jueves, julio 22, 2010

El post del LNK, porque tú lo has pedido

Cuando sale una noticia de una vulnerabilidad gorda en Windows siempre estoy esperando a ese anónimo cariñoso que me va a poner algo como “… y hahora porke no dices nada de la mierda de Window$” o algo parecido con más o menos faltas de ortografía, que hay algunos anónimos que escriben mejor que yo.

En el fondo me halaga mucho recibir ese comentario. Ya sea porque consideran mi opinión tan importante para ellos que les lleva de estados de jolgorio a dolor penoso, ya sea porque realmente quieren mi opinión o ya sea porque han descubierto que soy familia de Bill Gates.

En cualquiera de los casos, en español hay otros muchos sitios donde leer información de seguridad y, aunque parezca mentira, muchas veces tratamos de no repetirnos entre nosotros ya que el mundo de la seguridad es tan amplio que hay temas para todos cada día. Así, a veces incluso, le pregunto a Sergio de los Santos, que junto a Antonio Ropero y Bernardo Quintero, dirigen la línea editorial de Una al Día si va a hablar de un tema en concreto o a Alejandro Ramos de SecurityByDefault si va a tocar tal noticia. De hecho, muchas veces he desechado cosas que tenía escritas porque ellos lo han contado mucho mejor que yo.

En el caso del lnk, cuando vi en mi RSS la noticia en Packet Storm Security sabía, por descontado, que esta noticia iba a estar en Una-al-día y en SecurityByDefault bien explicado.

Sergio de los Santos lo sacó inmediatamente y con su estilo. Después de años leyéndole, sé que su estilo de preparar una noticia es muy cuidadoso. Primero se informa bien, luego intenta asimilar e interiorizar la time-line de la noticia y por último lo describe todo cronológicamente para que lo entienda todo el mundo, añadiendo referencias cruzadas a hechos anteriores. Me gusta mucho porque resume en sus noticas todo lo relativo al tema. Suelo quejarme más de sus finos comentarios de editorial que pone en las partes finales. Como era de esperar, al día siguiente estaba detallada la información que había salido en The Register y algo más.

Hablando por teléfono tras la publicación comentamos el hecho de que ya la había publicado y que no habían salido los detalles técnicos: “Pishita, acaba de salir en exploit-db la POC para lusers como tú y voy a publicarlo.

En el caso de SecurityByDefault su estilo es distinto. No les gusta poner noticias, sino añadir valor técnico a ellas. Así que, si hay un tema ellos lo completan técnicamente, es decir, si hay un fallo de PDF ellos dan soluciones, herramientas de análisis y ejemplos de uso. Si el tema es de relativo al DNS, ellos hacen una comparativa, prueban las diferentes soluciones y dejan la información al estudio, y, con el caso del exploit LNK, de nuevo Alejandro hizo otra pasada de artículo. Saco su Windows y ale, a mitigar el exploit. Tanto nos gustó que lo pusimos en Windows Técnico.

Con esto de por medio, Leonardo Pigñer, otro de esos Argentinos locos que os tendré que presentar este blog, miembro del team de la Ekoparty y escritor de otro buen blog de seguridad llamado Kungfoosion, publicó cómo explotarlo con Metasploit.

Pero.. a pesar de toda esta información, muchos amigos todavía esperan que yo ponga algo del fallo del lnk que no haya dicho Sergio, Alex, Leo o la propia Spectra. ¿Por qué? Pues porque me adoran y yo lo sé.

Pues nada, este es tu post, para que pongas cosas como “Widnows$ no mola” o “M$ ZuckS” o lo que te apetezca, ya sabes que a pesar de todo, yo te seguiré aloviando.

Saludos Malignos!

36 comentarios:

jcanto dijo...

ves como cuando quieres dominas la sorna con estilo? ;)

kabracity dijo...

No siempre se trata de hacer un análisis exhaustivo, sobre todo si otros ya lo han cubierto, pero hay gente que a través del blog se va enterando de las noticias en el mundo de la seguridad... así que personalmente creo que cuando hay algo gordo merece la pena.

En ocasiones hay mucho anti-M$, gente que habla de subjetividad y te reprocha que hables de unas cosas sí y otras no (que al final es tu blog, hablas de lo que quieras por supuesto), pero a algunos nos gusta ver tu punto de vista y los comentarios que surgen entre los lectores al respecto :)

Unknown dijo...

Venga va, que ahora eres tu el que lo está esperando y me sabe mal dejarte con el come-come...:

Window$ no mola! Linux si! Yuju!

Ender3 dijo...

Juer, pues como enlace a toda la documentación que ha ido apareciendo no tiene precio, excepto la de hispasec y la de SbD me había "perdido" el resto de artículos.

Anónimo dijo...

yo solo quiero añadir un link más a la lista.
http://www.h-online.com/security/news/item/lnk-vulnerability-Microsoft-fix-causes-icon-chaos-1042888.html

Kuñao dijo...

Oye Maligno, asumiendo que tu blog para el típico inutil que se pajea leyendo foros de hackers con calaveras es un coñazo... ¿No crees que en ocasiones eres demasiado agresivo con tus artículos?.

Que conste que lo dice un tío que ha trabajado con sistemas Microsoft, Unix/Linux/Solaris, y que el Open Source se la trae al pairo.

Chema Alonso dijo...

@Kuñao, tratan de ser más irónicos que agresivos. Lo que pasa es que escrito parece más duro, pero no es el tono.

Saludos!

Anónimo dijo...

Maligno, como sé que te va la marcha, y no quiero que este post pase sin pena ni gloria, te dejo este enlace a los premios Pwnie (actualmente apunta a los nominados para 2010), y este extracto del mismo:

Pwnie for Most Epic FAIL

Sometimes giving 110% just makes your FAIL that much more epic. And what use would the Internet be if it wasn't there to document this FAIL for all time?

This award is to honor a person or company's spectacularly epic FAIL. [...]

Microsoft Internet Explorer 8 XSS filter

Internet Explorer 8 was released with built in cross-site scripting filters which, for nearly a year after release, enabled cross-site scripting on otherwise secure sites. Ironic. Epic. Fail.


¡Suerte para tus amigos, a ver si se lo llevan! :)

Anónimo dijo...

Que desilusión.
Al leer el título pensé que a lo mejor aportabas algo más a este asunto, lástima que no sea así.

Un saludo.
Manolo.

Anónimo dijo...

Era muy esperado este articulo, pero es muy flojo. Antes de tu copy&paste ya habiamos leido toda esa informacion interesante. Podias aportar algo de tu cosecha que seguro que algo puedes decir...
Espero con ansia viva que nos apaguen la primera central nuclear y venga Bruce Willis a rescatarnos XDDDD

Anónimo dijo...

¿Esta vez no nos vas a decir que desactivemos javascript?

Tu antes molabas.

Chema Alonso dijo...

@Manolo, le voy a decir a JL que te meta un troyano en todos servidores, por guerra que me das.

@Anónimo, sí, a ver si gana este año Spectra los Pwnie Awards, que el año pasado arrasó Linux y no puse ningún post ni nada.

@Anónimo de javascript... si no lo eres, te pareces a Tayoken ;)

admin dijo...

Joer macho como te molan los trolls.

Pues nada, gracias por comentar la noticia, me acabo de enterar (te desconectas un par de días y te queman vivo...)

Por cierto lo tuyo con windows no tiene explicación, como tampoco lo tiene lo de algunos con linux.

Putos Fanboys ...

Anónimo dijo...

Window$ KAKA.

Chema Alonso dijo...

@Anónimo, LinuX Benzemá.

Anónimo dijo...

Acabo de leer el artículo de hoy y me ha hecho mucha gracia. Joder tío que manía con los anónimos :)

No es la primera vez que hablamos de esto, que no tiene importancia lo de anónimo, que importa el contenido, que igual no te veo en persona nunca y no te digo nunca "yo soy X", que al resto de la gente mucho peor, porque seguro seguro (bueno no tanto pero casi) que sí que NUNCA los voy a ver en persona...

Y claro que te queremos aunque a veces... bueno... sino no leeríamos tu autofollable ;) blog.

Saludos de TÚ anónimo preferido.

Chema Alonso dijo...

@ÉL "the man" anónimo, sí, para que al cabo de ene intercambio de mensajes me diga: "IP? que es una IP?". Defender tus ideas es bonito ;)

Saludos "The man" }:))

Ramón Sola dijo...

Y pensar que la vulnerabilidad es un fallo de diseño probablemente arrastrado desde hace más de 15 años con las versiones preliminares de Windows 95, en tiempos en los que "se confiaba" en que los desarrolladores hicieran "lo correcto"... Pienso que Microsoft lo tiene complicado para solucionarlo sin afectar demasiado a algunas funcionalidades legítimas. Veremos cómo y cuándo lo consigue.

Ladon dijo...

Creo que esta semana los dos blogs que sigo coinciden en la temática.
http://www.perezreverte.com/articulo/patentes-corso/547/cartas-de-doble-filo/
No creo obliguen a nadie a leer este blog, al que no le guste... y a todos esos anónimos "rebeldes sin causa", creo que tienen fácil solución y no es hacer cambiar al autor.

Anónimo dijo...

@Maligno Tampoco hay que pasarse, que JL hace bichos con mu mala leche xDDDDDDDDDDD

Sigue defendiendo tus ideas, aunque no siempre estemos de acuerdo.

Un saludo.
Manolo.

ÉL the man dijo...

Venga, me has convencido y ya que me has bautizado a partir de ahora escribiré como "ÉL the man".

Me gusta ;)

Besos.

SPECTRAdo dijo...

@ÉL the man por cómo te has despedido yo te llamaría "Él" the "man"

Anónimo dijo...

En este blog se pueden desactivar los comentarios, así que si tanto molestan al autor o a sus lectores, la solución es simple. Si quieres que la gente comente, debes estar dispuesto a aceptar críticas, hasta esas que consideras erróneas. Salvo que seas Enrique Dance, claro :P

B4RRe1R0 dijo...

Como te gusta la fiesta }:-)

JaS dijo...

Muy bueno el post

Anónimo dijo...

Windows comienza con W de Winners y Linux comienza con L de Loosers, te lo regalan te lo menten por los ojos y aún así Microsoft mete record de ventas, jajaajja digan lo que quieran, que si el dinero, que si el monopolio, y todas las looseoradas que quieran, Linux no triunfa porque es una soberana materia fecal. Lo dicho.

Anónimo dijo...

Windows comienza con W de Winners y Linux comienza con L de Loosers, te lo regalan te lo menten por los ojos y aún así Microsoft mete record de ventas, jajaajja digan lo que quieran, que si el dinero, que si el monopolio, y todas las looseoradas que quieran, Linux no triunfa porque es una soberana materia fecal. Lo dicho.

Espada dijo...

Lo que esta claro es que tu vas a hablar de lo que te gusta, si bien soy lector mas o menos nuevo en tu blog y desde el principio me pareció rara tu afición a windows si te manejas en el para que cambiar no?
Yo soy usuario tanto de linux como de windows y todos tienen sus buenas y malas cosas...

P.D: Yo personalmente hubiese agradecido algo de información por tu parte ya que me gusta tu forma de explicar y redactar y aun que sea desde tu perspectiva prowindows siempre hay que no saber perder pero si aceptar el gol.

Un saludo y Felicidades por tu blog

El Observador dijo...

Estimado Chema Alonso:

1. Windows es un sistema operativo pago y por lo tanto debería ser de mayor calidad que los gratuitos.

2. La seguridad en el ciclo de vida del desarrollo/diseño de sistemas (SDLC) debería haberse aplicado hace tiempo en todos los sistemas operativos desarrollados por Microsoft.

3. Cada vez se le descubren más puertas traseras "peligrosas" o vulnerabilidades "críticas" a Windows.

4. Acaso, ¿no dá para pensar que fueron hechas a propósito para beneficio de ALGUIEN? ¿Quien podría ser? ...

Con mucho respeto y profesionalismo, de alguien que se dedica a la Informática desde hace ya mucho tiempo.

Seguridad Informatica dijo...

Estimado Chema Alonso:

1. Windows es un sistema operativo pago y por lo tanto debería ser de mayor calidad que los gratuitos.

2. La seguridad en el ciclo de vida del desarrollo/diseño de sistemas (SDLC) debería haberse aplicado hace tiempo en todos los sistemas operativos desarrollados por Microsoft.

3. Cada vez se le descubren más puertas traseras "peligrosas" o vulnerabilidades "críticas" a Windows.

4. Acaso, ¿no dá para pensar que fueron "creadas o dejadas" allí a propósito para beneficio de ALGUIEN? ¿Quien podría ser? ...

Con mucho respeto y profesionalismo, de alguien que se dedica a la Seguridad Informática.

El Observador dijo...

Estimado Chema, aquí posteo unos links a servicios de noticias que tratan sobre este tema y ponen en evidencia los "graves problemas de seguridad" de Windows y su falta de consideración -o desidia- de la seguridad en el SDLC:

http://www.csospain.es/Siemens-confirma-que-uno-de-sus-clientes-ha-caido-/seccion-actualdiad/noticia-97930

http://www.csospain.es/Microsoft-cubre-una-de-las-vulnerabilidades-de-XP-atacadas-p/seccion-alertas/noticia-99587

Atentamente y con todo respeto.

Chema Alonso dijo...

Amigo Observador,

una muestra no marca una tendencia. Esos son dos nociticas puntuales de las que te puedo sacar miles contrarias.

De una de ellas, la de de Siemens, es especialmente divertida, ya que ellos tenían hardcodeada la password en los SCADA de su empresa que fueron atacados por malware.

El SDL es de lo mejor de la ingeniería del sw en seguridad: indiscutible.

}:))

Saludos!

El Observador dijo...

Estimado Chema:

Antes que nada, felicitaciones por tu brillante exposición en la "ekoparty Security Conference - 6º Edición" ... ;-)

Muchas gracias por responder a mi último post. ¿Acaso también estás respondiendo al del día 26/7/10 11:15 PM ?

Obviamente que una muestra no representa al universo, pero últimamente están saliendo a la luz "varias muestras" de graves errores en los productos de Microsoft (y demás proveedores de software) que ponen en evidencia una falta de calidad y seguridad en el SDLC. ¿Esto será a propósito o simplemente un "inocente" descuido? ... ;-)

Un cordial abrazo !!!

Chema Alonso dijo...

@EL_Observador, te contesto a tu comentario antiguo

1. Windows es un sistema operativo pago y por lo tanto debería ser de mayor calidad que los gratuitos.

--->Cada SSOO tiene su modelo de negocio, que no pagues por una licencia no es que sea gratis. Además, cuando eres el CSO de una empresa no importa si es gratis o no si no la calidad y los fallos del SSOO. Nadie quiere tener un equipo de malos trabajadores sólo porque son más baratos.

2. La seguridad en el ciclo de vida del desarrollo/diseño de sistemas (SDLC) debería haberse aplicado hace tiempo en todos los sistemas operativos desarrollados por Microsoft.

--> Así se hace desde la TCI del año 2002. De hecho fue la primera compañía en aplicar algo así.

3. Cada vez se le descubren más puertas traseras "peligrosas" o vulnerabilidades "críticas" a Windows.

-->Cada vez se le descubren más puertas trasers "peligroas" o vulnerabilidades "críticas" a Linux/Oracle/Google/IBM.

4. Acaso, ¿no dá para pensar que fueron hechas a propósito para beneficio de ALGUIEN? ¿Quien podría ser? ...

--> Sí, como el bug del OpenSSH que lo dejaron los de Debian para que la NSA pudiera espiar a los que se conectaban con Linux y conexiones cifradas...

;)
Saludos!

El Observador dijo...

Estimado y respetado Chema:

Agradecido por tu atención en responder a mis comentarios anteriores, me parece oportuno compartir contigo este interesante artículo titulado "Microsoft no leyó el artículo publicado en 2009 sobre los ataques tipo Stuxnet":

http://threatpost.com/es_la/blogs/microsoft-no-leyo-el-articulo-publicado-en-2009-sobre-los-ataques-tipo-stuxnet-092310

Personalmente no tengo nada en contra de Microsoft, ni pienso que tú por ser un MVP de Microsoft lo defiendas a muerte; pero creo que estamos viviendo tiempos muy complicados en Seguridad de la Información y la visión de futuro al respecto es un poco apocalíptica.

Solo me queda esperar que los desarrolladores de software (comercial y/o opensource) apliquen las recomendaciones de las buenas prácticas (CMMI, ISO/IEC, CobIT, ITIL, etc.) que hace ya "varios" años fueron creadas para tal fin.

Sinceramente y con todo respeto ...

El Observador dijo...

Estimado Chema:

¿Cuál es tu opinión sobre la falla en Windows que permite crear cuentas administrativas 'invisibles' sin ser detectado?:

http://www.exploitdevelopment.com/Vulnerabilities/2010-M$-001.html

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares