JaCkNews Vol. 1, Nro.35
JaCkSecurity.com
jacknews en jacksecurity.com
Lun Sep 24 09:48:14 EDT 2007
Si recibe algún mensaje extraño (focalizado a Perú) que adjunte un enlace
para descargar algún binario, por favor, cópienos inmediatamente ese
mensaje a **malware @ jacksecurity.com**. Hemos notado un incremento en el
malware contra usuarios peruanos en la última semana, vea más en:
http://www.jacksecurity.com/blog/2007/09/21/breveanalysis/ (password:
malwareenperu)
---------------------- SEC 503 ha sido extendido -----------------------
1. Octubre 20 : Intrusion Detection In-Depth (SEC 503)
2. Noviembre 24 : Computer and Network Security Awareness
3. Diciembre 06 : Web Application Security
------------------------------------------------------------------------
JaCkSecurity JaCkNews Vol. 1, Nro.35
========================================================================
Internacionales
DECLARACIONES RELEVANTES
1. Protección malware, intrínseco a los sistemas operativos
2. 50 años para el software seguro
3. El riesgo TI se convierte en un problema de nivel gerencial
4. ISPs no hayan el modelo de negocio capaz de asistir a las víctimas por
zombis
MALWARE:Virus, gusanos, espías, botnets, zombis
5. Zombis inundan las redes de banda ancha
6. Genera tu propio estilo de ataque DDoS
7. Vista atacado por un virus con 13 años de antigüedad
CRIMEN Y LEY
8. Google desea rastrear tu historia médica y tu genoma
9. Hombre chino muere por agotamiento
10. CEO de Symantec urge solicitud anticipada de Cookies
11. Apple planea volver inservibles a los iPhones crackeados
ATAQUES, INTRUSIONES, HOYOS
12. Vanos hoyos de seguridad en Oracle 11g
13. Libro de la semana: Hacking dispositivos integrados
========================================================================
... JaCkSecurity ...
========================================================================
1. Protección malware, intrínseco a los sistemas operativos
http://www.jacksecurity.com/noticias.php?id=575
Una investigadora de seguridad propone que la protección malware necesita
ser inherente a los sistemas operativos más que sobrepuestos como una
ocurrencia de último minuto. Joanna Rutkowska, jefe ejecutiva de Invisible
Things Lab, quien es más conocida por sus investigaciones en rootkits y
seguridad en Windows Vista, le dijo a los delegados a la conferencia de
seguridad de Gartner, el pasado lunes en Lóndres, que la estupidez de los
usuarios es sólo una parte del problema de la seguridad.
[Aldo] Es correcto indicar que el principal problema con los malware y
otros es que aprovechan los "huecos" del sistema operativo, si tuviéramos
un kernel totalmente seguro, probado y validado podríamos sentirnos y
efectivamente estar mucho más seguros.
[Javier] Me pregunto si Joanna midió el hecho de que su mensaje, iba a
llevar más a allá de las salas de esa cumbre. Es peligro hacerle DECIR que
el usuario no es pieza clave del problema.
2. 50 años para el software seguro
http://www.computerweekly.com/Articles/2007/09/20/226856/secure-software-may-take-50-years-says-rutkowska.htm
La mayoría de paquetes de software, tales como los sistemas operativos
podrían ser asegurados a través de auditoría de código y verificación
formal, pero esto puede tomar algo de 50 años antes de que sea posible,
Joanna Rutkowska, gerente de Invisble Things Lab, en la cumbre de
seguridad de Gartner (17 setiembre).
[Javier] Como me imaginé, su declaración anterior suena mediática pero no
lo es. Ella misma le da 50 años, para que lo declarado anteriormente
funcione. Mientras tanto, ya sabemos quien es el único que puede hacer
algo.
3. El riesgo TI se convierte en un problema de nivel gerencial
http://www.jacksecurity.com/noticias.php?id=573
Los sistemas TI se han vuelto tan fundamentales para los negocios que su
falla puede provocar consecuencias desastrosas para una organización, de
acuerdo a los analistas. La operación del banco inglés Northern Rock, de
acuerdo al vicepresidente de Gartner Group, Richard Hunter,
históricamente, los bancos afrontan la mayoría de sus riesgos de negocios
por problemas del mercado de valores y similares. Sin embargo, debido a
que TI ha llegado a ser más importante, entre 5 y 10 -de un total de 50 a
60- riesgos de sumo éxito que afronta un negocio involucra a los sistemas
de tecnología de la información.
4. ISPs no hayan el modelo de negocio capaz de asistir a las víctimas por
zombis
http://www.darkreading.com/document.asp?doc_id=134336
McPherson de Arbort Networks dice que el 99% de las víctimas por zombis no
saben que sus pc han sido comprometidas. Esta es una realidad que sí
conocen los ISPs, pero aún no han descubierto un modelo de negocios que
sea capaz de asistir a sus subcriptores de banda ancha para limpiar sus
máquinas de dichas zombis/botnets. Por ahora, lo que los ISPs hacen es
únicamente filtrar los comandos central de las botnets, a fin de
inutilizar las zombis, pero dada la codicia de los criminales detrás de
las botnets, estas se vuelven cada vez más sofisticadas y duras de
combatir, a través de técnicas de ofuscación como el flux-dns, tunelado,
cifrado, y comuniaciones peer-to-peer.
5. Zombis inundan las redes de banda ancha
http://www.jacksecurity.com/noticias.php?id=574
Los zombis comprometen PCs que son apasionados tragones del ancho de
banda, como su contraparte lo son de devorar cerebros, de acuerdo a un
nuevo estudio de seguridad. El tercer reporte anual de seguridad de
infraestructura de mundial de Arbor Networks halló, por primera vez, que
las botnets superan los ataque de negación de servicio distribuido (DDoS),
como la amenaza operacional más alta que hayan identificado los
proveedores de servicio. Las redes botnets de PCs comprometidas actúan
como recursos para distribuir spam, lanzar ataques de negación de servicio
o escalar a otras formas de malos usos.
6. Genera tu propio estilo de ataque DDoS
http://ddanchev.blogspot.com/2007/09/custom-ddos-capabilities-within-malware.html
Un blogger de malwares reveló imágenes de interfases que permiten la
generación de ataques DDoS personalizados, interfases vía web y APIs.
7. Vista atacado por un virus con 13 años de antigüedad
http://www.theregister.co.uk/2007/09/17/vista_hit_by_stoned_angelina/
Stoned.Angelina, un virus que data de 1994, fue detectado -pero no
removido- por un antivirus instalado en portátiles con Windows Vista que
fueran vendidas en Alemania y Dinamarca. Los equipos afectados de la marca
Medion serían unas 100,000.
8. Google desea rastrear tu historia médica y tu genoma
http://www.alternet.org/story/62847/
'Les guste o no, esto sucederá', señaló la señora Dyson, fundadora de
23andMe, una compañía que piensa publicar en-línea una copia de la
secuencia genética de cada subscriptor, que desee compartirla con empresas
médicas o con personas que tienen las misma enfermedades que ellos. Cabe
notar ella es esposa de uno de los fundadores de Google, y Google ha
invertido nada menos que 10 millones de dólares en 23andMe. Aquí está un
escenario: Te subscribes, y recibes tu equipamiento por mensajería. En tu
hogar, provees una muestra de tu saliva en un recipiente que deberá ser
devuelto al laboratorio. Por unos cientos de dólares, la mayor parte de tu
genoma es secuenciado, y la compañía la coloca en su website. Esta es
enlazada a tu registro médico, que también estará en línea.
[Aldo] ¿Cuántas personas habrán dispuestas que sus datos genéticos estén
disponibles? Y su historia clínica, estos son datos bastante
confidenciales y realmente personales, en todo caso el tiempo y la
aceptación del público dirán si estas ideas fueron buenas y precursoras a
su tiempo.
9. Hombre chino muere por agotamiento
http://www.theregister.co.uk/2007/09/18/chinese_gaming_death
Un hombre chino, natural de la Ciudad de la Flor (Cantón), muere por
'agotamiento' luego de unirse a una maratón de juegos de tres días. [Aldo]
Si bien ya se conocía de casos semejantes, estos cada día se vuelven más
comunes, una nueva demostración que cualquier adicción llevada al extremo
lleva a la muerte, aunque por información que ví esto podría tratarse de
algo premeditado.
10. CEO de Symantec urge solicitud anticipada de Cookies
http://www.topix.net/content/ap/2007/09/symantec-ceo-urges-cookie-notification
El líder del fabricante de software de seguridad denunció el uso de
archivos de datos comunmente usado por Google Inc. y otros sitios web para
rastrear la actividad del usuario, al señalar que tales sitios debería
pedir permiso por anticipado. John Thompson, gerente general de Symantec
Corp. en Cupertino, California, dijo que los archivos conocidos como
cookies, 'son una invasión a la privacidad, como si alguien mirase por la
ventana de mi habitación'. Thompson estuvo en Bruselas para hablar a los
reguladores de la UE, acerca de problemas como seguridad en Internet y
privacidad de datos.
[Aldo] Totalmente de acuerdo. Uno debe autorizar que estos archivos se
instalen en su equipo y aceptar ser monitoreado de los contrario es
efectivamente una invasión a la privacidad.
11. Apple planea volver inservibles a los iPhones crackeados
http://news.softpedia.com/news/Apple-Plans-on-Making-Unlocked-iPhones-Useless-66229.shtml
Apple ha iniciado un carrera para evitar todos los desbloqueos de SIM para
los iPhone. La compañía buscará hacer que todos los dispositivos hackeados
se vuelvan imposible de usar en cualquier red, a menos que la lleven al
centro de soporte del proveedor original. Eso es lo que la compañía planea
hacer, con algunas otras consecuencias más serveras. La intención de Apple
no apunta a otra cosa que reinsertar a los ex-subscritores de vuelta a la
red original, o la destrucción del software del dispositivo, a fin de que
no pueda ser usado. Esto es supuestamente para enseñar a los propietarios
una lección y hacer del iPhone, nada más que un ladrillo realmente caro.
[Aldo] Asunto controversial, dado que el obligar a un usuario a utilizar
determinada red de comunicaciones es una práctica monopólica. Sin embargo,
el desbloquear los equipos sin autorización del proveedor de
comunicaciones es prácticamente un crackeo, lo mejor es darle al usuario
la posibilidad de elegir, que compre su equipo y que pueda comunicarse a
través de la red que él elija.
12. Vanos hoyos de seguridad en Oracle 11g
http://www.red-database-security.com/wp/hitb2007_oracle_security.pdf
Alexander Kornbrust, quien ayuda a grandes compañías a auditar la
seguridad de sus base de datos Oracle, examinó el software y halló
vulnerabilidades de 'SQL Injection', que permitirían que atacantes
ejecuten código malicioso. Él también descubrió una forma de saltearse la
capacidad de auditoria en 11g y otras versiones de la base de datos, lo
cual podría minar los esfuerzos relativos a cumplimientos (normas) de la
compañía. [La presentación fue hecha en HITB Hack in the Box en Malasia,
hace sólo un par de semanas atrás.]
13. Libro de la semana: Hacking dispositivos integrados
http://www.syngress.com/catalog/?pid=4170
PaulDotCom, o Paul Asadoorian, autor del libro 'Linksys WRT54G Ultimate
Hacking', acaba de terminar de escribir su curso SEC535 - Embedded Device
Hacking, para SANS Institute.
=======================================================================
Editores JaCkNews:
=======================================================================
Aldo Romero, CISSP ha liderado diversas jefaturas de seguridad de
información en el sector bancario y de telecomunicaciones, por más de 9 años.
Javier Romero es instructor de seguridad para JaCkSecurity.
Martin Valdivia, CISA, CNA ha sido auditor y consultor de sistemas por 15
años en industrias de retail y banca. Actualmente, es administrador de
seguridad de una importante corporación agroindustrial.
=======================================================================
Más información sobre la lista de distribución News