* Salta a los medios más generalistas la noticia de que un atacante entra en la
recién inaugurada web de la Presidencia española de la Unión Europea
(www.eu2010.es) e incrusta en ella una imagen del conocido humorista británico
Rowan Atkinson en su papel de Mr. Bean. La noticia causa un gran revuelo,
agravado tras conocer el dato de que el proyecto había costado más de 11
millones de euros. Pero realmente el sitio no ha sido vulnerado, sino que tiene
un problema de cross site scripting. La URL había circulado por Twitter y
mensajería a través de una petición especialmente manipulada, alguien pulsó
sobre el enlace del XSS y la noticia ya estaba creada.
* 2010 resulta también una cifra incómoda para ciertos sistemas informáticos,
que no han gestionado adecuadamente estas cuatro cifras, y han dejado de
funcionar o lo han hecho de forma equívoca desde que comenzó el año.
* Hispasec publica, ante el éxito de la primera versión, VirusTotalUploader 2.0.
Entre las mejoras más destacadas: permite calcular el hash antes del envío,
permite ser ejecutado independientemente del menú contextual, permite la
introducción de URLs directamente (y el usuario puede elegir si el fichero a
analizar es efectivamente descargado en el disco duro, en qué directorio, o
incluso que en ningún momento se aloje en el sistema). Otra mejora es que
permite seleccionar y subir cinco ficheros de hasta 20 MBs cada uno y elegir
directamente los binarios de los procesos.
* Google reconoce en su blog oficial haber sido objeto de un ataque "altamente
sofisticado" de origen chino sobre sus infraestructuras. En la investigación
descubren que alrededor de veinte grandes compañías de varios sectores habrían
sido atacadas de manera similar. McAfee analiza varias muestras del malware
involucrado en los ataques. Descubren en los ejemplares una vulnerabilidad no
conocida hasta el momento en Internet Explorer. Tras explotar una de estas
vulnerabilidades instala un mecanismo de puerta trasera que permite a los
atacantes acceder y controlar el equipo infectado. A todo el asunto se le conoce
como "Operación Aurora", y sería objeto de serias tiranteces entre China y
Google cuando la compañía americana le acusa de ser el origen de los ataques y
amenaza con dejar de operar en el país asiático por no aguantar más la censura a
la que se veía sometido.
Febrero 2010:
* La fundación Mozilla informa (otra vez, tras los incidentes de 2008) que dos
complementos "experimentales" para el navegador Firefox contienen troyanos para
Windows. En concreto, la versión 4.0 de Sothink Web Video Downloader y todas las
versiones de Master Filer. Estaban infectados con LdPinch.gen y Bifrose
respectivamente.
* La Guardia Civil detiene a tres personas como presuntos responsables de una
red que tenía bajo su control más de 13 millones de ordenadores "zombies". Se le
denomina red "Mariposa". Panda y los servicios de inteligencia de los EE.UU,
participan en la desmantelación de una de las redes zombi más grandes vistas
hasta el momento.
* Se hace público que Microsoft conocía el fallo utilizado en la Operación
Aurora desde hacía al menos cinco meses. Lo arregla a los pocos días.
Marzo 2010:
* Panda da a conocer que Vodafone, el paquete con el que distribuye el HTC Magic
con Android, viene troyanizado con el cliente para incorporar el equipo a la
botnet Mariposa.
* Los problemas de seguridad en Adobe comienzan a ser insostenibles. Anuncian un
giro en su política de seguridad para intentar enmendarla. Entre las medidas,
pretenden colaborar con Microsoft para que las actualizaciones de Adobe se
distribuyan a través de los productos y servicios de administración centralizada
de Microsoft, como System Center Configuration Manager (SCCM) o System Center
Essentials (SCE).
* Mozilla publica la versión 3.6.2 del navegador Firefox que soluciona (entre
otros) un fallo de seguridad que estaba siendo aprovechado por atacantes y del
que se rumoreaba desde hacía un mes. Por su parte el gobierno alemán recomendó
no usar el navegador hasta que el fallo fuese corregido.
* Microsoft publica el boletín de seguridad MS10-018 de carácter crítico, en el
que se solucionan hasta diez vulnerabilidades diferentes en Internet Explorer.
La urgencia se debe a la última vulnerabilidad recientemente anunciada y que
está siendo utilizada de forma activa.
Abril 2010:
* En abril, a través de un post en el blog oficial del equipo de
infraestructuras de Apache, se publican los detalles acerca de un ataque
dirigido sobre los servidores de la fundación. Los atacantes emplean una
vulnerabilidad desconocida hasta el momento en JIRA (un software de gestión de
errores e incidencias en proyectos) que permite efectuar ataques de cross site
scripting.
* A las 14:00 horas GMT del 21 de abril, McAfee libera un nuevo fichero DAT de
actualización, el 5958 que contiene una firma que le indica al antivirus de
McAfee que ponga en cuarentena al proceso svchost.exe de los sistemas operativos
Windows XP SP3, al confundirlo con el virus W32/Wecorl.a. Esta acción provoca
que cuando se reinicie el equipo éste entre en un bucle de reinicios
consecutivos y vuelva a la máquina inoperable
* Didier Stevens publica una técnica para ejecutar código en Adobe Reader con
solo abrir un archivo PDF especialmente manipulado sin utilizar una
vulnerabilidad en la implementación del programa..., sino en la especificación
PDF.
Mayo 2010:
* Se da a conocer un problema en Facebook que permite a cualquier usuario
visualizar el chat de sus amigos en tiempo real. El fallo, fácilmente
reproducible por cualquier usuario con unas pocas pulsaciones de ratón, permitía
visualizar las conversaciones que cualquiera de sus amigos estuviera manteniendo
en ese momento. Todo ello sin necesidad de ningún conocimiento técnico ni
escribir ninguna línea de código.
* Aza Raskin desvela un nuevo método de modificación de páginas en pestañas del
navegador que puede ser utilizado para realizar ataques de phishing un poco más
sofisticados. Está basado en una técnica con JavaScript que permite modificar el
aspecto de una página cuando no tiene el "foco" de la pestaña del navegador.
Aunque ingenioso, no es realmente usado en ataques. Se le bautiza como
Tabnabbing.
* Financial Times publica una noticia en la que se afirma que según "varios
empleados", en Google, están empezando a abandonar Windows en sus escritorios
por cuestiones de seguridad, motivadas probablemente por el ataque que sufrió la
compañía en enero. La decisión (y el titular) es cuando menos discutible, porque
en definitiva, el ataque en el que se basó la operación "Aurora" fue un problema
de políticas de seguridad de Google, no de un sistema operativo u otro.
Junio 2010:
* El día 9 de junio, Tavis Ormandy (que trabaja para Google) hace públicos todos
los detalles de un fallo en el "Centro de soporte y ayuda de Windows" que
permite la ejecución de código con solo visitar una web con cualquier navegador.
Ofrece una prueba de concepto en una conocida lista de seguridad. Alega que ha
avisado a Microsoft cinco días antes, que no se han puesto de acuerdo sobre los
plazos y que considera que el problema es serio como para alertar a todos.
Microsoft se ve obligada a publicar una alerta reconociendo el fallo, pero
lógicamente, todavía sin parche. Poco después, para echar leña al fuego, Graham
Cluley de Sophos, publica en su blog una entrada titulada "Tavis Ormandy, ¿estás
contento? Páginas explotan el 0 day en Microsoft". Sophos descubre que la
industria del malware ya está aprovechando la información de Tavis para realizar
ataques de forma masiva. Y empeoraría con el tiempo. Se reabre el debate sobre
la "divulgación responsable", que algunos ven como un término avieso creado por
las grandes marcas para hacer pensar que cualquier otra vía de divulgación es
necesariamente irresponsable.
* Un grupo de investigadores anónimos (y con mucho humor) forman el
Microsoft-Spurned Researcher Collective, (un juego con el oficial Microsoft's
Security Response Center) que se supone se trata de una formación que intenta
encontrar vulnerabilidades en Windows y divulgar todos los detalles sin avisar a
Microsoft, con el único fin de vengarse por el trato dado a Tavis. Google y
Microsoft se acusan mutuamente. En un intento de calmar ánimos, Microsoft decide
cambiar el término "responsible disclosure" por "coordinated disclosure" y la
industria lo acepta como nuevo estándar.
* Se descubre que UnrealIRCd, un popular servidor de código abierto de IRC, está
troyanizado y disponible desde la página oficial al menos desde noviembre de
2009. Los atacantes reemplazan el código fuente de la versión para sistemas
Unix/Linux, y la modificación pasa inadvertida durante unos 8 meses. A raíz del
incidente, comienzan a firmar su código.
* Microsoft vuelve a poner la excusa de la "incompatibilidad" para dejar sin un
parche de seguridad a un producto al que todavía da "soporte extendido". En este
caso se trata de Office XP. La suite ofimática aparecida en 2001, se queda sin
el parche MS10-036, que corrige una vulnerabilidad que permite la ejecución de
código. La razón oficial: incompatibilidad.
Julio 2010:
* VirusBlokAda descubre en junio un nuevo troyano. Pasadas unas semanas, alertan
sobre algo realmente inusual en este troyano: su forma de propagarse a través de
memorias USB prescindiendo del tradicional archivo autorun.inf. El troyano usa
en cierta manera, una vulnerabilidad en archivos .LNK que permite la ejecución
de código aunque el AutoPlay y AutoRun se encuentren desactivados. A efectos
prácticos, implica que se ha descubierto una nueva forma totalmente nueva de
ejecutar código en Windows cuando se inserta un dispositivo extraíble,
independientemente de que se hayan tomado todas las medidas oportunas conocidas
hasta el momento para impedirlo. Comienza a indagarse sobre un malware que dará
mucho que hablar: Stuxnet.
* Se descubre que Stuxnet está dirigido específicamente contra sistemas SCADA
WinCC de Siemens, que se ejecutan en Windows. Dentro de su código contiene la
contraseña por defecto para la base de datos central del producto. Para colmo,
el troyano utiliza para su funcionalidad de rootkit unos drivers firmados
digitalmente por la famosa empresa china Realtek. Luego se descubriría que el
troyano no solo podía aprovechar esta vulnerabilidad, sino además otras para las
que tampoco existía parche. Hasta la fecha, el malware más profesional jamás
creado.
* El día 20 de julio Mozilla anuncia la nueva versión 3.6.7 y 3.5.11 de su
navegador, que corrige 15 vulnerabilidades en 14 boletines de seguridad
diferentes. Tres días más tarde ya estaba disponible la versión 3.6.8 para
solucionar una vulnerabilidad introducida al corregir las anteriores.
Agosto 2010:
* Zero Day Initiative de TippingPoint impone una nueva regla destinada a
presionar a los fabricantes de software para que solucionen lo antes posible sus
errores: si pasados seis meses desde que se les avisa de un fallo de seguridad
de forma privada, no lo han corregido, lo harán público.
* HD Moore destapa un problema de seguridad en decenas de aplicaciones de
terceros cuando son ejecutadas sobre Windows. Aunque la raíz del problema es, en
realidad, una programación insegura de las aplicaciones, dada la magnitud del
problema Microsoft publica un aviso de seguridad con instrucciones para mitigar
el fallo. El problema está en múltiples aplicaciones de terceros (y propias)
para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si las
aplicaciones no especifican las rutas completas de las librerías que necesitan,
Windows podría llegar, en su búsqueda, a "encontrar" primero las librerías de
los atacantes y ejecutarlas. Al principio Moore identifica unas cuarenta
aplicaciones, pero poco a poco el número comienza a crecer. Comienza la locura
del DLL Hijacking.
* MS.AndroidOS.FakePlayer.a se convierte en el primer troyano mediático para
Android.
* Intel compra McAfee y se desatan ríos de tinta, dando lugar a todo tipo de
análisis sobre cómo evolucionarán los chips de la compañía ahora que tienen
tecnología antivirus "propia".
* VirusTotal se renueva con interesantes novedades: nuevo servicio de escaneo de
URLs, comunidad VirusTotal, API pública, nuevas estadísticas, nuevo sistema de
búsqueda y extensión para Firefox.
Septiembre 2010:
* El 21 de septiembre se crea una especie de virus JavaScript para Twitter que
siembra el caos. Se propaga con solo pasar el ratón por encima de un twitt. La
vulnerabilidad estaba ya corregida, pero fue reabierta con el cambio de imagen
del portal en agosto.
* Destaca un nuevo fallo de seguridad en Adobe Reader porque elude las
protecciones de los últimos Windows, y además el exploit está firmado
digitalmente.
* SAP anuncia que se apunta al carro de las actualizaciones de seguridad
programadas. A partir de ahora, las publicará el segundo martes de cada mes.
Como Microsoft, Oracle, Adobe y Cisco.
* ZoneAlarm (de Cisco) utiliza técnicas desafortunadas para incentivar la compra
de su software. Una escalofriante ventana emergente sugiere que el equipo está
troyanizado con un malware peligrosísimo, alerta a todos los usuarios de este
firewall personal. Pero además CheckPoint (responsable del producto) resucita en
su página (ya eliminada) todos los tópicos de una publicidad engañosa,
irresponsable y sobre todo, anticuada: vuelven 10 años atrás en el marketing
antivirus.
Octubre 2010:
* Un estudio realizado de forma independiente por Hispasec con 20.263 webs
maliciosas revela que Firefox, en comparación con Chrome, Internet Explorer y
Opera, es el navegador que bloquea de forma más efectiva los intentos de fraude.
* Se detecta un repunte de ataques contra Java SE Runtime Environment, que
aprovechan vulnerabilidades de este software e instalan malware, ensombreciendo
por aplastante mayoría a los ataques contra el Adobe Reader que últimamente
parecía el preferido por los atacantes.
* Microsoft añade la firma de Zbot a su MSRT (Malicious Software Removal Tool).
Los resultados publicados confirman que Zbot (Zeus) sigue siendo la familia que
más afecta a los Windows, encontrándose en 1 de cada 5 sistemas limpiados, según
Microsoft.
* Se descubre un 0-day en Firefox por el equipo de Trend Micro. La compañía
informa que el sitio web oficial de los Premios Nobel había sido comprometido y
que los atacantes habrían insertado un script PHP malicioso, denominado
"JS_NINDYA.A", con objeto de propagar malware.
Noviembre 2010:
* Hispasec desarrolla una herramienta destinada a intentar mitigar con
un solo click los riesgos más importantes que puede conllevar utilizar
un sistema operativo Windows en un portátil: LapSec
* Team Cymru informa de que, aunque todavía en uso, las botnets orquestadas por
IRC (que resultaba el método "tradicional") suponen solo una décima parte de las
botnets controladas por web mientras que estas doblan su número cada 18 meses.
Zeus y SpyEye han tenido mucho que ver en esto.
* Se descubre un fallo de seguridad en el sistema operativo para teléfonos
Android 2.2 que puede permitir a un atacante obtener cualquier fichero del
usuario almacenado en el teléfono si la víctima visita una web especialmente
manipulada.
Diciembre 2010:
* El 28 de noviembre el servidor principal de distribución de ficheros del
proyecto ProFTPD se ve comprometido y la versión 1.3.3c reemplazada por otra con
una puerta trasera. El atacante emplea para acceder al servidor una
vulnerabilidad no corregida en el propio demonio FTP.
* Se publica en la lista de OpenBSD un mail en el que Theo de Raadt, líder del
proyecto, comunica que el código del sistema operativo ha podido ser troyanizado
por sus desarrolladores a petición del gobierno de Estados Unidos entre los años
2000 y 2001. La noticia causa un gran revuelo y Theo solicita ayuda para auditar
el código.
* Microsoft cierra con sus boletines de diciembre todos los fallos aprovechados
por Stuxnet.