Seguro que habréis recibido en más de una ocasión un e-mail que lleva a alguna web ofreciendo este “servicio”. Yo estoy harto ya, como muchos. ¡Borrad estos mensajes! ¡Es un timo! Y en general, no accedáis NUNCA a dar vuestra contraseña a terceros. Estas páginas se dedican a almacenar cuentas de correo y contraseñas para luego acceder y realizar actividades fraudulentas como enviar spam a todos los contactos. Se aprovechan de que el Messenger es un servicio en el que diariamente hay nuevas personas, sobre todo gente joven e inexperta.

El blog de software Genbeta, del que soy lector y que está entre mis enlaces, publicó en noviembre del pasado año una entrada denunciando esto. Recientemente esta anotación ha conseguido una buena posición en Google y se ve que recibía bastantes visitas. A raíz de esto, recibieron una amenaza advirtiendo que, de no retirar la entrada, serían víctimas de un ataque DDoS (Denegación de Servicio Distribuido). La amenaza se ha materializado y actualmente Genbeta se encuentra saturada por el ataque. Se está investigando al respecto para encontrar a los culpables.

Este intento (presumiblemente a cargo de alguna de las webs que ofrecen el supuesto servicio del Messenger) de impedir la difusión del artículo en cuestión, ha conseguido el efecto contrario. Muchos otros blogs, entre los que nos contamos ahora, están publicando esa entrada en solidaridad con Genbeta. En el blog Ahora vas y… mla.com.es están recopilando todas las webs que recogen la noticia. El texto íntegro de la anotación original, escrito por Víctor Pimentel, es el siguiente:

¿Quieres saber quién te tiene no admitido/eliminado en el MSN? Pues no des tu contraseña a desconocidos

Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.

Disculpad los lectores avanzados que ya habéis dejado atrás este tipo de engaños facilones hace mucho tiempo, pero es que hoy me he vuelto a conectar al messenger por obligación y me he dado cuenta de que las cosas han cambiado muy poquito.

Actualización (10/02/2008): Menéame.net también ha tenido problemas con ataques DDoS por recoger la noticia de Genbeta, y al parecer, sigue teniendo. Han recogido 56 IP’s de servidores implicados y al parecer tienen datos de los autores. Esperemos que se solucione.
Actualización (11/02/2008): PÚBLICO.es recoge también la noticia. Se espera que próximamente se detenga a los autores.

Leo en BandaAncha.st que la mayoría de los routers son vulnerables a ataques mediante UPnP (Universal Plug and Play). Esto es debido a que la arquitectura UPnP permite que distintos dispositivos en una red “conversen” entre ellos y puedan autoconfigurarse. Los routers de nuestras casas vienen con dicha arquitectura activada por defecto, porque es la que permite que, por ejemplo, al conectarnos al messenger, éste automáticamente pueda abrir puertos en el router para las conversaciones, mandar archivos, etc. Esto significa que mediante UPnP se pueden hacer cambios en el router con privilegios de administrador sin conocer la contraseña.

Este es el proceso normal de un dispositivo UPnP:

1. Un dispositivo se conecta a la red.
2. Obtiene una IP mediante DHCP.
3. Lanza una petición UDP a 239.255.255.250:1900 y espera respuesta de los equipos con UPnP.
4. Estos responden anunciando la URL desde la que pueden ser controlados.
5. El dispositivo envía mensajes SOAP a esta URL con los cambios necesarios.

Pues bien, si visitamos un sitio web malicioso que contenga un archivo flash habilitado al efecto, éste podría enviar mensajes directamente a dicha URL solicitando al router apertura de puertos o incluso cambiar el DNS primario. Este ataque es el más grave que se podría hacer, ya que un atacante sería capaz de redireccionar nuestras conexiones sin nosotros saberlo. Con lo cual, podríamos entrar en nuestro banco habitual pensando que es seguro y…

También es cierto, que en cada modelo de router, esta dirección URL es distinta, con lo que el archivo flash debería probar con cientos de ellas hasta dar con la correcta, por lo que el riesgo se reduce un poco.

También apuntan que un cliente conectado a un router WiFi de manera similar podría utilizar herramientas UPnP para modificar parámetros del router.

En algunas páginas web he leído que Firefox y Opera podrían estar a salvo por el momento, pero esto es desmentido en la fuente original, el sitio web sobre hacking GNUCitizen, donde indican que el ataque es independiente del sistema operativo y del navegador.

La única solución 100% segura ahora mismo sería desactivar la función UPnP del router. Pero, como venimos diciendo en posts anteriores, la seguridad empieza por uno mismo. Si navegamos por sitios web de confianza no debería haber mayores contratiempos.

Como ya recogían en Kriptópolis hace unos días y anuncian hoy en EL PAÍS, a finales de 2007 se ha detectado un nuevo virus del registro de arranque. Estos virus se esconden en el MBR (Master Boot Record) y utilizan métodos de rootkit para ocultarse del sistema operativo y de los antivirus. El problema principal en la detección de estos virus radica en que el sistema operativo globalmente no es fiable, así que acciones tales como listar los archivos de un directorio u obtener la lista de procesos activos no proporcionan información fiable.

Informa EL PAÍS que el virus está destinado a robar datos bancarios y que ya ha robado a más de 5.000 personas en Europa. La infección se produce a través de páginas que explotan las vulnerabilidades del sistema.

¿Qué hacer ante tal amenaza? Nada especial que no haya que hacer siempre. Como hemos dicho en otras ocasiones y no me cansaré de repetir, la seguridad empieza por uno mismo. Es un caso es extrapolable a la vida real: no podemos pretender andar tan campantes por Afganistán (por decir algo) como si lo hiciéramos por nuestra ciudad, ya usemos un chaleco antibalas o vayamos protegidos por medio ejército. Es decir, no podemos pretender navegar por cualquier página no conocida sin que nos pase nada, por mucho antivirus que tengamos. Esto no quiere decir que no haya que usar antivirus. Lo que quiere decir es que, al igual que en la vida real tenemos cuidado de no pasar por determinados sitios a determinadas horas y similares, en Internet tenemos que tener cuidado de por dónde navegamos.

Si navegamos por páginas conocidas y usamos un buen antivirus, estaremos razonablemente seguros, y no hay que preocuparse en exceso por los nuevos virus. Si, por el contrario, no tenemos cuidado y navegamos “por cualquier sitio” y abrimos todo el correo que nos llega venga de donde venga, probablemente acabemos infectados en un intervalo corto de tiempo.

Así que no os preocupéis, no es tan grave como parece. Si entráis en Internet sólo para mirar esta web, seguro que no os pasa nada ;-).

Actualizado (15:56 h): En Barrapunto recogen el desastre de explicación que ofrece EL PAÍS sobre esta noticia. Es cierto, ni me había fijado porque recordaba la noticia de Kriptópolis y no he llegado ni a leerla entera en el periódico. He indagado un poco más y resulta que las desafortunadas explicaciones se deben a una penosa traducción del artículo real en BBC NEWS.
Actualizado (22/01/2008): Tras haber recordado que dejé una corrección en EL PAÍS a santo del desastre que habían hecho con la traducción, me he pasado de nuevo por allí. Resulta que ya se han informado (en Symantec) y han hecho las modificaciones pertinentes. Todo correcto.

“Steal This Wi-Fi” es un ilustrativo artículo escrito en la revista Wired por Bruce Schneier, criptógrafo y experto en seguridad. En él se vierten una serie de argumentos sobre por qué deberíamos dejar la red WiFi de nuestro hogar abierta, sin ningún tipo de encriptación. Enrique Dans recoge en esta anotación dicho artículo.

Es una realidad que las redes WiFi actuales no son seguras. Es cierto que la seguridad ha mejorado en los últimos tiempos con el desarrollo de WPA (aunque este sistema sigue siendo susceptible de ser atacado), pero la mayor parte de las redes existentes hoy en día siguen utilizando la protección WEP, una protección que puede romperse en 3 minutos. Pero, ¿realmente la solución pasa por desarrollar sistemas de protección más robustos? Bruce Schneier opina que no.

¿Por qué encriptamos nuestra WiFi? ¿A qué tememos?

Una buena razón para “protegerla” sería que cualquier persona podría sentarse en la acera frente a nuestra casa y dedicarse a enviar spam o a cometer cualquier tipo de delito desde nuestra red. Bruce argumenta que quién querría hacerlo en su acera teniendo en las proximidades cafeterías con redes WiFi abiertas. Y en el remoto caso de que sucediera, sin duda el tener la red abierta sería su mejor defensa. De tenerla encriptada, igualmente podrían saltarse la seguridad y cometer el delito, y en ese caso ¿cómo probar nuestra inocencia?

Otra buena razón es el temor por nuestros propios datos. Aquí debemos tener en cuenta una cosa: la seguridad debe empezar siempre por uno mismo. Si nuestro ordenador es seguro, da igual a dónde lo conectemos.

Una tercera y no menos importante razón es la calidad de la conexión. Podríamos temer que nos robasen ancho de banda y que la velocidad de nuestro ADSL se fuera por los suelos. Ciertamente, es preocupante. Pero esto se convertiría en una nimiedad si dispusiésemos en España de conexiones más veloces como en Suecia, por ejemplo, donde se ofrece servicio hasta de 100 Megas por 35 euros al mes. Aquí andamos a la cola en estos temas.

Tras desmontar una tras otra las razones para encriptar nuestra red, realicemos una reflexión: ¿no sería mejor si todos pudiéramos beneficiarnos de encontrar una red abierta en cualquier lugar lejos de nuestra casa?

Actualización (21:10 h): Resulta que alguien ya sugirió todo esto antes que Bruce Schneier aquí.

Este post de Teleobjetivo recoge la traducción de un artículo en inglés con los cinco mejores hacks de 2007. Una recopilación de recomendable lectura que nos hace darnos cuenta de que todo es posible. Ningún sistema de seguridad es invulnerable.

Estos cinco hacks elegidos son:

• Hackeando el GPS
• “Sidejacking” Wifi
• Hackeando camiones
• Hackeando el capitalismo
• iPhone