domingo, 31 de diciembre de 2006

Resumen de seguridad de 2006 (y III)

Termina el año y desde Hispasec echamos la vista atrás para recordar y
analizar con perspectiva lo que han sido los últimos meses de 2006 en
cuestión de seguridad informática. Estas son las que consideramos las
noticias más importantes de cada mes publicadas en nuestro veterano
boletín diario. En 2007, una-al-día alcanzará las 3000 publicaciones.

Septiembre 2006:

* Panda alerta de un nuevo virus que se distribuye a través de correo
electrónico. Los sistemas infectados ayudan a reenviar nuevos virus con
ayuda de mensajes cortos a móviles españoles. El SMiShing se cuela en
nuestro país.

* De nuevo, una organización independiente publica un parche para
solucionar temporalmente el grave problema que supone el fallo VML en
Internet Explorer, que es aprovechado de forma masiva para la
distribución e instalación de todo tipo de malware. Se constituye
Zeroday Emergency Response Team (ZERT) un equipo de programadores
dispuesto a crear parches temporales para mitigar grandes problemas de
seguridad mientras aparece la solución oficial.

* Se descubre un nuevo troyano bancario que combina la captura del
teclado físico con una técnica optimizada para los teclados virtuales.
Diseñado específicamente contra los usuarios de diversas
entidades, muestra la eficacia y evolución de este tipo de malware.

Octubre 2006:

* Mischa Spiegelmock y Andrew Wbeelsoi anuncian en la conferencia hacker
ToorCon una vulnerabilidad en Mozilla Firefox que se supone podría
permitir a un atacante remoto ejecutar código arbitrario. Tras muchas
conjeturas, todo resulta ser una broma pesada y la vulnerabilidad supone
sólo un problema de denegación de servicio. Los chicos consiguen sus 15
minutos de fama.

* Microsoft retira a Cyril Paciullo, creador de Messenger Plus!, el
reconocimiento de MVP (Most Valuable Professionals) tras reconocer que
la aplicación por la que se le premiaba se distribuía junto con un
programa espía.

* Aparece IE7, 5 años después que su predecesor.

* Alan Cox sacude las conciencias de la comunidad de código abierto con
afirmaciones como "Lo que aparece en los medios de comunicación como que
el código abierto es seguro y más fiable y que tiene menos fallos son
afirmaciones muy peligrosas", apelando a la autocomplaciencia en
cuestión de seguridad.

Noviembre 2006:

* Como ya hiciera HD Moore en julio con su "mes de los fallos en los
navegadores", otro investigador relacionado con el proyecto Metasploit
desarrolla la iniciativa "month of the kernel bugs". La idea consiste en
publicar un nuevo error en el kernel de cualquier sistema operativo
durante todos los días de noviembre.

* Mientras Litchfield afirma que "comparado con Oracle, Microsoft SQL
Server es más seguro", Cesar Cerrudo anuncia la semana de los fallos en
Oracle. Finalmente sería cancelada. El motivo que dio más tarde es que
uno de sus clientes se vería indirectamente afectado por la revelación
de estos fallos y podría causarle problemas: "no que sus bases de datos
fuesen hackeadas, sino serios problemas de negocio".

Diciembre 2006:

* El creador del mes de los fallos en el núcleo anuncia "el mes de los
fallos en Apple" para enero.

* Se descubre un nuevo caso de "alarma injustificada" en el caso del
supuesto malware que se propaga por Skype.

* Un gusano ataca la red MySpace.com, aprovechando un fallo en el
programa Quicktime (usado para ver vídeos en el portal). El gusano
modifica los perfiles de los usuarios añadiendo en sus espacios
personales enlaces a páginas fraudulentas.


Sergio de los Santos
ssantos@hispasec.com