Mediante el blog oficial de complementos para Firefox, el equipo de Mozilla ha informado a todos los usuarios del navegador que se han localizado dos extensiones que al instalarse ejecutan código malicioso en nuestros sistemas. Al parecer, los sistemas de detección de malware que tienen en los laboratorios de Firefox no han sido capaces de detectar los agujeros de seguridad.

Dichas extensiones son Sothink Web Video Downloader 4.0 y Master Filer, que contienen los archivos Win32.LdPinch.gen y Win32.Bifrose.32.Bifrose respectivamente. Si algún usuario ha instalado estas aplicaciones tiene un troyano instalado en sus sistemas, que no se elimina al borrar los complementos del navegador. De momento el problema sólo parece afectar a los sistemas Windows.

Las dos extensiones con este código ya han sido retiradas de la web de complementos de Firefox, pero se han descargado más de 4500 copias de las susodichas. Si habéis llegado a probarlas en vuestro navegador, recomendamos que hagáis un análisis completo usando vuestro antivirus lo antes posible.

Vía | Lifehacker
Más información | Firefox addons blog
Imagen | Don Hankins
En Genbeta | Kardphisher, el troyano que quiere reactivar nuestro Windows

La historia tiene miga. Kaspersky ha demostrado que sus competidores no analizan los malwares, tan sólo se limitan a generar una firma y añadirla a sus bases de datos de archivos perjudiciales.

Para ello, han utilizado el servicio VirusTotal, una web de Hispasec que permite analizar archivos sospechosos, utilizando los motores de varios antivirus. Para ello, han enviado 20 archivos falsos, no infectados, a VirusTotal… y han configurado su motor para que en diez de ellos, Kaspersky dé positivo.

De esa forma, en los resultados de VirusTotal, Kaspersky era el único que detectaba el (falso) virus. Y aquí viene la jugada maestra: como VirusTotal envía estos archivos sospechosos a los motores que no los han detectado, para que tengan constancia de nuevas amenazas, varios de los competidores de Kaspersky han empezado a dar positivos con esos falsos virus. Es decir, no se han molestado en analizar la amenaza: si Kaspersky afirma que es un virus, pues ellos también.

Algunos antivirus empezaron a dar (falsos) positivos en menos de diez días. Lo peor: que entre las que han picado hay empresas tan importantes como McAfee, Symantec, AVG, F-Secure o Fortinet, junto con otras menos populares como a-squared, AntiVir, Antiy-AVL, Comodo, Ikarus, TheHacker, Sunbelt o VBA32.

Esto no es nada nuevo, era un secreto a voces. La jugada de Kaspersky me parece algo sucia, pero la entiendo perfectamente. Si uno dedica muchos esfuerzos a analizar cada amenaza, mientras la competencia se limita a realizar análisis someros o a copiar sus firmas, exponer las tretas de otros puede estar justificado. El problema es cuando implicas al servicio de un tercero en la maniobra, en este caso VirusTotal.

Afortunadamente, creo que al menos la imagen de VirusTotal no se ha resentido en todo esto. Ha quedado claro que ha cumplido bien su labor, la de transmitir al resto de compañías unos posibles archivos sospechosos, puesto que no son ellos los que realizan el análisis. Pero si yo estuviera al cargo de VirusTotal, al menos tendría unas palabritas con Kaspersky.

En ESET, una de las compañías que no han caído en la trampa, hacen un análisis interesante. Teniendo en cuenta cómo han generado los falsos virus, es posible que los (falsos) positivos de otros se hayan debido al uso de técnicas heurísticas, y que la detección se deba al compilador usado y no a una mera copia de las firmas. Y afirma que alguna empresas sólo dan como “sospechoso” y en sus versiones online. Esto, aunque exculpa en parte a las afectadas, expone un problema diferente: las técnicas utilizadas deben ser revisadas.

El objetivo de Kaspersky, dicen desde ESET, es el de probar que el problema es el análisis estático de los archivos infectados. Pero en ESET opinan, acertadamente, que el problema es de la no validación. Un análisis dinámico puede que sea más eficaz, pero si no se comprueba que la amenaza es real, seguirán produciéndose los falsos positivos. Pero claro, cualquiera analiza los millares de archivos sospechosos que aparecen cada día…

Vía | Security by default
Más información | PcMag, ESET, Trend Micro
Enlace | VirusTotal
En Genbeta | Una actualización de Kaspersky da falsos positivos en webs que utilicen publicidad de Google

Nuestro amigo y ex-compañero de este humilde blog Diego de Haller, hizo el otro día un post muy interesante en su blog personal La Cartumba explicando los dimes y diretes sobre la reparación de discos con Disk Warrior.

Para aquellos que no lo conozcáis, Disk Warrior es un producto comercial para Mac OS X que es altamente recomendado para extraer información de discos que ya no funcionan del todo o tienen problemas para montarse. En el caso de Diego, consiguió acceder a la información de un disco “rebelde” que no quería montarse en el sistema. Así consiguió salvar los datos almacenados en el disco, aunque no consiguió repararlo de ninguna forma (la utilidad primero hace un chequeo en busca de posibles fallos que pueda arreglar).

Como dice el amigo villanis en su blog, la licencia de este software es un tanto cara, sale por 99 dólares, que es una pequeña fortuna para un software tan específico, sin embargo se amortiza perfectamente si lo que tienes que recuperar son archivos muy valiosos de los que no tenías copia de seguridad.

Vía | La Cartumba
Descarga | DiskWarrior

Hoy muchos usuarios de ordenadores del mundo se han sumido en un pánico total al comprobar que la mayoría de las páginas por las que navegaban intentaba inyectarte un troyano. Gracias a Dios no ha sido más que una falsa alarma, un falso positivo debido a una actualización de Kaspersky.

Esta actualización ha hecho que la mayoría de los antivirus diesen falso positivo al localizar un script en los anuncios de Google tomándolo como una seria amenaza. Para alguien que no tiene demasiada idea de estas cosas puede desembocar en apagar el ordenador por miedo a perder todo su trabajo.

A esta hora parece que ya está todo solucionado gracias a una actualización. Si no habéis actualizado el antivirus desde esta mañana hacerlo ya que os evitaréis tener que lidiar con el dichoso y molesto mensaje avisando de que ha encontrado amenazas.

Si por un lado es lamentable que se les haya colado un fallo así a la gente de Kaspersky por otro lado les damos la enhorabuena por la rápida solución que nos han ofrecido a los afectados. De quitarse el sombrero.

Más información | Kaspersky Labs

Backtrack 4 es una distribución de Linux basada en Ubuntu que incluye numerosas aplicaciones para realizar tests de seguridad y análisis informático forenses. Gracias a esas aplicaciones Backtrack se ha convertido en una distribución imprescindible para los administradores de sistemas y profesionales de la auditoria informática.

La distribución incluye utilidades para la auditoría de redes wireless, scanners de puertos y vulnerabilidades, sniffers, archivos de exploits, etc.. la mayoría de ellas actualizadas a sus últimas versiones, pues la versión 4 de la distribución se lanzó hace poco más de 15 días.

Algunas de esas herramientas son: dnsmap, Netmask, PsTools, TCtrace, Nmap, Protos, utilidades para la detección de vulnerabilidad en redes Cisco, SQL Inject, SMB-NAT, SNMP Scanner, Pirana, Dsniff, Hydra, Sing, WebCrack, Wireshark, NSCX, Airsnort, aircrack, BTcrack, SNORT, Hexedit, etc.. hasta completar más de 300.

Backtrack 4 puede descargarse desde su página web o bien utilizando la red BitTorrent. Su forma de utilización es la habitual y puede ejecutarse directamente desde el DVD donde grabemos la imagen iso, desde un disco USB o bien instalarla en nuestro ordenador. También puede instalarse utilizando herramientas de virtualización como VMWare.

Después de probar Backtrack 4 por este último método, me atrevo a asegurar que es una solución muy profesional. La sensación que queda tras observar la cantidad de herramientas disponibles es abrumadora y no he podido evitar buscar en foros y otras páginas como utilizar alguna de ellas.

Seguramente si alguna vez algún conocido os comenta que va a romper la red wireless de vuestro vecino estará utilizando alguna de las aplicaciones incluidas en Backtrack. Por eso dominar todas ellas se hace bastante complicado si no se usan a diario y se conoce su aplicación concreta.

Enlace | Backtrack 4

El pasado día 14, Microsoft publicaba un aviso de una vulnerabilidad en Internet Explorer. Nada extraordinario, si no fuera por la repercusión y consecuencias que esta vulnerabilidad ha tenido en el mundo informático. Como muestra de esas consecuencias, encontramos el robo de información a una empresa como Google. Y es sólo una muestra. Las consecuencias reales podrían ser mayores.

Este bug, que afecta a todas las versiones de Internet Explorer, permite la ejecución de código malicioso al visitar las páginas que contengan el exploit. Aquí, analizaremos y explicaremos cómo funciona el exploit y cuáles han sido los efectos que ha provocado.

¿Cómo funciona el exploit? ¿Cuáles son sus efectos?

La vulnerabilidad de Internet Explorer no es muy compleja. Es una vulnerabilidad causada por una referencia inválida a un puntero, es decir, cuando el puntero (variable que apunta a una dirección de memoria) señala a un lugar incorrecto, ya sea porque ésta no pertenece al programa o porque había sido liberado previamente.

Esto último es lo que provoca la vulnerabilidad en Internet Explorer. Al borrar un objeto, y bajo ciertas condiciones, se puede acceder al puntero a ese objeto. Con un código preparado (exploit) Internet Explorer puede ejecutar código remoto al intentar acceder al objeto borrado mediante ese puntero. El código, en el caso concreto del exploit usado en el ataque a Google, descarga un programa encargado de abrir una puerta trasera en el ordenador por la que el atacante puede obtener acceso a ese ordenador.

Sus efectos dependen de lo que haga el programa descargado. Esto es lo que hace que la vulnerabilidad sea grave: la posibilidad de ejecución de cualquier código malicioso en el ordenador de la víctima. Así, el exploit puede hacer cualquier cosa, desde simplemente cerrarte tu navegador, a tomar el control total de tu equipo, pasando por instalar spyware o adware.

¿Quiénes han sufrido, o pueden sufrir, esta vulnerabilidad?

La principal empresa que ha sido atacada por esta vulnerabilidad ha sido Google, como parte de un ciberataque muy complejo destinado al robo de información a grandes corporaciones, y vinculado a China gracias a las investigaciones de Google.

En principio, el código del exploit era desconocido. Pero, según las investigaciones de McAfee, ha sido publicado en Internet, dando posibilidad a ataques a gran escala contra los usuarios que usen las versiones afectadas de Internet Explorer, que podemos ver en la siguiente tabla:

¿Cuál ha sido las reacciones a la vulnerabilidad?

Varios organismos y autoridades han respondido a la aparición de esta vulnerabilidad. McAfee, colaborador de Google en las investigaciones, ha puesto en marcha la “Operación Aurora” para alertar y prevenir a los usuarios sobre esta vulnerabilidad. Mientras tanto, Alemania y Francia desaconsejan el uso de Internet Explorer hasta que se resuelva la vulnerabilidad.

Por su parte, Microsoft ha publicado el aviso de seguridad y ya ha liberado el parche para todas las versiones de Internet Explorer en los sistemas operativos soportados. Además, ha publicado un webcast respondiendo a las preguntas de los clientes.

Además, la aparición de este fallo ha disparado la descarga de navegadores alternativos, más todavía en países como Alemania donde, como podemos ver en el gráfico, las descargas de Firefox por usuarios de IE han sido 300.000 más de las que cabría esperar.

¿Cómo me puedo proteger de la vulnerabilidad?

La protección es fácil: Visitar sólo sitios de confianza, mantener el software de seguridad (firewall y antivirus) actualizados, configurar el nivel de seguridad de Internet Explorer en alto y activar el DEP donde sea posible. También es recomendable usar navegadores alternativos, como Firefox, Opera, Chrome o Safari; o actualizar a la última versión de Internet Explorer para minimizar los daños.

¿Qué conclusiones podemos sacar de todo esto?

La más clara, es la que muchas personas en el mundo informático han repetido hasta la saciedad: la inseguridad de Internet Explorer 6. Probablemente este fallo se hubiera quedado en una anécdota si no fuera por la gran cantidad de usuarios que todavía siguen usando la versión 6 de este navegador, la menos protegida ante esta vulnerabilidad*.

También podemos ver cómo Microsoft sólo publica parches cuando la vulnerabilidad se ha hecho pública, ya que, según su blog, tenían conocimiento de ella desde septiembre, y no ha sido ahora, tras el ataque a Google y la publicación del exploit, cuando han liberado el parche. Esto demuestra una falta de atención y de compromiso con los usuarios entre los desarrolladores de Microsoft.

En relación a esto, vemos la importancia de McAfee colaborando con Microsoft en el descubrimiento y solución del fallo, a pesar de haber creado la “Operación Aurora” con fines más publicitarios que informativos, algo inadecuado desde mi punto de vista.

Y por último, en todo este lío hemos visto cómo algo tan relativamente simple como una vulnerabilidad en un navegador ha provocado dos hechos muy importantes. Uno, la nueva aproximación de Google a China tras los ataques, que probablemente les acabe llevando a retirarse de ese país. Y dos, la recomendación de varios países de no usar Internet Explorer, que le proporciona un duro golpe al navegador, al menos en su versión 6, y favorece las alternativas como Opera, Firefox o Chrome.

Más Información | Microsoft Technet, McAfee Security Insights Blog y MSRC
Imagen | McAfee y Mozilla

Hace bien poco comentábamos la vulnerabilidad 0day descubierta por McAfee en Internet Explorer, que había permitido la ejecución de algunos ciberataques dirigidos al robo de información, y a la que Microsoft no había dado solución. Ahora, McAfee lanza la campaña “Operación Aurora”, destinada a proteger a los usuarios de Internet Explorer.

McAfee ofrece así información tanto a particulares como a empresas sobre cómo protegerse frente a esta amenaza. Aunque la información está más orientada a promocionar sus productos, sí que encontramos las recomendaciones básicas (tener un antivirus actualizado y colocar el nivel de seguridad de IE en alto) y alguna información interesante: un PDF que explica cómo detectar la infección analizando las huellas digitales de ciertos archivos y explorando las conexiones a ciertos dominios; y un cuadro bastante claro sobre las versiones y sitemas operativos afectados:

Todos los usuarios afectados por esta vulnerabilidad deberían estar especialmente atentos y con su antivirus actualizado, sobretodo si se trata de usuarios pertenecientes a alguna empresa importante, dado que el ataque basado en esta vulnerabilidad estaba dirigido al robo de información valiosa en organizaciones como Google o Yahoo.

Aunque, para mi gusto, esta es una forma demasiado publicitaria de proteger, es necesario que estas precauciones se tomen en serio. La vulnerabilidad es grave y el exploit está publicado en Internet, por lo que los usuarios de Internet Explorer pueden sufrir un ataque si no se toman las medidas necesarias para evitarlo.

Vía | Incubaweb
Sitio Oficial | Operación Aurora
Más Información | McAfee Security Insights Blog

Si hace apenas unas semanas contábamos cómo había caído el algoritmo de cifrado de GSM en detalle, ahora es el algoritmo de cifrado utilizado por los móviles 3G el que ha sido reventado, conocido como KASUMI o A5/3.

Un grupo de investigadores en criptografía ha demostrado que KASUMI, que es el sistema de cifrado utilizado por las redes móviles 3G, es vulnerable a un ataque que permite descifrar las conversaciones en cuestión de horas en un PC estándar.

El sistema KASUMI está basado en una técnica de cifrado llamada MISTY, que a su vez pertenece a un tipo de técnicas denominadas Cifrado Feistel. Se trata de algoritmos complejos, con múltiples claves combinadas, junto con procesos de cifrado recursivos que alternan el orden de diferentes funciones. En concreto, KASUMI tiene un tamaño de clave de 128 bits, y es tan similar a MISTY que los ataques de uno se adaptan fácilmente al otro.

Un cifrado que utilice MISTY en toda su extensión es muy costoso en términos computacionales. Por este motivo se desarrolló KASUMI como una versión simplificada de MISTY1, más rápido y que exige menos potencia de cálculo. Teóricamente, esta simplificación no reducía la seguridad del protocolo, pero la investigación ha desmontado esta teoría…

La demostración matemática es algo complicada. En líneas generales, consiste en enviar múltiples valores de entrada a través del proceso de cifrado con diferencias controladas de algunos bits entre ellas. A continuación se analizan pares de entradas y sus resultados para detectar similaridades entre las claves. Las similaridades permiten a los autores del estudio determinar en qué momento se utilizan claves de cifrado relacionadas, e identificar algunos de los bits de esas claves. Estas operaciones se van repitiendo y en cada paso se mejora el conocimiento que se dispone de la clave de cifrado.

Según la documentación del estudio, el algoritmo que utilizaron fue capaz de recuperar 96 de los bits de las claves en apenas unos minutos usando un PC normal, y los 128 bits al completo en menos de dos horas. Y todo ello a pesar de utilizar una versión de borrador del programa de descifrado, no optimizado, por lo que los tiempos podrían reducirse.

Este nuevo tipo de ataque, al que los investigadores denominan “ataque sandwich”, es de una complejidad tan baja que demuestra que los cambios realizados para simplificar MISTY han debilitado muchísimo el sistema de cifrado.

Aún no está claro si este ataque es efectivo a nivel práctico, ya que es necesario disponer de claves relacionadas, lo que no siempre es posible. Al igual que cuando hablábamos de la rotura del A5/1, no es necesario que nos desprendamos de nuestros móviles: esto tan sólo es una llamada de atención a la GSM Association para que actualice sus sistemas de cifrado.

Por cierto, el grupo de investigadores que está detrás de esto está formado por Orr Dunkelman, Nathan Keller y Adi Shamir. La S se Shamir es la que aparece en el medio del nombre del algoritmo de cifrado RSA, el primer algoritmo de clave pública, y el más utilizado.

No he encontrado ninguna declaración por parte de la GSM Association al respecto, aunque probablemente consistirá en echar balones fuera, si siguen la tónica general hasta el momento.

Vía | Ars Technica
Más información | ThreatPost
Sitio oficial | Cryptology ePrint Archive
En Genbeta | A fondo: Entendiendo el problema de seguridad del algoritmo de cifrado de GSM

Uno de los antivirus más reconocidos del mercado gratuito, como es Avast, acaba de lanzar su última versión, concretamente la 5. Lo curioso del asunto es que para poder descargarlo solo podremos hacerlo a través del Google Pack, ya que en la web oficial del antivirus solo se hace referencia a la versión anterior.

Entre las mejoras que incorpora la nueva versión de Avast encontramos una interfaz renovada así como un motor mejorado que permite obtener mejores resultados con un consumo mejor de disco, memoria y procesador. Por el contrario en la versión gratuita no podremos hacer uso en ningún caso de los avisos instantáneos entre otras cosas.

La versión que ofrece Google en su Google Pack es una beta, con todo lo que ello significa, es por ello que en la web de Avast solo se haga referencia a la versión 4, sin embargo el funcionamiento del antivirus es bastante estable aunque la decisión de instalar una versión final o una aún en fase de desarrollo es una decisión muy personal.

Habrá que estar atentos ya que en breve estará disponible la versión final de Avast 5 tanto en su versión gratuita como en su versión profesional de pago. La versión que se puede descargar actualmente es plenamente funcional y está en castellano.

Vía | gHacks
Descarga | Avast 5 a través de Google Pack

Hoy en día los virus informáticos han encontrado en las redes sociales el medio ideal para su rápida propagación, lo que hace que termine siendo imposible identificar todo el malware a tiempo para proteger nuestros equipos y ahí es dónde entran en juego herramientas como Immunet Protect.

Este antivirus gratuito aprovecha la inteligencia colectiva, para que los usuarios de su red determinen qué material es seguro y cual no. La aplicación trabaja en la nube, de modo que una vez uno de los terminales conectados detecte cualquier anomalía, esta será notificada en tiempo real a a toda la red, evitando contagios en el resto de equipos.

El software, que tendremos que instalar en nuestro PC, está en inglés, ocupa 5mb, y sólo es compatible, de momento, con sistemas operativos Windows (XP SP2, Vista o Windows 7 RC) mala noticia para quienes usamos habitualmente linux o mac.

Una vez instalado, podremos registrarnos e invitar a nuestra lista de contactos de: Facebook, Gmail o Yahoo, para que protejan sus ordenadores y pasen a formar parte de nuestra red. Aunque esto ahora mismo no tiene demasiada utilidad, sus autores aseguran que en breve servirá para identificar nuestras redes, logrando así una protección aún más eficiente.

El sistema de protección es muy similar al del Panda Cloud antivirus, aunque parece muy interesante la vuelta de tuerca que piensan dar con lo de la identificación de nuestras redes sociales para aumentar la seguridad. Aunque aún habrá que ver cómo queda para juzgar.

Vía | Mashable
Sitio Oficial | Immunet Protect
Vídeo | Youtube
En Genbeta | Panda Cloud Antivirus, el antivirus gratis de Panda