Al parecer, investigadores de IBM y VMWare acaban de desvelar, durante la conferencia Black Hat de Las Vegas, una técnica que permite obtener control total de Windows Vista y lo hacen, de una manera que puede que sea prácticamente imposible de solucionar por Microsoft, a menos que cambie por completo, o al menos sustancialmente, la arquitectura de seguridad de Windows Vista, lo que sinceramente, como están las cosas, me parece improbable.

El problema nace en la forma en la que algunos programas de Windows Vista, como el navegador Internet Explorer, cargan las DLL’s (librerías dinámicas) en la memoria de la máquina. El error se basa en que Microsoft asumió para la arquitectura de seguridad de su sistema operativo Windows Vista, que cualquiera de los archivos de DLLs que se cargasen a través de su tecnología .NET, eran seguros por definición. Apuesta, que sin duda, es arriesgada para la seguridad del sistema, pero que parecía conveniente por motivos comerciales. Como están las cosas, basta mezclar la tecnología .NET con código malicioso embebido en DLL’s, para tener un cóctel explosivo y demoledor para la seguridad de los usuarios.

Lo peor de todo, es que es una técnica muy sencilla de implementar y muy flexible, puesto que se pueden modificar las DLL’s maliciosas con mucha facilidad y añadirles una carga de pago personalizada, lo que puede abrir las puertas a un nuevo universo de maldades informáticas, gracias a que cualquiera podrá tomar el control total y absoluto de un ordenador dotado con Windows Vista, con un acto tan inocente como visitar una página Web preparada para ejecutar el ataque.

Por si alguno piensa que el parche llegará pronto, hay un problema adicional en todo este asunto, como hemos dicho, el fallo reside en la arquitectura de seguridad de Windows Vista, es decir, que no explota un error de programación, más bien, explota un error de diseño que afecta a lo más íntimo del sistema operativo. La consecuencia es clara, puede que no se pueda arreglar con facilidad, o si se puede, el parche puede ser de varios cientos de megas y sobre todo, de poder arreglarse, es posible que tarde algún tiempo en llegar.

Por ahora, por asombroso que parezca, la mejor solución para protegerte de esto, es instalarte un Linux y no usar Windows Vista para abrir ningún archivo, o para acceder a Internet, si eres un feliz usuario de Vista no te puedes fiar de nada, la DLL maliciosa que, robe tu información personal, lo convierta en un miembro de honor de una red botnet, o que lo configure como servidor de pornografía infantil, puede venir por cualquier medio, a través de un chat, por correo electrónico, o simplemente, visitando una página web, etc, por ello, el mejor consejo que os puedo dar, felices usuarios de Vista es "olvidaos de Vista hasta que se solucione el problema, si es que se soluciona".

Ahora es el momento de pensar en lo que decía Bruce, sobre el coste para la seguridad que tiene un monopolio, o sobre los problemas de seguridad del código cerrado y monolítico.Pero lo peor de todo, es que a pesar del desastre para los usuarios de Vista, habrá muchos usuarios que no serán conscientes del problema y que seguirán usando Vista con todo lo que ello puede suponer para la seguridad global.

Fuente: Search Security / Black Hat.

"Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved."

"Enmienda:

(a bis) Se añade el apartado siguiente:

«1 bis. Sin perjuicio de las disposiciones de las Directivas 95/46/CE y 2006/24/CE, esas medidas comprenderán:

– medidas técnicas y organizativas adecuadas para velar por que sólo el personal autorizado tenga acceso a los datos personales y para proteger los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o difusión no autorizados o ilícitos;

– medidas técnicas y organizativas adecuadas para proteger la red y los servicios de su utilización accidental, ilícita o no autorizada, la interferencia u obstaculización de su funcionamiento o disponibilidad, incluida también la distribución de mensajes de comunicación electrónica no solicitados o fraudulentos;

– una política de seguridad con respecto al tratamiento de datos personales;

– un procedimiento de identificación y evaluación de las vulnerabilidades razonablemente previsibles en los sistemas a cargo del proveedor del servicio de comunicaciones electrónicas que comprenda el control regular de las violaciones de la seguridad;

– un procedimiento para la adopción de medidas preventivas, correctoras y paliativas contra toda vulnerabilidad del sistema detectada en el marco del procedimiento descrito en el cuarto guión, así como un procedimiento para la adopción de medidas preventivas, correctoras y paliativas contra los incidentes de seguridad que pudieran desembocar en una violación de la seguridad."

Como he dicho, a pesar de lo anterior, esta mañana a las 12:00 am he puesto las siguientes DNS de Telefónica / Terra en mi configuración y he obtenido lo siguiente, tras comprobar las DNS con el botón "Check My DNS" de la página del amigo Kaminsky:

80.58.61.250 / 80.58.61.254

Your name server, at 80.58.34.37, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: 32772

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for a651af1b62d2.toorrr.com:

80.58.34.37:32772 TXID=12784
80.58.34.37:32772 TXID=54587
80.58.34.37:32772 TXID=27197
80.58.34.37:32772 TXID=1437
80.58.34.37:32772 TXID=12557

80.58.0.33 / 80.58.32.97

Your name server, at 80.58.0.102, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: 55559

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for 9b234ece1fed.toorrr.com:

80.58.0.102:55559 TXID=54403
80.58.0.102:55559 TXID=23150
80.58.0.102:55559 TXID=14054
80.58.0.102:55559 TXID=53071
80.58.0.102:55559 TXID=47313

194.224.52.36 / 194.224.52.37

Your name server, at 195.53.204.139, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: 53661

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for e6be532075e5.toorrr.com:

195.53.204.139:53661 TXID=59935
195.53.204.139:53661 TXID=56220
195.53.204.139:53661 TXID=50579
195.53.204.139:53661 TXID=23931
195.53.204.139:53661 TXID=34235

De nuevo, si uso OpenDNS:

208.67.222.222 / 208.67.220.220

Your name server, at 208.69.34.4, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern.Requests seen for b4dd63e21c4d.toorrr.com:

208.69.34.4:33739 TXID=5311
208.69.34.4:62424 TXID=53127
208.69.34.4:28896 TXID=42887
208.69.34.4:24746 TXID=57425
208.69.34.4:5496 TXID=19268

Pero parece que este operador no es el único; si usamos las DNS de Ya.com, por ejemplo:

62.151.20.7 / 62.151.2.8

Your name server, at 195.53.204.138, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: 33092

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for aca3e546402c.toorrr.com:

195.53.204.138:33092 TXID=26294
195.53.204.138:33092 TXID=52698
195.53.204.138:33092 TXID=54822
195.53.204.138:33092 TXID=11712
195.53.204.138:33092 TXID=39624

Como se puede ver, Telefónica no es la única que tiene el problema, por lo que sería bueno que comprobásemos todas nuestras DNS y publicáramos en algún sitio si son, o no son vulnerables, indicando fecha y hora de la comprobación, para hacernos una idea de la situación de las operadoras nacionales.

Es curioso es que esto siga ocurriendo el 20 de julio de 2008 a las 12:36, cuando las alertas saltaron allá por el día 9 de julio de 2008 y más, cuando este fallo facilita el engaño mediante phishing, o incluso, la instalación de troyanos, o de cualquier otro tipo de malware, a través de páginas maliciosas a las que nos pueden hacer llegar de forma fraudulenta. Una vez troyanizado nuestro sistema, lo único que podemos esperar son problemas.

Hay que señalar, que en esta situación, la existencia de sistemas de firma electrónica, como el e-dni, puede representar un problema añadido, puesto que nos pueden hacer firmar cosas que no queremos y con ello, provocarnos serios problemas legales y/o económicos. Los escasos conocimientos de muchos usuarios, la política de "la informática es para todos" de algunas empresas, no ayudan a solventar el problema, pero si encima las operadoras se lo ponen fácil a los "malos", más problemas tendremos.

El objetivo de la presente Comunicación se puede dividir en tres aspectos operativos principales, sintetizados como sigue:

* mejorar y facilitar la coordinación y la cooperación entre las unidades especializadas en la ciberdelincuencia, las autoridades competentes y otros expertos de la Unión Europea;

* desarrollar, en colaboración con los Estados miembros y las organizaciones y partes interesadas a escala internacional y de la UE, un marco político coherente para la UE en materia de lucha contra la ciberdelincuencia;

* sensibilizar sobre los costes y los peligros que conlleva la ciberdelincuencia.

"...sin embargo, el número de procedimientos incoados en Europa en el marco de la cooperación transfronteriza de los organismos encargados de la aplicación de ley no está aumentando."

Considerando lo siguiente:

(1) El objeto de la presente Decisión marco es reforzar la cooperación entre las autoridades judiciales y otras autoridades competentes, incluida la policía y los demás servicios represivos especializados de los Estados miembros, mediante la aproximación de su legislación penal en materia de ataques contra los sistemas de información.

Una vez configurado, e instalados todos los complementos, he intentado acceder a las Notificaciones Seguras de nuestra querida Administración y no ha sido posible. He cambiado configuraciones y versiones de Java y he realizado pruebas durante varios días, sin ningún éxito. Puesto en contacto contacto con el servicio técnico, me han dicho que están en ello y que esperan tener listo el sistema para que funcione con Firefox3. Mientras, me recomiendan que use una versión antigua, algo que tengo que probar cuando tenga tiempo.

Sin embargo, durante las pruebas apareció otro problema relacionado con el contenedor de certificados de Firefox: no puedo importar o exportar certificados...

Siempre obtengo los mensajes:

a) Fallo en la recuperación del archivo PKCS #12 por motivos desconocidos.

b) Se produjo un fallo por motivos desconocidos al guardar la copia de seguridad
del archivo PKCS #12.

En este punto, comencé a buscar información por la Red y encontré esto:

http://www.pki.gov.ar/index.php?option=com_content&task=view...

Pero borrar el certificado raíz de la FNMT no ha funcionado en absoluto, tampoco una excepción relacionada con dicho certificado que había en la pestaña Preferencias | Cifrado | Ver certificados | Servidores.

Con otra prueba comprobé algo curioso, puedo cambiar contraseñas sin problemas o instalar certificados generados desde la web, como comprobé con un certificado de https://www.startssl.com/. Tampoco tengo problemas para instalar certificados raíz o al borrarlos, o al generar excepciones para páginas.

Es decir, que el problema lo tengo cuando quiero importar o exportar una clave pública desde un archivo, o desde el contenedor a un archivo. Una vez instalado el certificado de https://www.startssl.com/, sigo teniendo problemas para exportar una copia. La única solución es borrar a lo bruto el directorio .mozilla en mi usuario y dejar que Firefox lo cree de nuevo, pero eso supone tener que configurar e instalar todo de nuevo, incluidos los certificados.

Visto lo visto, decidí iniciar un bug en Bugzilla, pero lo que he obtenido de Mr. SSL (Nelson), no ha podido preocuparme más:

"Sorry, as a matter of principle, I don’t work on bugs about failures that PSM reports as "for an unknown reason". NSS reports specific error codes that say what the reason is. For some reason, PSM decides to discard that information and report "for an unknown reason". That PSM choice has the effect that when users experience failures, instead of taking simple corrective actions idicated by specific error codes, they file bugs. The NSS and PSM developers get asked to diagnose a problem that was already diagnosed by NSS, but that diagnosis was discarded by PSM.

Years ago, when PSM was being first developed, the developer responsible for doing the error code UI was not up to the job, and the display of error codes became the last thing to be completed. The manager of the project, desiring to get it done more quickly, decided to just take all the remaining error codes and report them "for an unknown cause". That was 8 years ago, and from that to do this, no person responsible for the PSM UI has thought it important to fix that utterly useless UI.

My position is this: There is no reason that the NSS team should do extra work to diagnose problems whose diagnosis has already been given by NSS, but was discarded by Firefox. UI is Firefox’s responsibility, not NSS’s. If it is not important to the Mozilla/Firefox/UI community to report those error codes, then it certainly is not worthy of the NSS team’s time either."

Es evidente que este es un problema de la comunidad de desarrollo de Mozilla/Fifefox, pero también es cierto que es un serio hándicap para este navegador, en un momento en el que el uso de certificados digitales se está generalizando de la mano de la e-administración.

Sin duda, la falta de códigos de diagnóstico es un serio problema, tanto para los usuarios, como para los que intenten implementar procedimientos administrativos que sean compatibles con este navegador y luego quieran dar soporte técnico a los mismos.

Por el momento he solicitado una persona de contacto en el proyecto Mozilla / Firefox para ver si se logra que esos mensajes de error se vean en la pantalla. Comportamiento irritante de una aplicación libre, cuando lo que más me gustaba de los programas libres era el control, el diagnóstico de los problemas y las posibilidades de auditoría que tienen.

Dicho lo dicho, ¿a alguien se le ocurre una forma para solucionar el problema?

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Bueno, después de muchas pruebas he encontrado al culpable, que no es Firefox, aunque sí ha servido para encontrar un punto flaco en este navegador y que no es otro que el deficiente tratamiento de los errores.

Algo que he podido comprobar en mis carnes y dificulta enormemente diagnosticar las causas de los comportamientos anómalos. Por lo tanto, bienvenido sea este problema y usemos lo que sabemos para mejorar Firefox, puesto que los "errores por motivos desconocidos" no ayudan a mejorar la reputación de este excelente navegador y dificulta su uso y soporte en las aplicaciones de la e-administración.

Descubrir este error me ha llevado horas y un montón de pruebas, hasta aislar la fuente del problema, algo que hubiera sido mucho más sencillo, sin duda, si los mensajes de error fueran más claros.

En mi caso, el culpable era un plugin, más concretamente, Torbutton en su versión 1.2.0.RC1, y por lo que aparece en su página, esto puede parecer más una "feature" que un error, según lo miremos:

http://torbutton.torproject.org/dev/design/#id2951083

Aunque tiene Torbutton, sí algunos problemas con los certificados.

https://bugzilla.mozilla.org/show_bug.cgi?id=435159

Por lo tanto, si alguien no puede importar o exportar certificados y tiene Torbutton instalado, no tiene que desinstalarlo, basta con desactivarlo y volver a arrancar Firefox. Una vez realizadas las acciones que se consideren necesarias con los certificados, se puede volver a activar y rearrancar el navegador para poder trabajar con él.

La diferencia de comportamiento entre la versión 2 y la 3 de Firefox se debe a que una vez actualizado el plugin, pierde la compatibilidad con la versión anterior de Firefox, por lo que se desactiva y por lo tanto, no afecta a la gestión de los certificados de la versión más antigua.

Finalmente, quiero dar las gracias a los que han colaborado para descubrir al "culpable".

Un saludo, Fernando Acero