Hola,

La semana, además de los parches de Microsoft (incluyendo un evento crítico de escalada de privilegios en el sistema, exploits públicos para Excel y hasta para el mismísimo Wordpad), ha traído otras muchas novedades.

Me quedo con el informe 2009 de Verizon, todo un clásico a la hora de informar sobre incidentes relacionados con la fuga y/o exposición de información sensible. Este documento se ha publicado recientemente bajo el título Verizon 2009 Data Breach Investigation Report, y francamente, creo que es un buen input para documentarse sobre la tipología de los incidentes que provocan la exposición no deseada de información confidencial.

La portada, además de bonita y bien elaborada, incluye un dato que resume en cifras lo que ha sido 2008: 285 millones de registros quedaron expuestos, considerando los incidentes de los que Verizon tiene conocimiento (evidentemente, no todos los incidentes de este tipo se revelan)

52 páginas repletas de datos interesantes, como por ejemplo, un 74% de incidentes protagonizados por agentes externos a las organizaciones. Los atacantes internos suben un 2% en el interanual, siendo responsables de un 20% de los casos, mientras que desciende el número de incidentes con business partners y contratas externas involucradas, cayendo la cifra hasta un 32%. En el 39% de los casos documentados se ha determinado que las fugas de información estuvieron protagonizadas por múltiples partes.

Más datos: El 30% de los incidentes estuvo causado por el malware (y es que los troyanos de Windows son conflictivos, peligrosos y hacen sudar la gota gorda a los usuarios de estas plataformas, pero el mundo gira alrededor de más cosas que Windows). La palma se la lleva, como siempre, la comisión de errores operacionales severos, presentes en un 67% de los casos, seguido muy de cerca de incidentes soportados en hacking (un 64% de las casuísticas)

Creo que el texto puede ayudar a comprender qué se cuece realmente ahí fuera cuando hablamos de incidentes en los que se doblega la confidencialidad, más allá de las cábalas y aproximaciones hechas desde sillones desconectados de la realidad. El informe se puede descargar gratuitamente en http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf.

Por cierto, como comentan en ISC SANS, hay premio para quien descife el mensaje del pie de la página 48 :)

Un saludo para todos

Publicado el informe 2009 de Verizon sobre fugas de información

Microsoft publica 8 parches de seguridad

Microsoft acaba de publicar 8 parches de seguridad para este mes de abril, que corrigen fallos en varios productos de esta empresa, mas específicamente en 2 aplicaciones de office, 5 en windows, 1 de Internet Explorer, y 1 de ISA Server.

Parches de Seguridad Microsoft

Según la empresa de redmon de los 8 parches publicados 5 son de carácter critico, 2 importantes y 1 moderado, por lo tanto la instalación de estos debe realizarse lo mas pronto posible para evitar que tu equipo este desprotegido.

Los parches publicados en este boletín de abril son los siguientes:

• MS09-009: Vulnerabilidad en Excel (que esta siendo explotado por el Troyano Trojan.Mdropper.AC desde febrero)
• MS09-010: Varias vulnerabilidad en Wordpad y conversores de texto de Office.
• MS09-012: Varias vulnerabilidades en Windows XP, Vista, Windows Server 2003 y 2008.
• MS09-013: Varias vulnerabilidades, una ya es pública, del servicio WinHTTP que permitiría control total del sistema. Afecta a todos los sistemas Windows: 2000, XP, Vista, Server 2003, Server 2008.
• MS09-014: Varias vulnerabilidades de Interner Explorer, una ya es pública. Afecta a todas las versiones del navegador con excepción de la última IE8.

Fuente:
www.dragonjar.org

Múltiples vulnerabilidades en Cisco ASA y Cisco PIX

Cisco ha anunciado la existencia de múltiples vulnerabilidades en los dispositivos Cisco ASA de la serie 5500 y Cisco PIX.

Los problemas son:

• Un fallo podría permitir a un atacante eludir la autenticación VPN si la funcionalidad de ‘override’ está activa. Un usuario de VPN en Cisco PIX y ASA podría presentarse en la sesión incluso si la cuenta está deshabilitada.
• Un problema a la hora e procesar paquetes SSL o HTTP especialmente manipulados podría hacer que dispositivos ASA sufrieran una denegación de servicio si está configurado para gestionar conexiones VPN SSL. El problema se da en cualquier interfaz si está activo el ASDM. No es necesario establecer el three way handshake en TCP con el dispositivo para aprovechar este fallo.
• Un problema de denegación de servicio si se envían paquetes TCP especialmente manipulados a un dispositivo vulnerable. No es necesario establecer el three way handshake en TCP con el dispositivo para aprovechar este fallo.
• Un problema de denegación de servicio si se envían paquetes H.323 especialmente manipulados a un dispositivo vulnerable y la inspección H.323 está activa. No es necesario establecer el three way handshake en TCP con el dispositivo para aprovechar este fallo.
• Un problema de denegación de servicio si se envían paquetes SQL*Net especialmente manipulados a un dispositivo vulnerable y la inspección SQL*Net está activa.
• Existe un problema en las Access Control Lists (ACL) de Cisco ASA y PIX que puede permitir a un atacante eludir la regla de denegación implícita de las ACE si se llega al final de la ACL.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en la siguiente liga.

http://www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml

Smashing the stack for fun and profit

Bueno esta es la traducción de la lectura que dejo este Eduardo

Smashing the stack for fun and profit


Fuente: www.baxware.com

Si pueden no lo habrán con el bloc de notas ya que no respeta los saltos de linea y no se pude leer bien

Conficker

El virus Conficker, también conocido como Downadup o Kido, ha sido el de mayor propagación de los últimos doce meses, con el objetivo de crear una gran red de ordenadores-zombi, controlados de forma remota.

En poco tiempo infectó a más de 10 millones de ordenadores, y se calcula que a mediados de Enero ya había contaminado al 6% de los ordenadores de todo el mundo. Tan alta tasa de infecciones ha llevado a colocarlo en la lista de los virus con mayor índice de propagación, comparable a las grandes epidemias generadas como Iloveyou, Kournikova o Blaster.

¿Cuál es el grado de peligrosidad real de Conficker?

Conficker se aprovecha de una vulnerabilidad en el servicio RPC de Windows. El ataque tiene lugar enviando una petición inicial al ordenador. En caso de ser vulnerable, se envía un archivo malicioso al ordenador de la víctima. Entonces, dicho archivo instala un servidor http y el ahora infectado PC envía otras peticiones de comprobación a otros equipos, y al igual que en el caso anterior, se procede al envío de nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.

Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, sticks, cámaras y similares.

Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios, que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conflicker genera 250 nuevos nombres de dominio al día, basándose en la fecha.

¿Cómo protegerse?

La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota una vez da con él, es de dominio público desde octubre de 2008.

* Microsoft ha ofrecido la actualización para solventar dicho agujero, pero por desgracia muchos responsables de red no han reaccionado a tiempo ni descargado y aplicado el parche disponible.
* utilización de contraseñas adecuadas de red y de cuentas de usuario. Una contraseña sencilla como “12345” o “admin” no proporciona seguridad alguna.
* No utilizar dispositivos extraíbles como los sticks USB (mecanismo de autoarranque)
ya que son uno de los principales caminos para la difusión de Conficker.

OpenDNS proporciona un servicio que reconoce los PCs de una red que han sido infectados por Conficker y bloquea el acceso a los 250 nuevos dominios botnet que se crean cada día. De esta forma, los PCs zombi infectados no reciben instrucciones de quien pretende controlarlos de forma remota, por lo que permanecen inactivos.

¿Cómo saber si Conficker ha infectado un ordenador?

Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ [Random name for the service]
Image Path = „%System Root%\system32\svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\[Random name for the service]\Parameters
ServiceDll = „[Path and filename of the malware]“

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost

También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan:
Windows Security Center
Windows AutoUpdate
Windows Defender
Error Reporting Service

Impide el acceso a sitios web de los fabricantes de antivirus más importantes y portales de información sobre malware:

„virus“, „spyware“, „malware“, „rootkit“, „defender“, „microsoft“, „symantec“, „norton“, „mcafee“, „trendmicro“, „sophos“, „panda“, „etrust“, „networkassociates“, „computerassociates“, „f-secure“, „kaspersky“, „jotti“, „f-prot“, „nod32“, „eset“, „grisoft“, „drweb“, „centralcommand“, „ahnlab“, „esafe“, „avast“, „avira“,
„quickheal“, „comodo“, „clamav“, „ewido“, „fortinet“, „gdata“, „hacksoft“, „hauri“, „ikarus“, „k7computing“, „norman“, „pctools“, „prevx“, „rising“, „securecomputing“, „sunbelt“, „emsisoft“, „arcabit“, „cpsecure“, „spamhaus“, „castle„wilderssecurity“, „windowsupdate“

Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:

http://checkip.dyndns.org
http://getmyip.co.uk
http://www.getmyip.org

En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:
ask.com
baidu.com
google.com
msn.com
www.w3.org
yahoo.com
Los ordenadores que accedan a estos dominios pueden estar infectados.

¿Cómo deshacerse de Conficker?

A través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Videos:
http://www.youtube.com/watch?v=eoAYsGV5MkY
http://www.youtube.com/watch?v=5ET1ttfSMuc

Feria de Cómputo 2009

Universidad Nacional Autónoma de México



Estimado Universitario



Te extendemos una cordial invitación para que asistas a la Feria de Cómputo UNAM 2009, que se llevará a cabo del Jueves 23 al Domingo 26 de Abril de las 9:30 a las 19:00 horas, en el Estacionamiento para Aspirantes ubicado en Avenida del IMAN S/N, a espaldas del Museo de las Ciencias UNIVESUM, en Ciudad Universitaria.



En esta Feria podrás adquirir equipo de cómputo, software, materiales y utiles escolares a precios preferenciales. Encontrarás diversos esquemas de financiamiento y asesoría para adquirir el equipo que necesitas.



Pasa la voz, invita a tus familiares y amigos



En la página www.feriadecomputo.unam.mx encontrarás información de las empresas y distribuidores participantes, Recuerda que para ingresar a la Feria deberás mostrar tu credencial de Alumno o Exalumno de la UNAM.



Aprovecha esta oportunidad, ¡te esperamos!



El Comité Organizador