Realmente un gusto leerlos!
Y felicitaciones por el premio al mejor Blog de seguridad informática 2010.
Guillermo Monnereau
lunes, 23 de mayo de 2011
Según Sophos, Microsoft falsea datos de seguridad
Es lo que afirma un analista de seguridad. Microsoft ha declarado que los ataques de bloqueo a Internet Explorer 9 no están aumentando, sin embargo, un investigador de Sophos afirma justo lo contrario.
“Están mostrando únicamente la mitad de la ecuación”, ha declarado Chet Wisniewski, un investigador de seguridad de Sophos, según informaciones publicadas por PC World Profesional. “Ponen gran cantidades de números para hacer ver que son “científicos”, pero plantean más preguntas que respuestas. Así que, ¿dónde está el truco?”
Wisniewski reaccionó así a la publicación de un post por parte de Jeb Haber, el responsable de la tecnología SmartScreen de Microsoft. En su post, Haber citaba una gran cantidad de estadísticas para mostrar cómo IE9, que ahora incluye una nueva característica, llamada SmartScreen Application Reputation, ha bloqueado un significativo número de intentos de descargas maliciosas antes de que alcanzaran equipos con Vista o Windows 7.
Entre los principales puntos señalados por Haber destaca que los datos de Microsoft mostraban que una de cada 14 descargas por los usuarios de Windows es maliciosa y por tanto, bloqueada por IE9.
Microsoft también ha explicado que la Reputación de Aplicaciones de Internet Explorer 9 o “App Rep” frustra los ataques de ingeniería social, aquellos que se basan en engañar a los usuarios para que se descarguen e instalen un archivo peligroso que contenga código que comprometa un equipo y lo infecte con malware.
“Microsoft está comparando manzanas con… nada”, ha declarado Wisniewski. Ya que IE9 no es capaz de bloquear ataques de este tipo de software como Adobe Reader y Flash, el iTunes de Apple o el Java de Oracle, los datos de Microsoft no muestran una imagen real de lo que ocurre.
“¿Dónde están los números de los exploits?”, se pregunta Wisniewski, refiriéndose a los ataques, habitualmente producidos no a través de descargas, sino ataques dirigidos que dejan en evidencia vulnerabilidades en el propio software de Microsoft o en programas de terceros. El resultado es, por tanto, una imagen parcial, que Microsoft ha presentado como estrategia de relaciones públicas, cree Wisniewski.
“No están comparando sus datos con los ataques actuales, así que parece que nos están engañando”. Wisniewski también señala los fallos en el bloqueo de descargas de Internet Explorer 9, utilizando sus propias estadísticas para respaldar esta tesis.
Haber escribió que el 90 por ciento de todas las descargas no desencadenan una alerta de IE9, pero que una de cada diez descargas sí lo hacen, “la tasa de falsos positivos”, lo que significa que el aviso era erróneo, y que se sitúa entre el 30 y el 75 por ciento. “Si eso es cierto, ¿continuarás prestando atención a los avisos?”, plantea Wisniewski. “La gente puede acabar harta de esto, igual que les ocurría con los avisos en Vista”.
App Rep de IE9, utiliza los elementos que identifican los contenidos de los archivos y su certificado digital para determinar si es una aplicación conocida con una reputación ya establecida. Si el algoritmo de App Rep clasifica al archivo como desconocido, quizá porque el valor hash no ha sido visto hasta entonces, IE9 muestra un aviso cuando los usuarios intentan poner en marcha o guardar el archivo.
Desde el punto de vista de Wisniewski, ese planteamiento es un problema. “La cuestión con la firma de código es que vemos regularmente que se abusa de él”. Un ejemplo de esto es el gusano Stuxnet. Además, el software legítimo puede caer en este problema cuando aún no ha sido “aprobado” por Microsoft, lo que podría confundir a los usuarios. “Me encanta la idea del bloqueo basado en la reputación”, reconoce Wisniewski, quitándose el sombrero ante Microsoft e Internet Explorer 9 por “intentar ir más allá con App Rep”. “Estamos haciendo todo lo que podemos desde el lado de la reacción. Pero desde su punto de vista, Microsoft ha perdido una oportunidad proclamando unas cifras que solamente reflejan la mitad de la historia. “Nos han mostrado la mitad de la foto”.
Fuente: www.csospain.es
Guillermo Monnereau
Sourcefire IPS
| Dear Guillermo Monnereau, |
Your Sourcefire IPS is designed to defend your network from today’s most sophisticated threats. But a network IPS is but one piece of your organization’s IT security puzzle. With some organizations generating millions or even billions of events per day from best-of-breed endpoint and network security solutions, distilling that data down to priority offenses can be a daunting task. Join cybersecurity experts from Sourcefire and Q1 Labs to learn how to glue all of the pieces of your IT security puzzle together into a single, manageable framework for defending your network and achieving your compliance goals. In this webinar, you will learn:
Thanks you very much, i'm honored. Guillermo Monnereau |
Denegación de servicio a través de los controladores Intel 10 Gigabit Ethernet 82598 y 82599
Intel ha publicado una actualización de los controladores de los dispositivos Intel 10 Gigabit Ethernet 82598 y 82599 que solucionan un problema de seguridad.
El fallo, del que no se han dado a conocer detalles específicos, podría permitir a un atacante remoto causar una denegación de servicio a través del envío de un paquete especialmente manipulado.
Las actualizaciones publicadas están disponibles para la plataforma Windows y se pueden encontrar en el apartado de más información.
Los adaptadores afectados para Intel 10 Gigabit Ethernet 82598 son:
* E10G42AFDA (Dual SFP+ Copper)
* E10G41AT2 (Single RJ45 Copper)
* EXPX9502CX4 (Dual CX4 Copper)
* EXPX9501AFXSR (Single SR Fiber)
* EXPX9502AFXSR (Dual SR Fiber)
* EXPX9501AFXLR (Single LR Fiber)
Los adaptadores afectados para Intel 10 Gigabit Ethernet 82599 son:
* X520-DA2 (Dual SFP+ Copper)
* X520-T2 (Single RJ45 Copper)
* X520-SR1 (Single SR Fiber)
* X520-SR2 (Dual SR Fiber)
* X520-LR1 (Single LR Fiber)
Más información:
Intel Ethernet 82598 and 82599 10 Gigabit Ethernet Controller Denial of Service.
Actualización
Guillermo Monnereau
domingo, 15 de mayo de 2011
Los virus informáticos más dañinos de la historia
Los virus informáticos más dañinos de la historia
Conoce alguno de los virus informáticos que han marcado la historia de la computación.
- CIH
Puso en jaque en 1998 a los computadores equipados con el sistema Windows 95, 98 y Me. Se estima que monetariamente generó daños que van entre los 20 y 80 millones de dólares.
También conocido como Chernobyl, fue puesto en marcha en Taiwán y es famoso por ser uno de los virus más dañinos de la historia.
Atacaba los días 26 de cada mes los archivos ejecutables y se activaba al quedar almacenado en la memoria.
Tenía la capacidad de sobrescribir información en el disco duro, por lo que podía dejar inoperativo el PC.
- Melissa
Atacó en 1999 y generó daños estimados entre 300 y 600 millones de dólares.
El virus usaba el sistema de gestión de correos Outlook para auto enviar a 50 direcciones de correo con un email que decía: "Here is that document you asked for...don't show anyone else. ;-)," ("Aquí esta el documento que solicitó. No se lo muestre a nadie más") e incluía un documento Word adjunto. Al abrirlo, el Virus infectaba el PC y se repetía el proceso.
Se trata del primer virus que se propagó vía correo electrónico y se estima que el script macro de Word infectó al 20% de todos los PC de escritorio existentes en el mundo.
Su violencia provocó que Intel y Microsoft tuvieran que cerrar todos sus servidores de correo electrónico.
- I LOVE YOU
El 3 de mayo el virus fue detectado en Hong Kong y generó daños estimados entre 10 a 15 billones de dólares.
Se transmitía vía email con la descripción "ILOVEYOU" y un archivo adjunto que decía "Love-Letter-For-YOU.TXT.vbs" ("Carta-de-Amor-Para-Ti.TXT.vbs").
Al infectar el PC, se transmitía a todos los contactos del Outlook de ese equipo.
Se almacenaba en archivos de música, imágenes y otros. Lo más grave es que buscaba identificación del usuario y sus passwords y las enviaba al creador del virus.
Code Red
Fue puesto en circulación el 13 de julio de 2001 y generó perdidas estimadas en 2,6 billones de dólares.
Fue dañino porque atacaba a los computadores que utilizaban el servidor web de Microsoft.
Una vez infectado el servidor, el sitio web controlado por éste mostraba el mensaje, "HELLO! Welcome to http://www.worm.com! Hacked By Chinese!" ("HOLA! Bienvenido a http://www.worm.com! Hackeado por un chino!"). Luego, el virus buscaba otros servidores vulnerables y los infectaba.
Blaster
Afectó a cientos de miles de computadores y generó un daño estimado entre 2 a 10 billones de dólares.
Se transmitía vía internet y atacaba una vulnerabilidad de Windows 2000 y XP. Cuando se activaba, mostraba una ventana que anunciaba que el equipo se iba a apagar.
Sasser
Comenzó a expandirse el 30 de abril de 2004 y su poder logró apagar el satélite de comunicaciones de algunas agencias noticiosas francesas.
A diferencia de los típicos gusanos que se expandía por mail, Sasser no requería la interacción del usuario. Aprovechaba una vulnerabilidad de Windows, volviendo el sistema inestable.
El fue escrito por un estudiante alemán de 17 años, el cual publicó el gusano cuando cumplió los 18.
Suscribirse a:
Entradas (Atom)