jueves, 29 de enero de 2009

M-Lab -Herramienta contra el filtrado y bloqueo de la red-

«Google, New America Foundation, PlanetLab Consortium y personal académico dedicado a la investigación han anunciado el lanzamiento de Measurement Lab, o MLab, mediante una entrada de Vinton Cerf y Stephen Stuart en el blog oficial de Google. M-Lab tiene como objetivo aportar más transparencia a la actividad de la Red, permitiendo utilizar instrumentos de medición de Internet y compartir los datos para evidenciar las violaciones de la neutralidad de la red por parte de los proveedores de acceso. Por ahora, M-Lab dispone de tres instrumentos de diagnóstico: Uno para determinar si la red BitTorrent está siendo bloqueada, otro para diagnosticar posibles problemas de fuerte impacto en las redes de banda ancha y otro para diagnosticar los problemas que limitan la velocidad

Fuente: http://barrapunto.com/articles/09/01/29/1117240.shtml

martes, 27 de enero de 2009

Windows 7 ¿Sucesor de XP?

Bueno tengo que decir que WINDOWS7
me ha gustado y que la Beta a día de hoy esta resultando muy satisfactoria lo dicen incluso en sitios donde Linux es sagrado...es muy posible que cuando esta nueva versión esta algo mas depurada compita con XP (con vista no tiene ni que medirse puesto que esta prácticamente muerto....y lo estará mas aun, si no al tiempo) al parecer se puede incluso instalar en un PC relativamente antiguo puesto que no necesita muchos recursos del sistema, ademas las primeras pruebas indican que en aprox..25 minutos ya lo tienes instalado, cosa que no hace ni su hermano mayor Winxp.

Otro dato a tener en cuenta es que Microsoft ha confirmado que Windows7 estará disponible también para Ultraportatiles(algo como el Windows-Movile para las Pocket PC) esto nos lleva definitivamente a que Windows7 podria ser un digno sucesor de Windows xp.

PD: Linux tendrá que ponerse las pilas -Ahora si que si-.

lunes, 26 de enero de 2009

Compra un reproductor MP3 cargado con archivos secretos del Ejército de EE UU

* El aparato le costó 18 dólares en una tienda de Oklahoma.
* En los archivos que contenía aparece la advertencia de que la divulgación de su contenido está prohibida por la Ley federal.

Un neozelandés compró en una tienda de Estados Unidos un MP3 que, sin saberlo, contenía 60 archivos con secretos del Ejército estadounidense, según ha informado el canal de televisión One News de Nueva Zelanda.

"Cuanto más lo miraba, más veía cosas que no debería ver", explicó Chris Ogle, de 29 años, cuando examinó el reproductor que está dispuesto a entregárselo al Departamento de Defensa de EEUU si lo piden.

Entre las cosas que descubrió en el aparato, por el que pagó 18 dólares (13,9 euros) en un comercio de Oklahoma (EEUU), destaca una lista con nombres de militares norteamericanos en Afganistán. Otro documento ofrece información privada de personal, incluido el número de seguridad social o, si la soldado es mujer, si está embarazada.

Una carpeta contiene el inventario de equipo en campamentos militares y otro detalla los números de teléfonos móviles de personar que estuvieron destinadas en Irak y Afganistán. One News dijo que marcó algunos números de teléfono y que funcionaban.

En los archivos aparece la advertencia de que la divulgación de su contenido está prohibida por la Ley federal, según la información del canal de televisión.

Fuente: EFE y www.20minutos.es

MD5 ¡¡Vulnerable¡¡

Con la penúltima prueba de concepto contra MD5 vuelve el debate sobre su uso, aunque me temo que no va a revolver muchas conciencias pese a lo mediático de utilizar la PlayStation3 para los cálculos.


Hace unos meses, con la excusa del libro, Sergio me invitó a hacer de reportero dicharachero, e hice las preguntas para varias de las entrevistas que aparecen. Entre ellas una a Bruce Schneier que viene al pelo para estos días:


Hispasec: Aunque el algoritmo MD5 se considera "muerto" en términos criptográficos, vemos que aun sigue vigente en muchos sistemas y soluciones de seguridad. ¿Por qué parece que cuesta tanto migrar a algoritmos más seguros? ¿Falta de conciencia?


Bruce Schneier: MD5 hace tiempo que fue reemplazado por SHA. SHA ha sido oficialmente reemplazado por SHA-1. Y SHA-1 ha sido oficialmente reemplazado por la familia de algoritmos SHA-2. Éstos serán reemplazados sobre 2012 por SHA-3, un algoritmo todavía por determinar. La National Institute of Standards and Technology mantiene un concurso para elegirlo. Estoy orgulloso de mi propia propuesta para este proceso, llamada Skein (madeja).


Así que todo el que todavía esté usando MD5, o bien no está prestando atención o no le preocupa actualizarse. Y ese es el problema con sistemas heredados: están estancados con seguridad que estaba bien cuando se crearon pero que ya no son adecuadas.


Es normal que a pie de calle ocurra lo que dice Schneier, que la gente no preste atención a este tipo de cosas. Lo preocupante es que en la propia industria aun lo sigamos utilizando, y ésto es así porque no se han visto explotaciones en el mundo real más allá de las pruebas de concepto. Un caso típico de uso de MD5 lo podemos encontrar a la hora de identificar ficheros de malware. Por ejemplo, cualquier empresa de seguridad que nos pide una muestra de VirusTotal nos suele dar como referencia el MD5, tampoco son pocos los antispyware y otras herramientas de seguridad de renombre que lo utilizan. Pese a que conocemos sus debilidades, lo seguimos arrastrando como estándar de facto.


En VirusTotal, hará cosa de un año, migramos internamente todo a SHA-256, aunque en el interfaz público sigue apareciendo MD5 como primer hash seguido de SHA-1, SHA-256 y, el para mí overkill, SHA-512. Recuerdo que me entraron prisas con la migración tras ver otra prueba de concepto de colisiones MD5, en esa ocasión aplicada a binarios.


Esa prueba de concepto fue motivo de discusión entre gente del mundillo antivirus, ya que el MD5 seguía siendo el estándar aunque sólo fuera para la gestión interna de las muestras de malware. Por las conversaciones que puede mantener, parece que no causó tanta preocupación como a mí. En parte tenía cierta lógica porque la prueba de concepto requiere que el "atacante" genere y/o modifique los dos ficheros que quiera hacer coincidir su MD5. Así que no era posible, por ejemplo, que alguien generara un malware cuyo MD5 coincidiera con un kernel32.dll original de Microsoft.


Mi preocupación no venía tanto por el uso de MD5 para identificar malware (sigue siendo efectivo a día de hoy), sino el ataque a un esquema donde se utilice la generación de listas de goodware y malware, que es un poco por donde van ahora los tiros en la industria AV. Ahí si es mortal que alguien genere 2 ficheros con el mismo MD5, uno goodware y otro malware, y que distribuya primero el goodware a los laboratorios antivirus. El análisis saldría limpio y el fichero entraría a formar parte de su lista de goodware. A partir de ahí el atacante podría usar el malware asociado que sería identificado como confiable por los laboratorios y/o herramientas que utilizaran identificación de goodware por MD5.


Aun no se han identificado o publicitado ataques reales de malware utilizando esta técnica, pero estoy convencido de que el día que se haga será la puntilla que destierre definitivamente al MD5 (y sin necesidad de utilizar la PlayStation).

Fuente: http://blog.hispasec.com/laboratorio/

miércoles, 21 de enero de 2009

¿Cifrado para tu WiFi? Mejor pinta las paredes

En los tiempos que corren, la mayoría de compañías de acceso a Internet suelen ofrecer routers inalámbricos con sus conexiones, y en el mejor de los casos vienen cifrados con WPA, que ya ha comenzado a ser crackeado con cierta facilidad con el uso de computación GPGPU. En la mayoría de casos el insuficiente cifrado WEP es el que cubre la red inalámbrica. Para evitar intrusos, nada mejor que no ofrecer señal fuera del recinto y para ello han desarrollado un nuevo tipo de pintura.

Investigadores japoneses han ideado una pintura que tiene la propiedad de bloquear la señal inalámbirica, ofreciendo de esa manera una opción barata de proteger las redes inalámbricas de los negocios.

Según un portavoz de la investigación, Ohkoshi, “hemos colaborado con DOWA Electronics, una compañía industrial japonesa para fabricar pedidos de muestra de 100 kilos“. Lo más importante del hallazgo es que bloquea frecuencias electromagnéticas más altas y además el coste de la misma es muy barato: unos 14 dólares por kilo.

Fuente: www.theinquirer.es

lunes, 19 de enero de 2009

El gusano Downadup infecta a nueve millones de ordenadores

-El virus accede a las direcciones de Internet de las que dispone.

-Aprovecha para descargar "software malicioso".

-Se transmite a través de memorias USB, decodificación de contraseñas débiles y una brecha en la seguridad de Windows.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha detectado en los últimos días una infección masiva de ordenadores por el gusano Downadup, también conocido como Conficker, según han informado este lunes fuentes de esta organización. La empresa de seguridad informática F-Secure calcula que hay nueve millones de equipos infectados.

Entre las acciones de este virus figura la de acceder a determinadas direcciones de Internet de las que dispone en su código.

Los mecanismos de propagación utilizados por Downadup son muy comunes

El gusano aprovecha el acceso a estas páginas para descargarse otros programas maliciosos, aunque no se descarta que, de este modo, el servidor remoto cree un listado de las direcciones infectadas y que en un futuro se utilicen estos ordenadores comprometidos para crear una red zombie (botnet) (ordenadores infectados usados por una persona ajena a su propietario).

La infección se produce, de momento, de tres modos distintos: a través de una brecha en seguridad en el sistema operativo Windows, mediante la decodifiacción de contraseñas débiles, y a través de memorias USB.

Los mecanismos de propagación utilizados por Downadup son muy comunes y se basan en la relajación de los usuarios para seguir unas pautas de buenas prácticas.

Consejos

El INTECO recomienda a los usuarios que sigan estos consejos para evitar la infección: actualizar el Sistema Operativo, asegurándose especialmente de tener instalado el parche MS08-067, que soluciona la vulnerabilidad explotada por el gusano.

Tener instalado un antivirus actualizado en el ordenador y proteger con contraseñas fuertes las carpetas compartidas, son otras de las opciones. Además recuerde que es conveniente analizar con un antivirus actualizado todos los dispositivos extraíbles antes de conectarlos al equipo.

Fuente: http://www.20minutos.es/noticia/444314/0/gusano/infeccion/ordenadores/

sábado, 17 de enero de 2009

Elcomsoft lanza utilidad para crackear WiFi mediante GPGPU

ElcomSoft ha presentado su nueva aplicación Wireless Security Auditor 1.0 que puede operar con o sin ayuda de la GPU y con ella puede probarse la seguridad de una red inalámbrica así como conseguir descifrar las claves. El rendimiento es de hasta 48 veces más que sólo con CPU.

Desde HotHardware han hecho una breve revisión del software que junto con un procesador Core 2 Quad Q6600 puede conseguir una tasa de contraseñas por segundo de 1.100, a comparación con un procesador menos potente, Core 2 Duo E4500, que consigue 480. Antes de nada aclaramos que el software hace uso de la fuerza bruta, lo que se suele considerar como ataque mediante diccionario, probando consecutivamente una clave tras otra permutando caracteres.

El software de Elcomsoft puede funcionar tanto con gráficas NVIDIA como ATI y por ello han probado gráficas de ambas marcas. La gráfica NVIDIA GTX 280 consigue una tasa de 11.800 claves por segundo (10,7 veces el resultado del C2D Q6600) mientras que la ATI HD 4870 llega a las 15.750 por segundo (14,3x más rápido). Si probamos el modelo de doble GPU de AMD, HD 4870 X2, el resultado asciende hasta 31.500 por segundo o lo que es lo mismo 28,6 veces más rápido. Y si nos movemos a la gráfica profesional NVIDIA Tesla S1070 el resultado conseguido son 52.400 contraseñas por segundo que viene a ser un 47,6 veces más rápido que el Core 2 Quad Q 6600.

A modo de ejemplo, si se necesitaran 12 millones de intentos para conseguir la clave, el modelo Tesla lo conseguiría en 3,8 minutos mientras que el procesador de cuatro núcleos de Intel necesitaría 3 horas 1 minuto y 8 segundos, mientras que en Core 2 Duo estaría en torno a 7 horas.

Fuente: http://www.theinquirer.es/2009/01/15/elcomsoft-lanza-utilidad-para-crackear-wifi-mediante-gpgpu.html

Conficker infecta a través de Autorun

Conficker (o Downadup) se ha transformado en una verdadera epidemia tal y como lo indica nuestro Reporte de amenazas de Diciembre y, en los últimos días, sus creadores han puesto énfasis en multiplicar sus técnicas de infección, ampliándolas a través de recursos compartidos, explotación de claves débiles y a dispositivos de almacenamiento removibles.

Este último caso es el que nos ocupa, ya que las nuevas variantes de Conficker han comenzado a utilizar al técnica de Autorun para maximizar las probabilidades de infección. A continuación vemos un archivo autorun.inf que aparentemente se encuentra dañado o que ha sido “cifrado” de alguna manera para que el mismo no sea válido:

Contenido del archivo Autorun.inf

Si se mira con atención, al final puede apreciarse que existen comandos válidos. En realidad, el archivo incluye código basura (una forma común de ofuscamiento). El sistema operativo, al no “comprender” su contenido, simplemente lo ignora y toma en consideración las líneas que es capaz de interpretar. Entonces, en realidad se trata de la ejecución automática del gusano (en este caso el archivo jwgkvsq.vmx, siendo este nombre aleatorio).

La explicación de porqué utilizar la conocida técnica de infección en dispositivos removibles es sencilla: supongamos que una organización protege adecuadamente sus recursos informáticos para evitar las infecciones originales de este gusano (actualización, firewall y antivirus), a través de la explotación de la vulnerabilidad en el protocolo RPC. Si fuera así, el gusano tendría un ciclo de vida corto.

Al incorporar nuevas técnica de infección, sus creadores se aseguran que de alguna manera, el gusano ingrese a las organizaciones protegidas, por métodos alternativos a los explotados originalmente.

Esto es lo que le ha valido a Conficker para ser una de la amenazas de mayor reproducción y que más dolores de cabeza esté trayendo a los usuarios y administradores de red. Como siempre ESET NOD32 detecta Conficker y sus últimas variantes que utilizan Autorun, como puede verse a continuación:

Contenido del archivo Autorun.inf

Por favor no deje pasar más tiempo y tome las medidas preventivas necesarias porque parece que Conficker llego para quedarse un tiempo.

Fuente: http://blogs.eset-la.com/laboratorio/2009/01/16/conficker-atraves-autorun/


viernes, 16 de enero de 2009

Vulnerabilidad en Symbian S60 -Nokia-

Desde Chaos Communication Congress han desvelado además de la vulnerabilidad de MD5 y su repercusión en el cifrado SSL, una vulnerabilidad que compete a todos los terminales Symbian S60. La han bautizado como Curse of Silencey hace que el terminal afectado no pueda recibir ningún SMS / MMS.

La vulnerabilidad del sistema reside a la hora de recibir un SMS con un email de más de 32 caracteres en total seguido de un espacio y ajustando el protocolo de envío como TP-Protocol-Identifier como “Internet Electronic Mail”.

Si se manda una vez a cualquier versión de symbian S60 desde las versiones 2.6, 2.8 hasta la reciente 3.1 (en esta ocasión 11 veces) el móvil deja automáticamente de recibir cualquier mensaje corto o multimedia y sólo puede arreglarse haciendo un hard-reset o lo que viene a ser un formateo y reinstalación del sistema operativo para dejarlo como si viniera de fábrica.

-Video Demostrativo-


video

Si sufres un ataque en tu Nokia solo puedes hacer dos cosas o llevarlo al fabricante o realizar un Reset del Movil con el siguiente codigo:
#7370#

¿Es lo suficientemente seguro el Sotfware que utilizamos?

La mayor parte de los agujeros de seguridad en las aplicaciones informáticas se debe a errores de programación. ¿Cuál es la responsabilidad de los desarrolladores y de las empresas? ¿Por qué el código seguro aún no es una realidad?

Las aplicaciones informáticas se construyen a partir de diferentes códigos. Estas líneas de programación no son 100 por ciento seguras, y sus errores son aprovechados por delincuentes tecnológicos, a través de virus y acciones de espionaje. Así, millones de personas quedan expuestas a amenazas peligrosas y silenciosas.
La gravedad del problema fue expuesto por un grupo internacional de expertos que difundió una lista con los 25 errores de programación con mayor potencial de daño. Por ejemplo, dos de esos errores fueron explotados en 2008 para instalar código maligno en un millón y medio de sitios web, que luego propagaron código malicioso entre sus visitantes.
El grupo incluye, entre otros, al Ministerio de Seguridad Interior de Estados Unidos y la agencia de seguridad NSA, la organización japonesa IPA y empresas como Microsoft y Symantec. De acuerdo al documento, que puede leerse aquí, la mayoría de estos errores son desconocidos entre los propios programadores, y no integran los estudios de los desarrolladores.
iProfesional entrevistó sobre la seguridad en el desarrollo de los códigos a tres especialistas en seguridad informática argentinos: Ivan Arce, CTO de Core Security Technologies; Roberto G. Langdon, presidente y CEO de 2Minds; y Jorge Cella, gerente de Iniciativas de Seguridad de Microsoft Argentina.

Arce trabaja para Core Security Technologies, una compañía que se dedica a la evaluación exhaustiva de seguridad informática. Esta firma, con oficinas de investigación y desarrollo en el barrio porteño de Palermo y una sede comercial en Boston, EE.UU., identifica y verifica vulnerabilidades, mide el riesgo operativo y comprueba la efectividad de la seguridad.
En el documento mencionado, Core fue mencionada como una de las organizaciones que hizo contribuciones más sustantivas a la lista de los 25 errores.

-¿Por qué el código seguro no es aún una realidad?
-El “código seguro” es una quimera, una abstracción formal que no existe en la realidad. Es común pero, en mi opinión, un tanto ingenuo pensar que una serie de artefactos intangibles, por lo general bastante complejos (software) creados por seres humanos -que son imperfectos y falibles- puedan llegar a ser lo suficientemente confiables como para que alguien garantice que con ellos sólo se puede hacer lo que sus “creadores” idearon y absolutamente nada más.
Una vez que se deja de lado la definición taxativa de seguridad absoluta y se la relativiza con las preguntas “¿código seguro para qué?” y “¿cuán seguro?”, la respuesta cambia y es más sencilla.
Hoy en día existen sistemas suficientemente seguros para muchas cosas, pero la mayoría del software no es suficientemente seguro para lo que se espera de él. Creo que las expectativas son demasiado grandes pero que los esfuerzos necesarios por satisfacerlas, incluso las más modestas, siempre son subestimados o ignorados.


-¿Las empresas desarrolladoras de software están preocupadas para que el código que escriben sea más seguro?
-Sólo lo están en la medida que esa preocupación sea funcional a su negocio. Es una preocupación importante para las de mayor relevancia a nivel mundial, ya que son las que tienen más por perder si su código no sólo resulta ser inseguro, sino que además esa inseguridad puede ser explotada con consecuencias negativas para sus clientes.
Lamentablemente, la mayoría de las empresas desarrolladoras de software que hoy se preocupan por la seguridad de su código llegaron a ese estadio de forma reactiva, y como consecuencia de haber pasado por alguna serie de incidentes negativos con la seguridad de su software.
Pasar por un proceso como el que describo para empezar a preocuparse por la seguridad del software y empezar a hacer algo al respecto es innecesario y generalmente bastante costoso.
Para muchas pequeñas y medianas empresas que desarrollan software o, en general, tecnologías de información, y que pueden ser más flexibles y dinámicas que las grandes productoras de software, un tratamiento más proactivo o preventivo del problema puede resultar más efectivo y menos costoso.

En todos los casos, a la larga, creo que es siempre mejor resolver las fallas y defectos del software en el estadio más temprano posible de su ciclo de desarrollo. Para las empresas desarrolladoras de software comercial decidir cómo, cuándo y de qué manera hacerlo es una decisión de negocios y no técnica; los clientes (usuario) del software en cuestión pueden tener gran influencia en esa decisión.

-¿Qué medidas están tomando en ese sentido?
-Por lo general, cuando hay medidas concretas, ellas conforman una colección de actividades y prácticas inconexas entre sí: actividades genéricas y esporádicas de capacitación en “programación segura”, utilización de herramientas que automatizan la identificación y búsqueda de defectos, implantación de procesos y estándares de ingeniería de software reconocidos por la industria pero no necesariamente adecuados para el propósito en cuestión, contratación de servicios especializados de consultoría y/o asesoramiento en la materia, entre otras.
Todas estas actividades serán útiles en la medida en que respondan a una estrategia más general para la seguridad del código que las englobe y a un análisis racional de los riesgos, costos y el retorno de la inversión para implementarlas. Ese nivel de sofisticación para determinar qué hacer al respecto de la seguridad de los desarrollos es virtualmente inexistente en la industria de software de la Argentina y muy poco frecuente en la de cualquier otro lugar.-¿Se debe replantear por completo la forma en que se escribe el código?-No. Los cambios revolucionarios en la forma en que se escribe código, las herramientas o los procesos que se utilizan no garantizan que los resultados sean mejores, aunque posiblemente sí que sean distintos. Creo más bien que hay que dedicarle más tiempo, dinero y esfuerzo a buscar un mejoramiento constante en la calidad del software (seguridad incluida) y tener la paciencia, inteligencia y constancia para hacer que ese proceso resulte eficiente y tenga un sentido práctico claro en el ámbito específico del grupo o empresa que lo implementa.
Todo esto puede sonar un tanto críptico o vago pero, en resumen, sólo quiere decir que si bien no hay recetas pre-armadas para resolver el problema en cualquier ámbito, en la mayor parte de los casos tampoco hace falta cambiar completamente todo para lograr mejoras visibles.

Fuente: http://tecnologia.infobaeprofesional.com/

martes, 13 de enero de 2009

La falla del Windows Server RPC encuentra nuevas formas de propagarse

Las explotaciones que se aprovechan de la vulnerabilidad del Servicio Windows Server aún continúan proliferando, cerca de un mes y medio después que Microsoft publicó un parche de emergencia, dijeron el viernes los investigadores.

Symantec, en las fiestas, encontró otra ronda de infecciones en la forma del gusano conocido como W32.Downadup. Microsoft denomina al malware como Win32/Conficker.

La última variante encuentra una nueva forma de sacar provecho de la falla de alta criticidad, que involucra al protocolo RPC, dijeron los investigadores de Symantec este viernes. En ataques previos, un atacante podía ejecutar un código remoto enviando una solicitud RPC especialmente preparada.

Sin embargo, la nueva explotación "también puede diseminarse en las redes corporativas mediante la infección de memorias USB y accediendo mediante contraseñas débiles," dijo en su foro el departamento de Respuestas de Seguridad de Symantec.

"El W32.Downadup.B crea un archivo autorun.inf en todas las unidades mapeadas de modo que la amenaza se ejecute automáticamente cuando se accede a una unidad," segun informa Symantec. "La amenaza luego monitorea las unidades que se conecten a la computadora comprometida para crear en ella el archivo autorun.inf apenas puede acceder a la unidad."

El 23 de octubre, Microsoft publicó un parche fuera de su ciclo habitual, que estaba siendo explotado activamente en ataques dirigidos.

Matt McCormack del Centro de Protección de Malware de la compañía escribió el 31 de diciembre que los investigadores detectaron una nueva oleada de ataques, principalmente en máquinas que aún debían aplicar el parche.

Fuente: http://blog.segu-info.com.ar/

viernes, 9 de enero de 2009

Microsoft publicara un solo boletin de seguridad el proximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se espera un solo boletín de seguridad. La actualización afectaría al sistema operativo Windows.

Si en diciembre fueron ocho boletines de seguridad los que salieron a la luz, en su último ciclo de actualizaciones del año Microsoft prevé publicar una sola actualización el martes 13 de enero. En realidad, y antes de acabar el año, Microsoft se vio obligada a publicar un parche fuera de su ciclo habitual, que corregía una grave vulnerabilidad en su navegador que estaba siendo aprovechada por atacantes.

El boletín está catalogado como "crítico" para Windows 2000, XP y 2003 y "moderado" para Windows Vista y 2008.

Adicionalmente Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Fuente: http://www.hispasec.com/

jueves, 8 de enero de 2009

Hackean a MacRumors.com

Introdujeron contenido inapropiado durante la retransmisión en directo.

Todo estaba listo y preparado. MacRumors uno de los sitios más respetados y mejor informados de la comunidad “Mac” iba a seguir en directo (como es habitual) la keynote 2009 ofreciendo en “vivo” todas las novedades.

A pocos minutos de empezar el seguimiento algo empezó a fallar. En los textos se mezclaba contenido inapropiado y sin ninguna relación con el evento de Apple.

Los amigos de MacRumors avisaron a los lectores…”nos están hackeando el seguimiento”… y poco después los mismos crackers tumbaban el servidor del portal que volvió a estar activo poco tiempo después de haber finalizado la presentación.

Fuente: http://www.noticiasdot.com/wp2/2009/01/07/hackearon-la-web-de-macrumors-durante-la-keynote-2009/

sábado, 3 de enero de 2009

Nueva vulnerabilidad en el servicio windows server

Nuevamente Microsoft urge a los usuarios a aplicar un parche para una vulnerabilidad en el servicio Windows Server. La compañía informó anteriormente que una nueva variante del gusano Conficker ha aparecido para explotar la falla.

Una vez más Microsoft recomienda a las organizaciones aplicar el parche para la falla que afecta el servicio Windows Server que fue emparchado en Octubre.

El parche del boletín MS08-067 elimina la posibilidad de explotación que aprovecha la nueva variante del gusano identificado como Win32/Conficker.B.

En un sistema parcheado esta nueva iteración de este malware no puede funcionar y por lo
tanto causar ningún problema.

En sistemas no parcheados se observa que esta nueva variante del gusano hace un ataque sencillo de fuerza bruta sobre todas (o muchas) cuentas de AD del dominio si está habilitado el compartir archivos.

Si la política del dominio es bloquear la cuenta después de varios intentos fallidos, se observarán que se empiezan a bloquear muchas cuentas de usuario.

También fallan algunos servicios y el acceso a Internet a ciertos sitios de seguridad.

El archivo que actualiza el parche MS08-067 es principalmente, no es el único, el Netapi32.dll por lo cual conviene probar el parche antes de aplicarlo a equipos productivos. y asegurarse el respaldo de los sistema para una posible "vuelta atrás" sin inconvenientes.

Un firewall protege de los ataques si bloque la interfaz del RPC. Si un ataque del gusano es exitoso le permite al atacante ejecutar código remotamente en los equipos infectados.

Segu-info puede confirmar que en Argentina al menos una organización importante ya ha sido víctima de este gusano por no tener aplicado el parche en sus equipos.

Fuente: http://blog.segu-info.com.ar/