Monthly Archives: January 2009

Seguridad en Windows 7

Posted on by
Reply

La seguridad es un pilar fundamental de todas nuestras versiones de Windows desde Windows XP SP2, tal como lo fue para Windows Vista. Es por eso que esto es una característica de Windows 7 también.

Si bien Windows 7 y Windows Vista comparten características de seguridad, también hay diferencias y mejoras en Windows 7, veremos el detalle de muchas de ellas durante el transcurso del proceso de betas, pero hay particularmente dos en las que quiero focalizarme: Bitlocker y UAC (User Account Control)

Partamos por una de las características que más polémica trajo entre los profesionales de tecnología desde el lanzamiento de Vista:

UAC o User Account Control: Si bien hay unos que lo odian y otros que lo aman, la verdad es que resulta ser un mecanismo de prevención entre los usuarios. Ahora la pregunta inicial es: por qué un usuario normal necesitaría permisos administrativos? Pensemos en la respuesta mientras.

Lo primero a aclarar es que en Windows 7, UAC no ha sido eliminado sino que el por el contrario se le agregaron funcionalidades.

En el caso de Windows 7, el UAC tiene un control granular del funcionamiento de esta característica basado en el ambiente usado.

Donde la configuración por defecto sólo avisa si los cambios al sistema son hechos por programas y no por el usuario. Es decir, si cambian una configuración verán el ícono del escudo pero no tendrán el prompt de UAC, que sólo verán cuando el cambio lo quiera hacer un programa.

Ustedes pueden elegir desde Nunca notificar hasta Siempre notificar (para el modo más paranoico :)

Adicionalmente, para cada uno de las configuraciones da una recomendación simple de cuando se deben usar, por ejemplo, en el modo de Siempre Notificar indica: “Recomendado si usted rutinariamente instala nuevo software y visita sitios web con los que no esté familiarizado”

Ahora sigamos con una característica que te permite proteger tus datos en el disco duro:

Bitlocker y Bitlocker To Go: esta funcionalidad incorporada en Windows Vista que permitía inicialmente encriptar el disco de booteo del sistema con encripción a bajo nivel haciendo uso de los chips de TPM (Trusted Platform Module), luego en el SP1 de Vista fue extendida para ser usada en otros discos, pero siempre hablamos de discos físicos. La novedad en Windows 7, es que ahora se puede utilizar en cualquier dispositivo extraible como un pendrive o un disco externo. Extendiendo la protección frente a la pérdida o robo de los dispositivos.

Así al ingresar un dispositivo que está encriptado, les pedirá la clave usada para poder desbloquearlo. Obviamente, si el equipo donde lo usan es de confianza – y ya tiene Bitlocker – pueden almacenar la clave en el equipo.

Les comparto el siguiente video (en inglés) acerca del uso de Bitlocker y Bitlocker to Go, que son parte de los videos disponibles en TechNet Springboard, que es el lugar donde encontrar la información técnica de Windows 7. Ahí pueden encontrar más videos, documentación y guías paso a paso.

Obviamente, Windows 7 tiene más características de seguridad como manejo avanzado de politicas de grupo, perfiles para Windows Firewall, el nuevo Action Center y muchas otras que iremos discutiendo de a poco en este mismo blog.

Fuente: http://blogs.technet.com/linacre/

Chrome, Firefox vulnerables al clickjacking

Posted on by
Reply

Investigadores de seguridad han descubierto una falla que afecta a navegador Chrome de Google que lo expone al ‘secuestro de clic’ o clickjacking – donde un atacante secuestra funciones del navegador reemplazando enlaces legítimos por otros elegidos por el atacante.

Google ha reconocido la falla y está trabajando para emparchar las versiones de Chrome 1.0.154.43 y anteriores cuando corren en sistemas Windows XP SP 2, según el investigador de seguridad de SecNiche Aditya K Sood.

Sood divulgó la falla el 27 de enero y entonces publicó una prueba de concepto en el foro de divulgación de vulnerabilidades de Bugtraq.

“Los atacantes pueden engañar a los usuarios para realizar acciones que los usuarios nunca quisieron hacer y no hay manera de ubicar luego esas acciones, una vez que el usuario se autentificó en la otra página,” dice Sood en su nota de divulgación.

Mientras Google está trabajando en un arreglo, un portavoz de la compañía en Australia señaló que el clickjacking afecta a todos los navegadores, no solo al Chrome.

“El problema [clickjacking] está ligado con la formar de trabajar en que la web y las páginas web fueron diseñadas, y entonces no hay un arreglo sencillo para ningún navegador en particular. Estamos trabajando con otros jugadores para llegar a una forma de enfoque de la mitigación de largo plazo estandarizada,” dijo.

Sin embargo, el investigador independiente, CEO de la consultora australiana de seguridad Novologica, Nishad Herath, le dijo a ZDNet.com.au que después de correr la prueba de conepto de Sood encontraron que el Internet Explorer 8 (versiones release candidate 1 y beta 2) y el Opera 9.63 (la ultima versión) no estaban expuestos a la falla. Pero, tal como el Chrome, el Firefox 3.0.5 también está expuesto.

Los investigadores de seguridad de Google no han encontrado ningún ataque de esta vulnerabilidad específica que esté siendo explotado de forma activa, dijo el portavoz de Google.

El clickjacking es un ataque al navegador relativamente nuevo que los investigadores Robert Hansen y Jeremiah Grossman presentaron a finales del año pasado en la conferencia de seguridad OWASP en Nueva York. El ataque encaja perfectamente dentro de la categoría de falsificaciones XSS, en donde un atacante usa maliciosamente código preparado de HTML o de JavaScript que fuerza al navegador de la víctima para enviar requerimientos HTTP a un sitio de su elección.

“El clickjacking significa que cualquier interacción que uno tenga con un sitio web en el que esté por ejemplo cuando hace clic en un enlace, puede no hacer lo que uno esperaba,” explicó Herath.

“Podría hacer clic en un enlace que parece que apunta a una imagen de Flickr, pero en realidad, primero lo dirigirá a un servidor de descarga conducida (drive-by-download) que contiene malware. Este tipo de ataques pueden ser usados cuando se interactúa con servicios web en los que uno ya se ha validado de formas en las que uno nunca hubiera querido, sin siquiera uno sabe que sucedió eso.”

Traducido para blog de Segu-info por Raúl Batista
Autor: Liam Tung de ZDNet Australia
Fuente: www.zdnet.com.au

Más información
Clickjacking: Investigadores alertan por vulnerabilidad que afecta a todos los navegadores
¿Clickjacking con Firefox y NoScript instalado?
Protección contra ClickJacking en navegadores
ClickJacking, nueva técnica de ataque a través de navegadores web

Ataque: ¿Qué es Cross Site Request Forgery (CSRF)?

Posted on by
Reply

Este término se ha comenzado a utilizar entre lo que se conoce como Terminologia BlackHat.
Este es un tipo de ataque evolucionado de XSS.

El Cross-site request forgery (CSRF) o falsificación de petición en sitios cruzados es un tipo de malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía. Esta vulnerabilidad es conocida también por otros nombres como XSRF, enlace hostil, ataque de un click, cabalgamiento de sesión, y ataque automático.

Se trata de una técnica prácticamente desconocida pero extremadamente peligrosa que permite aprovechar que tenemos abierta una sesión en el navegador con un sitio fiable (un banco, gmail, …) para que desde el código HTML de una página que estemos visitando se cree una petición que podría tener la consecuencia de enviar una petición (legítima en apariencia porque procede de un navegador en el que mantenemos una sesión válida abierta) a la aplicación web del banco para que realice una operación sin que sea en ningún momento evidente.

Los riesgos que supone esta técnica son enormes (pueden acusar a alguien de acceder a sites de pornografía infantil o habilitar un filtro en el correo para que todos los mensajes se reenvien a una tercera cuenta y, entre otras cosas, robar dominios o cambiar contraseñas gracias a los mensajes de confirmación).

Recursos:

Redacción de Segu-Info

Preguntas sobre el uso de fotos en Facebook

Posted on by
4

1- ¿Cómo subir fotos a Facebook?
Ya sea que quieras armar un album o publicar sólo una foto; tenés que ir a “agregar” fotos en la opción muro y ahí podés subir tus imágenes.

2- ¿Cómo hago para no tener que subir las fotos una por una?
Facebook informa que aún no existe una aplicación que permita subir varias fotos a la vez.

3- ¿Cómo eliminar fotos de Facebook?
Si queres eliminar una sola foto, vas a la foto y hacés click en el link “Eliminar foto”.
Si querés eliminar un álbum entero, vas a “Mis Fotos”, seleccionás el álbum y hacés click en “Editar álbum.” Ahí está la opción de eliminar el álbum.

4- ¿Cómo hacer para que mis álbumes estén en mi pantalla de inicio?
En “Inicio” vas al cuadro “Aplicaciones” que está a la derecha. y hacés click en el link “Editar”.
En la opcion “Fotos” hacés click en “Editar”. VAs a la pestaña “perfil” y ahí te fijás en la opción “Cuadro”. Si te aparece como Disponible, clickeás en Agregar y aceptás.
Si hacés click en “Perfil”, en la barra azul de Facebook, y luego en la opción “Cuadros”, que está en la barra celeste ubicada bajo tu nombre, vas a encontrar tus fotos.
El último paso es ir al link en forma de lápiz, que abrirá un menú contextual. Seleccioná la opción “Mover pestaña a muro”.
Ahora sí tus álbumes estarán en tu pantalla de inicio.

5- ¿Cómo etiqueto fotos en Facebook?
Explica Facebook: Para etiquetar una foto, haga clic en la cara de la persona en la foto y después seleccione su nombre del cuadro que aparece. Si su nombre no está en el cuadro, puede escribirlo en el campo de texto. Tendrá que repetir este proceso para cada persona de la foto que quiera etiquetar. Si quiere etiquetarse a si mismo, seleccione “Yo”. Tras haber etiquetado las fotos, haga clic en “Guardar cambios” en la parte inferior de la página.
Tenga en cuenta que cada vez que etiquete a un amigo en una foto, ésta podrá ser accesible del enlace “Ver las Fotos de” debajo de su foto del perfil.
También puede etiquetar las fotos de otra persona mientras las esté mirando. Para hacerlo, haga clic en “Etiquetar esta foto” en la lista de acciones que hay debajo de la foto. Tras haber etiquetado la foto, la próxima vez que su amigo inicie sesión en la cuenta se le pedirá que confirme su solicitud. Póngase en contacto con nosotros si tiene más preguntas.

6- ¿Cómo eliminar etiquetas en las fotos?
Dice Facebook: Para eliminar la etiqueta de una foto que otra persona ha subido y ha etiquetado, sólo debe ver la foto y escoger “eliminar etiqueta” al lado de su nombre. Esa foto ya no volverá a estar enlazada a su perfil.

7- ¿Cómo descargo fotos de Facebook?
Una opción fácil y que te evita el tabajo de copiar foto por foto es el plugin de Firefox Facebook Photo Album Downloader.
Tan solo tenés que instalarlo, reiniciar Firefoxy al posicionarte sobre el link de un álbum darle botón derecho y “Download Photo Album”. Listo. Fotos guardadas en tu compu en un instante.

8- ¿Cómo hago para que la foto de mi perfil se vea grande?
Para que se vea grande utillizá una imagen más larga que ancha, por ejemplo de 120 por 400 píxeles.

9- ¿Por qué no puedo agregar más fotos a mis álbumes?
Aparentemente los álbumes no pueden contener más de 60 fotos. Tu única solución es crear un album nuevo.

10- ¿Por qué no puedo ver las fotos de algunos perfiles?
Para poder visualizar imágenes de los perfiles de Facebook debes ser amigo o estar en la misma red que el perfil al que deseas acceder.

Fuente: http://www.dayanabarrionuevo.com/

Apple soluciona ocho problemas de seguridad en QuickTime

Posted on by
Reply

Apple ha publicado una nueva versión de QuickTime (la 7.6), que solventa siete problemas de seguridad en sus versiones para Windows y OS X (Leopard y Tiger). Además se ha publicado un boletín de seguridad adicional para solucionar un fallo en el componente MPEG-2 de QuickTime Media Player para Windows, aunque éste no viene instalado por defecto.

A continuación se detallan las siete las vulnerabilidades solventadas en la nueva versión Quicktime 7.6:

* Denegación de servicio y posible ejecución remota de código causada por un desbordamiento de búfer basado en heap al intentar procesar un objeto multimedia apuntado por una URL RTSP (Real Time Streaming Protocol).

* Ejecución remota de código al aprovecharse de un desbordamiento de búfer basado en heap provocado por el tratamiento erróneo de átomos THKD en un archivo de vídeo QTVR (QuickTime Virtual Reality) especialmente manipulado.

* Denegación de servicio o ejecución remota de código arbitrario a través de archivos AVI especialmente manipulados, que podrían causar un desbordamiento de búfer basado en heap.

* Otro desbordamiento de búfer, debido a un manejo incorrecto de archivos MPEG-2 con contenido de audio en formato MP3, que podría ser aprovechado por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

* Denegación de servicio o ejecución remota de código causada por un fallo de corrupción de memoria en Quicktime al manejar los archivos de vídeo codificados con H.263.

* Desbordamiento de búfer basado en heap que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de un archivo de vídeo codificado con Cinepak.

* Ejecución remota de código al aprovecharse de un desbordamiento de búfer basado en heap provocado por el tratamiento erróneo de átomos jpeg en un archivo de vídeo QuickTime especialmente manipulado.

El segundo boletín de seguridad publicado por Apple, informa sobre una vulnerabilidad solventada en el componente QuickTime MPEG-2 Playback Component para Windows, que podría ser aprovechada para ejecutar código arbitrario lo que permitiría comprometer un sistema por completo.

Todos los fallos corregidos son del tipo “Improper Input Validation”, es decir, un fallo al comprobar y validar las entradas introducidas por un usuario y que, bajo ciertas circunstancias, podría ser aprovechado para ejecutar código arbitrario. Este tipo de fallo encabeza el “Top 25 de los fallos de programación más peligrosos” y que podrían ser causantes de problemas de seguridad. Esta lista fue publicada a principios de año y ha sido elaborada por MITRE y SANS en colaboración con diferentes organismos oficiales, empresas y universidades.

Recordamos que todas las actualizaciones pueden ser instaladas a través de las funcionalidades de actualización automática (Software Update) de Apple, o según versión y plataforma, descargándolas directamente desde:

QuickTime 7.6 para Windows:

http://support.apple.com/downloads/QuickTime_7_6_for_Windows

QuickTime 7.6 para Leopard:

http://support.apple.com/downloads/QuickTime_7_6_for_Leopard

QuickTime 7.6 para Tiger:

http://support.apple.com/downloads/QuickTime_7_6_for_Tiger

Más información:

About the security content of QuickTime 7.6
http://support.apple.com/kb/HT3403

QuickTime MPEG-2 Playback Component
http://www.apple.com/quicktime/mpeg2/

2009 CWE/SANS Top 25 Most Dangerous Programming Errors
http://cwe.mitre.org/top25/pdf/2009_cwe_sans_top_25.pdf

Fuente: http://www.hispasec.com/