viernes, 22 de junio de 2007

Resaca del ataque masivo a través de webs comprometidas

Nota recibida por correo-e desde Hispasec - una al día
El pasado día 19 alertábamos de un ataque a gran escala contra webs europeas, que tenía como último objetivo robar las claves de acceso a la banca por Internet de los usuarios que las visitaran. Después del aviso el ataque fue neutralizado en menos de 24 horas, a día de hoy podemos ofrecer nuevos datos sobre el incidente.

Más de 11.000 páginas webs fueron modificadas para redirigir a sus visitantes de forma oculta a un tercer servidor web malicioso. El usuario afectado en ningún momento era consciente de nada anormal, veía con normalidad la web a la que se había dirigido, toda la conexión maliciosa se hacía en un segundo plano.

Si el usuario que visitaba alguna de esas 11.000 webs lo hacía con una versión vulnerable de Windows (si no había instalado algunos de los parches de seguridad distribuidos por Microsoft durante 2006), automáticamente se introducía en su ordenador un troyano que podía robarle las claves de acceso a su banco por Internet.

Resumen cronológico

La herramienta utilizada para realizar las infecciones a través de las webs comprometidas fue MPack 0.86. Esta herramienta ya fue motivo de un detallado análisis por parte de Panda Labs el pasado mes de mayo, y se viene utilizando asiduamente desde el año pasado en ataques similares. También en mayo el blog de Symantec Security Response dedicó una entrada a las funcionalidades de MPack.

Websense alertó el día 18 de este mes sobre un ataque masivo a 10.000 páginas webs basándose en la herramienta MPack 0.86. Hispasec también
pudo acceder al servidor MPack utilizado por los atacantes y tener acceso a los datos del incidente ese mismo día. Tras un avance en el blog del Laboratorio de Hispasec la madrugada del 18, alertamos el día 19 a través del boletín una-al-día actualizando y aportando nuevos datos.

Al finalizar la jornada del día 19 se logró mitigar el ataque, al desactivar el servidor web malicioso al que se redirigían los más de 11.000 sitios webs comprometidos.

Los días 19 y 20 la noticia saltó de los círculos de seguridad a los medios de comunicación, y terminó acaparando espacio en prensa, radio y televisión. Lo que más llamó la atención fue el número de webs comprometidas, y el hecho de que los usuarios podían infectarse con tan sólo visitar una web "normal". En medios internacionales el protagonismo se lo llevó la herramienta utilidad en el ataque, MPack.

Hispasec en su blog del Laboratorio apuntó a que las más de 11.000 webs comprometidas se hospedan en un mismo proveedor italiano, Aruba, y que por tanto el ataque tan voluminoso fue posible por un problema de seguridad en la infraestructura del proveedor de hosting. Hoy, día 21, SANS Internet Storm Center publica una nota de Verisign/Idefense que apoya la misma conclusión que Hispasec, y apuntan a que el ataque al proveedor de Internet pudo realizarse a través de una vulnerabilidad en la herramienta cPanel de administración web.

Mientras continúa la resaca informativa de este caso, a buen seguro se están sucediendo otros incidentes similares, incluyendo los que estén utilizando la nueva versión MPack 0.90. Entre las novedades de esta versión destaca el uso de la vulnerabilidad ANI, cuyo parche para Windows fue publicado por Microsoft en abril de 2007, y que dota de un mayor poder de infección a las nuevas webs comprometidas.

También se incluyen el uso de vulnerabilidades de aplicaciones de terceros muy difundidas en Windows, como WinZip y QuickTime, que por norma general los usuarios descuidan más su actualización.

MPack 0.90 también corrige algunos problemas de seguridad de la propia herramienta, que permitía que empresas como Hispasec pudieran acceder a los servidores de los atacantes y tener datos puntuales sobre lo que estaba sucediendo, motivo por el cual hemos podido informar con tanta precisión sobre el alcance de este ataque y ayudar en su mitigación. Estas nuevas mejoras entorpecerán conocer la envergadura real y exacta de los nuevos ataques que se sucedan, si bien la lucha se mantendrá viva entre los atacantes y las empresas de seguridad.


Moraleja

Aunque la mayoría de las informaciones se han centrado en MPack como herramienta de ataque, en Hispasec creemos que la lectura más útil del incidente va encaminada a concienciar a los usuarios finales.

Realizar una navegación responsable no evita la posibilidad de sufrir ataques. Hay cierta tendencia a pensar que los usuarios que se infectan es porque necesariamente han visitado páginas webs "peligrosas" (contenidos eróticos, descarga de programas piratas, cracks, etc). Es cierto que visitando esas páginas puede existir mayor probabilidad de infecciones, especialmente con la instalación de cracks dependiendo de la fuente, pero también sucede en otras páginas webs con contenidos "normales". También hay que desmentir el bulo de que la descarga de MP3 o vídeos en redes P2P es especialmente peligrosa desde el punto de vista de la seguridad e integridad de los sistemas (pero ésta es otra guerra).

Este incidente es un ejemplo más de que el ataque puede suceder en cualquier escenario y que por tanto la solución no es "demonizar" ciertos contenidos, sino que lo primordial es concienciar a los usuarios de que deben seguir unas normas básicas de seguridad para prevenir ser víctimas de este tipo de ataques automáticos.

Unas de esas normas básicas es que deben mantener sus sistemas puntualmente actualizados con los últimos parches de seguridad. Los usuarios de Windows que hubieran seguido esta sencilla regla y visitaron algunas de las 11.000 webs comprometidas, no sufrieron ninguna infección.

Navega por donde quieras, pero navega seguro.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3162/comentar

Más información:

Análisis de la vulnerabilidad en ficheros ANI de Microsoft
http://www.hispasec.com/unaaldia/3090/analisis-vulnerabilidad-ficheros-ani-microsoft

MPack uncovered!
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/11/MPack-uncovered_2100_.aspx

MPack, Packed Full of Badness
http://www.symantec.com/enterprise/security_response/weblog/2007/05/mpack_packed_full_of_badness.html

Malicious Website / Malicious Code: Large scale European Web Attack
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782

Ataque vía web a gran escala
http://blog.hispasec.com/laboratorio/223

Marta Torné y el ataque basado en webs
http://blog.hispasec.com/laboratorio/224

¿Cómo comprometer más de 10.000 sitios web?
http://blog.hispasec.com/laboratorio/225

MPack Analysis
http://www.incidents.org/diary.html?storyid=3015


Bernardo Quintero
bernardo@hispasec.com
---.---
Nota relacionada:
Alerta: Ataque a gran escala contra webs europeas afecta a miles de usuarios

Fotos del Bloggsito

Al medio día me encontré con un ejemplar, que gentilmente me dejó Don Wilfredo, de la revista que publica mensualmente la gente de la Unidad Provincial del Sistema Integrado de Información Agropecuaria en Santiago del Estero. Ohh sorpresa!!! en la página 16 hacían referencia a la jornada de capacitación en el uso del GPS a las que fuí invitado el mes pasado, y allí me encontré con dos fotografías que publiqué en el post sobre el GPS Cabritero.

GPS Capacitación
Portada

Este tipo de iniciativas, que apuntan a la capacitación del personal, es de una gran importancia dado que se mejora la calidad de la información relevada lo que redundará en un mejor servicio al productor y al inversor. También es muy importante la difusión de estas actividades y su relación con los logros obtenidos. Muchas veces por desinformación, se critica equibocadamente.

GPS Capacitación
Nota

Post relacionado: GPS Cabritero.

La respuesta de BlackBerry

Era previsible que la empresa de Blackberry saliera al cruce a la posición del Gobierno galo. Hoy Infobae.com publica en una nota titulada "BlackBerry contraataca" lo siguiente:
El temor tenía más tufillo a mito urbano que a otra cosa. Sin embargo, el prestigioso diario Le Monde recogió la información acerca de la preocupación de la administración de Nicolas Sarkozy con respecto al uso de los teléfonos Blackberry. El periódico señaló que se creía que los servicios secretos de los Estados Unidos podían tener acceso a los e-mails.

Sin embargo, RIM, la empresa fabricante de los fabulosos aparatos, desmintió toda la información y explicó cómo funciona el innovador sistema que permite estar on line en forma constante y tener la información de toda la oficina en un teléfono celular.

"Nadie, incluido RIM, puede ver el contenido de ningún dato de comunicación enviado a través de BlackBerry Enterprise Solution (sus servidores) debido a que todos los datos son encriptados, usando la encriptación 256-bit Advanced Encryption Standard (AES) y el origen de los correos electrónicos no puede ser rastreado o su contenido analizado", señala el comunicado oficial de la compañía.

Los servidores de RIM pueden ser alojados en las compañías que ofrecen el servicio o en la misma empresa. El dato se remonta a un insólito rumor que se extendió hace dos años y que cada tanto se reflota.

"AES es una tecnología altamente confiable que está considerada informáticamente imposible de penetrar y provee una protección para datos más fiable que el estándar 'SSL connections' usado en la banca electrónica, comercio electrónico y otras ofertas móviles", dice el comunicado de Blackberry.

La desmentida concluye: "Una fuerte encriptación es usada por defecto para proteger estas comunicaciones y no puede ser quebrantada. Esta encriptación protege los datos entre los puntos de la red interna de una organización y el dispositivo y no hay un solo punto de la red donde un mensaje pueda ser leído por un usuario no autorizado".///(Infobae.com).
Y...que se yo!!!...A mi me parece que el "bichito" de la desconfianza medio que ya lo han instalado. Tal vez a algunos no le caigan bien los franceses, desconfíen de Sarkozy, o lo que sea. Hay que tener en cuenta que Francia no es un paisucho de los que sobran, tienen un desarrollo tecnológico interesante y no creo que anden con bloopers de este tipo.

miércoles, 20 de junio de 2007

¿Sos usuario de BlackBerry?

BlackBerry-8703eEntonces seguro que te va interesar esta noticia. Hoy leyendo el blog Denker Über me entero que "Francia parece tener una fijación con la seguridad de los servicios basados en USA; no sólo tiene ciertos problemas con Google y Apple, sino que ahora acaba de prohibirle a sus funcionarios usar Blackberries". Al parecer la razón de esto, como lo explica Mariano es que
"los servidores están instalados en USA, dice que todos los datos pueden ser monitoreados por ese Gobierno; y pese a que RIM declaró que son la solución más segura del mundo (y no lo discuto a nivel técnico porque conociendo algunas soluciones no lo dudo) hace falta ver si al invocar algo como la Patriot Act o similares, deberían o no, darle acceso a esos servers al Gobierno".

No nos olvidemos que hasta ahora solo Verizon y Google se negaron a darle datos al Gobierno de USA cuando se les pidieron invocando “razones de seguridad nacional”…".///(Denker Über).

También Infobae.com ha tratado el tema hoy, haciendo referencia a una nota del diario Le Monde, via AP:
"El gobierno francés al parecer prohibió el uso de esos aparatos digitales portátiles en los ministerios y el palacio presidencial por temor a espionajes por parte de la inteligencia norteamericana.

"Los riesgos de la interceptación son reales. Es una guerra económica", citó el diario Le Monde a Alain Juillet, encargado de inteligencia económica para el gobierno. Con los BlackBerries, hay un "problema de protección de información", dijo.

La oficina de Juillet confirmó haber hablado con Le Monde, pero dijo que no hablaría con otros periodistas. Funcionarios en la casa presidencial y en las oficinas del primer ministro no comentaron al respecto.

Le Monde dijo que la información enviada desde los BlackBerries pasa por servidores de Estados Unidos y Gran Bretaña, por ello el miedo de París de que la inteligencia estadounidense pueda espiar.

El Secretariado General para la Defensa Nacional emitió una circular sobre los BlackBerries hace 18 meses y poco después la envió de nuevo, agregó el periódico".///(Infobae.com)

Otro portátil que explota

Publicado por The Inquirer Es
Las noticias sobre otro ordenador portátil estallando en llamas han provocado que Toshiba inste a sus clientes a revisar sus equipos.

La compañía culpó a una batería de Sony de las llamas que devoraron un portátil británico el 24 de mayo. También indicó que había requerido de Sony una investigación del incidente confirmando que la batería fue la causante del fiasco.

Fue identificada como integrante de la lista preventiva de componentes de Toshiba, pero nunca fue sustituida.

A estas horas ya debes saber que los ordenadores portátiles pueden estallar en cualquier momento, especialmente si integran una de las aproximadamente diez millones de baterías chapuceras fabricadas por Sony.

Todos los vendedores de portátiles tienen listas de baterías peligrosas publicadas en sus sitios web. Comprueba la tuya antes de que sea demasiado tarde.

Toshiba añadió que estaba haciendo "continuos esfuerzos para promover la participación” en el programa de reemplazo de las baterías.

Lo que es preocupante también es que un portavoz dijo a VNUNet qué: “ Este incidente siguió la línea de otro ocurrido en Japón en el mes de abril, que involucraba también una batería sin reemplazar”.

"Consecuentemente, la compañía ahora se embarca en una nueva serie de esfuerzos para animar a los clientes a comprobar sus PCs y sustituir la batería si está en la lista".///(The Inquirer)

Notas Relacionadas:

El problema de Apple con las baterías es más serio de lo que parece. [03/05/2007].
Se suma Acer - El problema de la batería de notebook
. [26/04/2007].
Ahora son las pilas [09/03/2007].
La historia continua - El problema de la batería de notebook [02/03/2007].
La historia continúa - Dos computadoras de NEC se incendian en Japón [18/12/2006].
Notebook explotando [24/11/2006].
Sony retirará 250.000 baterías de sus propios ordenadores [24/10/2006].
Fujitsu Siemens anuncia retiro de baterías Sony [18/10/2006].
Hitachi se suma al retiro de baterías de Sony [09/10/2006].
Más de siete millones de portátiles afectados por posibles defectos en las baterías de litio [02/10/2006].
El problema con las baterías de las notebooks IV [22/09/2006].
El problema con las baterías de las notebooks III [19/09/2006].
El problema con las baterías de las notebooks II [15/09/2006].
El problema con las baterías de las notebooks [24/08/2006].
Fuego en Notebook III: Continúa el escándalo [22/08/2006].
Fuego en notebook II [16/08/2006].
Fuego en notebook (seguimiento de noticias)[04/08/2006]..

Verdad

"conocerán la verdad y la verdad los hará libres"...
Juan VIII XXXII

En medio de la pobreza sueña con ser maestra

Por Mónica Andrada
El Liberal

Conoce de cerca el hambre y la falta de abrigo, pero también lo que significa tener una libreta con las mejores calificaciones. Hoy portará la bandera de la Nación en el acto de su escuela, la José Manuel Estrada, en La Banda...(sigue).


Otro ejemplo de nuestra gente...Leer más...