miércoles, junio 21, 2006

Clasificación del Mundial

Dice el anuncio de Mercedes que al ser humano le gustan las listas y debe ser asín, porque no paran de la salir.

Esta última está realizada por la empresa Bit9 que está centrada en la seguridad en el Desktop. En ella, se han localizado las 15 aplicacines con exploits críticos más desplegadas en los desktops y que se posicionan como el principal problema para la seguridad de las empresas.

El problema de esas aplicaciones según el informe es que suelen ser aplicaciones descargadas por los usuarios, que no están controladas por el equipo IT de la compañía y cuya gestión de actualizaciones de seguridad depende del propio usuario.

Así, la lista está encabezada por:

1. Mozilla Firefox 1.0.7
2. Apple iTunes 6.02 & Quicktime 7.0.3
3. Skype Internet phone1.4
4. Adobe Acrobat Reader 7.02, 6.03
5. Sun Java Run-Time Environment 5.0 Update 3, JRE 1.4.2_08
6. Macromedia Flash 7
7. Winzip compression 8.1 SR-1
8. AOL Instant Messenger 5.5
9. Microsoft 5.0
10. Yahoo Instant 6.0
11. Sony / First4 Internet DRM Rootkit
12. BitDefender 9 antivirus client
13. Kazaa peer-to-peer 2.0.2
14. RealPlayer media player 10
15. ICQ Chat

La lista completa la tienes en la siguiente URL:

http://www.bit9.com/docs/15VulnerableApps.pdf

Para que esto sea aun más complicado de gestionar, no solo contamos con productos cuya actualización suele requerir del usuario y de que tengan permisos adecuados, sino que ahora son objetivos prioriotarios con las herramientas de ataque.

Webattacker es un do-it-yourself para hacer malware y ya viene cargado con los exploits para Firefox que como se dice en la entrevista en e-week, tiene un abanico ámplio de vulnerabilidades que, al igual Internet Explorer, si no se parchea, es víctima de los ataques.

En los foros de Internet ya están circulando las reglas para detectar mediante sistemas de detección de intrusos los ataques del juguete. Aquí tenéis unas reglas para detectar algunos ataques a IE no actualizados.

14 comentarios:

Pedro dijo...

Microsoft 5.0
Crei que lo dejaron en el 3.11 :P
De todas maneras... se de ordenadores aun con el Firefox 1.0.7 y no me hacen caso para actualizarlo. Como siempre el punto debil de la seguridad empieza en el usuario.

P.D. La charla fue todo un exito, muchas gracias :)

Nacho Colunga dijo...

Anda chemita, no te hagas el intelectual que a ti no te gustan las listas, te gustan las tontas, como a todos.

Por cierto, eso de utilizar la clasificación de "no corporativo" para filtrar los resultado es un poco torticero. En fin, que a ver si cuidamos mejor nuestros servidores:
http://www.kriptopolis.org/node/2430

;P

Maligno dijo...

jajaja, no hombre, no he puesto eso para filtrar el resultado, es que el informe dice que el problema existe cuando las actualizaciones no son responsabilidad del equipo IT de la empresa. Ves que ahí está el IE 5 (que en Telefónica es el corporativo).

A mi, como ya es sabido, me gustan todas, especialmente las buenas y las malas, independientemente de si son listas o tontas.

Lo del servidor, estoy hablando con el equipo interno de MS y dicen que:

"
Some questions came up around the Microsoft web site in France that was recently hacked. To confirm, this regional site is hosted by a third party and our initial investigation is that the hack was allowed due to a mis-configuration of the server. This was NOT caused by an IIS 6.0 zero day vulnerability. We are working with law enforcement on this issue and the MSRC will make a post to their blog when there is something else to report: http://blogs.technet.com/msrc.
"

Si es con DotNetNuke, como es openSource, rápidamente todos los expertos de seguridad que se leen el código fuente encontrarán la vulnerabilidad. ;)...o seguiremos con el 0days, muuuchos days?

Anónimo dijo...

Soy el benigno :-)
Llevas unos días que me recuerdas, Chema, a los que pasaban por la prueba esa de "Humor Amarillo", que se trataba de cruzar una charca sin caerte pisando en las rocas fijas y evitando las flotantes, no se si entiendes lo que quiero decir...

Maligno dijo...

Vaya, te puse el post y no me lo grabó. Bueno, lo vuelvo a escribir, no pasa nada:
Te decía más o menos:

Siento no dar más polémica pero es que estoy de examenes, viendo el mundial y de celebración de mi cumpleaños y llevo dos pedazos de resakas encima de copón, pero... te daré mucho jugo para uqe te diviertas en tu nuevo blog compi. Te dejo la primera:

http://software.newsforge.com/software/06/04/28/1648203.shtml?tid=150

El amigo richal cobra por hacerse fotos y dar autógrafos, 3 y 2 dolares. Según él, pq su tiempo en la FSF vale dinero y le lleva mucho tiempo hacerse las fotos y firmar autógrafos. No sería mejor hacerse las fotos gratis y que los que tiran código cobren por su tiempo? Digo yo, vamos, que el software luego puede ser libre, pero si se paga a los voluntarios por su código, tal vez ... pero que coño hago yo hablando de esto? Si lo único que quiero es "no pagar por hacerme una foto con nadie!" bueno, con las chatis sí, que luego da caché!.

Yo le propongo a Richal que vaya a Salsa Rosa, o que venda alguna exclusiva al Hola, ganará más pasta para la FSF que cobrando a los asistentes brasileños.... Manda GUEVOS!!!

Benigno dijo...

Con lo de "Humor Amarillo" me refería a justo lo contrario, que parece que es la polémica la que te "supera", aunque bueno, lo del cumpleaños y tal pues tendrán que ver.

Con lo del Richal, pues que quieres que te diga, que me pones a webo lo de la tortilla... pero si quieres amplio tu exclusiva con cosas que ya sabe todo el mundo (del sl): tampoco es extraño que lleve mecheros, llaveros, pins, etc de la FSF para venderlos. Pero vaya, esto del dinero es tan subjetivo... lo mismo hay gente que pagaría dos euros por un autógrafo del Richal en lugar de cien por esto, pero ya te digo, ninguna decisión es "más normal" que otra.

Con lo de los programadores, que si cobran o no cobran... no se, supongo que será por rellenar. Hay quien programa por afición, por salir en los créditos, por aportar a la comunidad de la cual coge software, etc. Y hay rumores de que hay quien no cobra nada mal por programar software libre en Novell, Red Hat, MySQL AB, en empresas locales, en fin, rumores...

Volviendo al tema de seguridad, acerca de los juankers rusos, creo (desde mi ignorancia en el tema seguridad, ok) esto igual tiene algo que ver...

Maligno dijo...

Bueno Benigno, entonces es más seguro enviar la password para entrar en un recurso que usar Kerberos de por medio, ya que se producen muchas más llamadas y comprobaciones, no?

Las comprobaciones de seguridad siempre hacen más complejo un sistema. A lo mejor es que la política de seguridad ugo no es tan flexible y potentente como las ACLs.

Pero las fotos son preciosas!

Benigno dijo...

Eso me recuerda a un trío de cómicos que había en Euskadi que parodiaban a les luthiers, uno de ellos trabajó en "Vaya semanita", que parodiando a los concursos el presentador decia: "por un millón de pesetas para quien diga más palabras: decid palabras que terminen en 'erberos'" (en realidad fue con "armacéutico"). Como estuvieras tú primero en el orden de turnos ganabas fijo xd.

Solo supuse que podía tener algo que ver la gran diferencia en el número de llamadas para atender una petición http en los dos sistemas, no escribir una tesis sobre Kerberos... ;-)

Saludos.

Maligno dijo...

Sí, pero si te lees el artículo que me mandas del link, el que lo escribe ve las fotos y saca unas conclusiones absolutistas sobre un dibujo divertidisimas. Es como si coges un motor de un Seat 600 y de un Seat Ibiza electrónico de hoy en día. Analizas los flujos y ves que el del 600 es más sencillo y dices, "Lo ves? esto demuestra clarisimamente que es más lento el motor electrónico pq utiliza un flujo mucho más complejo".

Lo del Richal y los autografos, te copio un comentario de la editorial de "SOLO LINUX: La revista profesional para los usuarios de GNU/LINUX".

Página 6, sección "NO NOS HA GUSTADO"

"Saber que Richard M. Stallman cobró 3 dolares por un autografo y 2 dolares por dejarse fotografiar en el 7th International Free Software Forum, en Porto Alegre (Brasil). Algunos protestaron, cosa que provocó una respuesta que supone una buena reflexión de RMS acerca de los principios del software libre"

Así no soy el único al que le choca.

Yo de economía no sepo, pero si un equipo de informáticos de la hostia, tiene que recurrir a vender mencheritos, llaveritos y estampitas de la virgen, quizás haya que reflexionar algo, solo eso.

En cuanto a Vaya Semanita (que les den un grammy, aunque sea de fariña que se lo ha currao) a mi los dos tres que más me han gustado han sido el de "Y si no, le echamos de Euskadi, cuando le preguntan por la diferencia entre Cesta Punta y Remonte y le largan a Pancorbo, el de el Vasco que liga y da una rueda de prensa y el del jamón vasco que era de guijuelo reetiquetado con la ikurriña, Qué buenos!!!!"

Hasta luego Benigno y sé bueno eh? que estás Mastropiero que nunca!!

Anónimo dijo...

Qué malo eres, maligno ;-)

Dudo muchísimo que la FSF con los sponsors que tiene, viva de vender mecheros o recoger firmas.

El gesto de RMS de cobrar firmas creo que va más por aquello de "software libre != software gratis", intentando demostrar que la FSF etc. no son peña que trabaje gratis. Una protesta que logra captar atención de medios típicos.

Independientemente de que el tío no me parezca ni de lejos la mejor imagen del software libre, el gesto no me ha disgustado.

PD: benigno, cojonudo que montes ese blog :-D lo único, permite a "Otros" y "Anónimo"s escribir en él ;-)

Anónimo dijo...

Ah! y se me olvidaba, maligno. Si tan inseguro es usar Open Source, no sé, ¿por qué Microsoft Francia usaba DotNetNuke?

Y no voy a preguntar por qué los servers de MSN usan gnuplot...

Maligno dijo...

Estoy contigo, la pregunta es: Si no vive de eso ¿por que lo hace?. Para hacer marketing? que regale camisetas, que cuestan menos de 1 uralio.

Respecto a lo de que el SL sea más inseguro, que el SP no es mi mensaje, mi mensaje es: "Microsoft no es menos inseguro que los demas y de hecho en algunos productos en seguridad lo hace bien".

Ya escribí un post que se llamaba Microsoft Linux donde hablaba de eso. Ms usa SL en muchos de sus productos. En MS no son talibanes, compiten con los demás productos para ganar dinero. Son una empresa. Ya sabéis que MS tiene licencias Shared Source que incluso a la FSF le parecieron bien.

Y hotmail tenía UNIX, no se si ya los tiene o no.

Como decía Linus Torvalds, la mejor herramienta para cada cosa.

Anónimo dijo...

pues lo que yo digo. El debate no es que software es más seguro, o cual es mejor, o cual tiene menos vulnerabilidades. No, el debate, como te digo siempre (y por tu ultimo comentario vienes a darme la razón), no es técnico, sino filosófico. ¿cuando entraras a discutir sobre esto? y no me vale la respuesta de el dia 6 a las 12, que estaré mu borracho como para decir cosas con sentido :-p

gogoz

Maligno dijo...

Bueno, pues parece que de todo lo hablado lo resume se resume en la noticia de Hispasec hoy de uno de los "Sergios".

http://www.hispasec.com/unaaldia/2798

Eleven Paths Blog

Seguridad Apple

Entradas populares