0-day en Internet Explorer: Detrás de los ataques a grandes compañías

Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque “altamente sofisticado” de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando, que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos.

En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail que han estado siendo accedidas de forma ilícita durante cierto tiempo, relacionadas con activistas pro derechos humanos en China de varios continentes.

Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras.

McAfee y la “Operación Aurora”
Dentro del marco de investigación conjunta de las compañías afectadas y entidades públicas, los laboratorios de McAfee han analizado varias muestras de malware involucrado en los ataques. De esta forma descubrieron en uno de los ejemplares una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario.

En detalles sobre el ataque, McAfee sospecha que han sido planeados sobre objetivos muy concretos, en particular, personal con acceso a propiedad intelectual valiosa y con métodos de ingeniería social para garantizar el éxito de la infección.

Acerca del malware, utiliza un abanico de vulnerabilidades 0-day. En este punto, McAfee aclara que no han encontrado evidencias hasta el momento sobre un posible y nuevo 0-day en el lector de Adobe, tal como se ha estado especulando en los medios. Tras explotar una de estas vulnerabilidades instala un mecanismo de puerta trasera que permite a los atacantes acceder y controlar el equipo infectado.

Respecto del mediático nombre de “Operación Aurora”, se debe a que el nombre “Aurora” aparece como parte en una ruta de archivo que McAfee halló en dos de los binarios analizados y que presumiblemente, según McAfee, sería el nombre con el que el atacante bautizó la operación.

Microsoft y el 0-day
Poco después, la reacción de Microsoft no se hizo esperar y ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer. Que permite, bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto. Está vulnerabilidad puede ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada para este fin.
Las versiones afectadas son la 6, 7 y 8 en los sistemas operativos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008.

Más Información:
Googleblog – A new approach to China
http://googleblog.blogspot.com/2010/01/new-approach-to-china.html
Operation “Aurora” Hit Google, Others
http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/
Microsoft Security Advisory (979352)
http://www.microsoft.com/technet/security/advisory/979352.mspx
MSRC Blog – Security Advisory 979352 Released
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx

Fuente: Hispasec

Read More

Sobre la última vulnerabilidad de Internet Explorer: consejos prácticos para usuarios

Lo que comenzó siendo un affaire entre Google y China va tomando dimensiones cada vez más relevantes. Aunque aparentemente sólo Google y Adobe Systems han confirmado oficialmente haber sufrido ataques especialmente dirigidos al robo de propiedad intelectual, la lista de empresas notorias afectadas parece contener otros selectos miembros entre los que se se podrían encontrar Symantec, Yahoo! y Dow Chemical, entre un total de 34 organizaciones.

Entre tanto, los responsables del producto siguen sin tener claro cómo atajar el problema, motivo por el que empiezan a oirse voces relevantes, como la del propio Gobierno alemán, que dice lo que nadie se atreve a decir: en estos precisos momentos, el consejo a dar a los usuarios de Internet Explorer es dejar de usarlo hasta que las condiciones de seguridad estén mínimamente garantizadas para los usuarios.

Para poner las cosas todavía más difíciles, apuntan en ISC SANS que el código ha sido finalmente publicado, y que el origen del problema es una vulnerabilidad en mshtml.dll, componente del navegador encargado de renderizar las páginas en Internet Explorer. Este código malicioso funciona plenamente en Internet Explorer 6, pero que en caso de tener Data Execution Protection (DEP) activado para el navegador, parece que el exploit no ejecuta código en las versiones 7 y 8.

Como es habitual una vez que un exploit es liberado públicamente, ha faltado poco para que los chicos de Metasploit incluyan el código en sus herramientas para que los responsables de seguridad puedan evaluar en cada caso particular si sus sistemas están afectados.

Consejos prácticos para usuarios
Orientativamente, porque siempre puede haber despliegues en los que DEP esté descativado para Internet Explorer, este modelo de protección fue introducido en Windows XP Service Pack 2, aunque desde estas líneas invito a los lectores a usar Metasploit para verificar su estado de vulnerabilidad. Aquellos que no tengan el conocimiento suficiente, deberían intentar consultar la tabla ofrecida por el fabricante, en la que se consideran vulnerables las combinaciones Windows 2000 y Windows XP con Internet Explorer 6, y potencialmente vulnerables las instalaciones de Windows XP e Internet Explorer 7.

De todos modos, todo lo anterior está condicionado a que DEP para Internet Explorer esté activado, y eso sólo ocurre por defecto en Internet Explorer 8 que corran bajo XP Service Pack 3, Windows Vista Service Pack 1 y superiores, así como en Windows 7. A modo de resumen, toma nota de las siguientes recomendaciones:

  • Si careces de conocimiento técnico suficiente o tienes dudas, no utilices Internet Explorer. Haz uso de un navegador alternativo hasta que el fabricante distribuya un parche para su problema. Deberías recibir un aviso de la disponibilidad del parche en las actalizaciones de Windows (las cuales espero tengas activadas en modo automático). ¿Cuándo sucederá esto? No lo sé, como muy tarde, debería distribuirse el parche antes del próximo 12 de febrero, en el ciclo de actualizaciones mensual de Microsoft, aunque no es descartable que la solución esté disponible antes.
  • Si tienes conocimiento suficiente y quieres/necesitas Internet Explorer, habilita DEP para el navegador, y deshabilita el soporte para JavaScript en Internet Explorer (advertencia, esto tiene un impacto elevado en el funcionamiento de la mayoría de los sitios). Siempre que la compatibilidad con tus sitios Web y aplicaciones te lo permitan, trata de que el producto esté lo más actualizado posible, lo que significa especialmente alejarse de Internet Explorer 6.

Señoras y señores: lo de Google es sólo la punta del iceberg. El amigo George Kurz está haciendo un seguimiento en vivo en Twitter más que recomendable al hilo de este enorme problema que puede tener implicaciones mucho más severas que las que hoy en día conocemos.

Un saludo, y no dejéis de comentar vuestras dudas.

Fuente: Blog de Sergio Hernando

Read More

Nueva tecnología combate la pornografía infantil mediante la identificación de su “DNA Fotográfico”

Con el fin de combatir la distribución de imágenes de explotación infantil, Microsoft dona la tecnología PhotoDNA al Centro Nacional para Menores Desaparecidos y Explotados.

— La mayoría de la gente nunca estará expuesta a fotografías de niños que están siendo abusados sexualmente por depredadores, pero las imágenes de esos abusos se pueden encontrar en los oscuros rincones del mundo en línea, donde las redes de violadores de niños y de consumidores de pornografía infantil producen y distribuyen fotografías de niños victimizados.

El pasado 15 de diciembre Microsoft donó una nueva tecnología al Centro Nacional para Menores Desaparecidos y Explotados (NCMEC), que tiene el potencial de marcar una diferencia drástica en la lucha contra la distribución de pornografía infantil por el Internet.

Christian Linacre, Gerente de Seguridad y Privacidad para Microsoft Latinoamérica, explica que los proveedores de servicios en línea están obligados por ley a reportar dichas imágenes cuando las encuentran. “Pero sólo algunos proveedores las buscan activamente en sus servicios en parte debido a los retos tecnológicos que representa identificar dichas imágenes de forma confiable de entre los millones de fotografías que se comparten cada día, y debido a que las fotografías se vuelven difíciles de identificar cuando se alteran incluso de la manera más sencilla”.

Para resolver este problema, Microsoft Research creó una tecnología llamada PhotoDNATM que permite calcular la firma digital única. “PhotoDNA permite calcular el “ADN”, por así decirlo, de cualquier imagen y después hacer coincidir dicha firma con la de otras fotografías”, explica Linacre. “La técnica de “hashing robusto” de PhotoDNA es diferente a otras tecnologías hashing comunes ya que no requiere que las características de la imagen sean totalmente idénticas para encontrar imágenes que coincidan, permitiendo ser identificadas incluso cuando las fotografías han cambiado de tamaño o han sido alteradas”.

La tecnología PhotoDNA, fue creada en un principio por Microsoft Research y más tarde perfeccionada por Hany Farid, experto en imágenes digitales y profesor de ciencias de la computación en Dartmouth College, para ayudar al NCMEC en sus esfuerzos de encontrar copias ocultas de las peores imágenes de explotación sexual infantil conocidas hasta la fecha.

Ernie Allen, presidente y CEO del NCMEC, afirma que el problema de la pornografía infantil había quedado resuelto a finales de los años 80, ya que el Tribunal Superior de E.U.A. declaró que no se trataba de libertad de expresión, sino que constituía abuso infantil. Las autoridades ya habían desarticulado su distribución e importación. Pero entonces llegó el Internet.

“Hace 20 años pensábamos que este problema había desaparecido”, dice Allen. “Aunque maravilloso y poderoso, el Internet ha creado una oportunidad para que las personas se relacionen con otras que comparten sus mismos intereses y accedan, en la privacidad de sus hogares, a contenido que antes representaba un riesgo salir a las calles a comprar”.

En la actualidad, comenta Allen, el problema se está agravando. Desde el 2003, el NCMEC ha revisado y analizados unos 30 millones de imágenes y videos de pornografía infantil. Dichas fotografías de abuso sexual se confiscan de pedófilos que venden las imágenes ilegales y forman comunidades que refuerzan su interés común en los niños.

Allen afirma que la línea cibernética de denuncias del NCMEC ha atendido 750,000 informes de explotación sexual infantil y pornografía infantil recibidos del público y de proveedores de servicios de Internet. “Revisamos 250,000 imágenes a la semana”, dice Allen. “Eso significa que se trata de un problema masivo”.

PhotoDNA identifica el tráfico

El NCMEC ha trabajado con las autoridades para identificar muchas de las peores imágenes de abuso y explotación sexual infantil. Conforme pasan de pedófilo en pedófilo, muchas de esas imágenes surgen en repetidas ocasiones durante las investigaciones de pornografía infantil. “Nuestro objetivo es detener la victimización”, comenta Allen. “Con PhotoDNA podremos comparar esas imágenes y trabajar con los proveedores de servicios de Internet de todo el país para detener la redistribución de las fotografías”.

La base de PhotoDNA consiste en una tecnología llamada “hashing robusto” que calcula las características particulares de una imagen digital específica —su huella digital o “valor hash”— para compararla con otras copias de la misma imagen. “Al igual que los humanos, cada fotografía es un poco diferente”, dice Allen.

El punto débil en las formas más comunes de la tecnología de hashing es que una vez que una imagen digital se altera en cierto modo —ya sea cambiar su tamaño, volver a guardarla en un formato distinto o editarla digitalmente— su valor hash original es reemplazado por un hash nuevo. La imagen puede parecer idéntica para quien la ve, pero no existe manera alguna de comparar una fotografía con otra a través de sus hashes.

Al trabajar junto con el NCMEC, los investigadores de Microsoft se percataron de ese punto débil en la detección del valor hash y decidieron superar el obstáculo en la identificación de imágenes de abuso. Fue entonces cuando la compañía trabajó con Hany Farid, un notable experto en tecnología digital forense de Dartmouth.

“Todos sabemos que las imágenes digitales, el sonido y el video se pueden manipular. Lo que nosotros hemos estado intentando hacer es restaurar la confianza en esos medios. Ese ha sido el principal enfoque en mi laboratorio de Dartmouth”, comenta Farid.

Microsoft Research creó la tecnología detrás de PhotoDNA y luego colaboró con Farid para desarrollar aún más la tecnología y proporcionarla al NCMEC y a los proveedores de servicios de Internet.

Una niñez para cada niño

Todos pueden ayudar en la lucha contra la pornografía infantil. Microsoft y el Centro Nacional para Menores Desaparecidos y Explotados (NCMEC) están pidiendo a todos los interesados en participar que actualicen su página Windows Live, su página en Facebook, su página en Twitter, su blog o cualquier otro sitio web, y sigan la instrucciones en http://www.microsoftphotodna.com. Ayúdenos a contar una historia positiva y a enviar el mensaje de que juntos podemos marcar la diferencia a favor de las jóvenes víctimas de estos crímenes.

Farid afirma que otro reto para la tarea del NCMEC consiste en encontrar las imágenes entre miles de millones de fotografías flotando por el Internet. Sin embargo, asegura que la capacidad de PhotoDNA de automatizar la búsqueda ayudará también al NCMEC y a los proveedores de servicios de Internet a superar ese obstáculo. Debido a que la cantidad de datos en PhotoDNA es pequeña, permite buscar entre conjuntos de datos grandes para hallar coincidencias con rapidez.

“Si colocara frente a usted unos cuantos miles de millones de imágenes y le pidiera que me proporcionara las que son inapropiadas se daría cuenta de la magnitud del problema”, dice Farid. “Es por eso que hemos estado desarrollando una tecnología capaz de seleccionar las imágenes inapropiadas entre un mar de miles de millones en una forma muy rápida y confiable”.

Nuevas pistas para las agencias policíacas

Una vez que el NCMEC asigna firmas de PhotoDNA a las imágenes conocidas sobre abuso, esas firmas se pueden compartir con los proveedores de servicios de Internet, quienes las comparan con los hashes de las fotografía en sus propios servicios, encuentran copias de las mismas fotografías y las retiran. Asimismo, al identificar copias previamente “invisibles” de fotografías no identificadas, las agencias policíacas obtienen nuevas pistas que ayudan a localizar a los delincuentes.

“El NCMEC está equipado para ofrecer la herramienta PhotoDNA a las agencias policíacas, los proveedores de servicios de Internet y otros que trabajan con el Centro para impedir a los depredadores utilizar el Internet para explotar a niños o traficar con pornografía infantil”, comenta Allen.

Brad Smith, abogado general de Microsoft, afirma que la compañía trabajará para implementar PhotoDNA en los próximos meses en ciertos servicios de Internet como Bing y Windows Live, además de que colaborará con otros proveedores de servicios de Internet que buscan ayudar a detener la distribución de esas fotografías en línea.

“Consideramos que la capacidad de actuar con rapidez y mejorar nuestra eficacia puede marcar una diferencia real en la solución de este problema”, asegura Smith. “Esta es una oportunidad para que la comunidad tecnológica se asocie con el Centro Nacional para Menores Desaparecidos y Explotados y juntos utilicen esta tecnología. Si unimos nuestros esfuerzos podemos causar un impacto mucho más grande”.

-Por PC World LA

Fuente: PC World En Español

Read More

Después de un de año: 7 millones de infecciones de Conficker

El gusano Conficker ha pasado un hito dudoso. Probablemente ha infectado a más de 7 millones de computadoras.

Los investigadores en la fundación Shadowserver Foundation catalogaron computadoras con más de 7 millones de direcciones IP únicas, todas infectadas por las variantes conocidas de Conficker.

Aunque Conficker es un gusano bien conocido, sigue infectando PC. Los expertos de seguridad lo notaron por primera vez en noviembre del año 2008, pero es notablemente elástico y hábil para volver a infectar sistemas incluso después que el software antivirus lo ha quitado.

Los miembros del Conficker Working Group, una coalición de la industria establecida el año pasado para lidiar con el gusano, sospechan que muchas de las PC infectadas tienen copias ilegales de Windows y por lo tanto no pueden descargar las correcciones parciales ni la Malicious Software Removal Tool de Microsoft, habilitado para erradicar la infección.

Curiosamente, los criminales que controlan Conficker rara vez lo han usado. Algunos miembros de la CWG creen que el autor del gusano no quiere atraer más atención, dado su éxito abrumador en infectar computadoras.

“Lo único que se me ocurre es que la persona que lo creó está asustada”, dice Eric Sites, CTO de Sunbelt Software y un miembro del grupo de trabajo. “Esta cosa ha costado tanto dinero a la gente y a las compañías, que si alguna vez encuentran a los responsables van a pasar mucho tiempo en la cárcel”.

El costo del gusano sería aún mayor si Conficker hubiera sido utilizado para desatar un ataque distribuido de negativa de servicio, por ejemplo. Con una botnet de tal magnitud disponible para cumplir las órdenes de su dueño, dicen los expertos, es difícil identificar un límite al daño potencial.

-Robert McMillan

Fuente: PC World En Español

Read More

Samsung lanza su tarjeta más densa de memoria móvil

Las nuevas tarjetas de 64GB y 32GB usan la nueva tecnología litográfica de 30 nanómetros de Samsung.

Samsung anunció hoy dos nuevos módulos de memoria de alta densidad para dispositivos móviles que duplican la capacidad de sus anteriores tarjetas digitales seguras de alto nivel (microSD).

La nueva unidad de almacenamiento incluye un módulo de memoria empotrado moviNAND de 64GB y una tarjeta removible de memoria microSD de 32GB.
Las nuevas tarjetas de memoria están basadas en los chips de memoria flash 32Gbit NAND de Samsung, las cuales usan la tecnología litográfica de 30 nanómetros. El módulo de memoria 64GB moviNAND mide 1,4 milímetros de alto, contiene 16 chips flash y un controlador. La nueva memoria moviNAND también está disponible en densidades de 64GB, 32GB, 16GB, 8GB y 4GB.

La tarjeta microSD de 32GB, desarrollada este mes, usa ocho chips flash 32Gbit NAND y un controlador. Previamente, la más alta densidad de una tarjeta microSD en producción tenía una capacidad de 16GB y estaba basada en la tecnología de litografía de 40 nanómetros. La nueva tarjeta de 32GB tiene solo un milímetro de grosor y la porción de la tarjeta que está inserta en un dispositivo móvil de mano mide solo 0,7 milímetros de alto.

“Las soluciones de memoria de alta densidad de Samsung llevan los niveles de capacidad de almacenamiento de los sistemas computaciones a dispositivos móviles más pequeños”, dijo en un comunicado Dong-Soo Jun, vicepresidente ejecutivo de mercadeo de memoria para Samsung Electronics.

Samsung comenzó la producción en masa de su nueva 64GB moviNAND en diciembre. El módulo ahora se está despachando a fabricantes de dispositivos móviles. La tarjeta microSD de 32GB ya está de muestra con OEMs y se espera que esté en producción masiva el mes entrante.

Lucas Mearian cubre almacenamiento, recuperación de desastres y continuidad de negocios, infraestructura de servicios financieros y cuidados de salud en IT para Computerworld. Siga a Lucas en Twitter en @lucasmearian, escríbale un correo a lmearian@computerworld.com o suscríbase al servicio de RSS de Lucas.

-Por Lucas Mearian

Computerworld (US)

FRAMINGHAM

Fuente: PC World En Español

Read More

LG Display desarrolla pantalla flexible para periódicos electrónicos.

La pantalla es del tamaño de un periódico tabloide.

LG Display ha desarrollado una pantalla flexible de papel electrónico que tiene casi el largo de un periódico tabloide, dijo el jueves.

La pantalla mide 25 por 40 centímetros, lo cual se traduce en una pantalla de 19 pulgadas en diagonal y de 0,3 milímetros por lo que también se puede doblar. LG Display pudo hacerla flexible al utilizar un metal fósil en lugar del más tradicional sustrato de vidrio. La compañía surcoreana dijo que la pantalla es tan larga como otra de papel electrónico que ya había producido.

El papel electrónico ya se ha puesto en uso en lectores electrónicos como los dispositivos Kindle de Amazon y el Reader de Sony. Tiene un radio de alto contraste para hacer fácil el leer a luz ambiente por lo que no causa daño a los ojos durante periodos prolongados de tiempo. Adicionalmente, solo requiere energía cuando la pantalla se refresca por lo que los dispositivos de papel electrónico típicamente tienen una batería de larga vida.

Los desarrolladores están buscando pantallas flexibles de papel electrónico como una posible base para periódicos en el futuro. Tales periódicos se podrían actualizar regularmente con las últimas noticias, no requieren la impresión o distribución de un periódico físico y contienen imágenes y video.

LG Display dijo que planea comenzar la producción en masa de una pantalla flexible de papel electrónico de 11,5 pulgadas en la primer mitad del año. Los detalles de precios para la nueva pantalla no fueron anunciados.

-Por Martyn Williams
IDG News Service
TOKYO

Fuente: PC World En Español

Read More