Blogia

navegaseguro

Resumen de la semana y puesta al día

Voy mal de tiempo y estamos en una de esas temporadas en que parece que todos los días hay noticias relacionadas con la seguridad, lo que se traduce en pocas actualizaciones de esta página y con retraso.

Recopilaré en esta nota todas las novedades desde la última entrada, con la esperanza de ponerme al día y poder volver a comentar las novedades cuando sean noticia (o incluso antes, como ha sucedido en algunas ocasiones). Así pues, vamos con el repaso.

Tras un mes y cinco días, Microsoft por fin ofrece un parche a través de Windows Update para la vulnerabilidad que permitía descargar y ejecutar programas de forma invisible al usuario. Asimismo, también parchea la vulnerabilidad del protocolo shell (han tardado una semana, no está mal, para ser Microsoft), que se descubrió porque podía aprovecharse a través de varios productos de la Fundación Mozilla (se arregló en un día), pero que podía aprovecharse igualmente a través de otros programas de la propia Microsoft, como MS Word (había una ventana de aviso) o MSN Messenger (se ejecutaba directamente). Lamentablemente para los usuarios de Internet Explorer, al mismo tiempo que Microsoft publicaba sus parches, aparecían cuatro nuevas vulnerabilidades en IE (aunque la gravedad de una queda reducida al arreglar lo del protocolo shell, las otras también son consideradas críticas, ya que se puede obligar a Internet Explorer a ejecutar cualquier código con ellas). La recomendación sigue siendo bajar e instalar las actualizaciones de seguridad y no usarlo.

También hay un parche para Outlook Express y otros para distintos fallos en diversas versiones del sistema operativo Windows. Debido a la debilidad de Internet Explorer del que los clientes de correo Outlook dependen, se recomienda el uso de clientes de correo alternativos.

Otro popular cliente de correo, Eudora, también tiene problemas de seguridad graves.

Por su parte, quizá Opera se dió demasiada prisa en lanzar su versión 7.52, porque al día siguiente se hacía pública una vulnerabilidad en su manejo del javascript que puede camuflar la dirección auténtica en la barra de direcciones del navegador, haciendo creer al usuario que está en una página distinta de la que realmente se encuentra. Recordad el consejo de no acceder a sitios que necesiten de conexión segura (bancos, tiendas, cuentas de correo webmail...) a través de enlaces (mucho menos pinchando en enlaces que lleguen a través de correo eléctronico); hay que escribir directamente la dirección en la barra de direcciones.

Los usuarios del popular lector gratuito de archivos PDF Adobe Acrobat Reader deberían actualizar a la mayor brevedad a la última versión (6.0.2) ya que versiones anteriores permiten la ejecución de código arbitrario al visualizar un documento.

La importancia de la velocidad de respuesta

Se encontró ayer un fallo de seguridad en Mozilla, Firefox y Thunderbird (en cualquiera de ellos, sólo si están instalados sobre Windows) que permitía ejecutar programas instalados y pasarles parámetros construyendo un enlace shell://. Si se consiguiese explotar un fallo de desbordamiento de buffer en alguno de los programas instalados a través de un enlace de este tipo (y engañando al usuario para que lo pulse) el resultado sería la capacidad de ejecutar cualquier código en la máquina víctima; o más fácil (atención, lo que sigue va medio en broma, medio en serio, debo tener el día tonto) en vez de buscar un desbordamiento de buffer, se podría ejecutar Internet Explorer y pasarle como parámetro una página preparada para que descargara, instalara y ejecutara sin informar al usuario lo que hiciera falta.

Se ha anunciado la próxima salida de Mozilla 1.7.1, Firefox 0.9.2 y Thunderbird 0.7.2 para solventar este fallo. Mientras tanto, se aconseja desactivar el manejo del protocolo shell en cada uno de los productos afectados a los usuarios de alguno de éstos programas en sistemas operativos Windows. Ésto puede hacerse de dos maneras:


  • La sencilla: usar el XPI que se ha preparado para hacer los cambios pertinentes pinchando en el enlace siguiente: Instalar Shellblock
  • La avanzada: usar about:config para crear una nueva entrada de tipo lógico, con nombre network.protocol-handler.external.shell y asignarle el valor false.


Por su parte, Opera ya ofrece para descarga la versión 7.52 de su navegador, que soluciona el fallo de seguridad que afectaba a casi todos los navegadores descubierto la semana pasada.

De Microsoft y su Internet Explorer, en cambio, sólo hay malas noticias.

Tanto los desarrolladores de Mozilla como los de Opera han respondido con una rapidez encomiable pero, como siempre, no servirá de nada si los usuarios no responden con igual rapidez.

IE continúa siendo vulnerable

Sin esperar al segundo martes del mes, Microsoft publicó el viernes pasado un "parche" para la vulnerabilidad de Internet Explorer que ha causado el publicitado problema con el virus Scob (Download.Ject). Pongo las comillas porque el "parche" en cuestión lo único que hace es cambiar un par de configuraciones en el registro de Windows, un apaño rápido que no soluciona nada en absoluto, pues sólo unas pocas horas después de la publicación del remiendo, ya había un nuevo exploit que evitaba el cambio de configuración, dejando las cosas como estaban.

A punto de cumplirse un mes desde que la vulnerabilidad y la forma de explotarla son de dominio público, Microsoft sigue sin proporcionar una solución adecuada (la única efectiva deja sin soporte ActiveX, VBScript, JScript y Javascript al navegador, recortando su funcionalidad por debajo de niveles aceptables para un uso normal). Y esto, pese a que la gravedad del problema es tal, que por todas partes se alzan voces instando a abandonar el uso de Internet Explorer (ejemplos: Secunia, SecurityFocus, US-CERT, Slate...).

Con todo, no es el único problema que Microsoft tiene que resolver en su navegador, aparte de otros fallos más antiguos que aún esperan parche, se ha descubierto un nuevo agujero de seguridad que afecta a casi todos los navegadores, pero que es especialmente grave en IE debido a su extremadamente frágil diseño. Las últimas versiones de Mozilla y Firefox no están afectadas por ninguna de éstas vulnerabilidades.

Sólo dos enlaces

Voy fatal de tiempo, así que no hay comentarios, sólo los enlaces.

Firefox 0.9 y la lista blanca

Firefox 0.9 ha salido finalmente sin una de las características de seguridad anunciadas: la lista blanca de sitios que pueden pedir al usuario que acepte instalar una extensión mediante XPIs.

Aunque finalmente el sistema de lista blanca está listo, como el desarrollo se retrasaba se decidió sacar la 0.9 sin él.

Ya vimos los problemas que podía ocasionar a los usuarios de Firefox en Windows la falta de un modo de bloquear que sitios maliciosos lanzaran la ventana de confirmación de instalación.

La capacidad de bloqueo está implementada en Firefox 0.9, y puede controlarse desde el menú Edit > Preferences como puede verse en la imagen (haz clic para verla ampliada):

menú advanced

Al desmarcar la casilla, ningún sitio podrá ofrecer el dialogo de instalación automáticamente, sin embargo, sí que aparecerá al pinchar en un enlace en, por ejemplo, Mozilla Update. Éste debería ser el comportamiento por defecto, pero no lo es, la casilla aparece marcada al terminar la instalación. Al parecer, se ha decidido esperar a que el interfaz de la lista blanca, que está en pleno desarrollo, esté terminado para activar el bloqueo por defecto, lo que para mí no tiene sentido (dejarla marcada es como seguir en la 0.8 a este respecto) y aconsejo desmarcar esa casilla ya mismo.

Aquellos que no tengan miedo de probar software pre-beta, encontrarán un enlace para descargar e instalar (es un XPI) una versión de prueba del interfaz (0.2.1) en el último enlace a Bugzilla. Los que no quieran instalarlo pero tienen curiosidad por saber que pinta tiene, que sigan leyendo.

Sólo hace unos minutos que lo tengo instalado, pero tras unas pocas pruebas, parece perfectamente funcional. Añade un botón a la sección Software Update (ver imagen)

menú advanced modificado

Pulsando en él aparecerá la interfaz. En principio, la lista viene en blanco, hay que marcar la casilla "Enable the XPI whitelist" y añadir los dominios que nos parezcan seguros con el botón Add.

interfaz lista blanca

Finalmente, si escribimos about:config en la barra de direcciones y usamos el filtro xpinstall podremos ver los cambios que realiza este XPI de lista blanca (en negrita en la imagen, 80KB)

interfaz lista blanca

Espero que en cuanto esté más probado y pulido y sea seguro que se active por defecto tras la instalación, lo suban a Mozilla Update y le dediquen un recuadro especial.

La Red como ecosistema (I):
El ataque de los zombies

Según ha publicado recientemente The Register en un artículo basado en un estudio de Sandvine, una empresa especializada en la optimización de recursos de red, el 80% del spam se envía desde ordenadores personales infectados y controlados por troyanos, sin el conocimiento de su dueño (a los equipos controlados de ésta forma se les llama zombies).

Ya han quedado atrás los tiempos en que la avalancha de spam podía ser controlada mediante listas negras que bloquearan los servidores de correo dedicados a ésto o aquellos que algún irresponsable mantenía mal configurados. Ahora ya no son unos pocos cientos de servidores aquí o allá, sino un ejército (en realidad, son varios, cada spammer profesional tiene el suyo) de decenas o cientos de miles de PCs infectados. No es posible bloquear a cada uno de éstos equipos individualmente, en primer lugar, porque sus IP son dinámicas y cambian cada vez que se conectan a Internet y, en segundo, porque los ordenadores antes o después son desinfectados; pero, al mismo tiempo, otros están siendo infectados y ocupando su lugar. Es una dinámica que no puede detenerse mientras existan usuarios descuidados con la seguridad de sus ordenadores.

La gente que controla estos ejércitos son mercenarios, y no se dedican exclusivamente a enviar spam. Hay más cosas para las que puede servir un número ingente de ordenadores bajo las ordenes de una sola persona (o de un grupo), y la magnitud de los "trabajos" que pueden realizar se incrementa, según aumenta el número de equipos bajo control, de ahí que la mayoría de las últimas oleadas de gusanos tenía como objetivo engrosar las filas de alguno de estos ejércitos.

Mi insistencia en llamarlos ejércitos no es gratuita, pues es habitual que se usen como fuerza de ataque, además no hay objetivo pequeño ni demasiado grande para ellos. Últimamente algunos de estos grupos incluso tienen el descaro de ofrecer publicamente sus servicios; y es lógico, pues a medida que Internet crece, y más y más usuarios sin nociones de seguridad, ni del funcionamiento de la misma Internet se conectan a la Red, su poder potencial se multiplica.

Para la supervivencia de la Red a largo plazo, es esencial que se creen programas de educación para usuarios a nivel global. Internet es una red global, la solución de sus problemas también debe serlo.

La 1ª Campaña Mundial de Seguridad en la Red es un paso en la dirección adecuada.

El cuento del virus que borra el disco duro completo

El cuento, reproducido en docenas de correos eléctronicos estúpidos distintos durante los últimos años, del virus imparable que borra todo el disco duro, es eso, un cuento. Los programadores de virus encuentran mucho más productivo controlar las máquinas infectadas (y usarlas para enviar spam, atacar los sitios web de otros, etc.) que destruirlas. Los virus que hacen ésto último son muy pocos y hacía años que no teníamos uno.

Los que hayan notado el énfasis en el tiempo pasado del párrafo anterior, que se sumen diez puntos, según Symantec tenemos uno nuevo: VBS.Pub.

Antes de abrir tu cliente de correo y escribir un e-mail del tipo que decía al principio sigue leyendo.

Sí, puede borrar todo el disco duro, pero tampoco es para tanto, me explico:

Como su nombre indica es un virus hecho en Visual Basic Script y, por tanto, sólo puede ejecutarse a través de Internet Explorer, Outlook Express, Outlook y algunos de los otros programas de Microsoft Office. Como es habitual, viene en un archivo adjunto al correo, y mientras éste archivo adjunto no sea abierto con ninguno de los programas de Microsoft que pueden ejecutarlo, no puede infectar a nadie. Hay un gran número de virus y troyanos escritos en Visual Basic Script, porque, además de ser muy fáciles de hacer, como es un lenguaje de la propia Microsoft permite llegar practicamente a cualquier parte del sistema operativo Windows (en cualquiera de sus versiones), lo que los hace muy potentes; aparte del lenguaje en que están escritos, todos ellos tienen en común que pueden llegar en un archivo con las siguientes extensiones: .asp, .hta, .htm, .htt, .html, .vbe y .vbs.

Mientras no abras ningún archivo con esas extensiones con un programa de Microsoft, no puedes infectarte ni con VBS.Pub ni con ninguno de los otros "bichos" escritos usando VBS.

Moraleja:
Los programas de Microsoft listados arriba no son seguros, y no deberían usarse para examinar ningún archivo que nos llegue a través de la Red, ya sea por correo electrónico o descargándolo directamente.

Spoofing Visual (II)

Java es una tecnología que la mayoría de navegadores soporta y, en muchos de ellos, está activada por defecto; en los casos en los que esto no es así, es bastante común instalar el plug-in (disponible de forma gratuita) y dejarlo activado para siempre. Ésto no es una buena idea dado que Java sólo es necesario en momentos muy puntuales (web-chats y algunas animaciones, principalmente) y la mayor parte del tiempo no hace ninguna falta.

Una de las reglas básicas de seguridad es mantener desconectado todo lo que no sea necesario de forma inmediata. Los problemas de seguridad pueden aparecer en cualquier parte y en cualquier momento, por lo que es razonable tratar de minimizar en lo posible el número de cosas que pueden hacernos vulnerables.

A modo de ejemplo, vamos a ver un caso de spoofing que se dió el mes pasado con los clientes de un banco estadounidense, con el objetivo de robar los números de cuenta, de tarjeta de crédito, de la seguridad social, así como sus nombres y direcciones:

Las víctimas de éste engaño recibieron un correo electrónico que aparentaba provenir de su banco. En el código del correo, había un exploit para uno de los varios fallos conocidos de Outlook y Outlook Express que aún no han sido corregidos que permiten falsear la dirección a la que apunta un enlace en la barra de estado de los clientes de correo de Microsoft (hay muchos de éstos, tres distintos sólo en el mes pasado). En el texto visible del correo se pedía que se visitase una dirección dentro del sitio web del banco, proporcionando el enlace trucado. Si el usuario engañado pinchaba el enlace, Internet Explorer cargaba una página en un servidor controlado por los estafadores, en el que había una copia de la página original del banco que incluía un applet Java, que superponía una imagen con la dirección correcta del banco sobre la barra de direcciones de Internet Explorer, para impedir que se viese la dirección real. Es un método bastante más sofisticado que el primer Spoofing Visual que vimos, ya que con este procedimiento es posible incluso seleccionar y modificar el contenido de la barra de direcciones, sin notar el engaño.

En la ficha de Antiphising.org del caso pueden verse imágenes y comprobar que el engaño era casi perfecto.

En este caso, el tipo de objetivo del ataque era muy definido: usuario de Outlook o Outlook Express, con Java activado en Internet Explorer (muy definido, pero dado que es el caso más común, no es un problema para los timadores); pero hay que tener en cuenta que otros clientes de correo han tenido o tienen vulnerabilidades que permiten falsificar el auténtico destino de un enlace (al cliente Eudora, hace muy poco le salió una de éstas) y, aunque este applet Java concreto sólo funciona en IE, es posible que una variante del mismo programa pudiese afectar a otros navegadores. El consejo de desactivar Java si no hace falta va para todos, no sólo para los que usen Internet Explorer.

Dos nuevas vulnerabilidades críticas en IE

Secunia advierte de que se han descubierto dos nuevas vulnerabilidades en Internet Explorer de la máxima gravedad que permiten descargar, instalar y ejecutar cualquier programa sin que el usuario sea advertido de lo que sucede.

Se sabe con seguridad que se está usando para instalar adware y se rumorea que hay al menos una versión del troyano Agobot que también las está usando para propagarse.

De momento, no hay parches (salvo que Microsoft ofrezca uno para ésto en las actualizaciones que se esperan para hoy), así que la solución más fácil y segura es usar otro navegador.

Hay más detalles y una prueba de concepto para comprobar que funciona (de forma inofensiva) en Neohapsis.

Actualización 10/06/2004

Se ha confirmado que este método también funciona a través de Outlook y Outlook Express.

Aquellos que no puedan instalar otro navegador (por ser el del trabajo y no tener permisos para instalar programas, por ejemplo), pueden seguir las instrucciones de este artículo de VSAntivirus relativas a deshabilitar Active Scripting; ésto impedirá que el exploit funcione. No recomiendo esta solución para todo los usuarios de IE porque al deshabilitarlo, desactivamos ActiveX y Javascript y, la falta de éstos (sobre todo, del último), puede afectar a la navegabilidad de muchos sitios. Para la mayoría, es mejor probar las alternativas libres.

No hay una configuración similar para los clientes de correo de Microsoft que minimice el problema, así que lo único que puede hacerse es no hacer clic en ningún enlace desde estos programas, algo que, de todas formas, no debería hacerse nunca, por razones ya explicadas.

¿Anti-spywares?

VSAntivirus publica una lista de programas antispyware que no sólo no cumplen con su cometido, sino que ellos mismos agregan estos molestos programas que se supone debían eliminar. Es un tema que ya toqué de refilón el año pasado (aunque sólo daba un ejemplo). Los programas de este tipo que nunca deben instalarse son:


  • AdProtector
  • AdwareHunter (adwarehunter.com, browser-page.com)
  • AdWareRemoverGold (adwareremovergold.com)
  • BPS Spyware & Adware Remover (bulletproofsoft.com)
  • InternetAntiSpy (internetantispy.com)
  • NoAdware (noadware.net, netpalnow.com)
  • Online PC-Fix SpyFerret
  • PurityScan (purityscan.com, puritysweep.com)
  • Real AdWareRemoverGold (adwareremovergold.com, sg08.biz)
  • SpyAssault (spyassault.com)
  • SpyBan (spyban.net)
  • SpyBlast (spyblast.com, advertising.com)
  • Spyblocs/eBlocs.com (eblocs.com)
  • Spybouncer (spybouncer.com)
  • SpyDeleter (spydeleter.com, 209.50.251.182)
  • SpyEliminator (securetactics.com)
  • SpyFerret (onlinepcfix.com)
  • SpyGone (spygone.com)
  • SpyHunter (enigmasoftwaregroup.com, spywareremove.com, spybot-spyware.com)
  • SpyKiller (spy-killer.com, maxionsoftware.com, spykiller.com, spykillerdownload.com)
  • SpyKillerPro (spykillerpro.com)
  • Spyware Annihilator (solidlabs.com)
  • SpywareBeGone (spywarebegone.com, freespywarescan.org)
  • SpywareCleaner (www.checkforspyware.com, www.spw2a.com/sc/)
  • SpywareCrusher (spywarecrusher.com)
  • SpywareInfoooo.com
  • SpywareKilla (spywarekilla.com)
  • SpywareNuker (spywarenuker.com, trekblue.com, trekdata.com, spyware-killer.com)
  • SpywareRemover (spy-ware-remover.com, spywareremover.com)
  • SpywareThis (spywarethis.com)
  • SpywareZapper (spywarezapper.com)
  • SpyWiper (mailwiper.com)
  • ssppyy pro (ssppyy.com)
  • TZ Spyware Adware Remover (trackzapper.com)
  • VBouncer/AdDestroyer (spywarelabs.com, virtualbouncer.com)
  • Warnet (warnet.com)
  • XoftSpy (download-spybot.com, paretologic.com, downloadspybot.com, no-spybot.com)
  • ZeroSpyware (zerospyware.com, zeroads.com)


Se añade además como sospechoso Spyware X Terminator. Tengo que recordar que hay también en VSAntivirus otra lista con los programas de descarga P2P que nadie debería instalarse por las mismas razones. Los programas antispyware que funcionan, son gratuitos y no traen sorpresas pueden encontrarse en mi propia lista.

Nota: La falta de enlaces directos en la lista es intencionada.

a2

Anti-Trojan ha desaparecido y ha sido sustituido por a2. El nuevo a2 ya no sólo es un antitroyano, también detecta y elimina gusanos, dialers y spyware. La buena noticia es que, a diferencia de su predecesor, a2 tiene versión gratuita, que además es de libre distribución. La única diferencia con la versión de pago es la ausencia de una herramienta de actualización automática, pero eso no es una gran desventaja, porque el programa puede actualizarse manualmente. Probablemente es el antitroyano funcional gratuito más eficaz ahora mismo. Lo he añadido a la lista.

Ben Goodger avanza las novedades de Firefox 0.9

Neowin publica una entrevista a Ben Goodger, desarrollador-jefe del navegador libre Firefox. En esta entrevista, Ben habla acerca de su trabajo con Firefox y avanza las novedades de la versión 0.9, con salida prevista para este verano. Esta nueva versión vendrá ya con todas las características de la 1.0 final, y el trabajo se centrará a partir de entonces en limpiar el código, arreglar los bugs que queden y buscar alcanzar la máxima estabilidad.

Los desarrolladores de extensiones se encontrarán con que el sistema ha vuelto a cambiar, aunque, por suerte para ellos, será la última vez, ya que el nuevo sistema permitirá al usuario instalar, desinstalar y actualizar extensiones, a la vez que controlará que no se produzcan incompatibilidades entre ellas que puedan hacer caer el navegador. Aún así, y por si acaso, también se añade un modo seguro de arranque, sin cargar ninguna extensión (característica que será especialmente útil al actualizar de 0.8 a 0.9).

Como viene siendo habitual, el sistema de temas también cambia: permitirá cambios más radicales en la interfaz, así como actualizar los temas instalados.

El tamaño del fichero a descargar para instalar la nueva versión se reduce a 4,6MB, principalmente gracias al cambio del algoritmo de compresión (ahora se usara 7z, el formato de 7zip).

La nueva versión de Firefox tratará de facilitar lo máximo posible la migración de los usuarios de otros navegadores (incluidos Internet Explorer, Netscape, Mozilla y Opera) importando todos los datos de usuario: cookies, favoritos, contraseñas, historial, datos de formularios y palabras clave de búsquedas.

Finalmente, habrá mejoras en la gestión de marcadores y en las búsquedas; además, Firefox podrá lanzar el lector de correo/news por defecto en el sistema sin necesidad de instalar extensiones para ello (ésto último, en principio, no me gusta nada, hay demasiadas máquinas en las que Outlook Express es el lector por defecto, y se podría dar algún caso de spoofing que afectara también a los usuarios de Firefox/Outlook Express además de los del clásico binomio Internet Explorer/Outlook Express).

Resumiendo, ningún cambio especialmente espectacular, pero sí bastantes mejoras que se venían pidiendo en versiones anteriores.

Numerosos fallos de seguridad en distintas plataformas

Se despista uno un par de días y empiezan a salir fallos de seguridad por todas partes.

http-equiv, que lleva un par de semanas buscándole las vueltas a Outlook y Outlook Express (y hallando un nuevo fallo de seguridad cada 3 días) ha encontrado uno especialmente grave, que permitiría, combinando con una vulnerabilidad de Internet Explorer de esas que se conocen hace tiempo pero que en Microsoft no se deciden a parchear, instalar y ejecutar cualquier programa a través de un objeto OLE en una página web o un documento RTF. El fallo se puede aprovechar a través de Outlook 2003 y Office 2003 en general. No hay parches todavía, así que, de momento, lo único que se puede hacer es filtrar los mensajes y adjuntos en HTML y RTF y no abrirlos. Se está investigando como podría afectar esto a versiones anteriores.

Más cosas, se ha hecho público un fallo en el navegador Opera en su versión 7.23 que permitiría descargar archivos nuevos o sobreescribir los existentes en el espacio del usuario, en todas las plataformas en las que Opera funciona. Usar un usuario sin privilegios para navegar por Internet reduce la gravedad del problema. En la nueva versión 7.50 de Opera el fallo está corregido.

Después de hacerse público el agujero de seguridad en Opera, el equipo de KDE revisó su código para ver si alguno de sus programas podría ser vulnerable a un ataque similar, encontrando que, efectivamente, su navegador web Konqueror estaba afectado, aunque era bastante más complicado de explotar exitosamente que en el caso de Opera: en primer lugar, porque había que abrir Kmail a través de un enlace mailto: y en segundo, porque éste pregunta antes de iniciar la conexión para descargar el archivo. En cualquier caso, KDE proporcionó parches inmediatamente y avisó a todas las distribuciones que incluyen sus programas tres días antes de hacerlo asímismo público.

Todavía no acaba la cosa ahí, porque Safari, el navegador por defecto de MacOSX e Internet Explorer 5.2 para Mac también están afectados por varios fallos similares, que además, en este caso, también permiten ejecutar directamente los archivos descargados. Dado que aún no hay parches, se recomienda no navegar como administrador y no visitar sitios que no sean de plena confianza.

El autor de Sasser tiene un club de fans

Leo con asombro en las noticias de SecurityFocus que se ha abierto una página dedicada a recaudar fondos para ayudar al presunto autor del gusano Sasser en los juicios que le esperan, ahora que ha sido detenido.

La razones que se exponen para pedir la ayuda económica son que tanto Netsky (del mismo autor) como Sasser eran inofensivos, además, mientras que el primero era un virus antivirus, que inició una guerra contra Mydoom y Bagle (también Mimail y otros puntualmente); el segundo pretendía ser una llamada de atención sobre un agujero de seguridad grave, para obligar a la gente a parchear sus sistemas antes de que un código realmente malicioso las aprovechara (llegó algo tarde para eso, como ya vimos).

La detención del presunto autor, no ha acabado con el desarrollo del gusano Sasser, del que continuan saliendo versiones nuevas, ya sean hechas por un imitador o por otro miembro del Skynet Antivirus Team.

Los ordenadores que hayan sido infectados por Sasser no son seguros

Desde el 13 de abril que Microsoft publicó los detalles de la vulnerabilidad que aprovechaba el gusano Sasser, hasta que éste empezó a manifestarse, el último día del mismo mes, fueron apareciendo, en rápida sucesión, numerosos exploits para el bug en el servicio LSASS.

Varios de estos exploits fueron incluidos rapidamente, antes de la aparición de Sasser, en diversas variantes de troyanos de la familia de los peligrosos Phatbot/Agobot/Gaobot.

Los antivirus son de poca utilidad ante los troyanos, salvo que sean muy conocidos y las nuevas versiones vayan apareciendo en intervalos largos de tiempo; y éste no es el caso de esta familia de troyanos, que raro es el día que no hay versión nueva (a veces más de una diaria). Además, estos troyanos lo primero que hacen es preocuparse de desactivar firewalls (la única defensa verdaderamente efectiva contra ellos) y antivirus (si hay alguno instalado) y, a veces, impedir la conexión a las páginas de éstos últimos, para que no sea posible la actualización de sus ficheros de firmas.

Después de estos tres párrafos introductorios, ya es hora de ir a la razón del título de esta nota. En un gran número de los equipos infectados por Sasser se están encontrando también una o más variantes de alguno de estos troyanos. Así como Sasser era practicamente inofensivo, no es el caso de estos "*bot", que hacen de todo, roban contraseñas, recogen números de tarjetas de crédito y de la seguridad social, usan las máquinas infectadas para enviar spam y realizar ataques DDoS (ataques sobre sitios web)...

Pese a que apenas se les da publicidad, son más peligrosos que cualquiera de los gusanos corrientes (y por lo general, casi inofensivos) de los que oímos hablar tan a menudo; datos de F-Secure del mes de marzo indican que podría haber cientos de miles de máquinas infectadas por alguno de estos troyanos; ahora mismo, la cifra podría muy bien haberse multiplicado.

El cortafuegos de Windows XP es perfectamente inútil contra cualquier troyano, para defenderse de éstos es necesario instalar otro de terceros. Hay muchos gratuitos que son lo suficientemente buenos, encontraras varios en esta lista.

Nuevo fallo en el Sistema de Ayuda de Windows XP

Ayer, como cada segundo martes de mes, Microsoft publicó su boletín de seguridad con, en este caso, su parche correspondiente, ya que sólo hay una vulnerabilidad grave que corregir. Ha sido un mes bastante tranquilo, Sasser aparte, sólo un par de fallos menores, con poco peligro, en Outlook Express, que ni yo he nombrado aquí, ni a Microsoft le ha parecido necesario corregir.

La vulnerabilidad que soluciona el único parche de este mes está, otra vez, en el sistema de ayuda de Windows, y afecta sólo a las versiones XP y 2003 de este sistema operativo. Como todos los fallos anteriores del sistema de ayuda, es muy fácil sacar provecho de él, basta con convencer al usuario de que pinche en un enlace especial, ya sea en una página web o en un correo electrónico. Un atacante que logre ésto podría hacerse de hecho con el control del equipo, ya que el bug permite instalar y ejecutar cualquier programa, sin que el sistema muestre ninguna advertencia de lo que ocurre. Hay algún dato más que podría resultar interesante, ya que de nuevo han solucionado un agujero de seguridad eliminando la fuente del problema en lugar de arreglarla, en el artículo al respecto de VSAntivirus.

Mi recomendación es desconectar el sistema de ayuda, casi nadie lo usa, y es una fuente constante de problemas de seguridad. Para ello, en Windows XP, hay que ir a Inicio, pulsar Ejecutar, escribir en la ventana que se abre services.msc /s, en la nueva ventana, hacer doble-clic en "Ayuda y soporte técnico" y en tipo de inicio, elegir Deshabilitado.

Nota: Para el que el parche de Microsoft funcione correctamente, el sistema de ayuda debe estar habilitado. Después de instalar el parche, ya puede deshabilitarse tranquilamente.

Sasser, el nuevo Blaster

VSAntivirus advierte de la aparición del gusano Sasser. Como en el caso de Blaster, el usuario no tiene que abrir un correo, ni ejecutar un archivo, ni hacer nada en absoluto, basta con estar conectado a Internet para infectarse.

La vulnerabilidad que aprovecha el virus, que Microsoft solucionó en sus parches del pasado mes de abril, está en una de las interfaces del protocolo RPC asociada con el servicio LSASS. Sólo las distintas versiones de Windows 2000 y Windows XP están afectadas.

Pese a que, igual que en el caso de Blaster, hay un parche de Microsoft que soluciona el problema, que se sabía que existían exploits para sacar provecho de la vulnerabilidad y de los avisos de Microsoft de que el riesgo de aparición de un gusano de estas características era alto, más los continuos rumores de la aparición inminente del mismo, parece (a juzgar por el número de usuarios reportando la infección en distintos foros) que son muchos los que no han parcheado sus equipos. Un firewall bien configurado también impediría la infección incluso aunque no se hubiera aplicado el parche todavía.

Para desinfectarse, hay que descargar el parche de Microsoft en primer lugar, y actualizar y usar un antivirus después. También pueden seguirse las instrucciones para la desinfección manual que VSAntivirus proporciona. Al aplicar el parche de Microsoft desaparecerán las molestias (los reinicios del equipo) que causa el virus, pero ésto no lo elimina. Una de las causas de que Blaster permaneciera activo tanto tiempo fue que muchos usuarios no desinfectaron sus equipos después de aplicar el parche, por lo que el gusano continuaba reproduciéndose e infectando otros ordenadores desde equipos ya parcheados.

Actualizado 2/5/2004

El virus 'Sasser' afecta a millones de ordenadores en todo el mundo.

DialerSpy

Vía blogpocket me entero de la existencia de DialerSpy, un programa anti-dialers de origen polaco que en su nueva versión ya es multi-lenguaje. La traducción al castellano ha sido realizada por red.es.

No ofrece nada que no hiciera ya CheckDialer (nota anterior sobre éste último), pero tampoco hace menos y es bueno tener dónde elegir. Lo he añadido a la lista de programas gratuitos de seguridad que mantengo en navegaseguro.es.tt.

Osama Bin Laden Captured = troyano

Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de

Osama Bin Laden Captured = troyano

Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha una vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de scripting tienen una cosa en común: la flexibilidad. Es decir, que pueden hacerse scripts muy diferentes entre sí que hagan exactamente lo mismo. Por eso, ayer podría ser cierto que el antivirus de Panda detectaba ese script, hoy quizá ya no lo sea, si el autor ha decidido modificar su código.

Lo que funciona bien con los virus, que son programas bastante complejos, y es díficil hacer grandes cambios, no funciona tan bien con los scripts, que son muy sencillos, y muchas veces se componen de sólo una o dos líneas de código.