En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan diez boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office. En principio, hablan de 34 vulnerabilidades.

Si en mayo se publicaron dos boletines de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar diez el próximo 8 de junio. Tres se consideran críticos (ejecución remota de código) y el resto importantes (elevación de privilegios o falsificación).

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que Microsoft dará solución en esta tanda al problema de seguridad encontrado en SharePoint Server 2007 y Windows SharePoint Services 3.0. Hace pocas semanas, la empresa “High-Tech Bridge” publicó un fallo que afectaba a estos productos. Se trata de un cross-site scripting no persistente.

También corregirá un fallo reconocido en febrero por Microsoft (que previamente se había hecho público en la conferencia Black Hat DC 2010) en Internet Explorer. Existe un error de comprobación de permisos cuando se usa el protocolo “file:” que podría ser aprovechado por un atacante remoto para obtener datos del sistema a través de una pagina web especialmente manipulada. Al parecer se trata de un fallo complejo de resolver, según los propios descubridores, puesto que en años anteriores habían reportado vulnerabilidades parecidas, y Microsoft en ningún momento ha conseguido erradicar el problema por completo con los parches que ha ido publicando. Sin embargo, es necesario apuntar que el “modo protegido” en el que funcionan las versiones 7 y 8 por defecto en Vista, 7 y 2008, previene la explotación de la vulnerabilidad.

También se corrigen fallos en Office InfoPath, Excel Viewer.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Más Información:

Microsoft Security Bulletin Advance Notification for June 2010
http://www.microsoft.com/technet/security/bulletin/ms10-jun.mspx

Un email invitando a los usuarios a hackear por si mismos cuentas de Windows Live Messenger pone las suyas en peligro.

Un email, que está siendo distribuido masivamente, puede poner en riesgo la seguridad de los usuarios de Windows Live Messenger.

El correo electrónico en cuestión anuncia la existencia de una herramienta que permite recuperar contraseñas de servicios como Windows Live Messenger, Windows Live Mail o MSN Messenger. Según anuncia el propio mensaje, esta herramienta podría ser usada por los ciberdelincuentes para conseguir las contraseñas de estos servicios, aunque, eso sí, el email avisa que eso es ilegal.

Si el usuario intenta descargar la herramienta, lo que introducirá en realidad en su equipo es un backdoor, es decir, un código malicioso diseñado para permitir a un atacante remoto tomar el control del ordenador infectado.

Identificado por BitDefender como Backdoor.Bifrose.AADY, este ejemplar de malware afecta a plataformas Windows. El malware se inyecta a sí mismo en el proceso de Internet Explorer y abre una puerta trasera para que el atacante pueda tomar el control de la máquina afectada.

Además, Backdoor.Bifrose.AADY intenta leer las claves y número de serie de varios tipos de software que pueda haber instalado en el equipo y puede sustraer a su vez contraseñas de ICQ, Messenger, cuentas de email POP3 y almacenamiento protegido.

El empleo como cebo de supuestas herramientas o servicios para acceder a contraseñas de servicios como Messenger, Hotmail, etc. no es anda novedoso. Sin embargo, el hecho de que los ciberdelincuentes lo sigan utilizando, con emails más actualizados como éste, demuestra que sigue siendo rentable y que, por lo tanto, hay gente que sigue cayendo en la trampa.

Fuente: BitDefender.

La epidemia de  programas scareware y antivirus falsos que con sus ataques han obtenido millones de dólares de ganancias ha generado un nuevo tipo de mal: Los bloqueadores de SMS. Esta clase de malware, que exige a  los usuarios enviar mensajes de texto SMS a números premium, ha tenido gran presencia en Rusia y en algunas partes de Asia, dicen los expertos.

Los bloqueadores de SMS, o  bloqueadores, como comúnmente se les conoce, son una evolución inteligente de las viejas técnicas de ransomware o scareware  que exigen un pago a cambio, ya sea para la eliminación de algunos programas maliciosos en una PC, o descifrar el disco duro de un usuario que el ransomware había codificado con anterioridad. Estas tácticas han sido muy rentable para los estafadores en los últimos cuatro o cinco años, al grado de que algunos de estos grupos obtienen millones de dólares al año.

En los últimos meses ha habido un repunte importante en el volumen de los bloqueadores de SMS que impactan a los usuarios europeos, en particular en Rusia y algunas partes de Asia. La estafa es tan simple como efectiva: Una víctima visite un sitio malicioso, o tal vez un sitio legítimo que se ha comprometido y fue cargado con algún  código de ataque, e infecta  su equipo con una pieza de malware. Posteriormente la víctima comenzará a ver  cuadros de diálogo con un mensaje que exige el pago a fin de desinfectar la máquina.

Pero, con el fin de desinfectar la PC, la víctima debe enviar un mensaje SMS desde su teléfono celular a un número premium  controlado por el atacante, por lo general a un costo de alrededor de 10 dólares, dijo Boris Yampolsky, investigador de malware de Kaspersky Lab, en una plática dentro de la Cumbre sobre el Análisis de la Seguridad que organiza la empresa  este miércoles.

En algunas variantes de la estafa, las víctimas visualizan una imagen pornográfica en una ventana pop-up que es imposible de quitar hasta que el mensaje SMS es enviado. Algunas de las estafas obligan a  las víctimas a enviar dos mensajes separados, lo que da un total de 20 dólares. Otras variaciones le dicen a la víctima de que su licencia de Windows no es válida y se debe enviar un SMS para volver a activarla. En todos los casos, la máquina  básicamente es inutilizada hasta que el pago se haya realizado.

La nueva estafa se basa en un ecosistema de entidades que están por detrás de las escenas para poder trabajar. En una configuración habitual, el estafador compra un bloque de  números  SMS desde un agregador, que a su vez ha adquirido el número de un operador móvil. Una vez que la víctima está infectada, el SMS que fue instruido a enviar generalmente contiene un código que identifica esencialmente al estafador que lo infectó. Los operadores de telefonía móvil pagan el agregador sus honorarios, la mitad de las cuales se remite posteriormente al estafador.

Yampolsky, quien ha dado seguimiento a estos fraudes en Rusia, estima que se realizan  500,000 infecciones de bloqueo de SMS todos los días.

“El código es sofisticado. Utilizan técnicas de ofuscación y de anti-emulación para hacer que sea difícil para nosotros realizar un análisis”, dijo.

Los bloqueadores de SMS no han hecho mucha mella en los Estados Unidos y otros países occidentales por el momento, dijo Yampolsky, y se debe en gran parte a que es más difícil para los estafadores  conseguir los números de SMS necesarios para el ataque. Pero eso puede cambiar en el futuro, hasta que encuentren la forma de evadir las restricciones en los Estados Unidos

Breve resumen de las novedades producidas durante el mes de mayo de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE MAYO DE 2010
* Capítulo 3 Ambientes Operativos del Libro Electrónico El Atacante Informático (Jhon César Arango, PDF, 48 páginas, Colombia)

http://www.criptored.upm.es/guiateoria/gt_m414a.htm

* Qué son y con qué objetivo se crean y distribuyen los virus informáticos (Jorge Ramió / Bernardo Quintero, PDF, 3 páginas, España)

http://www.criptored.upm.es/guiateoria/gt_m001w.htm

* Intervención Programa de Radio Nacional de España No es un Día Cualquiera: Qué son los virus informáticos (Jorge Ramió, MP3, 3:24 minutos, España)

http://www.criptored.upm.es/descarga/Intervencion_No_Es_Un_Dia_Cualquiera_2_mayo_2010.mp3

* Privacidad y Libertad de Expresión en la Era de Internet (VI Ciclo Conferencias UPM TASSI, Bárbara Navarro, PDF, 38 diapositivas, España)

http://www.lpsi.eui.upm.es/GANLESI/2009_2010/gconferencia_bn.htm

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES EN MAYO DE 2010
* Informe de la Red de Sensores de INTECO del Mes de Abril de 2010 (España)

https://ersi.inteco.es/informes/informe_mensual_201004.pdf

* Inseguridad de la Información: Confusión de Fines y Perfección de Medios en el Blog IT-Insecurity (Jeimy Cano, Colombia)

http://insecurityit.blogspot.com/2010/05/inseguridad-de-la-informacion-confusion.html

* Inversión en Seguridad de la Información: Volver a los Principios en el Blog IT-Insecurity (Jeimy Cano, Colombia)

http://insecurityit.blogspot.com/2010/05/inversion-en-seguridad-de-la.html

* Esquema Nacional de Seguridad en Inglés Spanish National Security Framework (Secretaría General Técnica del Ministerio de la Presidencia, España)

http://www.csae.mpr.es/csi/pdf/ENS_SECURITY_ENGLISH_final.pdf

* La hora de los hackers (Ciclo Conferencias UPM TASSI, Carlos Sánchez Almeida)

http://www.kriptopolis.org/la-hora-de-los-hackers

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Junio 15 al 16 de 2010: European Workshop on Smart Objects: Systems, Technologies and Applications RFID-SysTech 2010 (Ciudad Real – España)
* Junio 16 al 18 de 2010: X Jornada Nacional de Seguridad Informática ACIS 2010 (Bogotá – Colombia)
* Junio 16 al 19 de 2010: V Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2010 (Santiago de Compostela – España)
* Junio 20 al 23 de 2010: Mexican Meeting on Informatics Security M2IS 2010 (Guadalajara – México)
* Julio 22 al 24 de 2010: International Conference on the Business and Digital Enterprises ICBDE 2010 (Bangalore – India)
* Julio 26 al 28 de 2010: International Conference on Security and Cryptography SECRYPT (Atenas – Grecia)
* Agosto 8 al 11 de 2010: First International Conference on Cryptology and Information Security LatinCrypt 2010 (Puebla – México)
* Agosto 30 a septiembre 3 de 2010: 7th International Conference on Trust, Privacy an Security in Digital Business TrustBus ’10 (Bilbao – España)
* Agosto 30 a septiembre 3 de 2010: Workshop de Seguridad Informática 2010 en 39 edición de JAIIO (Buenos Aires – Argentina)
* Septiembre 8 al 10 de 2010: XI Reunión Española sobre Criptología y Seguridad de la Información RECSI 2010 (Tarragona – España)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010 de la UNESCO Chair in Data Privacy (Corfú – Grecia)
* Septiembre 22 al 24 de 2010: 5ta Conferencia de la Asociación EATIS 2010 en la UTP (Ciudad de Panamá – Panamá)
* Septiembre 23 de 2010: Fifth International Workshop on Data Privacy Management DPM 2010 (Atenas – Grecia)
* Noviembre 8 al 10 de 2010: International Conference E-Activity and Leading Technologies 2010 (Oviedo – España)
* Noviembre 29 a Diciembre 3 de 2010: VI Congreso Internacional de Telemática y Telecomunicaciones (La Habana – Cuba)
Más información en:

http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. FUE NOTICIA EN LA RED TEMÁTICA DURANTE EL MES DE MAYO DE 2010
* Presentación del Máster MASGDTIC en Auditoría, Seguridad, Gobierno y Derecho de las TICs de la UAM (España)
* Plan de Seminarios de Seguridad Informática para el Año 2010 de CYBSEC (Argentina, Paraguay, España)
* Seminario Protección de Datos, Tecnologías de la Información y Sistema Educativo en la UIMP (España)
* III Jornada de Seguridad de la Información en la Industria Financiera de CXO Community (Argentina)
* Octava edición de Asegúr@IT en Valencia (España)
* Curso de Verano sobre Seguridad Informática en Valencia (España)
* 10th International Conference on Mathematical Methods in Science and Engineering CMMSE en Almería (España)
* Cuatro Becas para Asistencia Minisimposium Applications of Algebra to Cryptography and Coding Theory en Almería (España)
* CFP International Conference E-Activity and Leading Technologies 2010 en Oviedo (España)
* Curso de Evidencia Digital y Peritaje Informático en la Universidad de los Andes (Colombia)
* Programa Profesionales de Aplicación de Derecho de Internet y TICs en Uniandes (Colombia)
* Jornada de Solventia sobre Cloud Computing y Privacidad de los Menores en la Red en Madrid (España).

Para acceder al contenido de estas noticias:

http://www.criptored.upm.es/paginas/historico2010.htm#may10

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 824 (217 universidades y 307 empresas)

http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 36.014 visitas, con 96.348 páginas solicitadas y 37,28 GigaBytes servidos en mayo de 2010

http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

Más Información:

Mayo 2010
http://www.criptored.upm.es/paginas/historico2010.htm#may10

Sistemas Afectados
Todos los usuarios de Macintosh que hayan instalado alguna de las aplicaciones afectadas.

Descripción

Se ha descubierto un virus de tipo espía que es instalado por varias aplicaciaciones gratuitas y salvapantallas descargables de varios sitios web. El virus, OpinionSpy, realiza varias actividades maliciosas, como enviar información confidencial a servidores remotos y abrir una puerta trasera en el ordenador comprometido.

Impacto

• El envío a terceras personas de información confidencial.
• Bajo rendimiento del equipo infectado.
• Ejecución de comandos e instalación de otros códigos maliciosos a través de la puerta trasera.

Solución

• Si utiliza Mac OS X Leopard, y sabe cuándo se produjo la infección, puede usar la característica de ‘Time Machine’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración y se eliminarán todos los archivos que haya creado o descargado desde la fecha de la copia). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar la guía de MAC sobre TimeMachine.
• En caso de que no pueda volver a un punto anterior de TimeMachine o no le funcione, siga estos pasos para la eliminación del virus:
  1. Con un antivirus actualizado, localice todas las copias del virus en el ordenador. Si no dispone de antivirus, deberá adquirir un producto adecuado para OS X.
     Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
  2. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus.
• Se recomienda cambiar las contraseñas de acceso del sistema y de los servicios a los que haya accedido durante el tiempo que el ordenador ha estado comprometido, ya que esta información ha podido ser recopilada y enviada a terceros.

Detalle
El código malicioso es descargado e instalado durante el proceso de instalación de aplicaciones y salvapantallas distribuidos desde witios web como MacUpdate, VersionTracker y Softpedia. Como el código malicioso no se encuentra empaquetado con estas aplicaciones, sino que es descargado durante el proceso de instalación, los antivirus no mostrarán un aviso al descargarlas. Las aplicaciones afectados son, entre otras, las siguientes:

• Varios salvapantallas descargables desde http://7art-s[OCULTO].com
• La aplicación “MishInc FLV To Mp3″ descargable desde http://www.[OCULTO].info/mac_flv_to_mp3.php

Algunos de estos programas, que descargan el virus, informan de que los usuarios deben aceptar la instalación de un programa de análisis de mercado llamado PremierOpinion. Pero este programa, que ha existido para sistemas Windows desde el año 2008, no sólo recopila información del navegador o del perfil de usuario como dice, sino que también realiza las siguientes actividades maliciosas:

• Abre una puerta trasera HTTP en el puerto 8254.
• Accede a todos los volúmenes accesibles, incluidos los de red, para analizar ficheros consumiento mucho tiempo de CPU. También, analiza el tráfico de la red local.
• Inyecta código y recopila información de Safari, Firefox e iChat.
• Envía regularmente la información recopilada, de forma encriptada, a servidores remotos a través del puerto 80 y 443. Puede incluir contraseñas, números de tarjetas de crédito, historial del navegador, etc.
• Puede actualizarse automáticamente y, ocasionalmente, mostrar formularios solicitando información al usuario.
• En algunos casos, afecta a la ejecución del ordenador comprometido haciendo necesario su reinicio.
• Se ejecuta como root, ya que solicita la contraseña de root al instalarse, por lo que tiene completo acceso a los ficheros y recursos del ordenador comprometido. Y, aunque se desinstale la aplicación o salvapantallas que lo instaló, el código malicioso permanece.
• Si se detiene su ejecución, es ejecutado de nuevo a través de launchd.

Referencias

• OSX/OpinionSpy Spyware Installed by Freely Distributed Mac Applications
• Virus OpinionSpy

Según la encuesta realizada por la empresa de seguridad Sophos, un 16% de los usuarios de Facebook ya la ha abandonado por la mala gestión de sus datos.

Una encuesta realizada por Sophos revela la preocupación existente entre los usuarios de Facebook por su privacidad. La encuesta online muestra que casi dos tercios de los usuarios de esta red social están considerando la posibilidad de darse de baja, y un 16% comentan que ya la han dejado de utilizar debido a la mala gestión de sus datos.

Sophos realizó a los usuarios la siguiente pregunta: “¿cree que dejará de usar Facebook debido a cuestiones relacionadas con su intimidad?”. Las respuestas fueron las siguientes:

- 30% (484 respuestas) Posiblemente.
- 30% (469 respuestas) Muy probablemente.
- 16% (254 respuestas) Ya lo ha dejado.
- 12% (191 respuestas) No.
- 12% (190 respuestas) No lo creo probable.

Total de usuarios de Facebook encuestados: 1.588.

Las preocupaciones se han centrado sobre todo en la complejidad y el enfoque de la información que los miembros pueden compartir con redes más amplias. “Esta encuesta muestra que la mayoría de los usuarios están preocupados por la falta de control sobre sus datos que demuestra Facebook”, dijo Graham Cluley, Consultor de Tecnología de Sophos. “La mayoría todavía no sabe cómo ajustar con seguridad sus opciones de privacidad y encuentran el sistema confuso en su conjunto. Se muestra imprescindible, por tanto, un cambio fundamental y que el usuario deba marcar la casilla en la que da su aprobación para compartir información, en lugar de tener que desmarcarla para que no se haga”.

Se ha especulado con un posible anuncio de cambios en los ajustes de la privacidad, pero no está claro si esto se cumplirá o si estos cambios serán lo suficientemente importantes como para abordar las preocupaciones de los usuarios.

“Parece poco probable que se produzca un éxodo masivo, pero cada vez son más los usuarios de Facebook que están interesados en saber exactamente quién puede ver sus datos”, afirma Cluley. “La gente utiliza Facebook para compartir información privada y es probable que no quieran que ésta aparezcan por todas partes en Internet. Además, de la encuesta se obtiene otro dato: sólo el 24% no piensa en abandonar la red social. Facebook, por tanto, debe hacer nuevos cambios en su política de privacidad que sean claros, concisos y orientados a hacer más fácil que los usuarios sepan exactamente quién tiene acceso a la información que deciden colgar”.

Fuente: Sophos.

Hay una brecha de privacidad o similar sucediendo en Facebook en este mismo instante – e involucra su número de teléfono.

Pero antes que culpe a Facebook por esto -y, si, la compañía debería compartir la culpa – nosotros, los usuarios, somos quienes merecemos ser regañados esta vez. El diario Los Angeles Times describió hoy un nuevo servicio llamado Evil (maligno), que urga en las páginas públicas de Facebook en busca de números telefónicos y luego los expone a todos excepto sus últimos tres dígitos, junto con el nombre de la persona y la foto de Facebook en una página Web.

Si alguna vez escribió su número telefónico en un muro de Facebook, quizás como parte de un pequeño grupo o solo para decirle a un amigo que lo llame, podría estar allí afuera que para cualquiera en la Web – incluso para quienes no son miembros de Facebook – lo vea, dependiendo de la configuración de seguridad que había en ese muro.

Aquí es donde Facebook comienza a compartir la culpa. Facebook ha comprometido de nuevo la configuración de privacidad del usuario no solo haciendo el proceso más complejo sino haciendo un un proceso opt-out, en lugar de uno opt-in. Los usuarios no necesariamente están conscientes que su muro está configurado para todos lo vean – todos en Internet. Así que cuando anuncian a sus amigos que han perdido su teléfono en un muro de Facebook y los amigos responden poniendo sus números telefónicos …. bien, terminará cayendo en Evil.com.

El desarrollador, Tom Scott, le dijo al Times que no está buscando exponer los número sino enviar un mensaje a los usuarios que Facebook no puede ser verdaderamente seguro hasta que los usuarios empiecen a actuar responsablemente respecto de lo que publican. Facebook no puede hacer mucho. En la pagina inicial de Evil, Scott explica:

Hay una incontable cantidad de grupos de Facebook llamados “¡¡¡¡perdí mi telefono!!!!, ¡¡¡¡necesito sus números!!!!” o cosas parecidas. La mayoría están marcados como ‘públicos’, o ‘visibles a todos’. Un montón de gente no comprende que significa eso en el contexto de Facebook – para Facebook, ‘todos’ significa todo el mundo, ya sean miembros de Facebook o no. Eso incluye a programas automatizados tales como Evil, así como también los motores de los buscadores… Evil usa la API gráfica para buscar grupos sobre teléfonos perdidos. Los selecciona al azar, extrae algunos número, y luego los muestra allí.

Scott también dijo que no está haciendo nada que nadie no pueda hacer manualmente – incluso por medio de  una búsqueda en Google. El servicio, que desarrolló Scott y está alojado en su propio sitio, no es maligno – pero podría serlo. Él escribe:

Se llama Evil (malo) no diabólico. Esos dígitos están disponibles públicamente, sin embargo, yo – o cualquiera maliciosamente – podría cambiar un interruptor metafórico y mostrarlos aquí. O producir un directorio telefónico. O apropiárselos para venderlos. No olvide, las páginas de Facebook que le “Gustan” también son públicas.

Por cierto, Scott dice que está en busca de trabajo haciendo web, video y cosas virales. Con un poco de suerte, Evil se volverá viral para que la gente ingreem elimine sus notas con sus teléfonos y sea más cuidadosa en el futuro.

Traducción: Raúl Batista – Segu-Info
Autor: Sam Díaz
Fuente: ZDNet Blogs

Las mejoras en seguridad siempre se agradecen, y más si son en un servicio usado por una cantidad gigantesca de personas. Esto es lo que ha hecho Google con su servicio de búsqueda, Google Search, que ahora nos permite usar su versión segura.

Simplemente cambiando el http:// por https:// podremos acceder a una página de búsqueda encriptada con SSL, de forma que lo que busquemos estará seguro, y ninguna persona intermedia entre Google y tu PC (por ejemplo, el ISP) podrá saber lo que estás buscando. Eso si, sólo funciona en el dominio google.com, no en el propio de cada país.

De momento, no podremos buscar con SSL ni en Google Maps ni en Images, aunque planean añadirlo dentro de poco. Si queréis cambiar Google para que siempre use la búsqueda en SSL, podéis hacerlo de diferentes maneras. Por ejemplo, para Chrome, Opera y Firefox, existe un script de Greasemonkey que fuerza a usar todos los servicios de Google con SSL, incluido ahora Google Search. Para Internet Explorer, podéis crear un motor de búsqueda poniendo como URL https://www.google.com/search?q=TEST.

Vía | Google Operating System
Más información | Google

Aza Raskin ha desvelado un nuevo método de modificación de páginas en pestañas del navegador (afecta a casi todos) que puede ser utilizado para realizar ataques de phishing un poco más sofisticados. Está basado en una técnica que permite modificar el aspecto de una página cuando no tiene el “foco” de la pestaña del navegador. El ataque es ingenioso, aunque tiene sus limitaciones.

Cómo funciona

Un usuario navega hacia la página del atacante, que no tiene por qué simular ningún banco o página de login. Simplemente es una página más equipada con un código JavaScript que hará el “truco”. La víctima cambia de pestaña (o de programa, lo importante es que pierda el foco) y sigue con sus visitas cotidianas a otras páginas. Mientras, la web del atacante cambia por completo gracias al JavaScript: el favicon, el título, el cuerpo… todo excepto el dominio, lógicamente. La página ahora podría parecerse a (por ejemplo) la web de login de Gmail. La víctima, vuelve a la pestaña más tarde y piensa que ha caducado su sesión. Introduce su contraseña y ésta viaja hacia el atacante.

Se supone que el usuario bajará la guardia puesto que, hasta ahora, se supone que una pestaña no “muta” a nuestras espaldas y por tanto, si aparece como “Gmail”, por ejemplo, es que lo hemos visitado previamente. Los usuarios que mantengan habitualmente muchas pestañas abiertas, saben que es fácil olvidar qué se está visitando exactamente en cada momento.

Mejoras al ataque

Según el propio descubridor, se podría investigar en el historial de CSS del navegador para averiguar qué páginas visita el usuario y mostrarse como una de ellas dinámicamente, para hacer más efectivo el ataque. Existen otros métodos para incluso averiguar en qué sitios está realmente autenticado el usuario, con lo que la técnica resultaría más efectiva.

Si el atacante consigue incrustar JavaScript en la web real que se quiere falsificar (por ejemplo a través de publicidad contratada a terceros) entonces la página cambiaría sobre el dominio real… y entonces sí supondría un ataque “casi perfecto”.

En directo

El descubridor, en su entrada
http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
ha colgado una prueba de concepto. Si se visita esa web, se pasa a otra pestaña durante 5 segundos (tiempo arbitrario impuesto por el descubridor), y se vuelve, mostrará una imagen de Gmail que toma de http://img.skitch.com/20100524-b639xgwegpdej3cepch2387ene.png superpuesta sobre la página. Cambiará el favicon y el título. Obviamente, el ataque en este ejemplo está específicamente diseñado para que sea “visible”.

Qué aporta el ataque

Supone un método ingenioso y nuevo de intentar suplantar una página. Funciona en Firefox, Opera y (de forma un poco irregular) en Internet Explorer 8. Parece que Chrome no es vulnerable, aunque es posible que aparezcan métodos para que sí lo sea.

Limitaciones

El ataque sigue confiando en que el usuario no tenga en cuenta la URL, por tanto, cuando la víctima vuelve a la pestaña, estaría ante un caso de phishing “tradicional” sino fuera porque la pestaña cambió “a sus espaldas”. Realmente pensamos que no será un ataque puesto en práctica de forma masiva por los atacantes, aunque obviamente puede ser utilizado selectivamente. La razón es que el phishing tradicional, burdo y sin trucos, sigue funcionando y reportando importantes beneficios a quienes lo ponen en práctica sin mayores complicaciones técnicas. Y ambos se basan en que el usuario medio no aprovecha los beneficios de los certificados ni se fija en las URLs donde introduce las contraseñas.

Un ataque “parecido” basado en la superposición de páginas en una web conocida, fue descrito por Hispasec en mayo de 2005. En esa ocasión se escribió “Nueva generación de phishing rompe todos los esquemas” porque en estos casos, la URL del sitio falso (y el certificado) coincidía con la real, esto es: realmente se estaba visitando la web real, y la falsificada se “ponía” encima. Obviamente, este ataque necesitaba de una vulnerabilidad de Cross Site Scripting en la web original. Por desgracia el XSS es el tipo de error más común en estos días, tanto en bancos como en otras páginas importantes que trabajan con credenciales. A pesar de lo efectivo del ataque, no se observaron ataques masivos basados en esa técnica.

Mitigación

Para no sufrir el “tabnabbing”, es necesario fijarse en las URLs antes de introducir contraseñas, como siempre. Desactivar JavaScript para las páginas en las que no se confíe, ya sea a través de la Zonas para Internet Explorer o No-Script para Firefox.

Más Información:

A New Type of Phishing Attack
http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/

Nueva generación de phishing rompe todos los esquemas
www.hispasec.com/unaaldia/2406

ClamAV ha publicado una actualización que corrige dos vulnerabilidades en su motor antivirus ClamAV 0.x que permiten a un atacante hacer que motor deje de responder si se envían ciertos ficheros especialmente manipulados.

ClamAV es un motor antivirus de código abierto muy popular en el mundo del software libre, empleado con frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria. En el verano de 2007 el proyecto fue comprado por la compañía Sourcefire, aunque el programa no ha sufrido sustanciales cambios desde entonces.

De forma resumida las vulnerabilidades son las siguientes:

* Un fallo en la función cli_pdf de la librería libclamav/pdf.c podría permitir a un atacante hacer que el programa deje de responder si se envía un fichero PDF especialmente manipulado.

* Un error en la función parseicon de la librería libclamav/pe_icons.c al procesar iconos PE (portables ejecutable). Si un atacante envía un fichero ejecutable con un icono especialmente manipulado, el escáner podría dejar de responder.

Se recomienda actualizar a la última versión 0.96.1. disponible desde

http://www.clamav.net/download/.

Más Información:

Bug 2016 – pdf crash
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=2016

Bug 2031 – icon: invalid read
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=2031