Las barras antiphishng se han convertido en una funcionalidad muy popular en los navegadores. Los dos más utilizados, Firefox y la nueva versión de Internet Explorer, incluyen de serie sistemas para detectar las páginas fraudulentas. Existen otras barras que pueden ser acopladas a casi todos los navegadores, pero un estudio de la universidad Carnegie Mellon concluye que su efectividad en general deja mucho que desear.

Finding Phish: An Evaluation of Anti-Phishing Toolbars es un estudio independiente realizado por la universidad Carnegie Mellon en Pittsburgh, que pone a prueba diez barras antiphishing distintas. Microsoft Explorer 7, eBay, Google, Netcraft, Netscape, Cloudmark, Earthlink, TrustWatch de Geotrust, Spoofguard de Stanford University, y SiteAdvisor de McAfee.

Se han realizado varios tipos de pruebas que observaban el comportamiento de la barra en el tiempo, y su capacidad de reaccionar ante nuevas amenazas. También se ha intentado engañar a las barras con técnicas de ofuscación de la URL. A pesar de lo sencillo de la solución de este tipo de engaños, y de que todas las barras usan distintas técnicas de detección, la mayoría (Cloudmark, Google, McAfee, TrustWatch, Netcraft, y Netscape) caían en la trampa.

El estudio concluye que incluso de entre las que se podrían considerar más efectivas, (Earthlink, Netcraft, Google, Coudmark, e Internet Explorer 7) sólo detectaban el 85% de páginas fraudulentas. El resto no llegaban al 50% de detección, y los buenos resultados hay que matizarlos también con un alto porcentaje de falsos positivos.

Se han ayudado de repositorios de lugares sospechosos de phishing como phishtank.com y otras fuentes propias, aunque parece que el estudio no ha sido demasiado profundo y que no se han basado en una muestra suficientemente amplia de ataques. En el mismo documento advierten de que evaluar algo así resulta excesivamente complejo. Es un campo muy dinámico como para ofrecer una visión determinante y se debería matizar mucho cada caso.

Aunque en el informe afirman que ninguna barra se puede considerar como una firme candidata a defender al usuario y que en general no aprueban, como primera línea de defensa una barra antiphishing puede ser una gran ayuda, siempre que se sepa ser crítico con sus “consejos”. Sin duda no habría que fiarse totalmente de su criterio a la hora confiar o no en la veracidad de una página, pues ocurre exactamente lo mismo que con las soluciones antivirus: que un antivirus no detecte un archivo como sospechoso no garantiza nada, lo comprobamos a diario en VirusTotal. Con las soluciones antiphishing como con los antivirus, sólo un estudio pormenorizado de cada caso puede ofrecer ciertas garantías.

Además, estas medidas paliativas están a la baja, pues atacan al “phishing tradicional” (el que se basa en la introducción de credenciales en páginas falsas). Cada vez más, los robos de contraseñas se realizan a través de sofisticados troyanos bancarios, capaces de robar las credenciales incluso al visitar una página legítima. En estos casos es el propio sistema el que está comprometido y como medida preventiva (entre muchas otras), encajan mejor los antivirus que las barras.

Más información:

Study shows antiphishing toolbars are ineffective
Fuente: Hispasec.com

F-Secure habla en su blog de una nueva prueba de concepto de tipo adware, que permite mostrar molesta publicidad mientras se trabaja en el sistema. Esto no sería noticia si no fuera por tres importantes razones:
Una es que ha sido realizado para Mac, otra es que no necesita de permisos de administrador para ser instalado -infectar- el sistema y otra (la más sorprendente) es que no aprovecha un fallo, sino una funcionalidad.

En F-Secure no dan demasiados detalles. Hablan de una prueba de concepto recibida que permite ser instalada de forma silenciosa en el sistema Mac sin necesidad de ser administrador. El adware se engancharía a las aplicaciones usadas y lanzaría un navegador de sistema (se entiende que Safari) cada vez que el usuario ejecutase una aplicación. Lo preocupante es que no necesita de permisos de administrador para poder instalarse.

No revelan la técnica exacta pero advierten de que no se trata de un programa que aproveche una vulnerabilidad, sino que es una funcionalidad lo que permite esta instalación no deseada. “Digamos que no se debería permitir la instalación de una librería de sistema sin preguntar al usuario” es todo lo que dejan ver los analistas de F-Secure.

No dan detalles sobre cómo es posible infectarse, ni de la popularidad del adware. Supuestamente no pase de eso, una simple prueba de concepto que ha caído en sus manos y han analizado. No se trata precisamente de una epidemia. Pero iAdware (como lo han bautizado), sí supondría un peligroso troyano para Mac. El hecho de que no necesite privilegios y que aproveche una funcionalidad, lo convierte en una muy seria amenaza para los usuarios de Mac OS X, no acostumbrados a este tipo de riesgos.

F-Secure remata su entrada con una frase provocadora y envenenada, jugando con la facilidad de uso de los sistemas de Apple: “[Aprovechar este problema] es mucho más sencillo que en Windows. Después de todo,es un Mac”.

Estaríamos ante una potencial escalada de privilegios muy seria, que vuelve a demostrar que las sensaciones de seguridad son demasiado efímeras y dependen en gran medida del momento. Mac es un sistema muy seguro por diseño, no cabe duda, y hoy por hoy no es objetivo masivo de mafias y demás morralla informática, lo que ha permitido a sus usuarios respirar con cierta tranquilidad. Pero esto no garantiza nada sobre el futuro.

La seguridad se basa tanto en los sistemas como en los usuarios, en su forma de interactuar con esa tecnología y en el momento concreto en el que son usados. Sentirse más seguro por usar una u otra solución, o creer que se mantendrá siempre en un mismo estado de “seguro” o “inseguro” independientemente de las circunstancias, no es más que cuestión de gustos y comodidad. Una “sensación” u “opinión” no hace más seguro un sistema, más bien al contrario.

Más información:

iAdware

El Centro de Alerta Temprana Antivirus, órgano de prevención y fomento de la seguridad en Internet, propiedad de INTECO, propone una serie de reglas para proteger los nuevos equipos y conexiones. Con ello se pretende que desde el primer día de uso, los nuevos internautas puedan navegar seguros y establecer sus comunicaciones de correo electrónico sin temor a ver infectados sus PCs de forma sorpresiva.

Este catálogo de normas, que puede consultarse en alerta-antivirus.red.es, se resume en las siguientes:

* 1.- Instale un cortafuegos: un cortafuegos o ‘firewall’ es un software destinado a garantizar la seguridad en sus comunicaciones vía Internet. El cortafuegos bloquea las entradas sin autorización a su ordenador y restringe la salida de información. Instale un software de este tipo antes de conectar su equipo a Internet o a otras redes.

* 2.- Use el Antivirus: antes de conectar su ordenador a Internet, compruebe que cuenta con un antivirus instalado. Este antivirus puede estar incluido en las aplicaciones propias de su PC, o ser un servicio más de su proveedor de Internet.

* 3.- Haga copias de seguridad. Es la medida más sensata para asegurarse que no pierde información que pueda verse afectada por algún virus.

* 4.- Actualice su sistema operativo y el software: compruebe que el sistema operativo que instale en su ordenador es la última versión del mismo, de tal forma que incluya todas las aplicaciones de seguridad previstas. Puede actualizar su sistema operativo en la página web del CATA (alerta-antivirus.red.es). Actualice también el software: todas las compañías del sector publican actualizaciones de sus productos de forma regular; además, la web del CATA ofrece acceso a las últimas versiones.

* 5.- Tenga cuidado con los mensajes que le soliciten contraseñas y nombres de usuario. El 2004 ha registrado un importante incremento de los casos de ‘phising’ (envíos en forma de correo electrónico que le piden sus claves o contraseñas para acceder de forma fraudulenta a su cuenta bancaria). Hay que tener en cuenta que ninguna entidad bancaria emplea ese método.

* 6.- Utilice software legal: es seguro, en tanto que las copias piratas tienen grandes riesgos ante problemas de seguridad.

* 7.- Vigile su correo electrónico: desconfíe de aquellos correos que le lleguen en otros idiomas. Desconfíe de los correos de procedencia desconocida, o que ofrecen productos mágicos, vacaciones gratuitas, o fotos que no debe dejar de ver. Verifique el origen de los correos electrónicos: es habitual en los virus actuales ‘robar’ la libreta de correo de algún amigo suyo. Si recibe un mensaje de un conocido con un ‘Asunto’ poco habitual en él, compruebe su procedencia real antes de abrirlo.

* 8.- Desconfíe de los mensajes repetidos: si recibe dos o más correos con remites diferentes y un mismo asunto, puede tratarse de un virus que disimula su origen. Compruebe en la web del CATA si se trata de mensajes ya detectados como virus.

* 9.- Evite las ventanas indeseadas: si no desea ver las ventanas publicitarias emergentes que en ocasiones se disparan al navegar por Internet, no olvide instalar las aplicaciones que lo evitan, disponibles también en la web del CATA.

* 10.- Compras a través del comercio electrónico: Lo más recomendable a la hora de utilizar el comercio electrónico es que la web donde se realicen las compras online esté dotada de medidas de seguridad certificadas y reconocidas. El Centro de Alerta sugiere utilizar una única tarjeta para comprar en Internet y mantenerla con el saldo mínimo necesario. Es importante informarse periódicamente de los movimientos bancarios registrados en las cuentas.

* 11.- Para los usuarios más jóvenes que estrenan ordenador o que utilizan Internet por primera vez: Los jóvenes que estrenen ordenador o se conecten por primera vez a Internet debe estar acompañados por sus progenitores. Padres e hijos comprobarán juntos que el PC está correctamente protegido. Si el menor de edad accede a Internet por primera vez, Red.es pone a su disposición el portal www.chaval.es para iniciarle de forma segura y pedagógica.

* 12.- Para mayor seguridad de los padres existen herramientas que permiten a los progenitores limitar la visualización de determinados contenidos. Los documentos adjuntos en el correo electrónico, las redes de intercambio P2P, los chats y los sitios web de juegos online pueden traer consigo software espía, programas nocivos y enlaces a contenidos maliciosos.

* 13.- Manténgase informado: la información es la mejor vacuna. Esté atento a los medios de comunicación y visite las páginas del Centro de Alerta Antivirus de forma habitual.

Las herramientas de desinfección comunes no requieren instalación y se ejecutan bajo demanda, como complemento a la herramienta antivirus residente de su sistema. Enlaza a la página de descarga de la herramienta de reparación común para algunas variantes de virus.

En español

Dr.Web Antivirus ofrece la herramienta gratuita Dr.Web CureIt que al ejecutarse realiza un chequeo exprés de los procesos en ejecución y memoria, una vez terminado, permite realizar un análisis sobre las unidades de disco del sistema seleccionadas.

Permite cambiar los parámetros del análisis, activar técnicas heurísticas, chequear los sectores de arranque, la memoria, los archivos de inicio y también permite seleccionar la acción que se quiere realizar sobre los objetos infectados, tales como eliminar, renombrar ó mover. Una vez finalizado el análisis muestra estadísticas sobre los archivos analizados y el código malicioso encontrado en las distintas unidades de disco, y un informe con las acciones que se han llevado a cabo sobre cada objeto, permitiendo seleccionar la acción a realizar sobre los objetos sospechosos (en los que no se ha realizado ninguna acción) que probablemente contengan código malicioso.

No permite la actualización automática por Internet, para poder realizarla debe descargarse de nuevo la aplicación con la siguiente versión.

Herramienta para la eliminación de software malintencionado de Microsoft facilita la eliminación de cierto software malintencionado, como Sasser, Blaster y MyDoom y sus variantes.

La lista específica de virus, gusanos y troyanos que puede eliminar la herramienta se encuentra en el siguiente enlace http://support.microsoft.com/kb/890830/, en el apartado de “Información de lanzamiento”. Suele actualizarse cada mes, pudiendo hacerlo desde Windows Update ó mediante actualizaciones automáticas.

Dispone de tres clases de análisis del sistema, un análisis rápido que busca sólo en las posibles áreas del sistema que puedan ser objeto de dichas infecciones; como en el registro, si detectará alguna infección es aconsejable realizar un análisis completo, también se puede analizar de manera personalizada únicamente en las carpetas seleccionadas.

Una vez analizado el sistema, si no ha detectado ninguna infección, la herramienta pasa a ejecutarse en modo silencioso, si detectará alguna infección, la siguiente vez que un administrador inicie su sesión, le aparecerá un globo en el área de notificación para indicar la detección.

Si quiere saber más sobre los detalles de esa detección, sólo sería necesario pulsar sobre dicho icono. Microsoft dispone también de la misma herramienta para su ejecución  en línea.

En inglés

Trend Micro ofrece la herramienta de desinfección Sysclean que analiza el sistema para la detección y eliminación de virus, entradas de registro malintencionadas, entradas del sistema de ficheros, así como la terminación de instancias en memoria de código malicioso, mediante la utilización de patrones de virus de Trend Micro.

Es necesario descargarse los ficheros de firmas de Trend Micro, del tipo lpt$vpn.XXX, antes de ejecutar la aplicación sysclean.com. Se necesita crear una carpeta donde se exporten los ficheros de firmas, junto con el fichero ejecutable, para poder ser ejecutado.

Esta herramienta está diseñada para ejecutarse bajo Windows 9x/ME/NT/2000/XP.

McAfee ofrece una herramienta común de desinfección Stinger que mediante el empleo de técnicas de patrones de virus, genera una lista que incluye las variantes de virus más conocidas, permite el escaneo de procesos, ficheros comprimidos y sectores de arranque, una vez detectadas las posibles infecciones víricas del sistema, se pueden realizar sobre los ficheros infectados, las siguientes acciones como renombrar, reparar ó eliminar.

Para ello es necesario seleccionar las opciones dentro del panel que aparece al pulsar sobre “Preferences”.
Hay varias versiones disponibles del programa, cada una contiene unas firmas de virus específicas que se detallan en su página web.

Norman ofrece la herramienta común de desinfección NGenFix que detecta y elimina software malicioso específico, abarca la limpieza de todas las variantes conocidas de las familias de la lista de virus definida, que se puede consultar desde la herramienta, elimina procesos infectados en ejecución, restaura valores de claves del registro, elimina referencias del fichero hosts introducidas por malware, etc.

Puede ser soportado por los siguientes sistemas operativos: Windows 98, Me, NT, 2000, XP y 2003.

AVG Antivirus ofrece una herramienta de desinfección Vcleaner, para la detección y eliminación de algunos de los virus más propagados por Internet, la lista está disponible en la página de descarga de la herramienta.

Antivir ofrece la herramienta gratuita AntiVir Removal Tool for Windows que elimina las amenazas siguientes: Worm/NetSky.P, Worm/Sober.J, Worm/Sober.P, Worm/Sober.Y, W32/Stanit.A.

Finaliza los procesos activos que creó el virus, limpia las claves del registro de Windows que han sido modificadas, restaurando los valores iniciales por defecto que tenía el sistema afectado y elimina las nuevas claves que haya añadido dicho virus.

Ofrece en pantalla el resultado del escaner. Sistemas que soporta: Windows 98/ ME/ NT/ 2000/ XP/ 2003 Server.

Se ha encontrado una vulnerabilidad en la forma en la que Mac OS X maneja el formato DMG que podría permitir la ejecución de código arbitrario. DMG (Disk iMaGe) es un formato muy común de instalación en entornos Mac.

La función (com.apple.AppleDiskImageController) responsable de abrir las imágenes de disco no comprueba adecuadamente los datos, lo que pude ser aprovechado para ejecutar código si el usuario abre una imagen especialmente manipulada.

El problema se agrava porque en el navegador por defecto del sistema, Safari, está marcada por omisión la opción que permite abrir lo que considera ficheros “seguros” automáticamente. Esto permitiría a un atacante colgar de una página un fichero DMG especialmente manipulado y con sólo pinchar sobre el enlace, la imagen se descargaría y abriría, completándose el ataque.

Se ha creado una prueba de concepto que hace que el sistema genere un “kernel panic”, pero según el descubridor es posible modificarlo para ejecutar código arbitrario en modo kernel por parte de usuarios no privilegiados. El hecho de trabajar con una cuenta de usuario sin permisos de administración, por tanto, no mitigaría el problema.

Parece que el fallo afecta al sistema operativo bajo procesadores Intel y PowerPC y ha sido comprobado en las últimas versiones de Mac OS X completamente parcheadas.

No existe parche oficial. Se recomienda a los usuarios de Safari que desactiven la opción de abrir ficheros “seguros” después de ser descargados y a los usuarios de Mac OS X en general, evitar la ejecución de archivos DMG sospechosos.

El fallo ha sido descubierto bajo el programa del “Mes de los fallos en el núcleo” (Month of kernel bugs).

Más información:

Mac OS X Apple UDIF Disk Image Kernel Memory Corruption
http://kernelfun.blogspot.com/2006/11/mokb-20-11-2006-mac-os-x-apple-udif.html

Fuente: Hispasec

Microsoft ha publicado seis nuevos Boletines de Seguridad en noviembre (en inglés), que proporcionan parches para vulnerabilidades descubiertas recientemente.

• Boletín MS06-066: Importante (NetWare)
• Boletín MS06-067: Crítica (Internet Explorer)
• Boletín MS06-068: Crítica (Microsoft Agent)
• Boletín MS06-069: Crítica (Flash Player)
• Boletín MS06-070: Crítica (Servicio ‘Workstation’)
• Boletín MS06-071: Crítica (MS XML Core Services)

Instale en su equipo aquellos parches que sean de aplicación al software que utiliza en su sistema.

Para mantener la seguridad de su sistema recomendamos a todos los usuarios Windows que visiten el sitio web de Windows Update (para actualizaciones automáticas).

Tan Chew Keong ha encontrado una vulnerabilidad en el control ActiveX LunchApp.APlunch que puede ser aprovechada por atacantes para ejecutar código. El fallo podría afectar al sistema operativo que por defecto viene instalado en muchos de los portátiles Acer.

LunchApp.APlunch forma parte del conjunto de aplicaciones propias de Acer que se distribuyen por defecto en sus portátiles. El problema se debe a que el control ActiveX incluye un método Run inseguro que ejecuta cualquier archivo pasado por parámetros. Esto puede ser aprovechado para ejecutar sin permiso cualquier programa que se encuentre en el sistema a través de una página especialmente manipulada, si un usuario la visita y ésta llama al control ActiveX.

Aunque Internet Explorer bloquea por defecto (en su zona de “Internet”)el uso de ActiveX que no estén marcados como seguros, el problema es que a pesar de su potencial peligrosidad, Acer firma este control como “seguro para la inicialización” y “seguro para la automatización”. Con esta forma especial de firmar los controles, los fabricantes están
asegurando que sus ActiveX son seguros independientemente de cómo se inicien y cómo se utilicen sus propiedades. Cuando el control es llamado desde Internet Explorer 6 (y la página no está restringida a través de las zonas), el navegador se basa en la firma del fabricante y lo ejecuta sin pedir confirmación si está marcado de esta forma.

Además de esta firma “descuidada”, el archivo OCX parece que data de noviembre de 1998 y no ha sido actualizado desde entonces. Contiene métodos como Run, Cmdline, FileName y Drive, que permiten crear un sencillo ataque que ejecutaría cualquier programa (con parámetros) alojado en el sistema. El descubridor adjunta (en su página) una prueba de concepto bastante explícita que ejecuta la calculadora de Windowscon sólo visitar una web.

Se ha comprobado el problema en Acer TravelMate 4150, pero es bastante probable que exista en muchos otros modelos. Por ejemplo, según el descubridor, en el más actual Acer Aspire 5600 también está presente el archivo, pero en este caso el sistema operativo por defecto en el portátil ha sido actualizado con Internet Explorer 7 y éste no ejecuta de forma “silenciosa” controles ActiveX firmados, pidiendo confirmación.

El fallo se ha encontrado en la versión 1.0.0.0 del archivo lunchapp.ocx, aunque otras versiones podrían verse afectadas. Se recomienda renombrar el archivo, borrar las ramas del registro que marcan a este control como seguro o establecer el kill bit del control para evitar que sea utilizado, a través de este archivo .reg, por ejemplo:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE

¿Ya conoce los riesgos que ocasionan los spyware? No solo cambian el comportamiento de su computadora cuando se conecta a Internet sino que permite que intrusos ingresen a su equipo para apropiarse de información confidencial que luego puede ser empleada con fines delincuenciales. En las siguientes líneas encontrarán una breve reseña de los más dañinos de la red. . Por ello El Comercio les ofrece la lista de las aplicaciones más peligrosas que inundan la red bajo diversos formatos y afecta principalmente a los usuarios del navegador Internet Explorer. Parte de esta información fue obtenida de Webroot, empresa de seguridad informática que desarrollo un estudio basado en su programa de rastreo Spy Audit.

CoolWebSearch (CWS)
Secuestra el navegador Internet Explorer y provoca que las búsquedas se dirijan hacia sitios de pornografía.

Gator
Es un adware que se aloja secretamente en aplicaciones gratuitas y populares como Kazaa, Imesh, Edonkey, que sirven para descargas gratuitas de música en formato MP3. Provoca que aparezcan ventanas de publicidad de forma incesante.

n-CASE
Es igual al anterior y abre ventanas emergentes cuando conoce los hábitos del usuario.

Internet Optimizer
Se supone que sirve para mejorar la navegación por Internet, pero sus autores lo hicieron para lograr que cada vez que usted se equivoca al digitar una dirección en un sitio web, vaya de inmediato hacia páginas que ellos controlan.

PurityScan
Se ofrece gratuitamente prometiendo borrar imágenes de pornografía en su computadora,pero en realidad le suelta ventanas de publicidad en su navegador.

Transponder o vx2
Viene en ciertas aplicaciones gratuitas. Se incrusta en el Explorer y rastrea su navegación, nombres de usuario y datos de formularios para enviarle luego publicidad personalizada. ¿De dónde cree que vienen esos emails en inglés donde le ofrecen desde Viagra hasta cursos en línea?

ISTbar/AUpdate
También se instala en el Explorer y suele introducirse cuando navega por sitios para adultos. Le ofrece la ayuda ideal para buscar pornografía, pero lo único que hace es secuestrar su navegador y llevarlo por otras páginas de pornografía.

KeenValue
Es otro adware que despliega ventanas emergentes publicitarias.

Perfect Keylogger
Mucho ojo sobre este. Es difícil detectar si está instalado en un equipo de acceso público. Recuerde que solo el administrador podrá “limpiarlo”. Pero lo más recomendable es evitar hacer transacciones financieras desde estos lugares. El programa audita y graba todos los sitios web visitados, las contraseñas y otra información que se escribe en el teclado, algo que claramente permite robar información confidencial del usuario.

TIBS Dialer
Es es un marcador telefónico que se instala en su pantalla de escritorio sin que el usuario se de cuenta. Usualmente suele sorprender a los niños y a los adultos que desconocen los efectos de hacer clic sobre ciertas páginas pornográficas.

Juan Carlos Luján

Fuente: elcomercioperu.com.pe

Breve resumen de las novedades producidas durante el mes de septiembre de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA EN AGOSTO

* La Delincuencia Informática Transnacional y la UDIMP

http://www.criptored.upm.es/paginas/docencia.htm#gtletraL

* ROSI, Retorno Sobre la Inversión de Seguridad (Abstract)

http://www.criptored.upm.es/paginas/docencia.htm#gtletraR

* Otros sitios:
Ponencias de Journal of Theoretical and Applied Electronic Commerce Research

http://www.jtaer.com

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Octubre 26 y 27 de 2006: Storage y Security Forum 2006 (Barcelona – España)

http://www.itieurope.net/barcelona_visitante_carrefour_sp.php

* Noviembre 14 y 15 de 2006: Tercer Congreso CONSECRI y Segundo Congreso Hispano-Luso CONSETIC (Buenos Aires – Argentina)

http://www.consetic.com.ar/

* Noviembre 14 al 17 de 2006: Primer Congreso Mexicano de Seguridad Informática MCIS/COMSI 2006 (Oaxaca – México)

http://lssd.esimecu.ipn.mx/comsi/

* Noviembre 28 a diciembre 1 de 2006: IV Congreso Internacional de Telemática y Telecomunicaciones CITTEL ‘2006 (La Habana – Cuba)

http://www.cujae.edu.cu/eventos/cittel/default.aspx

* Febrero 12 al 16 de 2007: VIII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones (La Habana – Cuba)

http://www.informaticahabana.com/

* Abril 18 al 20 de 2007: 3rd International Conference on Global E-Security ICGeS ’07 (Londres – Inglaterra)

http://www.uel.ac.uk/icges

* Mayo 20 al 24 de 2007: EUROCRYPT 2007 (Barcelona – España)

http://www.iacr.org/conferences/eurocrypt2007/

CONGRESOS EN IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:

http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:

http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE SEPTIEMBRE DE 2006

* Blog de Seguridad Informática RaDaJo (España)

http://radajo.blogspot.com

* Tercer Congreso CONSECRI y Segundo Congreso CONSETIC en Buenos Aires (Argentina)

http://www.consetic.com.ar/

* Celebración de Storage y Security Forum 2006 en Barcelona (España)

http://www.itieurope.net/barcelona_visitante_carrefour_sp.php

* Beca Predoctoral en Criptología y Seguridad de la Información en el CSIC (España)

http://www.iec.csic.es/

* Clausurada IX RECSI en Barcelona e Invitación a la X Edición en Salamanca (España)

https://www.recsi2006.org/

* Call For Papers para EUROCRYPT 2007 a celebrarse en Barcelona (España)

http://www.iacr.org/conferences/eurocrypt2007/

* First International Conference on Ambient Intelligence Developments AmI.d’06 (Francia)

http://www.amidconference.org/

* CFP 3rd International Conference on Global E-Security ICGeS ’07 (Inglaterra)

http://www.uel.ac.uk/icges

* Seminario UPM Puntoes Seguridad en Wireless en el Parador de Salamanca (España)

http://www.puntoes.es/master_seminarios/index.asp

* Primer Congreso Cátedra CAPSDESI y Computer Security Day en Madrid (España)

http://www.capsdesi.upm.es/

* Presentada CriptoRed en la Universidad Técnica Particular de Loja (Ecuador)

http://www.utpl.edu.ec/

Fuente:  CriptoRed

Se han encontrado dos problemas de seguridad en WinZip que pueden permitir la ejecución de código arbitrario si se visita una página especialmente manipulada. Los detalles para aprovechar la vulnerabilidad son públicos.

Se han encontrado dos problemas de seguridad en WinZip que pueden permitir la ejecución de código arbitrario si se visita una página especialmente manipulada. Los detalles para aprovechar la vulnerabilidad son públicos.

El primero de los problemas reside en varios métodos no seguros en el control ActiveX FileView(WZFILEVIEW.FileViewCtrl.61) que permitirían la ejecución de código por desbordamiento de memoria intermedia basada en pila.

El segundo fallo se debe a un error de límites en el mismo control ActiveX y un manejo no adecuado de la propiedad “filepattern”, lo que podría llevar también a un desbordamiento de memoria intermedia y potencialmente permitir la ejecución de código.

Los problemas se han confirmado en las versiones previas a WinZip 10.0 Build 7245.

La solución consiste en actualizarse a esta versión, pero el creador del exploit anuncia con la notación “WinZip <= 10.0.7245″ que el fallo afectaría también (por el símbolo “=”) a la última actualización hasta la fecha. Aunque podría tratarse de un simple error del creador del código, es posible que esta versión todavía tenga problemas.

En cualquier caso, a falta de confirmación, se recomienda deshabilitar la ejecución de ActiveX para la zona de Internet en Internet Explorer y, por supuesto, actualizar Winzip 10.0. La versión 9.x no se ve afectada.

El primero de los problemas fue notificado a Winzip a través de ZDI (Zero Day Iniciative) a finales de agosto de 2006.
Más información;
WinZip:

http://www.winzip.com/wz7245.htm

Fuente: Hispasec

Se ha encontrado varias vulnerabilidades en los dispositivos Citrix Access Gateway que pueden ser aprovechadas por atacantes para obtener información sensible.

Citrix Access Gateway son soluciones para redes privadas virtuales (VPN) que cifran el tráfico (con SSL) y permiten acceso remoto seguro a recursos de red.

El primer problema se debe a un fallo no especificado a la hora de usar Advanced Access Control como funcionalidad de Access Gateway. Los datos del dispositivo podrían ser obtenidos por un atacante sin privilegios para ello.

Los productos afectados son:
Access Gateway appliance 4.2
Access Gateway appliance 4.2.1
Access Gateway appliance 4.2.2
Access Gateway 4.5 Advanced Edition
Access Gateway 4.2 con Advanced Access Control 4.2 (Access Gateway 4.2 Advanced Edition)

Según versión, se recomienda actualizar a las versiones no vulnerables:
4.2.3 descargable desde http://support.citrix.com/article/CTX108902 ó
4.5 descargable desde https://secureportal.citrix.com/

Por otro lado, se han encontrado dos vulnerabilidades en Citrix Advanced Access Control que pueden ser aprovechadas por atacantes para eludir ciertas restricciones de seguridad.

Un fallo en la funcionalidad de acceso “Browser only” podría permitir a usuarios acceder a recursos protegidos. Otro error en el proceso de login podría permitir a a usuarios tener acceso a esos recursos.

Las vulnerabilidades se han confirmado en Citrix Access Gateway distribuido con Advanced Access Control 4.0 y 4.2. Las versiones Access Gateway Standard Edition y Access Gateway Enterprise Edition no se ven afectadas.

Se recomienda aplicar el hotfix AACE400W004 disponible desde:

http://support.citrix.com/article/CTX110293

Fuente: Laboratorio Hispasec

Como es habitual, fiel a la cita de los segundos martes de mes,Microsoft ha publicado sus boletines de seguridad. Tal y como
adelantamos, en esta ocasión se han publicado seis boletines (MS06-066 al MS06-071).

Según la propia clasificación de Microsoft cinco de los nuevos boletines presentan un nivel de gravedad “crítico”, mientras que el restante recibe la calificación de “importante”.

Es por tanto, importante conocer la existencia de estas actualizaciones, evaluar el impacto de los problemas y aplicar las actualizaciones en la mayor brevedad posible. Este es un boletín de urgencia en el que describimos superficialmente cada uno de los nuevos boletines de seguridad de Microsoft. En los próximos días publicaremos otros boletines donde analizaremos más detalladamente las actualizaciones más importantes.

* MS06-066: Informa sobre una actualización para Windows 2000, Windows XP y Windows Server 2003 debido a dos vulnerabilidades en Client Service for NetWare (servicio cliente para NetWare) que permiten a un atacante ejecutar código o crear una condición de denegación de servicio. Según la calificación de Microsoft recibe un nivel de “importante”.

* MS06-067: Actualización acumulativa para Microsoft Internet Explorer que además soluciona tres nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Según la calificación de Microsoft está calificado como “crítico”. Afecta a Internet Explorer 5.01 e Internet Explorer 6.

* MS06-068: Destinado a evitar una vulnerabilidad en Microsoft Agent que permite ejecución remota de código. Afecta a Windows 2000, Windows XP y Windows Server 2003. Está calificado como “crítico”.

* MS06-69: Resuelve cinco vulnerabilidades en Macromedia Flash Player de Adobe versión 6.0.84.0 y anteriores, que pueden permitir a un atacante remoto ejecutar código arbitrario. Afecta a Windows XP y está calificado como “crítico”.

* MS06-070: En este boletín se anuncian los parches de actualización necesarios para solventar una vulnerabilidad en el servicio “estación de trabajo”, que podría permitir la ejecución remota de código arbitrario. Afecta a Windows 2000 y Windows XP. Está calificado como “crítico”.

* MS06-071: Se trata de una actualización para Microsoft XML Core Services debido a que se ha detectado una vulnerabilidad que puede permitir a un atacante remoto ejecutar código arbitrario. Recibe el nivel de “crítico”.

Las actualizaciones publicadas pueden descargarse a través de Windows Update y Office Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

Antonio Ropero
Fuente: hispasec.com

Buffer Overflow

Así como debemos seguir normas de higiene corporal para mantenernos en buena salud, es necesario adoptar y seguir unas normas de “higiene informática” para reducir a un mínimo la posibilidad de que nuestro PC quede infectado por virus o nuestra información sea robada por delincuentes informáticos.

La siguiente es una lista de amenazas y qué debemos hacer para evitarlas, como parte de la higiene de nuestro PC, si tenemos Microsoft Windows como sistema operativo y el PC no hace parte de una red corporativa. En este último caso, estas tareas deben hacerse en coordinación con el administrador de la red, siguiendo las políticas de seguridad de la empresa.
Virus y Gusanos

Los virus, gusanos y troyanos son los microbios que más pululan en el espacio informático. Se combaten con un antivirus, el cual debe mantenerse actualizado.

Si tiene un antivirus con licencia vigente, debe asegurarse que se actualice diariamente desde Internet. Si no está seguro que se esté actualizando, consulte la ayuda del programa o contacte al fabricante.

Si tiene un antivirus vencido, debe comprar una licencia o desinstalarlo.
Tener un antivirus con licencia vencida es peor que no tener nada: tenemos la sensación de seguridad por tenerlo, cuando en realidad estamos totalmente desprotegidos, ya que la mayoría de los ataques son causados por virus y gusanos muy recientes.

Quien no tenga un antivirus instalado, puede usar las herramientas de revisión en línea gratuita que ofrecen varios fabricantes, como por ejemplo ActiveScan de Panda Software (disponible en http://www.pandasoftware.es ). En este caso, la revisión debe hacerse mínimo una vez por semana, o más frecuentemente cuando el PC presente síntomas de infección como funcionamiento lento, o en general un “comportamiento” anormal.

Spyware y Adware

Además de los virus y gusanos, existen molestos programas que espían nuestra navegación por la Red (Spyware) o nos muestran publicidad en ventanas emergentes no deseadas (Adware).

Para evitar estos programas maliciosos, recomiendo un programa que conviene ejecutar una vez por semana. Se llama Ad-aware y está disponible en la siguiente dirección: http://www.lavasoftusa.com . Viene en varias versiones, una de las cuales, Ad-aware Standard Edition, es gratuita para uso personal.
Vulnerabilidades de Software

Cada cierto tiempo, se descubren vulnerabilidades en el software, que pueden ser aprovechadas por los creadores de virus y los crackers. Cuando esto sucede, el fabricante del software afectado generalmente publica una actualización o parche para evitar la vulnerabilidad.

Para proteger su PC de vulnerabilidades conocidas en el software de Microsoft, ingrese una vez al mes (entre el 5 y el 10 de cada mes) al sitio de Actualización de Software de Microsoft (http://windowsupdate.microsoft.com) y descargar las últimas actualizaciones de producto disponibles, especialmente aquellas señaladas como críticas. Las actualizaciones del sistema operativo Windows XP requieren tener a la mano el CD y la clave del producto.

Es importante señalar que Microsoft NUNCA envía estas actualizaciones por correo electrónico. Si recibe un e-mail supuestamente de Microsoft y que dice incluir una actualización, se trata de un gusano. ¡Bórrelo inmediatamente!
Backdoors (Puertas Traseras)

Existen programas que pueden registrar todas nuestras actividades frente a la pantalla del PC, incluyendo todo lo que escribimos. Así, aunque no compre por Internet, es posible que al escribir una carta a su banco en Word indicando datos financieros, un cracker se haga a esta información y la use luego para fraudes con sus tarjetas. Los antivirus y los anti-spyware en ocasiones no protegen contra los Backdoors, especialmente si su PC ha sido infectado con un backdoor hecho a la medida. Para recuperar la información, el cracker debe comunicarse en algún momento con su programa espía a través de una conexión que se asemeja a una puerta trasera que abre en el PC.
Este riesgo se evita mediante un firewall (que puede ser de software para PCs, y de hardware para redes corporativas) que establece barreras a la información que entra y sale del PC. Si maneja información delicada en su PC, es recomendable que instale uno.

En el mercado existen varios firewalls personales, entre ellos cabe destacar Zone Alarm disponible en http://www.zonelabs.com, que ofrece una versión gratuita para usuarios personales.
Ingeniería Social

Con los 4 puntos anteriores cubiertos, tenemos nuestro PC razonablemente seguro, sin embargo nos falta todavía protegernos de una amenaza grave, y que según las tendencias actuales, va a ser cada vez más presente.

Se trata de la llamada ingeniería social, que consiste en el empleo de técnicas psicológicas para engañar a inducir a una persona a revelar datos o realizar acciones que normalmente no haría.

La Ingeniería Social solamente se puede prevenir manteniéndonos alertas y desconfiando de cualquier situación que tenga algún elemento extraño o diferente.

Por ejemplo, le llega un e-mail aparentemente de un amigo diciéndole que “como respuesta a tu correo, te envío el archivo solicitado”, pero usted nunca le mandó el correo en cuestión. Es claro que se trata de un gusano informático que infectó a su amigo, o a alguna persona que tenía a su amigo en su lista de direcciones, y está tratando de inducirle a abrir el archivo adjunto para infectarlo a su turno.

Últimamente están proliferando los correos electrónicos o las llamadas teléfonicas supuestamente a nombre de una entidad financiera solicitando datos de su cuenta. Los bancos y en general las empresas nunca solicitan este tipo de datos por teléfono o por correo, así que ignore cualquier mensaje en este sentido y denúncielo a la entidad suplantada.

Por último, los crackers han notado que los internautas están tomando conciencia de la necesidad de actualizar periódicamente el software, y aprovechando esta tendencia han estado circulando correos que indican ser actualizaciones de Microsoft cuando en realidad son gusanos informáticos.

Los fabricantes de software nunca envían actualizaciones por correo electrónico, éstas siempre se deben descargar e instalar desde el sitio oficial del fabricante.

Autor: Iñigo Koch T.
Red Segura

¿Le ha pasado algo de lo siguiente?
- Se me cambio la pagina de inicio en el Internet Explorer y no puedo cambiarla!
- En lugar de salirme la clásica pagina de error me redirecciona a otro sitio!
- ¿Cómo puedo cortar las molestas ventanas que se me abren solas cuando estoy en internet??

El problema es que están infectados con algún tipo de parásito llamados Spywares.

Pero luego de leer este tutorial atentamente, descargar y actualizar las herramientas que se muestran a continuación, se solucionarán sus problemas.

¿Qué son los Spywares?
Los Spywares tienen cierta similitud con los virus pero a diferencia de estos los spywares no tiene código dañino para nuestros PC., por lo tanto los Anti-Virus comunes no los pueden reconocer ni eliminar.

Los spywares son pequeños programas que se instalan en nuestro sistema con la finalidad de robar nuestros datos y espiar nuestros movimientos por la red. Luego envían esa información a empresas de publicidad de internet para comercializar con nuestros datos.
Trabajan en modo ‘background’ (segundo plano) para que no nos percatemos de que están hasta que empiecen a aparecer los primeros síntomas.

¿Cómo entran en nuestras PCs?
1. Al visitar sitios de Internet que nos descargan su código malicioso (ActiveX, JavaScripts o Cookies), sin nuestro consentimiento.

2. Acompañando algún virus o llamado por un Troyano

3. Estando ocultos en un programa gratuitos (Freeware) los cuales al aceptar sus condiciones de uso (casi siempre en ingles y que no leemos) estamos aceptando que cumplan sus funciones de espías.

¿Qué información nos pueden sacar?
Pueden tener acceso por ej a: Tu correo electrónico y el password, dirección IP y DNS, teléfono, país, paginas que visitas y de que temas te interesan, que tiempos estas en ellas y con que frecuencia regresas, que software tienes y cuales descargas, que compras haces por internet y datos mas importantes como tu tarjeta de crédito y cuentas de banco.

¿Cuáles son los Spywares mas comunes?
180Solutions, Alexa, Cydoors, Gator, Web3000, Webhancer, CoolWebSearch, BlazeFind.Bridge, Xupiter, Hotbar, Kazaa, New.net, Win-eto, Lop.com, Se.dll, Sp.html etc..

Los 5 principales síntomas de infección son:
1. Se nos cambian solas las página de inicio, error y búsqueda del navegador.

2. Se nos abren ventanitas pop-ups por todos lados, incluso sin estar conectados y sin tener el navegador abierto, la mayoría son de temas pornográficos.

3. Barras de búsquedas de sitios como la de Alexa, Hotbar, etc.. que no podemos eliminar.

4. Botones que se aparecen la barras de herramientas del navegador y no podemos sacarlos.

5. La navegación por la red se hace cada dia mas lenta.

Herramientas necesarias para la eliminación

Ad-Aware 1.06 SE Personal
Nueva versión (Second Edition) de esta poderosa e indispensable herramienta totalmente gratuita, de fácil utilización, diseñada para eliminar todo tipo de Spywares/Adwares, con total seguridad y garantía.
Se actualiza casi semanalmente añadiendo remedio a cuanto nuevo Spyware es detectado.

SpyBot Search & Destroy 1.4
Detecta, elimina y previene el ataque de los spywares.

SpywareBlaster 3.4
Una herramienta fundamental para la prevención de ataques de spywares. no los elimina simplemente deshabilita los controles ActiveX de los mas conocidos spywares. Lo recomienda Spybot para inmunizar el sistema!

HijackThis
Es una pequeña herramienta que nos permite detectar y, eventualmente, eliminar las modificaciones hechas por programas de terceros en nuestro navegador Explorer. (Toolbars, Paginas de Inicio, Paginas de búsqueda, etc) Hay que tener mucho cuidado con los cambios en el Registro. Úselo bajo su responsabilidad
Recomendamos visitar el Foro de HijackThis para solicitar ayuda con su log de HijackThis.

CWShredder 2.15
Uno de los mejores eliminador de paginas de inicio spywares y de dialers,
elimina el famoso “CoolWebSearch”

Microsoft AntiSpyware 1.0 Beta
Detecta, elimina y protégete contra futuras intrusiones de spyware

Los 11 Pasos fundamentales de una buena eliminación son:

1. Descargar y/o actualizar las principales herramientas arriba mencionadas (Ad-Aware SE, Spybot S&D, SpywareBlaster, etc)

2. Apagar el “Restaurar Sistema” (System Restore) Solo en Win ME y XP.

3. Iniciar el sistema en “Modo a Prueba de Fallos” (modo seguro)

4. Ejecutar las herramientas antispyware y eliminar los intrusos que estos encuentren.

5. Utilizar “Disk Cleaner” para limpiar cookies y temporales.

6. Reiniciar el sistema en modo normal.

7. Pasarle alguno de estos Antivirus Online

8. Repetir los pasos 4 y 5 en modo normal

9. Comprobar que el problema o malware haya desaparecido.

10. En caso que el problema persista, ejecutar HijackThis y pegar su lo para ser analizado en el Foro de HijackThis, siguiendo las siguientes “Recomendaciones”.

11. Una vez eliminados los parásitos de su sistema le recomendamos, mantener su antivirus siempre actualizado, complementarlo con un antispyware como “SpyBot S&D” (residente en memoria) y “SpywareBlaster” al igual que instalar algún cortafuegos como Outpost Firewall o Zone Alarm

Nota 1:
Antes de proceder con los pasos para eliminar spyware, desinstale programas como: MSN Plus, KaZaA, Imesh, o cualquier otro que se encuentre en esta lista

Nota 2:
Si navegas mucho por Internet se recomienda para una buena efectividad en programas como Ad-Aware SE, buscar actualizaciones y scanner el sistema semanalmente.

Nota 3:
Actualmente dispones de un Foro de Spyware para ayudarlos a eliminar spyware, adware, hijackers, troyanos, malware, y virus en gral.

Todos los programas mencionados en este tutorial son de libre distribución, úselos bajo su responsabilidad.