Accionistas y MVP

Bernardo:

Excelente.
Sólo una cosa, actualiza tu pgp a la versión 8.0.3

Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me

ha escrito

comentándome que había un "MVP" negando la evidencia de

una de las

vulnerabilidades de Internet Explorer y descalificándonos

(a

Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de

noticias

serias, a ser simplemente un negocio periodistico que

solo vuelca las

noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-

al-día" que

publicamos de forma gratuita no obtienen ningún tipo de

ingreso, ni

recibimos por ellas ningún trato de favor por parte de

terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de

noticias como

Hispasec?... La recogen y "solo" dan tambien informacion

parcial de

como removerlo porque no les interesa meterse en camisas

de 11 varas

contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo

organo de

seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el

formateo."

Está mezclando conceptos. La vulnerabilidad en sí no

requiere el

formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera

independiente

por la vulnerabilidad utilizada (sea la del interfaz RPC,

o cualquier

otra), se suele recomendar el formateo de la misma, por

la dificultad

que puede entrañar para los no profesionales detectar si

se ha

troyanizado el sistema.

Si el sistema es comprometido por un gusano de

propagación masiva,

del que se conoce exáctamente como trabaja y las

modificaciones que

hace en el sistema (blaster y compañía), se puede

desactivar de forma

fácil, y no requiere el formateo (el ejemplo más común es

el uso de

un antivirus).

Siempre cabe la posibilidad de que además del gusano un

atacante haya

comprometido el sistema de forma personalizada, por eso

en sistemas

muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable,

pero que es

complicado seguir en la práctica por usuarios de a pie),

cada vez que

descubramos una nueva vulnerabilidad crítica para nuestro

sistema,

habrá existido la posibilidad de que un atacante externo

la haya

aprovechado antes de que instaláramos el parche, y en

consecuencia

habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a

usuarios de a pie

puede resultar para algunos excesivo (entre los que me

encuentro).

Aunque me parece oportuno que se explique tal

posibilidad, y que se

recomiende el formateo del sistema para mayor seguridad.

Eso sí,

después de formatearlo, si debe descargar los parches de

seguridad de

Internet estará de nuevo expuesto durante esa ventana de

tiempo, por

lo que para que la información fuera completa habría que

indicar

también la configuración de seguridad que deben

establecer justo

despues de formatear, instalar el sistema límpio, y antes

de

conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una

vulnerabilidad,

o bien algo predefinido en las RFC que definen todo el

comportamiento

del tcp/ip y que son "inviolables" o sino, no funcionaría

ninguna

red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y

ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet

Explorer

utilizada para la falsificación de URL es una variante

que afecta

exclusivamente a Internet Explorer, y que ni por asomo

tiene el mismo

efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que

ver. De

hecho, navegadores como Opera o Mozilla cumplen

perfectamente con la

RFC y con la sintaxis que usted describe, y sin embargo

no les afecta

la nueva variante de URL spoofing que está siendo

aprovechada contra

los usuarios de Internet Explorer (como en el reciente

caso del Banco

Popular).

Y le aseguro que esos otros navegadores "funcionan" en

red :)

Es el uso de los caracteres %00 %01 lo que provoca que

Internet

Explorer no muestre la URL real en la barra de

direcciones (aunque

sea enmascarada), SOLO aparece la URL falsa, por lo que

el usuario no

puede detectar a simple vista que se encuentra en otra

dirección. Ese

"comportamiento" no está descrito en ninguna RFC, ni es

necesario

para nada (a excepción de para ser aprovechado en estafas

y

similares).

Si prueba alguno de los tests (en Hispasec tenemos

algunas páginas de

demostración), podrá comprobar como otros navegadores

muestran la URL

completa, y en algunos casos, como Opera, hasta visualiza

una ventana

de advertencia alertando al usuario e indicando la página

real a la

que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero

que mi mensaje

sirva para aclarar algunas dudas y corregir ciertas

afirmaciones

erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero




.

el ser ironico no le ayuda en los foros tampoco...

-
Rodolfo Parrado Gutiérrez
Bogotá - Colombia
-
Este mensaje se proporciona "como está" sin garantías de ninguna indole, y no otorga ningún derecho.
-
Asegurese de buscar desde el enlace sobre lo que esta buscando ya que muchas veces la pregunta ya fue respondida mas de una vez
http://groups.google.com/groups?hl=....public.es
-
"Bernardo Quintero" escribió en el mensaje news:%

Hola Rodolfo,

"Rodolfo Parrado Gutiérrez" escribió:

>Una recomendacion... por favor creo que ya vimos su post y lo publico en un
dia donde la mayoria no trabajan...
>
>ya parece un spammer...
>
>creo que con los lugares donde lo posteo y los links que contesto es
suficiente...

Gracias por la sugerencia. Únicamente "posteé" el comentario en los mismos
foros e hilos
donde se encontraba el mensaje al que doy contestación.

En adelante, descuide, responderé individualmente. Espero no haberle
causado muchos problemas de bando de ancha con mis 4 o 5 mensajes ;)

Saludos,

Bernardo Quintero

Entre lineas.

Una par de aclaraciones (y por favor, si deseas

continuar, ya que esto cae fuera del ambito de los foros,
podemos hacerlo por mail).

Muy bueno lo tuyo... :-)))))))))))))

Bien. Entonces algo ha cambiado en la editorial o en los

componentes de Hispasec, porque aunque una de mis misiones
es leeros todos los dias, el cambio se postura y/o enfoque
ha sido radical de una temporada a esta parte.
Evidentemente esto es una "apreciacion" y por tanto objeto
de ser subjetiva. Pero es "mi" apreciacion, al igual que
la de otros compañeros de trabajo (que por cierto, no
son "windoseros", sino "linuxeros". por lo que que
creo que no está mediatizada -la de un grupos totalmente
dispar de personas que trabajan en seguridad- por ser o no
MVP o por ser o no "windosero".

Sin interes

Correcto. Y hay que asumir que un sistema comprometido,

dependiendo de como lo haya sido, es necesario
formatearlo. Yna semana ANTES de que el blaster causase
estragos, yo había publicado el aviso en estos foros
advirtiendo que era lo mas serio que habia encontrado
contra los usuarios domesticos en mucho tiempo. En
particular lo publiqué en estos foros el 6 de Agosto y el
blaster hizo su aparicion el 10-11 de Agosto.

Todos lo tenemos claro: LO QUE OCURRE ES QUE NO SABES
RECTIFICAR.

El dia 13, publiqué este articulo:
http://www.multingles.net/docs/rpc.htm
como resumen del anterior y complemento con el Blaster.

Creo que muchos sitios de informacion, incluidos

vosotros, "pasasteis" en este caso de dar una solucion
correcta al usuario, pero desagradable. Unicamente, en
VsAntivirus encontré un articuoo serio que aconsejaba
precisamente el formateo por esta causa especifica.

Resumiendo, sólo encontraste un sitio donde avalaban tu
posición.

O sea... el usuario final, que nunca mira la barra

inferior, y que en muchos casos la tiene desactivada
(!!!!), se va a fijar en ello. ¿no?. ¿esto es lo que se
considera vulnerabilidad?...

Esa no es la cuestión. Está claro que es una
vulnerabilidad de Internet Explorer, NO UN 'FALLO' DE LA
RFC.

Por favor... cualquier dia sacais publicado que un PC que

tenga disquetera es vulnerable porque cualquiera puede
inicar el sistema. Lo siento, pero tenemos puntos de
vista totalmente diferentes.

Es una elucubración tuya que no viene al caso

Creo que, efectivamente es "a tu entender". De todas

maneras, estoy abierto a dialogo por mail. (y no me
importaría en absoluto) simplemente porque me gustaria
que volvieseis a ser los "serios" que bajo mi punto de
vista erais anteriormente.

:-)))))))))))))))))

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.


"Bernardo Quintero" wrote in

message news:btssvf$d88$
data.net...

Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me

ha escrito

comentándome que había un "MVP" negando la evidencia de

una de las

vulnerabilidades de Internet Explorer y

descalificándonos (a

Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de

noticias

serias, a ser simplemente un negocio periodistico que

solo vuelca las

noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas

de "una-al-día" que

publicamos de forma gratuita no obtienen ningún tipo de

ingreso, ni

recibimos por ellas ningún trato de favor por parte de

terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de

noticias como

Hispasec?... La recogen y "solo" dan tambien

informacion parcial de

como removerlo porque no les interesa meterse en

camisas de 11 varas

contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo

organo de

seguridad mundial- y en ciertas paginas de Antivirus

como

VsAntivirus, aconsejan -recomiendan al maximo- el

formateo."

Está mezclando conceptos. La vulnerabilidad en sí no

requiere el

formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera

independiente

por la vulnerabilidad utilizada (sea la del interfaz

RPC, o cualquier

otra), se suele recomendar el formateo de la misma, por

la dificultad

que puede entrañar para los no profesionales detectar

si se ha

troyanizado el sistema.

Si el sistema es comprometido por un gusano de

propagación masiva,

del que se conoce exáctamente como trabaja y las

modificaciones que

hace en el sistema (blaster y compañía), se puede

desactivar de forma

fácil, y no requiere el formateo (el ejemplo más común

es el uso de

un antivirus).

Siempre cabe la posibilidad de que además del gusano un

atacante haya

comprometido el sistema de forma personalizada, por eso

en sistemas

muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable,

pero que es

complicado seguir en la práctica por usuarios de a

pie), cada vez que

descubramos una nueva vulnerabilidad crítica para

nuestro sistema,

habrá existido la posibilidad de que un atacante

externo la haya

aprovechado antes de que instaláramos el parche, y en

consecuencia

habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a

usuarios de a pie

puede resultar para algunos excesivo (entre los que me

encuentro).

Aunque me parece oportuno que se explique tal

posibilidad, y que se

recomiende el formateo del sistema para mayor

seguridad. Eso sí,

después de formatearlo, si debe descargar los parches

de seguridad de

Internet estará de nuevo expuesto durante esa ventana

de tiempo, por

lo que para que la información fuera completa habría

que indicar

también la configuración de seguridad que deben

establecer justo

despues de formatear, instalar el sistema límpio, y

antes de

conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una

vulnerabilidad,

o bien algo predefinido en las RFC que definen todo el

comportamiento

del tcp/ip y que son "inviolables" o sino, no

funcionaría ninguna

red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y

ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de

Internet Explorer

utilizada para la falsificación de URL es una variante

que afecta

exclusivamente a Internet Explorer, y que ni por asomo

tiene el mismo

efecto que describe.

No se puede excusar en las RFC, porque no tiene nada

que ver. De

hecho, navegadores como Opera o Mozilla cumplen

perfectamente con la

RFC y con la sintaxis que usted describe, y sin embargo

no les afecta

la nueva variante de URL spoofing que está siendo

aprovechada contra

los usuarios de Internet Explorer (como en el reciente

caso del Banco

Popular).

Y le aseguro que esos otros navegadores "funcionan" en

red :)

Es el uso de los caracteres %00 %01 lo que provoca que

Internet

Explorer no muestre la URL real en la barra de

direcciones (aunque

sea enmascarada), SOLO aparece la URL falsa, por lo que

el usuario no

puede detectar a simple vista que se encuentra en otra

dirección. Ese

"comportamiento" no está descrito en ninguna RFC, ni es

necesario

para nada (a excepción de para ser aprovechado en

estafas y

similares).

Si prueba alguno de los tests (en Hispasec tenemos

algunas páginas de

demostración), podrá comprobar como otros navegadores

muestran la URL

completa, y en algunos casos, como Opera, hasta

visualiza una ventana

de advertencia alertando al usuario e indicando la

página real a la

que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero

que mi mensaje

sirva para aclarar algunas dudas y corregir ciertas

afirmaciones

erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero

.

Resumiendo, sólo encontraste un sitio donde avalaban tu posición.

En la parte americana del site de Microsoft puedes encontrar un link (en la KB) donde se recomienda formatear si se ha tenido el Blaster. Esta información no ha sido traducida al español.


Saludos

Marc
MCP - MVP Windows Shell/User
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos beneficiamos todos.

Reglas de conducta de los grupos de noticias: http://support.microsoft.com/defaul...newsreglas

Marc:

El tema está claro, aunque hacéis todo lo posible para
oscurecerlo.

La recomendación del cert no es específica del Blaster, se
refiere a toda máquina que haya sido 'comprometida' y la
razón de tal recomendación es clara: Una máquina que ha
sido 'accedida' puede estar infectada (o haber sido
alterada).

Recomendar a los usuarios 'habituales' formatear e
instalar de nuevo, es una temeridad, porque, casi con
seguridad, tendrán problemas para volver a la situación
inicial y porque, casi con seguridad también, su máquina
hubiera quedado en perfecto uso con la desinfección de
cualquier antivirus.

Formatear e instalar de nuevo es el último recurso. Creo
que sería más correcto recomendar desinfectar, instalar
los parches, instalar un antivirus y un firewall (si no lo
tienen ya) y observar la máquina durante unos días.

Mira, no, ya lo han traducido

Alerta de virus acerca del gusano Blaster y sus variantes
http://support.microsoft.com/default.aspx?kbid‚6955

<pego>
Recuperación
Las prácticas de seguridad recomendadas sugieren una

instalación "limpia" completa en un equipo previamente
comprometido para quitar cualquier explotación sin
descubrir que pueda comprometer la seguridad en el futuro.
Para obtener más información, visite el siguiente sitio
Web de Cert Advisory:

http://www.cert.org/tech_tips/win-unix-

system_compromise.html

</pego>

Y ahora, te vale la información de la propia MS?



Saludos

Marc
MCP - MVP Windows Shell/User
NOTA. Por favor, las preguntas y comentarios en los

grupos, así nos beneficiamos todos.

Reglas de conducta de los grupos de noticias:

http://support.microsoft.com/defaul...cid=fh;ES-
ES;newsreglas