Seguridad, Hacking y Privacidad México
Inicio
. Alertas de Seguridad . Capacitación . Ciencia . General . Hacker culture . Muy interesante . Privacidad
Archive for September 2009
Pues lo improbable ocurrio, el servidor de licencias viene comprometido desde su origen. No es la primera vez que se escucha que un producto comercial se distribuye con un virus, ya hemos visto laptops infectadas con el pws.gammina o de portaretratos digitales con Mydoom, etc..
En esta ocasión el servidor de licencias del contpaq i (appkey.dll y servidordelicencias.exe ) vienen infectados con w32.induc , el cual es un gusano que infecta PCs de los programadores de Delphi studio, y cuando el gusano detecta que hay un programa en codigo fuente .PAS que esta por compilarse, se añade como un include al codigo para que sea compilado al instante y forme parte del programa binario final listo para ser ejecutado.
Los programadores del servidor de licencias de contpaq pudieran tener sus PCs infectadas y todo lo que producen con Delphi viene con W32.Induc
Ya decia que ese programa no tenia ningun tipo de comuicaciones sospechosas, pero es porque el gusano efectivamente no realiza ninguna, ademas no posee ningun payload más que la intencion de replicarse solo en las PCs donde haya un delphi instalado.
http://vil.nai.com/vil/content/v_204731.htm
http://www.bitdefender.com/VIRUS-1000528-en--Win32.Induc.A.html
14 Sep, 2009 | hmier |
Pues el incidente del día con el que abrimos la sesión de llamadas de emergencia es muy interesante.
Se reportan casos donde al usar los sistemas del seguro social IMSS IDSE partes del SUA entre otros, el navegador presenta una ventanita con un mensaje de error de que "No se pudo encontrar el archivo c:\fakepath\certificado.pfx".
El error es muy sencillo de burlar pero complejo de determinar.
Particularmente se presenta con versiones de Internet explorer 8, y la causa es una reciente actualización del motor HTML del IE que ahora viene preparado para manejar la versión 5 de HTML.
Pero una de las características es que tiene un pequeño bloqueo para ocultar la ruta que del archivo local que se incluye en la forma POST cuando se visita un sitio que el navegador considera de la zona general de internet.
Lo que hace es reemplazar entonces la ruta local del archivo que se va a enviar por c:\fakepath, pero ese cambio en el nombre de la ruta esta provocando que las aplicaciones basadas en web o java-applets como las del IMSS se confundan al localizar el archivo.
La solución más rapida y sucia es añadir el sitio que se visita a la lista de sitios de confianza del IE en herramientas - opciones - seguridad - zonas de seguridad, y con eso ya vuelve todo a la normalidad.
Lo que me falta averiguar es si esa determinación por cambiar la ruta del archivo del POST es una directiva del HTML 5 o un "feature" de microsoft.
08 Sep, 2009 | hmier |
Pues desde el martes por y todo lo que va del dia miercoles he visto mensajes en los buzones acerca del tercer informe de gobierno del presidente Calderon, y tambien he recibido llamadas de mis clientes y amigos que preguntan que onda con este correo, porque si lo vemos a primera instancia, tiene toda la forma de los ya conocidos correos de phishing mexicanos.
Despues de analizar las muestras pues se determina que no es de phishing, es un correo honesto que trata de difundir el mensaje del presidente, y pues en el contexto general, no es nada nuevo a lo que ya hemos visto y comentado aqui, aunque no me sorprenderia para nada que los phishers que ya conocemos aprovechen la difusión de este mensaje para meter los suyos propios.
De nuevo vemos que esta siendo controlado por una empresa de mercadotecnia spameadora que toma las mismas precauciones que las demas, es decir, separa la parte técnica que se sabe será combatida y bloqueada por los filtros antispam, ademas de que de nuevo la muy cuestionable moral y eticamente tecnica de monitorear uno por uno los enlaces y clicks de los correos que llegan a las personas.
Un reportero me pregunto en una ocasión que si con este tipo de correos el gobierno esta invadiendo la privacidad de la gente, y le dije que no, que el gobierno o los políticos que contratan estos servicios no creo que tengan el tiempo ni el interes para dar seguimiento tan detallado a la gente, pero los que si estan en toda la posibilidad de atentar contra la privacidad de las persnasy sin que nadie los detenga son las compañias de mercadotecnia que tienen una fuente de información muy peculiar al recibir el reporte del seguimiento tan detallado de los clicks de un receptor de estos correos.
Por ultimo, ese nefasto link al final del mensaje" para ser dado de baja de la lista", *sigh*....
02 Sep, 2009 | hmier |
Misterio del virus del contpaq resuelto
Pues lo improbable ocurrio, el servidor de licencias viene comprometido desde su origen. No es la primera vez que se escucha que un producto comercial se distribuye con un virus, ya hemos visto laptops infectadas con el pws.gammina o de portaretratos digitales con Mydoom, etc..
En esta ocasión el servidor de licencias del contpaq i (appkey.dll y servidordelicencias.exe ) vienen infectados con w32.induc , el cual es un gusano que infecta PCs de los programadores de Delphi studio, y cuando el gusano detecta que hay un programa en codigo fuente .PAS que esta por compilarse, se añade como un include al codigo para que sea compilado al instante y forme parte del programa binario final listo para ser ejecutado.
Los programadores del servidor de licencias de contpaq pudieran tener sus PCs infectadas y todo lo que producen con Delphi viene con W32.Induc
Ya decia que ese programa no tenia ningun tipo de comuicaciones sospechosas, pero es porque el gusano efectivamente no realiza ninguna, ademas no posee ningun payload más que la intencion de replicarse solo en las PCs donde haya un delphi instalado.
http://vil.nai.com/vil/content/v_204731.htm
http://www.bitdefender.com/VIRUS-1000528-en--Win32.Induc.A.html
14 Sep, 2009 | hmier |
c:\fakepath y los sistemas del IMSS
Pues el incidente del día con el que abrimos la sesión de llamadas de emergencia es muy interesante.
Se reportan casos donde al usar los sistemas del seguro social IMSS IDSE partes del SUA entre otros, el navegador presenta una ventanita con un mensaje de error de que "No se pudo encontrar el archivo c:\fakepath\certificado.pfx".
El error es muy sencillo de burlar pero complejo de determinar.
Particularmente se presenta con versiones de Internet explorer 8, y la causa es una reciente actualización del motor HTML del IE que ahora viene preparado para manejar la versión 5 de HTML.
Pero una de las características es que tiene un pequeño bloqueo para ocultar la ruta que del archivo local que se incluye en la forma POST cuando se visita un sitio que el navegador considera de la zona general de internet.
Lo que hace es reemplazar entonces la ruta local del archivo que se va a enviar por c:\fakepath, pero ese cambio en el nombre de la ruta esta provocando que las aplicaciones basadas en web o java-applets como las del IMSS se confundan al localizar el archivo.
La solución más rapida y sucia es añadir el sitio que se visita a la lista de sitios de confianza del IE en herramientas - opciones - seguridad - zonas de seguridad, y con eso ya vuelve todo a la normalidad.
Lo que me falta averiguar es si esa determinación por cambiar la ruta del archivo del POST es una directiva del HTML 5 o un "feature" de microsoft.
08 Sep, 2009 | hmier |
SPAM Presidencial
Pues desde el martes por y todo lo que va del dia miercoles he visto mensajes en los buzones acerca del tercer informe de gobierno del presidente Calderon, y tambien he recibido llamadas de mis clientes y amigos que preguntan que onda con este correo, porque si lo vemos a primera instancia, tiene toda la forma de los ya conocidos correos de phishing mexicanos.
Despues de analizar las muestras pues se determina que no es de phishing, es un correo honesto que trata de difundir el mensaje del presidente, y pues en el contexto general, no es nada nuevo a lo que ya hemos visto y comentado aqui, aunque no me sorprenderia para nada que los phishers que ya conocemos aprovechen la difusión de este mensaje para meter los suyos propios.
De nuevo vemos que esta siendo controlado por una empresa de mercadotecnia spameadora que toma las mismas precauciones que las demas, es decir, separa la parte técnica que se sabe será combatida y bloqueada por los filtros antispam, ademas de que de nuevo la muy cuestionable moral y eticamente tecnica de monitorear uno por uno los enlaces y clicks de los correos que llegan a las personas.
Un reportero me pregunto en una ocasión que si con este tipo de correos el gobierno esta invadiendo la privacidad de la gente, y le dije que no, que el gobierno o los políticos que contratan estos servicios no creo que tengan el tiempo ni el interes para dar seguimiento tan detallado a la gente, pero los que si estan en toda la posibilidad de atentar contra la privacidad de las persnasy sin que nadie los detenga son las compañias de mercadotecnia que tienen una fuente de información muy peculiar al recibir el reporte del seguimiento tan detallado de los clicks de un receptor de estos correos.
Por ultimo, ese nefasto link al final del mensaje" para ser dado de baja de la lista", *sigh*....
02 Sep, 2009 | hmier |
Search
Archivo
Todo
July, 2010
April, 2010
March, 2010
February, 2010
Msc. Helios Mier
helios [en] seguridadyprivacidad [punto] org GREX Tecnologías de Información
Helios Mier Castillo's Profile
Create Your Badge
Todo
July, 2010
April, 2010
March, 2010
February, 2010
Enlaces recomendados
GREX TI
helios [en] seguridadyprivacidad [punto] org GREX Tecnologías de Información
Consultor en Seguridad de redes y sistemas de información con publicaciones y conferencias en foros nacionales e internacionales, así como catedrático en cursos de grado y postgrado. Ha desarrollado proyectos de seguridad informática en el sector público, privado y académico. Ha sido colaborador y asesor de grupos de combate a crimen cibernético, procesos electorales y atención a víctimas de delitos informáticos. Miembro del IEEE, Computer Society y CRIPTORED, Promotor del Software Libre
Create Your Badge