Ing. José Jorge

Ingenieros de Apharenxis

En su blog, Fernando Acero publica sobre  la nueva vulnerabilidad descubierta por unos expertos de mi amada IBM en conjunto con expertos de VMWare.

A continuación reproduzco el artículo completo.

Por Fernando Acero

De todos son conocidos los problemas de Windows Vista para entrar en el mercado, con controvertidas cifras de venta (recordemos que se lo hacen comer con patatas a cada comprador de un sistema informático) y con otros serios problemas con el hardware, los recursos y la compatibilidad, como ya predijo Gartner en su momento. Pero puede que la puntilla destinada a acabar definitivamente con este sistema operativo tan polémico se la acaben de haber dado en Las Vegas…

Al parecer, investigadores de IBM y VMWare acaban de desvelar durante la conferencia Black Hat de Las Vegas, una técnica que permite obtener control total de Windows Vista y lo hacen, de una manera que puede que sea prácticamente imposible de solucionar por Microsoft, a menos que cambie por completo. o sustancialmente, la arquitectura de seguridad de Windows Vista, lo que sinceramente, como están las cosas, me parece improbable.

El problema nace en la forma en la que algunos programas de Windows Vista, como el navegador Internet Explorer, cargan las DLLs (librerías dinámicas) en la memoria de la máquina. El error se basa en que Microsoft asumió para la arquitectura de seguridad de su sistema operativo Windows Vista, que cualquiera de los archivos de DLLs que se cargasen a través de su tecnología .NET, eran seguros por definición. Apuesta, que sin duda, es arriesgada para la seguridad del sistema, pero que parecía conveniente por motivos comerciales. Como están las cosas, basta mezclar la tecnología .NET con código malicioso embebido en DLL’s, para tener un cóctel explosivo y demoledor para la seguridad de los usuarios.

Lo peor de todo, es que es una técnica muy sencilla de implementar y muy flexible, puesto que se pueden modificar las DLL maliciosas con mucha facilidad y añadirles un "payload" personalizado, lo que puede abrir las puertas a un nuevo universo de maldades informáticas, gracias a que cualquiera podrá tomar el control total y absoluto de un ordenador dotado con Windows Vista, con un acto tan inocente como visitar una página Web preparada para ejecutar el ataque.

Por si alguno piensa que el parche llegará pronto, hay un problema adicional en todo este asunto, como hemos dicho, el fallo reside en la arquitectura de seguridad de Windows Vista, es decir, que no explota un error de programación, más bien, explota un error de diseño que afecta a lo más íntimo del sistema operativo. La consecuencia es clara, puede que no se pueda arreglar con facilidad, o si se puede, el parche puede ser de varios cientos de megas y sobre todo, de poder arreglarse, es posible que tarde algún tiempo en llegar.

Por ahora, por asombroso que parezca, la única solución para protegerte de esto, es instalarte un Linux y no usar Windows Vista para abrir ningún archivo, o para acceder a Internet, si eres un feliz usuario de Vista no te puedes fiar de nada, la DLL maliciosa que, robe tu información personal, lo convierta en un miembro de honor de una red botnet, o que lo configure como servidor de pornografía infantil, puede venir por cualquier medio, a través de un chat, por correo electrónico, o simplemente, visitando una página web, etc, por ello, el mejor consejo que os puedo dar, felices usuarios de Vista es "olvidaros de Vista hasta que se solucione el problema, si es que se soluciona".

Ahora es el momento de pensar en lo que decía Bruce, sobre el coste para la seguridad que tiene un monopolio, o sobre los problemas de seguridad del código cerrado y monolítico.Pero lo peor de todo, es que a pesar del desastre para los usuarios de Vista, habrá muchos usuarios que no serán conscientes del problema y que seguirán usando Vista con todo lo que ello puede suponer para la seguridad global.

Fuente: Search Security / Black Hat.

"Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved."

Un 10 para IBM !!!

Compártelo

El sistema de pagos online más utilizado a nivel global es PayPal. Con diferencia además. Tal circunstancia ha hecho de esta empresa uno de los blancos predilectos de los spammers, que envían diariamente millones de correos a internautas de todo el mundo en los que se hacen pasar por esta compañía con el objetivo claro de que los más incautos piquen en la trampa y les proporcionen sus datos personales de facturación.
Sin ir más lejos, la compañía antivirus Sophos estima que el 75% de los mensajes de phishing que se enviaron en el 2006 versaban sobre eBay y PayPal, empresas ambas hermanas. Aunque desde entonces este porcentaje ha disminuido significativamente, el problema está lejos de solucionarse.
La poca consciencia que existe todavía en torno a la seguridad en Internet y el uso de navegadores anticuados que no ofrecen soporte para certificados de seguridad SSL son dos de las causas que están detrás de la mayor parte de los fraudes online que se producen, de ahí que PayPal haya decidido ponerse manos y lanzar mensajes de advertencia a aquellos usuarios que entren a su página con browsers que no cumplen con los protocolos de seguridad que se consideran aptos hoy en día.
Esta compañía tiene previsto introducir un sistema de clasificación de navegadores que quedará así:

• En el primer nivel se encontrarán los más avanzados, esto es, Firefox 2.x, Internet Explorer 7 y Opera 9.25 en adelante. Todo sus usuarios podrán seguir utilizando los servicios de paypal.com como hasta ahora sin ningún problema
• En el segundo nivel se situarán navegadores que no ofrecen soporte para certificados SSL, entre los que se encuentran Firefox 1.5, Opera 8, Safari e Internet Explorer 6. Si eres usuario de cualquiera de ellos, podrás pagar y recibir pagos en paypal.com pero te aparecerá un aviso en el que se te recordarán las deficiencias que tiene tu browser
• En el tercer nivel tendrán cabida navegadores antediluvianos como las antiguas versiones de Internet Explorer, Opera, Firefox y Netscape. Quienes los utilicen no podrán llevar a cabo operaciones en paypal.com

Cabe aplaudir la decisión de PayPal, puesto que aunque impopular (no creo que les haga mucha gracia a los usuarios de Safari), es una de las primeras medidas serias que una compañía de este tipo toma para acabar o, al menos, limitar el alcance de los fraudes que se llevan a cabo con técnicas phishing.

Compártelo

Sí, todos sabemos lo útil que es una combinación de teclas para acceder a una función de una forma más rápida. Por ejemplo, con “Ctrl + Alt + Supr” nos llevaría al administrador de tareas de Windows ¿cierto? Como ese, hay miles de atajos del teclado más útiles aún.

La tecla Windows (la que ves en la imagen anterior) es una tecla que, conjuntamente con otras teclas, cumple con unas funciones bastantes esenciales en nuestra vida informática diaria. En este apartado veremos las combinaciones de la tecla Windows más comunes.

Tecla Windows + L: Bloquea el equipo instantáneamente

Tecla Windows + E: Abre el Explorador de Windows inmediatamente

Tecla Windows + D: Minimiza o restaura todas las ventanas activas

Tecla Windows: Despliega el Menú de Inicio de Windows

Tecla Windows + R: Abre la ventana “Ejecutar” para lanzar comandos

Tecla Windows + U: Ejecuta el administrador de utilidades

Tecla Windows + F: Abre el buscador de ficheros del sistema

Tecla Windows + Control + F: Búsqueda de archivos de los equipos en red

Tecla Windows + F1: Acceso directo a la Ayuda y soporte del sistema

Tecla Windows + Mayúsculas + M: Minimiza todas las ventanas

Tecla Windows + Tab: Navegar entre las pestañas de la barra de tareas

Tecla Windows + Ctrl + Tab: Navegar entre las pestañas de cualquier aplicación

Tecla Windows + Pausa: Abre las propiedades del sistema

Personalmente la que más uso es “Ctrl + D” para minimizar y restaurar todas las ventanas de una forma muy rápida; también “Ctrl + D” cuando necesito buscar archivos (me ejecuta el explorador de archivos), y en casos de emergencia, bloqueo el equipo con “Ctrl + L”.

Compártelo

Renovarse o morir, es lo que deben pensar los señores de Microsoft ya que han decidido que a partir del día 30 de Junio será imposible acceder a nuestra cuenta de Hotmail desde el cliente Outlook Express.

El motivo concreto es que han decidido cambiar el protocolo que utilizan actualmente (DAV) a uno nuevo llamado DeltaSync. Este nuevo protocolo implementará, supuestamente, algunas mejoras interesantes, como una mejor sincronización entre buzones, contactos o calendario.

Microsoft podría haber sacado un parche que incluyera este nuevo protocolo, pero lo cierto es que, como hemos podido observar en sus últimas decisiones, lo que prima en esta nueva era es la renovación. Se acabó eso de darle cuartelillo a aplicaciones antiguas, quien quiera ver su cuenta de Hotmail tendrá que pasar por el aro y descargar Windows Live Mail.

Estoy seguro que esta noticia va a traer algo de cola, como todas las que guardan relación al gigante de Redmond, aunque reflexionemos y seamos sinceros, realmente ¿cuantos usuarios de Hotmail tienen configurada su cuenta en un cliente de correo externo? Yo diría que poquitos. El tiempo nos dirá cuan caro le sale esto a Microsoft.

Compártelo

Lo leo en Kriptópolis y lo publico tal cual, esperando no les moleste !, que pocos lectores daban crédito por estos lares a César Cerrudo cuando afirmó haber descubierto una vulnerabilidad en Windows Server 2008, el "servidor Windows más seguro que ha habido nunca" (Microsoft dixit), como si apuntar una vulnerabilidad en Windows constituyera un hecho insólito.

Aún menos recordarán que ayer, 17 de Abril, era el día en que Cerrudo había prometido presentar los detalles en Dubai, en el transcurso de HITBSecConf2008.

Pero aquí está este humilde sitio, dispuesto a recordar esa fecha y a mostrar a los incrédulos lo que Microsoft acaba de decir, que supone el reconocimiento de la vulnerabilidad apuntada por Cerrudo, y afectando no sólo a Windows Server 2008, sino también a Windows Vista, Windows XP SP2 y Windows Server 2003.

¿"Y el parche", dijo alguien? Algún martes de este año… o del próximo.

Compártelo

Pues con la novedad que ya mandaron la "Iniciativa de Fortalecimiento de Petróleos Mexicanos" a la Cámara de Senadores. Todo mundo está hablando sobre ella, pero casi nadie se ha tomado siquiera la molestia de leerla. Aprovechando estos días de descanso, me acabo de leer toda la Reforma para que no me anden cuenteando y no se me hizo tan mala. Pero me parece que uno de los aspectos más controversiales va a ser el asunto de los Bonos Ciudadanos.

Esta Reforma propone que Pemex emita Bonos para Personas Físicas de nacionalidad mexicana, estableciendo mecanismos para que los bonos puedan llegar a la mayor cantidad posible de personas. "Estos títulos no otorgarán derechos Patrimoniales ni Corporativos sobre Petróleos Mexicanos, por lo que la propiedad y control del organismo no se verán comprometidos en forma alguna, ni se afectaran el dominio o explotación del petróleo". Esta sería una manera no de privatizar, sino de democratizar la riqueza de Pemex para que se comparta efectivamente con los mexicanos y no sólo con las mafias que dicen que nos representan.
Creo que muchos políticos se van a oponer fuertemente a que esta iniciativa sea aprobada, porque siguen viendo los recursos petroleros como botín de guerra y no están dispuestos a compartirlos ni a rendirle cuentas a nadie. Con esta reforma tendrían que compartir la lana con todos los mexicanos y además otorgarle a pemex autonomía administrativa y de gestión para decidir cuánto invierte, dónde y de qué manera a fin de garantizar que se pueda mantener el ritmo de producción actual. Y con la autonomía vendría también la obligación de rendir cuentas claras sobre los gastos de Pemex y sobre los excedentes petroleros, por ejemplo, algo que hasta el día de hoy es prácticamente un Tabú.
No soy abogado, pero según lo que entendí, en ningún lado se abre la puerta, implícita o explícitamente, para que se le permita a la Exxon poner pozos y llevarse el crudo extraido o recibir algún tipo de utilidad por él. Tampoco se pretende inundar el país con gasolinerías de Shell o de Texaco. Lo que sí se menciona es que empresas cubanas y norteamericanas están a punto de empezar a explotar pozos en aguas profundas a kilómetros de la frontera mexicana, y si no hacemos lo mismo estos países van a extraer parte de nuestro patrimonio sin que podamos hacer nada para evitarlo.
Lo que si es que tampoco me parece que esta iniciativa merezca el mote que le han dado de "reforma energética", ya que no se habla de fuentes de energía sino únicamente sobre Petróleos Mexicanos. No veo en ningún lado que se trate de una "trampa para privatizar a Pemex". Tampoco creo que sea la panacea para resolver los problemas que presenta: por ejemplo, no encontré en ningún lado nada sobre modificar el régimen fiscal de la paraestatal, el cual es el principal lastre que la tiene hundida en el hoyo en que se encuentra el día de hoy.
Si eres fan de algún ideólogo de Derecha o de Izquierda, piensa dos veces antes de creerle ciegamente sobre este tema: recuerda que ni a Estados Unidos ni a Cuba les conviene que nos pongamos de acuerdo para explotar los yacimientos en aguas profundas. Y es probable que su corazoncito esté volteando para alguno de esos dos lados. Por eso, antes de hacerle caso ciegamente a los "expertos" adoctrinados que nos venden bondades inexistentes de una "reforma energética" que no es tal, o de los otros "expertos" que dicen que esta no es más que una sucia maniobra para privatizar los recursos de la nación, les recomiendo que le den una leída a lo que se mandó a la cámara de Senadores para su revisión. Aunque sea, para que no se los quieran chamaquear. Se trata de cinco documentos en formato PDF: 1 | 2 | 3 | 4 | 5

Compártelo

No hay nada más molesto para un técnico que estar desarmando algún artefacto y que un tornillo se te caiga en las infinidades de las distintas partes del aparato, por ello lo mejor siempre es tener un destornillador con la punta imantada para que cuando saquemos un tornillo quede pegado a la herramienta y sea más fácil de extraer.

Existen varios métodos para imantar destornilladores, incluso algunos ya los podemos comprar imantados. Algunas de las técnicas para imantar consisten en crear una especie de bobina con un cable rondeando la punta del destornillador y conectándolo a una batería, otros artefactos se venden en casas especializadas, etc.

Pero la mejor opción es la casera, que podemos hacer con un simple imán frotándolo contra la punta del destornillador, pero igualmente esto tiene una técnica:

1. Conseguimos un imán potente, los de los parlantes son especiales.
2. Frotamos la punta del destornillador por el imán siempre con la misma orientación, nunca hagamos un “ida y vuelta” porque cortamos el efecto.
3. Tengan en cuenta que el imán siempre tiene que apoyarse donde lo apoyamos la primera pasada.
4. Seguimos con este procedimiento hasta que veamos que el destornillador pueda sostener los tornillos.

Compártelo

Seguro que conoces está situación. Estamos copiando una serie de archivos y de repente nos avisa de que ya existen y si queremos sobreescribirlos. En el caso de que si tenemos dos opciones, incluida la del Si a todo, pero ¿y si no queremos? Tendremos que ir dándole todas las veces al No, ya que no existe la opción No a todo. Salvo en Windows Vista, claro.

Sin embargo existe un pequeño truco muy sencillo. Para simular un No a todo simplemente deberemos pulsar la tecla Shift y mantenerla pulsada mientras le damos a No. Windows lo interpretará como un No a todo y no sobreescribirá los archivos que ya existan.

Fácil y rápido.

Compártelo

Hace unos días les dije como acelerar el apagado de Windows modificando el registro, ahora me acordé de un truco que encontré en una vieja revistas USERS, algo que utilizaba siempre cuando usaba Windows. Aplicando éste truco podemos apagr el equipo con un sólo click (o dos en su defecto).

1. Hacemos click derecho en cualquier parte vacía del escritorio y seleccionamos Nuevo -> Acceso directo.
2. Ahora nos pide la ubicación del elemento, ahí tenemos que poner lo siguiente shutdown -s -t 0 y le damos al boton “Siguiente”.
3. Seleccionamos el nombre para el acceso directo, el ideal sería “Apagar”, y luego le damos el botón “Finalizar”.
4. Algo opcional pero que es útil es cambiarle el ícono al acceso directo, de éste modo podemos poner uno que nos llame más la atención y no se nos pierda entre los demás, además es para evitar que lo pinchemos sin querer.
5. Hacemos click derecho en el acceso directo y seleccionamos Propiedades -> Cambiar ícono, ahí nos va a dar un mensaje diciendo que no hay íconos dosponibles, aceptamos y podremos ver los íconos disponibles, el mejor de todos es el ícono de apagado en color rojo, aceptamos todo y listo.

Nota importante: Si prestan atención en el código que pegamos en el acceso directo vemos el parámetro “0″ (cero), que nos indica la cantidad de segundos que se le da al sistema para que cierre todas las aplicaciones. Por eso les recomiendo que cierren todas las aplicaciones antes de ejecutar el apagado para no perder datos, igualmente ese parámetro es personalizable y le pueden poner 4 o 5 segundos.

Compártelo

SlySoft - creadores del famoso CloneCD. Una aplicación capaz de copiar exactamente CD’s y DVDs, han sacado un nuevo producto denominado "AnyDVD HD" que permite copiar cualquier disco Blu-Ray y HD DVD, incluyendo la desencriptación de el contenido de los discos.

Ésta herramienta, evaluada en $47 dólares, puede traspasar el método de protección de copias BD+ implementado en los discos Blu Ray, diseñado para prevenir que se copie el contenido de los vídeos del disco.

El resultado ya se comienza a hacer visible, cada vez más y más rips de discos de alta definición empieza a aparecer en sitios de descarga y file-sariga. Es una verdadera pena…

Compártelo