Hola pájaros,
ayer Microsoft nos "regaló" parches para 21 vulnerabilidades así que hay que parchear y bien rapidito. Las técnicas de Ingeniería inversa de parches hacen que al momento se ponga a currar toda la comunidad investigadora de seguridad para sacar exploits que ataquen a esas vulnerabilidades.
En E-week sacaron una lista de las vulnerabilidades que en menos de 24 horas ya tienen pruebas de concepto para explotarlas. http://www.eweek.com/article2/0,1895,1976666,00.asp
Desde los más de 300 días que tardaron en aparecer los exploits en el año 2001 y 2002, pasando por los 27 días del Blaster y los 5 días del Sasser hemos llegado a momentos en los que los exploits tardan en salir horitas. Sin contar los 0-days que, cada vez menos, pq no es rentable o por responsabilidad, se hacen públicos.
Uno los exploits para estos parches existe desde el minuto 1, ya que lo había descubierto un investigador de León, pero, siendo responsable, no lo había publicado, ha sido justo cuando Microsoft ha dado la solución cuando él ha publicado la prueba de concepto.
Nosotros los hemos compilado y... rulan, así que o ha currado muuuuuy rápido o es totalmente cierto que ya les había avisado. Bien por Rubén.
http://www.reversemode.com/
Es molesto que Microsoft no le haya reconocido en los creditos, cuando él afirma haberles avisado con mucho tiempo. En el Blog del Washinton Post se hacen eco de lo mismo.
Así que yo también me hago eco Rubén. 3 puntos.
ayer Microsoft nos "regaló" parches para 21 vulnerabilidades así que hay que parchear y bien rapidito. Las técnicas de Ingeniería inversa de parches hacen que al momento se ponga a currar toda la comunidad investigadora de seguridad para sacar exploits que ataquen a esas vulnerabilidades.
En E-week sacaron una lista de las vulnerabilidades que en menos de 24 horas ya tienen pruebas de concepto para explotarlas. http://www.eweek.com/article2/0,1895,1976666,00.asp
Desde los más de 300 días que tardaron en aparecer los exploits en el año 2001 y 2002, pasando por los 27 días del Blaster y los 5 días del Sasser hemos llegado a momentos en los que los exploits tardan en salir horitas. Sin contar los 0-days que, cada vez menos, pq no es rentable o por responsabilidad, se hacen públicos.
Uno los exploits para estos parches existe desde el minuto 1, ya que lo había descubierto un investigador de León, pero, siendo responsable, no lo había publicado, ha sido justo cuando Microsoft ha dado la solución cuando él ha publicado la prueba de concepto.
Nosotros los hemos compilado y... rulan, así que o ha currado muuuuuy rápido o es totalmente cierto que ya les había avisado. Bien por Rubén.
http://www.reversemode.com/
Es molesto que Microsoft no le haya reconocido en los creditos, cuando él afirma haberles avisado con mucho tiempo. En el Blog del Washinton Post se hacen eco de lo mismo.
Así que yo también me hago eco Rubén. 3 puntos.
Entre Digos y Diegos o Haced lo que os digo pero no lo que hago
ResponderEliminarJarl!! En esto que llega ese finstrol de malignorlll, no puedor no puedor, y despues de decir "cuando frieis las patatas y las revolvais con huevo batido y lo frieis todo otra vez teneis una cosa que he descubierto que lo llamaré tortilla de patatas" y nos asombralr no ya con un nuevo descubrimientorl. Norl!! Lago blanco lago negrorl.
Ese fiiiinstrol de malignorl dise, jarll!! "yo, malignorll, nasío despueh de los dolorerls, os digo que Rubenrl, investigadorl de Leoooonrl, jarl, no puedorl no puedorl, es un tio responsablerl por no advertir de un bujerolr de seguridarll, ¡jarll! y yo soy guay por juankarlear webrlls en mis charlas sin avisarrll de sus fallos al afectadorll!!! Pero eso no hace que me convierta en un auténtico capullorll, porque hay una diferenciarll!! Esas webrrss no tienen nada que ver con Microsoftrlll, esa empresa duodenal de un filantropicorlll!!"
Jarll!!! Pero aún hay morrrlll!!!
En un post que por cojonerll tenia que ponerl porque si no se le veía demasiado el plumerolr, va y dise, jarls, es que no puedorl
, dise algo de una "comunidarll investidadorrarrrrllll" jarlll!!!
ResponderEliminar21 fallos de seguridad en un softwarerlr cerradorlll, el que se dise que es el sistemarl operativorll que más gente usarllll, quedan resumidorllss en un "responsablerrll" por aquí y una "comunidad investigadorarll" por allarll!!. Y palmaditarllss y chupaditarrlls y a vivir que son dos diarllss.
Por ejemplo cuando se diserll que en un linurll tienes parches de seguridad a las pocas horas de descubrirse un bujerorll, el argumentorll es que "el administrador de sistemas tiene cosas más importantes que hacer que estar todo el dia pendiente de... administrar un sistema, perdón, aplicar parches, las empresas no pueden estar pendientes de eso" pero ahora que hablamos de Microsoftrrrrr, podemos decir "así que hay que parchear y bien rapidito".
Lo tuyo es imparcialidad malignorll!!
Hola amiguete anónimo de mis entretelas. Te había puesto el disclaimer para que no perdieras el tiempo con mis pateticos comentarios, pero parece que realmente tu me amas. Gracis.
ResponderEliminarTe parece mal lo de Rubén? He estado leyendo su trabajo y es chulo. Seguro que ha hecho más que tú y que yo.
Respecto a que yo soy guay? Nooo, yo soy un capuyo. Pero siempre ha sido así.
Lo que me encanta, es que parece que has ido a alguna de mis charlas, no? Pero el post no lo he puesto pq se me viera el plumero, ya, lo dejé claro en mi primer post. Este blog está en el lado del mal, el de micro... El post lo puse pq me ha gustado las cosas que ha hecho Rubén, de hecho le escribí antes para decirselo.
jajaja
Es que no sabes ni lo que escribo, ni lo que digo!! ¿Qué el administrador tiene mejores cosas que hacer?? jaja. Es que no tienes ni puta idea de seguridad, ni lees bien ni me escuchas cuando hablo. Siempre hay que parchear, y bien rapidito en todas! La putada es que los parches salgan sin avisar y sin poder planificar.
Estaba tentado de borrar tu post pq dices muchas tonterías, pero en la última conferencia ley delante de todos algunos de tus comentarios y tuvo mucha gracia, solo necesitaría que nos dieras un nombre, ¿o es que te averguenzas de tus comentarios? Un mail, una web, no se, algo para que pudieramos seguir tus reflexiones más a menudo. Te puedes sacar un blog en www.blogger.com o si quieres, en el msn que seguro que tienes cuenta para messenger.
Por cierto, no dejes de probar la tortilla de calabaza, está guay, solo que se hace antes que la patata así que tienes que freirla menos.
Un besoT de tu amado maligno (que yo se que me quieres)
Por cierto amiguete, felicitame coño, que hoy es mi cumple y no se cumplen 31 tacos todos los días, vente, que estamos de fiesta desde ayer y todavía nos queda alcohol y drogas, y lo mismo te podemos dar mucho amor!!!
ResponderEliminarSoy el Benigno, hace unas semanas abrí El Lado Del Bien pero aún no he tenido tiempo de empezar mi "trabajo", solo tengo el post de inauguración. En los próximos días espero comenzar.
ResponderEliminarBien, antes de nada, felicidades y que cumplas muchos más.
Y antes de que esto vaya a más, aclarar que no tengo nada contra tí "técnicamente", eres casi ingeniero y especializado en seguridad y dando charlas por toda España. Yo TS en Desarrollo, de seguridad solo alcanzo a saber lo que me molesto en investigar para que mi código sea "menos malo" y recién he comenzado a sacarme la ingeniería en mis tiempos libres por la Uned.
Pero para mí, tu "gran fallo" es que formas parte de lo que dices denunciar. Muchos de tus post en los que hablas de software libre (y el ratio no es pequeño) están llenos de crítica fácil y poco fundada hacia el software libre, los mismos errores que dices que tiene la comunidad de software libre (y en algunos aspectos puedes tener algo de razón, pero generalmente quienes hacen esa crítica facil hacia Spectra y Cia llevan cuatro días en esto y les invade un sentimiento c00l), los tienes tú para con tu Spectra. ¿No crees que sería mejor predicar con el ejemplo?
Por ejemplo, en un post en el que hablas de parches para nada menos que 21 vulnerabilidades, y supongo que la mayoría muy graves, no se te ocurre hablar de que implicaría eso, etc.
ResponderEliminarDedicas tu post a hacer publicidad del "una vez al mes" de Microsoft.
¿Hay que "parchear rapidito" porque Microsoft ha publicado ahora los parches? ¿No crees que habia que hacerlo mucho antes? Por ejemplo, mejor en cuanto se sepa que existe.
Y es que el trabajo de Rubén será un gran trabajo, tú no se, pero desde luego yo no soy quién para infravalorarlo, pero me pregunto si sólo él fue capaz de dar con ello, si no hubo muchas posibilidades o alguien que lo supiera antes, con mejores o peores intenciones... El propio Rubén echa por tierra la idea de seguridad por ocultismo.
En fin, que creo que el tiempo de peligro puede ser mucho más pequeño que el que tarda en llegar el martes de publicación de parches e incluso de que se haga público el primer exploit, por lo menos de lo que estoy seguro es que es algo incierto. Por eso no alcanzo a comprender el sentido de la expresión "planificación de seguridad".
Saludos y a pasarlo bien.
Hola Benigno,
ResponderEliminarme encanta que habras tu blog, y además estoy contigo en lo que dices. Yo no estoy a favor de todo lo que hace MS sino más bien en contra de los falsos mitos. 21 bugs son 21 riesgos de seguridad, y como tal los tomo. En cuanto a la gestión de los mismos, sé, por experiencia, como funcionan los sistemas de gestión de seguridad de las empresas, y sacar las actualizaciones sin planificar hace que las empresas estén perdidas y no parcheen. MS tiene una política que permite saltarse el una vez al mes y sacar fuera de ciclo los parches que, por que exista un exploit público o sea una gran amenaza, tengan una importancia especial. Es mejor publicar que existe el fallo y esperar aún 4 o 10 días a arreglarlo? Esta política la tenía MS hace tiempo y fue un desastre.
Repito, enhorabuena por tu blog, espero discutir contigo allí, sin faltas de respeto ni nada similar.
Suerte.
Oh!
ResponderEliminarhttp://www.flickr.com/photo_zoom.gne?id=169782158&size=o
Joder, que nivel maribel!. Según la gente de zone-h ha sido o por fallo en IIS6 o por fallo en la aplicación que corría encima. Si se hacen www.microsoft.com como dicen España debe dejarse ganar hoy por los Turcos, pq es flipante.
ResponderEliminarhttp://www.zone-h.org/index2.php?option=com_mirrorwrp&id=4181592
Estos pájaros deben tener un 0-days pq es de flipar las víctimas de los colegas. Las victimas y el ritmo! webs de hackers incluidas.
http://www.zone-h.org/component/option,com_attacks/Itemid,43/filter_defacer,TiTHacK/
Flipao, se me va a pasar la resaka que tengo aún de la celebración del finde.
Coño! que jugamos contra Tunez, no contra turkia! A ver si me aprendo el calendario del mundial...
ResponderEliminarAnalizando los datos de zone-h:
ResponderEliminar1373 Win 2000 y 2003 (mayoritariamente 2003)
111 GNU/Linux
15 FreeBSD
1 ¿Solaris? (no recuerdo)
Conclusiones que se me ocurren así a botepronto y sin ser experto en seguridad...
- Ke estos tíos se tumban lo que se propongan (me refiero en cuanto a SO)
- Ke parece que es más sencillo hacerlo con un Windows
Espero que alguien mejor que yo ofrezca un analisis más exhaustivo.
Saludos.
Hola Holita.
ResponderEliminarBueno, pues en zone-h, los últimos datos que yo tenía (los del 2004, pq no han publicado los del 2005 aún) dicen que se atacaron más apaches, pero es cierto que hay más apaches. El tema es dificil de cuantificar. Todos los grupos atacan todas las tecnologías, pero algunos se centran más en alguna. El link que puse de los turkish muestra que estos están más centrados en Windows pero si miramos otros veremos que están más focalizados en *NIX.
Respecto al tema de IIS6 y el hackeo de francia he preguntado al equipo de seguridad de MS y esto es lo que me han respondido.
"
Some questions came up around the Microsoft web site in France that was recently hacked. To confirm, this regional site is hosted by a third party and our initial investigation is that the hack was allowed due to a mis-configuration of the server. This was NOT caused by an IIS 6.0 zero day vulnerability. We are working with law enforcement on this issue and the MSRC will make a post to their blog when there is something else to report: http://blogs.technet.com/msrc.
"