Monthly Archives: April 2008

¿Qué debes hacer si han hackeado tu sitio web?

Posted on by
Reply

Bueno, han hackeado tu sitio. Esto le sucede a muchos webmasters, incluso a pesar de todo el trabajo dedicado a evitar que este tipo de cosas ocurra. Evitarlo incluye mantener tu sitio actualizado con los últimos parches y software; crear una cuenta de Herramientas para webmasters de Google para ver qué contenido se ha indexado y vigilar tus archivos de registro para asegurarse de que no sucede nada sospechoso, etc. Hay más información en un texto que publicamos el año pasado, “Quick Security Checklist” en inglés.

Recuerda que no estás solo: Los sitios hackeados son cada vez más comunes. Si tu sitio ha sido hackeado puede que se vea infectado con software malicioso. Echa un vistazo al informe que ha publicado la ONG StopBadware.org sobre tendencias de badware en 2007 (Trends in Badware 2007, texto en inglés) para obtener un análisis exhaustivo de las amenazas y las tendencias del año pasado. Lee este post en el blog sobre seguridad en línea de Google que destaca el aumento del número de resultados de búsqueda que contienen alguna URL clasificada como maliciosa. Para informes técnicos más detallados sobre el análisis del malware en la web, consulta el documento The Ghost in the Browser (pdf) y este informe técnico (pdf en inglés) acerca de descargas involuntarias. Léelos y tendrás una mejor idea del problema. Éstos también incluyen algunos ejemplos reales de diferentes tipos de malware.

En cualquier caso, el primer paso debe ser contactar al proveedor de alojamiento web, si dispones de uno. A menudo ellos pueden hacerse cargo de los aspectos más técnicos. Muchos webmasters utilizan alojamiento compartido, que puede dificultar algunas de las cosas enumeradas a continuación. Los consejos marcados con un asterisco (*) son casos en los que los webmasters que utilizan alojamiento compartido probablemente necesitarán ayuda de su proveedor de alojamiento. En caso de que tengas control absoluto del servidor, recomendamos cubrir estos cuatro puntos básicos:

Sitio temporalmente fuera de servicio

* Pon el sitio fuera de servicio temporalmente, al menos hasta que sepas que has arreglado las cosas.
* Si no puedes ponerlo fuera de servicio temporalmente, haz que devuelva un código de estado 503 para evitar que se indexe.
* En las Herramientas para webmasters, utiliza la herramienta de solicitud de eliminación de URL para eliminar cualquier página hackeada o URL de los resultados de búsqueda que se hayan podido añadir. Esto evitará que se muestren páginas hackeadas a los usuarios.

Evaluación de los daños

* Es una buena idea saber qué buscaba el hacker.
o ¿Buscaba información delicada?
o ¿Quería hacerse con el control del sitio con otros propósitos?
* Busca cualquier archivo que se haya cargado o modificado en tu servidor web.
* Busca cualquier actividad sospechosa en los registros de tu servidor, como por ejemplo, intentos fallidos de inicio de sesión, historial de comandos (especialmente como raíz), cuentas de usuario desconocidas, etc.
* Determina el alcance del problema. ¿Tienes otros sitios que también puedan verse afectados?

Recuperación

* Lo mejor que puedes hacer aquí es una reinstalación completa del sistema operativo, realizada desde una fuente de confianza. Es la única manera de estar totalmente seguros de que se ha eliminado todo lo que el hacker haya podido hacer.
* Tras la reinstalación, utiliza la última copia de seguridad para recuperar tu sitio. Asegúrate de que la copia de seguridad esté limpia y libre de contenido hackeado.
* Instala las últimas versiones de parches de software. Esto incluye cosas como por ejemplo plataformas de weblogs, sistemas de gestión de contenido o cualquier otro tipo de software de terceros instalado.
* Cambia las contraseñas.

Recuperación de la presencia en línea

* Vuelve a poner tu sitio en línea.
* Si eres un usuario de las Herramientas para webmasters, inicia sesión en tu cuenta.
* Si tu sitio se ha marcado como malware, solicita una revisión para determinar si está limpio.
* Si has utilizado la herramienta de solicitud de eliminación de URL para URL que deseas tener indexadas, solicita que se reincluya tu contenido revocando la solicitud de eliminación.

Vigílalo todo, ya que el hacker podría querer volver.

Respuestas a otras preguntas que puede que te hagas:

P: ¿Es mejor tener mi sitio temporalmente fuera de servicio o usar robots.txt para evitar que se indexe?
R: Ponerlo temporalmente fuera de servicio es la mejor manera de hacerlo. Esto evita que se muestre malware o badware a los usuarios y evita que los hackers sigan abusando del sistema.

P: Una vez que haya solucionado esto, ¿cuál es la manera más rápida de volver a ser indexado?
R: La mejor manera, independientemente de si el sitio fue hackeado o no, es seguir las Directrices para webmasters, disponibles en el Centro de asistencia para webmasters.

P: He limpiado mi sitio pero, ¿a pesar de esto me penalizará Google si el hacker enlazó a malos vecindarios?
R: Intentaremos que esto no suceda. Hacemos todo lo posible para que los sitios buenos no se vean penalizados por acciones de hackers y spammers. Para estar seguros, elimina completamente cualquier enlace que los hackers hayan podido añadido.

P: ¿Qué pasa si esto ocurrió en mi computadora personal?
R: Todo lo de arriba sigue siendo aplicable. Pon especial atención a limpiarlo todo. De lo contrario, es probable que vuelva a ocurrir lo mismo. Lo ideal es una reinstalación completa del sistema operativo.

Recursos adicionales que puedes encontrar útiles:

* Si Google ha marcado tu sitio como malware, te avisaremos cuando visites las Herramientas para webmasters
* No te olvides del Grupo de asistencia para webmasters de Google. Está lleno de usuarios expertos, y también de Googlers. Para ver un buen ejemplo sobre el tema, lee este mensaje. También está el grupo de Stop Badware.
* Matt Cutts escribió en su blog consejos para proteger tu instalación de WordPress (“Three tips to protect your WordPress installation”, texto en inglés), y también tiene comentarios muy buenos.

No dudes en dejarnos cualquier otra recomendación que tengas en los comentarios del grupo de asistencia.

Fuente: http://googleamericalatinablog.blogspot.com/2008/04/qu-debes-hacer-si-han-hackeado-tu-sitio.html

Hardware convertido en malware

Posted on by
Reply

Investigadores de la Universidad de Illinois probaron con éxito un nuevo tipo de ataque a los sistemas informáticos consistente en modificar las puertas lógicas de procesadores programables para que estos alberguen y ejecuten un backdoor.

Esto fue probado con éxito en un procesador programable LEON corriendo en Linux al inyectar una modificación en el firmware, cambiando una pequeña parte de las puertas lógicas que éste contiene (sólo 1341 de las más de un millón que posee el procesador).

Si bien este tipo de ataques requiere una gran organización y recursos, demuestra que existe una forma de vulnerar un equipo sin necesidad de explotar el software para acceder como un usuario legítimo. Estos procesadores reprogramables están basados en el modelo SPARC de Sun Microsystems y aún no son ampliamente utilizados, pero están orientados para servidores de gran desempeño.

Esta vulnerabilidad fue demostrada en el Usenix Workshop on Large-Scale Exploits and Emergent Threats el día 15 de abril, presentada por los investigadores Samuel T. King, Joseph Tucek, Anthony Cozzie, Chris Grier, Weihang Jiang, and Yuanyuan Zhou de la Universidad de Illinois en Urbana-Champaign, ganando el premio a la mejor presentación.

El paper que presentaron, en inglés.

Fuente: http://barrapunto.com/articles/08/04/27/0952210.shtml

Vulnerabilidad explotada en WordPress

Posted on by
Reply

Un agujero de seguridad recientemente descubierto podría permitir la alteración de contenidos en los blogs que usan WordPress, permitiendo incluir en los mismos códigos maliciosos.

WordPress es un manejador de contenidos que es utilizado ampliamente para crear y actualizar blogs. Ha sido desarrollado en lenguaje PHP y MySQL. Gran parte de su popularidad se debe a su facilidad de uso y a los complementos (plugins) diseñados por terceros.

La vulnerabilidad ha sido reportada en el complemento WordPress Spreadsheet Plugin (wpSS), que permite manejar hojas de cálculo en el contenido y realizar búsquedas de datos mediante consultas SQL.

SQL (Structured Query Language) es un lenguaje de programación estructurado que está orientado a consultas de una base de datos. El mismo permite realizar consultas en forma rápida y fácil.

El fallo ocurre porque el sistema al realizar una búsqueda, no valida correctamente la entrada de datos, permitiendo la inclusión de comandos maliciosos en la misma (ataque de “inyección SQL”).

Un atacante que se aproveche del mencionado fallo podría llegar a alterar el contenido, insertar, borrar o capturar datos del mismo.

Es vulnerable la versión 0.61 y probablemente también las anteriores. Se recomienda actualizar el complemento de hoja de cálculo a su nueva versión 0.62 que se encuentra actualizada para con un parche de seguridad que soluciona la vulnerabilidad reportada.

El crédito del descubrimiento de este fallo pertenece a “1ten0.0net1″.

Pero además, los usuarios de WordPress deben actualizarse a la nueva versión 2.5.1 que soluciona 70 fallos. Entre ellos hay una actualización de seguridad con carácter muy importante, especialmente si el blog permite la registración abierta.

Aclaramos que el complemento mencionado en este artículo no se encuentra incluido en el paquete de instalación de WordPress, por lo que debe ser actualizado de forma independiente.

Temas relacionados
Blog del autor – Actualización de hoja de cálculo

http://timrohrer.com/blog/?page_id=71

WordPress 2.5.1

http://wordpress.org/development/2008/04/wordpress-251/

Fuente:

http://www.enciclopediavirus.com/noticias/verNoticia.php?id=992

http://blogs.eset-la.com/laboratorio/2008/04/16/blogs-wordpress-peligro/

http://alt1040.com/2008/04/si-alt1040-fue-hackeado/

Ejecución remota de código en HP Software Update

Posted on by
Reply

Una vulnerabilidad que podría ser utilizada para la ejecución arbitraria de código, ha sido identificada en un componente ActiveX utilizado por el software de actualización de HP cuando se ejecuta bajo Windows (HPeDiag).

Son vulnerables todos los equipos con versiones de HP Software Update v4.000.009.002 o anteriores. La vulnerabilidad también puede permitir la revelación de información.

HP Software Update es una aplicación de HP, que comprueba la existencia de actualizaciones para muchos de los productos de la compañía (firmware, nuevas versiones del software y drivers). Suele instalarse como parte del software proporcionado con ciertos equipos HP, impresoras, escáneres o cámaras.

Se ha publicado una nueva versión de este producto, que resuelve esta vulnerabilidad.

HP sugiere el siguiente procedimiento para proceder a esta actualización.

En Windows, hacer clic en Inicio, Todos los programas, HP, HP Update o HP Software Update. Hacer clic en la opción y seguir el procedimiento de actualización.

Si se reinstala algún producto de HP, es necesario realizar el mismo procedimiento de actualización para reinstalar la versión no afectada por el problema.

En caso de que ello no sea posible, HP recomienda aplicar el “kill-bit” a varias claves CLSID en el registro de Windows.

Para ello, puede utilizar alguno de los siguientes procedimientos:

1. Uso de REGEDIT

Ejecute REGEDIT (Inicio, Ejecutar, escriba REGEDIT y pulse Enter), y busque la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Internet Explorer\ActiveX Compatibility\

Busque cada una de estas subcarpetas:

{60178279-6D62-43af-A336-77925651A4C6}
{DC4F9DA0-DB05-4BB0-8FB2-03A80FE98772}
{0C378864-D5C4-4D9C-854C-432E3BEC9CCB}
{93441C07-E57E-4086-B912-F323D741A9D8}
{CDAF9CEC-F3EC-4B22-ABA3-9726713560F8}
{CF6866F9-B67C-4B24-9957-F91E91E788DC}
{A95845D8-8463-4605-B5FB-4F8CFBAC5C47}
{B9C13CD0-5A97-4C6B-8A50-7638020E2462}
{C70D0641-DDE1-4FD7-A4D4-DA187B80741D}
{DE233AFF-8BD5-457E-B7F0-702DBEA5A828}
{AB049B11-607B-46C8-BBF7-F4D6AF301046}
{910E7ADE-7F75-402D-A4A6-BB1A82362FCA}
{42C68651-1700-4750-A81F-A1F5110E0F66}
{BF931895-AF82-467A-8819-917C6EE2D1F3}
{4774922A-8983-4ECC-94FD-7235F06F53A1}
{E12DA4F2-BDFB-4EAD-B12F-2725251FA6B0}
{C94188F6-0F9F-46B3-8B78-D71907BD8B77}
{6470DE80-1635-4B5D-93A3-3701CE148A79}
{17E67D4A-23A1-40D8-A049-EE34C0AF756A}
{AB237044-8A3B-42BB-9EE1-9BFA6721D9ED}
{784F2933-6BDD-4E5F-B1BA-A8D99B603649}

Por cada carpeta encontrada, haga clic en la misma y agregue el siguiente valor DWORD (400 en hexadecimal):

Compatibility Flags = 400

NOTA: Si no existen estas claves, no tiene instalado HP Update Software en su sistema y no es vulnerable.

2. Uso de un archivo .REG

Descargue el siguiente archivo:

http://www.videosoft.net.uy/hp-update-killbit.reg

Haga doble clic sobre él, y luego acepte agregar su contenido al registro.

Si por alguna razón quisiera revertir la situación, descargue el siguiente archivo, haga clic sobre él, y acepte agregar su contenido al registro:

http://www.videosoft.net.uy/hp-update-killbit-normal.reg

Relacionados:

HPSBGN02333 SSRT080031 rev.1 – HP Software Update HPeDiag Running on Windows, Remote Disclosure of Information and Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01439758

HP Software Update HPeDiag ActiveX Control Insecure Methods and Buffer Overflow
http://secunia.com/advisories/29966/

CVE-2008-0712 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0712

¿PayPal bloqueará a los navegadores ‘inseguros’?

Posted on by
Reply

Se ha escrito mucho sobre esta medida decidida por PayPal, sin duda, un peso pesado en Internet y cuyos movimientos se siguen con lupa. Como suele ocurrir en estos casos, la noticia ha sido en parte confundida y al parecer la mayoría de los medios no han sabido transmitir realmente la idea de PayPal. Como de costumbre, los medios generalistas han terminado aprovechando para señalar con el dedo a los de siempre, con el mensaje de siempre, y olvidando realmente cuál es el objetivo de la compañía.

PayPal es el sistema de pago líder en Internet. Permite ingresar o recibir dinero en cuentas particulares o ajenas con sólo conocer la dirección de correo de un usuario de PayPal. PayPal es la compañía, junto con eBay, que más ataques phishing sufre cada día. Las contraseñas robadas de usuarios se cuentan por decenas cada hora. Como medida para paliar este problema, la compañía ha anunciado que bloqueará a los ‘navegadores inseguros’ y aquí parece que comienza la confusión. Es importante destacar que la medida de PayPal está destinada a paliar el phishing, y sus ‘navegadores inseguros’ se mueven exclusivamente en este contexto del fraude online, y no en ningún otro donde tengan que ver los problemas de seguridad o las vulnerabilidades.

¿Qué es entonces un navegador inseguro para PayPal? La respuesta no tiene nada que ver con vulnerabilidades, problemas de seguridad o nada parecido, aunque muchos han querido llevar la noticia a este campo. Por un lado, PayPal considera inseguros a los navegadores antiguos que han dejado de tener soporte y que no incorporan tecnología antiphishing (desarrollada en los últimos años). Como simple ejemplo, menciona que todavía es visitada por usuarios que utilizan Internet Explorer 4, y que a estos no les permitirá el acceso. Navegar con Internet Explorer 4 o cualquier otro navegador que no recibe soporte ni actualizaciones de seguridad desde hace años es un completo suicido tecnológico para el sistema que lo utilice. Probablemente, que un usuario de IE 4 pique en un phishing de PayPal o no, es el menor de sus problemas.

PayPal utiliza una analogía para explicar lo que pretende: “Dejar que los usuarios de estos navegadores visiten la página de PayPal es como permitir a una factoría de coches que los fabrique sin cinturón de seguridad”. Al parecer PayPal avisará durante un tiempo a sus visitantes si detectan estos navegadores, y luego los bloqueará.

¿Qué otro parámetro utiliza PayPal para calificar de inseguro a navegador? Pues que no utilice la tecnología Extended Validation SSL. PayPal ha invertido en estos nuevos certificados SSL (que no son baratos) y obviamente quiere sacarles provecho. Extended Validation SSL es una buena idea. Explicado de forma sencilla, los certificados que cumplan el Extended Validation SSL autentican al servidor (como los certificados tradicionales), pero a efectos prácticos permiten que el navegador que visita la página que tiene estos certificados, muestre de forma mucho más clara que la página es efectivamente la que se quiere visitar. Sería como si el navegador hiciera por nosotros la operación de pulsar sobre el candado cuando nos conectamos por SSL a una página, y verificara la ruta de certificación, el domino válido… todo de forma automática y visual. Si el servidor es seguro, se muestra en la barra de direcciones un color verde. Un usuario puede así de un solo vistazo dar por seguro que el servidor al que se está conectando es el correcto, y que no se está usando un certificado válido, pero falso.

Por ahora, sólo Internet Explorer 7 soporta de serie la correcta interpretación de certificados EV SSL. Firefox 2 necesita un plugin y Opera ha dicho que lo implementará. Safari no se ha pronunciado. Quizás, con el tiempo, PayPal obligue a los usuarios a utilizar un navegador que soporte EV SSL, pero para entonces (dentro de años) probablemente sea algo que todos los programas implementen de serie.

La noticia por tanto, no es tan catastrófica, aunque sí marcará tendencias. Lo que todavía no se sabe realmente, es si esta medida ayudará a paliar el phishing que sufre PayPal. A tenor del éxito del que todavía goza el phishing tradicional, los usuarios han demostrado que no se fijan realmente en los dominios, ni en la autenticación SSL a la hora de introducir sus credenciales en cualquier página que se lo solicite.

Fuente: http://www.hispasec.com/unaaldia/3469