan sus apuestas.

Hace unos días en Barrapunto se habló sobre un artículo de USA Today que comentaba los resultados de un estudio que demostraba cómo máquinas limpias eran convertidas en zombies sólo minutos después de conectarlas a Internet, sin hacer nada más, sólo permanecer conectadas.

En concreto, un Windows XP SP1 sin los parches posteriores, tardaba cuatro minutos en sufrir la primera intrusión y media hora después ya estaba siendo controlado remotamente y era usado para buscar más máquinas desprotegidas.

Si en su día leíste Infectados en 20 minutos ésto no debería sorprenderte. Lo que sí puede ser sorprendente es que ese tiempo todavía puede disminuir drásticamente si se hace algo más que simplemente permanecer conectado a la Red, como por ejemplo, usar Internet Explorer. Mariano y Andrea enlazaron la semana pasada un artículo de Benjamin Edelman en el que se preguntaba ¿Quién se beneficia de los agujeros de seguridad? y desde el que se puede acceder a un vídeo (8 minutos, 4,3MB, formato Microsoft ASF) que demuestra que basta un solo minuto para comprometer seriamente un sistema Windows XP si se usa Internet Explorer.

En el vídeo se visita una página preparada para aprovechar los agujeros de seguridad de Internet Explorer que están sin corregir (no hay parche) y el resultado es que se instalan 16 programas distintos de tipo spyware, se cambia el fondo de pantalla por un anuncio y aparecen varios elementos nuevos en el escritorio, algunos de ellos dialers con imágenes de sexo explícito como icono. En un minuto. Y visitando una sóla página.

Hay que tener en cuenta que lo que se instala es spyware y no herramientas de control remoto, no porque no se pueda, sino porque no se quiere. Como dice Benjamin Edelman en su artículo, quien prepara estas páginas cobra por instalación de las empresas que se anuncian o de las que recaban los datos extraídos de las máquinas comprometidas. Si el objetivo fuese otro, como por ejemplo, reunir suficientes máquinas zombies como para atacar un sitio y eliminarlo de la Red (vease el reciente caso de Lycos y su salvapantallas contra el spam) lo que se instalaría sería más grave que el spyware.

Panda Software informa en una nota de prensa de la aparición del gusano de correo Tasin. Sus características más destacables son que se dirige al receptor del correo infectado en español y que borra ficheros con determinadas extensiones. No trata de destruir el sistema sino borrar archivos de datos del usuario, como imágenes, videos, música, presentaciones, documentos de texto, entre otros.

Como es habitual en este tipo de gusanos, trata de distraer al usuario de distintas formas (según la versión) mientras lleva a cabo la infección y comienza a enviar correos infectados con su propio motor SMTP.

Hasta el momento se han detectado tres versiones distintas, Tasin.A, Tasin.B y Tasin.C. Las dos primeras están entre los virus más frecuentemente detectados estos últimos días.

Avisan en Nautopia que se han descubierto dos nuevos fallos de seguridad en Internet Explorer. Los detalles allí, en Dos más para IE.

Cito los efectos:

La combinación de ambas vulnerabilidades podría ser explotada desde un portal malicioso para engañar al usuario, al facilitar la descarga de ejecutables maliciosos enmascarados como documentos HTML.

En Microsoft no dan abasto para tapar agujeros, actualmente, con un registro de 18 vulnerabilidades sin corregir, es el navegador más inseguro que existe. Incluso con el famoso Service Pack 2 para Windows XP instalado, hasta un usuario avanzado tiene que ir con cien ojos para evitar que se le cuele de todo a través del navegador; un navegador anticuado, lento, que no ha cambiado apenas nada en los últimos 3 años, y que, desde su aparición, practicamente no ha habido un momento en que no pudiera usarse para tomar el control de un equipo remotamente. En ésto último también tiene un record negativo, la tercera parte de los fallos de seguridad que se le han descubierto permiten el acceso remoto a un sistema.



Como puede verse en la imagen, lo normal es que se descubran dos o más vulnerabilidades al mes en IE6. Pero eso no es lo más grave, lo más grave es que Microsoft, de media, tarda más de un mes en disponer de parches para solucionarlas. El resultado es que, no importa si se está al día con los parches o no, el navegador siempre es vulnerable de una manera u otra. ¿Dos más para IE? La pregunta es ¿a alguien le extraña?

La compañía Finjan Software, que produce software de seguridad para Windows afirma en una nota de prensa (en español en VSAntivirus) que ha descubierto un total de 10 nuevos fallos de seguridad en Windows XP SP2.

Aunque no da detalles técnicos, se ha producido cierto revuelo por hacerlo público antes de que Microsoft tenga un parche para solucionarlas (de hecho, en Microsoft aún no están en situación de confirmar el alcance real de las mismas).

Además, es curioso que el anuncio de Finjan se produzca sólo unos días antes de presentar su nueva línea de productos.

Entre las vulnerabilidades se encontrarían los fallos usuales de Internet Explorer: incapacidad para impedir el acceso al sistema de archivos local, la falta de efectividad de las zonas de seguridad y una forma de evitar los avisos de descarga y ejecución de contenido activo (incluida la nueva barra amarilla).

De ser cierto, los usuarios de Windows XP SP2 estarían en la misma posición que el resto de usuarios de Windows (gracias a la última vulnerabilidad aparecida en Internet Explorer y a una conocida debilidad en el ICF) y podrían perder el control sobre su equipo simplemente viendo una página web con Internet Explorer, con la diferencia de que, en este caso, sólo la gente de Finjan y Microsoft sabe exactamente cómo hacerlo. Aunque, claro, para tomar el control de un Windows XP SP2 a través de una página web, siguen existiendo otros métodos para los que todavía no hay solución.

Un nuevo fallo de desbordamiento de buffer en Internet Explorer permite la instalación y ejecución de programas solamente viendo una página especialmente diseñada. El error se produce cuando se enfrenta al navegador de Microsoft con atributos SRC y NAME (entre otros) extremadamente largos en las etiquetas HTML FRAME, IFRAME y EMBED.

La semana pasada se publicó en la lista de corro BugTraq el código necesario para explotar la vulnerabilidad. Sólo cuatro días después, aparecieron dos nuevos virus que usaban ese código para propagarse. Como ya ocurrió en marzo de este año con algunas versiones del gusano Bagle no hay archivo adjunto en el mensaje de estos virus y basta con hacer clic en el enlace que incluyen para infectarse.

El fallo no afecta a Windows XP con SP2 instalado, pero se ha comprobado que funciona en XP SP1 con todos los parches, así como a Windows 2000 con todos los parches (otras versiones de Windows también podrían estar afectadas).

Soluciones:

• Desactivar el contenido activo en Internet Explorer.
  
• Usar un navegador y un cliente de correo más seguros.
  

En el día de ayer se hicieron públicos varios fallos de seguridad de distinta gravedad que afectan a (casi) todos los navegadores.

Por un lado, todos los navegadores que usan pestañas tienen un problema con el foco de los formularios web que se puede usar para intentar confundir a un usuario para que entregue su contraseña en un sitio malicioso pensando que está en un sitio seguro. Diversas variables, como abrir una pestaña mucho antes de tener intención de visitarla o abrir las pestañas al fondo por defecto, pueden minimizar la posibilidad de que el engaño sea efectivo. Hay más detalles y una prueba de concepto inofensiva en Secunia.

Éste es un problema principalmente del estándar javascript que da demasiado poder al webmaster (no es la primera vez que me quejo de ésto). Hace unos años Internet era un sitio más seguro y el lenguaje javascript cumplía su función, pero se está quedando obsoleto a pasos agigantados. Cada vez son más los navegadores que permiten bloquear varias funciones de javascript que hoy en día son claramente peligrosas, aunque en su momento tenían su papel y nadie pensó en los malos usos que podía dárseles, eran otros tiempos.

De entre los navegadores afectados, en el momento de escribir ésto, sólo Konqueror tiene ya corregido el problema en una versión considerada estable (en su versión 3.3.1, del 12 octubre), los navegadores Mozilla y Firefox tienen una solución que ya ha sido incluida en la rama Aviary, pero no hay todavía parches ni nuevas versiones oficiales que la incluyan (aunque es posible que ya esté incluida en las nightlies); en otros navegadores afectados, como Opera, Safari, Avant Browser o Maxthom no es posible saber cómo de avanzado tienen el arreglo (si es que tienen uno), dado que su desarrollo es cerrado, pero no ha habido anuncios oficiales de parches por parte de ninguno de ellos.

El problema que afecta a Internet Explorer, para variar, es mucho más grave y permite de hecho hacerse con el control de un equipo de forma remota. Se basa en una variación del ataque sobre las zonas de seguridad de Internet Explorer al hacer el movimiento de arrastrar y soltar sobre cualquier objeto de una página web, que fue parcheada la semana pasada por Microsoft. Y como decía entonces, era previsible, pues los fallos de este tipo son una constante en el navegador de Microsoft. El problema afecta a todas las versiones de Windows, incluido XP con Service Pack 2. Los detalles pueden leerse en español en VSAntivirus.

Los que salen peor parados son los navegadores basados en Internet Explorer como Maxthom (antes conocido como MyIE2) y Avant Browser, pues tienen fallos derivados de su funcionalidad mejorada (al estilo de navegadores modernos como Firefox u Opera) a la vez que comparten los graves problemas de seguridad de IE.

El pasado martes Microsoft publicó una nueva hornada de parches para las distintas versiones de su sistema operativo Windows. Del conjunto de once paquetes de parches que aparecieron (visita WindowsUpdate si no tienes las actualizaciones automáticas activadas, es seguro que alguno te hará falta) me voy a centrar en los que evidencian errores en el diseño de Windows y por lo tanto sufren de fallos de seguridad una, y otra, y otra vez.

En primer lugar, vamos con el paquete de parches para Internet Explorer (ocho parches). El diseño de zonas de seguridad del navegador de Microsoft que, en teoría, debe encargarse de decirle al sistema operativo que puede hacer una aplicación en base a dónde se encuentra ésta (en internet, en la red local, en el propio equipo...) está roto desde que era una idea en un papel y prácticamente no hay mes en el que no se encuentre una manera de pasarlo como si no estuviera. En este paquete vienen tres correcciones para tres formas distintas de saltárselo. En lugar de establecer protocolos distintos para local y red como hacen otros sistemas operativos, en Windows los protocolos son los mismos y se necesita del "apaño" de las zonas de seguridad para discriminar los permisos. Una mala idea que lleva dando problemas de seguridad casi una década.

Vamos con otra mala idea, en las condiciones del párrafo anterior, reunir el explorador de ficheros (entre otros programas) y el navegador web en una sola aplicación. Al contrario que otros navegadores, Internet Explorer no es sólo un interfaz y un motor de representación de páginas web, bajo la interfaz de IE hay varios programas independientes, que son parte integral del sistema operativo, entre ellos, los cito por ser los que más a menudo dan problemas, el explorador de ficheros y el sistema de ayuda remota. Para que el sistema operativo sepa cuales de estos programas están accesibles para Internet Explorer en un momento dado también se usan las zonas de seguridad (y ésta es la diferencia con Konqueror, por ejemplo, que aún siendo también un "interfaz para todo" dentro de KDE, se muestra mucho más seguro, ya que tiene un protocolo para cada cosa que hace y no tiene que intentar adivinar en todo momento si lo que está haciendo es seguro o no). Viene incluido un parche para una vulnerabilidad que permitía la descarga de cualquier tipo de fichero a cualquier parte del disco duro que seleccionase un atacante (por ejemplo, un ejecutable a la carpeta Inicio, para que se autoejecutara en el siguiente reinicio del sistema) con solo hacer el movimiento de arrastrar y soltar en el navegador. Si el explorador de archivos no estuviera incluido en el navegador ésto nunca habría sido posible. Por cierto, que han tardado lo suyo en corregirlo, que hace bastante que se sabe y hay exploits desde el primer día.

Cambiamos ahora de paquete de parches, pero seguimos con errores de diseño. Las librerias (algunos prefieren llamarlas bibliotecas) son, simplificando, archivos en los que se guardan datos y funciones que los programas necesitan para funcionar. En Windows cada programa lleva las suyas y vuelve a instalarlas aunque ya haya una versión de si mismas instalada en el sistema. Esto no sólo es un desperdicio de espacio, también puede traer problemas a la hora de asegurar un equipo. A modo de ejemplo, usaremos el fallo en la librería GDI+. Este archivo contiene las funciones necesarias para, entre otras cosas, manejar el conocido formato de imágenes comprimidas JPEG. Existía un fallo en esta librería que permitía ocultar código malicioso en una imagen, que se ejecutase sólo con verla. El problema está en que todos los programas de Microsoft llevan una versión de ésta librería, así que es necesario parchearlos todos, por separado. Por ejemplo, un sistema con Windows XP, con todos los parches, sería seguro, pero si le instalamos cualquiera de las versiones de MS Office, ya no lo sería, se podría colar un virus en una imagen al verla con cualquiera de los programas que forman la suite ofimática, hay que parchear cada uno de ellos. Lo mismo vale para cualquiera de los otros programas de Microsoft: los Visual Studio, Visio, Project, Picture It!... incluso el servicio Red de banda ancha de Microsoft (!). Cada programa debe revisarse y parchearse por separado.

Por cierto, en todo este tipo de fallos las famosas "mejoras de seguridad" del Service Pack 2 para Windows XP no resuelven nada, así que seguiremos viendo como se repiten los mismos fallos de siempre.

Según Secunia se puede usar una skin del famoso reproductor Winamp para colocar un programa en cualquier parte del sistema de archivos que se desee y ejecutarlo.

El usuario debe descargar voluntariamente una skin maliciosa, pero como no hay forma de diferenciarla de cualquier otra a primera vista, esto no tiene importancia. Las skins de Winamp vienen en archivos WSZ, que son paquetes de archivos comprimidos ZIP normales, con las imágenes necesarias y uno o más archivos XML en su interior. En uno de estos archivos XML puede hacerse una llamada a un documento HTML, es decir, una página web, por lo tanto Windows llamará al navegador por defecto para interpretarla. Este documento HTML tiene que contener una etiqueta OBJECT con su correspondiente atributo CODEBASE, que indica al navegador que debe cargar otro programa y dónde debe ir a descargarlo. En ese momento, si el navegador por defecto es Internet Explorer, gracias a los problemas de seguridad de este navegador con esa etiqueta, descargará y ejecutará el programa sin preguntar nada al usuario. En el caso de que sea otro el navegador por defecto, el usuario verá un diálogo del sistema preguntando qué debe hacer con el archivo, y le dará a elegir entre abrirlo, descargarlo al disco o cancelar la operación.

Microsoft ha intentado corregir los problemas de IE con la etiqueta OBJECT en tres ocasiones (con 3 parches distintos) y todavía es posible conseguir que ejecute programas sin preguntar si se consigue que se llamen a través de un archivo guardado en la propia máquina, lo que Microsoft llama la zona de seguridad "Mi PC" que no tiene restricción alguna. Es un ejemplo de lo frágil que es el diseño de Zonas de Seguridad de Windows. Se supone que el SP2 para Windows XP debe reforzar este punto débil, pero aún no está disponible en castellano.

Se ha comprobado que funciona con versiones de Winamp 3.x y 5.x (incluida la última, 5.04) en Windows XP SP1 con todos los parches instalados (en cualquier otra versión de Windows debería funcionar igualmente, ya que el fallo principal está en IE). No está confirmado si funciona o no en el SP2.

Las soluciones pasan por usar la versión Classic de Winamp, no descargar nuevas skins hasta que una nueva versión de Winamp corrija el fallo, usar otro programa para la reproducción de audio/video y, sobre todo, tener un navegador distinto de Internet Explorer como predeterminado.

Hasta que los ordenadores nuevos empiecen a venderse con el Service Pack 2 para Windows XP ya instalado, todavía pasarán algunos meses. Durante ese tiempo, y como ya vimos, la mayoría de equipos nuevos conectados a Internet durarán muy poco tiempo sin ser afectados por algún virus (sin necesidad de que el usuario tenga que hacer nada en especial). Según datos del SANS Institute, recopilados en este gráfico, actualmente ese tiempo es de unos 20 minutos.

En el gráfico podemos ver que, desde marzo de 2003, un equipo nuevo con Windows XP ha tenido un tiempo de supervivencia máximo (como media) en Internet de poco más de una hora. Una situación inaceptable que empieza a arreglarse ahora, con la llegada del SP2 y la mejora del firewall de Windows XP que incorpora y su puesta en marcha por defecto y en los primeros estadios del arranque. Digo que empieza a arreglarse porque entre los retrasos que se están produciendo debido a las traducciones a diversos idiomas, los que no podrán instalarlo hasta que haya actualizaciones para los programas o drivers de hardware que necesiten y, finalmente, como decía al principio, se venda en cada equipo nuevo con Windows XP todavía falta.

Entretanto, los usuarios con pocos o nulos conocimientos de seguridad podrán disfrutar de su nuevo ordenador durante esos escasos 20 minutos antes de empezar a tener que aprender algo de acerca de seguridad a la fuerza. Microsoft no ha tomado ninguna medida para evitar ésto hasta ahora (tras más de un año en esta situación), y los esfuerzos para informar y tratar de educar a los usuarios han venido siempre de terceros, como el ya citado SANS Institute o la empresa española Hispasec que tradujo la Guía supervivencia Windows XP, con información paso a paso que realmente pueda resultar de utilidad para el usuario (aunque probablemente esta información llegará tarde, si es que llega), a diferencia de la enrevesada y ambigua Proteja su PC en 3 pasos de Microsoft, que de todas formas en este caso es inútil porque no hay ningún tipo de aviso en el punto de venta, ni en la caja, ni en los manuales.

En lo que va de semana, se han encontrado dos nuevos fallos de seguridad en Internet Explorer. Liu Die Yu ha encontrado otra manera de hacer que Internet Explorer muestre en la barra de direcciones una dirección distinta de la real, lo que podría ser usado en lo que se ha dado en llamar phising, ataques que consisten en tratar de engañar al usuario para que entregue sus contraseñas o números de tarjeta haciéndole creer que está en un sitio de confianza (por ejemplo, su banco) cuando no es así. Por supuesto, para este tipo de timo, cuantas más cosas se puedan recrear al detalle, mejor.

Sin embargo, este método para sustituir el contenido de la barra de direcciones ya no funciona en IE6.05, la versión del navegador de Microsoft que viene con el Service Pack 2 para Windows XP. Supongo que a partir de ahora veremos unos cuantos en que los sucederá ésto, porque no hay que olvidar que los usuarios de otras versiones de Windows (98, ME, 2000) que aún tienen soporte por parte de Microsoft no pueden acceder a esta versión de Internet Explorer, ya que ha dejado de distribuirse como aplicación separada. Habrá que ver cómo de rápido funciona el soporte de Microsoft (en forma de parches, me refiero) para estas cosas, porque me da la impresión de que están muy centrados en XP y de los otros se acuerdan poco.

En cambio, el otro fallo de IE afecta también a los que ya hayan instalado el nuevo SP2. Y es bastante más peligroso, además. En este caso, http-equiv se basa en un trabajo realizado por la ya citada Liu Die Yu en septiembre del año pasado que Microsoft tuvo que parchear en dos ocasiones (con el primer parche no lograron solucionar el problema). En la prueba de concepto que ha diseñado, consigue colocar un programa en la carpeta Inicio de un Windows XP, actualizado con todos los parches disponibles (SP2 incluido), sin que el usuario reciba notificación de lo que ocurre, con lo que éste se ejecutará en el siguiente reinicio. Hay más información en Secunia en inglés y en Nautopia, en castellano, entre otros sitios.

Mientras que es de esperar que el Service Pack 2 sea efectivo contra epidemias de gusanos tipo Blaster o Sasser, no ocurre así para Internet Explorer 6.05, cuyas mejoras son pocos menos que cosméticas (quizá alguna de las modificaciones sea útil contra el spyware, pero eso aún está por ver) y es más que probable que siga marcando nuevos hitos en su impresionante registro de problemas de seguridad. De momento, empezaremos a contar los días que tardan en Microsoft en encontrar una solución para ésto.

Para terminar por hoy, un fallo en el diseño del nuevo firewall que viene con Windows XP SP2, provoca que aplicaciones que necesiten acceder al interfaz loopback dejen de funcionar, dando un mensaje de error indicando que no se ha podido establecer la conexión. Microsoft ya ha puesto ha disposición de los usuarios del Service Pack 2 una solución, en lo que es el primer parche para este paquete de actualizaciones de Microsoft, cuando apenas hace tres días que está disponible y después de acumular meses de retraso en su puesta a punto y distribución.

Si no hay más retrasos, a partir de mañana estará disponible "para todos los usuarios" en el servicio Windows Update de Microsoft (aunque imagino que la versión en castellano aún tardará algunos días más) el Service Pack 2, la esperada actualización que, en teoría (habrá que ver cómo se porta en la práctica) mejorará la seguridad de Windows XP, sobre todo para usuarios con mínimos o nulos conocimientos de seguridad informática. Los cambios que incluye el SP2 son muchos (la descarga será de entre 100 y 300 Megabytes, aproximadamente, según los parches que ya estén instalados), tantos que el resultado bien podría llamarse Windows XP Segunda Edición. Si no estás al tanto de en qué consisten estos cambios (y si lo estás también merece la pena) en Nautopia han hecho un buen análisis del Service Pack 2.

Una ventaja de que el SP2 llegue más tarde en castellano, es que podemos ir viendo cómo les va a los que ya han podido instalarlo (los que tengan Windows XP en inglés o alemán). Según Eweek (y otras fuentes dan datos en la misma línea) los resultados de la instalación de la actualización de Windows XP van desde ningún problema al fallo total del sistema, pasando por todo el abanico de situaciones intermedias (incluso en algún caso el SP2 se ha negado a instalarse). Como decía al principio, este Service Pack practicamente hace de Windows XP un nuevo sistema operativo y estaba previsto que muchos programas no fueran compatibles después de actualizar (Microsoft ha publicado una extensa lista con los programas que pueden ocasionar problemas o dejar de funcionar o no poder instalarse con SP2, incluidos muchos antivirus y cortafuegos), así que tener problemas con algún programa concreto puede considerarse normal (habrá que esperar nuevas versiones o parches de las aplicaciones problemáticas).

Desde Microsoft se recuerda que en caso de que haya problemas de rendimiento, o con el hardware (por lo visto muchas tarjetas de red inalámbricas dan problemas) o un programa crítico para el usuario deje de funcionar, es posible desinstalar el SP2.

Para minimizar el riesgo de problemas, y basándome en las experiencias de usuarios que he podido leer, recomiendo instalar el Service Pack 2 para Windows XP sobre una instalación limpia (hacer copia de seguridad de lo que sea necesario, formatear el disco e instalar Windows XP desde cero).

Se han publicado tres parches para Internet Explorer que corrigen tres vulnerabilidades que la propia Microsoft considera críticas. Y no es extraño, pues dos de los fallos de seguridad que corrigen permiten ejecutar código a traves de simples imágenes (a la vista del usuario, en realidad, archivos malformados intencionadamente), en concreto: GIFs y BMPs. Esto puede ser especialmente peligroso en imágenes que lleguen a través de correo electrónico, si se usa Outlook o Outlook Express, pues el código podría ejecutarse sin más restricciones que los permisos del usuario que maneje el cliente de correo. No me extrañaría que el proximo gusano de gran difusión use uno de estos metodos.

Más detalles y descarga de los parches en el boletín de Microsoft. Resaltar que Microsoft se ha saltado su política de liberar parches sólo el segundo martes de cada mes, lo que indica que les otorgan gravedad extrema y deberían instalarse inmediatamente.

Sin embargo, aún con estos parches instalados, Internet Explorer sigue permitiendo ejecutar código malicioso remotamente, pues las vulnerabilidades críticas que se han hecho públicas este mismo mes siguen sin arreglar. La recomendación de instalar los parches y no usarlo sigue vigente.

Avisan en Secunia de que es posible eliminar temporalmente mediante javascript la interfaz de Firefox y Mozilla (en realidad, esto primero puede hacerse en cualquier navegador, como ya hemos visto) y sustituirla por un archivo XUL (toda la interfaz de Firefox está escrita en XUL).

Al sustituir la barra de direcciones, se puede hacer creer al usuario que está en una página distinta a la que realmente se encuentra, pero lo realmente peligroso es que también se puede sustituir la barra de estado y el icono del candado que indica que estamos en una página segura. Al pulsar el candado para examinar un certificado, la ventana del navegador que se muestra con los detalles del mismo también es falsa, aunque parezca un dialogo de Firefox normal.

Incluso un usuario avanzado podría caer en este engaño, siempre, claro está, que no tenga configurado Firefox (o Mozilla) como recomendaba ya a principios de marzo.

El fallo de seguridad que se comenta en Secunia corresponde al bug 244965 en Bugzilla. Hay una prueba de concepto (solo para Firefox, pero podría hacerse igualmente para Mozilla) disponible para comprobar la vulnerabilidad. Lo cierto es que el efecto usando mi configuración es bastante curioso (y completamente inofensivo).

Voy mal de tiempo y estamos en una de esas temporadas en que parece que todos los días hay noticias relacionadas con la seguridad, lo que se traduce en pocas actualizaciones de esta página y con retraso.

Recopilaré en esta nota todas las novedades desde la última entrada, con la esperanza de ponerme al día y poder volver a comentar las novedades cuando sean noticia (o incluso antes, como ha sucedido en algunas ocasiones). Así pues, vamos con el repaso.

Tras un mes y cinco días, Microsoft por fin ofrece un parche a través de Windows Update para la vulnerabilidad que permitía descargar y ejecutar programas de forma invisible al usuario. Asimismo, también parchea la vulnerabilidad del protocolo shell (han tardado una semana, no está mal, para ser Microsoft), que se descubrió porque podía aprovecharse a través de varios productos de la Fundación Mozilla (se arregló en un día), pero que podía aprovecharse igualmente a través de otros programas de la propia Microsoft, como MS Word (había una ventana de aviso) o MSN Messenger (se ejecutaba directamente). Lamentablemente para los usuarios de Internet Explorer, al mismo tiempo que Microsoft publicaba sus parches, aparecían cuatro nuevas vulnerabilidades en IE (aunque la gravedad de una queda reducida al arreglar lo del protocolo shell, las otras también son consideradas críticas, ya que se puede obligar a Internet Explorer a ejecutar cualquier código con ellas). La recomendación sigue siendo bajar e instalar las actualizaciones de seguridad y no usarlo.

También hay un parche para Outlook Express y otros para distintos fallos en diversas versiones del sistema operativo Windows. Debido a la debilidad de Internet Explorer del que los clientes de correo Outlook dependen, se recomienda el uso de clientes de correo alternativos.

Otro popular cliente de correo, Eudora, también tiene problemas de seguridad graves.

Por su parte, quizá Opera se dió demasiada prisa en lanzar su versión 7.52, porque al día siguiente se hacía pública una vulnerabilidad en su manejo del javascript que puede camuflar la dirección auténtica en la barra de direcciones del navegador, haciendo creer al usuario que está en una página distinta de la que realmente se encuentra. Recordad el consejo de no acceder a sitios que necesiten de conexión segura (bancos, tiendas, cuentas de correo webmail...) a través de enlaces (mucho menos pinchando en enlaces que lleguen a través de correo eléctronico); hay que escribir directamente la dirección en la barra de direcciones.

Los usuarios del popular lector gratuito de archivos PDF Adobe Acrobat Reader deberían actualizar a la mayor brevedad a la última versión (6.0.2) ya que versiones anteriores permiten la ejecución de código arbitrario al visualizar un documento.

Se encontró ayer un fallo de seguridad en Mozilla, Firefox y Thunderbird (en cualquiera de ellos, sólo si están instalados sobre Windows) que permitía ejecutar programas instalados y pasarles parámetros construyendo un enlace shell://. Si se consiguiese explotar un fallo de desbordamiento de buffer en alguno de los programas instalados a través de un enlace de este tipo (y engañando al usuario para que lo pulse) el resultado sería la capacidad de ejecutar cualquier código en la máquina víctima; o más fácil (atención, lo que sigue va medio en broma, medio en serio, debo tener el día tonto) en vez de buscar un desbordamiento de buffer, se podría ejecutar Internet Explorer y pasarle como parámetro una página preparada para que descargara, instalara y ejecutara sin informar al usuario lo que hiciera falta.

Se ha anunciado la próxima salida de Mozilla 1.7.1, Firefox 0.9.2 y Thunderbird 0.7.2 para solventar este fallo. Mientras tanto, se aconseja desactivar el manejo del protocolo shell en cada uno de los productos afectados a los usuarios de alguno de éstos programas en sistemas operativos Windows. Ésto puede hacerse de dos maneras:

• La sencilla: usar el XPI que se ha preparado para hacer los cambios pertinentes pinchando en el enlace siguiente: Instalar Shellblock
  
• La avanzada: usar about:config para crear una nueva entrada de tipo lógico, con nombre network.protocol-handler.external.shell y asignarle el valor false.
  

Por su parte, Opera ya ofrece para descarga la versión 7.52 de su navegador, que soluciona el fallo de seguridad que afectaba a casi todos los navegadores descubierto la semana pasada.

De Microsoft y su Internet Explorer, en cambio, sólo hay malas noticias.

Tanto los desarrolladores de Mozilla como los de Opera han respondido con una rapidez encomiable pero, como siempre, no servirá de nada si los usuarios no responden con igual rapidez.

Sin esperar al segundo martes del mes, Microsoft publicó el viernes pasado un "parche" para la vulnerabilidad de Internet Explorer que ha causado el publicitado problema con el virus Scob (Download.Ject). Pongo las comillas porque el "parche" en cuestión lo único que hace es cambiar un par de configuraciones en el registro de Windows, un apaño rápido que no soluciona nada en absoluto, pues sólo unas pocas horas después de la publicación del remiendo, ya había un nuevo exploit que evitaba el cambio de configuración, dejando las cosas como estaban.

A punto de cumplirse un mes desde que la vulnerabilidad y la forma de explotarla son de dominio público, Microsoft sigue sin proporcionar una solución adecuada (la única efectiva deja sin soporte ActiveX, VBScript, JScript y Javascript al navegador, recortando su funcionalidad por debajo de niveles aceptables para un uso normal). Y esto, pese a que la gravedad del problema es tal, que por todas partes se alzan voces instando a abandonar el uso de Internet Explorer (ejemplos: Secunia, SecurityFocus, US-CERT, Slate...).

Con todo, no es el único problema que Microsoft tiene que resolver en su navegador, aparte de otros fallos más antiguos que aún esperan parche, se ha descubierto un nuevo agujero de seguridad que afecta a casi todos los navegadores, pero que es especialmente grave en IE debido a su extremadamente frágil diseño. Las últimas versiones de Mozilla y Firefox no están afectadas por ninguna de éstas vulnerabilidades.

Voy fatal de tiempo, así que no hay comentarios, sólo los enlaces.

• Respecto a las últimas vulnerabilidades críticas de Internet Explorer, que va para un mes que esperan parche:
  El Gobierno de EEUU advierte contra el uso de IE.
  
• ¿Quién está detrás del spam?
  El spam y la mafia, un asunto serio.
  

Firefox 0.9 ha salido finalmente sin una de las características de seguridad anunciadas: la lista blanca de sitios que pueden pedir al usuario que acepte instalar una extensión mediante XPIs.

Aunque finalmente el sistema de lista blanca está listo, como el desarrollo se retrasaba se decidió sacar la 0.9 sin él.

Ya vimos los problemas que podía ocasionar a los usuarios de Firefox en Windows la falta de un modo de bloquear que sitios maliciosos lanzaran la ventana de confirmación de instalación.

La capacidad de bloqueo está implementada en Firefox 0.9, y puede controlarse desde el menú Edit > Preferences como puede verse en la imagen (haz clic para verla ampliada):



Al desmarcar la casilla, ningún sitio podrá ofrecer el dialogo de instalación automáticamente, sin embargo, sí que aparecerá al pinchar en un enlace en, por ejemplo, Mozilla Update. Éste debería ser el comportamiento por defecto, pero no lo es, la casilla aparece marcada al terminar la instalación. Al parecer, se ha decidido esperar a que el interfaz de la lista blanca, que está en pleno desarrollo, esté terminado para activar el bloqueo por defecto, lo que para mí no tiene sentido (dejarla marcada es como seguir en la 0.8 a este respecto) y aconsejo desmarcar esa casilla ya mismo.

Aquellos que no tengan miedo de probar software pre-beta, encontrarán un enlace para descargar e instalar (es un XPI) una versión de prueba del interfaz (0.2.1) en el último enlace a Bugzilla. Los que no quieran instalarlo pero tienen curiosidad por saber que pinta tiene, que sigan leyendo.

Sólo hace unos minutos que lo tengo instalado, pero tras unas pocas pruebas, parece perfectamente funcional. Añade un botón a la sección Software Update (ver imagen)



Pulsando en él aparecerá la interfaz. En principio, la lista viene en blanco, hay que marcar la casilla "Enable the XPI whitelist" y añadir los dominios que nos parezcan seguros con el botón Add.



Finalmente, si escribimos about:config en la barra de direcciones y usamos el filtro xpinstall podremos ver los cambios que realiza este XPI de lista blanca (en negrita en la imagen, 80KB)



Espero que en cuanto esté más probado y pulido y sea seguro que se active por defecto tras la instalación, lo suban a Mozilla Update y le dediquen un recuadro especial.

Según ha publicado recientemente The Register en un artículo basado en un estudio de Sandvine, una empresa especializada en la optimización de recursos de red, el 80% del spam se envía desde ordenadores personales infectados y controlados por troyanos, sin el conocimiento de su dueño (a los equipos controlados de ésta forma se les llama zombies).

Ya han quedado atrás los tiempos en que la avalancha de spam podía ser controlada mediante listas negras que bloquearan los servidores de correo dedicados a ésto o aquellos que algún irresponsable mantenía mal configurados. Ahora ya no son unos pocos cientos de servidores aquí o allá, sino un ejército (en realidad, son varios, cada spammer profesional tiene el suyo) de decenas o cientos de miles de PCs infectados. No es posible bloquear a cada uno de éstos equipos individualmente, en primer lugar, porque sus IP son dinámicas y cambian cada vez que se conectan a Internet y, en segundo, porque los ordenadores antes o después son desinfectados; pero, al mismo tiempo, otros están siendo infectados y ocupando su lugar. Es una dinámica que no puede detenerse mientras existan usuarios descuidados con la seguridad de sus ordenadores.

La gente que controla estos ejércitos son mercenarios, y no se dedican exclusivamente a enviar spam. Hay más cosas para las que puede servir un número ingente de ordenadores bajo las ordenes de una sola persona (o de un grupo), y la magnitud de los "trabajos" que pueden realizar se incrementa, según aumenta el número de equipos bajo control, de ahí que la mayoría de las últimas oleadas de gusanos tenía como objetivo engrosar las filas de alguno de estos ejércitos.

Mi insistencia en llamarlos ejércitos no es gratuita, pues es habitual que se usen como fuerza de ataque, además no hay objetivo pequeño ni demasiado grande para ellos. Últimamente algunos de estos grupos incluso tienen el descaro de ofrecer publicamente sus servicios; y es lógico, pues a medida que Internet crece, y más y más usuarios sin nociones de seguridad, ni del funcionamiento de la misma Internet se conectan a la Red, su poder potencial se multiplica.

Para la supervivencia de la Red a largo plazo, es esencial que se creen programas de educación para usuarios a nivel global. Internet es una red global, la solución de sus problemas también debe serlo.

La 1ª Campaña Mundial de Seguridad en la Red es un paso en la dirección adecuada.

El cuento, reproducido en docenas de correos eléctronicos estúpidos distintos durante los últimos años, del virus imparable que borra todo el disco duro, es eso, un cuento. Los programadores de virus encuentran mucho más productivo controlar las máquinas infectadas (y usarlas para enviar spam, atacar los sitios web de otros, etc.) que destruirlas. Los virus que hacen ésto último son muy pocos y hacía años que no teníamos uno.

Los que hayan notado el énfasis en el tiempo pasado del párrafo anterior, que se sumen diez puntos, según Symantec tenemos uno nuevo: VBS.Pub.

Antes de abrir tu cliente de correo y escribir un e-mail del tipo que decía al principio sigue leyendo.

Sí, puede borrar todo el disco duro, pero tampoco es para tanto, me explico:

Como su nombre indica es un virus hecho en Visual Basic Script y, por tanto, sólo puede ejecutarse a través de Internet Explorer, Outlook Express, Outlook y algunos de los otros programas de Microsoft Office. Como es habitual, viene en un archivo adjunto al correo, y mientras éste archivo adjunto no sea abierto con ninguno de los programas de Microsoft que pueden ejecutarlo, no puede infectar a nadie. Hay un gran número de virus y troyanos escritos en Visual Basic Script, porque, además de ser muy fáciles de hacer, como es un lenguaje de la propia Microsoft permite llegar practicamente a cualquier parte del sistema operativo Windows (en cualquiera de sus versiones), lo que los hace muy potentes; aparte del lenguaje en que están escritos, todos ellos tienen en común que pueden llegar en un archivo con las siguientes extensiones: .asp, .hta, .htm, .htt, .html, .vbe y .vbs.

Mientras no abras ningún archivo con esas extensiones con un programa de Microsoft, no puedes infectarte ni con VBS.Pub ni con ninguno de los otros "bichos" escritos usando VBS.

Moraleja:
Los programas de Microsoft listados arriba no son seguros, y no deberían usarse para examinar ningún archivo que nos llegue a través de la Red, ya sea por correo electrónico o descargándolo directamente.

Secunia advierte de que se han descubierto dos nuevas vulnerabilidades en Internet Explorer de la máxima gravedad que permiten descargar, instalar y ejecutar cualquier programa sin que el usuario sea advertido de lo que sucede.

Se sabe con seguridad que se está usando para instalar adware y se rumorea que hay al menos una versión del troyano Agobot que también las está usando para propagarse.

De momento, no hay parches (salvo que Microsoft ofrezca uno para ésto en las actualizaciones que se esperan para hoy), así que la solución más fácil y segura es usar otro navegador.

Hay más detalles y una prueba de concepto para comprobar que funciona (de forma inofensiva) en Neohapsis.

Actualización 10/06/2004

Se ha confirmado que este método también funciona a través de Outlook y Outlook Express.

Aquellos que no puedan instalar otro navegador (por ser el del trabajo y no tener permisos para instalar programas, por ejemplo), pueden seguir las instrucciones de este artículo de VSAntivirus relativas a deshabilitar Active Scripting; ésto impedirá que el exploit funcione. No recomiendo esta solución para todo los usuarios de IE porque al deshabilitarlo, desactivamos ActiveX y Javascript y, la falta de éstos (sobre todo, del último), puede afectar a la navegabilidad de muchos sitios. Para la mayoría, es mejor probar las alternativas libres.

No hay una configuración similar para los clientes de correo de Microsoft que minimice el problema, así que lo único que puede hacerse es no hacer clic en ningún enlace desde estos programas, algo que, de todas formas, no debería hacerse nunca, por razones ya explicadas.

Java es una tecnología que la mayoría de navegadores soporta y, en muchos de ellos, está activada por defecto; en los casos en los que esto no es así, es bastante común instalar el plug-in (disponible de forma gratuita) y dejarlo activado para siempre. Ésto no es una buena idea dado que Java sólo es necesario en momentos muy puntuales (web-chats y algunas animaciones, principalmente) y la mayor parte del tiempo no hace ninguna falta.

Una de las reglas básicas de seguridad es mantener desconectado todo lo que no sea necesario de forma inmediata. Los problemas de seguridad pueden aparecer en cualquier parte y en cualquier momento, por lo que es razonable tratar de minimizar en lo posible el número de cosas que pueden hacernos vulnerables.

A modo de ejemplo, vamos a ver un caso de spoofing que se dió el mes pasado con los clientes de un banco estadounidense, con el objetivo de robar los números de cuenta, de tarjeta de crédito, de la seguridad social, así como sus nombres y direcciones:

Las víctimas de éste engaño recibieron un correo electrónico que aparentaba provenir de su banco. En el código del correo, había un exploit para uno de los varios fallos conocidos de Outlook y Outlook Express que aún no han sido corregidos que permiten falsear la dirección a la que apunta un enlace en la barra de estado de los clientes de correo de Microsoft (hay muchos de éstos, tres distintos sólo en el mes pasado). En el texto visible del correo se pedía que se visitase una dirección dentro del sitio web del banco, proporcionando el enlace trucado. Si el usuario engañado pinchaba el enlace, Internet Explorer cargaba una página en un servidor controlado por los estafadores, en el que había una copia de la página original del banco que incluía un applet Java, que superponía una imagen con la dirección correcta del banco sobre la barra de direcciones de Internet Explorer, para impedir que se viese la dirección real. Es un método bastante más sofisticado que el primer Spoofing Visual que vimos, ya que con este procedimiento es posible incluso seleccionar y modificar el contenido de la barra de direcciones, sin notar el engaño.

En la ficha de Antiphising.org del caso pueden verse imágenes y comprobar que el engaño era casi perfecto.

En este caso, el tipo de objetivo del ataque era muy definido: usuario de Outlook o Outlook Express, con Java activado en Internet Explorer (muy definido, pero dado que es el caso más común, no es un problema para los timadores); pero hay que tener en cuenta que otros clientes de correo han tenido o tienen vulnerabilidades que permiten falsificar el auténtico destino de un enlace (al cliente Eudora, hace muy poco le salió una de éstas) y, aunque este applet Java concreto sólo funciona en IE, es posible que una variante del mismo programa pudiese afectar a otros navegadores. El consejo de desactivar Java si no hace falta va para todos, no sólo para los que usen Internet Explorer.

VSAntivirus publica una lista de programas antispyware que no sólo no cumplen con su cometido, sino que ellos mismos agregan estos molestos programas que se supone debían eliminar. Es un tema que ya toqué de refilón el año pasado (aunque sólo daba un ejemplo). Los programas de este tipo que nunca deben instalarse son:

• AdProtector
  
• AdwareHunter (adwarehunter.com, browser-page.com)
  
• AdWareRemoverGold (adwareremovergold.com)
  
• BPS Spyware & Adware Remover (bulletproofsoft.com)
  
• InternetAntiSpy (internetantispy.com)
  
• NoAdware (noadware.net, netpalnow.com)
  
• Online PC-Fix SpyFerret
  
• PurityScan (purityscan.com, puritysweep.com)
  
• Real AdWareRemoverGold (adwareremovergold.com, sg08.biz)
  
• SpyAssault (spyassault.com)
  
• SpyBan (spyban.net)
  
• SpyBlast (spyblast.com, advertising.com)
  
• Spyblocs/eBlocs.com (eblocs.com)
  
• Spybouncer (spybouncer.com)
  
• SpyDeleter (spydeleter.com, 209.50.251.182)
  
• SpyEliminator (securetactics.com)
  
• SpyFerret (onlinepcfix.com)
  
• SpyGone (spygone.com)
  
• SpyHunter (enigmasoftwaregroup.com, spywareremove.com, spybot-spyware.com)
  
• SpyKiller (spy-killer.com, maxionsoftware.com, spykiller.com, spykillerdownload.com)
  
• SpyKillerPro (spykillerpro.com)
  
• Spyware Annihilator (solidlabs.com)
  
• SpywareBeGone (spywarebegone.com, freespywarescan.org)
  
• SpywareCleaner (www.checkforspyware.com, www.spw2a.com/sc/)
  
• SpywareCrusher (spywarecrusher.com)
  
• SpywareInfoooo.com
  
• SpywareKilla (spywarekilla.com)
  
• SpywareNuker (spywarenuker.com, trekblue.com, trekdata.com, spyware-killer.com)
  
• SpywareRemover (spy-ware-remover.com, spywareremover.com)
  
• SpywareThis (spywarethis.com)
  
• SpywareZapper (spywarezapper.com)
  
• SpyWiper (mailwiper.com)
  
• ssppyy pro (ssppyy.com)
  
• TZ Spyware Adware Remover (trackzapper.com)
  
• VBouncer/AdDestroyer (spywarelabs.com, virtualbouncer.com)
  
• Warnet (warnet.com)
  
• XoftSpy (download-spybot.com, paretologic.com, downloadspybot.com, no-spybot.com)
  
• ZeroSpyware (zerospyware.com, zeroads.com)
  

Se añade además como sospechoso Spyware X Terminator. Tengo que recordar que hay también en VSAntivirus otra lista con los programas de descarga P2P que nadie debería instalarse por las mismas razones. Los programas antispyware que funcionan, son gratuitos y no traen sorpresas pueden encontrarse en mi propia lista.

Nota: La falta de enlaces directos en la lista es intencionada.

Se despista uno un par de días y empiezan a salir fallos de seguridad por todas partes.

http-equiv, que lleva un par de semanas buscándole las vueltas a Outlook y Outlook Express (y hallando un nuevo fallo de seguridad cada 3 días) ha encontrado uno especialmente grave, que permitiría, combinando con una vulnerabilidad de Internet Explorer de esas que se conocen hace tiempo pero que en Microsoft no se deciden a parchear, instalar y ejecutar cualquier programa a través de un objeto OLE en una página web o un documento RTF. El fallo se puede aprovechar a través de Outlook 2003 y Office 2003 en general. No hay parches todavía, así que, de momento, lo único que se puede hacer es filtrar los mensajes y adjuntos en HTML y RTF y no abrirlos. Se está investigando como podría afectar esto a versiones anteriores.

Más cosas, se ha hecho público un fallo en el navegador Opera en su versión 7.23 que permitiría descargar archivos nuevos o sobreescribir los existentes en el espacio del usuario, en todas las plataformas en las que Opera funciona. Usar un usuario sin privilegios para navegar por Internet reduce la gravedad del problema. En la nueva versión 7.50 de Opera el fallo está corregido.

Después de hacerse público el agujero de seguridad en Opera, el equipo de KDE revisó su código para ver si alguno de sus programas podría ser vulnerable a un ataque similar, encontrando que, efectivamente, su navegador web Konqueror estaba afectado, aunque era bastante más complicado de explotar exitosamente que en el caso de Opera: en primer lugar, porque había que abrir Kmail a través de un enlace mailto: y en segundo, porque éste pregunta antes de iniciar la conexión para descargar el archivo. En cualquier caso, KDE proporcionó parches inmediatamente y avisó a todas las distribuciones que incluyen sus programas tres días antes de hacerlo asímismo público.

Todavía no acaba la cosa ahí, porque Safari, el navegador por defecto de MacOSX e Internet Explorer 5.2 para Mac también están afectados por varios fallos similares, que además, en este caso, también permiten ejecutar directamente los archivos descargados. Dado que aún no hay parches, se recomienda no navegar como administrador y no visitar sitios que no sean de plena confianza.

Leo con asombro en las noticias de SecurityFocus que se ha abierto una página dedicada a recaudar fondos para ayudar al presunto autor del gusano Sasser en los juicios que le esperan, ahora que ha sido detenido.

La razones que se exponen para pedir la ayuda económica son que tanto Netsky (del mismo autor) como Sasser eran inofensivos, además, mientras que el primero era un virus antivirus, que inició una guerra contra Mydoom y Bagle (también Mimail y otros puntualmente); el segundo pretendía ser una llamada de atención sobre un agujero de seguridad grave, para obligar a la gente a parchear sus sistemas antes de que un código realmente malicioso las aprovechara (llegó algo tarde para eso, como ya vimos).

La detención del presunto autor, no ha acabado con el desarrollo del gusano Sasser, del que continuan saliendo versiones nuevas, ya sean hechas por un imitador o por otro miembro del Skynet Antivirus Team.

Desde el 13 de abril que Microsoft publicó los detalles de la vulnerabilidad que aprovechaba el gusano Sasser, hasta que éste empezó a manifestarse, el último día del mismo mes, fueron apareciendo, en rápida sucesión, numerosos exploits para el bug en el servicio LSASS.

Varios de estos exploits fueron incluidos rapidamente, antes de la aparición de Sasser, en diversas variantes de troyanos de la familia de los peligrosos Phatbot/Agobot/Gaobot.

Los antivirus son de poca utilidad ante los troyanos, salvo que sean muy conocidos y las nuevas versiones vayan apareciendo en intervalos largos de tiempo; y éste no es el caso de esta familia de troyanos, que raro es el día que no hay versión nueva (a veces más de una diaria). Además, estos troyanos lo primero que hacen es preocuparse de desactivar firewalls (la única defensa verdaderamente efectiva contra ellos) y antivirus (si hay alguno instalado) y, a veces, impedir la conexión a las páginas de éstos últimos, para que no sea posible la actualización de sus ficheros de firmas.

Después de estos tres párrafos introductorios, ya es hora de ir a la razón del título de esta nota. En un gran número de los equipos infectados por Sasser se están encontrando también una o más variantes de alguno de estos troyanos. Así como Sasser era practicamente inofensivo, no es el caso de estos "*bot", que hacen de todo, roban contraseñas, recogen números de tarjetas de crédito y de la seguridad social, usan las máquinas infectadas para enviar spam y realizar ataques DDoS (ataques sobre sitios web)...

Pese a que apenas se les da publicidad, son más peligrosos que cualquiera de los gusanos corrientes (y por lo general, casi inofensivos) de los que oímos hablar tan a menudo; datos de F-Secure del mes de marzo indican que podría haber cientos de miles de máquinas infectadas por alguno de estos troyanos; ahora mismo, la cifra podría muy bien haberse multiplicado.

El cortafuegos de Windows XP es perfectamente inútil contra cualquier troyano, para defenderse de éstos es necesario instalar otro de terceros. Hay muchos gratuitos que son lo suficientemente buenos, encontraras varios en esta lista.

Ayer, como cada segundo martes de mes, Microsoft publicó su boletín de seguridad con, en este caso, su parche correspondiente, ya que sólo hay una vulnerabilidad grave que corregir. Ha sido un mes bastante tranquilo, Sasser aparte, sólo un par de fallos menores, con poco peligro, en Outlook Express, que ni yo he nombrado aquí, ni a Microsoft le ha parecido necesario corregir.

La vulnerabilidad que soluciona el único parche de este mes está, otra vez, en el sistema de ayuda de Windows, y afecta sólo a las versiones XP y 2003 de este sistema operativo. Como todos los fallos anteriores del sistema de ayuda, es muy fácil sacar provecho de él, basta con convencer al usuario de que pinche en un enlace especial, ya sea en una página web o en un correo electrónico. Un atacante que logre ésto podría hacerse de hecho con el control del equipo, ya que el bug permite instalar y ejecutar cualquier programa, sin que el sistema muestre ninguna advertencia de lo que ocurre. Hay algún dato más que podría resultar interesante, ya que de nuevo han solucionado un agujero de seguridad eliminando la fuente del problema en lugar de arreglarla, en el artículo al respecto de VSAntivirus.

Mi recomendación es desconectar el sistema de ayuda, casi nadie lo usa, y es una fuente constante de problemas de seguridad. Para ello, en Windows XP, hay que ir a Inicio, pulsar Ejecutar, escribir en la ventana que se abre services.msc /s, en la nueva ventana, hacer doble-clic en "Ayuda y soporte técnico" y en tipo de inicio, elegir Deshabilitado.

Nota: Para el que el parche de Microsoft funcione correctamente, el sistema de ayuda debe estar habilitado. Después de instalar el parche, ya puede deshabilitarse tranquilamente.

VSAntivirus advierte de la aparición del gusano Sasser. Como en el caso de Blaster, el usuario no tiene que abrir un correo, ni ejecutar un archivo, ni hacer nada en absoluto, basta con estar conectado a Internet para infectarse.

La vulnerabilidad que aprovecha el virus, que Microsoft solucionó en sus parches del pasado mes de abril, está en una de las interfaces del protocolo RPC asociada con el servicio LSASS. Sólo las distintas versiones de Windows 2000 y Windows XP están afectadas.

Pese a que, igual que en el caso de Blaster, hay un parche de Microsoft que soluciona el problema, que se sabía que existían exploits para sacar provecho de la vulnerabilidad y de los avisos de Microsoft de que el riesgo de aparición de un gusano de estas características era alto, más los continuos rumores de la aparición inminente del mismo, parece (a juzgar por el número de usuarios reportando la infección en distintos foros) que son muchos los que no han parcheado sus equipos. Un firewall bien configurado también impediría la infección incluso aunque no se hubiera aplicado el parche todavía.

Para desinfectarse, hay que descargar el parche de Microsoft en primer lugar, y actualizar y usar un antivirus después. También pueden seguirse las instrucciones para la desinfección manual que VSAntivirus proporciona. Al aplicar el parche de Microsoft desaparecerán las molestias (los reinicios del equipo) que causa el virus, pero ésto no lo elimina. Una de las causas de que Blaster permaneciera activo tanto tiempo fue que muchos usuarios no desinfectaron sus equipos después de aplicar el parche, por lo que el gusano continuaba reproduciéndose e infectando otros ordenadores desde equipos ya parcheados.

Actualizado 2/5/2004

El virus 'Sasser' afecta a millones de ordenadores en todo el mundo.

Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha una vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de scripting tienen una cosa en común: la flexibilidad. Es decir, que pueden hacerse scripts muy diferentes entre sí que hagan exactamente lo mismo. Por eso, ayer podría ser cierto que el antivirus de Panda detectaba ese script, hoy quizá ya no lo sea, si el autor ha decidido modificar su código.

Lo que funciona bien con los virus, que son programas bastante complejos, y es díficil hacer grandes cambios, no funciona tan bien con los scripts, que son muy sencillos, y muchas veces se componen de sólo una o dos líneas de código.

Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de 23/04/2004 19:24 Enlace permanente. Tema: Opinión No hay comentarios. Comentar.

Al hilo de lo que decía el otro día sobre la cada vez mayor falta de información en los boletines de seguridad de Microsoft, hay que añadir que siempre han usado un vocabulario algo especial en sus comunicados hasta el punto de que, como comenta rvr en su bitácora de Barrapunto alguien ha creído necesario hacer un diccionario Microsoft-Inglés.

Sin embargo, a veces, son realmente muy claros y directos. En la Microsoft Knowledge Base se encuentran recopilados los problemas conocidos del software de Microsoft junto con la solución recomendada por ellos mismos; gracias a Kim Scarborough tengo un ejemplo de lo que decía al principio del párrafo. La página de la Knowledge Base en cuestión describe un error de Outlook 2002 que impide el uso del programa, según Microsoft éstas son la causa y la solución del problema:

CAUSA
Este problema puede producirse si tiene usted un antivirus o un firewall instalado y funcionando en su computadora.

SOLUCION
Para resolver este problema, desinstale el antivirus o el firewall de su computadora.

¿Está claro, no? Gran solución. La página de la que hablo, hasta ayer, podía encontrarse aquí. Para evitar la publicidad negativa, Microsoft ha retirado el artículo que, en estos momentos, se estará reescribiendo. A ver qué dice cuando lo terminen.

Microsoft publicó ayer los boletines de seguridad de este mes, junto con sus parches asociados. En total, cuatro parches que corrigen un total de 20 vulnerabilidades. Todas las versiones de Windows están afectadas, como mínimo, por cinco de estos fallos.

Se quejan en Hispasec, con razón, de que Microsoft cada vez da menos información en sus boletines. Esto es así hasta tal punto que es difícil decir, al menos a primera vista, qué es lo que han corregido, sobre todo si tenemos en cuenta que, al menos para mí, la lista de los fallos pendientes comenzaba a ser inmanejable, por lo extensa.

Para los usuarios domésticos, lo más importante son varios fallos arreglados que permitían ejecutar cualquier código remotamente (y por lo tanto servían de punto de entrada de virus y troyanos) en Outlook Express, Internet Explorer y el servicio RPC, que el gusano Blaster hizo famoso el verano pasado y que no ha dejado de dar problemas desde entonces, ya he perdido la cuenta de cuantas veces ha sido necesario parchearlo.

A pesar de que el número de vulnerabilidades arregladas este mes es alto, Microsoft está lejos de ponerse al día y tanto Internet Explorer como Outlook y Outlook Express quedan muy lejos de poder ser considerados seguros. El último bug de Internet Explorer, no es que sea precisamente un fallo de seguridad, pero es ilustrativo de hasta que punto con este navegador los problemas no terminan nunca: un sencillo javascript permitiría a un webmaster con mala idea, enviar la página que se visita a la impresora de una a infinitas veces, sin pedir confirmación y, supongo, dando un buen susto al usuario (una cosa es que se te abra un pop-up y otra que salga impreso por sextuplicado).

Otro punto curioso es ver como, cada vez más, las versiones de Windows más modernas y consideradas más seguras por la propia Microsoft, como XP o 2003 Server, sufren de fallos críticos que no tienen efecto alguno o un efecto mucho más moderado en los vetustos Windows 98 y NT 4.

La vulnerabilidad en el cliente de la red P2P eDonkey eMule está explicada en Hispasec. La nueva versión del cliente de eMule, 0.42e, la corrige. Se recomienda actualizar inmediatamente, porque hay códigos en circulación que permiten aprovechar la vulnerabilidad.

El fallo en el reproductor multimedia WinAMP afecta a todas sus versiones desde la 2.91 (probablemente, también anteriores) hasta la 5.02. Consiste en un error en el manejo de los archivos de Fasttracker 2 que puede permitir la ejecución de código remota, por ejemplo, engañando al usuario para que visite una página web y reproduzca un archivo de ese tipo. La nueva versión 5.03 de WinAMP corrige el bug.

A estas alturas, no creo que quede nadie que no se haya enterado de que Google está preparando el lanzamiento de Gmail, un nuevo servicio de webmail gratuito con capacidad de 1GB, una cantidad de almacenamiento entre 170 y más de 500 veces superior a lo que ofrecen las compañías líderes de la competencia: Yahoo! y MSN Hotmail, entre otras.

Sin embargo, hay una gran cantidad de confusión y desinformación alrededor de la forma que Google va a usar para financiar Gmail: su servicio de publicidad Google AdSense y sus anuncios de texto relevantes respecto al contenido. Se especula que el hecho de permitir que Google AdSense explore y registre los mensajes en busca de palabras clave para introducir publicidad basada en texto en consonancia con el contenido, puede menoscabar la privacidad del usuario del servicio y se están levantando numerosas voces en contra de Google por este motivo.

Desde luego, la privacidad puede quedar en entredicho con el servicio de Google, pero es que la competencia no está mejor. De hecho, lo corriente no es sólo no garantizar en modo alguno la privacidad de los correos electrónicos, sino obligar al usuario, mediante el contrato que le da derecho a una cuenta de correo gratuita, a ceder los derechos del contenido de cualquier envío a la empresa prestadora del servicio; es decir, que no sólo no te garantizan que no leerán tus correos, sino que se arrogan la propiedad del contenido de los mismos. A continuación dos ejemplos, que, espero, sean suficientemente explicativos por sí mismos:

De las Condiciones de uso de Hotmail, punto 6:

Con respecto a cualquier material que usted envíe o de otro modo proporcione a Microsoft en relación con los Sitios Web de MSN (un “Envío”), usted autoriza a Microsoft a (1) usar, copiar, distribuir, transmitir, mostrar públicamente, ejecutar públicamente, reproducir, editar, modificar, traducir y cambiar el formato de su Envío, siempre en relación con los Sitios Web de MSN y (2) sublicenciar estos derechos, en la medida de lo permitido por la ley aplicable. Microsoft no le pagará a usted nada por su Envío. Microsoft podrá eliminar su Envío en cualquier momento. En lo que respecta a cada Envío, usted manifiesta tener todos los derechos necesarios para conceder la autorización prevista en esta cláusula. En la medida de lo posible de acuerdo a lo permitido por la ley en vigor, Microsoft podrá controlar su correo electrónico u otras comunicaciones electrónicas y podrá revelar dicha información, en caso de que estime que tiene las razones suficientes para creer que efectivamente resulta necesario, al objeto de garantizar el cumplimiento de este Contrato y de proteger los derechos, propiedad e intereses de los Colaboradores de Microsoft o cualquiera de sus clientes.

De las Condiciones del Servicio de Yahoo!, punto 10.7:

Salvo que expresamente se manifieste lo contrario en las Condiciones Particulares, la remisión por parte de los Usuarios de informaciones y/o contenidos a las secciones de acceso público de este Portal (incluyendo, a título meramente enunciativo, maquetas, sugerencias, ideas, dibujos, conceptos, comentarios, preguntas, o cualesquiera otros de análoga significación) a través del correo electrónico o de cualesquiera otros medios, implicará el otorgamiento a favor de Yahoo! de una licencia no exclusiva, sin límite en el tiempo, de ámbito mundial y de carácter gratuito para reproducir, almacenar, editar, modificar, publicar, incorporar en bases de datos, comunicar públicamente, transmitir, visualizar, distribuir, representar o, en cualquier otra forma, explotar comercialmente, en todo o en parte, tales informaciones o contenidos titularidad del Usuario en el Portal en cualquier forma o a través de cualquier medio o tecnología. Yahoo! se reserva el derecho, a su sola discreción, de editar, rechazar o eliminar las informaciones y/o contenidos antes referidos.

Creo que no hace falta añadir nada más, pero por si acaso, vamos a comparar con los Términos de Uso de Gmail, punto 5 (traduciré a continuación):

Google does not claim any ownership in any of the content, including any text, data, information, images, photographs, music, sound, video, or other material, that you upload, transmit or store in your Gmail account. We will not use any of your content for any purpose except to provide you with the Service.

Traducido:

Google no reclama la propiedad de ninguno de los contenidos, inclyendo texto, datos, información, imágenes, fotografías, música, sonido, video, o cualquier otro material, que suba, trasmita o almacene en su cuenta Gmail. No usaremos ninguno de sus contenidos para propósito alguno, con la excepción de proporcionarle el servicio mismo.

Concluyendo, que el alboroto formado alrededor de Google y la privacidad de sus usuarios está siendo claramente exagerado, ya que, de hecho, sus condiciones son mejores y más respetuosas que las de la competencia.

Actualización 5/4/2004

En google.dirson.com también se trata el tema.

Una vez más, la integración de Internet Explorer con el sistema operativo Windows es fuente de problemas de seguridad. En este caso, se trata de que se usa el motor de IE para mostrar los ficheros de ayuda de Windows y es posible llamarlos desde una página web (ya sea pinchando en un link o automáticamente usando javascript) mediante dos protocolos propietarios de Microsoft que sólo entiende Internet Explorer. No es la primera vez que hay problemas con estos protocolos, que han sido parcheados en distintas ocasiones. Secunia le otorga una gravedad de 4 en una escala de 5.

Mediante la nueva forma de explotar la debilidad del sistema de archivos de ayuda de Windows, en combinación o no con otras vulnerabilidades que aún no han sido parcheadas puede conseguirse lo siguiente:

• Comprobar la existencia de un fichero en una localización concreta dentro del árbol de directorios de Windows.
  
• Abrir un fichero de ayuda que se encuentra en un servidor remoto. Ésta es incluso divertida, si se usara éste sistema para abrir pop-ups, ningún antipop-up para IE (esto incluye el que vendrá integrado en IE 6.05 dentro del SP2 para Windows XP) podría detenerlas, porque el navegador de Microsoft las dibuja a petición del sistema de ayuda.
  
• Instalar y ejecutar programas y hacerlos funcionar en segundo plano, en modo invisible para el usuario (para instalarlos es necesario usar otra vulnerabilidad distinta, de ahí que ésta no reciba el nivel de gravedad máximo).
  

Una solución es eliminar la asociación de los archivos CHM con IE, esto desactivará el sistema de ayuda pues ya no habrá ningún programa capaz de abrir los ficheros. Otra solución es editar el registro de Windows y en la rama HKEY_CLASSES_ROOT/PROTOCOLS/Handler, eliminar los protocolos ms-its(its) y mk:@MSITStore (si alguien se decide a jugar con el registro de Windows, haced copia de seguridad antes, que nunca se sabe).

Windows 98 es inmune a ésta vulnerabilidad, ya que las librerías de su sistema de ayuda son distintas y funcionan de forma diferente a las de las versiones más modernas de Windows.

Tal y como adelanté a finales de enero, el portal comunitario Nautopia estrena su versión 3.0, con un nuevo formato (Movable Type), nuevo diseño, nuevo alojamiento y nuevo dominio: Nautopia.net.

De postre, han traducido al castellano el Manual de Usuario de Movable Type.

A través de los foros de MozillaZine me entero de que al menos un página de búsqueda de cracks está intentando instalar spyware a través del sistema XPI que los navegadores con motor Gecko usan para instalar extensiones. Si, en cambio, el navegador es Internet Explorer la página intentará instalar un control ActiveX. El spyware que se instala en ambos casos es XXXToolbar, así que toca hacer comparaciones de navegadores otra vez, en este caso Firefox 0.8 e Internet Explorer 6 SP1 con todos los parches instalados.

En mis pruebas con Firefox no salió el cuadro de diálogo pidiéndome que instalara la extensión maliciosa (Content Access Plugin 1.01), ni siquiera al intentarlo con una instalación por defecto. En MozillaZine también hay varios usuarios que están en la misma situación, el cuadro de diálogo no aparece automáticamente, como debería al cargar la página; probablemente, porque el javascript que trata de identificar al navegador no es muy bueno. Para instalar la extensión y probar qué hace exactamente tuve que bajarla al disco duro y después abrirla con Firefox.

Tras pulsar el botón de "Instalar ahora" (o en el mensaje del control ActiveX "OK"), se instala un archivo EXE (por lo que sólo funcionará en Windows, no en Linux, ni en Mac OS X, ni en ninguna de las otras plataformas en las que funciona Firefox), que ejecuta y éste, a su vez, descarga unos cuantos archivos más. Mientras en la prueba con IE, el firewall no se quejó, pues el control ActiveX usaba el mismo navegador de Microsoft para bajar los archivos, usando Firefox, el firewall saltaba a cada archivo, avisando de las descargas y ofreciéndome detenerlas). Una vez terminada la instalación, cerré Firefox y intenté abrirlo de nuevo, para ver si había algún cambio, pero se negó a abrirse hasta que reinicié. En la prueba con Internet Explorer, al intertar abrirlo de nuevo el sistema se reinició solo.

Tras reiniciar, me llevé un chasco, pues esperaba que XXXToolbar se hubiese instalado en Firefox como una extensión, pero éste no había sufrido cambio alguno. Al parecer, los archivos que se descargan son idénticos en ambos casos (control ActiveX o XPI) y los cambios siempre se realizan siempre sobre IE. A partir de aquí, pues, ya no hay comparación posible, los dos casos son idénticos: mientras Firefox continúa igual, Internet Explorer tiene una página de inicio nueva, que está fijada mediante el registro de Windows, usa un buscador de ocio y pornografía en lugar del de MSN y luce una barra que recomienda páginas pornográficas con buscador integrado y muestra publicidad en forma de pop-ups a cada momento.

Un repaso con Spybot-S&D actualizado dió como resultado 44 problemas, entre cambios en el registro de Windows, archivos ejecutables y librerías de sistema instaladas por el spyware.

Se ha abierto un informe de bug en Bugzilla para que en la proxima versión de los navegadores Gecko no haya posibilidad de que aparezca el cuadro de descarga automáticamente. También se está preparando un centro de control de extensiones mejorado que permita desintalarlas con facilidad.

Según parece, el Service Pack 2 para Windows XP, cuando salga, desactivará por defecto (por fin) los controles ActiveX en Internet Explorer, las actualizaciones se llevarán a cabo desde el Panel de Control de Windows en el nuevo Centro de Seguridad. Asimismo, traerá una nueva versión de IE, la 6.05, que vendrá con la posibilidad de instalar (mediante controles ActiveX) y desintalar add-ons (similar a las extensiones de Mozilla y Mozilla Firefox) desde un panel de control en el navegador. No está claro si Internet Explorer 6.05 estará disponible para otras versiones de Windows distintas de XP.

Las nuevas versiones del gusano Bagle (Q,R,S y T, practicamente idénticos entre sí) que empezaron a propagarse el día 18 vienen en un correo electrónico en HTML (es decir, envíado como página web) vienen sin fichero adjunto. Al abrir el mensaje o previsualizarlo en la ventana de Outlook o Outlook Express, el código HTML aprovecha una vulnerabilidad de Internet Explorer (Outlook y Outlook Express utilizan el motor de éste para previsualizar correos) para descargar el virus desde otro equipo ya infectado, autoejecutándose el código malicioso en cuanto termina la descarga.

Además, estas versiones de Bagle son, en cierta manera, virus "a la antigua", quiero decir con ésto que infectan archivos ejecutables y se produce la reinfección cada vez que se ejecuta uno de ellos que ha sido "parasitado" por el virus.

La vulnerabilidad de IE de la que se sirve el gusano para hacer esto debería haber sido resuelta con el parche MS03-040, que salió el 6 de octubre de 2003, pero que, según Enciclopedia Virus, no funciona en este caso.

El fallo ya no se da a través del navegador de Microsoft viendo una página web cualquiera, pero resulta que los sistemas operativos Windows consideran confiable todo lo que trata de ejecutarse desde el disco duro (la famosa "Zona de Confianza") y es justo ahí dónde van a parar los mensajes descargados del servidor de correo y, al parecer, eso no se tuvo en cuenta a la hora de crear el parche.

Hay que recordar asimismo que el parche MS03-040, es un parche para un parche, el MS03-032, que apareció el 20 de agosto de 2003. A ver si no tardan otra vez casi dos meses en sacar el parche para el MS03-040.

Las soluciones pasan por configurar Outlook y Outlook Express para mostrar todos los mensajes cómo texto plano, o bien, desactivar la vista previa y no abrir (basta con abrirlo para infectarse) ningún correo sospechoso. Otra solución es evitar el uso de los clientes de correo Outlook de Microsoft y usar cualquier otro, por ejemplo, Mozilla Thunderbird, que es de código abierto y gratuito o Mozilla Mail, incluido en la suite de internet Mozilla. El uso de un firewall correctamente configurado también debería detener la descarga del virus (el firewall de Windows XP no serviría de nada en este caso).

El sitio de seguridad Corsaire.co.uk ha hecho pública una vulnerabilidad que, en principio, afectaba a los navegadores más conocidos.

Esta vulnerabilidad permitiría a un atacante ver el contenido de las cookies de su víctima y, como muchas veces el contenido de éstas son nombres de usuario y contraseñas (por ejemplo, para acceder a servicios de webmail como Hotmail), usar éstos datos posteriormente para usurpar cuentas de correo (o cuentas bancarias, que usan el mismo sistema) o suplantar la identidad de otros. Microsoft ha otorgado a fallos similares una calificación de "Importante", su segundo nivel de peligrosidad, después de "Crítico".

Descubierto el bug el 8 de julio de 2003, entre el 12 y el 18 del mismo mes, todas las empresas y equipos de desarrollo de los navegadores fueron informados del problema. Esto nos va a permitir hacer una comparación de la velocidad de respuesta de los distintos navegadores ante un mismo problema. A continuación los datos:

• Opera corrigió la vulnerabilidad en su versión 7.21, que apareció el 14 de octubre de 2003 (recientemente ha aparecido la 7.50 beta 3).
  
• Mozilla hizo la corrección en su versión 1.4.1, el 10 de octubre de 2003 (la versión actual es la 1.6). Por su parte Mozilla Firefox corrigió el problema con la versión 0.6.1, el 29 de julio de 2003 (la versión actual es la 0.8).
  
• Apple sacó un parche para corregir ésto en Safari el 5 de diciembre de 2003.
  
• Konqueror, el navegador del entorno de escritorio KDE, corrigió la vulnerabilidad en la versión de KDE 3.1.4, que se liberó el 16 de septiembre de 2003 (la 3.2.1 está disponible desde hace unos días).
  
• Microsoft por su parte, pese a que se ha confirmado que, al menos, las versiones 5.0, 5.5 y 6.0 de su navegador Internet Explorer son vulnerables, no ha sacado nueva versión ni parche de seguridad para corregir ésto, por lo que este problema se suma a la lista de más de 20 fallos de seguridad conocidos de este navegador que están a la espera de una solución.
  

Cada uno que saque sus conclusiones a la vista de los datos, pero está claro que la fama de velocidad en la resolución de problemas del modelo de software libre (Konqueror, Mozilla y Firefox), lejos de ser un tópico, es muy real y superior a la de los productos comerciales (Opera, Safari, Internet Explorer).

También tengo que hacer notar el trabajo de las distribuciones. Mandrake Linux (una distribución Linux de la que ya he hablado y la que uso actualmente), por ejemplo, puso a disposición de sus usuarios, el mismo día que se hizo pública esta vulnerabilidad (10 de marzo de 2004) una actualización para Mozilla 1.4 y un parche del paquete kdelibs que corrige el problema en Konqueror en versiones de KDE anteriores a la 3.1.4, para aquellos que no se hubieran preocupado de ir actualizando sus programas. Compárese la diligencia de Mandrake con la actuación del gigante Microsoft, pese a sus últimos anuncios de que su prioridad es la seguridad de sus usuarios y que han tenido, como todos, casi 8 meses para prepararse.

Microsoft ha publicado tres nuevas vulnerabilidades, sólo dos de ellas son interesantes para los usuarios domésticos. La vulnerabilidad más crítica afecta a Outlook 2002 (correspondiente a la suite Office XP), no me voy a extender porque ya ha sido explicada en Hispasec, sólo añadir a lo allí expuesto, que vuelve a ser ridículamente fácil aprovechar el fallo, basta con crear un enlace mailto que contenga la cadena """ y, a partir de ahí, la imaginación (y los permisos del usuario que pinche en el enlace) es el límite.

La otra vulnerabilidad afecta a las versiones 6.0 y 6.1 de MSN Messenger y, al parecer, no hay parche para ella, es necesario bajar de nuevo el programa completo, eso se desprende del informe técnico, ya que el enlace "Descargar la actualización" te envía a la página de descarga del programa completo, dónde no hay ninguna mención ni a la vulnerabilidad ni a parche alguno. Esta vulnerabilidad permite a los contactos de aquellos que no actualicen, leer cualquier fichero del que se conozca su ubicación (por ejemplo, el fichero de las contraseñas del equipo, que está siempre en el mismo sitio).

Se trata de sendos desbordamientos de buffer que podrían permitir la ejecución de código al intentar abrir un fichero previamente descargado o recibido por correo electrónico. En Winzip las versiones afectadas van desde la 6.2 a la última beta de la 9.0. En Adobe Reader (antes conocido como Adobe Acrobat Reader) es la versión 5.1 la que es vulnerable.

Los detalles de las vulnerabilidades de uno y otro han sido publicadas por Hispasec.

Las soluciones pasan por actualizar a la última versión en ambos casos. La versión 6.0 del lector gratuito de ficheros PDF Adobe Reader puede conseguirse en su página oficial. Winzip 9.0 final (no la beta, que es vulnerable) puede adquirirse igualmente en la página oficial del producto al precio de 29$, salvo aquellos que dispongan de una versión en inglés registrada, que podrán acceder a una actualización gratuita. Para los que no tengan esa suerte, creo que es un buen momento para darle una oportunidad a 7zip (ya he hablado antes de él) que, aparte de ser más eficiente que su alternativa de pago, es libre y gratuito.

Una de las cosas básicas que deben hacerse en cualquier sistema operativo para mejorar su seguridad es asegurarse de que no corren más servicios de los estrictamente indispensables. En Windows XP hay, sin duda, demasiados en funcionamiento en la instalación por defecto, al menos para un uso doméstico. Varios virus y adwares se han aprovechado ya de fallos en algunos de estos servicios, habilitados por defecto, aunque inútiles para la mayor parte de la gente, para funcionar. Recortarlos al mínimo puede ser complicado para un usuario común, primero, porque el asistente que los regula está algo escondido en el panel de control y, segundo, porque en casi todos los casos no está claro que son, ni que hacen, ni para que sirven.

En WinInfo.com.ar hay un tutorial de 4 páginas en el que se explica cada uno de los servicios de Windows XP y cómo deben configurarse según la situación particular del equipo que recomiendo seguir.

Al parecer, el próximo Service Pack 2 para Windows XP reducirá algo el número de servicios que funcionan por defecto y traerá algunas mejoras más en seguridad, pero no hay porqué esperar; por cierto, el Service Pack 2 que corre por ahí es una beta, provoca inestabilidad, errores aleatorios y cuelgues en el equipo en el que se instala. No hay que dejarse llevar por la "versionitis", te puedes cargar tu Windows XP por instalarla. Es mejor esperar a la versión final oficial, que, aún así, no me extrañaría que también diera problemas, va a tocar demasiadas cosas al mismo tiempo y, la última vez que hicieron eso con un parche, tuvieron que sacar un parche para el parche y un parche para el parche del parche.

En VSAntivirus publican Mozilla vulnerable a ataques del tipo "Cross-Domain". En la versión actual de Mozilla ya está corregido (¡Se tardó menos de un día en corregirlo!), aunque no se ha hecho público hasta ahora.

El navegador Mozilla se diseñó con varias capas de seguridad para evitar este tipo de ataques, por lo que explotar la vulnerabilidad en versiones anteriores tampoco es sencillo y requiere cierta intervención del usuario (aunque tampoco mucha, basta con mover el ratón), sin embargo, ya que está disponible el exploit de demostración, puede hacerse uno peligroso con relativamente poco esfuerzo, así que aconsejo actualizar a la última versión por si acaso.

Una de las nuevas vulnerabilidades descubierta en Internet Explorer 6 permite que puedan descargarse, instalarse y ejecutarse troyanos, virus y, en general, cualquier programa, sólo con visitar una página web, sin intervención ni conocimiento del usuario. También permite ejecutar cualquier programa del que se conozca su ubicación en el disco duro del cliente de forma remota.

La segunda vulnerabilidad permite hacer lo mismo que la anterior, aprovechando dos bugs conocidos y antiguos (más de un año) de IE que nunca han sido arreglados. Necesita también de otra aplicación que guarde información que más tarde ejecutará en un lugar y con un nombre predecibles. La lista de aplicaciones que se sabe que pueden usarse de esta manera incluyen WinAmp, Macromedia Flash Player, ICQ, AIM y, probablemente, otros clientes de mensajería instantánea.

Incluso con la protección de un antivirus actualizado y un firewall, estas dos vulnerabilidades podrían permitir a un atacante habilidoso tomar el control del equipo e instalar en él cualquier tipo de servicio o herramienta, haciéndolos funcionar sin el conocimiento del usuario.

Aconsejo instalar y comenzar a usar otro navegador de forma inmediata y, en el caso de se disponga de un firewall personal, denegar el acceso a la Red a Internet Explorer y levantar esta prohibición solamente para las visitas a Windows Update.

Microsoft ha reconocido que entre el código filtrado de Windows 2000 se encuentra la mayor parte del código de Internet Explorer 5.x, por lo que lo consideran no seguro y aconsejan la actualización inmediata (con buenas razones, a los dos días de filtrarse el código, ya se le ha encontrado un fallo de seguridad a esa versión de IE). La actualización podría muy bien no ser suficiente en fechas próximas, pues se conocen otros fallos del navegador (no agujeros de seguridad propiamente, pero sí otros que permiten colgar el navegador, abrir otras aplicaciones remotamente, etc.) que han pasado sin arreglar de una versión a otra, por lo que, aunque éste primero no afecte a IE6, otros que le sigan sí podrían hacerlo. Además, por mucho que digan que IE6 es, al menos, tan seguro como cualquier otro navegador de los que existen actualmente, debería ser evidente para cualquiera que ésto no es cierto y, menos todavía, porque le han arreglado ya muchos fallos. Lo importante no es cuantos fallos le han arreglado, sino los que quedan por arreglar que son de dominio público.

Por último, quiero hacer notar que, el hecho de que el código de un programa sea conocido, no es motivo para considerarlo inseguro; si está bien hecho, da igual que esté a la vista de todos. El código de Mozilla y de Firefox es público desde el primer momento, y son, probablemente, los navegadores más seguros hoy día.

Según OSSecurity mediante un ataque conocido como "DLL Proxy" todo lo que Internet Explorer envía (contraseñas, números de cuenta...) durante una sesión segura (https://), como es habitual en las conexiones con bancos, medios de pago electrónicos e identificación de acceso a cuentas de correo, puede ser leído y almacenado en texto plano para ser recuperado por el atacante posteriormente. El resultado sería similar a instalar un keylogger, pero más cómodo, pues encontrar algo útil entre los registros de un keylogger puede ser una tarea pesada, que se simplificaría enormemente usando este método.

Aunque es IE el que desde ahora permite explotar la vulnerabilidad, ésta (conocida como "DLL Injection") existe en todos las versiones del sistema operativo de Microsoft desde Windows 95, como llevan años denunciando en Nautopia.

En Windows 95, 98, ME y XP (éste último sólo si se usa FAT como sistema de archivos) la única forma de evitar este tipo de ataque es usar otro navegador para las transacciones que se lleven a cabo bajo conexión segura.

En Windows NT, 2000, XP (si usa NTFS como sistema de archivos) y 2003 puede dificultarse el ataque usando una cuenta de usuario distinta de la de administrador para navegar por Internet. Digo dificultar y no imposibilitar, porque podrían usarse otras vulnerabilidades para conseguir privilegios de Administrador o Sistema, por lo que el filtro ACL que proporciona NTFS no serviría para nada. Lo más seguro es usar otro navegador, si bien la precaución adicional de usar una cuenta sin privilegios para navegar es buena idea.

Microsoft fue informada de la vulnerabilidad (DLL Proxy) en diciembre del año pasado y se ha hecho pública al no haber respuesta del fabricante hasta el momento.

Según VSAntivirus el navegador Opera también sería vulnerable a la falsificación de la verdadera extensión de los ficheros a descargar.

Las soluciones para evitar caer en el engaño, por tanto, son las mismas que en el caso de Internet Explorer, mientras sale un parche o una nueva versión que arregle el fallo. Si se sigue usando Opera (o IE), no elegir nunca abrir en el cuadro de diálogo de descarga, en su lugar descargar todos los ficheros y verificar que no hay un CLSID en el nombre del archivo descargado antes de abrir un programa que pueda leer el fichero.

Las usuarios de Opera sobre otro sistema operativo distinto de Windows no tienen nada que temer de éste bug, pues no puede explotarse sin combinarse con la vulnerabilidad del Explorador de Windows que afecta al manejo de los ficheros descargados cuando una de las extensiones viene especificada con un CLSID.

Otra solución es usar el navegador Mozilla u otro basado en él.

Me entero leyendo Denken Über de que en esta nota de Neowin se afirma que se ha filtrado código de Windows 2000 y Windows NT. Tambien se habla de ello en este hilo de Slashdot. El archivo comprimido con el código puede encontrarse en la red eDonkey.

Si realmente resulta ser parte del verdadero código de Microsoft, en pocos días puede haber novedades (y vulnerabilidades) interesantes. El código de Windows es su mayor valor, y se mantiene secreto. Las posibilidades de que sea ciertamente el código real son altas, pues Microsoft no hace mucho, comenzó a relajar su política a este respecto y ha ido mostrando partes de su código a varios gobiernos que empezaban a pensar en el software libre y, como decía hace un rato si un secreto es conocido por muchos, antes o después, deja de ser secreto.

Actualizado

Sólo mirar la lista de los ficheros filtrados impresiona. Por los nombres de ficheros y directorios, habría código del kernel, de IE, de Windows Media, de MS Access, del Explorador de Windows (que también es la shell del sistema operativo)...

Segunda actualización

Es oficial. El código es auténtico.

En estos días en los que el spoofing está de moda (tenemos el URL spoofing que acaba de arreglarse en Internet Explorer y la falsificación de la verdadera extensión de los archivos que sigue sin arreglar), a Don Park se le ha ocurrido otra forma de hacerlo. Su idea consiste en nada más y nada menos que sustituir toda la interfaz del navegador por imágenes (incluida la barra de direcciones, claro, en la que puede "dibujarse" cualquier dirección que se desee).

Todo el mundo ha visto abrirse páginas en las que la interfaz del navegador (con su menú y sus botones de atrás y adelante) y la barra de estado no aparecen, pues es un truco muy sencillo de javascript, que se usa, sobre todo, en las pop-ups. Partiendo de ésto, se añaden imágenes que las imiten y, en medio, se pone la copia de la página que se pretende falsificar. Otro javascript, el que se usa para identificar el navegador, sistema operativo y resolución de pantalla que está usando el visitante, completa el truco, presentando distintas imágenes atendiendo a estas tres variables.

En principio, ésto puede conseguirse en cualquier navegador, pero aquellos que soportan temas y/o son personalizables son imposibles de falsificar por este método, a no ser que se esté usando el tema por defecto y no se hayan hecho otros cambios. Así, tenemos que, nuevamente, Internet Explorer es el más vulnerable a un truco como éste (la única manera de personalizar el interfaz de IE es a través de pequeños hacks en el registro de Windows, que, mucho me temo, están fuera del alcance y/o interés del usuario medio).

Como muestra, ha preparado esta página en la que puede verse el resultado (Nota: el segundo javascript del que hablo no se ha incorporado al ejemplo, así que en él sólo se simula IE 6.x sobre Windows XP).

Ésto no es, desde luego, un fallo de seguridad y, para evitarlo, habría que recortar (con un parche o una nueva versión) lo que puede hacerse con javascript sobre las ventanas en todos los navegadores (soy partidario de ello, siempre me ha parecido intrusivo que un webmaster pueda decidir a qué partes de la interfaz de mi navegador tengo acceso en sus páginas). Pero, desde luego, alguien podría ser engañado de esta forma para entregar sus contraseñas o números de tarjetas de crédito, pensando que está en una página confiable.

Vía Otro blog más, en esta entrada, me entero de que la misma empresa de seguridad (eEye, famosa por su scanner de vulnerabilidades Retina) que ha descubierto la vulnerabilidad de la que hablaba ayer tiene otros siete más en la recámara, esperando a que Microsoft tenga parche para ellos para hacerlos públicos. Tres de ellos, tienen asignado un nivel de gravedad alto, de lo que se deduce que permiten ejecutar código de forma remota; el más antiguo fue comunicado a Microsoft hace más de tres meses. En esta página se presentan los fallos y su antigüedad de una forma muy gráfica.

Esto no tiene demasiada importancia para los usuarios, siempre que quede entre Microsoft y eEye y nadie más descubra los mismos bugs, pero debería ser preocupante para toda empresa que tenga secretos guardados en sus ordenadores y use el software de los de Redmond, pues ya no sólo tiene que confiar en el vendedor del software sino también en una empresa de seguridad privada, su plantilla y sus colaboradores. Si los secretos los conoce demasiada gente, ya no son secretos.

Si al menos se supiera en que consisten los fallos, se podrían tomar medidas contra ellos, pero gracias al modelo de seguridad por la oscuridad (lo que nadie conoce no puede hacerte daño) de Microsoft y el resto de empresas fabricantes de código cerrado, sus clientes están vendidos y dependen de que a nadie que conozca el bug se le ocurra explotarlo en una de sus máquinas.

Ya han salido los parches de este mes de Microsoft, entre ellos, uno que soluciona un bug que permitiría a un atacante

...ejecutar código con privilegios del sistema en un equipo afectado. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

según el Boletín de Seguridad correspondiente. Los privilegios de sistema son los más altos que pueden conseguirse en un sistema Windows, por encima de los de Administrador.

El fallo afecta a todas las versiones de Windows NT, 2000, XP y 2003 Server. Aprovechando ésto podría crearse un gusano tipo Blaster, es decir, que fuese suficiente con estar conectado para infectarse; es lo bastante grave para recomendar la actualización inmediata.

No me gusta hablar de virus, más que nada, porque la gran mayoría de ellos no tienen el menor interés y habría muy poco de que decir acerca de ellos. Esta gran mayoría de la que hablo, a la que Mydoom pertenece, no tienen ningún peligro si no se ejecutan. Sobre cómo evitar que te engañen para ejecutarlos sí se puede escribir un artículo, pero es que ya lo he hecho y no me apetece repetirme con lo mismo cada vez que sale uno de éstos (tendría que publicar 3 ó 4 veces al día).

De todas formas, para paliar un poco los efectos de los medios de desinformación y algunos rumores que circulan por ahí, voy a recomendar una recopilación de VSAntivirus que despeja algunas dudas y confusiones: Cuentos y verdades sobre el Mydoom.

Rompiendo la norma de publicar los parches el segundo martes de cada mes, Microsoft ofrece un parche acumulativo para Internet Explorer que corrige tres vulnerabilidades, dos de ellas ya conocidas y comentadas.

La desconocida está en el manejo de eventos de DHTML y permite descargar un archivo al disco duro, en la ubicación que el atacante decida, sin que el usuario reciba notificación alguna, simplemente pinchando un enlace especialmente construido al efecto. El archivo no se ejecuta. También puede aprovecharse a través de Outlook y Outlook Express, ya que usan IE para mostrar los correos en HTML. De hecho sería más fácil explotarlo así, pues el texto del e-mail podría tratar de convencer al usuario de que ejecutase el archivo.

Otro de los bugs que elimina es uno de éstos cinco. Cómo era necesario usar los cinco en conjunto, de momento, queda resuelta esa vulnerabilidad, pero hay que tener en cuenta que cualquiera de los otros cuatro que no se arreglan podría volver a ser peligroso en un futuro.

El tercero es el que más gracia me ha hecho. El fallo que corrige es el famoso URL spoofing que se usó en el intento de estafa a los usuarios del Banco Popular. Para corregirlo, se han cargado el estándar de construcción de URLs. Así, si escribimos en la barra de direcciones (o pinchamos en un enlace con) una URL completa (que son del tipo http(s)://usuario:contraseña@servidor), IE nos mostrará un mensaje como éste:

Error: Sintaxis no válida

Pues nada, si Microsoft lo dice, pues el estándar no es válido. Normalmente, la parte usuario:contraseña@ no se visualiza en los navegadores modernos y no se usa mucho en la navegación normal. Aun así, es necesaria en algunas descargas a través del protocolo HTTP (en este caso, el navegador debe completar lo necesario de forma automática, por lo que IE fallará a partir de ahora), para identificarse en algunas listas de correo vía web y es un pilar básico del diseño de bastantes intranets.

También han publicado un documento con alternativas para solucionar que el navegador ya no sea capaz de autenticarse. En este artículo es divertido ver como en la parte del usuario se dice que no hay de qué preocuparse ya que ahora el navegador pedirá nombre de usuario y contraseña de forma automática, mientras que, en la parte servidor, se explica cómo debe hacerse para que este "automatismo" sea posible. Es necesario añadir un par de comandos en el código de la página en que sea necesario autentificarse, pero ésto sólo funcionará con el servidor web de Microsoft y sólo para IE en la parte cliente. Menos mal que también citan que puede hacerse a través de cookies, aunque, en este caso, la solución propietaria no sería excluyente, porque el resto de navegadores sí son capaces de autenticarse normalmente.

Pese a lo excepcional de la publicación de este parche, no han cumplido con lo de publicar en cuanto estuviesen disponibles, ya que se han entretenido en ponerlos en un paquete de "sólo" 3MB.

Se llama ingeniería social a toda técnica cuyo propósito sea engañar a un usuario para que facilite contraseñas u otra información delicada, o bien conseguir que ejecute un archivo que dé el control del equipo al ingeniero. Es decir, aprovechar las debilidades de las personas en lugar de las del software.

La definición de arriba no quita que fallos en algunos programas, aunque no se les pueda llamar fallos de seguridad con propiedad, sí pueden facilitar esta tarea. Como ejemplos pueden valer perfectamente la existencia de la extensión .Folder de la que hablaba ayer o el URL spoofing en Internet Explorer que aún sigue sin arreglar.

Bueno, pues hoy me toca hablar de otro de éstos. No es más que una pequeña variación de un antiguo fallo (del 2001) que ya dió origen a al menos un virus.

Para aprovechar el fallo se añade al nombre de un archivo un número del tipo {3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}, que es lo que se llama un CLSID, los sistemas operativos Windows los usan, junto con otros métodos, para saber de qué tipo es un archivo. El bug antiguo, sin solucionar en IE, como puede verse, era que ni Internet Explorer ni el Explorador de Windows mostraban el CLSID. Así un archivo llamado soyinofensivo.txt{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B} se mostraba como soyinofensivo.txt, cuando el CLSID indica que es un ejecutable (y, de hecho, un doble-click lo ejecuta). Este fallo se corrigió en el Explorador de Windows, pero no en el navegador.

La pequeña variación consiste en llamar a un archivo, por ejemplo, documento.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}%2Epdf, el navegador mostrará, tanto en la barra de direcciones como en el dialogo de descarga documento.pdf (hay una prueba de concepto operativa de ésto en Secunia). El peligro reside precisamente en el diálogo de descarga, que nos ofrece descargar a disco o abrir; si se elige abrir, el IE le pasa el control al Explorador de Windows que mira el CLSID, ve que es ejecutable y lanza un programa para abrirlo. Este programa debería ser, si realmente fuese un .pdf, Adobe Acrobat Reader, pero como no lo es, lo que en realidad se abre es el mshta.exe. Sobre lo que puede hacerse conjugando mshta.exe y el archivo descargado (adelanto que es practicamente cualquier cosa), en VSAntivirus está muy bien explicado.

Este, además de facilitar la ingeniería social, es un buen ejemplo de como combinando pequeños fallos en unos y otros programas de Microsoft (que no sólo están en todas las instalaciones, sino que tampoco pueden ser desinstalados, lo que hace muy grande el conjunto de usuarios expuestos) y que llevan mucho tiempo sin arreglarse por considerarlos "no peligrosos" se pueden conseguir cosas que no pueden calificarse como "no peligrosas".

No entiendo nada. ¿Qué razón puede haber para que exista una extensión .Folder en los Windows XP que tenga asociado el icono de una carpeta? Salvo conseguir que algo que no sea una carpeta, aparezca como una carpeta, no se me ocurre ninguna. Pero la extensión existe.

Cualquier archivo con la extensión .Folder en Windows XP se presentará con el icono de una carpeta. A http-equiv al darse cuenta de ello, se le ocurrió coger un inocente archivo HTML como ésta misma página, por ejemplo, y cambiar la parte de .html por .Folder. El explorador de Windows muestra ahora el icono de una carpeta. Si se hace doble-click en la "carpeta" ¿qué ocurre? Pues que se abre Internet Explorer y muestra la página web. Hasta aquí, quitando la incomprensible aparición del icono de la carpeta, todo normal y sin peligro. Ahora le añadimos algo de Visual Basic Script de ese que sólo entiende el IE al HTML y un control ActiveX. Hacemos doble click otra vez, la página se muestra y el control ActiveX se ejecuta.

Para quién aún no vea el peligro, ejemplo al canto, ponte en situación, estás chateando tranquilamente con alguien, y te envía un archivo comprimido, Mis-Fotos.zip, abres el archivo y dentro hay una carpeta Mis-Fotos, haces doble click y se abre el Internet Explorer. Ahora pueden ocurrir dos cosas: una, el IE muestra una página en blanco mientras se va borrando todo el contenido del disco duro; dos, el navegador muestra una página web con fotos mientras se instala, sin que sospeches nada, un troyano que le da control completo sobre tu equipo a la persona con la que chateabas.

Soluciones: desactivar los controles ActiveX en Internet Explorer (vienen activados de serie), tener otro navegador configurado para ser el de preferencia.

Posibilidad de que aparezca un parche para ésto: Muy remota. Ya que es algo nuevo, propio de Windows XP, no creo que se lo replanteen y eliminen esa extensión especial.

Casualidades de la vida: Pese a todo, hay quien piensa que es buen momento para vender carpetas nuevas de Windows XP.

Mucho cuidado con las "carpetas" ahí fuera.

A petición de VSAntivirus para su Especial: Seguridad para redes y equipos caseros, maty hace un recopilatorio de consejos y programas útiles para la seguridad de un equipo casero, a la par que va resumiendo lo que han hecho en el 2003 en NAUTOPIA. Por en medio, deja caer que pronto lo veremos usando Movable Type. Buena noticia. Ah, y el artículo es lectura obligada para los usuarios de Windows.

Rafel Ivgi (The-Insider), que en su página afirma tener 17 años y buscar trabajo como Security Researcher, ha inundado en los últimos dos o tres días la lista de correo de BugTraq (SecurityFocus) con más de una decena de nuevas "vulnerabilidades" que él mismo ha descubierto en distintos programas.

En Internet Explorer había "descubierto" tres nuevas vulnerabilidades, una de las cuales no tenía ni pies ni cabeza (ni ningún efecto, por otra parte), otra que ha resultado ser un pequeño bug conocido del servidor web Apache y una tercera que no era más que una forma, eso sí, bastante creativa, de acabar con la memoria disponible del sistema, a través de IE y Outlook Express, pero sin ningún peligro para los datos o la seguridad del sistema (aparte de obligar a estos dos programas a cerrarse cuando se acaba la memoria, claro).

Imagino que, poco a poco, se irá descubriendo que el resto de las vulnerabilidades publicadas tampoco son tales, en vista de lo que ha publicado hoy. Afirma que gracias a un fallo en el servidor del troyano NetBus, cualquiera podría subir y ejecutar archivos en la máquina infectada por el troyano y hacerse con el control de la misma. Efectivamente, ocurre así, pero es que un gran número de troyanos (NetBus entre ellos) están programados para permitir precisamente eso, luego no hay ningún error en el programa, hace exactamente lo que se espera de él, aunque, claro está, estos programas son una amenaza para la seguridad, pero eso no es ninguna noticia.

Todo esto podría parecer divertido, pero deja de serlo cuando distintas páginas de noticias de seguridad que normalmente se nutren de BugTraq o otras listas de correo similares están cayendo en el engaño y publicando las burradas que suelta este chaval.

VSAntivirus ha tenido que retractarse hoy de lo que publicaba ayer, la noticia se obtuvo de Rynho Zeros Web donde se publicó en castellano el mensaje original envíado a la lista; también han tenido que rectificar. También he visto otras "vulnerabilidades" publicadas por The-Insider en otras páginas de noticias, como SecurityTracker, pero éstas aún no han sido confirmadas ni desmentidas por nadie. Aparte de ponerse en ridículo, el muchacho está consiguiendo manchar la buena fama de BugTraq y poner en duda la credibilidad de unas cuántas páginas de noticias que, al menos, están rectificando rápidamente.

Microsoft ha publicado puntualmente los parches de enero, tras su falta a la cita de diciembre. Son tres los parches publicados, sólo uno de interés para los usuarios comunes.

Ninguno de ellos cubre las recientes vulnerabilidades de Internet Explorer, ni ninguna de las que se arrastran de meses anteriores, pese a que están siendo explotadas (lo que es lógico, ya que se está dando muchísimo tiempo para hacerlo) y generando cierta alarma. Habrá que esperar a ver si este mes se lanza algún parche de forma especial o hay que esperar otro mes entero. Mi recomendación sigue siendo cambiar de navegador para evitarse sustos.

Al menos una empresa antivirus ha incluido los caracteres especiales que hay que añadir a un enlace para aprovechar la vulnerabilidad que permite cambiar la dirección de la página que estamos viendo (la que se usaba en el caso del intento de estafa a los clientes del Banco Popular) a sus ficheros de firmas. Esto significa que un correo electrónico que contenga un enlace construido para aprovechar esta vulnerabilidad hará saltar este antivirus (siempre que este actualizado y correctamente configurado, claro).

El parche que me interesa destacar es el que afecta a MDAC, un conjunto de componentes para proveer al sistema operativo de interoperatividad con distintas bases de datos. Una aplicación que el usuario de un PC doméstico difícilmente echaría de menos si no estuviese (aunque no dudo de su utilidad en entornos de oficina y pequeñas redes) pero que se instala por defecto en Windows 2000 y Windows XP. Algunos programas, especialmente pequeñas aplicaciones (o extensiones de otros programas) desarrolladas en Visual Basic (otro producto Microsoft) pueden requerir su instalación para funcionar (o el mismo instalador podría contener MDAC e instalarlo), así que todos los usuarios de un sistema operativo Windows, no importa su versión, deberían visitar Windows Update para comprobar si necesitan el parche.

La vulnerabilidad que corrige es un desbordamiento de buffer bastante complicado de explotar (incluso sería necesaria cierta colaboración por parte del usuario), pero no está de más actualizar y aplicar el parche porque, aunque ahora no pueda hacerse nada peligroso con él en la práctica, siempre se corre el riesgo de que aparezca otra vulnerabilidad que permita aprovechar ésta de forma sencilla conjugando ambas. En Internet Explorer, que siempre tiene varias vulnerabilidades sin corregir, han sido varias las ocasiones en las que, partiendo de varias vulnerabilidades sin riesgo inmediato se ha hallado un método para combinarlas de un modo realmente sencillo y peligroso para el usuario final.

Por terminar con una buena noticia, Microsoft también ha anunciado que ampliará el soporte para Windows 98 (que hubiera perdido el soporte este mismo mes) y para Windows ME (que hubiese terminado a final de año) durante, al menos, otros dos años, por lo que seguirá publicando, siempre que lo crea necesario, parches de seguridad para estos dos sistemas operativos durante ese período.

He nombrado, anteriormente, en un par de ocasiones, la doble lista que SpywareInfo mantiene sobre los programas de intercambio de archivos que están o no libres de spyware.

Vía blogpocket me entero de que VSAntivirus se ha comprometido a mantener esta lista actualizada y en castellano. La traducción viene precedida por una introducción al tema del spyware y los programas P2P que no hay que dejar de leer.

Soy consciente de que a mucha gente se le atraganta la información más o menos técnica, mucho más si ésta está en inglés, por lo que me parece una estupenda noticia.

Hay en circulación un correo electrónico que, aprovechando una de las vulnerabilidades de Internet Explorer (en concreto, de la que hablé aquí), trata de engañar a los usuarios del servicio de banca on-line del Banco Popular para que entreguen su número de tarjeta y su contraseña de acceso al servicio a los estafadores. Para lograr ésto, se ha creado un duplicado de la página de acceso del banco en otro servidor y se usa el fallo de Internet Explorer para sustituir en la barra de direcciones la URL real por la del banco, haciendo imposible para los usuarios de este navegador diferenciarla de la auténtica. Más detalles, en la noticia de Hispasec.

Cuando anuncié ese bug de IE, hace más de un mes, ya avisé de que ésto era posible. El error aún no ha sido subsanado por Microsoft (aunque es de esperar que los parches de este mes, cuando salgan, la solucionen) por lo que afecta a todos los usuarios de Internet Explorer, aunque tengan todas las actualizaciones disponibles instaladas.

La única solución en este momento es no usar el navegador de Microsoft para visitar páginas que requieran de información sensible (especialmente contraseñas y números de tarjeta de crédito) para funcionar, mucho menos acceder a éstas pinchando en un enlace. Dado que éste navegador tiene, en este momento, 23 fallos que dan como resultado diversos problemas de seguridad (este es sólo uno de ellos) es buena idea usar directamente otro navegador para todo. Mozilla o Mozilla Firebird son, probablemente, las mejores opciones en este momento.

Se ha publicado en la lista de BugTraq (SecurityFocus) que la versión 5.6.0.1351 y todas las inferiores de Yahoo! Messenger sufren un desbordamiento de buffer al manejar, durante la recepción de un archivo, nombres de fichero demasiado largos (por encima de 215 caracteres). Existe la posibilidad de ejecutar código en la máquina con el programa vulnerable aprovechando este fallo.

Los usuarios de Yahoo! Messenger deberían bajar la última versión (5.6.1358) que soluciona este problema.

La mayoría de usuarios difícilmente conocerán a alguién capaz de hacer daño a través de este bug, así que deberían aceptar el archivo de un desconocido (algo que nunca debería hacerse), por lo que el fallo no entraña, en principio, demasiado peligro. Lo que si me parece peligroso es que Yahoo!, aunque ha arreglado el error en su nueva versión, no lo ha notificado como fallo de seguridad ni lo ha publicado en una nota de actualización. Si no se le da publicidad a un fallo conocido, se crea una situación en la que poca gente (todavía menos de lo habitual) se entera de que debería actualizar, siendo el error conocido por sólo unos pocos, los que tienen la habilidad necesaria para hacer algo peligroso con ello, si más adelante se da la oportunidad (en forma de otro bug).

Sí, virus, o peor aún, troyanos. Al menos eso es lo que dice un informe (en inglés) de TruSecure. La noticia se puede leer en español en DiarioTI.

Aunque la noticia se refiere a lo que se comparte en la red de Kazaa (FastTrack), no hay que olvidar que el propio programa no está libre de malware, con casi total seguridad es el programa que más spyware y adware incorpora.

Otra buena razón para cambiar a otras redes menos masificadas, pero más seguras y usar programas libres de spyware para el intercambio de archivos (P2P). En SpywareInfo mantienen una lista con los programas de intercambio que no traen "regalos" indeseados consigo.

Gracias a Error500 me entero de que Microsoft ha publicado una herramienta contra Blaster. La noticia aparece también (en inglés) en The Register y en internetnews.com.

Teniendo en cuenta que hace casi 6 meses de la aparición del gusano y que Microsoft (aún no) se dedica a los antivirus, no me lo esperaba. De todas formas, tal y como se explica en la página de información y descarga de la herramienta (también en inglés) la mejor opción sigue siendo un antivirus actualizado para deshacerse de Blaster, ya que Microsoft no asegura que su herramienta pueda limpiar todas las versiones del gusano.

Al parecer y, según Microsoft, son muchos los usuarios que, tras instalar el parche de seguridad, no se han molestado en desinfectarse del virus, ya que éste sólo provoca reinicios e inestabilidad (según la versión, XP o 2000, del sistema operativo) en el momento de la infección y, por lo tanto, se vuelve invisible para el usuario. Las máquinas infectadas, incluso estando ya parcheadas, siguen permitiendo que el virus se reproduzca y busque nuevos equipos vulnerables que infectar. Realmente, esta podría ser muy bien la causa de que el virus se encuentre todavía tan activo (no hay más que echarle un vistazo a los logs del firewall para darse cuenta de que aún está muy vivo), porque no creo que haya muchos equipos aún sin parchear soportando reinicios o cuelgues cada 5 ó 10 minutos.

Ya que la misma Microsoft reconoce que su herramienta no es muy útil (porque todas las casas antivirus han sacado, ya hace tiempo, la suya propia más efectiva), espero que al menos sirva para que algunos usuarios más desinfecten sus máquinas, que están causando grandes problemas a los que estrenan ordenador y a aquellos que tienen que reinstalar.

No me cabe duda de que las esperanzas de la empresa de Redmond no son muy distintas de las mías, porque lo que sucede con los equipos nuevos no es precisamente buena publicidad.

El CATA ha publicado un decálogo (en realidad, tiene doce puntos) de prevención para ordenadores nuevos.

La idea es buena, pero está llevada a cabo de forma... descuidada, por decir algo, y contiene varios errores e inexactitudes, por lo que a continuación citaré y comentare los puntos que creo que no son correctos.

1.- Antivirus: antes de conectar su ordenador a la red, compruebe que cuenta con un antivirus instalado. Este antivirus puede estar incluido en las aplicaciones propias de su PC, o ser un servicio más de su proveedor de internet.

Si el documento pretende orientarse a ordenadores nuevos, que prácticamente no se venden más que con Windows XP, debería nombrarse el virus Blaster (ver Windows XP: Cómo sobrevivir al primer día). Por mucho que haya un antivirus instalado, si no está actualizado, no servirá más que para ocupar espacio en el disco duro. Si es lo suficientemente nuevo, con suerte, detectará a Blaster, si la caja del antivirus lleva más de 5 meses en la estantería de la tienda (la última versión en venta de muchos antivirus tiene casi un año), no detectará este virus y ya son conocidos sus efectos.

2.- Sistema Operativo: compruebe que el sistema operativo que instale en su ordenador es la última versión del mismo, de tal forma que incluya todas las aplicaciones de seguridad prevista; puede actualizar su sistema operativo en las páginas del CATA.

Incluso suponiendo, que ya es mucho suponer, que esté preinstalado Windows XP con el Service Pack 1 (que es la última versión disponible) y no la versión original del sistema operativo, los parches para las distintas versiones de Blaster no estarán incluidos, puesto que son posteriores a él. El sistema sigue siendo vulnerable al conectarse a Internet. Por otro lado, no es de recibo que se indique que puede actualizarse el sistema operativo desde las páginas del CATA. El servicio Windows Update es el único lugar al que se debería acudir para actualizar un sistema operativo Windows. De otro modo podrían ocurrir cosas desagradables.

3.- Ventanas indeseadas: si no desea disponer de ventanas publicitarias emergentes que en ocasiones se disparan las navegar por determinadas sitios de internet, no olvide instalar las aplicaciones que lo evitan, y que puede encontrar en el propio Centro.

¿Hay alguién que quiera ver ventanas publicitarias mientras navega? Internet Explorer no es un programa seguro (si llevo bien la cuenta, en este momento tiene 23 problemas de seguridad no corregidos) y no tiene antipop-up. El uso de otros navegadores debería estar recomendado.

4.- Actualizar: todas las compañías de sector publican actualizaciones de sus productos de forma regular; visite en centro en internet ---www.alerta-antivirus.es--- para bajarse las últimas versiones.

Correcto, pero vuelve a indicar la página del CATA como punto de descarga. Debería indicar que deben visitarse las páginas oficiales de cada producto. Ya sé que las páginas del CATA de actualizaciones te redireccionan a las páginas oficiales, pero es una cuestión de educación y buenos hábitos, se empieza por ésto y se termina bajando el Emule de www.1000descargas.com (la ausencia de enlace es intencionada).

5.- Software legal: puede parecer innecesario decirlo, pero es bueno recordar que el software legal es seguro, en tanto que las copias piratas tienen grandes riesgos ante problemas de seguridad; además, en este último caso nunca podrá contar con una garantía comercial a la que recurrir.

Cierto, pero a medias. El software legal, tanto descargado desde un sitio oficial como comprado, es más seguro que una copia realizada por no se sabe quién y descargada de una página en negros y verdes con calaveras y llamas por todas partes. De todas formas el único software realmente seguro es el que tiene su código fuente a la vista de todos. Además, las garantías comerciales de software no dan garantía alguna. Son simples licencias en las que se declina cualquier responsabilidad al tiempo que se indica al usuario qué es lo que no puede hacer con el software, esto incluye, normalmente, casi todo lo imaginable, dejando libertad al usuario únicamente para instalarlo en un solo equipo y a su propio riesgo.

6.- Cortafuegos: un cortafuegos o "firewall" es un software destinado a garantizar la seguridad en sus comunicaciones vía Internet al bloquear las entradas sin autorización a su ordenador y restringir la salida de información. Instale un software de este tipo si dispone de conexión permanente a Internet, por ejemplo mediante ADSL, y sobretodo si su dirección IP es fija.

El uso de un cortafuegos es recomendable sea cual sea el tipo de conexión. Puede evitar la infección (Blaster) o la propagación (Bugbear) de algunos virus, por no hablar de troyanos.

Con los otros seis puntos no voy a meterme, me parece que están bien expuestos.

Panda Software informa sobre la aparición de un gusano que se propaga a través de la red MSN de mensajería instantánea engañando a los usuarios del programa MSN Messenger.

Jitux.A envía un mensaje desde las máquinas infectadas, usando la identidad del dueño, invitando a descargar un archivo ejecutable (jituxramon.exe), a todos sus contactos, a intervalos de 5 minutos, que aparecerá en la ventana de conversación de MSN Messenger. Si se ejecuta el archivo descargado, el ordenador queda infectado también y comienza a enviar el mensaje a toda la lista de contactos del nuevo huesped del gusano.

Jitux.A no provoca daños (no borra ficheros, no desconfigura el sistema...) en los equipos que infecta, aparte del tráfico extra en la red MSN y el gasto de recursos en la máquina infectada. A pesar de la altas calificaciones en peligrosidad y propagación que le otorga Panda Software, no espero que el gusano tenga un gran impacto. El archivo no se autoejecuta, debe ser lanzado de forma manual por el usuario y, con una ventana de conversación abierta con el infectado, no será difícil descubrir el engaño. Además, necesita a MSN Messenger para propagarse, aquellos que usen otros programas para conectar con la red MSN (Miranda IM, Trillian, un cliente Jabber...) no propagarán el virus aunque se infecten y, por supuesto, los que se conectan a la red MSN, ya sea directamente, como hacen Gaim o AMSN; o a través de pasarela con cualquiera de los clientes Jabber, desde otras plataformas ni siquiera pueden infectarse.

P.D. Ah, sí, casi se me olvida. Feliz (y seguro) año :-)

"Windows XP: Sobrevivir al primer día" es el título de una pequeña guía que ha publicado el SANS Institute y que ha sido traducida al castellano por Hispasec (incluidas las capturas de pantalla). La guía no es un documento sobre como asegurar un Windows XP, sino, simplemente, cómo conseguir conectar a Internet un Windows XP nuevo (recién instalado desde un CD) o preinstalado sin ser infectado por el gusano Blaster durante el tiempo que se tarda en bajar las actualizaciones de seguridad (casi 50 MB, además es bastante probable que sea necesario reiniciar varias veces).

Siguiendo la guía (que puede conseguirse siguiendo este enlace), se puede evitar que lo primero que hagan con su equipo aquellos que reciban un ordenador como regalo estas navidades sea coger un virus.

Como siempre, le toca a otro hacer el trabajo de soporte a Microsoft, ya que ellos no se molestan en hacerlo. Aún así, la gran mayoría de los que deberian leer la guía ni siquiera se enterarán de su existencia. Microsoft debería poner un aviso de que su producto es vulnerable y no está preparado para conectarse a Internet en la caja de Windows XP y traer una guía como ésta en el interior. Pero claro, eso sería lo lógico y normal en un mundo mejor que éste, en el que los productores de software aceptaran una mínima responsabilidad por los productos que venden. En el mundo que vivimos lo normal es que lo primero que le pase a tu ordenador nuevo recién estrenado, después de menos de cinco minutos conectado a Internet y sin que tengas que hacer nada en especial, es que un virus te infecte y tu equipo comience a reiniciarse solo.

Las fechas especiales, como son estas fiestas navideñas, que ya se acercan, se caracterizan por un incremento en el tráfico de correo electrónico en los buzones personales. Los correos de felicitación con un archivo adjunto (una imagen a modo de postal, una presentación de Powerpoint...) llenan nuestros buzones de correo.

Entre tanto correo con archivo adjunto, todos los años aparece el de algún creador de virus que pretende "felicitarnos" las fiestas también. Por lo que hay que extremar precauciones: desconfiar de las extensiones de fichero no habituales (.exe, .pif, .bat...), mantener el antivirus actualizado, procurar no abrir mensajes de desconocidos y escanear todos los ficheros adjuntos antes de abrirlos.

En Navidad, es especialmente necesario mantener la cautela no vaya a ser que recibamos un "regalo" inesperado.

Pues eso, cuidado ahí fuera y...

¡Feliz Navidad a todos!

Héctor Sánchez, responsable de Seguridad Corporativa de Microsoft Ibérica, ha escrito a Hispasec una carta en la que responde a las críticas que desde alli ha recibido la nueva política de distribución de parches mensual de Microsoft.

A continuación un extracto:

...podemos poner un ejemplo reciente con el virus Blaster: La vulnerabilidad que utilizó Blaster (026) ha estado latente. El riesgo que ha supuesto durante esos años es mínimo, prácticamente inexistente. ¿Cuando aumenta el riesgo? Cuando se descubre y anuncia su existencia. De hecho, es solo 27 días después cuando Blaster entra en escena. Técnicas de Ingeniería inversa sobre el update publicado son en parte responsables de esta celeridad.

Si volvemos a pensar en el anuncio que hace Microsoft, tendremos mas claro que no perdemos en materia de seguridad desde el momento que asumimos que el riesgo es casi inexistente antes de cualquier tipo de anuncio, y solo a partir de entonces, el riesgo es elevado.

[...]

Pero aun así, en ese 0.1% de casos donde el orden de sucesos no ocurra de esta forma, como por ejemplo el conocimiento de una vulnerabilidad de forma previa a la creación del update, NO SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en cuanto la actualización esté preparada.

Si se asume el riesgo de que una vulnerabilidad se conozca internamente (dentro de Microsoft, quiero decir), y no se haga pública puesto que aún nadie ha dado la alarma, ésto sería bastante correcto, siempre que sólo Microsoft publicase sus fallos y lo hiciese junto con el parche correspondiente. Pero es que resulta que no funciona así la cosa. Más bien, al contrario. Muy rara vez Microsoft publica un parche para una vulnerabilidad que no sea ya conocida y, en bastantes ocasiones, un exploit está disponible antes de que Microsoft saque el parche correspondiente.

En cuanto a la afirmación de que el porcentaje es al contrario, es decir, que sólo el 0,1% de las veces ocurre como explico en el párrafo anterior, creo que el enlace siguiente será suficientemente explicativo, aquí hay una lista con 20 vulnerabilidades de Internet Explorer que aún esperan parche.

Mientras, Microsoft retira el soporte al único de sus sistemas operativos que no es vulnerable a través de IE a la más grave de esas 20 vulnerabilidades (Windows 95 y NT no cuentan, pues ya hace tiempo que se les retiró el soporte; curiosamente, tampoco son vulnerables).

Actualizado 26/12/2003

Hispasec ha publicado un resumen de los comentarios de sus lectores a la noticia en la que se reproducía la carta de Microsoft como respuesta a ésta. No tiene desperdicio.

En Hispasec han preparado unas pruebas de concepto para demostrar los efectos de los dos últimos fallos de Internet Explorer. Al primero de ellos, el de la falsificación de URL (del que ya avisé en su momento) puede accederse desde aquí. Atención los usuarios de la suite Mozilla, dicen en Secunia, que al pasar el ratón sobre estos enlaces preparados para engañar al IE, la barra de estado del navegador mostrará la dirección falsificada, aunque luego, una vez que se ha ingresado en la página, mostrarán la URL real, de forma correcta. Esto ocurrirá incluso aunque se haya desactivado el javascript para los cambios de la barra de estado, pues aquí no hay script alguno, es sólo añadir dos caracteres. En Mozilla Firebird la barra de estado muestra, tras la dirección falsa, un revelador cuadrito blanco.

La segunda vulnerabilidad de IE, permite, con la inclusión de una sóla línea de código en cualquier página web, la apertura de infinitas ventanas del navegador, a una velocidad muy rápida (no da tiempo a cerrarlas) hasta que la máquina se quede sin memoria y se cuelgue o el navegador caiga, lo que suceda antes. Aquí esta la página que da acceso a la demostración.

Los usuarios de Opera que todavía no hayan actualizado a la versión 7.23, ya tienen una razón más para hacerlo. Usando la vulnerabilidad descrita en Secunia, un sitio web malicioso podría eliminar cualquier archivo del que se conozca su localización (lo que incluye todos los archivos críticos para el funcionamiento del sistema) siempre que pueda convencer al usuario de que descargue un archivo cualquiera de éste sitio web. El archivo a descargar puede ser absolutamente inofensivo (simple texto, una imagen, un MP3...), pero en vez de ser descargado a una carpeta temporal, para luego ser trasladado a la ubicación elegida por el usuario (éste es el comportamiento normal en todos los navegadores) se descargará en la localización que decida el sitio malicioso, sobreescribiendo el fichero elegido y destruyéndolo.

Los parches de seguridad de Microsoft de éste mes, que tenían prevista su salida ayer, no se distribuyen todavía. Los de Redmond no aclaran si esperarán al mes que viene para distribuirlos o saldrán en cuanto estén listos, sólo dicen que siguen investigando las vulnerabilidades que han sido publicadas (que, por cierto, se están explotando).

Ya que se retrasan, que vayan "investigando" éste también. Ya se pueden construir falsas páginas idénticas (incluido el URL) a las auténticas.

No es que no se hiciera ya, que se hacía, pero la URL en la barra de direcciones las delataba. Si estás usando Internet Explorer ya no será posible advertir el engaño, que, por cierto, es tan fácil de hacer que, en estos mismos momentos seguro que hay un buen montón de chavales haciendo falsas páginas de acceso a Hotmail con la intención de robarle la contraseña de correo a la novia. Claro que también habrá quien no se conforme con eso y vaya a por los números de tarjetas de crédito, por ejemplo.

Los usuarios del servicio de conferencia de voz de Yahoo!, ya sea a través de Yahoo! Messenger o de Yahoo! Charlas, están expuestos a un desbordamiento de búfer que puede permitir a un atacante ejecutar comandos en la máquina vulnerable, así como caídas del servicio y el cuelgue de Internet Explorer. Yahoo! ofrece toda la información necesaria, así como la actualización a una nueva versión libre del fallo de seguridad en esta página.

No añado nada más, porque está todo muy bien explicado, de forma sencilla y clara, por Yahoo! en su página, sería bueno que otras empresas tomaran nota y se generalizara esta transparencia.

En Hispasec se hacen eco de este artículo (en inglés) en el que se explica un error en el diseño del kernel de Windows y en la manera en que éste procesa los mensajes de las aplicaciones y cómo es posible aprovecharlo para, en la práctica, conseguir los privilegios necesarios para hacer cualquier cosa que se desee en la máquina víctima.

De momento, esto sólo puede hacerse de forma local, es decir, hay que estar sentado delante de la máquina víctima o, en el caso de una red, tener acceso a una de las estaciones de trabajo (es suficiente una cuenta de invitado). También se ha hecho público el correo del Security Response Center de Microsoft en el que se afirma que no es un fallo de seguridad. Este correo puede leerse aquí. Se dice que no es un fallo de seguridad basicamente porque

if I understand things correctly, the attack you describe either requires the user to run an attacker's program on their system or the attacker needs to have access to the user's system [...] If a bad guy can persuade you to run his program on your computer, it's not your computer anymore.

Traduzco:

Si he entendido las cosas correctamente, el ataque que describe requiere, bien que el usuario ejecute el programa del atacante en su sistema, o bien que el atacante tenga acceso al sistema del usuario [...] Si un chico malo puede persuadirle de que ejecute su programa en su ordenador, ya no es su ordenador.

Bien, muy bonito eso. Lástima que engañar al usuario para que ejecute algo que no debería es lo que hacen el 90% de los virus hoy en día. Si bien la mayoría de ellos trata de explotar de todas formas alguna vulnerabilidad antigua y bien conocida por si cuela, al final si se reproducen a gran velocidad, es porque el mismo usuario es engañado para que los ejecute.

La vulnerabilidad está ahí y no es sencilla de arreglar, no con un simple parche al menos, ya que es un error de diseño que obligaría a cambiar la forma en que el núcleo de Windows trabaja, la forma de explotarlo también es conocida, ya sólo falta que alguien cree un virus que la aproveche. Pero todo el mundo tranquilo, que Microsoft dice que no es un fallo de seguridad.

El CATA es un servicio del Ministerio de Ciencia y Tecnología español. Es un portal que ofrece bastante información sobre seguridad y virus, aunque sus artículos tienen una orientación clara hacia las PYMEs.

Normalmente hacen un buen trabajo, me gusta especialmente su lista de cortafuegos gratuitos. Sin embargo, su último añadido, una lista de mata-pop-ups, no me gusta nada. Y menos mal que han actualizado, porque de paso que han añadido tres elementos nuevos, han cambiado el título, que hace un par de días decía "Escaneadores de puertos" (supongo que copiaron el código de la última lista y se les olvidó cambiar el título).

En la lista original, entre un montón de mata-popups para Internet Explorer (es el único navegador que los necesita todavía), la mayoría, de pago, aparecía la suite de Internet Mozilla. Con la corrección de ayer, han añadido tambien al navegador Opera.

En vez de mezclar churras con merinas, hubiera sido mejor explicar que en otros navegadores estos mata-popups no son necesarios, pues ya traen una función mata-popup de serie. Otro punto que no me gusta es que en la breve explicación de ambos, Mozilla y Opera, se apunta dónde tienen la opción para desactivar los pop-ups, como si no viniese ya activada por defecto. Además, normalmente tienen cuidado de elegir software gratuito (o con al menos una versión gratuita) para sus listas; esta vez no es el caso. Y ya lo peor es el cuadro-resumen del final, donde al comparar por tamaños (en KB) evidentemente los navegadores salen mal parados, pues los otros no son más que plug-ins de unos pocos cientos de kilobytes y, claro, los navegadores pesan varios megabytes.

Ya está mal que desde un ministerio se recomienden programas de pago (todos menos uno extranjeros, además) pero me duele más que no se diferencie entre unas cosas cosas y otras (también que no haya ni mención de Mozilla Firebird, por cierto) y que la única página buena que tenían los chicos de Red.es empiece a degenerar. Una lástima.

Por si alguien había pensado tras leer lo de ayer que sólo se salvaban los Mac, que se lo quite de la cabeza. Safari también tiene problemas. Tanto en su versión 1.0 como en la 1.1, el navegador Safari puede ser obligado a revelar el contenido de sus cookies. Muchas veces el contenido no tiene importancia o es ininteligible por estar encriptado, pero a veces esto no es así y, en ese caso material privado y sensible (principalmente nombres de usuario y contraseñas) podría quedar al descubierto. De momento no hay solución, y dado que el problema es muy, muy fácil de explotar (bastaría con pinchar en un enlace especialmente construido, pero muy sencillo de hacer) se recomienda cambiar de navegador, al menos, hasta que el problema se resuelva.

Según se puede leer en DiarioTI se han descubierto cinco nuevas vulnerabilidades en Internet Explorer. Usadas en conjunto permiten pleno acceso, derechos para leer ficheros, ejecutarlos y borrarlos. La compañía de seguridad informática Secunia las califica de extremadamente críticas. Microsoft, al parecer, sigue con su política de un único parche mensual (que también les ha dado problemas este mes, aunque menores que en el anterior) que solucione todos los problemas que vayan surgiendo a lo largo del mes, ya que no han anunciado un parche especial para solucionar ésto. Así pues, los usuarios de Internet Explorer tendrán que esperar alrededor de 15 días, como mínimo, para obtener un parche. Mientras, se recomienda desactivar Activex o cambiar de navegador.

Tampoco ha sido una buena semana para el navegador Opera, al que se le han descubierto dos nuevas vulnerabilidades, una en su manejo de skins que podría permitir ejecutar código y otra que permite alojar un fichero en cualquier directorio de la máquina víctima. La primera afecta tanto a la versión de Linux como a la de Windows, la segunda sólo funciona sobre Windows. En Windows, pues, pueden ser combinadas, obligando al navegador a descargar cualquier archivo y al sistema operativo a ejecutarlo. En Linux la amenaza es menor, pero aún así los ficheros del usuario que se use para navegar corren peligro. Están afectadas todas las versiones de Opera inferiores a la 7.23, que acaba de salir, que soluciona ambos fallos.

En Noticiasdot.com han publicado un exhaustivo reportaje de lectura recomendada sobre el negocio de los distintos programas de intercambio de archivos (P2P) y cómo los creadores de estos programas ganan millones de dólares con la instalación, junto con sus programas, de diversos tipos de spyware y adware.

Aunque son muchos los programas de intercambio que atentan contra la privacidad de sus usuarios (por no hablar de que estos programas enlentecen la navegación y las descargas, te fríen a pop-ups y comprometen la estabilidad de Windows), no todos intentan hacerse millonarios a costa de la privacidad ajena. En SpywareInfo mantienen actualizadas dos listas, una con los programas "infectados" (entrecomillado porque no son virus, sino spyware, pero tampoco hay tanta diferencia) y otra con los que están limpios.

También es interesante la base de datos de Spyware-Guide, con los nombres de los archivos que pertenecen a programas spyware y que hace exactamente cada uno. Un buen sitio al que acudir si encontramos algún programa cargado en memoria que no recordamos haber instalado.

Usando uno de estos programas "infectados", las descargas se pagan ampliamente con la pérdida de ancho de banda, las molestias de la publicidad no deseada (tanto en forma de pop-ups como de spam) y la pérdida de la privacidad.

Hace mucho que no aparecen noticias sobre facturas telefónicas de importe desorbitado a causa de la conexión a Internet. Hubo un tiempo, no hace tanto, que no había semana que no apereciera al menos una noticia de este tipo en los telediarios y/o la prensa. Ahora parece que ya no es noticia, lo que no significa que haya dejado de ocurrir.

Los dialers, que son los programas que hacen posible que nuestro ordenador llame a teléfonos de tarificación especial sin nuestro conocimiento o permiso, vuelven a estar de actualidad gracias a una nota de prensa de Panda Software. Esta empresa antivirus ha decidido incluir los dialers entre el software malicioso que una de sus soluciones antivirus de gama alta detectará. Otras empresas antivirus, de momento, los ignoran. Se adopta esta línea de actuación a causa de que cada vez es mayor el uso de dialers en páginas de apariencia inocente y, hasta hace poco, libres de sospecha, como páginas de juegos en flash o java, páginas que ofrecen iconos, fondos y temas de escritorio o pequeños portales de descarga de software gratuito.

Aunque el uso de este programa antivirus sea una solución, éste es uno de los casos que, en mi opinión, se solucionan mejor con sentido común, empleando herramientas ya disponibles. Lo mejor es acudir a la compañía teléfonica para que anule las llamadas a los números de tarificación especial. Esto puede arreglarse con una simple llamada y así no existe ya peligro de recibir facturas anormalmente altas. Pero en el caso de que uno de estos programas se instale nos quedaremos sin conexión a Internet hasta que reconfiguremos la conexión y eliminemos el dialer. La mayoría de estos programas usan Controles ActiveX, tecnología propietaria de Microsoft, para instalarse. Desactivando el soporte de estos controles en el navegador, impedimos de forma efectiva la instalación. Navegadores como Mozilla y Mozilla Firebird no incluyen soporte para esta tecnología, por lo que están blindados a la mayor parte de los dialers. Existe otro tipo de dialer que se descarga en forma de ejecutable, pero ya es menos peligroso, porque tiene que ser el mismo usuario el que lo ejecute, no lo hace de forma automática como los que emplean la tecnología de Microsoft. Por supuesto, el usuario puede ser engañado para ejecutarlo por sí mismo, son muchos los virus que esperan engañar al usuario para ser ejecutados y reproducirse y sus trucos funcionan con mucha gente (el rey de estos virus es ahora Mimail, en sus distintas versiones).

Ultimamente estoy viendo muchos, así que aquí van algunas nociones sobre cómo identificarlos, para evitar la difusión de información falsa, situaciones de alarma social (me vienen a la cabeza varias de "Hotmail cierra" o "quitan MSN Messenger", nota al pie al respecto), salvar la estabilidad de algún Windows y evitar situaciones embarazosas cuando se descubre el engaño.

El término hoax (del inglés) puede traducirse por engaño, timo, bulo, etc. En el entorno informático se llama así a los mensajes de correo electrónico (aunque a veces también aparecen en entornos profesionales impresos y fotocopiados, provienen de la Red) cuyo contenido está basado en mentiras, engaños, verdades a medias o falsedades (en muchas ocasiones con relación a falsos virus) creados especialmente para su difusión masiva, bien sea con intención de causar algún perjuicio o bien para diversión del creador o creadores del mismo.

Todos ellos tienen varias características en común. La más fácilmente reconocible es que se pide el reenvío masivo, al máximo de personas posible. Ésto por sí solo debería hacer sospechar, no importa el pretexto que se utilice (solidaridad, salud, seguridad...). Hacen referencia a fuentes serias, personas, empresas o entidades reconocidas o de prestigio (CNN, Hotmail, Microsoft, Panda Antivirus, doctores, catedráticos...) pero no proporcionan enlaces a las fuentes para corroborarlo. Se suelen expresar con un sentido de urgencia o inminente catástrofe pero no incluyen fecha alguna, lo normal es que circulen durante años, gracias a este detalle. Son muchos los que incluyen faltas ortográficas o de redacción o incluyen expresiones extrañas, lo que se debe principalmente a la juventud de sus autores y a que muchas son traducciones de otros idiomas. La historia que se cuenta, analizada fríamente suele ser bastante fantástica, por no decir fantasiosa y, a menudo se incurre en contradicciones, muchas leyendas urbanas corren en este instante por Internet en forma de hoax.

Hay dos variantes de hoax (que podría llamar de tipo vírico) que se acercan más al propósito de este blog. En una de ellas, se alerta de un nuevo virus altamente destructivo contra el que no se puede hacer nada, pero (nótese la contradicción) se pide que se reenvíe masivamente anunciando el hecho de la existencia de semejante virus imparable. En la otra, se pide al receptor del hoax que busque en el disco duro la existencia de un archivo concreto y que, de encontrarlo lo elimine inmediatamente. Es la variante más peligrosa (desde el punto de vista informático) porque el archivo que se pide eliminar suele ser importante para el funcionamiento normal de un sistema operativo Windows, lo que los convierte en algo así como un "virus manual" bastante destructivo.

En el resto de variantes, puede darse una cierta amenaza a la privacidad el uso de la opción "Reenviar" (no sólo con los hoax, sino con cualquier tipo de mensaje en cadena), pues de esta forma se estará enviando también todas las direcciones de correo de los anteriores receptores del mensaje (qué bocado para un spammer). Si se va a reenviar cualquier mensaje conviene crear un mensaje nuevo y pegar el contenido, eliminando todas las direcciones anteriores.

Por último, hay varias páginas que pueden consultarse ante la duda de si un mensaje es o no un hoax. VSAntivirus mantiene una lista con el asunto y contenido de un buen número de estos correos. También Rompecadenas tiene un buen archivo. Además siempre están los buscadores comunes (Google, Alltheweb...) dónde podemos comprobar por nosotros mismos la veracidad de un mensaje a partir de cualquier dato relevante que éste incluya, como el nombre de un archivo, de una persona, de una organización...

Fin. Y ahora viene la nota al pie que mencionaba arriba. Es curioso cómo la noticia (falsa) del cierre de Hotmail o del servicio de MSN Messenger (ambas de Microsoft) provocan entre mucha gente situaciones de alarma social como si fuera a desaparecer la televisión o el teléfono. Hotmail es, probablemente, el peor servicio gratuito de correo que existe: el que menos tamaño de buzón ofrece y en el que peor funcionan la detección de virus y el filtro antispam; en cuanto a MSN Messenger existen múltiples alternativas gratuitas, tanto de otras empresas como libres y abiertas (Yahoo!, ICQ, Jabber, IRC...), por no mencionar los distintos clientes que pueden conectar con varias redes a un tiempo. Para mí serían dos buenas noticias, habría que utilizar alternativas mejores y más seguras y, sin embargo, leyendo los hoax al respecto, parece que fuera a acabarse el mundo.

...y en breve continúo dónde lo dejé ayer.

Los parches de noviembre de Microsoft ya están disponibles. Resuelven varias vulnerabilidades que permiten ejecutar cualquier código sin permiso en Internet Explorer, Windows 2000 y XP (en ambos, en todas sus versiones), Word, Excel y en las extensiones de FrontPage.

Volviendo al tema de ayer, en Hispasec, al hilo de la publicación de parches de forma mensual, que empezó el mes pasado, de momento, de forma desastrosa, como he ido comentando aquí, dicen algo que no puedo evitar reproducir:

Por otro lado, regularizar la publicación de parches, convirtiéndolo en algo cotidiano, es el camino más corto para que algo extraordinario se estabilice en la normalidad.

Un ejemplo, aunque sea como efecto colateral no buscado, lo tenemos en la normalización de las "pantallas azules" o cuelgues de Win9x. Algo extraordinario como es el que algo tenga algún defecto y falle, a fuerza de repetirse, se convirtió en algo común y aceptado. A nadie le extrañaba que de forma regular un Windows 9x se colgara, hasta los informáticos terminamos por dar la receta "es normal, reinicia, y listo". De hecho, lo extraordinario sería que un Win9x estuviera un mes seguido sin tener algún incidente de este tipo.

¿Imaginan este tipo de fallos en otro sector? ¿Aceptaría que su moto o coche, recién comprados, tuviera problemas mecánicos y le dejara tirado de vez en cuando? Así nos va con el software, la poca exigencia del mercado es en gran parte responsable de la baja calidad de los productos.

No se puede plantear mejor. Los sistemas operativos (o cualquier otro tipo de software, pero sobre todo éstos) no deberían colgarse ni autoreiniciarse. Esto no es normal y no debe aceptarse como normal. Una fama tan mala como la que han adquírido los sistemas Windows, hubiera llevado a la quiebra a cualquier compañía que fabricase cualquier tipo de producto. Sin embargo, Microsoft no sólo no se ha hundido sino que, en el segmento de ordenadores domésticos, al menos, ocupa una posición predominante. Esto ha podido ocurrir porque mucha gente ha llegado a pensar que con el software es normal. No lo es. Tampoco lo es que no pase un mes que no haya varios parches de seguridad para un programa concreto (Internet Explorer), aparte de otros fallos sin solución. Hay mucho software de buena calidad ahí fuera que funciona como es debido. Software con el que es sencillo trabajar porque no falla ni da problemas. El día que ésto llegue a la gente, estaremos más cerca de la informática fácil y al alcance de todos.

Por mucho que se venda la idea de la informática sencilla y alcance de todos, un ordenador no es un electrodoméstico. Los sistemas operativos (todos ellos en general) vienen, en cada nueva versión, con un mayor número de asistentes, tratando de poner al alcance de cualquiera todo el potencial de estos aparatos. Pero no es suficiente y, en la siguiente versión, habrá todavía más asistentes, más claros, usando un lenguaje más llano... y será mayor el número de páginas de ayuda. Y seguirá siendo mayormente un esfuerzo inútil. Los asistentes nunca terminarán de incluir todas los problemas posibles y, la ayuda, es como las licencias, casi nadie la lee.

Se vende el ordenador como un televisor o un microondas, enchufar y pulsar el botón de encendido. Puede ser suficiente con esos dos aparatos, pero, si ni siquiera es suficiente con algo un pelín más complicado como un video (¿Cuántos videos marcan la hora correcta? ¿Cuántos videos se usan para algo más que reproducir las peliculas del videoclub? Y eso que todos traen manual de instrucciones) ¿Cómo va a ser suficiente con algo que es, al mismo tiempo, un televisor, un vídeo, un teléfono, un fax, un completo equipo de oficina, un cadena de alta definición, un estudio de sonido o vídeo o diseño gráfico, una consola de videojuegos, tiene capacidades de videoconferencia... y además puede utilizar (y servir él mismo) todos los servicios de Internet (WWW, FTP, correo, IRC...)? Y esto no es todo, porque la esencia de un ordenador es ser programable. Las cosas que es capaz de hacer siempre pueden ampliarse.

Con un ordenador sin acceso a la Red, aunque un usuario no sepa lo que hace no pasará grandes apuros, utilizará lo que sepa o le interese, con más o menos problemas, pero nada más. Conectado a Internet, un usuario que no sepa lo que hace está paseando por un barrio peligroso sin darse cuenta (y si, además, utiliza Windows, ha dejado aparcado su coche sin cerrar y con las llaves en el contacto, con la cartera y las tarjetas de crédito en la guantera).

No existe un sistema operativo perfectamente seguro. Si acaso, unos más seguros que otros recién terminada la instalación inicial. En casi todos es posible alcanzar un nivel de seguridad aceptable (si no casi perfecta), por lo que, sea cual sea el sistema operativo que se utilice, habrá que dedicarle cierto tiempo a conocer que medidas se deben tomar y a adoptarlas.

Si tuviera que recomendar un sistema operativo a alguien que no quisiera complicarse la vida con éstas cosas, desde luego no le recomendaría un Windows. En cualquiera de sus distintas versiones, es el más inseguro de todos los sistemas operativos (recién instalado, luego puede mejorarse con algo de tiempo y sabiendo lo que se hace). Cualquier otro le haría un mejor papel. Distintas distribuciones del sistema operativo Linux ofrecen, gratuitamente, suficiente software recién instaladas para que un usuario corriente no eche en falta nada (¿Por otro lado, qué puede hacerse con un Windows recién instalado? Realmente muy poca cosa) y en un entorno mucho más seguro.

Aún así, no es posible distanciarse del tema de la seguridad. Todos los programas son susceptibles de tener vulnerabilidades y, de vez en cuando, habrá que instalar algún parche. Tampoco es posible el uso seguro de un sistema Linux siendo completamente ignorante. No porque sea más complicado de usar (todos son fáciles de usar, lo que es complicado, en cualquier sistema, es configurarlo y administrarlo), sino porque hay que saber, por lo menos, que la cuenta de superusuario (root o administrador) no es para navegar por internet. Con eso será suficiente. (Nota mental: Alguien debería decírselo a los usuarios de Windows XP).

Utilizar un ordenador es fácil. Resolver los problemas que puedan surgir no es fácil ni sencillo. No importa cual sea el número de asistentes que traiga el sistema operativo, ni lo amplia que sea la ayuda.

El ordenador estará más cerca de ser un electrodoméstico (y la informática realmente fácil y al alcance de todos) cuando el sistema operativo estándar sea razonablemente seguro y dé el mínimo de problemas. ¿No suena a Windows, verdad?

ActiveX es una tecnología propietaria de Microsoft con un largo historial de fallos graves de seguridad. Se han descubierto tres nuevos para los que aún no hay parche, por lo que, como suele suceder cada vez que se descubre un fallo en los controles ActiveX, el navegador de Microsoft es vulnerable incluso con todos los parches instalados. ActiveX sirve para descargar, instalar y ejecutar programas de forma autómatica, lo que da una idea del nivel de gravedad que tienen los fallos en estas aplicaciones (Siempre se les adjudica el máximo nível, crítico).

La utilidad de esta tecnología es relativa, se usa, por ejemplo, en servicios como Windows Update y las salas de chat de los grupos de MSN (también se usaba en las salas de chat normales, antes de que las cerraran). Fuera de las páginas de Microsoft y de MSN no sirve para nada, eso sí, viene muy bien para instalar dialers y spyware que es para que lo que mayormente se usa fuera de ahí. Es por tanto, la mayor parte del tiempo una tecnología peligrosa y molesta para el usuario, aún cuando no tuviera fallos cada dos por tres.

En Internet Explorer está activada por defecto, para permitir un fácil acceso a los servicios de Microsoft que la usan. Una muestra más de que lo más fácil para el usuario no es siempre lo mejor para él. Conviene desactivarla cuando no sea necesaria, para evitarse sustos. Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel personalizado, Secuencias de comandos ActiveX, señalar la opción de Desactivar. Como se ve por la secuencia de menús, no está precisamente a la vista. Lo más seguro hubiese sido ponerla a la vista e instruir a los usuarios en cuando deben conectarla y desconectarla, pero claro, eso habría dificultado su venta a todos esos webmasters maliciosos que la usan para instalarte cualquier cosa.

Se ha hecho bastante común entre los usuarios de Windows XP la instalación de lo que se llama "Visual Styles", o simplemente "temas" para cambiar la apariencia de la shell de XP, bien sea a través de la aplicación de un pequeño hack con el archivo uxtheme.dll o usando programas como WindowBlinds.

Pues a partir de ahora, habrá que ser cuidadoso a la hora de instalar uno nuevo. Se ha descubierto la manera de hacer que estos temas de escritorio puedan ejecutar código, e incluso escalar privilegios, a través de un fallo en la implementación de los botones con estilo XP.

El código que permite hacerlo ya corre por la Red, es cuestión de tiempo que alguien lo aproveche para crear un nuevo código malicioso.

Ni que decir tiene que actualmente no hay parche para esto y dado que no es algo que Microsoft soporte oficialmente, es muy posible que no lo haya. Los usuarios de XP tendrán que tener un ojo puesto en las actualizaciones de sus antivirus, por si acaso.

El código puede verse, entre otros sitios, en SecuriTeam.

Sólo son rumores. Pero cada vez más insistentes. Se dice que Microsoft estaría interesado en comprar un buen número de esas acciones que Google tiene previsto poner a la venta. Se dice incluso que los de Redmond han ofrecido una fusión a los responsables del buscador por excelencia.

Estoy seguro de que a muchos no nos gusta la idea. Pero entra dentro de lo probable. Google va a vender acciones, Microsoft ha dado señales de querer entrar en el mercado de los buscadores de Internet, de hecho, han anunciado que en su nuevo sistema operativo (cuando quiera que salga, 2006 al menos) las búsquedas, tanto en Internet cómo en el propio disco duro, serán más fáciles y rápidas. En el disco duro ya se sabe cómo lo harán. Han anunciado un nuevo sistema de ficheros (que en realidad no es tal, sólo una capa de XML sobre el ya conocido NTFS) que engordará el tamaño de todos nuestros ficheros, haciéndolos de paso, más complicados de leer desde otros sistemas de archivos, a cambio de la prometida rápidez.

Pero ¿y el buscador de Internet? Hasta ahora pensaba que integrarían (todavía más) su portal MSN y su buscador con su navegador Internet Explorer y el resto del sistema operativo, pero estos rumores me hacen cambiar de opinión porque ¿qué mejor y más rápido buscador que Google?

Lo que me lleva a pensar cosas más disparatadas. ¿Harían como cuando compraron Hotmail y tratarían de pasar los servidores Unix/Linux a Windows 2003/IIS? (no lo consiguieron) Porque, si alguien no lo sabía, en las máquinas de Google no hay otra cosa que Linux Red Hat.

Muchos estaríamos encantados de unirnos y apoyar en lo que fuese necesario. Plataforma No (Vía marianitu).

De momento, cómo se decía en El Tercer Hombre hace unos días, nos tendremos que conformar con ofrecernos a instalar Linux; así al menos, sólo tendríamos que instalar una vez y olvidarnos del asunto (salvo que el usuario se metiera como root a enredar con el contenido del directorio /lib claro, que nada es demasiado improbable).

Tengo que hablar una vez más (ya van tres) del parche de octubre de Microsoft y es que el primer parche mensual de seguridad de Microsoft lleva una trayectoria que roza ya el ridículo. Un problema con el archivo update.exe, que se queda con todos los recursos de la máquina, ha ocasionado cuelgues durante la instalación de la primera corrección del parche en algunos equipos con Windows 2000, XP o 2003 Server. La nueva corrección incluye una nueva versión de este archivo, que debe corregir el problema e instalar la corrección. Si no se han tenido problemas con la instalación del último parche no se debe bajar ésta última.

Hay que recordar que los parches combinados nunca le han dado buen resultado a Microsoft y, además, esperar para reunir los parches deja los equipos más tiempo desprotegidos, por lo que, en un principio, no había ninguna buena razón (al menos una razón técnica) para publicar un único parche mensual. La decisión sólo podía responder a una maniobra de marketing, como ya dije en su momento. Viendo los resultados hasta ahora, está claro que fue una decisión equivocada (siempre lo es poner las razones de mercado por encima de las técnicas), de hecho, se preveían problemas, pero no tantos como para alcanzar semejante nivel de despropósito.

Esta vez supongo que será la última vez que me toque hablar de éste parche, si el de noviembre sale parecido, más vale (más les valdría hacerlo ya) que vuelvan a publicar los parches en cuanto los tengan y de uno en uno, como hacían hasta ahora y es lo más lógico.

Puedes leer la noticia completa relacionada en Hispasec.

El lenguaje Java permite crear aplicaciones que funcionarán en cualquier ordenador (ahora también teléfonos móviles que cada vez son más parecidos a PDAs), sin importar la combinación de sistema operativo y arquitectura que utilice, siempre que disponga de una Máquina Virtual Java.

La JVM a la hora de navegar no tiene mucha utilidad (los applets Java en la WWW, aunque permiten efectos muy vistosos son muy escasos a causa de su elevado tamaño). Sin embargo, debido a que muchos sitios que proporcionan servicios de chat utilizan Java para proporcionarlos, el plug-in de la máquina virtual java está instalado en la mayor parte de los navegadores. Se ha descubierto una vulnerabilidad en la JVM que, por tanto, afectará a todos aquellos que la tengan instalada y activa (algunos navegadores permiten activarla o desactivarla a voluntad).

La última versión de la Máquina Virtual Java soluciona el problema. Puede descargarse de la página de Java de Sun Microsystems.

Aunque no demasiado a menudo, aparecen de cuando en cuando agujeros de seguridad como éste en la JVM. Hay que tener en cuenta que un fallo en ella, permite atacar a todas las plataformas, por lo que es un bocado apetitoso para programadores de virus y amantes de los datos ajenos. Mi recomendación es tenerla instalada, pero inactiva (si tu navegador no te permite ésto, cambia de navegador). Activarla sólo cuando sea necesaria y si la página que nos requiere su uso es de nuestra plena confianza.

El primer parche mensual de Microsoft, que se publicó el día 15, sigue dando problemas. Primero fue noticia porque apagaba un antivirus, ahora resulta que hay casos de equipos que utilizan versiones en algunos idiomas distintos del inglés (incluidas las versiones en español) que siguen siendo vulnerables tras la instalación del parche, otros se bloquean o tienen problemas de compatibilidad con otros programas que antes del parche funcionaban correctamente. Se recomienda utilizar el servicio de Windows Update nuevamente para corregir algunos de éstos problemas (en el caso del software de terceros que deja de funcionar, habrá que esperar actualizaciones posteriores de los fabricantes de los programas afectados, como el antivirus mencionado) con un nuevo parche.

Ya anuncié aquí que la decisión de publicar los parches mensualmente no me parecía buena idea, más producto de una campaña de marketing que una decisión lógica. Desde luego no podían haber tardado menos en darme la razón. A ver que tal les va con la siguiente (suponiendo que ésta ya no cause más problemas), prevista para el segundo martes del mes que viene.

Tengo escrito por ahí algo al respecto de cómo elegir las contraseñas, pero leyendo Barrapunto me he dado cuenta de que carece de ejemplos y se me ha ocurrido sería una buena idea apuntar algunos. Una buena contraseña deberá ser robusta, es decir, tendrá que incluir mayúsculas, minúsculas, números y, si es posible, símbolos. Además tendrá que ser bastante larga (al menos, 8 caracteres). Pero claro, también tendría que ser fácil de recordar. Vamos a ver cómo conseguir ésto de distintas maneras, todas sacadas de Barrapunto:

• Elegir una frase de seis o más palabras, fácil de recordar y usar la primera letra de cada palabra (también podría ser la segunda o la última y escribirlas al derecho o al revés) y sustituir las vocales por números parecidos¹. Para alargarla añadir el año que estamos o el mes que vamos a usarla. Ejemplo: La madre que parió a Bill Gates² quedaría Lmqp4BG03


• El mismo sistema anterior puede usarse con una canción que nos guste, usando el año de publicación. Para variar, partiremos el año en dos, poniéndolo al principio y al final. Ejemplo: When Love Comes to Town de 1988 sería 19WLCtT88


• También podríamos usar cosas que tengamos a la vista, pero que no sean evidentes, como el ISBN del libro que estemos leyendo. En este caso podemos hacerlo al revés y cambiar los números por letras. Ejemplo: 84-450-7385-0 podría ser 8aaSo7e8So. Esto mismo puede hacerse con otras cosas, la entrada de un cine o un concierto que tengamos a mano, una factura, el IMEI del teléfono móvil...

¹ La A por el 4, la E por el 3, la I por el 1, la O por el 0. Es habitual también sustituir la S por el 5 o la T por el 7.

² Esto es fácil de recordar, sólo hay que acordarse de la última vez que se colgó Windows y llevabas una hora sin grabar lo que estabas haciendo.

De forma similar a como ocurría en Internet Explorer, un enlace especialmente construído puede obligar al navegador Opera a ejecutar código (borrar archivos, formatear el disco duro, etcétera). En la última versión de Opera disponible este problema ya está corregido, por lo que recomiendo a los usuarios de éste navegador actualizar lo antes posible.

Aunque el resultado de explotar ambas vulnerabilidades, la de IE y la de Opera, es muy parecido, la dificultad de aprovechar el fallo en Opera es mucho mayor (en IE era absurdamente fácil). Como Opera no está integrado con el sistema operativo, es necesario encontrar un búfer que pueda ser desbordado, en este caso el usado por ciertas etiquetas HREF, incrustando en la memoria el código que será ejecutado sobreescribiendo el que Opera había colocado allí. La ejecución del código incrustado no sería inmediata sino fuera porque, desgraciadamente, esta operación causa que Opera se cierre, lo que libera la memoria usada y dispara así el código inyectado.

Para el que no haya entendido el párrafo anterior (que no estoy seguro de haber conseguido simplificar al punto de que pueda entenderlo alguien sin conocimientos previos) añadiré que, mientras el fallo de IE podía ser aprovechado por cualquiera que fuera capaz de encontrar un archivo concreto en su propio ordenador, el de Opera necesita conocimientos mucho más avanzados (lo que debería ser evidente tras el párrafo anterior) para sacar un beneficio de él.

Gracias a la casi plena coincidencia temporal de dos errores de parecidas consecuencias en dos navegadores distintos, uno integrado en el sistema operativo y otro no, creo que puedo hacer (en este punto, ya debería estar hecho) que todo el mundo entienda una de las ventajas clave de usar un navegador que no forma parte del sistema operativo.

Las actualizaciones grandes de Microsoft suelen causar algún problema con el software instalado (hay que recordar que a partir de ahora casi todas tendrán un gran tamaño) y ésta primera actualización mensual no ha sido una excepción. El asunto es grave en ésta ocasión, porque desactiva un antivirus.

Los usuarios del antivirus Sophos se han encontrado con que su antivirus no era capaz de arrancar tras instalar el parche de seguridad de este mes para su sistema operativo. El parche introducía cambios en el archivo user32.dll (existente en todas las versiones de Windows) y cambiaba el funcionamiento de algunas de las funciones de éste. Una de esas funciones retocadas por el parche era la que usaba este antivirus para iniciarse. El antivirus puede reinstalarse si se desinstala el parche de Microsoft. La compañía antivirus ha anunciado que publicará un parche en los próximos días que solucionará el problema. Mientras los usuarios de este antivirus tendrán que elegir entre estar sin antivirus (o instalar otro) o esperar para actualizar y asegurar su sistema operativo.

Las actualizaciones mensuales de Microsoft no han empezado con buen pie.

Microsoft, en un nuevo intento de conseguir que los usuarios de software se habituen a descargar los parches de seguridad, dejará de distribuir éstos en el momento en que estén disponibles (puedes leer la noticia en Hispasec) pasando a distribuirlos en un único paquete mensual. En palabras de Amy Carroll, director de producto de la
unidad de negocio de seguridad de Microsoft

Este cambio facilitará a los usuarios la localización e instalación de las actualizaciones de seguridad.

Lo que queda muy bonito, sobre todo, después del verano tan movidito que nos han dado los fallos de seguridad en los productos de su empresa, pero no veo cómo va a facilitar ni la localización (siguen en el mismo sitio) ni la instalación (que seguirá siendo automática, visitando Windows Update).

Supongo que la idea es que la gente se acostumbre a pasar una vez al mes por Windows Update, pero no me explico porqué no siguen distribuyendo los parches individuales como hasta ahora, aunque después haya un recopilatorio mensual. Aún suponiendo que con esta nueva política de parches consigan que un mayor número de usuarios tenga su sistema actualizado, en la mayor parte de los casos ésto significará que los equipos continuarán desprotegidos un tiempo extra totalmente innecesario.

El primero de estos parches mensuales se empezó a distribuir ayer e incluye parches para cinco distintas vulnerabilidades calificadas como críticas y afectan a todas las versiones de Windows posteriores a la 98.

La más peligrosa de ellas, en mi opinión, por la facilidad de explotarla, permite borrar casi cualquier archivo del disco duro si se conoce su ubicación o, lo que es lo mismo, borrar cualquiera de los archivos esenciales del sistema operativo. Todo lo que hay que hacer es un sencillo enlace en una página web y esperar que un usuario de Internet Explorer haga click en él y el archivo elegido se borrará sin más. Si el usuario de Windows está usando cualquier otro navegador no ocurrirá nada en absoluto, la vulnerabilidad reside en la integración de IE con el Centro de Ayuda y Soporte de Microsoft y de ambos con el resto del sistema operativo. Al usar un navegador no integrado en el sistema operativo, un intento de aprovechar ésta vulnerabilidad no tendrá ningún efecto.

Es un buen ejemplo de porqué es peligroso integrar el navegador en el sistema operativo y de porqué ésto no debería haberse hecho nunca. Entonces primó el marketing (había que ganar mercado para su navegador) sobre la seguridad y me pregunto si ahora, con esta nueva política de parches, no estarán cayendo en lo mismo.

Hace tiempo que distintas empresas añaden, sin avisar y sin permiso del usuario, barras de navegación a Internet Explorer con publicidad. Los antivirus las ignoran, ya que las casas antivirus no las consideran virus, aunque las molestias que producen son superiores a las de la mayoría de virus de hoy en día. No conformes con la publicidad de la barra misma y de la lluvia de pop-ups en la que transforman la navegación, éstas barras cada vez tienen mayores funcionalidades, todas ellas automáticas y sin que el usuario pueda hacer nada para detenerlas:

• Llevan un registro de todas las páginas visitadas, que puntualmente envían a un servidor de la empresa propietaria de tan "simpática" utilidad.


• Descargan el software de distintos casinos y dialers de páginas pornográficas.


• Interfieren con el buscador elegido por el usuario (o el elegido por defecto) sustituyéndolos con buscadores de "ocio" del estilo de xjupiter.com o orbitexplorer.com (No proporciono enlaces directos, ya que no es seguro visitar esas páginas con IE) que sólo llevan al tipo de páginas citadas en el punto anterior.


• No se dejan desinstalar con facilidad, ya que se unen íntimamente al navegador a través del registro de Windows. Un intento de desinstalarlas, incluso a través de la opción dedicada a ello que algunas traen, deja fuera de combate el navegador completo, que permanecerá inusable hasta que se reinstale la barra.


• A causa de todo lo anterior, enlentecen la navegación, aumentan el consumo de recursos y ocasionan cuelgues inesperados.

Curiosamente, estas barras se están instalando a través de software que, supuestamente, sirve para evitarlas como Spyware Nuker (tampoco proporciono enlace, creedme, no es sano pasar por allí), una aplicación gratuita que clama eliminar todo tipo de adware y spyware, pero que el mismo instala directamente, o no hace nada si se instalan, spywares de empresas publicitarias con las que tiene acuerdos.

La utilidad recomendada para deshacerse de estas molestas barras (y el resto de spyware y adware que corre por ahí) es SpybotSD, aplicación gratuita, aunque su autor agradecerá cualquier donación. Tampoco está mal la versión gratuita de ad-aware, pero tiene algunas funcionalidades recortadas.

Los usuarios de otros navegadores también pueden beneficiarse de SpybotSD, ya que también hay técnicas de spyware a través de cookies, que conviene eliminar a menudo, así como también es útil para eliminar la publicidad de distintos programas gratuitos que se financian a través de ella (algunos dejarán de funcionar si se retira la publicidad) y para borrar el spyware de aquellos otros programas, tanto gratuitos como comerciales, que lo instalan (de éstos practicamente el 100% dejará de funcionar). Si te encuentras con que varios de tus programas dejan de funcionar tras usar éste programa, no te preocupes, siempre hay una alternativa que hace lo mismo sin instalar nada raro sin tu permiso, con lo que saldrás ganando en estabilidad y velocidad de navegación/descarga.

El virus (gusano de correo) Gibe.C es, en este momento, el más extendido en la Red. Además, ha estado a punto de dejar inoperativa la plataforma de acceso a Internet de Telefónica Net. ¿Cómo es posible si es necesario ejecutarlo manualmente para que lleve a cabo la infección?

Ha fallado lo que llamo la primera barrera: el usuario.

En Internet, como en la vida real, hay cosas que no son lo que aparentan. Pero el usuario, usando un poco de sentido común puede reconocer los engaños. En el caso de Gibe.C puede pretender ser un mensaje rechazado por un servidor de correo o una actualización de Microsoft. Si fuese un mensaje rechazado, ¿cómo es que el archivo adjunto no lo has visto nunca? En el caso de que fuese una actualización de Microsoft sería noticia, ya que Microsoft nunca envía actualizaciones por correo y una sencilla busqueda debería mostrarnos la falsedad de tal actualización.

Los usuarios de los ordenadores infectados nunca se hicieron esas preguntas, ni se tomaron la molestia de comprobar la veracidad del e-mail, simplemente lo ejecutaron.

¿Por qué lo ejecutaron sin pensar? Bueno, eso es un tema interesante, incluso digno de estudio. Sucede que mucha gente desconecta su sentido común al conectarse a Internet; son personas que en la vida real pueden ser inteligentes, incluso escépticas, pero es conectarse a la Red y se convierten en crédulos pertinaces. Se creen autómaticamente todo lo que les muestra su pantalla. Ven el logotipo de Microsoft y creen que lo que están leyendo procede, con toda seguridad, de la empresa de Redmond; les llega un e-mail que parece provenir de un amigo, y no se les ocurre pensar que es posible que lo haya envíado otra persona o que sea un mensaje autómatico enviado por un virus.

También sucede que mucha gente no tiene claro lo que es un virus, mucho menos qué es capaz de hacer y que no, para ellos escribí hace tiempo ¿qué es un virus?

El sentido común puede ser el antivirus más poderoso. Unas cuantas preguntas que conviene hacerse antes de ejecutar un archivo adjunto:

• ¿Valdrá la pena? Si es algo que no necesitamos, quizá lo mejor sea borrarlo sin más.


• ¿Has pedido ese archivo?. Si no lo has hecho, probablemente no lo necesites, lo mejor será borrarlo sin más.


• ¿Conoces a la persona que te lo envía? Si no lo conoces, probablemente lo que te envía no te interesa, bórralo sin más.


• ¿La persona que lo mandó sabe que lo hizo? Los virus pueden enviar archivos usando las cuentas de las personas que infectan o las de su lista de contactos. La pregunta no es tan tonta como puede parecer a primera vista.

Si la respuesta a todas las preguntas anteriores es afirmativa, entonces es hora de ir pensando en ejecutarlo, pero antes asegurate de que tienes el antivirus actualizado y revisa el archivo con él.

Si todo el mundo se hiciese estas sencillas preguntas cuando descarga el correo, un virus como Gibe.C no pasaría de ser una anécdota, pero, a juzgar por la noticia que daba al principio, no hay mucha gente que se les haga, ni siquiera entre la gente de Telefónica Net, que se supone que trabajan en ésto.

Con el subtítulo "No somos malvados" y el lema "Musica en Internet sin remordimientos" Magnatune es una empresa discográfica que propone un nuevo modelo en distribución musical. Puedes escuchar los temas completos en MP3 de los discos antes de comprarlos; los temas están bajo licencia Attribution-NonCommercial-ShareAlike de Creative Commons, con lo que te permite redistribuir los temas y remezclarlos siempre que sea sin propósito comercial y quede constancia del autor del trabajo original.

La empresa reparte beneficios al 50% con los autores. Cuando compras un disco, puedes elegir que precio vas a pagar (entre 5$ y 18$), lo que en la practica permite equiparar el precio al del top-manta, pero siendo todo perfectamente legal. Este pago te permite descargar los temas en un formato (WAV o MP3) con calidad CD para que puedas grabarte tu mismo el disco.

Según Wired News, la empresa recibe cada semana 200 solicitudes de grupos para aparecer en el catálogo de la empresa (aún bastante cortito), aunque sólo 15 de ellos lo consiguen. Dicen en Barrapunto que hay rumores de que un grupo de rock superventas está interesado en Magnatune, porque han calculado que venderían alrededor de la décima parte, pero ganarían más dinero y mantendrían (en este momento, incluso aumentarían) su popularidad.

Esto demuestra que el modelo actual de distribución de música, donde solo ganan los intermediarios y la mayoría de los autores apenas ganan nada por su trabajo está obsoleto. Pienso que el futuro de la industria de la música está en iniciativas como Magnatune o servicios como iTunes, que el próximo 16 de octubre, tendrá ya versión para Windows.

Mientras tanto, tendremos que soportar los últimos coletazos de la industria actual que todavía se niega al cambio y se resiste a desaparecer (ver los juicios a usuarios de redes P2P en los USA o la conducta de la SGAE, que, en sus últimos movimientos, está rayando lo ilegal).

En principio, no quería, para evitar parecer excesivamente alarmista, hacer notar un punto sobre lo que digo en el artículo inmediatamente inferior a éste. El punto es que una máquina desprotegida puede ser usada para atacar a otra, haciendo parecer así que el atacante es el dueño del ordenador no seguro intermedio. Como digo, no iba a hacer notar ésto, pero acabo de encontrarme con esta noticia (lo siento, en inglés), en la que un joven británico dice que eso es exactamente lo que le ha ocurrido ante un tribunal.

La defensa del joven asegura que el ordenador de su cliente, con sistema operativo Windows, tenía, en el momento del ataque por el que está acusado, multiples vulnerabilidades, para las que no existía parche, que hubieran permitido a un atacante usar el ordenador de su cliente como punto intermedio de su ataque, borrando del mismo toda huella de su paso.

Por increíble que pueda parecer, tecnicamente es perfectamente posible, si se confía la seguridad únicamente al sistema operativo, aunque este tenga instalados todos los parches disponibles. El uso de software de terceros (antivirus, antitroyanos y cortafuegos) es un complemento indispensable para reducir al mínimo las posibilidades de que algo así pueda ocurrirte a ti. La excusa del gasto extra en seguridad o de la pereza o dificultad de buscar los cracks para los programas no es excusa, los hay muy buenos y gratuitos, yo mismo mantengo actualizada una lista de ellos aquí.

En cuanto al caso, me gustaría saber (curioso que es uno) qué piensa la gente que pasa por aquí ¿Nos encontramos con una defensa inteligente o con un usuario no preocupado por la seguridad hasta que ha sido demasiado tarde?

Esta es la excusa de muchos para no tomar ningún tipo de precaución en lo que a la seguridad de sus equipos informáticos se refiere. Como puede leerse en esta noticia, hay a quién el contenido de los ordenadores no le importa en absoluto. Lo importante para ellos es que su seguridad sea nula y tengan conexión a Internet y espacio libre en el disco duro.

Si tienes conexión de banda ancha, usas un sistema operativo Windows y no te preocupas de la seguridad, tu ordenador puede convertirse en (o podría ser ya) uno de los cientos de miles de equipos "secuestrados" por un grupo de spammers y crackers, que son usados para distribuir spam y como servidores de pornografía sin que el dueño de la computadora tenga la menor sospecha.

Ante el, cada vez mayor, cuidado de las empresas de hosting y los ISPs para evitar el spam y la pornografía en sus servidores, la nueva estrategia de los spammers consiste en emplear un gran número de equipos caseros para estos menesteres, lo que hace muy díficil su localización y casi imposible cerrar uno de sus servicios, pues la pérdida (por desconexión o porque el dueño del equipo les ha descubierto) de uno de los equipos no les supone nada, basta con cambiar el servicio al siguiente de la lista.

La única manera de acabar con esta nueva estrategia es concienciar a todos los usurios de Internet de que deben cuidar la seguridad de sus equipos, ardua tarea ésta y, en este momento, poco menos que utópica, aunque tal vez ayude el conocimiento de que el spam que recibes (que todo el mundo odia recibir) podría muy bien ser distribuido desde tu propia máquina o desde la del último al que le oíste decir "¿Para qué me voy a preocupar por la seguridad? No tengo nada que ocultar".

Como dice SioSi en un comentario a un artículo anterior, el parche para Internet Explorer que arregla el bug que permite descargar y ejecutar programas sin autorización ni conocimiento del usuario ya ha salido y está disponible para descarga a través del servicio Windows Update de Microsoft (quedan todavía otros bugs sin arreglar), junto con una actualización de seguridad para Windows Media Player.

El problema es que no serán muchos los que descarguen los parches. Microsoft lo sabe y está pensando en hacer que las actualizaciones de seguridad se descarguen e instalen de forma automática como puede leerse en esta noticia y en esta otra.

Desde luego, es una solución; pero se me ocurren algunos inconvenientes, por ejemplo ¿qué ocurrirá con los usuarios de conexiones lentas? No es una pregunta retórica, muchos parches de Microsoft no son precisamente ligeros, me vienen a la cabeza el primer Service Pack para Windows XP, que sobrepasaba los 100 MB o una actualización para IE, que fue sonada, debido a su tamaño, 14 MegaBytes, ¿tendrán que olvidarse de navegar (o hacerlo a una velocidad inusualmente lenta) durante dias? Por no hablar, de lo que puede suponer eso en la factura telefónica.

Por otro lado, no sería la primera vez que un parche de seguridad hace que algunos equipos comiencen a funcionar mal, se ralenticen o se cuelguen. Esto puede llevar a situaciones ridículas, imaginemos un servidor Windows bajando, de forma autómatica, un parche de este tipo: se autoinstala y el equipo se cuelga, el administrador elimina el parche y vuelve a poner on-line el servidor, pero, inmediatamente, el parche comienza a descargarse de nuevo y el servidor vuelve a caer y así (o con el servidor caído) hasta que Microsoft publique una corrección.

En fin, que solución si es, pero desde mi punto de vista, no es adecuada. La libertad de instalar o no un parche (o, al menos, el momento de hacerlo) es necesaria.

Microsoft da otro pasito en la dirección que comentaba la semana pasada, cambiando libertad por seguridad, que nos acerca al futuro que describió G. Orwell en 1984.

Mi opinión al respecto está clara, así que me conformo con informar de ello y añadir algunos enlaces ilustrativos:

• Noticia y comentarios en OSNews.com (en inglés).


• Comentarios en barrapunto a la noticia.

Ha aparecido el primer troyano, de nombre QHosts/Delude, que se aprovecha del bug del navegador de Microsoft con la etiqueta OBJECT, y que reparó sólo parcialmente la empresa de Redmond con el parche que apareció en agosto. O sea, que te infecta sólo con visitar una página especialmente construida con el IE y, por el momento, no hay parche. Si se dispone de un antivirus actualizado, éste podría detener la descarga del troyano, pero no es seguro; dependerá de lo bueno que sea el antivirus con los troyanos y normalmente no lo son mucho. Por suerte, para los códigos en VBScript (como es el caso) sí suelen estar atentos. Así que es de esperar que la mayoría de antivirus lo incluyan en breve en sus ficheros de firmas. Más información en Hispasec.

Microsoft se ha retrasado casi dos meses (hasta el momento, seguimos contando) en sacar una corrección para su anterior parche que solucionara el problema, lo que está dando tiempo a que aparezcan troyanos y virus que se aprovechan de esta debilidad. Este primero es poco peligroso y fácil de detectar y eliminar pero, a poco que se prolongue la espera, pronto aparecerán más. Los usuarios de Internet Explorer que aún se resistan a cambiar de navegador (existen alternativas), deberían asegurarse de que tienen un antivirus con el fichero de firmas actualizado y abstenerse de visitar páginas poco recomendables (páginas de cracking, sexo explícito, etcétera). Además, los clientes de correo Outlook y Outlook Express, también son vulnerables a virus o troyanos que exploten esta vulnerabilidad, si tienen activada la vista previa y permiten visualizar HTML (estas opciones están seleccionadas por defecto), ya que usan el motor de Internet Explorer para ello.

No es la primera vez que IE tiene un problema parecido, y lo tendrá más veces. Su integración con el sistema operativo, que puede resultar tan cómoda, es, por otro lado, una fuente inagotable de fallas de seguridad.

NGSBC ha tenido antes otros nombres: TCG, TCPA, TC y el que seguramente sea el más conocido de todos, Palladium.

¿Por qué esta ensalada de siglas? Muy sencillo, si tenemos algo que es muy probable que adquiera mala prensa, hay que cambiarle el nombre a menudo, para que no sea fácil saber de qué se está hablando y aparentar que son cosas diferentes. Todas estas siglas tienen en común que hablan de confianza y seguridad. Nada más lejos de la realidad. Porque se refieren a una tecnología que apunta un futuro en el que la seguridad se consigue a costa del recorte de libertades (no, no he empezado hablar de política internacional, continúo hablando de seguridad informática).

Es díficil comprimir todo lo que esta nueva tecnología implica y significa, además no es el propósito de éste artículo, ya que otros lo han hecho antes por mí; así que voy a recomendar algunas lecturas al respecto:

• Preguntas frecuentes sobre informática fiable. -8 páginas-


• ¿Puedes confiar en tu ordenador? -2 páginas-


• Artículo de David de Ugarte al respecto. -1 página-


• Office 2003 y razones para no usarlo -1 página-

El que ya sepa un poco de qué va ésto (o haya seguido los links antes de continuar) es probable que éste pensando algo así como "no podrán hacer eso", o bien "aún falta mucho para eso". Error. Ya lo están haciendo, ya ha empezado. Está claro que una cosa así no se puede imponer de golpe, así que lo están haciendo poco a poco.

Windows XP ya tiene características de esta tecnología; por ejemplo, si cambias la configuración hardware de tu PC, tienes que volver a registrar tu PC con la empresa de Redmond y si intentas cargar un driver no firmado XP se quejará. Están empezando a controlar que hardware usas y a decirte si puedes o no usarlo.

Windows 2003 y 0ffice 2003 son el siguiente paso. Juntos, ya pueden controlar quién puede leer y quién no los documentos generados por la suite MS Office. Esto ya implica un cierto control sobre la información.

Puedes pensar que aún no es tan grave y puede que estés en lo cierto, pero termina de seguir los enlaces, si todavía no lo has hecho y, recuerda, ésto es sólo el principio. Puede que cambies de opinión.

Al hilo de lo que decía ayer sobre el cierre de MSN Chat, vuelvo a la carga contra los medios de comunicación tradicionales. No es la primera vez, ni creo que sea la última.

He leído hoy el editorial de un periódico local, que trata la noticia del cierre. Juzga bien los verdaderos motivos de Microsoft para el cierre (son evidentemente monetarios), pero la conclusión a la que llegan a partir de ahí es tremenda: Que los servicios en Internet, progresivamente y poco a poco, serán de pago. Esta afirmación viene de suponer que todos los ordenadores llevan Windows y que Microsoft controla Internet. Esto es claramente falso, aunque no dudo que a los de Redmond les gustaría que fuese cierto. De hecho, muchas de sus políticas no se entienden sino se da uno cuenta que creen tener un control efectivo total sobre varios sectores del mercado informático e internetero (la culpa de la palabreja es de Ramón Buenaventura).

Si pasamos de la prensa local a la televisión nacional no mejora la cosa precisamente. Se habló de que los chats (generalización peligrosa ésta) se usan para vender drogas y son un "un refugio de criminales y depravados sexuales". Como siempre, se busca el titular impactante a costa de la exactitud de la noticia.

Ya es bastante grave que una sola empresa, rozando el monopolio, domine en los escritorios de los ordenadores de todo el mundo y pretenda aprovechar ese hecho para controlar otros mercados, como el de la Red. Si además de ésto, los medios de comunicación la tratan como si realmente fuera la única opción, es ya no grave, sino peligroso. Darle más poder a quién ya tiene mucho, no ha sido nunca una buena idea.

Los mass media parecen ignorar en todo momento que existen otras empresas que ofrecen los mismos servicios que Microsoft con su portal MSN, además de que existen formas estándar y libres, que llevan en funcionamiento muchos años, de dar los mismos servicios (IRC, en el caso del chat). Es habitual escuchar, cuando aparece un nuevo virus que se aprovecha de las debilidades de Outlook, a cualquier presentador de informativos dar la noticia de que hay un nuevo virus de Internet, ignorando que hay otros muchos clientes de correo, e incluso, plataformas totalmente inmunes a este tipo de virus.

Por otro lado, no dudo que exista algún chat que sirva para lo que nuestros medios de comunicación dicen que sirven todos. En Internet, reflejo del mundo real al fin y al cabo, hay de todo. Pero no me es díficil imaginar a un padre desinformado tras ver las noticias, gravemente preocupado por que su hijo pasa muchos ratos chateando, de forma inocente, con los amigos. Ahí es dónde veo el principal peligro. Si ese miedo se extiende a una mayoría no será difícil aprobar medidas que coarten las libertades en Internet.

MSN cerrará su servicio de salones de chat el día 14 de octubre. Dicen que es para proteger a los menores de edad y evitar el spam (mayormente pornógrafico) que reciben los usuarios de este servicio. Si Microsoft no estuviera en pleno proceso de convertir sus servicios gratuitos en servicios de pago hasta les habría aplaudido la idea. Pero, como veo lo que van haciendo, no me lo trago. El servicio de MSNChat pasa a ser de pago en los USA, antes o después lo rehabilitarán como servicio de pago por aquí también (o lo meterán en el asunto del MSN 8, que lo mismo da).

Además, si escuchamos a Geoff Sutton, gerente general para Europa de Microsoft MSN:

Esta es una decisión que se basa en las experiencias de los consumidores, la protección a menores y nuestra inversión estratégica para fortalecer MSN Messenger

Pues aún está más claro. Vamos a reforzar el Messenger no sea que Jabber que ya ha crecido por encima de ICQ se quede parte del pastel.

La medida no afecta a las salas de chat de MSN Grupos, pero a éstos ya les quitaron la función de calendario (que pasó a ser parte de MSN 8, de pago) y se habló de retirar también el servicio gratuito de almacenaje de fotos y parece que la tendencia es hacerlo de pago también, poco a poco.

Al final aún habrá que agradecer a Microsoft que obligue a la gente a descubrir alternativas.

Me he reído un rato gracias a este artículo en Libertonia, en el que se explica una forma de luchar contra el spam que efectiva no sé si será, pero divertida, mucho.

Al fin y al cabo los culpables son los anunciantes y no los spammers, ¿no?

Según leo en Kriptópolis, ya se ha intentado llevar a juicio al menos a una familia, usuaria de las redes P2P, aquí en España. Los denunciantes eran la Asociación Española de Distribuidores y Editores de Software de Entretenimiento (ADESE) y la Asociación de Distribuidores e Importadores Videográficos de Ambito Nacional (ADIVAN). Se acusaba a esta familia de haber descargado ilegalmente tres películas (una de ellas, Que bello es vivir, que carece de derechos de autor) y un juego de ordenador. Se requería un registro para determinar cual de los miembros de la familia (uno menor de edad) era el infractor. La juez encargada del caso no lo ha permitido y ha archivado el expediente.

Se demuestra una vez más que estas denuncias son contraproducentes, porque el que quiera una película, un disco o un juego a bajo precio, terminará acudiendo al top-manta, financiando así al verdadero pirata, que dispone de varias torres cargadas de grabadoras de CD, para evitar exponer su dirección IP, que puede ser relacionada con su nombre y domicilio.

Como sigan por ese camino, y si las redes P2P no empiezan a usar una encriptación fuerte, de una piratería de "andar por casa" vamos a pasar a alimentar una mafia de proporciones gigantescas. Porque, no nos engañemos, si la gente piratea es porque no puede permitirse los precios de las obras originales, que están inflados a base de alimentar a la ingente cantidad de intermediarios de las industrias del ocio. Y luego está la calidad del producto final, 18 euros por un disco del que sólo te gusta una canción, 24 euros (o más) por una película decepcionante, casi 60 euros por un juego que sólo sirve para colgarte el ordenador... no estoy diciendo que sea siempre así, pero sucede muy a menudo. Y a nadie le gusta tirar el dinero...

Un fallo en la validación de usuario en la web de Ya.com permitía el acceso a las facturas de todos sus clientes de ADSL desde el navegador, junto con sus números de cuenta bancaria, direcciones, números de teléfono y DNI. Puede verse toda la historia en BandaAncha. Sin embargo, según Libertad Digital la empresa no tiene constancia del fallo. Curiosamente, aunque la empresa no sabe nada, el servicio afectado ha sido desactivado.

No es extraño que lo nieguen, pues podrían enfrentarse a una multa de hasta 300.000 euros, pero podían haberse preocupado antes. Con los precios de la conexión ADSL, me parece que tienen dinero suficiente para disponer de un buen equipo infórmatico para ofrecer un nuevo servicio (el servicio afectado es nuevo) con una seguridad eficiente.

Otra cosa es que, sabiendo cómo va ésto, probablemente la web la haya hecho un becario, con un plazo de 3 días.

A partir de hoy y, hasta el 15 de octubre, se celebra en Zaragoza el I Foro sobre Seguridad Informática, organizado por el Gobierno de Aragón. Es una buena noticia.

La mala es que me enterado hace unos minutos y de rebote. ¿No debería haber más publicidad de éstas cosas? Si ni siquiera los interesados nos enteramos, ¿cómo se espera que tenga efecto en los usuarios?

Pues sí, en estos momentos hay 31 vulnerabilidades sin parchear en IE (ver la lista). Hay alguna que data de principios de año.

La lista de cosas que permiten hacer va desde la "inocente" comprobación de si un fichero existe al borrado del disco, pasando por el robo de cookies, descarga de ficheros sin aviso, desencriptación del protocolo seguro SSL en tiempo real...

Y luego nos sueltan el rollo del Trustworthy Computing y se quedan tan anchos. Como no se les caerá la cara de vergüenza, me pregunto.

Es curioso ver quién se encarga de asesorar al gobierno español en el tema de la "Sociedad de la Información". La mayoría son altos de cargos de megacorporaciones extranjeras y/o ejecutivos de sociedades financieras. Puedes comprobarlo tú mismo.

El presidente de la Comisión Especial de Estudio para el Desarrollo de la Sociedad de la Información es Juan Soto Serrano, presidente honorario de Hewlett-Packard España e ingeniero de Telecomunicaciones. En una reciente entrevista se posiciona a favor de las patentes de software, en contra del software libre y considera adecuadas las tarifas actuales de la banda ancha.

A alguien que tiene el título de Ingeniero en Telecomunicaciones no se le puede suponer desinformado cuando confunde (en la misma entrevista) software propietario con software patentado, software libre con software gratuito y afirma que

la Comisión para el Desarrollo de la Sociedad de la Información no consideró que el precio de acceso en banda ancha era un factor desinhibidor para el desarrollo de la Internet en España, con la excepción de las familias de rentas medio, bajas y bajas

(sic) entre otras lindezas. Imagino que cuando pusieron el precio de un dominio .es ocho veces más caro que un dominio .com tampoco lo consideraron un "factor inhibidor".

Como decía, si no lo consideramos desinformado, sólo nos queda pensar que el presidente de esta comisión de "expertos" está intentando desinformar con la clara intención de favorecer a ciertas empresas con representación en la Comisión. En el caso de las patentes de software, los que de verdad pueden llamarse expertos, la Asociación de Técnicos en Infórmatica (ATI), tienen muy clara su postura y no se parece en nada a la de este señor.

Claro que podemos pensar que está desinformado, pero si está desinformado ¿qué hace presidiendo la comisión? Y si no lo está, ¿cómo se le permite poner los intereses de grandes empresas por encima de los intereses de los ciudadanos?

Mientras aquí, en España, donkeymania.com recurre su cierre y estamos esperando ver si la SGAE y las discográficas se deciden a demandar a los usuarios, en los USA se dirimen las primeras 261 demandas contra usuarios particulares por supuesta descarga ilegal de canciones. Se ha resuelto ya una primera demanda de forma extrajudicial. En el acuerdo alcanzado, la familia de una niña de doce años se ha comprometido a pagar 2.000 dólares a la Asociación de la Industria Discográfica de Estados Unidos (RIAA) como compensación por los daños de los que la niña es supuestamente responsable al haber acumulado un total de 1.000 canciones en su disco duro. (Leer noticia).

Conociendo el precio de un CD virgen (canon aparte) y el ridículo porcentaje que de los discos originales percibe su autor, es evidente que los precios de los CDs originales podrían ser sensiblemente más baratos, como ha quedado demostrado recientemente.

La lucha contra la piratería debería ir por ahí, rebajando las ganancias (monstruosas) de las discográficas, productoras y asociaciones varias; y no resolverse con una amenaza de juicio sobre niñas de 12 años que apenas entienden si es ilegal o no lo que hacen y que, por otra parte, jamás podrían haber comprado la música que descargaron, así que a ver dónde está el perjuicio a la industria.

Vía Códigophp e Hispasec me entero de que el último parche de MSIE, tan importante que Microsoft aconsejaba instalarlo incluso si no se usaba su navegador (sólo tenerlo instalado podía ser fuente de problemas) no arregla el problema totalmente.

Un script especialmente diseñado en cualquier página web puede descargar y ejecutar cualquier programa en la máquina del cliente sin que el usuario reciba ningún aviso. Esto es muy grave, porque los detalles de la vulnerabilidad son ahora ampliamente conocidos y Microsoft no dispone de parche.

Si le tienes cariño al contenido de tu disco duro, sugiero que le des una oportunidad a Mozilla Firebird, al menos hasta que los de Redmond proporcionen una solución al problema.

Si ayer hablaba de una vulnerabilidad de Word, hoy me toca hablar de otra que afecta a todas las aplicaciones Office que usan el módulo Visual Basic para Aplicaciones (y son un montón, ver la lista).

El empeño de Microsoft de incluir en sus productos fuegos artificiales sin utilidad alguna es muy a menudo la causa de sus agujeros de seguridad. Y éste es uno de esos casos. Pongamos por caso Word, por seguir con él. ¿Que utilidad tiene que sea capaz de poner puntitos de colores que se mueven en tus párrafos? ¿O hacer que el texto se vuelva borroso por momentos? Para crear esos efectos es para lo que Microsoft añadió Visual Basic para Aplicaciones a Word. El objetivo de un procesador de textos es que el texto que escribas con él pueda leerse y no parece que éstas cosas ayuden a cumplirlo. Vale, es muy divertido recibir por correo electrónico un documento de Word que diga: "La falta de sexo produce problemas de visión" con la frase borrosa. Divertidísimo. ¿Pero tiene alguna utilidad real?

La respuesta está clara.

Ah, y si ayer auguraba nuevos virus de macro en breve, podemos añadir los que usen esta falla, que también permite ejecutar código. Hay parche, pero ¿cuántas empresas/usuarios los instalan?

Hace años que no hay un virus de macro importante, el último de ellos pudo ser Melissa, de 1999, con su resurrección en el 2001.

Pero eso puede cambiar muy pronto, Microsoft ha admitido una vulnerabilidad que afecta a todas las versiones de MS Word y ha publicado los parches correspondientes. La vulnerabilidad permite que una macro de Word se ejecute sin pedir autorización al usuario. Aprovechando esta vulnerabilidad, un atacante puede conseguir permisos de lectura de ficheros y de ejecución de código.

Con el extenso parque de equipos que usan una u otra versión de Word, el código de antiguos virus de macro disponible para todo aquel que lo busque y esta vulnerabilidad, podríamos tener un virus de rápida y amplia expansión muy pronto.

Leer el informe técnico de Microsoft (en inglés).

Conseguir el parche adecuado.

Una razón más para migrar a OpenOffice.

Según IBLNEWS, la vuelta al trabajo ha traído como consecuencia que la presencia de Blaster se duplique, ya que muchos equipos habían permanecido desconectados. Esto es un repunte temporal, porque los administradores de las empresas parchearán pronto sus equipos.

Más interesante me parece el dato de que el 84% de los infectados sean usuarios domésticos.

Microsoft ha hecho durante mucho tiempo la vista gorda frente a la piratería de sus sistemas operativos siempre que fuera para un entorno doméstico, porque le permitía ampliar mercado y convertirse en un estándar de facto. Con el 90% del mercado en manos de Microsoft, esa práctica ya no es rentable y las dificultades que pone XP a ser pirateado demuestran el cambio de postura de la empresa.

A la ya clásica falta de preocupación del usuario corriente por la seguridad, se unen los obstáculos que ha puesto Microsoft para actualizar un equipo con Windows XP pirata. Y esto supone, sólo en España, un número enorme de máquinas vulnerables, que sus usuarios no saben como asegurar. Es una plataforma ideal para ataques DDoS como el que Blaster lanza contra windowsupdate.

No sólo tenemos Blaster para el resto del año, es que, además, es el primero de muchos, sino, al tiempo.

Hablaba ayer, en este artículo, sobre la nueva política de Microsoft con respecto a su red de mensajería instantánea, sus consecuencias a corto plazo y soluciones que se me antojaban razonables. Pues bien, acabo de ver algo que me ha bajado mucho la moral, aunque me de la razón en algunos puntos.

Estaba viendo los archivos de minid.net, sus primeros post y me he encontrado con éste, con fecha 24 de octubre de 2001, que habla sobre la versión beta que existía entonces del portal msn.com, mientras preparaban un cambio de diseño.

En esa época mini-d apenas tenía comentarios y ese post nunca tuvo ninguno, hasta el 19 de noviembre de 2002, fecha en que la magia de Google y las palabras beta y MSN en su artículo empezaron a hacer llegar despistados que buscaban la versión beta del MSN Messenger 6.0 desesperados.

Esto demuestra que hay gente que no ve más allá de Microsoft, pero también que va a ser muy dificil cambiar eso.

No viene a cuento, pero me pregunto si mini-d se ha dado cuenta de ésto.

Aprovechando que el movimiento sincanon ha cambiado el aspecto visual de su web, voy a tocar el tema, aunque sea de pasada.

La pregunta es ¿para qué sirve un CD-R?

Pues sirve para un bonito montón de cosas, tantas, que voy a terminar mi enumeración con puntos suspensivos porque sería interminable. Nunca ha habido un soporte tan vérsatil como éste. Sirve para grabar las fotos de tus vacaciones, tus videos caseros, la maqueta de tu grupo, almacenar y transportar presentaciones, informes, contabilidad, etcétera; grabar los programas que hayas hecho tú mismo, tu distribución Linux o FreeBSD, tu software libre, tus programas gratuitos o hacer la copia de seguridad de tu software comercial; hacer copias de seguridad de tu disco duro, guardar tus apuntes...

¿Es versátil o no? Pues según la SGAE sólo sirve para grabar música. Y no cualquier música, no. La de sus asociados exclusivamente.

¿Da risa la idea? Debería. Pero no me río porque los tribunales españoles les han dado la razón.

El día 1 de septiembre entrará en vigor el canon que han impuesto sobre los CD-R. Se especula con la posibilidad de que esto aumente su precio hasta en un 40%.

Visto como están las cosas, añado que hay quien piensa que es una suerte que mañana abran las grandes superficies comerciales.

Hacía ya días que quería hablar del tema del nuevo Messenger de Microsoft y la nueva política de su red de mensajería instantánea. Pero antes quería ver cómo reaccionaban los clientes de software libre. Y visto lo que hace Gaim (enlace en inglés), ya me imagino lo que harán los demás, puesto que no tienen recursos económicos para pagarle a Microsoft por el uso de su red. Implementarán el nuevo protocolo, pero si Microsoft insiste en cobrar lo deshabilitarán. Trillian, al ser una empresa que cobra por sus programas (aunque hay una versión reducida gratuita), quizá se avenga a pagar y así seguir ofreciendo conectividad con la red MSN.

Se puede pensar que Microsoft está en su derecho, ya que son sus servidores los que cargan con el trabajo que supone el servicio, pero ¿que pasaría si Telefónica decidierá cobrar por el uso de sus líneas? No hay otras así que habría que pasar por el aro (si un juzgado no lo impidiera). Afortunadamente, éste no es el caso (no totalmente) porque sí hay otras redes de mensajería instantánea, están Jabber, AIM, ICQ, Yahoo! y siempre tendremos el IRC de toda la vida. Por contra, para la mayoría de los usuarios de Windows no existe ninguna otra red, de ahí mi pregunta (retórica) sobre Telefónica. Microsoft se ha visto en esa posición de poder (el 90% solo conoce su red) y no ve impedimento alguno en cobrar por su uso, de momento sólo a su competencia, pero lo cierto es que terminará cobrando a los usuarios... ¿que cómo puedo estar seguro? Porque he visto el futuro. Si ya se cree en disposición de poder cobrar por el acceso a Internet y el uso de un simple navegador, ¿qué le impedirá cobrar por su mensajero instantáneo en un futuro? La respuesta es nada. El usuario debería contestar a esa actitud prepotente buscando soluciones gratuitas (mejor si son independientes, para que la misma historia no se repita más adelante) y de calidad (que ya hemos visto que las hay) ya mismo, porque cuánto más tarde en hacerlo, más retrasado se encontrará en el uso de la Internet real, que nada tiene que ver con el patio particular de Microsoft.

Hoy mismo leía en un periódico local que el FBI había detenido al presunto creador del virus Blaster, un joven de 18 años de Minnesota. Lo que me ha parecido muy raro porque el virus parecía provenir de China. Así que llego a mi casa, busqueda en Google, y me encuentro con esta noticia. Resulta que el joven en todo caso será culpable de una de las variantes de menos repercusión.

Es asombroso con que facilidad la prensa tradicional encuentra titulares y con que tranquilidad publican medias verdades cuando no saben de qué están hablando.

Ese es el problema de los medios de comunicación generalistas. No van a tener un experto en cada materia. No, es mucho más fácil (y más barato) oir campanas y publicar lo que parezca más noticiable.

Casos como éste se repiten a menudo cuando se trata de la Red, pero estoy seguro de que también suceden en otras áreas del conocimiento. Lo preocupante del caso es que el ciudadano medio se queda con lo que le cuenta la prensa y la televisión.

Otro ejemplo sangrante es con qué alegría se llama hacker a cualquiera.
Noticia de hoy para demostrarlo. Cracker hubiera sido el término correcto pero la confusión de los medios de comunicación respecto a quién es quién en el underground es ya de tal magnitud que muchos que antes eran hackers, ahora se autodenominan expertos en seguridad, analistas programadores, desarrolladores tecnológicos, etc. para poder decir a qué se dedican sin que su interlocutor salga corriendo.

En fin, que hace tiempo que no veo un telediario, pero a éste paso también voy a dejar de leer prensa tradicional, ya sea en papel o en sus versiones en la Red. La verdad está siempre un poco más allá.

Primero fue el cierre por vía judicial de Donkeymanía, más alguna otra del estilo que cerró por solidaridad y/o miedo a seguir su camino.

Luego el anuncio de una demanda colectiva contra miles de usuarios de redes p2p (leer la noticia en Kriptópolis).

Hace unos días se hicieron públicas una serie de vulnerabilidades en los clientes eMule/xMule/Lmule (leer la noticia en Hispasec).

Y ahora les ha tocado el turno a los servidores, las últimas versiones de servidor Lugdunum (p74, p75 y p76) muy utilizadas en la red eDonkey tienen un bug del que alguien se está aprovechando para tirarlos abajo continuamente. El bug en cuestión parece que tiene díficil solución y necesitará de mucha reescritura de código por lo que el parche o una nueva versión que lo corrija podría retrasarse (leer la noticia en Barrapunto).

¿Soluciones en este momento? Usar Overnet que no necesita servidores, MLDonkey que puede usar otras redes aparte de eDonkey o, directamente, cambiarse a otras redes como Soulseek o BitTorrent.

La gran mayoría usa Internet Explorer. Es indiscutible, basta con mirar las estadísticas de cualquier página. Viene instalado cuando compras el ordenador y por pereza o desconocimiento pocos son los que buscan alternativas. Pero hablando con la gente, ves que pueden advertir sus defectos. Lo ves porque se quejan.

Se quejan de los pop-ups, esas ventanitas de publicidad que se abren sin avisar. Hay quien busca soluciones a esto y se instala programas antipop-up (¡incluso de pago!) para no verlos.

Se quejan, aquellos que se preocupan de ello, de lo a menudo que hay que actualizarlo y del tamaño de esas actualizaciones. Por cierto,
toca otra vez.

Se quejan de que se cuelga a menudo y, de que cuando lo hace, muchas veces el resto del sistema le acompaña.

Se quejan de que cuando se interrumpe una descarga, no hay manera de reanudarla donde se cortó. Este punto también tiene solución, instalando nuevo software, los gestores de descarga.

Y se detienen ahí, porque no han probado ningún otro. Pero sucede que esos no son todos sus inconvenientes, es que además es el más lento en la carga de páginas. Otros navegadores modernos como Opera 7 o Mozilla Firebird son tres o cuatro veces más rápidos (en la carga y presentación de páginas, ojo, no en la descarga de archivos, que ahí ya cada uno con su conexión).

Aparte Internet Explorer tiene muchos errores en su programación, que no se advierten porque los diseñadores de páginas web nos preocupamos (¡que remedio!) de que nuestro código se vea bien en el navegador que usa la mayoría.

Cualquier otro de los navegadores modernos, valgan como ejemplo los dos que he nombrado no da ninguno de los problemas que he mencionado.

Es decir, muestran o no los pop-ups a gusto del consumidor (marcando o desmarcando una casilla).

No hay que arreglarles errores críticos cada dos por tres bajando la actualización correspondiente y cuando cambian de versión hay una mejora evidente. Internet Explorer 6, es practicamente el mismo programa en su versión 5.5 y esta es casi idéntica a la versión 5 (fallos de seguridad arreglados aparte).

Si el programa se cuelga (alguna vez tiene que ocurrir, si uno usa Windows), no se cuelga el ordenador y basta con volver a encender el navegador.

Tienen un gestor de descargas que permite reanudación.

Una vez mostrado todo esto, ya puedo explicar mi punto.

La mayoría de las trabas y peligros de Internet no son tales. Son producto de usar un navegador, lento, poco seguro, menos fiable y lleno de errores.

Hace mucho que la Red no es un territorio comanche, peligroso y lleno de sorpresas desagradables que hay que explorar. Ya se puede navegar por él velozmente, con toda seguridad y tranquilidad.

Y tú, ¿exploras o navegas?

Esta ha sido una semana inusualmente agitada en lo que a virus se refiere. Primero Blaster y sus variantes; y, en los últimos días, Sobig.F.

Pero, lo que es realmente extraño es la aparición de Nachi.A, un gusano muy similar a Blaster, que se propaga de la misma manera, pero que desinstala a Blaster en las máquinas donde lo encuentra además se preocupa de bajar e instalar el parche adecuado del sitio de Microsoft. De modo que repara la máquina y la asegura. Está programado para autoeliminarse el 1 de enero de 2004.

No dudo de que el creador de este atípico virus tenía buenas intenciones, pero no me parece que soltar otro gusano sea el mejor modo de acabar con Blaster, aunque solo sea por la cantidad de tráfico extra que va a generar.

En todo caso, ya hay sitios en la Red dónde ésto se está debatiendo ¿veremos más virus antivirus en el futuro?

Si alguien me hubiera dicho hace unos años, que tanto Internet Explorer como Netscape iban a dejan de existir no me lo hubiera creído.

Sin embargo, ahora parece más factible que nunca. Netscape ya ha dicho adiós. AOL ha decidido que no seguirá desarrollando su mítico navegador. Por su parte, Microsoft ha anunciado que no seguirá desarrollando Internet Explorer 6 (aunque imagino que mantendrá los parches de seguridad, hay unos cuantos bugs esperando) y que la próxima versión no será un programa separado sino que será parte de su nuevo sistema operativo (nombre código: Longhorn, ya veremos que nombre le ponen los chicos de márketing al final), que no tiene prevista su comercialización hasta finales del 2004, principios de 2005.

Menos mal que todavía nos quedan Mozilla y Opera.