Existen fiestas que se esperan con muchas ganas, y una vez que llegan deseamos que jamás terminen para no tener que esperar hasta la próxima. Esta sensación es la que se vive año tras año con Ekoparty, el evento de seguridad informática de habla hispana, a nivel técnico el más importante de la región. El mismo es realizado anualmente en Buenos Aires, Argentina; y reúne a cientos de profesionales del mundo de la seguridad.

Pero además de ser un evento, Ekoparty es un punto de encuentro, una posibilidad de actualización, una oportunidad de conocer nuevos colegas, y mucho más. Cada año la fiesta se renueva, y este año en particular lo hizo con algunas controversias. Si bien en cada nueva edición se anuncian las novedades del sector en su aspecto más técnico (y también podríamos decir más underground) esta vez para algunos se cruzó indebidamente una línea, ya que dos especialistas anunciaron en una de las últimas conferencias, una vulnerabilidad del tipo 0-day (zero day). Una vulnerabilidad 0-day se considera a aquella para la cual existe un exploit pero no una solución. En este caso se trata nada más y nada menos que de Microsoft. Al existir una vulnerabilidad desconocida aún por la empresa de software, los clientes están desprotegidos frente a ataques que se aprovechen de dicho bug. Ahora bien, esto no hubiera sido tan grave si además no hubiera existido un exploit 0-day, es decir, un programa que permite aprovechar dicha vulnerabilidad. Y peor aún, tampoco hubiera sido tan grave si no se hubiera distribuido el exploit entre los asistentes.

Este tema suele resultar álgido a la hora de definir lo que es correcto o no lo es, por lo que un breve análisis nos puede permitir arrojar algo de luz sobre la situación. Veamos: un especialista encuentra una nueva vulnerabilidad y puede reportarla o no al fabricante. Si la reporta, el fabricante puede decidir resolverla en un determinado momento y negociar con el especialista por haberla reportado, o bien puede hacer caso omiso, ignorando la problemática o minimizándola. Si no la reporta, existirá una nueva vulnerabilidad que solo conoce el descubridor, pero si éste la publica, pasa a ser conocida por todos, incluido el fabricante, en el momento que lo hace público. Este último escenario es el peor de todos para lo que a los usuarios se refiere, ya que las empresas y organizaciones que están afectadas por la vulnerabilidad anunciada, pasan a estar expuestos a los ataques de cualquiera que sepa como hacerlo, dado que el mismo es público. Por su parte el fabricante debe apurar sus procesos para liberar un parche, y es probable que dada la velocidad a la que lo hará para evitar mayores inconvenientes, no pueda cumplir con los mismos estándares de calidad que si el error hubiera sido anunciado de otra manera.

Ver m�s… »

Categories: Eventos
4 Comments »

En el día de ayer Twitter se vio afectado por una importante vulnerabilidad en su plataforma twitter.com, de la cual muchos blogs y sitios web, además de medios off line, se han hecho eco. Como ya hemos comentado acá, la tendencia al hackarillismo muchas veces atenta contra la claridad con la que se entienden muchos ataques, y por eso es bueno dejar en claro qué fue lo ocurrido, para aquellos usuarios que aún tengan dudas al respecto.

¿Cómo funcionaba el ataque?

Se trata de un ataque de Cross Site Scripting, más conocido como XSS, por el cual era posible ejecutar código JavaScript en los equipos de las víctimas a través de la publicación de tweets especialmente diseñados para explotar la vulnerabilidad.

¿Cuál era el impacto del ataque?

Cuando el usuario era víctima podían ejecutarse diversos códigos, aunque en su mayoría se trató de publicación de tweets, muchos de ellos con colores especiales o mensajes llamativos o la apertura de ciertos sitios web en el navegador.

¿Cómo se podía proteger el usuario?

Mientras estuvo vigente la vulnerabilidad, la única solución era no utilizar el sitio web de Twitter.com, y hacer uso del servicio sólo a través de las aplicaciones de escritorio o móviles.

¿Está solucionado?

Sí, Twitter solucionó el inconveniente cinco horas después de haber sido publicado, y un par de horas más tarde hizo los ajustes finales. Es decir que el tiempo de vida del ataque fue corto, y ya no hay de qué preocuparse.

¿Twitter ya sabia del ataque?

Sí, la propia empresa se encargó de afirmar que recibieron el reporte hace un mes, que lo habían arreglado pero en recientes modificaciones del sitio web el mismo resurgió.

¿Hubo muchos afectados?

A pesar de que hubo miles de mensajes que se propagaron, la mayoría de ellos no tuvieron impactos importantes en los usuarios. No se detectaron casos de ejecución de código ni ataques masivos exitosos.

¿Se trata de un gusano informático?

No, aunque algunos usuarios habrán leído esa información, se trata de un ataque XSS que tiene la característica de replicarse automáticamente con la publicación de tweets sin que el usuario lo note, ya que utiliza la función onmouseover que permite ser “retwitteada” sólo al pasar el mouse por encima. Por esta característica de propagar el ataque de forma automática es que muchos lo han asemejado a un gusano informático, pero no es un software (una aplicación) por lo que este ataque no debe ser considerado malware.

Espero que con estas dudas quede bien resumido el incidente sufrido ayer que, por tratarse de un servicio con millones de usuarios como Twitter logró hacer más ruido, pero que a la vez es un XSS más de los miles que se observan periódicamente.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Alertas
8 Comments »

Al parecer la red de microblogging mas popular enfrenta una batalla que suena repetida y asegura una semana agitada para los especialistas. Así es, otra falla de seguridad obliga a los usuarios de Twitter a prestar especial atención y tomar medidas preventivas hasta tanto el sitio resuelva el problema.

Luego de que se conociera a principios de septiembre una importante falla en Twitter que permitía robar las credenciales de autenticación de los usuario mediante un vínculo que explota una falla de XSS (cross-site scripting), los problemas regresan para festejar el equinoccio.

Y es que la falla hace que al utilizar Twitter vía web, lleguemos a ver en nuestro timeline manchas de colores y letras gigantes. Esto se debe a una vulnerabilidad en Twitter mediante la cual al pasar el puntero del mouse por encima (onmouseover) de un tweet especialmente armado, se lanza un script que hace que por ejemplo, el vínculo malicioso se retwittee a todos los contactos. También podría resultar que un usuario que visita un perfil se le abra una ventana emergente (pop-up), lo cual podría permitir a un atacante dirigir al usuario a un sitio con contenido malicioso.

Cabe aclarar que la naturaleza de difusión viral de esta falla no la transforma en un virus, sino que no deja de ser un clásico error de XSS, semejante en este caso al comportamiento de un gusano, dado que puede prescindir prácticamente de la interacción del usuario para su propagación.

Las recomendaciones son elementales: evitar el uso de Twitter desde clientes vulnerables y desde el sitio web oficial, desactivar javascripts, o utilizar algún bloqueador de scripts como el famoso plugin para Firefox: NoScript.

Actualización 21/09/2010 21:00hs.: Twitter limitó en principio el fallo restringiendo la interpretación de las URLs malformadas, pero no ha corregido el problema del XSS en sí.

Actualización 23/09/2010 09:00hs.: Para más información, hemos realizado una FAQ sobre la vulnerabilidad en Twitter.

Federico Pacheco
Education & Research Manager

Categories: Vulnerabilidades
6 Comments »

Dentro de la serie de normas ISO 27000 se encuentran varios documentos que describen distintos aspectos de la gestión de la seguridad de la información. En esta ocasión nos vamos a referir al 27004, que es la norma ISO relacionada específicamente con las métricas y la medición de la gestión de la seguridad. Como bien sabemos, la norma ISO 27001 hace foco en el carácter medible de los controles que propone. Es decir, si no se puede medir, no se puede gestionar ni mejorar. Por otra parte, la gestión en sí misma no es suficiente para tener altos niveles de seguridad, por lo que no debemos quedarnos con la implantación del sistema para permanecer tranquilos.

En su introducción, la norma en cuestión, publicada el 7 de diciembre de 2009, comienza explicando:

El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras.

Ya desde este párrafo queda declarada la necesidad de las métricas orientadas al desarrollo del negocio, ya que la seguridad, aunque nos cueste aceptarlo a veces, es un tema de negocios y no un problema meramente técnico.

Las secciones principales de la norma ISO 27004 son:

• Generalidades de la medición en seguridad de la información
• Responsabilidades de la dirección
• Desarrollo de las medidas y mediciones
• Operación de las mediciones
• Análisis de datos y reporte de medición de resultados
• Evaluación y mejora del programa de medición

Cabe destacar que esta norma no es certificable, sino que se utiliza como guía para el desarrollo y utilización de métricas y técnicas de medición, al implementar los controles de ISO 27001. En líneas generales, este estándar habla en términos de la mecánica de los procesos de medición, describiendo cómo recolectar medidas base y utilizar algo de matemática para generar medidas derivadas, y luego aplicar técnicas analíticas y criterios de decisión para crear indicadores, que son los que realmente representarán al SGSI y permitirán mejorarlo. Un anexo de la norma, por su parte, sugiere métricas específicas para alinearse con la norma ISO 27002.

Dada la importancia de medir el SGSI implementado, esta norma propone un lenguaje común con el objetivo de obtener finalmente un cuadro de mando dinámico para la mejorar toma de decisiones en una organización.

En conclusión, la creación de una norma ISO especialmente diseñada para la medición de los controles implica un avance en la madurez de los planes de gestión en el contexto de las normativas internacionales. En este sentido, la noma ISO 27004 en particular, y la familia ISO 27000 en general, ofrecen un marco de referencia que aún continúa creciendo, y promueven un escenario donde el propio mercado va volcando con el tiempo su experiencia para transformarla en parámetros de crecimiento y mejora continua de otras organizaciones.

Federico Pacheco
Education & Research Manager

Categories: Gestión
3 Comments »

Esta semana estamos recibiendo aquí en Buenos Aires a dos de los ganadores del Premio ESET 2010. En esta ocasión, Sara García Ávila y Raphael Labaca Castro estuvieron toda la semana en la ciudad para disfrutar del premio, que los ubicó los días lunes y martes visitando las oficinas de ESET Latinoamérica. Allí, recibieron un curso por parte del equipo de Educación e Investigación de ESET Latinoamérica, donde vimos cómo trabaja el malware, algunos conceptos de análisis de códigos maliciosos, y una introducción a la Ingeniería Reversa.

Esta introducción fue realizada para que puedan llegar más preparados al training de Modern Malware Reverse Engineering, dictado por Joan Calvet en el día de ayer:

Sobre la experiencia que están viviendo, los ganadores dejaron y compartieron sus experiencias:

Durante los días jueves y viernes, los dos ganadores estarán junto al equipo de ESET en la Ekoparty, disfrutando de todas las conferencias sobre seguridad que les permitirán seguir aprendiendo antes de emprender su regreso. Felicitamos a Sara y Raphael que son merecedores de estar disfrutando su estadía y están poniendo su esfuerzo y cansancio para aprovechar al máximo la semana.

Aquí pueden ver una imagen de ambos ganadores, junto a Joan Calvet y Federico Pacheco, durante el día del training:

Mientras tanto, Flavia Gramajo, la ganadora del viaje a Vancouver (Canadá) para asistir a Virus Bulletin está esperando para que hagamos el viaje a fin de mes, y disfrutando de las repercusiones de haber obtenido el reconocimiento, dando notas en importantes medios de comunicación del interior como Nuevo Diario Web, La Voz del Interior e incluso un diario nacional como diario Clarín.

Como verán, el Premio ESET sigue creciendo y ya estamos trabajando para que la edición 2011 siga por el mismo camino.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Educación
1 Comment »