Sin descuido en Internet

Las pestañas de su navegador de Internet pueden convertirse en una trampa. Una nueva modalidad de 'phishing' utiliza la posibilidad de abrir varias ventanas a la vez para intentar robar contraseñas. El modus operandi es muy sencillo.

Mientras el usuario está concentrado en otro sitio, un programa detecta que una de las páginas lleva un tiempo inactiva e inmediatamente la reemplaza por una web falsa de algún sitio popular como Facebook, Gmail o Ebay en la que se le solicitan de nuevo sus claves para acceder. Si el incauto navegante se despista, el ciberdelincuente conseguirá acceder a información confidencial con el objetivo de utilizarla, fundamentalmente, para fines económicos.

Aza Raskin, un reconocido diseñador de interfaces que trabaja en Mozilla, empresa responsable del navegador Firefox, ha dado la voz de alarma sobre esto, bautizado como 'tabnabbing'.

En su blog -www.azarask.in/blog/-, el creativo ofrece una demostración de cómo funciona, en la que puede verse cómo una de las pestañas del navegador se transforma en una copia exacta de la página de inicio de Gmail en la que cualquiera podría volver a teclear las contraseñas de acceso al pensar, por ejemplo, que ha caducado su sesión.

El 'tabnabbing' utiliza un código de JavaScript para detectar los tiempos de inactividad. Los usuarios que mantengan habitualmente muchas pestañas abiertas, saben que es fácil olvidar qué se está visitando exactamente en cada momento,

El spam en formato PDF

Si en su cliente de correo tiene una carpeta donde almacena el spam, haga una búsqueda por archivos adjuntos con extensión .pdf, a buen seguro encontrará unos cuantos ejemplos. Es la penúltima moda para intentar evitar los filtros antispam, si durante los últimos meses la avalancha de mensajes no deseados llegaba con imágenes, ahora le toca el turno al formato PDF.

Las soluciones antispam suelen combinar diferentes técnicas para poder determinar si un mensaje es spam o no. Pueden analizar ciertas cabeceras del mensaje, realizar diversas comprobaciones sobre el servidor que realiza el envío, compararlo con listas negras, utilizar firmas basadas en patrones estáticos y dinámicos, aplicar filtros bayesianos, etc.

Este mismo arsenal de técnicas está a disposición de los spammers, van probando contra ellas diferentes estrategias para buscar eludir este tipo de barreras y conseguir que el mensaje no deseado llegue sí o sí a nuestros buzones.

Por ejemplo, una de las técnicas más explotadas para evitar la detección basándose en el análisis del texto consiste en enviar el mismo mensaje pero "dibujado" en una imagen adjunta. De esta forma, aparte de poder dibujarle la pastillita azul junto con sus propiedades, precios, etc, lo que buscan es que el nombre de la pastillita no aparezca escrito en texto plano en el cuerpo del mensaje y pueda hacer sospechar al filtro antispam.

Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto que era dibujado en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir "ruido" en las imágenes para dificultar el reconocimiento automático por este tipo de software.

Esa es la razón por la que en ocasiones las imágenes con texto que nos llegan por spam estén distorsionadas, con caracteres multicolor, parezcan mal enfocadas, o tengan líneas por encima del texto. No es que los spammers sean muy malos diseñadores o tengan muy mal gusto, la explicación es que quieren dificultar la labor a los filtros antispam.

Aprovechando que la inmensa mayoría de los ordenadores de hoy día cuentan con un visualizador de archivos PDF, que se ha convertido en un formato universal y que goza de buena "reputación" (suele utilizarse para compartir documentación), los spammers han decidido que también puede ser una buena vía para sus objetivos.

Como el texto de los archivos PDF es interpretable, puede llegar a ser procesado por motores antispam, ellos también demuestran que saben combinar técnicas y han decido utilizar las imágenes con el mensaje distorsionado incrustadas en el PDF.

Vulnerabilidades antes la exploración en los Router Cisco

Los routers que están en producción se pueden ver afectados por ataques de denegación de servicios si se ven expuestos a chequeos por programas de exploración de vulnerabilidades.

Un gran número de versiones del software IOS (Internetworking Operating System) de Cisco se ven afectadas por un defecto que puede provocar el reinicio del router cuando este se ve chequeado por algún programa de comprobación de vulnerabilidades.

De tal forma, que si un usuario malicioso explota el problema de forma repetida puede provocar un ataque de denegación de servicios. Esta vulnerabilidad ya fue descubierta y anunciado por Cisco hace dos meses, pero ante el gran número de dispositivos que aun no han actualizado sus sistemas, con el consiguiente peligro que ello representa.


Más información:
http://www.cisco.com/warp/public/707/iostelnetopt-pub.shtmlVNUnet

http://www.vnunet.com/News/1104718

Vulnerabilidad de Cisco ASA

Cisco ha confirmado la existencia de una vulnerabilidad en dispositivos Cisco ASA, que podría permitir a un atacante remoto ejecutar scripts arbitrarios mediante peticiones http:

El problema reside al procesar los parámetros de entrada del usuario en Cisco ASA. Un atacante remoto podría aprovechar este error para ejecutar scripts arbitrarios a través de una redirección provocada por una inyección del tipo

http://x.x.x.x/%0d%0aLocation%3a%20http%3a%2f%2fwww%2eurl%2ecom

Cisco ha publicado la versión 8.1(2) del software destinada a corregir este problema, disponible desde:

http://www.cisco.com/cisco/web/download/index.html

Más información:

Cisco ASA 5580 Series Release Notes Version 8.1(2)
http://www.cisco.com/en/US/docs/security/asa/asa81/release/notes/asarn812.html

Cisco ASA HTTP Response Splitting Vulnerability
http://www.secureworks.com/ctu/advisories/SWRX-2010-001

Vulnerabilidad en MySQL

Se ha descubierto una vulnerabilidad en MySQL que podría ser utilizada por un atacante para provocar una denegación de servicio. MySQL es un sistema de gestión de base de datos relacional, multihilo y multiusuario que se desarrolla como software libre y cuenta con millones de implantaciones en todo el mundo.

El problema reside en el tratamiento de determinados comandos "ALTER DATABASE". Un atacante con permisos "ALTER" podría alterar el nombre del directorio usando caracteres especiales y provocar que el directorio de sistema se usase como directorio de la base de datos, Esto volvería todo el sistema inusable.

Se ven afectadas las versiones de MySQL anteriores a la 5.1.48, a la 5.5.5 y a la 6.0.14.

Se recomienda actualizar a MySQL versiones 5.1.48, 5.5.5 o 6.0.14, disponible para descarga desde:

http://dev.mysql.com/downloads/

Más Información:

C.1.1. Changes in MySQL 5.1.48 (02 June 2010)
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-48.html

Serious flaws in the alter database .. upgrade data directory name command
http://bugs.mysql.com/bug.php?id=53804