jueves, julio 22, 2010

El post del LNK, porque tú lo has pedido

Cuando sale una noticia de una vulnerabilidad gorda en Windows siempre estoy esperando a ese anónimo cariñoso que me va a poner algo como “… y hahora porke no dices nada de la mierda de Window$” o algo parecido con más o menos faltas de ortografía, que hay algunos anónimos que escriben mejor que yo.

En el fondo me halaga mucho recibir ese comentario. Ya sea porque consideran mi opinión tan importante para ellos que les lleva de estados de jolgorio a dolor penoso, ya sea porque realmente quieren mi opinión o ya sea porque han descubierto que soy familia de Bill Gates.

En cualquiera de los casos, en español hay otros muchos sitios donde leer información de seguridad y, aunque parezca mentira, muchas veces tratamos de no repetirnos entre nosotros ya que el mundo de la seguridad es tan amplio que hay temas para todos cada día. Así, a veces incluso, le pregunto a Sergio de los Santos, que junto a Antonio Ropero y Bernardo Quintero, dirigen la línea editorial de Una al Día si va a hablar de un tema en concreto o a Alejandro Ramos de SecurityByDefault si va a tocar tal noticia. De hecho, muchas veces he desechado cosas que tenía escritas porque ellos lo han contado mucho mejor que yo.

En el caso del lnk, cuando vi en mi RSS la noticia en Packet Storm Security sabía, por descontado, que esta noticia iba a estar en Una-al-día y en SecurityByDefault bien explicado.

Sergio de los Santos lo sacó inmediatamente y con su estilo. Después de años leyéndole, sé que su estilo de preparar una noticia es muy cuidadoso. Primero se informa bien, luego intenta asimilar e interiorizar la time-line de la noticia y por último lo describe todo cronológicamente para que lo entienda todo el mundo, añadiendo referencias cruzadas a hechos anteriores. Me gusta mucho porque resume en sus noticas todo lo relativo al tema. Suelo quejarme más de sus finos comentarios de editorial que pone en las partes finales. Como era de esperar, al día siguiente estaba detallada la información que había salido en The Register y algo más.

Hablando por teléfono tras la publicación comentamos el hecho de que ya la había publicado y que no habían salido los detalles técnicos: “Pishita, acaba de salir en exploit-db la POC para lusers como tú y voy a publicarlo.

En el caso de SecurityByDefault su estilo es distinto. No les gusta poner noticias, sino añadir valor técnico a ellas. Así que, si hay un tema ellos lo completan técnicamente, es decir, si hay un fallo de PDF ellos dan soluciones, herramientas de análisis y ejemplos de uso. Si el tema es de relativo al DNS, ellos hacen una comparativa, prueban las diferentes soluciones y dejan la información al estudio, y, con el caso del exploit LNK, de nuevo Alejandro hizo otra pasada de artículo. Saco su Windows y ale, a mitigar el exploit. Tanto nos gustó que lo pusimos en Windows Técnico.

Con esto de por medio, Leonardo Pigñer, otro de esos Argentinos locos que os tendré que presentar este blog, miembro del team de la Ekoparty y escritor de otro buen blog de seguridad llamado Kungfoosion, publicó cómo explotarlo con Metasploit.

Pero.. a pesar de toda esta información, muchos amigos todavía esperan que yo ponga algo del fallo del lnk que no haya dicho Sergio, Alex, Leo o la propia Spectra. ¿Por qué? Pues porque me adoran y yo lo sé.

Pues nada, este es tu post, para que pongas cosas como “Widnows$ no mola” o “M$ ZuckS” o lo que te apetezca, ya sabes que a pesar de todo, yo te seguiré aloviando.

Saludos Malignos!

36 comentarios:

  1. ves como cuando quieres dominas la sorna con estilo? ;)

    ResponderEliminar
  2. No siempre se trata de hacer un análisis exhaustivo, sobre todo si otros ya lo han cubierto, pero hay gente que a través del blog se va enterando de las noticias en el mundo de la seguridad... así que personalmente creo que cuando hay algo gordo merece la pena.

    En ocasiones hay mucho anti-M$, gente que habla de subjetividad y te reprocha que hables de unas cosas sí y otras no (que al final es tu blog, hablas de lo que quieras por supuesto), pero a algunos nos gusta ver tu punto de vista y los comentarios que surgen entre los lectores al respecto :)

    ResponderEliminar
  3. Venga va, que ahora eres tu el que lo está esperando y me sabe mal dejarte con el come-come...:

    Window$ no mola! Linux si! Yuju!

    ResponderEliminar
  4. Juer, pues como enlace a toda la documentación que ha ido apareciendo no tiene precio, excepto la de hispasec y la de SbD me había "perdido" el resto de artículos.

    ResponderEliminar
  5. yo solo quiero añadir un link más a la lista.
    http://www.h-online.com/security/news/item/lnk-vulnerability-Microsoft-fix-causes-icon-chaos-1042888.html

    ResponderEliminar
  6. Oye Maligno, asumiendo que tu blog para el típico inutil que se pajea leyendo foros de hackers con calaveras es un coñazo... ¿No crees que en ocasiones eres demasiado agresivo con tus artículos?.

    Que conste que lo dice un tío que ha trabajado con sistemas Microsoft, Unix/Linux/Solaris, y que el Open Source se la trae al pairo.

    ResponderEliminar
  7. @Kuñao, tratan de ser más irónicos que agresivos. Lo que pasa es que escrito parece más duro, pero no es el tono.

    Saludos!

    ResponderEliminar
  8. Maligno, como sé que te va la marcha, y no quiero que este post pase sin pena ni gloria, te dejo este enlace a los premios Pwnie (actualmente apunta a los nominados para 2010), y este extracto del mismo:

    Pwnie for Most Epic FAIL

    Sometimes giving 110% just makes your FAIL that much more epic. And what use would the Internet be if it wasn't there to document this FAIL for all time?

    This award is to honor a person or company's spectacularly epic FAIL. [...]

    Microsoft Internet Explorer 8 XSS filter

    Internet Explorer 8 was released with built in cross-site scripting filters which, for nearly a year after release, enabled cross-site scripting on otherwise secure sites. Ironic. Epic. Fail.


    ¡Suerte para tus amigos, a ver si se lo llevan! :)

    ResponderEliminar
  9. Que desilusión.
    Al leer el título pensé que a lo mejor aportabas algo más a este asunto, lástima que no sea así.

    Un saludo.
    Manolo.

    ResponderEliminar
  10. Era muy esperado este articulo, pero es muy flojo. Antes de tu copy&paste ya habiamos leido toda esa informacion interesante. Podias aportar algo de tu cosecha que seguro que algo puedes decir...
    Espero con ansia viva que nos apaguen la primera central nuclear y venga Bruce Willis a rescatarnos XDDDD

    ResponderEliminar
  11. ¿Esta vez no nos vas a decir que desactivemos javascript?

    Tu antes molabas.

    ResponderEliminar
  12. @Manolo, le voy a decir a JL que te meta un troyano en todos servidores, por guerra que me das.

    @Anónimo, sí, a ver si gana este año Spectra los Pwnie Awards, que el año pasado arrasó Linux y no puse ningún post ni nada.

    @Anónimo de javascript... si no lo eres, te pareces a Tayoken ;)

    ResponderEliminar
  13. Joer macho como te molan los trolls.

    Pues nada, gracias por comentar la noticia, me acabo de enterar (te desconectas un par de días y te queman vivo...)

    Por cierto lo tuyo con windows no tiene explicación, como tampoco lo tiene lo de algunos con linux.

    Putos Fanboys ...

    ResponderEliminar
  14. Acabo de leer el artículo de hoy y me ha hecho mucha gracia. Joder tío que manía con los anónimos :)

    No es la primera vez que hablamos de esto, que no tiene importancia lo de anónimo, que importa el contenido, que igual no te veo en persona nunca y no te digo nunca "yo soy X", que al resto de la gente mucho peor, porque seguro seguro (bueno no tanto pero casi) que sí que NUNCA los voy a ver en persona...

    Y claro que te queremos aunque a veces... bueno... sino no leeríamos tu autofollable ;) blog.

    Saludos de TÚ anónimo preferido.

    ResponderEliminar
  15. @ÉL "the man" anónimo, sí, para que al cabo de ene intercambio de mensajes me diga: "IP? que es una IP?". Defender tus ideas es bonito ;)

    Saludos "The man" }:))

    ResponderEliminar
  16. Y pensar que la vulnerabilidad es un fallo de diseño probablemente arrastrado desde hace más de 15 años con las versiones preliminares de Windows 95, en tiempos en los que "se confiaba" en que los desarrolladores hicieran "lo correcto"... Pienso que Microsoft lo tiene complicado para solucionarlo sin afectar demasiado a algunas funcionalidades legítimas. Veremos cómo y cuándo lo consigue.

    ResponderEliminar
  17. Creo que esta semana los dos blogs que sigo coinciden en la temática.
    http://www.perezreverte.com/articulo/patentes-corso/547/cartas-de-doble-filo/
    No creo obliguen a nadie a leer este blog, al que no le guste... y a todos esos anónimos "rebeldes sin causa", creo que tienen fácil solución y no es hacer cambiar al autor.

    ResponderEliminar
  18. @Maligno Tampoco hay que pasarse, que JL hace bichos con mu mala leche xDDDDDDDDDDD

    Sigue defendiendo tus ideas, aunque no siempre estemos de acuerdo.

    Un saludo.
    Manolo.

    ResponderEliminar
  19. Venga, me has convencido y ya que me has bautizado a partir de ahora escribiré como "ÉL the man".

    Me gusta ;)

    Besos.

    ResponderEliminar
  20. @ÉL the man por cómo te has despedido yo te llamaría "Él" the "man"

    ResponderEliminar
  21. En este blog se pueden desactivar los comentarios, así que si tanto molestan al autor o a sus lectores, la solución es simple. Si quieres que la gente comente, debes estar dispuesto a aceptar críticas, hasta esas que consideras erróneas. Salvo que seas Enrique Dance, claro :P

    ResponderEliminar
  22. Windows comienza con W de Winners y Linux comienza con L de Loosers, te lo regalan te lo menten por los ojos y aún así Microsoft mete record de ventas, jajaajja digan lo que quieran, que si el dinero, que si el monopolio, y todas las looseoradas que quieran, Linux no triunfa porque es una soberana materia fecal. Lo dicho.

    ResponderEliminar
  23. Windows comienza con W de Winners y Linux comienza con L de Loosers, te lo regalan te lo menten por los ojos y aún así Microsoft mete record de ventas, jajaajja digan lo que quieran, que si el dinero, que si el monopolio, y todas las looseoradas que quieran, Linux no triunfa porque es una soberana materia fecal. Lo dicho.

    ResponderEliminar
  24. Lo que esta claro es que tu vas a hablar de lo que te gusta, si bien soy lector mas o menos nuevo en tu blog y desde el principio me pareció rara tu afición a windows si te manejas en el para que cambiar no?
    Yo soy usuario tanto de linux como de windows y todos tienen sus buenas y malas cosas...

    P.D: Yo personalmente hubiese agradecido algo de información por tu parte ya que me gusta tu forma de explicar y redactar y aun que sea desde tu perspectiva prowindows siempre hay que no saber perder pero si aceptar el gol.

    Un saludo y Felicidades por tu blog

    ResponderEliminar
  25. Estimado Chema Alonso:

    1. Windows es un sistema operativo pago y por lo tanto debería ser de mayor calidad que los gratuitos.

    2. La seguridad en el ciclo de vida del desarrollo/diseño de sistemas (SDLC) debería haberse aplicado hace tiempo en todos los sistemas operativos desarrollados por Microsoft.

    3. Cada vez se le descubren más puertas traseras "peligrosas" o vulnerabilidades "críticas" a Windows.

    4. Acaso, ¿no dá para pensar que fueron hechas a propósito para beneficio de ALGUIEN? ¿Quien podría ser? ...

    Con mucho respeto y profesionalismo, de alguien que se dedica a la Informática desde hace ya mucho tiempo.

    ResponderEliminar
  26. Seguridad Informatica26/7/10 11:19 p. m.

    Estimado Chema Alonso:

    1. Windows es un sistema operativo pago y por lo tanto debería ser de mayor calidad que los gratuitos.

    2. La seguridad en el ciclo de vida del desarrollo/diseño de sistemas (SDLC) debería haberse aplicado hace tiempo en todos los sistemas operativos desarrollados por Microsoft.

    3. Cada vez se le descubren más puertas traseras "peligrosas" o vulnerabilidades "críticas" a Windows.

    4. Acaso, ¿no dá para pensar que fueron "creadas o dejadas" allí a propósito para beneficio de ALGUIEN? ¿Quien podría ser? ...

    Con mucho respeto y profesionalismo, de alguien que se dedica a la Seguridad Informática.

    ResponderEliminar
  27. El Observador15/9/10 5:54 p. m.

    Estimado Chema, aquí posteo unos links a servicios de noticias que tratan sobre este tema y ponen en evidencia los "graves problemas de seguridad" de Windows y su falta de consideración -o desidia- de la seguridad en el SDLC:

    http://www.csospain.es/Siemens-confirma-que-uno-de-sus-clientes-ha-caido-/seccion-actualdiad/noticia-97930

    http://www.csospain.es/Microsoft-cubre-una-de-las-vulnerabilidades-de-XP-atacadas-p/seccion-alertas/noticia-99587

    Atentamente y con todo respeto.

    ResponderEliminar
  28. Amigo Observador,

    una muestra no marca una tendencia. Esos son dos nociticas puntuales de las que te puedo sacar miles contrarias.

    De una de ellas, la de de Siemens, es especialmente divertida, ya que ellos tenían hardcodeada la password en los SCADA de su empresa que fueron atacados por malware.

    El SDL es de lo mejor de la ingeniería del sw en seguridad: indiscutible.

    }:))

    Saludos!

    ResponderEliminar
  29. Estimado Chema:

    Antes que nada, felicitaciones por tu brillante exposición en la "ekoparty Security Conference - 6º Edición" ... ;-)

    Muchas gracias por responder a mi último post. ¿Acaso también estás respondiendo al del día 26/7/10 11:15 PM ?

    Obviamente que una muestra no representa al universo, pero últimamente están saliendo a la luz "varias muestras" de graves errores en los productos de Microsoft (y demás proveedores de software) que ponen en evidencia una falta de calidad y seguridad en el SDLC. ¿Esto será a propósito o simplemente un "inocente" descuido? ... ;-)

    Un cordial abrazo !!!

    ResponderEliminar
  30. @EL_Observador, te contesto a tu comentario antiguo

    1. Windows es un sistema operativo pago y por lo tanto debería ser de mayor calidad que los gratuitos.

    --->Cada SSOO tiene su modelo de negocio, que no pagues por una licencia no es que sea gratis. Además, cuando eres el CSO de una empresa no importa si es gratis o no si no la calidad y los fallos del SSOO. Nadie quiere tener un equipo de malos trabajadores sólo porque son más baratos.

    2. La seguridad en el ciclo de vida del desarrollo/diseño de sistemas (SDLC) debería haberse aplicado hace tiempo en todos los sistemas operativos desarrollados por Microsoft.

    --> Así se hace desde la TCI del año 2002. De hecho fue la primera compañía en aplicar algo así.

    3. Cada vez se le descubren más puertas traseras "peligrosas" o vulnerabilidades "críticas" a Windows.

    -->Cada vez se le descubren más puertas trasers "peligroas" o vulnerabilidades "críticas" a Linux/Oracle/Google/IBM.

    4. Acaso, ¿no dá para pensar que fueron hechas a propósito para beneficio de ALGUIEN? ¿Quien podría ser? ...

    --> Sí, como el bug del OpenSSH que lo dejaron los de Debian para que la NSA pudiera espiar a los que se conectaban con Linux y conexiones cifradas...

    ;)
    Saludos!

    ResponderEliminar
  31. El Observador24/9/10 6:08 p. m.

    Estimado y respetado Chema:

    Agradecido por tu atención en responder a mis comentarios anteriores, me parece oportuno compartir contigo este interesante artículo titulado "Microsoft no leyó el artículo publicado en 2009 sobre los ataques tipo Stuxnet":

    http://threatpost.com/es_la/blogs/microsoft-no-leyo-el-articulo-publicado-en-2009-sobre-los-ataques-tipo-stuxnet-092310

    Personalmente no tengo nada en contra de Microsoft, ni pienso que tú por ser un MVP de Microsoft lo defiendas a muerte; pero creo que estamos viviendo tiempos muy complicados en Seguridad de la Información y la visión de futuro al respecto es un poco apocalíptica.

    Solo me queda esperar que los desarrolladores de software (comercial y/o opensource) apliquen las recomendaciones de las buenas prácticas (CMMI, ISO/IEC, CobIT, ITIL, etc.) que hace ya "varios" años fueron creadas para tal fin.

    Sinceramente y con todo respeto ...

    ResponderEliminar
  32. El Observador7/12/10 7:32 p. m.

    Estimado Chema:

    ¿Cuál es tu opinión sobre la falla en Windows que permite crear cuentas administrativas 'invisibles' sin ser detectado?:

    http://www.exploitdevelopment.com/Vulnerabilities/2010-M$-001.html

    ResponderEliminar