El dia a dia …

Puno promueve declaratoria de patrimonio inmaterial de la humanidad a la fiesta de la Virgen de la Candelaria por la Unesco.

La festividad de la Virgen de la Candelaria podría ser declarada patrimonio cultural inmaterial de la humanidad por la Unesco, gracias a la gestión del alcalde de Puno, Luis Butrón, con la finalidad de promocionar al mundo.

Butrón Castillo, afirmó que la recopilación de datos sobre la festividad estará a cargo de los especialistas del Ministerio de Cultura que se instalarán por por unos 20 días en la capital del folklor peruano.

Asímismo manifestó que se contará con la presencia de la directora general de Patrimonio Inmaterial Contemporáneo del portafolio Soledad Mujica y el antropólogo Miguel Hernández para elaborar el cronograma de trabajo que se cumplirá en siete u ocho meses.

ESPECIALISTAS RECIBIRÁN APOYO DEL MUNICIPIO
A los especialistas se les brindará apoyo logístico, transporte y estadía durante los días previstos que se encuentren en la ciudad de Puno recopilando información; asÍ declaró el burgomaestre.

Butrón sostuvo que la declaratoria de la festividad de la Virgen de la Candelaria como patrimonio inmaterial de la humanidad ratificaría el valor cultural que tiene la festividad y facilitaría su promoción en el mundo.

Recordó también que la festividad de la Virgen de la Candelaria es una manifestación tradicional de la cultura viva que caracteriza a las comunidades de la sierra sur de Perú. Y además durante 18 días más de 80 agrupaciones de música y baile participan en el concurso de danzas autóctonas, la fiesta de trajes de luces y el gran pasacalle que concentra a miles de turistas a lo largo de su recorrido.

A través de Zero Day Initiative se ha publicado un grave problema de seguridad en productos McAfee que permite la ejecución remota de código por parte de atacantes. Aunque McAfee fue informada del fallo hace unos nueve meses, no se ha solucionado el problema, por lo que se ha publicado la vulnerabilidad.

El fallo afecta a los productos SaaS (Security-as-a-Service) de la compañía que utilicen la librería myCIOScn.dll. En ella, el método MyCioScan.Scan.ShowReport acepta comandos que son luego ejecutados por otra función sin ningún tipo de autenticación. Este ActiveX permitiría entonces ejecutar código si la víctima visita una web especialmente manipulada. El ataque es muy sencillo de programar.

Lo más grave, es que la compañía fue avisada el pasado 1 de abril de 2011. Zero Day Initiative es la organización que ha gestionado la vulnerabilidad. Según la política de la compañía (impuesta en agosto de
2010) los fabricantes disponen de 180 días (seis meses) para corregir los errores reportados de forma privada. De lo contrario se harán públicos. Nueve meses después del primer contacto (no se ha especificado el porqué de esta demora adicional), la vulnerabilidad ha salido a la luz sin parche oficial.

La solución, como de costumbre en estos casos, pasa por activar el killbit del ActiveX para impedir que se instancie desde Internet Explorer. En concreto, se debe establecer el valor 0×00000400 en la rama del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
209EBDEE-065C-11D4-A6B8-00C04F0D38B7

Desde que en agosto de 2010 Tippingpoint decidiese poner un límite de 180 días a los fabricantes para corregir sus vulnerabilidades antes de hacerlas públicas, en 2011 se han sacado a la luz de esta forma hasta 29 alertas, que afectan a compañías como Cisco, HP, IBM o Microsoft. Esto significa que en ocasiones, para los grandes fabricantes, 6 meses sigue siendo “insuficiente” para publicar un parche que solucione ciertas vulnerabilidades reportadas de forma privada.

Se ha dado en llamar “pharming” al ataque que consiste en modificar la resolución de dominios a través del archivo hosts. El sistema operativo acude primero al archivo hosts a intentar resolver un dominio. Luego al primer servidor DNS configurado. Si el primer servidor DNS está caído (y sólo si está caído, no porque no encuentre el dominio en él… esto es algo que muchos confunden) acude al segundo servidor DNS a intentar resolver el dominio. ¿Qué han ideado los atacantes para aprovecharse de esta situación?

Los ataques pharming son extremadamente populares hoy en día entre los creadores de troyanos menos sofisticados. Una buena parte de la producción de malware creada en Latinoamérica hoy en día está basada en este principio del pharming. La idea es crear pequeños programas que modifiquen el archivo hosts. El usuario infectado intentará ingresar en su banco y, como el sistema le lleva hacia otra dirección IP, acabará en una especie de phishing donde el atacante capturará sus credenciales.

Imagen (Caso normal):

Variantes

En principio, es un ataque muy simple. La víctima ejecuta un troyano y su archivo hosts es modificado, por ejemplo, con esta entrada:

6.6.6.6 www.banco.com

Cuando el usuario acuda a banco.com, en realidad irá a 6.6.6.6 donde le espera una página copia de banco. Programar esto es extremadamente simple, pero tiene sus desventajas. Por ejemplo, ¿qué ocurre cuando la dirección IP 6.6.6.6 cae? La víctima escribirá en su navegador www.banco.com, acudirá a 6.6.6.6 y no irá a parar a ningún sitio.
Su sensación será que la página de su banca online se ha caído. Si el troyano no tiene otros recursos (solo contaba con esa dirección IP en su código), simplemente ya no será válido y quedará obsoleto.
Los programadores pronto se pusieron manos a la obra para mejorar este tipo de troyanos.

Imagen (Cambio de hosts localmente):

Descargar el archivo hosts

Pronto se dieron cuenta de que sería mucho más efectivo que, la asociación 6.6.6.6 con www.banco.com fuese, de alguna forma, dinámica.
Que el propio troyano controlara hacia dónde resuelve el dominio para cuando la dirección IP no estuviese disponible. Así que comenzaron a programar un sistema por el que, en vez de integrar directamente en su código la dirección IP donde se aloja la copia, el malware acude a una URL que controlan los atacantes y descarga un archivo hosts que sustituye al original. En ese archivo hosts, van actualizando la asociación IP/dominio.

Así, si cae la dirección IP, pueden colgar en la URL datos actualizados para que los nuevos infectados acudan. Es como un pequeño sistema de “nuevas versiones” del malware.

Imagen (Descarga de hosts remotamente):

Una captura de una URL que contiene un archivo hosts típico puede ser:

Resolver un dominio de tercer nivel

Una nueva vuelta de tuerca al sistema de pharming. Al fin y al cabo, el atacante lo que desea es poder modificar la dirección IP de forma dinámica si cayese la copia de la página del banco. Esto se puede conseguir descargando de una URL un archivo hosts completo… o bien resolviendo un domino. Si el dominio es dinámico de tercer nivel, además se consigue inmediatez.

El funcionamiento sería el siguiente: el troyano está programado para modificar el archivo hosts con la dirección IP a la que resuelva dominio.no-ip.org (por ejemplo), de esta manera:

#Resolución(dominio3nivel) # www.banco.com

Donde #Resolución(dominio3nivel) # es una variable. El atacante, cuando el dominio resuelva ya a una dirección IP caída, solo tiene que entrar en su panel de control de no-ip.org y modificar la resolución para cambiar la variable en los sistemas infectados. El troyano comenzará a modificar los archivos hosts de sus víctimas hacia la nueva IP de forma inmediata.

Imagen (Cambio de hosots de 3er nivel):

Instalar un servidor web en la víctima

El atacante, cansado de que se le echen abajo las direcciones IP donde alojan sus phishings, decide simplemente que el servidor sea la propia víctima. El troyano instala un pequeño servidor web y pone a escuchar en el puerto 80. Luego modifica el archivo hosts con esta entrada:

127.0.0.1 www.banco.com

Ahora, la víctima acudirá a su propio ordenador cuando quiera realizar operaciones de banca online, donde él mismo alojará una copia de la página. El formulario incluirá un “action” donde se envía la información al atacante. Esta técnica de resolución local (asociar la resolución de un dominio a 127.0.0.1) se usa también normalmente para bloquear webs de seguridad (virustotal.com, windowsupdate.com… etc).

Todas las técnicas descritas anteriormente incluyen en los troyanos reales sistemas de redundancia (varias URL por si alguna cae, varios dominios de tercer nivel consultados… etc) e incluso combinaciones de todas estas.

Imagen (Servidor local):

Se ha anunciado una nueva vulnerabilidad que afecta al navegador por defecto de Android.

Android es un sistema operativo basado en Linux y pensado especialmente para dispositivos móviles que desde 2005 está desarrollado por Google.
Actualmente posee una gran cuota de mercado en este tipo de dispositivos debido, en gran medida, a la disponibilidad libre de su código y a la gran variedad de aplicaciones gratuitas disponibles.

Este fallo permite a un atacante crear una web que en las propiedades contenga el certificado de otra. El fallo consiste en crear un iframe a una web segura. Cuando el usuario intenta visualizar las propiedades de la web fraudulenta verá el certificado de la web contenida en el iframe.

Este fallo ha sido confirmado para las versiones 2.3.3, pero podría afectar a otras versiones.