Análisis y Modelado de Amenazas

diciembre 31, 2006 § Deja un comentario

El modelado de amenazas es una técnica de ingeniería cuyo objetivo es ayudar a identificar y planificar de forma correcta la mejor manera de mitigar las amenazas de una aplicación o sistema informático.

En este artículo se abordan las metodologías y herramientas disponibles.

Se ha tratado además, de proporcionar información que facilite la puesta en marcha del proceso de modelado, así como cuestiones importantes a tener en cuenta durante la realización del análisis y modelado. El documento, está acompañado por un video en el que se muestra la herramienta gratuita creada por Microsoft.

Fuente: http://metal.hacktimes.com/node/4

Análisis y Modelado de Amenazas

diciembre 31, 2006 § 1 comentario

El modelado de amenazas es una técnica de ingeniería cuyo objetivo es ayudar a identificar y planificar de forma correcta la mejor manera de mitigar las amenazas de una aplicación o sistema informático.

En este artículo se abordan las metodologías y herramientas disponibles.

Se ha tratado además, de proporcionar información que facilite la puesta en marcha del proceso de modelado, así como cuestiones importantes a tener en cuenta durante la realización del análisis y modelado. El documento, está acompañado por un video en el que se muestra la herramienta gratuita creada por Microsoft.

Fuente: http://metal.hacktimes.com/node/4

Se retrasa la tecnología anti-piratería de YouTube

diciembre 31, 2006 § Deja un comentario

El pasado mes de octubre os contábamos que YouTube, con la ayuda fundamental de su nuevo dueño, Google, estaba desarrollando una tecnología que revisará los contenidos subidos por los usuarios para descubrir, de manera automatizada, contenidos con copyright (sobre todo, vídeos musicales).

Estos contenidos no autorizados son uno de los mayores quebraderos de cabeza de los responsables de YouTube y, según informa ‘Financial Times‘, van a seguir siéndolo por algún tiempo más, puesto que la prometida tecnología de detección aún no está disponible. Y este retraso podría hacer peligrar los diferentes acuerdos con la industria de contenidos audiovisuales, gracias a los cuales se podría convertir en el rey del vídeo en Internet y aumentar sus ingresos a través de la publicidad en este nuevo soporte.

Fuente: http://google.dirson.com/post/3062-retrasa-tecnologia-antipirateria-youtube/

Se retrasa la tecnología anti-piratería de YouTube

diciembre 31, 2006 § Deja un comentario

El pasado mes de octubre os contábamos que YouTube, con la ayuda fundamental de su nuevo dueño, Google, estaba desarrollando una tecnología que revisará los contenidos subidos por los usuarios para descubrir, de manera automatizada, contenidos con copyright (sobre todo, vídeos musicales).

Estos contenidos no autorizados son uno de los mayores quebraderos de cabeza de los responsables de YouTube y, según informa ‘Financial Times‘, van a seguir siéndolo por algún tiempo más, puesto que la prometida tecnología de detección aún no está disponible. Y este retraso podría hacer peligrar los diferentes acuerdos con la industria de contenidos audiovisuales, gracias a los cuales se podría convertir en el rey del vídeo en Internet y aumentar sus ingresos a través de la publicidad en este nuevo soporte.

Fuente: http://google.dirson.com/post/3062-retrasa-tecnologia-antipirateria-youtube/

Resumen de seguridad de 2006

diciembre 31, 2006 § Deja un comentario

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2006 en cuestión de seguridad informática. En tres entregas (cuatro meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes
publicadas en nuestro boletín diario.

Enero 2006:

* Comienza el año con la vulnerabilidad WMF que afecta a sistemas Windows en pleno apogeo, miles de archivos JPG y GIF infectados circulan en Internet. La falta de un parche oficial por parte de Microsoft, obliga a Ilfak Guilfanov a publicar una solución a la que acuden millones de usuarios colapsando su página. El éxito de esta práctica inspiraría este mismo año en septiembre, la creación de Zeroday Emergency Response Team (ZERT).

* Microsoft adelanta la publicación de su parche para WMF y mientras Steve Gibson publica su curiosa teoría de conspiración. Afirmaba que esa vulnerabilidad (presente desde Windows 3.x) podría haber sido intencionada. La insinuación de puerta trasera incluida a propósito en Windows le valió grandes críticas e incluso burlas descaradas.

* Se cumplen 20 años del primer virus masivo para PC, Brain.

Febrero 2006:

* Los medios no especializados le dan cancha al inofensivo virus Kama Sutra. Sin suponer técnicamente ninguna novedad (sobrescribía archivos de documentos un día concreto), acapara noticias y análisis. Tras una “tensa” espera, el día de su activación finalmente queda en una simple anécdota y muy pocos se ven afectados.

* Aparecen un par de troyanos que afectan a MAC OS X de Apple. Comienza un debate sobre la seguridad de este sistema operativo.

Marzo 2006:

* “Guillermito” pierde la apelación en el juicio con Tegam y es condenado al pago de 14.300 euros. Este investigador publicó en su sitio web personal en marzo de 2002, varias vulnerabilidades en Viguard, software antivirus de Tegam International que se anunciaba como 100% seguro. Tras la condena, en su página recibe donaciones para ayudarle a comprar “un antivirus nuevo” (en Francia está prohibido solicitar dinero para pagar una multa).

* Importante problema de seguridad de Sendmail obliga a actualizar millones de sistemas de correo y distribuciones.

Abril 2006:

* Kaspersky anuncia una nueva prueba de concepto capaz de infectar tanto a sistemas operativos Windows de Microsoft como GNU/Linux en general. Lo bautiza como irus.Linux.Bi.a/Virus.Win32.Bi.a, y vuelve a alertar sobre la posibilidad de que el mercado de los virus se abra para ambas
plataformas.

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva lo que ha sido el segundo cuatrimestre de 2006 en cuestión de seguridad informática. Estas son las que consideramos las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Mayo 2006:

* El servicio de análisis online de archivos VirusTotal añade el motor antivirus proporcionado por Microsoft, además de presentar considerables mejoras de rendimiento y presentación de resultados al usuario.

* Steve Wiseman descubre casi por casualidad, una importante vulnerabilidad en VNC (un software de administración remota muy usado en distintos sistemas operativos que permite interactuar con el escritorio). El fallo permitía eludir de forma trivial la autenticación y acceder al equipo sin necesidad de conocer la contraseña. Muchas
máquinas gestionadas con este programa de forma remota son “secuestradas”.

Junio 2006:

* Comienza la retahíla de 0days para productos Microsoft Office que aparecen días después de las actualizaciones mensuales de la compañía.
Esta “política” de revelación de vulnerabilidades y descubrimiento de fallos de forma estratégica en la suite de Microsoft se prologaría durante todo el año.

* Se conoce que HP ha hospedado en su página web, durante un tiempo indefinido, uno de sus controladores de impresora infectado por FunLove, un virus de hace casi seis años.

* Tras una controversia mediática y un debate importante producido en el sector, Microsoft opta finalmente por poner a disposición de los usuarios una nueva versión de WGA (Windows Genuine Advantage) que no efectúa “llamadas a casa” (phone home).

Julio 2006:

* HD Moore inaugura con gran éxito (tras comprobar la repercusión e imitadores posteriores) su mes de los fallos en navegadores, donde publica en un blog (al estilo una-al-día) un fallo o bug en navegadores por cada día del mes. Algunos de ellos, más tarde, se revelaron como grandes problemas de seguridad que fueron aprovechados de forma masiva.

* Se detecta una vulnerabilidad 0day en las versiones del Kernel Linux pertenecientes a la rama 2.6 que facilita la escalada de privilegios local. Este problema es usado para atacar sistemas base de Debian, que a través de una cuenta de usuario sin privilegios comprometida, logra hacerse con el control de uno de los servidores del proyecto.

Agosto 2006:

* Microsoft publica el boletín MS06-042, en el que se recomienda la aplicación de un parche acumulativo para Internet Explorer que soluciona ocho problemas de seguridad. Dos semanas después se hace público que este parche introducía una nueva vulnerabilidad crítica. Eeye, que detecta el grave error, protagoniza
una guerra verbal contra Microsoft.

Septiembre 2006:

* Panda alerta de un nuevo virus que se distribuye a través de correo electrónico. Los sistemas infectados ayudan a reenviar nuevos virus con ayuda de mensajes cortos a móviles españoles. El SMiShing se cuela en nuestro país.

* De nuevo, una organización independiente publica un parche para solucionar temporalmente el grave problema que supone el fallo VML en Internet Explorer, que es aprovechado de forma masiva para la distribución e instalación de todo tipo de malware. Se constituye Zeroday Emergency Response Team (ZERT) un equipo de programadores dispuesto a crear parches temporales para mitigar grandes problemas de seguridad mientras aparece la solución oficial.

* Se descubre un nuevo troyano bancario que combina la captura del teclado físico con una técnica optimizada para los teclados virtuales.
Diseñado específicamente contra los usuarios de diversas entidades, muestra la eficacia y evolución de este tipo de malware.

Octubre 2006:

* Mischa Spiegelmock y Andrew Wbeelsoi anuncian en la conferencia hacker ToorCon una vulnerabilidad en Mozilla Firefox que se supone podría permitir a un atacante remoto ejecutar código arbitrario. Tras muchas conjeturas, todo resulta ser una broma pesada y la vulnerabilidad supone sólo un problema de denegación de servicio. Los chicos consiguen sus 15
minutos de fama.

* Microsoft retira a Cyril Paciullo, creador de Messenger Plus!, el reconocimiento de MVP (Most Valuable Professionals) tras reconocer que la aplicación por la que se le premiaba se distribuía junto con un programa espía.

* Aparece IE7, 5 años después que su predecesor.

* Alan Cox sacude las conciencias de la comunidad de código abierto con afirmaciones como “Lo que aparece en los medios de comunicación como que el código abierto es seguro y más fiable y que tiene menos fallos son afirmaciones muy peligrosas”, apelando a la autocomplaciencia en cuestión de seguridad.

Noviembre 2006:

* Como ya hiciera HD Moore en julio con su “mes de los fallos en los navegadores”, otro investigador relacionado con el proyecto Metasploit desarrolla la iniciativa “month of the kernel bugs”. La idea consiste en publicar un nuevo error en el kernel de cualquier sistema operativo durante todos los días de noviembre.

* Mientras Litchfield afirma que “comparado con Oracle, Microsoft SQL Server es más seguro”, Cesar Cerrudo anuncia la semana de los fallos en Oracle. Finalmente sería cancelada. El motivo que dio más tarde es que uno de sus clientes se vería indirectamente afectado por la revelación de estos fallos y podría causarle problemas: “no que sus bases de datos fuesen hackeadas, sino serios problemas de negocio”.

Diciembre 2006:

* El creador del mes de los fallos en el núcleo anuncia “el mes de los fallos en Apple” para enero.

* Se descubre un nuevo caso de “alarma injustificada” en el caso del supuesto malware que se propaga por Skype.

* Un gusano ataca la red MySpace.com, aprovechando un fallo en el programa Quicktime (usado para ver vídeos en el portal). El gusano modifica los perfiles de los usuarios añadiendo en sus espacios personales enlaces a páginas fraudulentas.

Fuentes:
http://www.hispasec.com/unaaldia/2988/
http://www.hispasec.com/unaaldia/2989/
http://www.hispasec.com/unaaldia/2990/

Resumen de seguridad de 2006

diciembre 31, 2006 § Deja un comentario

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2006 en cuestión de seguridad informática. En tres entregas (cuatro meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes
publicadas en nuestro boletín diario.

Enero 2006:

* Comienza el año con la vulnerabilidad WMF que afecta a sistemas Windows en pleno apogeo, miles de archivos JPG y GIF infectados circulan en Internet. La falta de un parche oficial por parte de Microsoft, obliga a Ilfak Guilfanov a publicar una solución a la que acuden millones de usuarios colapsando su página. El éxito de esta práctica inspiraría este mismo año en septiembre, la creación de Zeroday Emergency Response Team (ZERT).

* Microsoft adelanta la publicación de su parche para WMF y mientras Steve Gibson publica su curiosa teoría de conspiración. Afirmaba que esa vulnerabilidad (presente desde Windows 3.x) podría haber sido intencionada. La insinuación de puerta trasera incluida a propósito en Windows le valió grandes críticas e incluso burlas descaradas.

* Se cumplen 20 años del primer virus masivo para PC, Brain.

Febrero 2006:

* Los medios no especializados le dan cancha al inofensivo virus Kama Sutra. Sin suponer técnicamente ninguna novedad (sobrescribía archivos de documentos un día concreto), acapara noticias y análisis. Tras una “tensa” espera, el día de su activación finalmente queda en una simple anécdota y muy pocos se ven afectados.

* Aparecen un par de troyanos que afectan a MAC OS X de Apple. Comienza un debate sobre la seguridad de este sistema operativo.

Marzo 2006:

* “Guillermito” pierde la apelación en el juicio con Tegam y es condenado al pago de 14.300 euros. Este investigador publicó en su sitio web personal en marzo de 2002, varias vulnerabilidades en Viguard, software antivirus de Tegam International que se anunciaba como 100% seguro. Tras la condena, en su página recibe donaciones para ayudarle a comprar “un antivirus nuevo” (en Francia está prohibido solicitar dinero para pagar una multa).

* Importante problema de seguridad de Sendmail obliga a actualizar millones de sistemas de correo y distribuciones.

Abril 2006:

* Kaspersky anuncia una nueva prueba de concepto capaz de infectar tanto a sistemas operativos Windows de Microsoft como GNU/Linux en general. Lo bautiza como irus.Linux.Bi.a/Virus.Win32.Bi.a, y vuelve a alertar sobre la posibilidad de que el mercado de los virus se abra para ambas
plataformas.

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva lo que ha sido el segundo cuatrimestre de 2006 en cuestión de seguridad informática. Estas son las que consideramos las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Mayo 2006:

* El servicio de análisis online de archivos VirusTotal añade el motor antivirus proporcionado por Microsoft, además de presentar considerables mejoras de rendimiento y presentación de resultados al usuario.

* Steve Wiseman descubre casi por casualidad, una importante vulnerabilidad en VNC (un software de administración remota muy usado en distintos sistemas operativos que permite interactuar con el escritorio). El fallo permitía eludir de forma trivial la autenticación y acceder al equipo sin necesidad de conocer la contraseña. Muchas
máquinas gestionadas con este programa de forma remota son “secuestradas”.

Junio 2006:

* Comienza la retahíla de 0days para productos Microsoft Office que aparecen días después de las actualizaciones mensuales de la compañía.
Esta “política” de revelación de vulnerabilidades y descubrimiento de fallos de forma estratégica en la suite de Microsoft se prologaría durante todo el año.

* Se conoce que HP ha hospedado en su página web, durante un tiempo indefinido, uno de sus controladores de impresora infectado por FunLove, un virus de hace casi seis años.

* Tras una controversia mediática y un debate importante producido en el sector, Microsoft opta finalmente por poner a disposición de los usuarios una nueva versión de WGA (Windows Genuine Advantage) que no efectúa “llamadas a casa” (phone home).

Julio 2006:

* HD Moore inaugura con gran éxito (tras comprobar la repercusión e imitadores posteriores) su mes de los fallos en navegadores, donde publica en un blog (al estilo una-al-día) un fallo o bug en navegadores por cada día del mes. Algunos de ellos, más tarde, se revelaron como grandes problemas de seguridad que fueron aprovechados de forma masiva.

* Se detecta una vulnerabilidad 0day en las versiones del Kernel Linux pertenecientes a la rama 2.6 que facilita la escalada de privilegios local. Este problema es usado para atacar sistemas base de Debian, que a través de una cuenta de usuario sin privilegios comprometida, logra hacerse con el control de uno de los servidores del proyecto.

Agosto 2006:

* Microsoft publica el boletín MS06-042, en el que se recomienda la aplicación de un parche acumulativo para Internet Explorer que soluciona ocho problemas de seguridad. Dos semanas después se hace público que este parche introducía una nueva vulnerabilidad crítica. Eeye, que detecta el grave error, protagoniza
una guerra verbal contra Microsoft.

Septiembre 2006:

* Panda alerta de un nuevo virus que se distribuye a través de correo electrónico. Los sistemas infectados ayudan a reenviar nuevos virus con ayuda de mensajes cortos a móviles españoles. El SMiShing se cuela en nuestro país.

* De nuevo, una organización independiente publica un parche para solucionar temporalmente el grave problema que supone el fallo VML en Internet Explorer, que es aprovechado de forma masiva para la distribución e instalación de todo tipo de malware. Se constituye Zeroday Emergency Response Team (ZERT) un equipo de programadores dispuesto a crear parches temporales para mitigar grandes problemas de seguridad mientras aparece la solución oficial.

* Se descubre un nuevo troyano bancario que combina la captura del teclado físico con una técnica optimizada para los teclados virtuales.
Diseñado específicamente contra los usuarios de diversas entidades, muestra la eficacia y evolución de este tipo de malware.

Octubre 2006:

* Mischa Spiegelmock y Andrew Wbeelsoi anuncian en la conferencia hacker ToorCon una vulnerabilidad en Mozilla Firefox que se supone podría permitir a un atacante remoto ejecutar código arbitrario. Tras muchas conjeturas, todo resulta ser una broma pesada y la vulnerabilidad supone sólo un problema de denegación de servicio. Los chicos consiguen sus 15
minutos de fama.

* Microsoft retira a Cyril Paciullo, creador de Messenger Plus!, el reconocimiento de MVP (Most Valuable Professionals) tras reconocer que la aplicación por la que se le premiaba se distribuía junto con un programa espía.

* Aparece IE7, 5 años después que su predecesor.

* Alan Cox sacude las conciencias de la comunidad de código abierto con afirmaciones como “Lo que aparece en los medios de comunicación como que el código abierto es seguro y más fiable y que tiene menos fallos son afirmaciones muy peligrosas”, apelando a la autocomplaciencia en cuestión de seguridad.

Noviembre 2006:

* Como ya hiciera HD Moore en julio con su “mes de los fallos en los navegadores”, otro investigador relacionado con el proyecto Metasploit desarrolla la iniciativa “month of the kernel bugs”. La idea consiste en publicar un nuevo error en el kernel de cualquier sistema operativo durante todos los días de noviembre.

* Mientras Litchfield afirma que “comparado con Oracle, Microsoft SQL Server es más seguro”, Cesar Cerrudo anuncia la semana de los fallos en Oracle. Finalmente sería cancelada. El motivo que dio más tarde es que uno de sus clientes se vería indirectamente afectado por la revelación de estos fallos y podría causarle problemas: “no que sus bases de datos fuesen hackeadas, sino serios problemas de negocio”.

Diciembre 2006:

* El creador del mes de los fallos en el núcleo anuncia “el mes de los fallos en Apple” para enero.

* Se descubre un nuevo caso de “alarma injustificada” en el caso del supuesto malware que se propaga por Skype.

* Un gusano ataca la red MySpace.com, aprovechando un fallo en el programa Quicktime (usado para ver vídeos en el portal). El gusano modifica los perfiles de los usuarios añadiendo en sus espacios personales enlaces a páginas fraudulentas.

Fuentes:
http://www.hispasec.com/unaaldia/2988/
http://www.hispasec.com/unaaldia/2989/
http://www.hispasec.com/unaaldia/2990/

Dicen haber descifrado la protección anticopia AACS de los nuevos DVDs

diciembre 31, 2006 § Deja un comentario

Un hacker que se había dado cuatro semanas para descifrar la especificación AACS que le impedía ver películas HD piratas, ha tardado sólo ocho días en hacerlo.

El tipo, que se hace llamar Muslix64, compró una unidad HD-DVD, para enchufarla a su PC, y una película HD. Entonces, se dio cuenta de que los dos software Windows para los reproductores no le permitían ver nada, porque su tarjeta de vídeo no era compatible con HDCP y porque tenía un monitor HD enchufado a una interfaz DVI.

Muslix64 dijo en el foro doom9 que la especificación AACS le sacaba de quicio porque no era justo que teniendo un monitor HD no pudiese ver películas en este formato. Después de seis días encontró el título de la película en su memoria, lo que hizo que pudiera descodificar la película por la tarde. Necesitó un día para solucionar problemas como saltos de los fotogramas, por lo que en total necesitó ocho días para acceder al código.

Ha creado así un pequeño programa llamado “BackupHDDVD”, una pequeña utilidad de líneas de comando basada en Java para descodificar las películas.

Todo lo ha puesto en YouTube. El código fuente y el ejecutable, también.

Fuentes:
http://es.theinquirer.net/2006/12/28/descifrar_el_aacs_no_ha_sido_t.html
http://uk.theinquirer.net/?article=36597

¿Dónde estoy?

Actualmente estás viendo los archivos para diciembre, 2006 en Seguridad Informática.