Blogia

navegaseguro

Aparece un nuevo tipo de adware vírico (y Microsoft anuncia su antispyware)

Según el weblog de la conocida firma de seguridad Kaspersky Lab, el adware ha cruzado la línea que separa este tipo de programas maliciosos de los virus y ya hay al menos uno que infecta ficheros ejecutables.

El ejemplar en cuestión pertenece a la familia CoolWebSearch, que además de ser un adware clásico, también secuestra la página de inicio de Internet Explorer y, en ocasiones añade una barra de búsqueda al navegador de Microsoft, y que se ha ganado una merecida fama de extremadamente difícil de eliminar. Con esta innovación, CoolWebSearch dará todavía más quebraderos de cabeza a los que intenten deshacerse de él y sobre todo a los programas especializados en eliminar spyware y adware, ya que no están equipados con la tecnología necesaria para desinfectar ficheros. Es más, el código con el que se infecta los ficheros legítimos no es una copia de este nuevo adware/virus sino un lanzador que lo pone en marcha, así que eliminar el adware sin desinfectar los ficheros podría dar problemas de estabilidad adicionales.

Como noticia relacionada, Microsoft acaba de anunciar en una nota de prensa que adquiere la compañía líder en tecnología antispyware Giant Company Software y promete tener una beta de antispyware propio basado en los desarrollos de esta compañía en el plazo de un mes.

Habrá que ver cómo afecta ésto a programas que han demostrado ser efectivos y confiables y con mayor experiencia en éste campo como Ad-Aware, Spybot-Seach & Destroy y PestPatrol.

Un fallo de seguridad afecta a todos los navegadores

La gente de Secunia ha descubierto una vulnerabilidad que afecta a, al menos, todos los navegadores con una cuota de mercado significativa, esto es Internet Explorer, Mozilla/Firefox, Opera, Netscape, Konqueror y Safari. Hay una prueba de concepto disponible para todos ellos.

El agujero de seguridad que deja al descubierto no es muy peligroso por sí mismo. Permite construir un sitio web malicioso que inyectará contenido en otra página cuando el usuario pulsa un enlace hacia ésta última. Sin embargo, el engaño, aunque novedoso, resulta muy pobre sin la posibilidad de falsear la dirección de la barra de direcciones o el certificado de seguridad de un sitio.

Aunque en Secunia han colocado el mismo nivel de gravedad de la vulnerabilidad en todos los navegadores, lo cierto es que hay grandes diferencias, sobre todo si comparamos Firefox, el más seguro, con Internet Explorer, el más inseguro, el resto quedarían en un punto intermedio. Vamos a ver algunas:


  • La prueba de concepto intenta eliminar la barra de estado. En Firefox 1.0 (en la configuración por defecto) no es posible eliminarla.
  • Se intenta eliminar también la barra de direcciones (esto evitaría la necesidad de otra vulnerabilidad para falsificarla). Es posible configurar Firefox de manera que ésto tampoco sea posible.
  • En páginas seguras (que son los objetivos más jugosos para este tipo de engaños) Firefox muestra en la barra de estado (que, recordemos, no es posible eliminar) dónde estamos realmente, aunque haya desaparecido nuestra barra de direcciones.
  • La costumbre de usar el botón central del ratón para abrir todo en nuevas pestañas (algo que se vuelve autómatico al poco de usar Firefox) ocasiona que la prueba de concepto no funcione. Aunque me da la impresión de que el código malicioso puede mejorarse sin muchas dificultades para que funcione con pestañas, en principio no se ha tenido en cuenta el uso de éstas, y sólo Internet Explorer carece de ellas.
  • Firefox 1.0 no tiene ningún otro fallo de seguridad conocido con el que combinar éste para mejorar el engaño. Internet Explorer tiene al menos otros 10 que permiten hacerlo casi perfecto.


En resumen, dependiendo del navegador usado, un sitio malicioso podría engañar o bien sólo a los más novatos, o bien hasta al más experto, sino está especialmente atento en ese momento.

Además, esta vulnerabilidad nos da otra oportunidad para ver cómo de rápido responden unos y otros al mismo fallo. Hagan sus apuestas.

Cómo perder el control de tu ordenador en un minuto

Hace unos días en Barrapunto se habló sobre un artículo de USA Today que comentaba los resultados de un estudio que demostraba cómo máquinas limpias eran convertidas en zombies sólo minutos después de conectarlas a Internet, sin hacer nada más, sólo permanecer conectadas.

En concreto, un Windows XP SP1 sin los parches posteriores, tardaba cuatro minutos en sufrir la primera intrusión y media hora después ya estaba siendo controlado remotamente y era usado para buscar más máquinas desprotegidas.

Si en su día leíste Infectados en 20 minutos ésto no debería sorprenderte. Lo que sí puede ser sorprendente es que ese tiempo todavía puede disminuir drásticamente si se hace algo más que simplemente permanecer conectado a la Red, como por ejemplo, usar Internet Explorer. Mariano y Andrea enlazaron la semana pasada un artículo de Benjamin Edelman en el que se preguntaba ¿Quién se beneficia de los agujeros de seguridad? y desde el que se puede acceder a un vídeo (8 minutos, 4,3MB, formato Microsoft ASF) que demuestra que basta un solo minuto para comprometer seriamente un sistema Windows XP si se usa Internet Explorer.

En el vídeo se visita una página preparada para aprovechar los agujeros de seguridad de Internet Explorer que están sin corregir (no hay parche) y el resultado es que se instalan 16 programas distintos de tipo spyware, se cambia el fondo de pantalla por un anuncio y aparecen varios elementos nuevos en el escritorio, algunos de ellos dialers con imágenes de sexo explícito como icono. En un minuto. Y visitando una sóla página.

Hay que tener en cuenta que lo que se instala es spyware y no herramientas de control remoto, no porque no se pueda, sino porque no se quiere. Como dice Benjamin Edelman en su artículo, quien prepara estas páginas cobra por instalación de las empresas que se anuncian o de las que recaban los datos extraídos de las máquinas comprometidas. Si el objetivo fuese otro, como por ejemplo, reunir suficientes máquinas zombies como para atacar un sitio y eliminarlo de la Red (vease el reciente caso de Lycos y su salvapantallas contra el spam) lo que se instalaría sería más grave que el spyware.

Nuevo virus destructivo habla español

Panda Software informa en una nota de prensa de la aparición del gusano de correo Tasin. Sus características más destacables son que se dirige al receptor del correo infectado en español y que borra ficheros con determinadas extensiones. No trata de destruir el sistema sino borrar archivos de datos del usuario, como imágenes, videos, música, presentaciones, documentos de texto, entre otros.

Como es habitual en este tipo de gusanos, trata de distraer al usuario de distintas formas (según la versión) mientras lleva a cabo la infección y comienza a enviar correos infectados con su propio motor SMTP.

Hasta el momento se han detectado tres versiones distintas, Tasin.A, Tasin.B y Tasin.C. Las dos primeras están entre los virus más frecuentemente detectados estos últimos días.

Dos más para IE

Avisan en Nautopia que se han descubierto dos nuevos fallos de seguridad en Internet Explorer. Los detalles allí, en Dos más para IE.

Cito los efectos:


La combinación de ambas vulnerabilidades podría ser explotada desde un portal malicioso para engañar al usuario, al facilitar la descarga de ejecutables maliciosos enmascarados como documentos HTML.


En Microsoft no dan abasto para tapar agujeros, actualmente, con un registro de 18 vulnerabilidades sin corregir, es el navegador más inseguro que existe. Incluso con el famoso Service Pack 2 para Windows XP instalado, hasta un usuario avanzado tiene que ir con cien ojos para evitar que se le cuele de todo a través del navegador; un navegador anticuado, lento, que no ha cambiado apenas nada en los últimos 3 años, y que, desde su aparición, practicamente no ha habido un momento en que no pudiera usarse para tomar el control de un equipo remotamente. En ésto último también tiene un record negativo, la tercera parte de los fallos de seguridad que se le han descubierto permiten el acceso remoto a un sistema.

Vulnerabilidades en IE6 mes a mes

Como puede verse en la imagen, lo normal es que se descubran dos o más vulnerabilidades al mes en IE6. Pero eso no es lo más grave, lo más grave es que Microsoft, de media, tarda más de un mes en disponer de parches para solucionarlas. El resultado es que, no importa si se está al día con los parches o no, el navegador siempre es vulnerable de una manera u otra. ¿Dos más para IE? La pregunta es ¿a alguien le extraña?

Compañía de seguridad afirma haber descubierto diez nuevas vulnerabilidades en Windows XP SP2

La compañía Finjan Software, que produce software de seguridad para Windows afirma en una nota de prensa (en español en VSAntivirus) que ha descubierto un total de 10 nuevos fallos de seguridad en Windows XP SP2.

Aunque no da detalles técnicos, se ha producido cierto revuelo por hacerlo público antes de que Microsoft tenga un parche para solucionarlas (de hecho, en Microsoft aún no están en situación de confirmar el alcance real de las mismas).

Además, es curioso que el anuncio de Finjan se produzca sólo unos días antes de presentar su nueva línea de productos.

Entre las vulnerabilidades se encontrarían los fallos usuales de Internet Explorer: incapacidad para impedir el acceso al sistema de archivos local, la falta de efectividad de las zonas de seguridad y una forma de evitar los avisos de descarga y ejecución de contenido activo (incluida la nueva barra amarilla).

De ser cierto, los usuarios de Windows XP SP2 estarían en la misma posición que el resto de usuarios de Windows (gracias a la última vulnerabilidad aparecida en Internet Explorer y a una conocida debilidad en el ICF) y podrían perder el control sobre su equipo simplemente viendo una página web con Internet Explorer, con la diferencia de que, en este caso, sólo la gente de Finjan y Microsoft sabe exactamente cómo hacerlo. Aunque, claro, para tomar el control de un Windows XP SP2 a través de una página web, siguen existiendo otros métodos para los que todavía no hay solución.

Potenciando la línea de comandos de Windows (I): GNU utilities

Históricamente, la línea de comandos ha sido un punto débil de las diferentes versiones de Windows, Microsoft lo sabe y ha ido incorporando más comandos y más opciones con cada versión, implementando ya buena parte de POSIX en Windows 2000 y 2003, sin embargo, fieles a su filosofía, no han completado el trabajo y usan su propia versión "mejorada", según ellos, pero incompatible con todos los demás sistemas operativos, llamada Interix.

Mejorada o no, el caso es que, incluso en Windows 2003, en el trabajo diario uno echa de menos abundantes herramientas disponibles en otros sistemas operativos, como comandos para trabajar con archivos comprimidos (unrar, bzip, gzip), con archivos y cadenas de texto (cat, sed, grep), localización de archivos (find, which) y otros viejos conocidos (mv, touch, wget, md5sum...), incluso, porqué no, un sencillo reproductor multimedia.

Pues todo eso es lo que ofrecen las GNU Utilities para Win32. A diferencia del más conocido (y más ambicioso) Cygwin, no es necesario utilizar una capa de emulación para utilizar estas herramientas, sólo dependen del entorno de ejecución de C de Windows (msvcrt.dll) para funcionar y no necesitan instalación, aunque, por supuesto, para mayor comodidad es necesario incluirlas en la variable de sistema PATH de Windows.

Nota 1: Pese a que su, chgrp y chown están portadas e incluidas, por desgracia, no sirven para nada en un entorno Windows.

Nota 2: Al referirme a POSIX en este artículo, hablo de POSIX.2 que reglamenta el shell y las utilidades básicas.

Nuevo fallo de seguridad en Internet Explorer está siendo explotado con éxito

Un nuevo fallo de desbordamiento de buffer en Internet Explorer permite la instalación y ejecución de programas solamente viendo una página especialmente diseñada. El error se produce cuando se enfrenta al navegador de Microsoft con atributos SRC y NAME (entre otros) extremadamente largos en las etiquetas HTML FRAME, IFRAME y EMBED.

La semana pasada se publicó en la lista de corro BugTraq el código necesario para explotar la vulnerabilidad. Sólo cuatro días después, aparecieron dos nuevos virus que usaban ese código para propagarse. Como ya ocurrió en marzo de este año con algunas versiones del gusano Bagle no hay archivo adjunto en el mensaje de estos virus y basta con hacer clic en el enlace que incluyen para infectarse.

El fallo no afecta a Windows XP con SP2 instalado, pero se ha comprobado que funciona en XP SP1 con todos los parches, así como a Windows 2000 con todos los parches (otras versiones de Windows también podrían estar afectadas).

Soluciones:

Razones para actualizar a Firefox 1.0 y algunos consejos

Unas cuantas razones para actualizar a la 1.0:

http://secunia.com/advisories/13144/

http://secunia.com/advisories/12956/

http://secunia.com/advisories/12712/

http://secunia.com/advisories/12708/

http://secunia.com/advisories/12580/

http://secunia.com/advisories/12526/

Como puede verse, resulta que el programa de recompensas de la Fundación Mozilla para quien encontrase fallos de seguridad antes de que fuesen explotados en sus programas ha dado sus buenos frutos estos últimos dos meses y se han arreglado muchos fallos de seguridad entre la 0.9 y la versión 1.0 definitiva.

Firefox puede importar todos los datos de Netscape 6/7, Mozilla, Opera o Internet Explorer, más versiones antiguas de sí mismo. Durante la instalación se te pregunta si quieres que lo haga y de cual/es de ellos.

Salvo que se actualice de 1.0 RC2, merece la pena hacer una instalación limpia para la 1.0, sobre todo estos días en que es muy probable que falle al buscar actualizaciones de temas y extensiones, sencillamente porque mozilla.org está sobrecargada. Lo más delicado son los favoritos y es fácil exportarlos y volverlos a importar. Los plugins (plugins, no extensiones, o sea, flash, java, mozplugger, etc.) pueden simplemente copiarse a otro sitio y volverlos a colocar en la carpeta plugins tras la instalación de la nueva versión.

Si se actualiza desde 0.8 o inferior, entonces la instalación limpia ya no es recomendada, sino obligatoria.

Cosas nuevas:

Lista de cambios no oficial.

Firefox 1.0 ya está aquí

Ya puede descargarse Firefox 1.0. En la página de descarga según sistema operativo e idioma ya está disponible en español (versión argentina) y catalán.

Actualización

El XPI para traducirlo al castellano y los instaladores en español pueden conseguirse desde la página del proyecto NAVE.

Vulnerabilidades para todos

En el día de ayer se hicieron públicos varios fallos de seguridad de distinta gravedad que afectan a (casi) todos los navegadores.

Por un lado, todos los navegadores que usan pestañas tienen un problema con el foco de los formularios web que se puede usar para intentar confundir a un usuario para que entregue su contraseña en un sitio malicioso pensando que está en un sitio seguro. Diversas variables, como abrir una pestaña mucho antes de tener intención de visitarla o abrir las pestañas al fondo por defecto, pueden minimizar la posibilidad de que el engaño sea efectivo. Hay más detalles y una prueba de concepto inofensiva en Secunia.

Éste es un problema principalmente del estándar javascript que da demasiado poder al webmaster (no es la primera vez que me quejo de ésto). Hace unos años Internet era un sitio más seguro y el lenguaje javascript cumplía su función, pero se está quedando obsoleto a pasos agigantados. Cada vez son más los navegadores que permiten bloquear varias funciones de javascript que hoy en día son claramente peligrosas, aunque en su momento tenían su papel y nadie pensó en los malos usos que podía dárseles, eran otros tiempos.

De entre los navegadores afectados, en el momento de escribir ésto, sólo Konqueror tiene ya corregido el problema en una versión considerada estable (en su versión 3.3.1, del 12 octubre), los navegadores Mozilla y Firefox tienen una solución que ya ha sido incluida en la rama Aviary, pero no hay todavía parches ni nuevas versiones oficiales que la incluyan (aunque es posible que ya esté incluida en las nightlies); en otros navegadores afectados, como Opera, Safari, Avant Browser o Maxthom no es posible saber cómo de avanzado tienen el arreglo (si es que tienen uno), dado que su desarrollo es cerrado, pero no ha habido anuncios oficiales de parches por parte de ninguno de ellos.

El problema que afecta a Internet Explorer, para variar, es mucho más grave y permite de hecho hacerse con el control de un equipo de forma remota. Se basa en una variación del ataque sobre las zonas de seguridad de Internet Explorer al hacer el movimiento de arrastrar y soltar sobre cualquier objeto de una página web, que fue parcheada la semana pasada por Microsoft. Y como decía entonces, era previsible, pues los fallos de este tipo son una constante en el navegador de Microsoft. El problema afecta a todas las versiones de Windows, incluido XP con Service Pack 2. Los detalles pueden leerse en español en VSAntivirus.

Los que salen peor parados son los navegadores basados en Internet Explorer como Maxthom (antes conocido como MyIE2) y Avant Browser, pues tienen fallos derivados de su funcionalidad mejorada (al estilo de navegadores modernos como Firefox u Opera) a la vez que comparten los graves problemas de seguridad de IE.

Los mismos fallos de siempre

El pasado martes Microsoft publicó una nueva hornada de parches para las distintas versiones de su sistema operativo Windows. Del conjunto de once paquetes de parches que aparecieron (visita WindowsUpdate si no tienes las actualizaciones automáticas activadas, es seguro que alguno te hará falta) me voy a centrar en los que evidencian errores en el diseño de Windows y por lo tanto sufren de fallos de seguridad una, y otra, y otra vez.

En primer lugar, vamos con el paquete de parches para Internet Explorer (ocho parches). El diseño de zonas de seguridad del navegador de Microsoft que, en teoría, debe encargarse de decirle al sistema operativo que puede hacer una aplicación en base a dónde se encuentra ésta (en internet, en la red local, en el propio equipo...) está roto desde que era una idea en un papel y prácticamente no hay mes en el que no se encuentre una manera de pasarlo como si no estuviera. En este paquete vienen tres correcciones para tres formas distintas de saltárselo. En lugar de establecer protocolos distintos para local y red como hacen otros sistemas operativos, en Windows los protocolos son los mismos y se necesita del "apaño" de las zonas de seguridad para discriminar los permisos. Una mala idea que lleva dando problemas de seguridad casi una década.

Vamos con otra mala idea, en las condiciones del párrafo anterior, reunir el explorador de ficheros (entre otros programas) y el navegador web en una sola aplicación. Al contrario que otros navegadores, Internet Explorer no es sólo un interfaz y un motor de representación de páginas web, bajo la interfaz de IE hay varios programas independientes, que son parte integral del sistema operativo, entre ellos, los cito por ser los que más a menudo dan problemas, el explorador de ficheros y el sistema de ayuda remota. Para que el sistema operativo sepa cuales de estos programas están accesibles para Internet Explorer en un momento dado también se usan las zonas de seguridad (y ésta es la diferencia con Konqueror, por ejemplo, que aún siendo también un "interfaz para todo" dentro de KDE, se muestra mucho más seguro, ya que tiene un protocolo para cada cosa que hace y no tiene que intentar adivinar en todo momento si lo que está haciendo es seguro o no). Viene incluido un parche para una vulnerabilidad que permitía la descarga de cualquier tipo de fichero a cualquier parte del disco duro que seleccionase un atacante (por ejemplo, un ejecutable a la carpeta Inicio, para que se autoejecutara en el siguiente reinicio del sistema) con solo hacer el movimiento de arrastrar y soltar en el navegador. Si el explorador de archivos no estuviera incluido en el navegador ésto nunca habría sido posible. Por cierto, que han tardado lo suyo en corregirlo, que hace bastante que se sabe y hay exploits desde el primer día.

Cambiamos ahora de paquete de parches, pero seguimos con errores de diseño. Las librerias (algunos prefieren llamarlas bibliotecas) son, simplificando, archivos en los que se guardan datos y funciones que los programas necesitan para funcionar. En Windows cada programa lleva las suyas y vuelve a instalarlas aunque ya haya una versión de si mismas instalada en el sistema. Esto no sólo es un desperdicio de espacio, también puede traer problemas a la hora de asegurar un equipo. A modo de ejemplo, usaremos el fallo en la librería GDI+. Este archivo contiene las funciones necesarias para, entre otras cosas, manejar el conocido formato de imágenes comprimidas JPEG. Existía un fallo en esta librería que permitía ocultar código malicioso en una imagen, que se ejecutase sólo con verla. El problema está en que todos los programas de Microsoft llevan una versión de ésta librería, así que es necesario parchearlos todos, por separado. Por ejemplo, un sistema con Windows XP, con todos los parches, sería seguro, pero si le instalamos cualquiera de las versiones de MS Office, ya no lo sería, se podría colar un virus en una imagen al verla con cualquiera de los programas que forman la suite ofimática, hay que parchear cada uno de ellos. Lo mismo vale para cualquiera de los otros programas de Microsoft: los Visual Studio, Visio, Project, Picture It!... incluso el servicio Red de banda ancha de Microsoft (!). Cada programa debe revisarse y parchearse por separado.

Por cierto, en todo este tipo de fallos las famosas "mejoras de seguridad" del Service Pack 2 para Windows XP no resuelven nada, así que seguiremos viendo como se repiten los mismos fallos de siempre.

Botones para publicitar Firefox

Botones para publicitar Firefox

Usando los botones en blanco que proporcionan en SpreadFirefox, he hecho un par traduciéndolos al castellano. Los subo por si le sirven a alguien, yo, de momento, ya he puesto uno, en la barra de la derecha.

De vuelta y estrenando plantilla

Como siempre que hay plantilla nueva, opiniones y problemas en los comentarios.

Aprovecho el "acueducto" del Pilar para poner esto en condiciones y empezar nueva etapa. De momento, preveo tener tiempo suficiente, pero ya sabéis cómo va ésto.

Cuidado con las skins de Winamp

Según Secunia se puede usar una skin del famoso reproductor Winamp para colocar un programa en cualquier parte del sistema de archivos que se desee y ejecutarlo.

El usuario debe descargar voluntariamente una skin maliciosa, pero como no hay forma de diferenciarla de cualquier otra a primera vista, esto no tiene importancia. Las skins de Winamp vienen en archivos WSZ, que son paquetes de archivos comprimidos ZIP normales, con las imágenes necesarias y uno o más archivos XML en su interior. En uno de estos archivos XML puede hacerse una llamada a un documento HTML, es decir, una página web, por lo tanto Windows llamará al navegador por defecto para interpretarla. Este documento HTML tiene que contener una etiqueta OBJECT con su correspondiente atributo CODEBASE, que indica al navegador que debe cargar otro programa y dónde debe ir a descargarlo. En ese momento, si el navegador por defecto es Internet Explorer, gracias a los problemas de seguridad de este navegador con esa etiqueta, descargará y ejecutará el programa sin preguntar nada al usuario. En el caso de que sea otro el navegador por defecto, el usuario verá un diálogo del sistema preguntando qué debe hacer con el archivo, y le dará a elegir entre abrirlo, descargarlo al disco o cancelar la operación.

Microsoft ha intentado corregir los problemas de IE con la etiqueta OBJECT en tres ocasiones (con 3 parches distintos) y todavía es posible conseguir que ejecute programas sin preguntar si se consigue que se llamen a través de un archivo guardado en la propia máquina, lo que Microsoft llama la zona de seguridad "Mi PC" que no tiene restricción alguna. Es un ejemplo de lo frágil que es el diseño de Zonas de Seguridad de Windows. Se supone que el SP2 para Windows XP debe reforzar este punto débil, pero aún no está disponible en castellano.

Se ha comprobado que funciona con versiones de Winamp 3.x y 5.x (incluida la última, 5.04) en Windows XP SP1 con todos los parches instalados (en cualquier otra versión de Windows debería funcionar igualmente, ya que el fallo principal está en IE). No está confirmado si funciona o no en el SP2.

Las soluciones pasan por usar la versión Classic de Winamp, no descargar nuevas skins hasta que una nueva versión de Winamp corrija el fallo, usar otro programa para la reproducción de audio/video y, sobre todo, tener un navegador distinto de Internet Explorer como predeterminado.

Infectados en 20 minutos

Hasta que los ordenadores nuevos empiecen a venderse con el Service Pack 2 para Windows XP ya instalado, todavía pasarán algunos meses. Durante ese tiempo, y como ya vimos, la mayoría de equipos nuevos conectados a Internet durarán muy poco tiempo sin ser afectados por algún virus (sin necesidad de que el usuario tenga que hacer nada en especial). Según datos del SANS Institute, recopilados en este gráfico, actualmente ese tiempo es de unos 20 minutos.

En el gráfico podemos ver que, desde marzo de 2003, un equipo nuevo con Windows XP ha tenido un tiempo de supervivencia máximo (como media) en Internet de poco más de una hora. Una situación inaceptable que empieza a arreglarse ahora, con la llegada del SP2 y la mejora del firewall de Windows XP que incorpora y su puesta en marcha por defecto y en los primeros estadios del arranque. Digo que empieza a arreglarse porque entre los retrasos que se están produciendo debido a las traducciones a diversos idiomas, los que no podrán instalarlo hasta que haya actualizaciones para los programas o drivers de hardware que necesiten y, finalmente, como decía al principio, se venda en cada equipo nuevo con Windows XP todavía falta.

Entretanto, los usuarios con pocos o nulos conocimientos de seguridad podrán disfrutar de su nuevo ordenador durante esos escasos 20 minutos antes de empezar a tener que aprender algo de acerca de seguridad a la fuerza. Microsoft no ha tomado ninguna medida para evitar ésto hasta ahora (tras más de un año en esta situación), y los esfuerzos para informar y tratar de educar a los usuarios han venido siempre de terceros, como el ya citado SANS Institute o la empresa española Hispasec que tradujo la Guía supervivencia Windows XP, con información paso a paso que realmente pueda resultar de utilidad para el usuario (aunque probablemente esta información llegará tarde, si es que llega), a diferencia de la enrevesada y ambigua Proteja su PC en 3 pasos de Microsoft, que de todas formas en este caso es inútil porque no hay ningún tipo de aviso en el punto de venta, ni en la caja, ni en los manuales.

Dos nuevos fallos en IE (y primer parche para el SP2)

En lo que va de semana, se han encontrado dos nuevos fallos de seguridad en Internet Explorer. Liu Die Yu ha encontrado otra manera de hacer que Internet Explorer muestre en la barra de direcciones una dirección distinta de la real, lo que podría ser usado en lo que se ha dado en llamar phising, ataques que consisten en tratar de engañar al usuario para que entregue sus contraseñas o números de tarjeta haciéndole creer que está en un sitio de confianza (por ejemplo, su banco) cuando no es así. Por supuesto, para este tipo de timo, cuantas más cosas se puedan recrear al detalle, mejor.

Sin embargo, este método para sustituir el contenido de la barra de direcciones ya no funciona en IE6.05, la versión del navegador de Microsoft que viene con el Service Pack 2 para Windows XP. Supongo que a partir de ahora veremos unos cuantos en que los sucederá ésto, porque no hay que olvidar que los usuarios de otras versiones de Windows (98, ME, 2000) que aún tienen soporte por parte de Microsoft no pueden acceder a esta versión de Internet Explorer, ya que ha dejado de distribuirse como aplicación separada. Habrá que ver cómo de rápido funciona el soporte de Microsoft (en forma de parches, me refiero) para estas cosas, porque me da la impresión de que están muy centrados en XP y de los otros se acuerdan poco.

En cambio, el otro fallo de IE afecta también a los que ya hayan instalado el nuevo SP2. Y es bastante más peligroso, además. En este caso, http-equiv se basa en un trabajo realizado por la ya citada Liu Die Yu en septiembre del año pasado que Microsoft tuvo que parchear en dos ocasiones (con el primer parche no lograron solucionar el problema). En la prueba de concepto que ha diseñado, consigue colocar un programa en la carpeta Inicio de un Windows XP, actualizado con todos los parches disponibles (SP2 incluido), sin que el usuario reciba notificación de lo que ocurre, con lo que éste se ejecutará en el siguiente reinicio. Hay más información en Secunia en inglés y en Nautopia, en castellano, entre otros sitios.

Mientras que es de esperar que el Service Pack 2 sea efectivo contra epidemias de gusanos tipo Blaster o Sasser, no ocurre así para Internet Explorer 6.05, cuyas mejoras son pocos menos que cosméticas (quizá alguna de las modificaciones sea útil contra el spyware, pero eso aún está por ver) y es más que probable que siga marcando nuevos hitos en su impresionante registro de problemas de seguridad. De momento, empezaremos a contar los días que tardan en Microsoft en encontrar una solución para ésto.

Para terminar por hoy, un fallo en el diseño del nuevo firewall que viene con Windows XP SP2, provoca que aplicaciones que necesiten acceder al interfaz loopback dejen de funcionar, dando un mensaje de error indicando que no se ha podido establecer la conexión. Microsoft ya ha puesto ha disposición de los usuarios del Service Pack 2 una solución, en lo que es el primer parche para este paquete de actualizaciones de Microsoft, cuando apenas hace tres días que está disponible y después de acumular meses de retraso en su puesta a punto y distribución.

Service Pack 2 para Windows XP

Si no hay más retrasos, a partir de mañana estará disponible "para todos los usuarios" en el servicio Windows Update de Microsoft (aunque imagino que la versión en castellano aún tardará algunos días más) el Service Pack 2, la esperada actualización que, en teoría (habrá que ver cómo se porta en la práctica) mejorará la seguridad de Windows XP, sobre todo para usuarios con mínimos o nulos conocimientos de seguridad informática. Los cambios que incluye el SP2 son muchos (la descarga será de entre 100 y 300 Megabytes, aproximadamente, según los parches que ya estén instalados), tantos que el resultado bien podría llamarse Windows XP Segunda Edición. Si no estás al tanto de en qué consisten estos cambios (y si lo estás también merece la pena) en Nautopia han hecho un buen análisis del Service Pack 2.

Una ventaja de que el SP2 llegue más tarde en castellano, es que podemos ir viendo cómo les va a los que ya han podido instalarlo (los que tengan Windows XP en inglés o alemán). Según Eweek (y otras fuentes dan datos en la misma línea) los resultados de la instalación de la actualización de Windows XP van desde ningún problema al fallo total del sistema, pasando por todo el abanico de situaciones intermedias (incluso en algún caso el SP2 se ha negado a instalarse). Como decía al principio, este Service Pack practicamente hace de Windows XP un nuevo sistema operativo y estaba previsto que muchos programas no fueran compatibles después de actualizar (Microsoft ha publicado una extensa lista con los programas que pueden ocasionar problemas o dejar de funcionar o no poder instalarse con SP2, incluidos muchos antivirus y cortafuegos), así que tener problemas con algún programa concreto puede considerarse normal (habrá que esperar nuevas versiones o parches de las aplicaciones problemáticas).

Desde Microsoft se recuerda que en caso de que haya problemas de rendimiento, o con el hardware (por lo visto muchas tarjetas de red inalámbricas dan problemas) o un programa crítico para el usuario deje de funcionar, es posible desinstalar el SP2.

Para minimizar el riesgo de problemas, y basándome en las experiencias de usuarios que he podido leer, recomiendo instalar el Service Pack 2 para Windows XP sobre una instalación limpia (hacer copia de seguridad de lo que sea necesario, formatear el disco e instalar Windows XP desde cero).

Parches de seguridad para IE

Se han publicado tres parches para Internet Explorer que corrigen tres vulnerabilidades que la propia Microsoft considera críticas. Y no es extraño, pues dos de los fallos de seguridad que corrigen permiten ejecutar código a traves de simples imágenes (a la vista del usuario, en realidad, archivos malformados intencionadamente), en concreto: GIFs y BMPs. Esto puede ser especialmente peligroso en imágenes que lleguen a través de correo electrónico, si se usa Outlook o Outlook Express, pues el código podría ejecutarse sin más restricciones que los permisos del usuario que maneje el cliente de correo. No me extrañaría que el proximo gusano de gran difusión use uno de estos metodos.

Más detalles y descarga de los parches en el boletín de Microsoft. Resaltar que Microsoft se ha saltado su política de liberar parches sólo el segundo martes de cada mes, lo que indica que les otorgan gravedad extrema y deberían instalarse inmediatamente.

Sin embargo, aún con estos parches instalados, Internet Explorer sigue permitiendo ejecutar código malicioso remotamente, pues las vulnerabilidades críticas que se han hecho públicas este mismo mes siguen sin arreglar. La recomendación de instalar los parches y no usarlo sigue vigente.

Spoofing visual en Firefox (y Mozilla)

Avisan en Secunia de que es posible eliminar temporalmente mediante javascript la interfaz de Firefox y Mozilla (en realidad, esto primero puede hacerse en cualquier navegador, como ya hemos visto) y sustituirla por un archivo XUL (toda la interfaz de Firefox está escrita en XUL).

Al sustituir la barra de direcciones, se puede hacer creer al usuario que está en una página distinta a la que realmente se encuentra, pero lo realmente peligroso es que también se puede sustituir la barra de estado y el icono del candado que indica que estamos en una página segura. Al pulsar el candado para examinar un certificado, la ventana del navegador que se muestra con los detalles del mismo también es falsa, aunque parezca un dialogo de Firefox normal.

Incluso un usuario avanzado podría caer en este engaño, siempre, claro está, que no tenga configurado Firefox (o Mozilla) como recomendaba ya a principios de marzo.

El fallo de seguridad que se comenta en Secunia corresponde al bug 244965 en Bugzilla. Hay una prueba de concepto (solo para Firefox, pero podría hacerse igualmente para Mozilla) disponible para comprobar la vulnerabilidad. Lo cierto es que el efecto usando mi configuración es bastante curioso (y completamente inofensivo).