Oct 31 2011

[FAIL] Primero fue Twitter y ahora Dropbox. Cambias el password y hasta el “logout” sigues conectado.

Primero fue Twitter…

Bueno, sobre lo de Twitter y el cambio de password vía web no voy a hablar mucho porque los habituales de DaboBlog lo sabéis. Ya hice la demo en el pasado FIMP, demostrando que se podía acceder (en el caso que presenté) con un cliente móvil con la contraseña antigua todo el tiempo que quisieras hasta que que cerrase la sesión (también lo mencioné en el 5EBloggers del ENISE e hice otra demo vía móvil a varios compañeros de mesa). A modo de recordatorio, en caso de pérdida de un móvil u otro dispositivo ya sabéis, o borrado remoto, o ir a Twitter y revocar el acceso a la aplicación. Aún cambiando vía web el password, seguirán conectados a tu cuenta.

Ahora Dropbox.

Leer el resto de;”[FAIL] Primero fue Twitter y ahora Dropbox. Cambias el password y hasta el “logout” sigues conectado.”

Tags: , , , , , ,


Ene 20 2011

Jnanabot – OSX/Koobface “no puede” con GNU/Linux pero ojo, sí infecta a Mac OS X


# Disclaimer;

Este post está dedicado sin mala leche y con cariño, a esos maqueros que tenéis a bien seguirme, a pesar de que sobre Mac apenas publico o comento nada (salvo en el podcast dentro de la sección “Manzanas Traigo” y siempre como “invitado” para dar otro punto de vista) y de que la temática principal del blog está relacionada con GNU/Linux, servidores web, seguridad y opinión.

Escribiendo esta entrada, estoy pensando que quizás no estaba mal hacer un especial en el podcast sobre seguridad en GNU/Linux, Windows y Mac OS X, seguro que tenía una buena acogida, pero desde luego, el post no va sobre eso, ya que sería demasiado largo y escribiendo sólo yo, seguro que me quedaba un tanto subjetivo y no muy imparcial a pesar de que conozco los 3 sistemas operativos y en Daboweb, a diferencia de aquí, hablamos de todos ellos.

Pues bien, como sé que sois unos cuantos, quería simplemente con ese título del post en forma de claro “titular” pro GNU/Linux pero NO en contra de Mac OS X, llamar vuestra atención y para nada buscar flames que en 5 años nunca he promovido, al menos conscientemente y que sinceramente ni los necesito o me dan de comer.

Datos de Symantec

Empiezo poniendo el gráfico ya que se ve mejor la situación actual de este troyano a Diciembre de 2010 según podemos leer en la fuente original “The Register”.

Obviamente, también los sistemas Windows se ven afectados por este malware, quizás la gran diferencia, es que un usuario medio de Windows, es más consciente de los peligros a los que se enfrenta y suele tener más herramientas instaladas en su sistema para combatirlos, Partiendo de la base de que la cuota de usuarios es claramente superior en Windows, en Mac OS X llega a un 16 % de infecciones.

¿Cómo actúa Jnanabot – OSX/Koobface? Aclaro, según la gráfica sólo afecta a Leopard o anteriores, pero tampoco he leído que no afecte a 10.6, aunque es un ejemplo

Este tipo de troyanos “multiplataforma” son de sobra conocidos por la gente interesada en la seguridad, digo “multiplataforma” porque se basan en Java y ahí puede caer cualquiera de los 3 sistemas operativos con diferentes niveles de impacto pero en patrón de actuación es muy similar. Permanecen ocultos una vez se alojan “cómodamente” en tu sistema, utilizando según Symantec “un fuerte cifrado” y puedes desde llegar a ser parte de una Botnet (o red troyanizada de ordenadores “zombies”), realizar ataques DDoS, publicar mensajes en tu cuenta de FaceBook, etc. También se podría hablar de su función P2P y el acceso a tu disco duro…

¿Por qué no está ahí GNU/Linux a pesar de que sí puede verse afectado?

Según podemos leer en la fuente original sobre la opinión de Dean Turner, director de Symantec’s Global Intelligence Network y hago una transcripción literal,

“Turner dijo que los ataques de Jnanabot en la plataforma de código abierto no eran capaces de sobrevivir a un reinicio”.

Ahora es cuando alguno puede pensar aquello de… “claro, como Symantec no puede entrar en el mercado del escritorio hablando de GNU/Linux, por eso buscan más “pegada” en el tema Mac al ser un mercado que interesa”. Yo me quedaría de veras con otro dato, el 16 % de las infecciones se dan en sistemas Mac, olvida a GNU/Linux ahora y entiende que a pesar de que no es el típico malware que infecta a “cientos de miles” sino a “miles” de equipos, el ratio para mi es lo suficientemente alto como para que sea tomado en serio si usas Mac.

Incluso, aunque en mi equipo según Dean Turner no tenga impacto, os aseguro que estoy muy al tanto de mi firewall, el estado de mis conexiones, puertos abiertos, etc. Quizás, si eres un usuario de esos que tienen una confianza ciega en Mac OS X,  tú también deberías hacer lo mismo y empezar a ver a ese sistema como algo de tu propia responsabilidad, no de la Apple y el “tío Jobs” que por lo visto no está para muchos trotes…

Según Secunia, Mac OS X fue el sistema más afectado por vulnerabilidades en 2010.

Creo que no estaría mal que le dieses un vistazo a este informe que puedes descargar desde aquí en formato PDF para darte cuenta de algo que llevo tiempo diciendo en mi condición de “invitado” en la parte Mac del podcast. En la mayor parte de las ocasiones, sobre las actualizaciones de Mac OS X no se dice toda la verdad, en Daboweb procuramos llamar a las cosas por su nombre y si te suscribes a la lista de correo de seguridad de la propia Apple, te darás cuenta de lo que te digo, cambia mucho lo que lees en el icono de  “Actualización de software” de OS X, a lo que realmente te llega a esa lista, que no es otra cosa que todas las vulnerabilidades reales en cada aplicación, servicio u otra parte del sistema.

Quizás ahí podemos ver otro ejemplo de la diferencia en cuanto a temas de seguridad en GNU/Linux, donde la gran mayoría no tenemos miedo a saber que sucede con nuestro sistema, sino más bien a la falta de información, aceptamos que hay bugs como algo natural y sólo esperamos que puedan ser solventados de la forma más rápida y eficaz posible, pero no que se nos “maquille” la información que recibimos para darnos una sensación de falsa seguridad. Sí, es una de las grandes ventajas del software libre, otra más.

El 2011 puede ser un buen momento para empezar…

Pero no he escrito esto para “evangelizar” a nadie, simplemente creo que es un buen momento para iniciar el año con mejores prácticas en cuanto a la seguridad, que mires en las preferencias del sistema / seguridad a ver qué sucede con tu firewall, que instales aplicaciones como Little Snitch para que ver que aplicaciones salen a internet y de qué forma y no sólo para bloquear a Adobe y sus updates que te dejarían sin tu Photoshop.

También este 2011 puede ser el punto de partida para que le des un vistazo a esa “flamante” App Mac Store (que los linuxeros ya tenemos hace años algo similar pero free en nuestros equipos por cierto, gracias por el comentario AJ) buscando alguna de las soluciones anti malware que incluyen (varias gratuitas) y que no van a ralentizar tu sistema, sino más bien evitar que “vayas tan rápido que te des un buen leñazo”…

¿Es Mac OS X un sistema inseguro?

Sinceramente y por mi propia experiencia de años atrás cuando lo usaba conjuntamente con Debian, es un sistema robusto y sobre la base “bastante” seguro. Pero lo es, cuando quien lo usa es consciente de lo que se trae entre manos, adquiere unas buenas prácticas de seguridad, cuando está debidamente parcheado (no sólo el sistema base sino también sus aplicaciones) y preparado para las nuevas amenazas que llegan desde La Red. Algo que desde luego tampoco puede olvidar un usuario de Windows ni tampoco un linuxero, ojo.

Tags: , , , , , , , , , ,


Mar 12 2010

Un ejemplo de cómo Apple quiere maquillar vulnerabilidades en su software (Safari 4.0.5)

Hola amigos, acabo de terminar de grabar con Oscar y Gorka la sección “Manzanas Traigo”, dedicada al mundo Apple en el Podcast (el Sábado grabo con Forat “Kernel Panic”, sobre GNU/Linux) y justo después, me ha llegado un aviso de nueva versión de Safari desde la lista de correo “Apple Security”.

Hasta ahí todo normal, me digo; “nada, lo publico en Daboweb ahora”, pero…mi sorpresa ha llegado cuando leyendo mis fuentes RSS, en algún lugar dedicado a noticias sobre el mundo de la manzana, leo que Apple sobre este update dice;

Se recomienda instalar esta actualización a todos los usuarios de Safari, ya que incluye mejoras del funcionamiento, la estabilidad y la seguridad de la aplicación como las siguientes:

Se ha mejorado el funcionamiento de Top Sites.
Se ha mejorado la estabilidad de los módulos de otros fabricantes.
Se ha mejorado la estabilidad de los sitios web con formularios en línea y gráficos SVG (Scalable Vector Graphics).
Se ha corregido un problema que impedía a Safari modificar la configuración de algunos routers Linksys.
Se ha solucionado un problema que impedía a algunos usuarios de iWork.com añadir comentarios a documentos.
Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y claro, luego para colmo, en un blog muy visitado sobre Apple (contra el que no tengo nada vaya por delante), leo que corrige varios bugs pero “muy repetitivos” y es en ese momento cuando me voy al enlace de arriba, donde Apple dice;

Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y no hay nada !!! sobre lo que se ha corregido en esta versión hablando de seguridad. Claro, al final quizás lo acaban metiendo en esa “pseudo-sección” dedicada a las actualizaciones de seguridad de Apple, pero en lugar de desinformar, lo que deberían hacer es indicar claramente cuales son las vulnerabilidades corregidas.

No pido que tengan la transparencia que se lleva a cabo y que compruebo cada día en el mundo de GNU/Linux y el software libre en general, o que puedo leer a diario por ejemplo en las listas de correo de seguridad de Debian, no la pido porque es incompatible con su forma de actuar y de llevar el negocio como tengan a bien.

Pero una compañía que se jacta de ser todo lo contrario a Microsoft, desde luego que al final hablando de seguridad lo es, ya que por lo menos, un usuario de Windows puede saber exactamente sin estar suscrito a ninguna lista de correo de seguridad, que parches y “por qué” se actualiza el software que tiene instalado, sin ser Microsoft históricamente una compañía ejemplar informando sobre la seguridad de sus productos.

Esta forma de actuar frente a la seguridad (por oscuridad u omisión que igual ahí me excedo), me parece totalmente irresponsable ya que el usuario de Windows o Mac OS X que use Safari, debe saber que si no se realiza esa actualización, quedará expuesto a vulnerabilidades que van desde errores de corrupción de memoria, un cierre inesperado de la aplicación o, lo que es más importante, desbordamientos del búfer o la ejecución de código arbitrario en el sistema afectado, desde viendo imágenes manipuladas especialmente con un determinado perfil de color incrustado (también Tiffs o BMP manipulados, hablando de Windows), pasando por el salto de restricciones en la opción de aceptar cookies o no leyendo fuentes RSS, o múltiples bugs en su potente motor “Webkit” visitando sitios webs manipulados para lograr la ejecución de código arbitrario mientras se procesan ciertos ficheros HMTL o XML, etc, etc.

La lista completa de bugs corregidos para que podáis ver a  lo que me refiero (que ahí si que se dice con claridad) está en la entrada que he publicado en Daboweb sobre el lanzamiento de Safari 4.0.5.

¿Es inseguro o un mal producto Safari? si no se actualiza si, un mal producto desde luego que no si nos referimos a esta actualización. Yo navego con Iceweasel, (Firefox según la política de licencias y filosofía de Debian) y estos bugs son habituales en cualquier navegador o software, se parchean y fn del problema, (que a veces también en Firefox se han heredado bugs y “torpedos” de meses atrás, ojo) lo que no es tan habitual, es que prevalezcan a la hora de informar al usuario las mejoras en “Top Sites” o que no puedas hacer comentarios a documentos en iWork.com…

Este tipo de actuaciones y detalles tan “sutiles” para vender una imagen que no se ajusta a la realidad, hacen que para mi, Apple hablando de software, (sobre su hard, uso Debian en un MacBook y después de 3 años el resultado es de 10) tenga muy poca credibilidad y más bien parezca que quieren seguir vendiéndole al usuario tipo de Mac OS X (que de tonto no tiene un pelo), esa moto de “Hala, sé feliz produciendo que nosotros nos preocupamos de todo”.

Y luego vienen los disgustos porque claro, cuando no dices claramente “Actualiza que puede ser que dejes de producir tan felizmente”, el usuario medio puede pensar “No tengo un router linksys que configurar, tampoco uso iWork.com así que ¿para qué actualizar?”.

Es sólo mi opinión, no soy quien para dar ejemplos de ética o actuaciones impecables, Mac OS X es un buen sistema operativo, pero es difícil abstraerse del tufillo a realidad maquillada que Steve Jobs imprime a muchas aspectos del funcionamiento de la compañía.

Tags: , , , , , , , ,


Mar 11 2010

En 4 líneas (GNU/Linux)

En 4 líneas…

gnu_linux

1-Nueva versión de un imprescindible, OpenSSH (la 5.4). Novedad;  “netcat mode”, corrige bugs leves (ENG).

2-Importante release, Servidor web Apache versión 2.2.15 (ENG). Corrige bug en SSL y otros de importancia.

3-Forat sigue con su proyecto de servidor web, en la última entrega (usando el servicio de DNS “no-ip).

4-Las 10 apps Open Source más descargadas de la historia (lo de alguna de ellas ni me lo imaginaba). (ENG).

Tags: , , , , , , , ,


Feb 22 2010

Cómo ayudar en el desarrollo de Iceweasel (Firefox según Debian).

Si alguno se anima en la medida que pueda a ayudar al desarrollo de Debian Iceweasel (Mozilla Firefox hecho según la política de desarrollo y licencias de Debian GNU/Linux).

Debajo os pongo el mensaje que nos dejan cuando actualizamos a la versión 3.5.8 (no es nuevo de hecho). En Daboweb hemos publicado algo sobre estas nuevas versiones hablando de Firefox (3.5.8 y 3.0.18).

¡Iceweasel necesita tu ayuda!

Hay muchas formas de ayudar a mejorar Iceweasel sin ser desarrollador:

También hay muchas maneras de ayudar siendo desarrollador ;).

En todos estos casos, te interesará contactar con la lista de pkg-mozilla-maintainers

Así que ya sabéis, yo colaboro en lo que puedo reportando algún bug caso de que vea un fallo o algo susceptible de mejora, pero quizás seguro a ti se te da mejor el diseño que a mi y te atrevas con el nuevo logo, si te animas a apoyar a Iceweasel en la medida de tus posibilidades todos te lo agradeceremos -;).

Tags: , , , , , ,


Nov 18 2009

Metasploit Framework 3.3 Released ya disponible (un año después-;).

btMe acaba de llegar desde su feed la noticia de que la versión 3.3 de Metasploit Framework acaba de ser liberada. Esta potente herramienta de seguridad (e IN-seguridad) incluye 446 exploits, 216 módulos auxiliares y cientos de “payloads“.

Han solventado 180 bugs desde la versión 3.2 que data de Noviembre del año pasado y se incluye soporte para NX, DEP, IPv6 y Windows 7. Os recuerdo que Metasploit es compatible con todas las plataformas y versiones de sistemas operativos actuales (GNU/Linux, BSD, Mac OS X, Windows, etc), incluso corre bajo Android o un iPhone.

Sed buenos, tiene muy buena pinta la verdad -;).

Anuncio original | Descarga | Info instalación todas las plataformas.

Tags: , , , , , , ,


Jul 20 2009

Firefox 3.5 y su “semana negra” (versión 3.5.1 también vulnerable)

Category: Firefox | Iceweasel,Mi Opinión,Tecnologíadabo @ 12:15 am

mozilla-firefoxEstos días, la portada de Daboweb parece un “especial Firefox 3.5x” y es que llevamos una semana a vueltas con bug grave para versión 3.5, poco después versión de mantenimiento 3.5.1 que lo solventa y nueva vulnerabilidad para la versión 3.5.1 recién estrenada…

Esta claro que no corren buenos tiempos para nuestro querido zorro rojo, la versión 3.5x no empieza con buen pie, pero podéis estar (relativamente) tranquilos porque estoy convencido de que pronto será parcheado el bug que afecta a la 3.5.1.

Yo además, siempre prefiero “jugármela” con software libre donde te enteras de lo que hay y la propia comunidad se pone rápidamente manos a la obra para mejorar el software.

Mientras tanto precaución cuando se navega por lugares que no sean de confianza, esto aplicable también a los vínculos que os llegan vía e-mail o en los que se pincha en redes sociales, foros, etc.

Este último bug no es solventado en su totalidad por la más que recomendable extensión de Firefox – Iceweasel “NoScript” creada por Giorgio Maone, pero mejor que nada es. Con NoScript los primeros días puede que te agobies un poco configurando los sitios web de confianza y donde dejas que se ejecuten scripts en diferentes formatos, (Javascript, Flash con actionscript, o Java) pero es la manera ideal de estar protegido además frente a vulnerabilidades que aún no han sido reportadas y que suelen tener al motor de Javascript o su ejecución como protagonista.

Tags: , , , ,


Mar 18 2009

Publicado en Daboweb, primera quincena de Marzo

Category: Otras Webs | Blogsdabo @ 1:33 am

Recopilatorio de entradas publicadas en Daboweb estas pasadas semanas. Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas.

Revista Foto DNG nº 31, descarga disponible en PDF

Actualizaciones de Microsoft Marzo 2009

Vulnerabilidad en Djbdns, (primera en años). Dan Bernstein pagará los 1000 $…

PHP 5.2.9, solventa 50 bugs en versiones 5.2.x. Urge actualizar

Cuentas de Spotify (música online) comprometidas

Firefox 3.0.7 Actualización de seguridad

Vulnerabilidad CSRF en Galerías Coppermine, actualización urgente

Alarga la vida y duración de la batería de tu MacBook (Battery Update 1.4)

Resumen de contenidos publicados en Daboweb (Febrero 2009)

Tags: , ,


« Página anteriorPágina siguiente »