Categoría: Seguridad

Curiosa oferta de trabajo

A mi correo llega de todo (imagino que como a muchos otros), desde spam, a anuncios de determinados medicamentos, y también intentos de phising, engaños, etc. Hoy me llega una oferta de trabajo:

Hola!.

Este correo electrónico le muestra una oferta de trabajo, que podría ser interesante a usted.

Gerente financiero situado en su país! Trabajo en Internet con buen sueldo!
GoldLeader Inc. busca a personas enérgicas y responsables para completar el puesto de encargado de deudores de media jornada.
Como encargado de deudores, usted será el responsable de procesar y facilitar las transferencias de fondos iniciadas por nuestros clientes bajo la supervisión del gerente regional.

Ofrecemos:

– Ventajas buenas (más de 1000 $ por semana);

– Contrato legal;

Se precisa puntualidad, capacidades directivas y responsabilidad.

Usted también recibirá instrucciones detalladas para acciones subsecuentes de nuestro gerente, con información sobre como recibir/transferir el dinero.

1. Ser capaz de comprobar su correo electrónico varias veces por día

2. Ser capaz de responder a correos electrónico inmediatamente

3. Ser capaz de trabajar horas extra si es necesario

4. Ser responsable y trabajador

5. Hablar ingles

6. Tener más de 21 años;

7. Debería tener una cuenta bancaria personal

Para información adicionales y preguntas sobre el puesto de trabajo, por favor envíe sus datos de contacto a career@goldleader.biz

NO SON VENTAS!!! NO SON LLAMADAS!!!
USTED NO NECESITA DINERO PARA COMENZAR!!!

Gracias por su atencion.
Con respeto,
Departamento de personal Goldleader Inc.
http://www. goldleader .biz

Como tantas otras veces, me imagino que se tratara de blanqueo de dinero, o de cobros ilegales, o las tres cosas a la vez. En definitiva, que no me fío un pelo. Lo dejo aqui por si a alguien le puede interesar.

La vulnerabilidad de excel, 2ª parte

En el mismo día que poníamos la vulnerabilidad de Excel, aparece una mas.

De nuevo, es necesario alertar sobre una vulnerabilidad en Microsoft Office. Concretamente en su componente Excel, pero que muy posiblemente afecte al resto de programas de la suite. Se trata de la tercera vulnerabilidad grave en un mes en este paquete ofimático.
El día 20 de junio aparecía en páginas especializadas en exploits (programas que aprovechan vulnerabilidades) una nueva forma de aprovechar una vulnerabilidad en Microsoft Excel. El programa permite la ejecución de código arbitrario sobre un sistema con los privilegios del usuario que ejecute la aplicación.

Al parecer, es bastante probable que el problema, aunque enfocado en un principio hacia Excel, sea reproducible en el resto de componentes de Microsoft Office y en varias versiones del paquete.

El fallo se debe a un error de límites en la librería hlink.dll a la hora de manejar enlaces dentro de documentos. Esto puede ser aprovechado para provocar desbordamientos de memoria intermedia basados en pila si un usuario pulsa sobre un enlace especialmente manipulado dentro de un documento.

En esta ocasión, el problema sólo se reproduce si se recibe por cualquier medio un archivo Office y el usuario pulsa sobre un hiperenlace contenido en él, no basta con abrir el documento. El exploit es público y está disponible para todo aquel que quiera estudiarlo.

No existe parche oficial y, lógicamente, se recomienda no pulsar en enlaces contenidos en documentos sospechosos que provengan de fuentes confiables o no.

Esta vulnerabilidad se ha convertido en el tercer «0 day» que sufre Microsoft Office un mes. El 19 de mayo se advertía sobre la aparición de un documento Word que cuando era abierto por un usuario con varias versiones de Microsoft Word, ejecutaba código arbitrario en el sistema de forma completamente oculta. Microsoft publicó el día 13 de junio el boletín MS06-027 que solucionaba el problema. El 15 de junio aparecía un nuevo «0 day» en Excel, que permite la ejecución de código arbitrario y del que ayer mismo se publicó un boletín especial de una-al-día. También ayer, día 19, aparece por sorpresa esta nueva amenaza para usuarios de Microsoft Office, de la que todavía no se han observado muestras activas en masa.

De par en par.

Via Hispasec.

Vulnerabilidad en EXCEL

Hace unos días, se hacía público una vulnerabilidad importante en Microsoft Excel, aunque no trascendía toda la información.
Hoy ya se sabe mas:

El fallo se debe a una validación errónea de memoria que puede derivar en la ejecución de código arbitrario. Debido a que el problema está siendo activamente aprovechado y no existe parche oficial, se ha convertido en un «0 day», lo que supone un importante problema de seguridad.

El fallo afecta a las siguientes versiones de Excel: 2003, Viewer 2003, 2002, 2000, 2004 para Mac y v. X para Mac. Para que el error pueda ser aprovechado y un atacante consiga ejecutar código, la víctima deberá abrir con alguna de estas versiones un archivo especialmente manipulado. Habitualmente, la extensión más «sospechosa» será xls pero también xlt, xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif, xlk, xld, xlshtml, xlthtml y xlv son susceptibles de provocar problemas si son abiertas con Excel.

El archivo especialmente manipulado puede llegar a través de cualquier medio y de cualquier fuente. El hecho de que un correo con remitente conocido adjunte un fichero en Excel no debe suponer que automáticamente se confíe en él. Como con cualquier otro malware, las direcciones de los remitentes pueden ser falsificadas.

No existe parche oficial, y Microsoft no se ha pronunciado sobre fechas de publicación. Mientras, recomienda mitigar el impacto del problema a través de algunas modificaciones en el registro.

La recomendación es clara: No abrir ningún adjunto a un correo, si se sospecha lo mas mínimo. Aunque se trate de un remitente de confianza, puede contener código maligno. Y ante la duda, a la basura.

Via Hispasec

El intento de engaño de MidAmerica Bank

Mi colección de correos fraudulentos sigue creciendo. Hoy tengo éste:

Dear MidAmerica Bank customer,

This is your official notification from MidAmerica Bank that the service(s) listed below
will be deactivated and deleted if not renewed immediately. Previous notifications have
been sent to the Billing Contact assigned to this account. As the Primary Contact, you
must renew the service(s) listed below or it will be deactivated and deleted.

Renew Now your MidAmerica Bank Bill Pay and Services (aqui el enlace a un dominio villericay.net).

If you are not enrolled at Web Banking, please enter your username,
and your account password and follow the steps.

SERVICE : MidAmerica Bank with Bill Pay.

Thank you, sincerely,

Customer Service

========================================
IMPORTANT CUSTOMER SUPPORT INFORMATION
========================================

Document Reference: (48051).

TM 2006 MidAmerica Bank Corporation, All Rights Reserved. Member FDIC. Equal Housing Lender.

* Please do not reply to this message. For any inquiries, contact Customer Service.

Nos recomiendan que no respondamos el correo, que atentos.
A la saaacaaa!!!!!

El phising que vino de lejos

Inauguro una nueva sección dentro de la categoría «Phising y otros engaños«, y la voy a llamar: Los otros.

Y es que hoy he recibido un correo hartamente sospechoso:

North Fork Bank is constantly working to ensure security by regularly screening the accounts in our system. We recently reviewed your account, and we need more information to help us provide you with secure service. Until we can collect this information, your access to sensitive account features will be limited. We would like to restore your access as soon as possible, and we apologize for the inconvenience.

——————————————————————————–
Why is my account access limited?

Your account access has been limited for the following reason(s):

June 15, 2006: We would like to ensure that your account was not accessed by an unauthorized third party. Because protecting the security of your account is our primary concern, we have limited access to sensitive North Fork Bank account features. We understand that this may be an inconvenience but please understand that this temporary limitation is for your protection.

(Your case ID for this reason is NFB04-410-320-3334.)

At North Fork Bank, one of our most important responsibilities to you, our customer, is the safekeeping of the nonpublic personal («confidential») information you have entrusted to us and using this information in a responsible manner. Appropriate use of the confidential information you provide us is also at the heart of our ability to provide you with exceptional personal service whenever you contact us.

——————————————————————————–
How can I restore my account access?

Please confirm your identity here: Restore My Online Banking Account and complete the «Steps to Remove Limitations.»

Completing all of the checklist items will automatically restore your account access.

El enlace (que no he puesto para no darles mas oportunidades), lleva a una dirección llamada lalafamme punto com.
Ya sabéis lo que hay que hacer. No seamos de ese 2 por mil que pica en estos intentos de estafa.

Troyanos en las memorias USB


Este experimento lo realizó Steve Stasiukonis según él mismo cuenta aqui.

Fué contratado por una empresa para hacer una auditoría de seguridad, y para probar la vulnerabilidad, se le ocurrió dejar abandonadas unas cuantas memorias USB, por distintos lugares de la empresa. Los empleados, las cogieron y las insertaron en sus equipos.

Lo que ellos no sabían es que dentro de esas memorias, había un troyano que iba a desvelar todo lo que hiciesen en el PC, incluidas sus contraseñas de acceso a cualquier servicio. Vamos,. el viejo truco del anzuelo. ¿Que demuestra esto?. La primera idea que se me ocurre, es que la parte mas débil de un sistema de seguridad sigue siendo el componente humano. Bien porque introduce un dispositivo extraño en su pc, o porque ejecuta un adjunto de un correo, aún a sabiendas del riesgo que corre.

Se podrán «capar» los puertos usb, se podrán eliminar todos los adjuntos de los correos con extensiones sospechosas, se pondrán políticas de seguridad altísimas para la navegación por Internet, se eliminan los dispositivos de entrada (diskettes, cd´s, etc), pero siempre se correrá el riesgo de que el usuario encuentre la puerta para entrar e infectar todo un sistema.

Y ¿como lo evitamos?, ¿formación?, ¿implicación en el proceso de limpieza? ¿trancazo 😉 ?

Via Hispasec

Revista Insecure, nº 7


La revista INSECURE acaba de publicar su número 7 correspondiente al mes de Junio.
Como siempre, se puede descargar gratuitamente desde aqui.

Los temas de este nuevo número son:
* SSH port forwarding: security from two perspectives,
part one
* An inside job
* CEO spotlight: Q&A with Patricia Sueltz, SurfControl
* Server monitoring with munin and monit
* Compliance vs. awareness in 2006
* Infosecurity 2006
* 2005 *nix malware evolution
* InfoSec World 2006
* Overview of quality security podcasts

¿Funcionan las copias de seguridad?

Me llama poderosamente la atención, que las empresas tienen poco apego a las copias de seguridad. Son pocas, que yo conozca, que lleven una política de copias realmente seria.
Sin embargo, el día que ocurre un desastre, se echan las manos a la cabeza, lamentando no haberlas hecho el día anterior.
Con los medios que hay hoy en dia y los precios a la baja, no entiendo muy bien porque no se hacen como un trabajo rutinario diario.
Se pueden usar sistemas RAID, copias de servidores, almacenamiento en DVD´s, servidores replicados, etc. y aún asi, hay sorpresas.

Pero suponiendo que alguien las haga y las mantenga, la pregunta sería ¿funciona luego todo bien a la hora de restaurarlo?. La pregunta viene al hilo de un minidebate que surgió en el curso que impartí la semana pasada sobre seguridad. Alguien comentaba que no es fácil hacer una restauración completa. Siempre se presenta algún tipo de problema que hace que la copia no sea 100% efectiva. En este caso ¿cual es el método ideal para que no ocurra un desastre? ¿Quien ha tenido una experincia similar?
Hay que tener en cuenta que cada dia son mas complejos los sistemas de almacenamiento de información dentro de una empresa, y no es sencillo tener una política de seguridad que abarque todos los elementos (bases de datos, correo, documentación interna y externa, comunicaciones, etc)

En mi caso, nunca me he visto en la necesidad de restaurar todo un sistema informático complejo (toco madera). Han sido casos aislados de un par de equipos a lo sumo, pero si que es cierto, que a pesar de las medidas tomadas, el tiempo necesario para la restauración ha supuesto un importante esfuerzo (aunque siempre inferior al que hubiese supuesto la pérdida de esos datos).

¿Acaso se confía en exceso en las copias (quien las haga), para luego dejarnos en la estacada?

La seguridad informática en la empresa

El pasado jueves impartí una charla sobre Seguridad informática en la empresa, en El Centro Cogullada de Ibercaja. En ella pretendi dar unas pinceladas sobre la situación actual de la seguridad, sus puntos débiles y algunas formas de corregir estas carencias.
Tambien realicé un par de demostraciones de como se pueden saltar encriptaciones WEP en redes Wifi, o un ataque MITM dentro de una red envenenado la tabla ARP tanto de un router como de un cliente Ethernet o ataque de DoS. La verdad es que la charla fué un éxito, tanto por las prácticas, como por el interés de los asistentes.

Todas las prácticas, así como el software empleado y aconsejado fué con software libre y gratuito. Lo cual demuestra que el tema económico no debe ser un problema a la hora de implantar seguridad en un entorno empresarial (y mucho menos personal).
Para el que pueda estar interesado, puede encontrar aqui la presentación en formato PDF.