jueves, diciembre 18, 2008

Los peligros de la navegación

Durante estos siete días el aluvión de trabajo para el equipo de Windows e Internet Explorer ha sido ingente, se han encontrado con una vulnerabilidad que permitía al atacante ejecutar código arbitrario en el sistema en el espacio del usuario y que según parece contaba con una prueba de concepto que dio lugar a una cadena de exploits de lo más elaborados. Algunos stos exploits hacían uso de la técnica de heap spray que publicaron Sotirov y Mark Dowd como ya anunciaba HD Moore en su primer análisis para poder saltarse las protecciones extras de DEP y ASLR que pudieran estar activadas.

Durante siete días las precauciones a la hora de navegar con IE han sido altas. No hacerlo con usuarios privilegiados y proteger bien el uso de Javascript para que sólo se active en la lista de sitios de confianza, utilizando una política de lista blanca. Ahora ya, si tienes el Windows Update activado, tendrás un parche instalado, listo para instalar o a punto de ser instalado.

Hacer uso de las zonas de seguridad es una de las recomendaciones que más veces he oído contar a “Pajarraco” de los Santos cuando da recomendaciones de seguridad para no ser infectado por exploits en el navegador web. Sin embargo, vivir sin javascript en la mayor parte de Internet implica no ver las páginas correctamente en la mayoría de los casos o perder funcionalidad. Pero también vivir con menos riesgos y con menos publicidad.

Crear una lista blanca de seguridad es muy jodido de mantener, ya que al final, el número de sitios en la lista puede crecer y crecer y crecer, con lo que al final hay que optar por soluciones intermedias. La mejor metáfora que he leído sobre esto es la que realizó Bernardo con las discotecas y los porteros.

Si se consiguiera que todos “los buenos” estuvieran en una lista blanca sería genial, pero parece complicado. A nivel de sistema operativo ha habido y hay diferentes soluciones que han intentado o intentan realizar un mantenimiento de la seguridad en base a listas blancas de programas ejecutables en el sistema.

En los sistemas Windows, las Software Restiction Policies han sido una solución en entornos corporativos que han ofrecido algunas herramientas para el control de aplicaciones pero ni mucho menos ha sido una solución completa de listas blancas.

Secuware en España tiene una solución basada en listas blancas para evitar la ejecución de programas no deseados en la máquina dónde todos y cada uno de los ficheros deben ser aprobados. Otra empresa que trabaja sobre este paradigma es Bit9, una empresa norteamericana que desarrolla software de control de ejecuciones en entornos de red.

Al final, todas los soluciones basadas en listas blancas no dejan de tener las ventajas e inconvenientes que describía Bernardo: Más seguro, más incómodo, más falsos positivos, más administración y listas que pueden crecer al infinito que se optimizan como se puede.

Esta misma gente de Bit9, como empresa que se dedica a hacer listas blancas de software, debe conocer quiénes son los “sospechosos habituales” es decir, cuales son los programas que se despliegan en una red que suelen ser caldo de cultivo por diversas razones. Para ellos, los “sospechosos habituales” son aquellos que:

1.- Se ejecutan sobre Windows: Por eso de la cuota de mercado que tiene esta plataforma en el desktop.

2.- Se lo suelen instalar los usuarios y No los administradores de sistemas: Ya sabéis, para hacer “sus cositas” y que por tanto suelen estar fuera de la administración corporativa.

3.- Son programas que no están catalogados como maliciosos y por tanto pasar los firewalls, los antivirus, etc….

4.- Contienen vulnerabilidades de menos de 1 año y con nivel de criticidad de 7 a 10 según Common Vulnerability Scoring System (CVSS)

5.- La actualización de los mismos recae en el propio usuario normalmente, ya sea mediante un programa en el cliente que él usuario debe utilizar o bien visitando una web para descargar la nueva versión. Vamos, que debe estar atento el usuario a las novedades en seguridad

6.- La aplicación no puede ser automáticamente integrada en el software de despliegue de actualizaciones, tipo System Center Configuration Manager, y se necesita una labor de administración para integrarla en el control corporativo.


Según ellos, estas son las aplicaciones más peligrosas en las redes corporativas con entornos Windows:



Top Ten de los Sospechosos Habituales

Cómo se puede comprobar, la clasificación no ha cambiado significativamente con respecto a lo que publicaron en el 2006.

Sí, hemos tenido 7 días de precaución máxima con IE7, pero debemos tener 365 días de precaución máxima con todo. Para usuarios individuales en su casita estaría bien tener configuradito Windows Update y Secunia Personal Inspector y para las “empresitas” con redes Windows, tener up and running algo como Window Software Update Services y System Center Configuration Manager.

Saludos Malignos!

20 comentarios:

Anónimo dijo...

Se acerca una tormenta....

Chema, siempre he pensado que la mejor defensa es un buen ataque, pero lo tuyo no tiene remedio ;)

¡Y a ver cuándo vienes por Barncelona!

palako dijo...

errr.... veamoslo de esta otra forma:
Que hace mas dagno, que te atropelle un tren o que te atropelle un coche? y que prefieres, cruzar una via o cruzar la M-40? Supongo que pillas la metafora.

Llevo agnos intentado convencer a mi padre de que se cambie a la manzanita, pero no hay manera. Por lo menos lo convenci para usar firefox y thunderbird en su windows, y su calidad de vida de jubilado a mejorado considerablemente. Ahora se dedica a usar el ordenador en vez de a reinstalar windows cada mes.

Darth Kiwi dijo...

En fin... no hay nada como desviar un poco la atencion. Lo ajeno siempre sera peor, por supuesto XD.
Seguro que hay otro estudio de otra empresa que dice exactamente lo contrario. Cuestion de Marketing

Anónimo dijo...

Vaya cuentos de la abuela, justificad lo que queráis pero vaya puta gracia con este temita (por no hablar de que todo dios ahora recomienda lo mismo, desactivar el puto javascript, y eso no es ninguna solución, ni tampoco lo es una lista blanca), tengo el WSUS que echará humo en breve.

Si no fuera por los OWA de la gente iba a mantener esa cafetera de navegador yo en la empresa por los...

Con calma chema..

Wi®

Abel dijo...

De acuerdo que no poder gestionar la actualización del software de forma centralizada es un problema, pero de ahí a poner en una lista que Firefox es la primera aplicación más vulnerable...

Bien es cierto que los fallos de seguridad de productos de Microsoft tienen más repercusión en prensa (incluida la no especializada), mientras que los de otros productos quedan reducidos a los boletines de sus fabricantes.

La cosa es que para los delincuentes resulta más rentable explotar las vulnerabilidades del software utilizado por más usuarios. Pero no os preocupéis, que algún día cambiarán las tornas, para bien y para mal :)

Anónimo dijo...

He leído tu artículo y no me ha dejado de producir curiosidad, así que procuré buscar el motivo de que los resultados fueran los que son. Sólo leyendo con un poco de atención uno puede darse cuenta de que la "trampa" reside básicamente en los puntos 2 y 6 de lo que tú llamas "sospechosos habituales", cuando en realidad es el criterio que ha de seguir el listado.

Según el punto dos, sólo pueden aparecer aplicaciones instaladas por usuarios y no por administradores. Varias de las que uno echa en falta al ver esta lista son las que vienen por defecto en los sistemas Microsoft Windows y que, en principio, sólo puede instalar el administrador del equipo.

Por otro lado, el punto 6 declara que han de ser aplicaciones que no se puedan integrar en un sistema de actualizaciones generales, como pudiera ser Windows Update.

Siendo esto así, de buen principio han dejado fuera a aquellas aplicaciones en las que muchos hemos pensado y pertenecen a sistemas Microsoft. ¿Cómo no obtener así un resultado acorde con los intereses de la compañía? Recordemos que Bit9 se dedica a la seguridad en sistemas Microsoft Windows. Si en los primeros puestos aparecieran aplicaciones clave e inalienables de Microsoft Windows sería una mala publicidad para la mano que, básicamente, le da de comer.

En definitiva un poco imaginativo intento de disfrazar una lista "casi a dedo".

Mdk.

Saludos.

PD: Si es que hay imágenes que no dan mucha confianza... http://www.bit9.com/partners/technologyalliances/index.php

Anónimo dijo...

Hola.

Si quieres seguridad utiliza FireFox con NoScript activado (solo activar en páginas confiables, como Google y no como Microsoft "hay que tocar un poco los webs"), no navegar con el mismo por páginas de dudosa dedicación, ... con todo seguro que se escapa algo.

Si usas Linux algo más de seguridad conseguiras ...

Usar Internet Explorer es de suicidas y ganas de buscarse un lio a las primeras de cambio.

El informe de Bit9 ... pos eso ahora M$ solo puede pagar para que no se le vean las verguenzas. Vamos tengo la esperanza que el futuro Windows mejore MUCHO o los "malignos" tendrán que ir buscando otras organizaciones.

Saludos

Chema Alonso dijo...

@tayoken, estoy en Barna el día 12 por la noche y el 13 en el evento de la gira de seguridad. ¿Tormenta?

@Palako, supongo que le habrás recomendado actualizar y no usar firefox en modo administrador, ¿no?. Yo mi Windows (instalado por quién tú ya sabes) no lo reinstalo nada más que cuando cambio de ordenador, así que, técnicamente, nunca lo reinstalo, sólo lo instalo.

@Darth Kiwi, además que sí, estos de firefox se buscan cualquier excusa para desviar la atención. Están señalados con dedos de fuego en las empresas por ser dificilmente gestionables en una administracion IT y se buscan cualquier "cosita" de IE7 para desviar la atención... Estos de marketing...

@CentOS, el WSUS que echará humo??? jajaj, y dime... ¿cómo ibas a actualizar los firefox? ¿Con un servidor de café? Menos mal que tu empresa tiene el mejor servidor de correo que se ha creado nunca y no uno de esos servidores de correo que usan protocolos de acceso al buzón inseguras, o que no comprueban la raíz de confianza a los certificados digitales que si no.... ibas a tener muuuuuucho trabajo.

Saludos Exchange!

@Abel cierto, y por ello firefox está en el punto de mira.

@Anónimo [mdk], no, no te equivoques. La lista está hecha con aquellas aplicaciones que suelen estar sin actualizar porque no se integran fácilmente con los sistemas de actualizaciones automáticas y no al revés. De hecha casi a dedo poco.

Saludos!

PD: Dios!! tienen alianzas con HP e IBM!! Esos del OpenSolaris, el Linux en el server, el HP-UX, el tívoli y el plan de Linux en el desktop!!! Y encima el link es php!!! ya no me puedo fiar de estos datos!!!

En fin...

@null, lo de no entrar en páginas de reputación dudosa hace tiempo que no tiene sentido, pues como sabes los "malos" buscan webs en las que confies, las juankean y les enchufan unos scripts muy malos. Así que esa recomendación no vale. Puesto a elegir un navegador distinto de IE... ¿por qué firefox que tiene tanto malware como IE? Porqué no recomiendas alguno como Opera que tiene menos malware???. Y puesto a poner no ejecución de script con Noscript...¿por qué no las zonas de IE?.

Yo llevo usando IE desde hace años y lo uso hasta para las auditorías de seguridad y te juro que no es de suicidas.

Saludos "Malignos"

Anónimo dijo...

Venga no jodas. Ha habido una cagada con el IE y ya, se admite y corrige y punto Más cagadas ha habido con otro SW de otros SO y otras empresa y... se admite y corrige y ya. Esto no quiere decir que no sean objetivo de críticas y burlas en tertulias con una birrita en la mano. Espero que lo hayas escrito con ese ánimo porque sino...¿será alarmimo? ¿intentar joder a la competencia para que sólo se usen productos de MS?

Lo que dice el informe de empresas es un poco de risa, alarmista y con escasa base. Con el AD y políticas se pude hacer que un usuario no instale nada (esto ya lo sabes) y que lo que se instala, como el Acrobat que ponen en la lista, se despliegue a través de un AD y punto.

Incluso el Firefox se puede controlar mediante políticas (pregúntale a Silverhack) como si fuera el IE.

¿Cervecita y cachondeito o alarmismo y difamación?

Anónimo dijo...

Bufff... se leen posts muy interesantes en este blog pero quizás el precio a pagar es demasiado alto... estos M$ evangelists XD

Anónimo dijo...

Hola Maligno.

El porque usar FireFox (aparte que es tan bueno como el resto) por los Addons que son una maravilla (los 4 o 5 que uso principalmente).

Opera es (a mi juicio) el mejor navegador para uso de la gente que no desarrolla sitios webs. Si tuviera los addons de FireFox ...

Por otro lado, desconociendo mucho del tema "Clickjaking" el único que paliaba parte del problema era el FireFox ... Y este si es un bicho malo-malo.

Saludos.

Anónimo dijo...

Añado algo...

Leyendo las noticias publicadas en muchos medios de comunicación, la idea que, cualquier usuario, podría extraer..."no uses explorer durante un tiempo, es inseguro". Tal y como se nos presenta, hasta puedes pensar que los otros navegadores son totalmente seguros, no tienen fallos críticos, etc. Es obvio, se trata de algo rotundamente falso. Si bien, un fallo de seguridad, en un producto que tiene una cuota de mercado superior a otros navegadores se deja notar más, pero este no es motivo para distorsionar la realidad.

Aunque ahora, ya está, se acabó; Con el parche disponible que corrige problemas pasados, "todo" resuelto. Ahora bien, a mí me queda una duda, ¿Se realizaría un aviso al usuario tan alarmante si otro navegador tuviera un fallo crítico?¿En todos los medios?¿Dans también? Claro que no.

Saludos

Anónimo dijo...

@Alex es lo mismo que cuando pierde un partido el Barcelona o el Real. ¿Se trata igual que pierda el primero de la tabla que el Alcollano?

Chema Alonso dijo...

@anónimo, por eso todos los Alcoyanos quieren un Casillas, un Van Nistelroy o a super Raúl!

Saludos malignos!

Anónimo dijo...

@palako
¿Una persona puede ser tan inútil como para reinstalar Windows cada mes? Supongo que exageras, como todos los fanboys que se respeten de serlo.

Personalmente yo uso Firefox con NoScript y me olvido del asunto, el IE sólo para Windows Update y poco más que eso.

Anónimo dijo...

"La lista está hecha con aquellas aplicaciones que suelen estar sin actualizar"

Firefox more likely to be fully patched: http://www.itworld.com/070517secunia

Y ahora buscas la cuota de mercado que sigue teniendo IE6.

Anónimo dijo...

Muy instructiva la entrada.
Da miedo lo que sabes ;-)
Saludos!

Chema Alonso dijo...

@anónimo, te voy a explicar mis palabras que tú eres de esos que se coje la interpretación por dónde mejor les parece. "Suelen estar sin parchear" significa, que, a pesar de la existencia de parches, ya sea porque los usuarios no son experimentados, no les sale de jebe o símplemente las herramientas existentes no son lo cómodas que debieran, suelen estar sin parchear en los entornos de red. Y además, corroboro esa afirmación con mi experiencia personal.

Instalate PSI a ver si tienes todo al día.

PD: Respecto a ver quién la tiene más grande... creo que IE.

Saludos!

Anónimo dijo...

http://www.mozilla.org/security/announce/2008/mfsa2008-60.html

no es por no decir nada...pero...

Chema Alonso dijo...

Hola!!

Linux tiene una cuota de mercado en desktop inferior al 0.85%, así que sus resultados en los últimos años no han sido ni mucho menos crecientes.

En España, el informe de uso de Linux en España, uno de los paises que más a apostado por él, dejó unos resultados bastante reveladores: Uso de Linux en España

Y en Spectra se lucha activamente contra la piratería, con todas las formas posibles. Que Vista es más dificil de piratear que XP es un hecho, que se sabe qué copias son piratas, es cierto, pero que no se puede bloquear una copia de un usuario en su casa es un derecho que tienen los ciudadanos en muchos paises.

Saludos!

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares