Los boletines “críticos” son:

• MS11-087: Se trata de una actualización destinada a solucionar una vulnerabilidad de ejecución remota de código arbitrario si un usuario abre un documento especialmente diseñado o visita una página web maliciosa que inserta archivos de fuentes TrueType. Esta actualización es de gran importancia debido a que viene a corregir el problema del que se aprovecha Duqu (el troyano del que tanto se ha hablado en los últimos meses). Afecta a Microsoft Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.
• MS11-090: Actualización de seguridad acumulativa de bits de interrupción de ActiveX contiene nuevos bits de interrupción y todos los bits de interrupción publicados anteriormente. Afecta a Microsoft Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.
• MS11-092: Actualización que soluciona una vulnerabilidad de ejecución remota de código arbitrario en el Reproductor de Windows Media y Windows Media Center, a través de un archivo de grabación de vídeo digital de Microsoft (.dvr-ms) específicamente creado.

Los boletines clasificados como “importantes” son:

• MS11-088: Actualización para solucionar una vulnerabilidad en Microsoft Office IME (chino).
• MS11-089: Trata de una vulnerabilidad en Microsoft Office, que podría permitir la ejecución remota de código si un usuario abre un archivo de Word especialmente creado. Afecta a Microsoft Office 2007, 2010 y Office para Mac 2011.
• MS11-091: Boletín destinado a corregir tres vulnerabilidades en Microsoft Office, que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de Publisher específicamente diseñado. Afecta a Microsoft Office 2007 y 2010.
• MS11-093: Actualización para corregir una vulnerabilidad en OLE podría permitir la ejecución remota de código. Afecta a Windows XP y Windows Server 2003.
• MS11-094: Boletín destinado a corregir dos vulnerabilidades en Microsoft Office, que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de PowerPoint específicamente diseñado. Afecta a Microsoft Office 2007, 2010 y Microsoft Office 2008 para Mac.
• MS11-095: Actualización para corregir una vulnerabilidad de ejecución remota de código en Active Directory, Active Directory Application Mode (ADAM) y en el servicio de directorio ligero de Active Directory (AD LDS).
• MS11-096: Actualización para corregir una vulnerabilidad en Microsoft Office, que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de Excel específicamente manipulado. Afecta a Microsoft Office 2003 y Microsoft Office 2004 para Mac.
• MS11-097 Actualización para corregir una vulnerabilidad de elevación de privilegios en el subsistema de tiempo de ejecución de cliente-servidor de Windows. Afecta a Microsoft Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.
• MS11-098: Actualización para corregir una vulnerabilidad de elevación de privilegios en el kernel de Windows. Afecta a Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.
• MS11-099: Actualización acumulativa para Microsoft Internet Explorer que además soluciona tres nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 6, 7, 8 y 9.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

Resumen del boletín de seguridad de Microsoft de diciembre 2011
http://technet.microsoft.com/es-es/security/bulletin/ms11-dec

Boletín de seguridad de Microsoft MS11-087 – Crítica
Una vulnerabilidad en los controladores en modo kernel de Windows podría permitir la ejecución remota de código (2639417)
http://technet.microsoft.com/es-es/security/bulletin/ms11-087

Boletín de seguridad de Microsoft MS11-088 – Importante
Una vulnerabilidad en Microsoft Office IME (chino) podría permitir la elevación de privilegios (2652016)
http://technet.microsoft.com/es-es/security/bulletin/ms11-088

Boletín de seguridad de Microsoft MS11-089 – Importante
Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código (2590602)
http://technet.microsoft.com/es-es/security/bulletin/ms11-089

Boletín de seguridad de Microsoft MS11-090 – Crítica
Actualización de seguridad acumulativa de bits de interrupción de ActiveX (2618451)
http://technet.microsoft.com/es-es/security/bulletin/ms11-090

Boletín de seguridad de Microsoft MS11-091 – Importante
Vulnerabilidades en Microsoft Publisher podrían permitir la ejecución remota de código (2607702)
http://technet.microsoft.com/es-es/security/bulletin/ms11-091

Boletín de seguridad de Microsoft MS11-092 – Crítica
Una vulnerabilidad en Windows Media podría permitir la ejecución remota de código (2648048)
http://technet.microsoft.com/es-es/security/bulletin/ms11-092

Boletín de seguridad de Microsoft MS11-093 – Importante
Una vulnerabilidad en OLE podría permitir la ejecución remota de código (2624667)
http://technet.microsoft.com/es-es/security/bulletin/ms11-093

Boletín de seguridad de Microsoft MS11-094 – Importante
Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (2639142)
http://technet.microsoft.com/es-es/security/bulletin/ms11-094

Boletín de seguridad de Microsoft MS11-095 – Importante
Una vulnerabilidad en Active Directory podría permitir la ejecución remota de código (2640045)
http://technet.microsoft.com/es-es/security/bulletin/ms11-095

Boletín de seguridad de Microsoft MS11-096 – Importante
Una vulnerabilidad en Microsoft Excel podría permitir la ejecución remota de código (2640241)
http://technet.microsoft.com/es-es/security/bulletin/ms11-096

Boletín de seguridad de Microsoft MS11-097 – Importante
Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2620712)
http://technet.microsoft.com/es-es/security/bulletin/ms11-097

Boletín de seguridad de Microsoft MS11-098 – Importante
Una vulnerabilidad en el kernel de Windows podría permitir la elevación de privilegios (2633171)
http://technet.microsoft.com/es-es/security/bulletin/ms11-098

Boletín de seguridad de Microsoft MS11-099 – Importante
Actualización de seguridad acumulativa para Internet Explorer (2618444)
http://technet.microsoft.com/es-es/security/bulletin/ms11-099

Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

El objetivo es tratar la pregunta que a menudo se plantea en la web: ¿Saben los padres cómo educar y proteger a sus hijos en la correcta utilización de la red?, informando sobre cómo sus hijos deberían estar utilizando Internet y poder disfrutar en familia de los recursos que se ofrecen.

Junto con EU Kids Online, Fundación Alia2, Protégeles, Save the Children y UNICEF España, presentan así esta plataforma con consejos que nos ayudarán a disfrutar de la web de una forma más segura y productiva.

Más información en el Blog Google España y nota de prensa (PDF).

Autor: Juan Diego Polo
Fuente: wwwhat’s new

Un brote reciente de estafas en Facebook (después de un período de relativa calma) utiliza supuestas fotos X de celebridades para llamar la atención. Hemos visto variantes más suaves en las que sólo se insinúa una conducta escandalosa:

A estas alturas, teniendo en cuanta lo fuerte de la oleada, seguro que casi todos os habéis encontrados con vídeos falsos como éste:

Las estadísticas muestran que, desgraciadamente, cada uno de estos ataques consigue cientos cuando no miles de clics, es decir, de gente infectada.

Ha sido tal la magnitud de esta oleada de supuestos fotos y vídeos escandolosos de estrellas, que algunos han especulado que se trate del anuncio sobre Facebook anunciado por Anonymous hace unos días. Nuestra hipótesis es que esta tendencia luz está en realidad impulsada por la pasión por el dinero, más precisamente por la proximidad temporal de la fiesta del descuento en varios países, especialmente en USA, conocida como “Black Friday”.

Fuente: BitDefender / Malware City

AES (Advanced Encryption Standard) es en realidad el algoritmo Rijndael, que pasó a ser un estándar de cifrado aprobado por el gobierno de los Estados Unidos en 2003 para cifrar información clasificada. En su versión de 128 bits está permitido para información “Secreta” mientras que para información “Top Secret” requiere claves de 192 o 256 bits. De hecho, fue el primero algoritmo público usado para cifrar información “Top Secret” gubernamental.

Andrey Bodgdanov de la universidad católica de Leuven, Christian Rechberger del ENS de París y Dmitry Khovratovich del departamento de investigación de Microsoft ya apuntan que el ataque no tiene una gran relevancia práctica. Aunque el descubrimiento es considerado un avance importante en la investigación de la seguridad del algoritmo AES, puesto que la experiencia dice que en ciertos algoritmos, se avanza “despacio” hasta romperlo. Esta vulnerabilidad ha sido confirmada por los desarrolladores de AES, Joan Daemen y Vincent Rijmen.

Los investigadores emplearon un ataque Meet-in-the-Middle, una aproximación que ha sido principalmente empleada con algoritmos de hashing, combinándolo con un ataque “Biclique”. Este método ha permitido a los investigadores calcular la clave de un par texto plano/texto cifrado más rápidamente que empleando un ataque de fuerza bruta en el espacio total de la llave. O sea, se ha reducido el número de claves que deben ser probadas. La fuerza bruta total con clave de 128 bits serían 2^128 posibilidades. Con este ataque serían necesarias “solo” 2^126.

En el sentido estrictamente académico, en algoritmo está “roto” puesto que se ha reducido (aunque sea en 2 bits) el espacio de claves necesario para calcular la clave por fuerza bruta. Sin embargo, “roto” no significa que no pueda ser usado con seguridad todavía. Por ejemplo, un ataque contra una llave de 128 bits requiere diez millones de años empleando un parque de un billón de equipos probando cada uno de ellos un billón de claves. Al reducir en dos bits dicha clave, el tiempo se reduciría a 3 millones de años.

Hasta 2005, el único ataque que se conocía contra AES contemplaba una reducción del número de rondas de cifrado, o sea, una modificación en su implementación “artificial” que no suele encontrarse habitualmente. Los detalles del ataque fueron presentados en la conferencia CRYPTO 2011 y pueden ser descargados desde la web de investigación de Microsoft.

Más Información

Biclique cryptanalysis of the full AES
https://research.microsoft.com/en-us/projects/cryptanalysis/aes.aspx

Fuente: Hispasec.com

El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la administración electrónica, previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. El ENS tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

El libro está escrito por Juan Luis G. Rambla y José María Alonso Cebrián de Informática64, bajo la coordinación de Héctor Sánchez Montenegro, National Technology Officer de Microsoft Ibérica. En los prólogos cuenta con las aportaciones de María Garaña, Presidenta de Microsoft España; Víctor M. Izquierdo Loyola, Director General de INTECO; Fernando de Pablo, Director General para el Impulso de la Administración Electrónica del Ministerio de Política Territorial y Administración Pública; y Javier García Candau, Subdirector General Adjunto en funciones del Centro Criptológico Nacional.

La versión PDF del mismo está disponible de forma gratuita para su descarga en la siguiente dirección:
http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-59-70-ENS/2262.esquema_5F00_nacional_5F00_seguridad_5F00_ok.pdf

Índice de contenidos

Capítulo 1. Antecedentes
Capítulo 2. El Esquema Nacional de Seguridad
2.1. Principios básicos
2.2. Requisitos mínimos
2.3. Comunicaciones electrónicas
2.4. Auditoría de seguridad
2.5. Respuesta a incidentes de seguridad
2.6. Adecuación tras la entrada en vigor del ENS
2.7. Régimen sancionador
Capítulo 3. Principios de seguridad: seguridad por defecto
Capítulo 4. Dimensiones de seguridad
4.1. Disponibilidad
4.2. Autenticidad
4.3. Integridad
4.4. Confidencialidad
4.5. Trazabilidad
4.6. Niveles de la dimensión de seguridad
Capítulo 5. Medidas de seguridad. Naturaleza de las medidas
5.1. Marco organizativo
5.2. Marco operacional
5.3. Medidas de protección
Capítulo 6. La implementación del ENS con tecnología Microsoft
6.1. Control de acceso
6.1.1. Identificación
6.1.2. Requisitos de acceso
6.1.3. Segregación de funciones y tareas
6.1.4. Proceso de gestión de derechos de acceso
6.1.5. Mecanismos de autenticación
6.1.6. Acceso local
6.1.7. Acceso remoto
6.2. Explotación
6.2.1. Gestión y configuración de activos
6.2.2. Protección y prevención frente a incidencias
6.2.3. Sistemas de registros y gestión de logs
6.3. Protección de los equipos
6.4. Protección de los soportes de información
6.5. Protección de las comunicaciones
6.5.1. Perímetro seguro
6.5.2. Protección de la confidencialidad
6.5.3. Protección de la autenticidad y la integridad
6.5.4. Segregación de redes
6.5.5. Medios alternativos
6.6. Protección de las aplicaciones informáticas
6.7. Protección de la información
6.8. Protección de los servicios
6.8.1. Protección del correo electrónico
6.8.2. Protección de servicios y aplicaciones web [mp.s.2]
6.8.3. Protección frente a la denegación de servicios
6.8.4. Medios alternativos
Capítulo 7. Premios, reconocimientos y certificaciones de los productos Microsoft
Capítulo 8. Seguridad y privacidad en la nube
8.1. Seguridad y privacidad: un proceso integral y continuo
8.2. Sistemas de gestión de Microsoft y control de acceso
8.3. Eventos y actividades de registro
8.4. Certificados estándar de cumplimiento
8.5. Guía de cliente para políticas de cumplimiento
8.6. Data centers, procesador y controlador de datos

Más Información:

Esquema Nacional de Seguridad. Texto consolidado RD 3_2010
http://administracionelectronica.gob.es/recursos/PAE_12924039691699901.pdf?iniciativa=146

Esquema Nacional de Seguridad con Tecnología Microsoft
http://blogs.technet.com/b/hectormontenegro/archive/2011/05/25/esquema-nacional-de-seguridad-con-tecnolog-237-a-microsoft.aspx

Descarga PDF – Esquema Nacional de Seguridad con Tecnología Microsoft
http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-59-70-ENS/2262.esquema_5F00_nacional_5F00_seguridad_5F00_ok.pdf

Fuente: Hispasec.com

La infraestructura necesaria para llevar acabo esta campaña está haciendo uso de páginas webs comprometidas para alojar el contenido que se encargará del envenenamiento de los resultados. Las páginas atacadas son principalmente las que utilizan WordPress vulnerables. En ellos suben scripts que se encargan de generar de manera automática un contenido artificial (simulado, inútil) que hará que los usuarios del buscador sean llevados a las páginas fraudulentas. Estas páginas constan de dos partes principales: la que es indexada por Google Imágenes y la que se encarga de redirigir finalmente a la víctima a otra página web con el contenido fraudulento.

El contenido que será indexado por el buscador de imágenes es creado en base a los términos más buscados en Google Imágenes, para así asegurarse que pueda llegar a la mayor cantidad de personas posible. Para ello hace uso de una herramienta de la misma compañía del buscador, Google Trends. Por ejemplo, se crea contenido artificial sobre Bin Laden, si se detecta que es de los términos más buscados en el momento. Además, también se encargan de buscar imágenes relacionadas con los términos adecuados (fotografías del personaje, por ejemplo), apareciendo así en la lista de resultados del buscador de imágenes.

Los atacantes comprueban en esas páginas (a través de la IP o el UserAgent) si lo que les visita es un bot de Google (los encargados de indexar páginas web para incluirlas en el buscador) y se encargan de ofrecer el contenido preciso que les llevará a aparecer arriba en las búsquedas.

El resto del contenido de la página es el que se encarga de redireccionar a los usuarios del buscador hacia páginas fraudulentas cuando son visitadas. Google Imágenes ofrece resultados afines a la consulta realizada mostrando una lista de miniaturas de los resultados. Tras pulsar sobre una miniatura perteneciente a uno de estos sitios comprometidos, Google lleva al usuario a la página que aprovecha el fallo. Se trata de la conocida página con la miniatura de la imagen seleccionada en el centro, los enlaces a la imagen y, de fondo, la página final que contiene la fotografía. Ahora es cuando el navegador, al realizar la petición de la página que formará parte del fondo y que está comprometida, ejecuta el script que ha sido incrustado en la página atacada (aunque no esté siendo visitada “del todo”). Es el propio script el que ha comprobado previamente, mediante el campo ‘Referer’ de la petición, que ésta proviene de la página de búsqueda de imágenes de Google. En ese momento redirige a la víctima a otras páginas fraudulentas, que, en esta última oleada contienen falsos antivirus (rogue). Por tanto, el usuario no debe ni siquiera visitar completamente la página comprometida, solo ver alguna fotografía en Google Imágenes a la que ha sido vinculada.

Google está tomando medidas con respecto a esta técnica, eliminándolo los enlaces o informando del peligro de acceder a los mismos. Sin embargo, la cantidad de este tipo de resultados en el buscador es demasiado grande como para poder decir que el asunto se encuentra bajo control (medio millón de visitas cada día según estimaciones del investigador Denis Sinegubko, un reputado investigador de rogueware).

Desde el SANS indican que una de las mejores opciones para protegerse es evitar la ejecución de código JavaScript de páginas en las que no se confíe, a través de, por ejemplo, complementos como ‘NoScript’ disponible para Mozilla Firefox o las zonas de Internet Explorer.

Más Información:

More on Google image poisoning

http://isc.sans.edu/diary/More+on+Google+image+poisoning/10822

Scammers Swap Google Images for Malware

http://krebsonsecurity.com/2011/05/scammers-swap-google-images-for-malware/

Javier Rascón
jrascon@hispasec.com

Los boletines publicados son:

• MS11-035: Actualización “crítica” destinada a resolver una vulnerabilidad en el Servicio de Nombres Internet de Windows (WINS). La vulnerabilidad podría permitir la ejecución remota de código en un sistema afectado que ejecute el servicio WINS si un usuario recibe un paquete de réplica de WINS especialmente diseñado. Afecta a Windows Server 2003 y 2008.
• MS11-036: Se trata de una actualización “importante” destinada a solucionar dos vulnerabilidades en Microsoft Power Point. Afecta a Microsoft Office XP, Office 2003 y 2007; y Office 2004 y 2007 para Mac.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más Información:

Resumen del boletín de seguridad de Microsoft de mayo de 2011

http://www.microsoft.com/spain/technet/security/bulletin/ms11-may.mspx

Antonio Ropero
antonior@hispasec.com

Esta actualización, publicada como actualización de seguridad 2011-001, corrige 53 fallos en los siguientes componentes y servicios: AirPort, Apache, AppleScript, ATS, bzip2, CarbonCore, ClamAV, CoreText, File Quarantine, HFS, ImageIO, Image RAW, Installer, Kerberos, Kernel, Libinfo, libxml, Mailman, PHP, QuickLook, QuickTime, Ruby, Samba, Subversion, Terminal y X11.

Los problemas podrían permitir a un atacante local o remoto acceder a información sensible, evitar restricciones de seguridad, provocar condiciones de denegación de servicio o llegar a comprometer los sistemas afectados.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

http://support.apple.com/downloads/

Más Información:

About the security content of Mac OS X v10.6.7 and Security Update 2011-001

http://support.apple.com/kb/HT4581

Fuente: Hispasec.com

¿Para qué sirven los certificados?

SSL debería cumplir dos funciones. Establecer una conexión cifrada sobre un canal público y también autentica al servidor. Nos ayuda a estar seguros de que el servidor es quien dice ser y también que pertenece a la empresa a la que debería pertenecer. Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Comodo…) certifica con su firma que la clave pública realmente pertenece al sitio.

El sistema de confianza en certificados tiene una estructura de árbol invertido y las raíces son estos certificados. El sistema confiará en todo lo que emitan. Si esto no ocurriese de esta forma y los navegadores o sistemas operativos no contasen con una serie de certificados raíz por defecto, no podríamos confiar en la identidad de las páginas, puesto que nadie lo acreditaría. Por el contrario (y como ocurre en realidad) se introducen demasiadas autoridades certificadoras en las que se confía (demasiados “Estados” que emitan el DNI), estas se vuelven el punto débil de la cadena, puesto que se confía en ellas y a su vez, en todo lo que ellas confíen. Un árbol con demasiadas “raíces” es más difícil de controlar. Además, las autoridades certificadoras confían en autoridades intermedias que le alivian el trabajo.

Qué ha pasado

Tanto Chrome como Mozilla como Internet Explorer (a través de la Trusted Root Certification Authorities Store) incluyen de serie una serie de certificados raíz en los que se confía, emitidos por autoridades certificadoras. Varios de estos certificados pertenecientes a Comodo han sido revocados porque se ha comprobado que han sido emitidos de forma fraudulenta sin su consentimiento.

Según ha anunciado Comodo (en una nota de prensa tardía, una vez que ya se había descubierto el asunto), un atacante con IP de Irán se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para hacerse pasar por esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org… Traducido: un atacante quería obtener certificados de esos dominios para hacerse pasar por ellos. Pero… ¿cómo puede ser, si ya existen? ¿Para qué emitir certificados válidos de dominios a los que no puedes suplantar? Esta es la segunda parte del problema: para que esto le sea útil al atacante, necesita:

• Emitir certificados válidos. Lo consiguió comprometiendo a esta entidad de Comodo.
• Que se le muestren como válidos a la víctima en su navegador. Esto es lo que hacen ya de por sí los navegadores con sus certificados raíz. Ahora que la mayoría los han revocado, esto no sería tan sencillo.
• Interponerse en el sistema DNS de la víctima. Bien por pharming, por “hombre en el medio”, troyanos o por cualquier otro método que redirija la resolución de dominios de la víctima.

Así, el atacante redirige a “otro” dominio a la víctima, e instala ahí el certificado que ha robado. A partir de ahí, podría o bien suplantar a la otra página o bien redirigir a la víctima a la original. El asunto es que, en cualquier caso, tendría acceso a toda la información, cifrada, que se transmita entre la víctima y el dominio al que quiere acceder. Aunque estuviese cifrada, aunque aparezca el candado en el navegador al visitar esta página, o la barra de navegación en verde, e incluso se compruebe la cadena de certificación… no solo el navegador dará por legítima la página, sino que el atacante podrá leer toda la información cifrada que se transmite.

Si unimos que el ataque a Comodo no habrá sido “sencillo” (se trata de uno muy sofisticado y dirigido), que la IP proviene de Irán, que el atacante emitió certificados para páginas muy conocidas, y que necesita además, para que esto sea efectivo, tener acceso a un cambio en los DNS… todo apunta a un ataque que, cuando menos, inquieta.

Más Información:

The Recent RA Compromise

http://blogs.comodo.com/it-security/data-security/the-recent-ca-compromise/

Stable and Beta Channel Updates

http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates_17.html

Microsoft Security Advisory (2524375)

http://www.microsoft.com/technet/security/advisory/2524375.mspx

03/06/2008 Mitos y leyendas: “Compruebe el candadito del navegador para estar seguro” I (Phishing)

http://www.hispasec.com/unaaldia/3510

Fuente: Hispasec.com

¿Qué pudo pasar? ¿Habrá sido de nuevo un ataque de ingeniería social como ocurrió con todo lo referente a HBGary y Rootkit.com? ¿Se habrá comprometido a algún trabajador, y su equipo estaba lleno de información suculenta, o tenía acceso a la red interna? No estamos seguros, pero yo personalmente voto a una cadena de acontecimientos, que si RSA no informa sobre los tiempos, podría cuadrar. Aquí va una teoría, que podría cuadrar:

1) En Febrero de este año, tuvo lugar la RSA Conference, congreso de seguridad de mucho prestigio y organizado por RSA. Obviamente, en dicho congreso debería haber algún que otro trabajador de dicha empresa.

2) “Quizás”, alguno de dichos trabajadores no tendría su portátil lo suficientemente configurado y asegurado, o por un momento lo dejó en algún sitio, susceptible a un ataque físico. O “quizás”, en alguno de los stands que tuviese la propia compañía, se encontraban sistemas que luego se enchufarían en su red.

3) Alguien pudo plantar un regalo en alguno de estos sistemas, algún malware, quizás durante alguna de las múltiples fiestas que se celebraron, alguien aprovechó el momento y comprometió alguno de los sistemas.

4) La RSA Conference pasó, todo volvió a su ciclo normal, y el ataque al volver a casa se hizo efectivo, dejando la puerta abierta a los malos para disfrutar de una red tan jugosa desde su propia casa.

¿Podría ser no? Para desmontar esta teoría, únicamente deberíamos conocer cuando pudo ocurrir dicho ataque, o si hay indicios de algún tipo de infección en alguno de los equipos de algún empleado.

Esperaremos ansiosos más información al respecto del ataque, y sobretodo, el alcance real y que podría suponer para sus productos.

Fuente:

http://www.securitybydefault.com/2011/03/intrusion-en-la-compania-rsa-y-robo-de.html