Resumen de seguridad de 2009 (I) + (II) + (III) y (IV)

Nuestros amigos de Hispasec han publicado la primera parte (Enero-Marzo) del histórico en virus de este año que terminamos , 2009,  y empezando por este, añadiremos los otres 3 boletines que entendemos comprodrán el artículo entero

 Fuente

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2009 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2009:

* Se encuentra una copia pirata y troyanizada de iWork 09 (para Mac OS X) circulando por las redes de pares. Los atacantes parecen que cada vez tienen más interés en el sistema operativo de Apple.

* El gusano Conficker logra cotas de infección relevantes y consigue activar todas las alarmas y aparecer hasta en medios de comunicación generalistas.

* Publicamos dos documentos técnicos sobre algunas vulnerabilidades descubiertas por nuestro compañero Matthew en IrfanView y SDL_Image.

Febrero 2009:

* BeyondTrust publica un informe en el que revela que el impacto del 92% de las vulnerabilidades críticas en Windows se minimizaría si no se usasen los privilegios de administrador.

* Apple publica una actualización que corrige más de 50 problemas.

* Durante las conferencias Black Hat un investigador demostró cómo eludir la autenticación y el cifrado SSL de las páginas supuestamente seguras mediante la combinación de técnicas ya conocidas. Se crea un gran revuelo ante la posibilidad de que el SSL pueda ser vulnerable, sin embargo el SSL sigue siendo un protocolo en que que podemos confiar.

Ante la tardanza por parte de Adobe de publicar una actualización para Adobe Reader por una vulnerabilidad de ejecución de código remoto, aparece un parche no oficial para evitarlo. Adobe cada vez se asemeja más a Microsoft.

Marzo 2009:

* Tras más de 10 años sin un fallo reconocido en el servidor DNS djbdns, su autor premió con 1.000 dólares al descubridor de una pequeña vulnerabilidad en este servidor DNS.

* Tras más de un mes esperando que Adobe publicara una actualización para evitar una grave vulnerabilidad en Adobe Reader, se publica un parche pero sólo para algunas versiones.

* La universidad de Toronto publicó un documento de investigación sobre “GhostNet”, una pequeña botnet concebida para el espionaje.

…

Abril 2009:

* meses después de su aparición, el gusano Conficker sigue dando que hablar. Se dijo que el 1 de abril Conficker se activaría y colapsaría muchas webs. Como era de esperar no ocurrió nada.

* Mozilla publica luz la versión 3.0.10 del navegador Firefox, tan solo una semana después de publicar la 3.0.9. La nueva versión soluciona un fallo de seguridad crítico introducido por una de las actualizaciones anteriores.

* Microsoft publica la versión 2.0 de “La protección de datos personales. Soluciones en entornos Microsoft.”. Una guía práctica, gratuita en formato electrónico, que ayuda a aplicar una parte de la Ley orgánica de Protección de Datos (LOPD) para quien trabaje con software de Microsoft.

* Adobe confirmó la existencia de otra grave vulnerabilidad en Adobe Reader, que estaba siendo aprovechada por atacantes para ejecutar código en el sistema (“0 day”).

Mayo 2009:

* Hispasec participa en el BDigital Global Congress 2009, un congreso de referencia sobre los avances de las Tecnologías de la Información y las Comunicaciones (TIC) y su aplicación en el ámbito empresarial, tecnológico y social.

* Al igual que Microsoft y otros fabricantes, Adobe se suma a las actualizaciones programadas. Tras diversos exploits “0-day” y críticas vertidas hacía su política de seguridad, Adobe decide publicar actualizaciones los segundos martes de cada mes.

* Microsoft reconoce una vulnerabilidad en DirectX que podría permitir a un atacante ejecutar código arbitrario, que estaba siendo aprovechada en esos momentos por atacantes, lo que la convierte en un “0 day”.

Junio 2009:

* Se crea el Consejo Nacional Consultor sobre CyberSeguridad (CNCCS), una organización privada que tiene, como miembros fundadores, a Panda Security, S21Sec, Hispasec Sistemas y Secuware. El CNCCS apoya la iniciativa parlamentaria que propone la creación del Plan Europeo de CyberSeguridad en la Red, que es posteriormente aprobada en el Senado por unanimidad.

* Se publica una nueva combinación de métodos para provocar colisiones en el algoritmo de hash SHA1 de forma mucho más rápida. Se reduce la complejidad para provocar colisiones en SHA1 a 2^52 intentos.

* La versión 3.0 del sistema operativo del iPhone soluciona 46 fallos de seguridad.

…

Julio 2009:

* Se revela la posibilidad de llegar ejecuta código a través de SMS en iPhone, mientras Apple trabaja en un parche para arreglar el problema que podría permitir la ejecución de código arbitrario en el iPhone al recibir un SMS especialmente manipulado.

* Este es el mes de los fallos en Twitter, centrado en la API del popular servicio de “la nube”.

* Se da a conocer un nuevo “0 day” en un ActiveX de Microsoft. A finales de mes Adobe también se ve afectada por un “0-day” en Reader, Acrobat y Flash Player. Posteriormente se descubre que ambas compañías conocían los fallos desde 2008.

* Tras la publicación de Security Essentials el antivirus gratuito de Microsoft, el jefe de producto de Symantec realiza unas declaraciones en contra de las soluciones antivirus gratuitas, afirmando que “No son suficientes para mantener al usuario seguro”. Sin embargo el problema no radica en la gratuidad o no de las soluciones antivirus.

Agosto 2009:

* Dos investigadores japoneses mejoran un ataque ya conocido sobre WPA, acelerando el proceso de 15 minutos a 1. El ataque es muy limitado y solo permite inyectar paquetes de información pequeños bajo ciertas circunstancias.

* Publicamos unos documentos técnicos (White Papers) sobre una vulnerabilidad en Asterisk investigada por nuestro compañero Hugo. Permitía provocar una denegación de servicio sin necesidad de autenticarse.

* A finales de mes los servidores de la fundación Apache sufren un ataque, durante un tiempo gran parte de su infraestructura permanece detenida para evaluar los daños causados por los atacantes. Se sabe que el problema surge por una llave SSH comprometida.

Septiembre 2009:

* Se anuncia un fallo de seguridad en Windows Vista y 7 que podría permitir a un atacante provocar un BSOD (pantallazo azul, una denegación de servicio) con solo enviar algunos paquetes de red manipulados a una máquina que tenga activos los servicios de compartición de archivos (protocolo SMB). El ataque es tan sencillo que recuerda a los “pings de la muerte” que hicieron estragos a finales de los 90 en los sistemas Windows. Poco después de descubriría que el ataque permitía la ejecución de código arbitrario.

* Cisco y Microsoft, seguida posteriormente de Check Point, fueron los primeros fabricantes en publicar parche para la vulnerabilidad “Sockstress” (revelada en octubre de 2008) del protocolo TCP. El problema residía en un error en la implementación TCP al no realizar de forma correcta la limpieza de la información de estado y llegaba a afectar a todos los sistemas y dispositivos que implementaran una pila TCP.

* Hispasec publica el estudio comparativo: “¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?”. En el que analizamos el tiempo que tarda un fabricante en hacer pública una solución para una vulnerabilidad cuando solo es conocida por ellos y quien la ha descubierto. Se analizaron 449 vulnerabilidades y los fabricantes estudiados fueron HP, Computer Associates, Adobe, Apple, Microsoft, Novell, Symantec, Oracle, IBM y Sun. Una de las conclusiones del estudio fue que la media de los grandes fabricantes para solucionar una vulnerabilidad es de seis meses, independientemente de su gravedad.

…

Octubre 2009:

* Se descubre el troyano URLZone, que como novedad incorpora técnicas para evitar su detección, como falsear el balance de la cuenta una vez se produce el robo para evitar que el usuario se percate del fraude. Además de simular acciones maliciosas para intentar confundir a los investigadores.

* Se alerta de un nuevo “0 day” en Adobe Reader y Acrobat que permite a un atacante remoto ejecutar código arbitrario.

* Se cumple el undécimo aniversario de “una-al-día”. Más de 4.000 noticias publicadas y lo celebramos publicando (y ofreciendo gratuitamente) en formato PDF el libro que publicamos el año pasado y que en esta ocasión abarca desde 1998 hasta 2009.

Noviembre 2009:

* Ofrecemos el seminario web sobre malware “The Explosion of the Axis of Evil”, impartido por Peter Silberman (Mandiant) y Ero Carrera (VirusTotal-Hispasec).

* El descubrimiento de una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico, genera cierta discrepancia sobre su nivel de gravedad.

* Se dan a conocer los primeros gusanos diseñados específicamente contra el iPhone de Apple.

* Se celebra el Día Internacional de la Seguridad de la Información, DISI 2009, transmitido en directo a través de videostreaming y que cuenta con la participación de nuestro compañero Ero Carrera en el coloquio “Tendencias en Malware”.

Diciembre 2009:

* Se genera una gran polémica ante la posibilidad de una nueva ley en España que permita el cierre de sitios web sin necesidad de una orden judicial.

* Se descubre una nueva vulnerabilidad “0 day” en Adobe Acrobat y Reader.

* Se publica una vulnerabilidad en IIS 6.x que permite ejecutar código ASP arbitrario mediante el uso de una múltiple extensión.

 Fuente resumen

comentario:

se agradece este resumen de Hispasec, siempre es bueno recordarlo

saludos

ms, 4-1-2010