Opinión

Según ha publicado recientemente The Register en un artículo basado en un estudio de Sandvine, una empresa especializada en la optimización de recursos de red, el 80% del spam se envía desde ordenadores personales infectados y controlados por troyanos, sin el conocimiento de su dueño (a los equipos controlados de ésta forma se les llama zombies).

Ya han quedado atrás los tiempos en que la avalancha de spam podía ser controlada mediante listas negras que bloquearan los servidores de correo dedicados a ésto o aquellos que algún irresponsable mantenía mal configurados. Ahora ya no son unos pocos cientos de servidores aquí o allá, sino un ejército (en realidad, son varios, cada spammer profesional tiene el suyo) de decenas o cientos de miles de PCs infectados. No es posible bloquear a cada uno de éstos equipos individualmente, en primer lugar, porque sus IP son dinámicas y cambian cada vez que se conectan a Internet y, en segundo, porque los ordenadores antes o después son desinfectados; pero, al mismo tiempo, otros están siendo infectados y ocupando su lugar. Es una dinámica que no puede detenerse mientras existan usuarios descuidados con la seguridad de sus ordenadores.

La gente que controla estos ejércitos son mercenarios, y no se dedican exclusivamente a enviar spam. Hay más cosas para las que puede servir un número ingente de ordenadores bajo las ordenes de una sola persona (o de un grupo), y la magnitud de los "trabajos" que pueden realizar se incrementa, según aumenta el número de equipos bajo control, de ahí que la mayoría de las últimas oleadas de gusanos tenía como objetivo engrosar las filas de alguno de estos ejércitos.

Mi insistencia en llamarlos ejércitos no es gratuita, pues es habitual que se usen como fuerza de ataque, además no hay objetivo pequeño ni demasiado grande para ellos. Últimamente algunos de estos grupos incluso tienen el descaro de ofrecer publicamente sus servicios; y es lógico, pues a medida que Internet crece, y más y más usuarios sin nociones de seguridad, ni del funcionamiento de la misma Internet se conectan a la Red, su poder potencial se multiplica.

Para la supervivencia de la Red a largo plazo, es esencial que se creen programas de educación para usuarios a nivel global. Internet es una red global, la solución de sus problemas también debe serlo.

La 1ª Campaña Mundial de Seguridad en la Red es un paso en la dirección adecuada.

El cuento, reproducido en docenas de correos eléctronicos estúpidos distintos durante los últimos años, del virus imparable que borra todo el disco duro, es eso, un cuento. Los programadores de virus encuentran mucho más productivo controlar las máquinas infectadas (y usarlas para enviar spam, atacar los sitios web de otros, etc.) que destruirlas. Los virus que hacen ésto último son muy pocos y hacía años que no teníamos uno.

Los que hayan notado el énfasis en el tiempo pasado del párrafo anterior, que se sumen diez puntos, según Symantec tenemos uno nuevo: VBS.Pub.

Antes de abrir tu cliente de correo y escribir un e-mail del tipo que decía al principio sigue leyendo.

Sí, puede borrar todo el disco duro, pero tampoco es para tanto, me explico:

Como su nombre indica es un virus hecho en Visual Basic Script y, por tanto, sólo puede ejecutarse a través de Internet Explorer, Outlook Express, Outlook y algunos de los otros programas de Microsoft Office. Como es habitual, viene en un archivo adjunto al correo, y mientras éste archivo adjunto no sea abierto con ninguno de los programas de Microsoft que pueden ejecutarlo, no puede infectar a nadie. Hay un gran número de virus y troyanos escritos en Visual Basic Script, porque, además de ser muy fáciles de hacer, como es un lenguaje de la propia Microsoft permite llegar practicamente a cualquier parte del sistema operativo Windows (en cualquiera de sus versiones), lo que los hace muy potentes; aparte del lenguaje en que están escritos, todos ellos tienen en común que pueden llegar en un archivo con las siguientes extensiones: .asp, .hta, .htm, .htt, .html, .vbe y .vbs.

Mientras no abras ningún archivo con esas extensiones con un programa de Microsoft, no puedes infectarte ni con VBS.Pub ni con ninguno de los otros "bichos" escritos usando VBS.

Moraleja:
Los programas de Microsoft listados arriba no son seguros, y no deberían usarse para examinar ningún archivo que nos llegue a través de la Red, ya sea por correo electrónico o descargándolo directamente.

Java es una tecnología que la mayoría de navegadores soporta y, en muchos de ellos, está activada por defecto; en los casos en los que esto no es así, es bastante común instalar el plug-in (disponible de forma gratuita) y dejarlo activado para siempre. Ésto no es una buena idea dado que Java sólo es necesario en momentos muy puntuales (web-chats y algunas animaciones, principalmente) y la mayor parte del tiempo no hace ninguna falta.

Una de las reglas básicas de seguridad es mantener desconectado todo lo que no sea necesario de forma inmediata. Los problemas de seguridad pueden aparecer en cualquier parte y en cualquier momento, por lo que es razonable tratar de minimizar en lo posible el número de cosas que pueden hacernos vulnerables.

A modo de ejemplo, vamos a ver un caso de spoofing que se dió el mes pasado con los clientes de un banco estadounidense, con el objetivo de robar los números de cuenta, de tarjeta de crédito, de la seguridad social, así como sus nombres y direcciones:

Las víctimas de éste engaño recibieron un correo electrónico que aparentaba provenir de su banco. En el código del correo, había un exploit para uno de los varios fallos conocidos de Outlook y Outlook Express que aún no han sido corregidos que permiten falsear la dirección a la que apunta un enlace en la barra de estado de los clientes de correo de Microsoft (hay muchos de éstos, tres distintos sólo en el mes pasado). En el texto visible del correo se pedía que se visitase una dirección dentro del sitio web del banco, proporcionando el enlace trucado. Si el usuario engañado pinchaba el enlace, Internet Explorer cargaba una página en un servidor controlado por los estafadores, en el que había una copia de la página original del banco que incluía un applet Java, que superponía una imagen con la dirección correcta del banco sobre la barra de direcciones de Internet Explorer, para impedir que se viese la dirección real. Es un método bastante más sofisticado que el primer Spoofing Visual que vimos, ya que con este procedimiento es posible incluso seleccionar y modificar el contenido de la barra de direcciones, sin notar el engaño.

En la ficha de Antiphising.org del caso pueden verse imágenes y comprobar que el engaño era casi perfecto.

En este caso, el tipo de objetivo del ataque era muy definido: usuario de Outlook o Outlook Express, con Java activado en Internet Explorer (muy definido, pero dado que es el caso más común, no es un problema para los timadores); pero hay que tener en cuenta que otros clientes de correo han tenido o tienen vulnerabilidades que permiten falsificar el auténtico destino de un enlace (al cliente Eudora, hace muy poco le salió una de éstas) y, aunque este applet Java concreto sólo funciona en IE, es posible que una variante del mismo programa pudiese afectar a otros navegadores. El consejo de desactivar Java si no hace falta va para todos, no sólo para los que usen Internet Explorer.

Secunia advierte de que se han descubierto dos nuevas vulnerabilidades en Internet Explorer de la máxima gravedad que permiten descargar, instalar y ejecutar cualquier programa sin que el usuario sea advertido de lo que sucede.

Se sabe con seguridad que se está usando para instalar adware y se rumorea que hay al menos una versión del troyano Agobot que también las está usando para propagarse.

De momento, no hay parches (salvo que Microsoft ofrezca uno para ésto en las actualizaciones que se esperan para hoy), así que la solución más fácil y segura es usar otro navegador.

Hay más detalles y una prueba de concepto para comprobar que funciona (de forma inofensiva) en Neohapsis.

Actualización 10/06/2004

Se ha confirmado que este método también funciona a través de Outlook y Outlook Express.

Aquellos que no puedan instalar otro navegador (por ser el del trabajo y no tener permisos para instalar programas, por ejemplo), pueden seguir las instrucciones de este artículo de VSAntivirus relativas a deshabilitar Active Scripting; ésto impedirá que el exploit funcione. No recomiendo esta solución para todo los usuarios de IE porque al deshabilitarlo, desactivamos ActiveX y Javascript y, la falta de éstos (sobre todo, del último), puede afectar a la navegabilidad de muchos sitios. Para la mayoría, es mejor probar las alternativas libres.

No hay una configuración similar para los clientes de correo de Microsoft que minimice el problema, así que lo único que puede hacerse es no hacer clic en ningún enlace desde estos programas, algo que, de todas formas, no debería hacerse nunca, por razones ya explicadas.

VSAntivirus publica una lista de programas antispyware que no sólo no cumplen con su cometido, sino que ellos mismos agregan estos molestos programas que se supone debían eliminar. Es un tema que ya toqué de refilón el año pasado (aunque sólo daba un ejemplo). Los programas de este tipo que nunca deben instalarse son:

• AdProtector
  
• AdwareHunter (adwarehunter.com, browser-page.com)
  
• AdWareRemoverGold (adwareremovergold.com)
  
• BPS Spyware & Adware Remover (bulletproofsoft.com)
  
• InternetAntiSpy (internetantispy.com)
  
• NoAdware (noadware.net, netpalnow.com)
  
• Online PC-Fix SpyFerret
  
• PurityScan (purityscan.com, puritysweep.com)
  
• Real AdWareRemoverGold (adwareremovergold.com, sg08.biz)
  
• SpyAssault (spyassault.com)
  
• SpyBan (spyban.net)
  
• SpyBlast (spyblast.com, advertising.com)
  
• Spyblocs/eBlocs.com (eblocs.com)
  
• Spybouncer (spybouncer.com)
  
• SpyDeleter (spydeleter.com, 209.50.251.182)
  
• SpyEliminator (securetactics.com)
  
• SpyFerret (onlinepcfix.com)
  
• SpyGone (spygone.com)
  
• SpyHunter (enigmasoftwaregroup.com, spywareremove.com, spybot-spyware.com)
  
• SpyKiller (spy-killer.com, maxionsoftware.com, spykiller.com, spykillerdownload.com)
  
• SpyKillerPro (spykillerpro.com)
  
• Spyware Annihilator (solidlabs.com)
  
• SpywareBeGone (spywarebegone.com, freespywarescan.org)
  
• SpywareCleaner (www.checkforspyware.com, www.spw2a.com/sc/)
  
• SpywareCrusher (spywarecrusher.com)
  
• SpywareInfoooo.com
  
• SpywareKilla (spywarekilla.com)
  
• SpywareNuker (spywarenuker.com, trekblue.com, trekdata.com, spyware-killer.com)
  
• SpywareRemover (spy-ware-remover.com, spywareremover.com)
  
• SpywareThis (spywarethis.com)
  
• SpywareZapper (spywarezapper.com)
  
• SpyWiper (mailwiper.com)
  
• ssppyy pro (ssppyy.com)
  
• TZ Spyware Adware Remover (trackzapper.com)
  
• VBouncer/AdDestroyer (spywarelabs.com, virtualbouncer.com)
  
• Warnet (warnet.com)
  
• XoftSpy (download-spybot.com, paretologic.com, downloadspybot.com, no-spybot.com)
  
• ZeroSpyware (zerospyware.com, zeroads.com)
  

Se añade además como sospechoso Spyware X Terminator. Tengo que recordar que hay también en VSAntivirus otra lista con los programas de descarga P2P que nadie debería instalarse por las mismas razones. Los programas antispyware que funcionan, son gratuitos y no traen sorpresas pueden encontrarse en mi propia lista.

Nota: La falta de enlaces directos en la lista es intencionada.

Se despista uno un par de días y empiezan a salir fallos de seguridad por todas partes.

http-equiv, que lleva un par de semanas buscándole las vueltas a Outlook y Outlook Express (y hallando un nuevo fallo de seguridad cada 3 días) ha encontrado uno especialmente grave, que permitiría, combinando con una vulnerabilidad de Internet Explorer de esas que se conocen hace tiempo pero que en Microsoft no se deciden a parchear, instalar y ejecutar cualquier programa a través de un objeto OLE en una página web o un documento RTF. El fallo se puede aprovechar a través de Outlook 2003 y Office 2003 en general. No hay parches todavía, así que, de momento, lo único que se puede hacer es filtrar los mensajes y adjuntos en HTML y RTF y no abrirlos. Se está investigando como podría afectar esto a versiones anteriores.

Más cosas, se ha hecho público un fallo en el navegador Opera en su versión 7.23 que permitiría descargar archivos nuevos o sobreescribir los existentes en el espacio del usuario, en todas las plataformas en las que Opera funciona. Usar un usuario sin privilegios para navegar por Internet reduce la gravedad del problema. En la nueva versión 7.50 de Opera el fallo está corregido.

Después de hacerse público el agujero de seguridad en Opera, el equipo de KDE revisó su código para ver si alguno de sus programas podría ser vulnerable a un ataque similar, encontrando que, efectivamente, su navegador web Konqueror estaba afectado, aunque era bastante más complicado de explotar exitosamente que en el caso de Opera: en primer lugar, porque había que abrir Kmail a través de un enlace mailto: y en segundo, porque éste pregunta antes de iniciar la conexión para descargar el archivo. En cualquier caso, KDE proporcionó parches inmediatamente y avisó a todas las distribuciones que incluyen sus programas tres días antes de hacerlo asímismo público.

Todavía no acaba la cosa ahí, porque Safari, el navegador por defecto de MacOSX e Internet Explorer 5.2 para Mac también están afectados por varios fallos similares, que además, en este caso, también permiten ejecutar directamente los archivos descargados. Dado que aún no hay parches, se recomienda no navegar como administrador y no visitar sitios que no sean de plena confianza.

Leo con asombro en las noticias de SecurityFocus que se ha abierto una página dedicada a recaudar fondos para ayudar al presunto autor del gusano Sasser en los juicios que le esperan, ahora que ha sido detenido.

La razones que se exponen para pedir la ayuda económica son que tanto Netsky (del mismo autor) como Sasser eran inofensivos, además, mientras que el primero era un virus antivirus, que inició una guerra contra Mydoom y Bagle (también Mimail y otros puntualmente); el segundo pretendía ser una llamada de atención sobre un agujero de seguridad grave, para obligar a la gente a parchear sus sistemas antes de que un código realmente malicioso las aprovechara (llegó algo tarde para eso, como ya vimos).

La detención del presunto autor, no ha acabado con el desarrollo del gusano Sasser, del que continuan saliendo versiones nuevas, ya sean hechas por un imitador o por otro miembro del Skynet Antivirus Team.

Desde el 13 de abril que Microsoft publicó los detalles de la vulnerabilidad que aprovechaba el gusano Sasser, hasta que éste empezó a manifestarse, el último día del mismo mes, fueron apareciendo, en rápida sucesión, numerosos exploits para el bug en el servicio LSASS.

Varios de estos exploits fueron incluidos rapidamente, antes de la aparición de Sasser, en diversas variantes de troyanos de la familia de los peligrosos Phatbot/Agobot/Gaobot.

Los antivirus son de poca utilidad ante los troyanos, salvo que sean muy conocidos y las nuevas versiones vayan apareciendo en intervalos largos de tiempo; y éste no es el caso de esta familia de troyanos, que raro es el día que no hay versión nueva (a veces más de una diaria). Además, estos troyanos lo primero que hacen es preocuparse de desactivar firewalls (la única defensa verdaderamente efectiva contra ellos) y antivirus (si hay alguno instalado) y, a veces, impedir la conexión a las páginas de éstos últimos, para que no sea posible la actualización de sus ficheros de firmas.

Después de estos tres párrafos introductorios, ya es hora de ir a la razón del título de esta nota. En un gran número de los equipos infectados por Sasser se están encontrando también una o más variantes de alguno de estos troyanos. Así como Sasser era practicamente inofensivo, no es el caso de estos "*bot", que hacen de todo, roban contraseñas, recogen números de tarjetas de crédito y de la seguridad social, usan las máquinas infectadas para enviar spam y realizar ataques DDoS (ataques sobre sitios web)...

Pese a que apenas se les da publicidad, son más peligrosos que cualquiera de los gusanos corrientes (y por lo general, casi inofensivos) de los que oímos hablar tan a menudo; datos de F-Secure del mes de marzo indican que podría haber cientos de miles de máquinas infectadas por alguno de estos troyanos; ahora mismo, la cifra podría muy bien haberse multiplicado.

El cortafuegos de Windows XP es perfectamente inútil contra cualquier troyano, para defenderse de éstos es necesario instalar otro de terceros. Hay muchos gratuitos que son lo suficientemente buenos, encontraras varios en esta lista.

Ayer, como cada segundo martes de mes, Microsoft publicó su boletín de seguridad con, en este caso, su parche correspondiente, ya que sólo hay una vulnerabilidad grave que corregir. Ha sido un mes bastante tranquilo, Sasser aparte, sólo un par de fallos menores, con poco peligro, en Outlook Express, que ni yo he nombrado aquí, ni a Microsoft le ha parecido necesario corregir.

La vulnerabilidad que soluciona el único parche de este mes está, otra vez, en el sistema de ayuda de Windows, y afecta sólo a las versiones XP y 2003 de este sistema operativo. Como todos los fallos anteriores del sistema de ayuda, es muy fácil sacar provecho de él, basta con convencer al usuario de que pinche en un enlace especial, ya sea en una página web o en un correo electrónico. Un atacante que logre ésto podría hacerse de hecho con el control del equipo, ya que el bug permite instalar y ejecutar cualquier programa, sin que el sistema muestre ninguna advertencia de lo que ocurre. Hay algún dato más que podría resultar interesante, ya que de nuevo han solucionado un agujero de seguridad eliminando la fuente del problema en lugar de arreglarla, en el artículo al respecto de VSAntivirus.

Mi recomendación es desconectar el sistema de ayuda, casi nadie lo usa, y es una fuente constante de problemas de seguridad. Para ello, en Windows XP, hay que ir a Inicio, pulsar Ejecutar, escribir en la ventana que se abre services.msc /s, en la nueva ventana, hacer doble-clic en "Ayuda y soporte técnico" y en tipo de inicio, elegir Deshabilitado.

Nota: Para el que el parche de Microsoft funcione correctamente, el sistema de ayuda debe estar habilitado. Después de instalar el parche, ya puede deshabilitarse tranquilamente.

VSAntivirus advierte de la aparición del gusano Sasser. Como en el caso de Blaster, el usuario no tiene que abrir un correo, ni ejecutar un archivo, ni hacer nada en absoluto, basta con estar conectado a Internet para infectarse.

La vulnerabilidad que aprovecha el virus, que Microsoft solucionó en sus parches del pasado mes de abril, está en una de las interfaces del protocolo RPC asociada con el servicio LSASS. Sólo las distintas versiones de Windows 2000 y Windows XP están afectadas.

Pese a que, igual que en el caso de Blaster, hay un parche de Microsoft que soluciona el problema, que se sabía que existían exploits para sacar provecho de la vulnerabilidad y de los avisos de Microsoft de que el riesgo de aparición de un gusano de estas características era alto, más los continuos rumores de la aparición inminente del mismo, parece (a juzgar por el número de usuarios reportando la infección en distintos foros) que son muchos los que no han parcheado sus equipos. Un firewall bien configurado también impediría la infección incluso aunque no se hubiera aplicado el parche todavía.

Para desinfectarse, hay que descargar el parche de Microsoft en primer lugar, y actualizar y usar un antivirus después. También pueden seguirse las instrucciones para la desinfección manual que VSAntivirus proporciona. Al aplicar el parche de Microsoft desaparecerán las molestias (los reinicios del equipo) que causa el virus, pero ésto no lo elimina. Una de las causas de que Blaster permaneciera activo tanto tiempo fue que muchos usuarios no desinfectaron sus equipos después de aplicar el parche, por lo que el gusano continuaba reproduciéndose e infectando otros ordenadores desde equipos ya parcheados.

Actualizado 2/5/2004

El virus 'Sasser' afecta a millones de ordenadores en todo el mundo.

Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de

• Facebook
• Twitter
• Whatsapp
• Email

Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha una vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de scripting tienen una cosa en común: la flexibilidad. Es decir, que pueden hacerse scripts muy diferentes entre sí que hagan exactamente lo mismo. Por eso, ayer podría ser cierto que el antivirus de Panda detectaba ese script, hoy quizá ya no lo sea, si el autor ha decidido modificar su código.

Lo que funciona bien con los virus, que son programas bastante complejos, y es díficil hacer grandes cambios, no funciona tan bien con los scripts, que son muy sencillos, y muchas veces se componen de sólo una o dos líneas de código.

Al hilo de lo que decía el otro día sobre la cada vez mayor falta de información en los boletines de seguridad de Microsoft, hay que añadir que siempre han usado un vocabulario algo especial en sus comunicados hasta el punto de que, como comenta rvr en su bitácora de Barrapunto alguien ha creído necesario hacer un diccionario Microsoft-Inglés.

Sin embargo, a veces, son realmente muy claros y directos. En la Microsoft Knowledge Base se encuentran recopilados los problemas conocidos del software de Microsoft junto con la solución recomendada por ellos mismos; gracias a Kim Scarborough tengo un ejemplo de lo que decía al principio del párrafo. La página de la Knowledge Base en cuestión describe un error de Outlook 2002 que impide el uso del programa, según Microsoft éstas son la causa y la solución del problema:

CAUSA
Este problema puede producirse si tiene usted un antivirus o un firewall instalado y funcionando en su computadora.

SOLUCION
Para resolver este problema, desinstale el antivirus o el firewall de su computadora.

¿Está claro, no? Gran solución. La página de la que hablo, hasta ayer, podía encontrarse aquí. Para evitar la publicidad negativa, Microsoft ha retirado el artículo que, en estos momentos, se estará reescribiendo. A ver qué dice cuando lo terminen.

Microsoft publicó ayer los boletines de seguridad de este mes, junto con sus parches asociados. En total, cuatro parches que corrigen un total de 20 vulnerabilidades. Todas las versiones de Windows están afectadas, como mínimo, por cinco de estos fallos.

Se quejan en Hispasec, con razón, de que Microsoft cada vez da menos información en sus boletines. Esto es así hasta tal punto que es difícil decir, al menos a primera vista, qué es lo que han corregido, sobre todo si tenemos en cuenta que, al menos para mí, la lista de los fallos pendientes comenzaba a ser inmanejable, por lo extensa.

Para los usuarios domésticos, lo más importante son varios fallos arreglados que permitían ejecutar cualquier código remotamente (y por lo tanto servían de punto de entrada de virus y troyanos) en Outlook Express, Internet Explorer y el servicio RPC, que el gusano Blaster hizo famoso el verano pasado y que no ha dejado de dar problemas desde entonces, ya he perdido la cuenta de cuantas veces ha sido necesario parchearlo.

A pesar de que el número de vulnerabilidades arregladas este mes es alto, Microsoft está lejos de ponerse al día y tanto Internet Explorer como Outlook y Outlook Express quedan muy lejos de poder ser considerados seguros. El último bug de Internet Explorer, no es que sea precisamente un fallo de seguridad, pero es ilustrativo de hasta que punto con este navegador los problemas no terminan nunca: un sencillo javascript permitiría a un webmaster con mala idea, enviar la página que se visita a la impresora de una a infinitas veces, sin pedir confirmación y, supongo, dando un buen susto al usuario (una cosa es que se te abra un pop-up y otra que salga impreso por sextuplicado).

Otro punto curioso es ver como, cada vez más, las versiones de Windows más modernas y consideradas más seguras por la propia Microsoft, como XP o 2003 Server, sufren de fallos críticos que no tienen efecto alguno o un efecto mucho más moderado en los vetustos Windows 98 y NT 4.

La vulnerabilidad en el cliente de la red P2P eDonkey eMule está explicada en Hispasec. La nueva versión del cliente de eMule, 0.42e, la corrige. Se recomienda actualizar inmediatamente, porque hay códigos en circulación que permiten aprovechar la vulnerabilidad.

El fallo en el reproductor multimedia WinAMP afecta a todas sus versiones desde la 2.91 (probablemente, también anteriores) hasta la 5.02. Consiste en un error en el manejo de los archivos de Fasttracker 2 que puede permitir la ejecución de código remota, por ejemplo, engañando al usuario para que visite una página web y reproduzca un archivo de ese tipo. La nueva versión 5.03 de WinAMP corrige el bug.

A estas alturas, no creo que quede nadie que no se haya enterado de que Google está preparando el lanzamiento de Gmail, un nuevo servicio de webmail gratuito con capacidad de 1GB, una cantidad de almacenamiento entre 170 y más de 500 veces superior a lo que ofrecen las compañías líderes de la competencia: Yahoo! y MSN Hotmail, entre otras.

Sin embargo, hay una gran cantidad de confusión y desinformación alrededor de la forma que Google va a usar para financiar Gmail: su servicio de publicidad Google AdSense y sus anuncios de texto relevantes respecto al contenido. Se especula que el hecho de permitir que Google AdSense explore y registre los mensajes en busca de palabras clave para introducir publicidad basada en texto en consonancia con el contenido, puede menoscabar la privacidad del usuario del servicio y se están levantando numerosas voces en contra de Google por este motivo.

Desde luego, la privacidad puede quedar en entredicho con el servicio de Google, pero es que la competencia no está mejor. De hecho, lo corriente no es sólo no garantizar en modo alguno la privacidad de los correos electrónicos, sino obligar al usuario, mediante el contrato que le da derecho a una cuenta de correo gratuita, a ceder los derechos del contenido de cualquier envío a la empresa prestadora del servicio; es decir, que no sólo no te garantizan que no leerán tus correos, sino que se arrogan la propiedad del contenido de los mismos. A continuación dos ejemplos, que, espero, sean suficientemente explicativos por sí mismos:

De las Condiciones de uso de Hotmail, punto 6:

Con respecto a cualquier material que usted envíe o de otro modo proporcione a Microsoft en relación con los Sitios Web de MSN (un “Envío”), usted autoriza a Microsoft a (1) usar, copiar, distribuir, transmitir, mostrar públicamente, ejecutar públicamente, reproducir, editar, modificar, traducir y cambiar el formato de su Envío, siempre en relación con los Sitios Web de MSN y (2) sublicenciar estos derechos, en la medida de lo permitido por la ley aplicable. Microsoft no le pagará a usted nada por su Envío. Microsoft podrá eliminar su Envío en cualquier momento. En lo que respecta a cada Envío, usted manifiesta tener todos los derechos necesarios para conceder la autorización prevista en esta cláusula. En la medida de lo posible de acuerdo a lo permitido por la ley en vigor, Microsoft podrá controlar su correo electrónico u otras comunicaciones electrónicas y podrá revelar dicha información, en caso de que estime que tiene las razones suficientes para creer que efectivamente resulta necesario, al objeto de garantizar el cumplimiento de este Contrato y de proteger los derechos, propiedad e intereses de los Colaboradores de Microsoft o cualquiera de sus clientes.

De las Condiciones del Servicio de Yahoo!, punto 10.7:

Salvo que expresamente se manifieste lo contrario en las Condiciones Particulares, la remisión por parte de los Usuarios de informaciones y/o contenidos a las secciones de acceso público de este Portal (incluyendo, a título meramente enunciativo, maquetas, sugerencias, ideas, dibujos, conceptos, comentarios, preguntas, o cualesquiera otros de análoga significación) a través del correo electrónico o de cualesquiera otros medios, implicará el otorgamiento a favor de Yahoo! de una licencia no exclusiva, sin límite en el tiempo, de ámbito mundial y de carácter gratuito para reproducir, almacenar, editar, modificar, publicar, incorporar en bases de datos, comunicar públicamente, transmitir, visualizar, distribuir, representar o, en cualquier otra forma, explotar comercialmente, en todo o en parte, tales informaciones o contenidos titularidad del Usuario en el Portal en cualquier forma o a través de cualquier medio o tecnología. Yahoo! se reserva el derecho, a su sola discreción, de editar, rechazar o eliminar las informaciones y/o contenidos antes referidos.

Creo que no hace falta añadir nada más, pero por si acaso, vamos a comparar con los Términos de Uso de Gmail, punto 5 (traduciré a continuación):

Google does not claim any ownership in any of the content, including any text, data, information, images, photographs, music, sound, video, or other material, that you upload, transmit or store in your Gmail account. We will not use any of your content for any purpose except to provide you with the Service.

Traducido:

Google no reclama la propiedad de ninguno de los contenidos, inclyendo texto, datos, información, imágenes, fotografías, música, sonido, video, o cualquier otro material, que suba, trasmita o almacene en su cuenta Gmail. No usaremos ninguno de sus contenidos para propósito alguno, con la excepción de proporcionarle el servicio mismo.

Concluyendo, que el alboroto formado alrededor de Google y la privacidad de sus usuarios está siendo claramente exagerado, ya que, de hecho, sus condiciones son mejores y más respetuosas que las de la competencia.

Actualización 5/4/2004

En google.dirson.com también se trata el tema.

Una vez más, la integración de Internet Explorer con el sistema operativo Windows es fuente de problemas de seguridad. En este caso, se trata de que se usa el motor de IE para mostrar los ficheros de ayuda de Windows y es posible llamarlos desde una página web (ya sea pinchando en un link o automáticamente usando javascript) mediante dos protocolos propietarios de Microsoft que sólo entiende Internet Explorer. No es la primera vez que hay problemas con estos protocolos, que han sido parcheados en distintas ocasiones. Secunia le otorga una gravedad de 4 en una escala de 5.

Mediante la nueva forma de explotar la debilidad del sistema de archivos de ayuda de Windows, en combinación o no con otras vulnerabilidades que aún no han sido parcheadas puede conseguirse lo siguiente:

• Comprobar la existencia de un fichero en una localización concreta dentro del árbol de directorios de Windows.
  
• Abrir un fichero de ayuda que se encuentra en un servidor remoto. Ésta es incluso divertida, si se usara éste sistema para abrir pop-ups, ningún antipop-up para IE (esto incluye el que vendrá integrado en IE 6.05 dentro del SP2 para Windows XP) podría detenerlas, porque el navegador de Microsoft las dibuja a petición del sistema de ayuda.
  
• Instalar y ejecutar programas y hacerlos funcionar en segundo plano, en modo invisible para el usuario (para instalarlos es necesario usar otra vulnerabilidad distinta, de ahí que ésta no reciba el nivel de gravedad máximo).
  

Una solución es eliminar la asociación de los archivos CHM con IE, esto desactivará el sistema de ayuda pues ya no habrá ningún programa capaz de abrir los ficheros. Otra solución es editar el registro de Windows y en la rama HKEY_CLASSES_ROOT/PROTOCOLS/Handler, eliminar los protocolos ms-its(its) y mk:@MSITStore (si alguien se decide a jugar con el registro de Windows, haced copia de seguridad antes, que nunca se sabe).

Windows 98 es inmune a ésta vulnerabilidad, ya que las librerías de su sistema de ayuda son distintas y funcionan de forma diferente a las de las versiones más modernas de Windows.

Tal y como adelanté a finales de enero, el portal comunitario Nautopia estrena su versión 3.0, con un nuevo formato (Movable Type), nuevo diseño, nuevo alojamiento y nuevo dominio: Nautopia.net.

De postre, han traducido al castellano el Manual de Usuario de Movable Type.

A través de los foros de MozillaZine me entero de que al menos un página de búsqueda de cracks está intentando instalar spyware a través del sistema XPI que los navegadores con motor Gecko usan para instalar extensiones. Si, en cambio, el navegador es Internet Explorer la página intentará instalar un control ActiveX. El spyware que se instala en ambos casos es XXXToolbar, así que toca hacer comparaciones de navegadores otra vez, en este caso Firefox 0.8 e Internet Explorer 6 SP1 con todos los parches instalados.

En mis pruebas con Firefox no salió el cuadro de diálogo pidiéndome que instalara la extensión maliciosa (Content Access Plugin 1.01), ni siquiera al intentarlo con una instalación por defecto. En MozillaZine también hay varios usuarios que están en la misma situación, el cuadro de diálogo no aparece automáticamente, como debería al cargar la página; probablemente, porque el javascript que trata de identificar al navegador no es muy bueno. Para instalar la extensión y probar qué hace exactamente tuve que bajarla al disco duro y después abrirla con Firefox.

Tras pulsar el botón de "Instalar ahora" (o en el mensaje del control ActiveX "OK"), se instala un archivo EXE (por lo que sólo funcionará en Windows, no en Linux, ni en Mac OS X, ni en ninguna de las otras plataformas en las que funciona Firefox), que ejecuta y éste, a su vez, descarga unos cuantos archivos más. Mientras en la prueba con IE, el firewall no se quejó, pues el control ActiveX usaba el mismo navegador de Microsoft para bajar los archivos, usando Firefox, el firewall saltaba a cada archivo, avisando de las descargas y ofreciéndome detenerlas). Una vez terminada la instalación, cerré Firefox y intenté abrirlo de nuevo, para ver si había algún cambio, pero se negó a abrirse hasta que reinicié. En la prueba con Internet Explorer, al intertar abrirlo de nuevo el sistema se reinició solo.

Tras reiniciar, me llevé un chasco, pues esperaba que XXXToolbar se hubiese instalado en Firefox como una extensión, pero éste no había sufrido cambio alguno. Al parecer, los archivos que se descargan son idénticos en ambos casos (control ActiveX o XPI) y los cambios siempre se realizan siempre sobre IE. A partir de aquí, pues, ya no hay comparación posible, los dos casos son idénticos: mientras Firefox continúa igual, Internet Explorer tiene una página de inicio nueva, que está fijada mediante el registro de Windows, usa un buscador de ocio y pornografía en lugar del de MSN y luce una barra que recomienda páginas pornográficas con buscador integrado y muestra publicidad en forma de pop-ups a cada momento.

Un repaso con Spybot-S&D actualizado dió como resultado 44 problemas, entre cambios en el registro de Windows, archivos ejecutables y librerías de sistema instaladas por el spyware.

Se ha abierto un informe de bug en Bugzilla para que en la proxima versión de los navegadores Gecko no haya posibilidad de que aparezca el cuadro de descarga automáticamente. También se está preparando un centro de control de extensiones mejorado que permita desintalarlas con facilidad.

Según parece, el Service Pack 2 para Windows XP, cuando salga, desactivará por defecto (por fin) los controles ActiveX en Internet Explorer, las actualizaciones se llevarán a cabo desde el Panel de Control de Windows en el nuevo Centro de Seguridad. Asimismo, traerá una nueva versión de IE, la 6.05, que vendrá con la posibilidad de instalar (mediante controles ActiveX) y desintalar add-ons (similar a las extensiones de Mozilla y Mozilla Firefox) desde un panel de control en el navegador. No está claro si Internet Explorer 6.05 estará disponible para otras versiones de Windows distintas de XP.

Las nuevas versiones del gusano Bagle (Q,R,S y T, practicamente idénticos entre sí) que empezaron a propagarse el día 18 vienen en un correo electrónico en HTML (es decir, envíado como página web) vienen sin fichero adjunto. Al abrir el mensaje o previsualizarlo en la ventana de Outlook o Outlook Express, el código HTML aprovecha una vulnerabilidad de Internet Explorer (Outlook y Outlook Express utilizan el motor de éste para previsualizar correos) para descargar el virus desde otro equipo ya infectado, autoejecutándose el código malicioso en cuanto termina la descarga.

Además, estas versiones de Bagle son, en cierta manera, virus "a la antigua", quiero decir con ésto que infectan archivos ejecutables y se produce la reinfección cada vez que se ejecuta uno de ellos que ha sido "parasitado" por el virus.

La vulnerabilidad de IE de la que se sirve el gusano para hacer esto debería haber sido resuelta con el parche MS03-040, que salió el 6 de octubre de 2003, pero que, según Enciclopedia Virus, no funciona en este caso.

El fallo ya no se da a través del navegador de Microsoft viendo una página web cualquiera, pero resulta que los sistemas operativos Windows consideran confiable todo lo que trata de ejecutarse desde el disco duro (la famosa "Zona de Confianza") y es justo ahí dónde van a parar los mensajes descargados del servidor de correo y, al parecer, eso no se tuvo en cuenta a la hora de crear el parche.

Hay que recordar asimismo que el parche MS03-040, es un parche para un parche, el MS03-032, que apareció el 20 de agosto de 2003. A ver si no tardan otra vez casi dos meses en sacar el parche para el MS03-040.

Las soluciones pasan por configurar Outlook y Outlook Express para mostrar todos los mensajes cómo texto plano, o bien, desactivar la vista previa y no abrir (basta con abrirlo para infectarse) ningún correo sospechoso. Otra solución es evitar el uso de los clientes de correo Outlook de Microsoft y usar cualquier otro, por ejemplo, Mozilla Thunderbird, que es de código abierto y gratuito o Mozilla Mail, incluido en la suite de internet Mozilla. El uso de un firewall correctamente configurado también debería detener la descarga del virus (el firewall de Windows XP no serviría de nada en este caso).