Start here

Alerta de Seguridad Java – CVE-2013-1493

Hoy ha sido un día muy productivo en mis pesquisas sobre alertas de seguridad. La lectura del artículo de Andy Greenberg alertando de las vulnerabilidades de Java, al mismo tiempo que la solución de la compañía Etsy de tener instalado la JVM en unas pocas de máquinas sobre las cuales todos los accesos son monitorizados y las actualizaciones controladas, me pareció una medida de bastante impacto a nivel de usuario. Y es que casi todos tenemos un java instalado en nuestros ordenadores, más de 1.1 billones de máquinas virtuales se encuentran instaladas según cifras oficiales de Oracle. Pero es que Java sigue siendo el lenguaje favorito en el 2013 según la comunidad TIOBE, y una de las bases del mundo Android en los dispositivos móviles. Para mí, y creo que para bastantes usuarios, la opción de tener java solo instalado en unos servidores remotos no es una. Así que ¿Cómo saber a qué estoy expuesta?.

Primero un mensaje tranquilizador: Java esta soportada por Oracle, monitorizada por muchos agentes y cuando una anomalía es encontrada no tarda mucho en salir el patch que lo soluciona.(Pero también es un centro de atención para los hackers que no dudan en centrar sus esfuerzos en crackearlo). Problema, uno se descarga cuando necesita el jdk y después no volvemos a mirar para él. Por ello, casi todas las empresas tienen un sistema de actualizaciones que permiten gestionar las versiones, compatibilidad entre versiones, etc…Pero vamos a suponer que no disponemos de uno de esos programas, pues vamos a mirar paso a paso lo que tendríamos que hacer.

Paso 1-> comprobar el jdk que tenemos instalado en nuestro ordenador…que podemos tener muchos, y algunos de ellos embarcados, con lo que no sería visible…Yo creo que la manera más eficiente para descubrir todas las instancias java más en Windows es : abrir todos los programas con lo que solemos trabajar , navegadores, etc.. ir al administrador de tareas-> en la pestaña de procesos seleccionar el botón  “Mostrar  procesos de todos los usuarios”, asegurarse que se tiene la columna línea de comandos visible (Menu Ver-> Seleccionar columnas) y buscar los procesos java, javaw , etc…

Paso 2-> A través de  la línea de comandos situarse en el directorio indicado en la columna línea de comandos del administrador de  tareas, y ejecutar java –versión.


c:\Program Files\Java\jdk1.7.0_07\bin>java -version



java version “1.7.0_17”



Java(TM) SE Runtime Environment (build 1.7.0_07-b11)



Java HotSpot(TM) Client VM (build 23.3-b01, mixed mode, sharing)


Paso 3 -> Vamos a la base de datos de vulnerabilidades http://web.nvd.nist.gov/view/vuln/search y buscamos por java 7 las alertas técnicas. El buscador nos devuelve un montón de vulnerabilidades, entre ellas las más reciente , comentada más arriba que afecta a

Paso 4 -> Implementar la solución: La alerta más reciente es la CVE-2013-1493, tiene su ficha detallada en la que, entre otras cosas, obtenemos información sobre la solución, que podemos resumir en

a) instalar la última versión de Java , Java 7 Update 17  .Esta versión establece el nivel de seguridad de Java por defecto a alto, con lo que los usuarios serán preguntados antes de ejecutar applets de java sin firma o firma desconocida.

b) Instalar la última versión del  plugin java para los navegadores. (otra opción es deshabilitar el plugin java que se encuentra en los browser ).

Conclusión: La informática es como la vida misma. Desde que utilizamos un ordenador todos estamos expuestos,  y no existen soluciones milagrosas……pero hay muchos y  buenos médicos..Saludos benignos.

Advertisements

Tasaciones de software.

Una de las tareas más comunes de un perito informático es tasar material informático, tanto hardware como software. Muchas veces, las tasaciones de material informático son apartados de alguna pericial (ex. en caso de uso de software pirata o ilegal), aunque también puede ser el objeto principal de la misma (ex. en caso de que el juez necesite valorar el material informático de una empresa en suspensión de pagos).

El tema es extenso, y las diferencias entre la tasación de hardware y la de software hace recomendable tratarlas por separado. Empezando por las tasaciones de software, nos encontramos un enredo propio a las características de las aplicaciones, y es la manera de distribución. Todos los software se comercializan con una licencia, por lo que  cuando utilizas una aplicación de terceros, estás  aceptando un contrato para usar dicho software cumpliendo las condiciones establecidas. Esto, junto a las diferentes versiones de una misma aplicación, hacen que se dispongan de un amplio abanico de precios que hay que saber gestionar.

El criterio más usado en los peritajes es el precio de mercado, entendiendo que, para valorar  versiones anteriores se aplica el correspondiente a la última versión, y esto se hace así a efectos de simplificación. Normalmente, el precio original de las versiones anteriores sería más barato, pero si aplicamos a dicho precio inferior el interés legal del dinero desde el año de emisión de la correspondiente versión, el importe que saldría sería superior al precio correspondiente a la última versión del mismo programa, ya que en terminos generales, el precio del software desciende.

Pues teniendo en cuenta todo lo anterior, se muestra un listado de ejemplo con el software más usado:

Options Licencia Precio
. Adobe Acrobat Professional XI Full – Language (EN-ES-FR) -WIN/MAC single user $450
. Adobe Illustrator CS6 Full – Language (EN-ES-FR) -WIN/MAC single user $599
. Adobe Dreamweaver CS6 Full – Language (EN-ES-FR) -WIN/MAC single user $399
. Adobe Premiere Pro CS6 Full – Language (EN-ES-FR) -WIN/MAC single user $799
. Adobe Flash CS6 Full – Language (EN-ESFR) -WIN/MAC single user $699
. Adobe Fireworks CS6 Full – Language (EN-ESFR) -WIN/MAC single user $299
. Adobe Photoshop C6 Full – Language (EN-ESFR) -WIN/MAC single user $699
. Adobe Shockwave: View multimedia objects Full – Language (EN-ESFR) -WIN/MAC single user $699
. ArcGIS 10.1.3D Analyst FULL-WIN single user $2,500
. AutoCAD 2013 Full – Language (EN-ESFR) -WIN/MAC single user $3,900
. Endnote X6 FULL – Language (EN-ES) -WIN single user € 249.00
. Mathematica 9 FULL-Language(EN-ES)-WIN/MAC/LINUX standar € 3,185.00
. Matlab 2012 FULL-Language(EN-ES)-WIN/MAC/LINUX single user $89
. Microsoft Access FULL-Language(EN-ES)-WIN single user $110
. Microsoft Excel FULL-Language(EN-ES)-WIN single user $110
. Microsoft Powerpoint FULL-Language(EN-ES)-WIN single user $110
. Microsoft Powerpoint FULL-Language(EN-ES)-WIN single user $110
. Microsoft Outlook FULL-Language(EN-ES)-WIN single user $110
. Microsoft Word FULL-Language(EN-ES)-WIN single user $110
. Miscrosoft SQL Server 2012 Standard Edition FULL-Language(EN-ES)-WIN core license $1,793
. Nero 12 Platinum FULL-Language(EN-ES)-WIN single user € 89.99
. CorelDraw Graphics Suite X6 FULL-Language(EN-ES)-WIN single user $499
. Microsofo Windows 8 FULL-Language(EN-ES)-WIN single user $200
. Oracle Database Enterprise Edition 11g FULL-Language(EN-ES)-WIN 25 users $950
. OS X Mountain Lion upgrade–Language(EN-ES)-MAC single user $20

Tor servers. Evidencias sobre los correos electrónicos (2), tomando ejemplo del caso Santiago Cervera

Volviendo al caso de Santiago Cervera de mi post anterior, y suponiendo que el correo electrónico fuera enviado desde la cuenta de correo anonymous@foto.r01.torservers.net (campo fácilmente falsificable), y por tanto, usando lo que a primera vista parecería el servicio de conexión segura ofrecida por el proyecto Tor, vamos a la práctica.

Paso 1. Conseguir un acceso a la red que oculte nuestra IP al mismo tiempo que dificulte la escucha de nuestra comunicación. Tras descargar el paquete de navegador Tor (https://www.torproject.org/projects/torbrowser.html) obtenemos el software que nos va a permitir conectarnos a la red Tor, junto con el navegador que va a usar dicho software para garantizar una conexión segura (usando siempre el protocolo https).

Captura de pantalla 2013-01-12 a la(s) 17.06.15

Paso 2. Conseguir un servicio de correo electrónico anónimo, no visible y que nos garantice que no habrá trazas en los logs del servidor. Para ello, nos haremos con una dirección de correo @tormail.org. La única manera de obtener una dirección de este servicio es a través de la URL .onion, en nuestro caso, http://jhiwjjlqpyawmpjx.onion/.URL de 16 caracteres generada con una clave pública que nos llevará a un servicio que va a comprobar que estemos usando una red segura (conseguido en el paso 1).

Una vez registrados, accedemos al servicio y escribimos un email, como en todos los clientes de correo, a una cuenta de gmail de ejemplo.

Captura de pantalla 2013-01-12 a la(s) 17.10.11

Paso 3. Verificar  las cabeceras de correo. Ya desde la cuenta gmail abrimos el email recibido y editamos las cabeceras.(sobre el email, opción del menú (show original), y aquí tenemos la traza de nuestro email sobre un servidor de gmail:

Captura de pantalla 2013-01-12 a la(s) 17.17.09

Por las cabeceras podemos ver que una vez que partió del servidor outgoing.tormail.org [82.221.96.22] pasó por dos servidores SMTP antes de llegar al destinatario.

Conclusión.  Siguiendo la traza del email convencional, probablemente no llegaremos a descubrir a nuestro destinatario. Sin embargo, lo que me intriga es esa terminación del email foto.r01.torservers.net. Si indagamos por los buscadores especializados en rastrear emails, no encontramos entradas, pero en internet se pueden encontrar algunas entradas más interesantes…

Evidencias sobre los correos electrónicos (1), tomando ejemplo del caso Santiago Cervera

Empiezo este blog con un resumen de la noticia que me ha impulsado a iniciar  este nuevo proyecto con el que pretendo arrojar un poco de luz informática sobre casos reales, de actualidad y  con una  fuerte implicación del uso de las tecnologías de la información . Pues sin más preámbulos, vayamos a la noticía en si :

Segun el Pais “El pasado 5 de diciembre, el presidente de la Caja (Asiáin)recibió un correo electrónico desde una dirección desconocida en la que se le solicitaban 25.000 euros para evitar la difusión de la acusación de haber facturado desde su despacho de abogado importantes cantidades de dinero a esa entidad financiera. El remitente instaba a Asiáin a dejar ese dinero en un sobre el viernes 7 en un punto concreto del parque pamplonés. El dirigente de la entidad, que estaba de vacaciones en Fuerteventura, denunció el intento de chantaje ante la Guardia Civil de Morrojable. Al mediodía del domingo pasado, los agentes detuvieron al que acudió a recoger el señuelo, que resultó ser Santiago Cervera, secretario de la Mesa del Congreso y diputado del PP.

Cervera explicó horas antes de dimitir,a través de su blog, que recibió un correo electrónico ofreciéndole información “de relevancia judicial” sobre la gestión de Caja Navarra, que podría recoger en un “lugar determinado de Pamplona”. El exdiputado asegura que, tras responder al remitente que no le parecía la manera más ortodoxa de facilitar información, sí tuvo “curiosidad por si la información se había depositado en ese lugar” y acudió el domingo, aprovechando una visita a la ciudad por motivos familiares.

¿Una simple extorsión al presidente de la Caja?¿Una trampa al ex-diputado?.Y en medio de ello, como medio de comunicación entre las víctimas, unos mensajes recibidos a través del correo electrónico, un canal, por desgracia, inseguro y fácilmente manipulable, que vamos a tener que rastrear.

El correo electrónico o email, es un sistema de envío de mensajes a través de Internet usando para ello los protocolos SMTP/POP3(u otros como IMAP). El mecanismo es sencillo, el mensaje es enviado por el programa del emisor hacia un servidor de correo SMTP quien buscara el camino para que llegue hacía el destino ; el mensaje viaja por la red y llega al buzón del destinatario el cual físicamente está en el servidor de correo destino (servidor POP o IMAP). Durante el  recorrido desde el “Servidor SMTP” hasta el “Servidor de correo destino” puede pasar por numerosos servidores. Durante el paso por dichos servidores debe de quedar una traza en sus ficheros de log con, al menos  la ip del servidor que se ha conectado para el envío del mail, y la hora. Esta es la única pista válida a seguir para intentar llegar al emisor.

Pero prosigamos con el caso que nos ocupa, los mails que han transcendido a la prensa provienen a priori de la cuenta gmail de Santiago Cervera, y el emisor sería un tal “anonymous@foto.r01.torservers.net

supuesto-correo-anonimo-Santiago-Cervera_EDIIMA20121210_0344_14

¿ Un poco rara la cuenta del emisor no? Una cuenta de la red Tor,  una red usada para asegurar la privacidad de  sus usuarios. ¿Como lo intentan? Pues como todos haríamos para despistar a los que nos siguen, en lugar de elegir el camino mas directo para el envío del mail, se utilizan un camino tortuoso con numerosos servidores intermedios para despistar y entre los cuales se asegura que la información va encriptada, para evitar los posibles filtros de los proveedores de servicio o ISP.

Conclusión:  El emisor anónimo del mail no ha puesto las cosas fáciles, pero no imposibles. Sin embargo, más que debatir la procedencia del mail,  recordar que entre los principios de educación informática que todos debemos tener claros es la desconfianza hacia los correos anonimos, y el comportamiento a seguir sería añadir una excepción de seguridad para clasificar el mail como spam   y denunciarlo en (http://support.google.com/mail/bin/request.py?hl=en&contact_type=abuse&rd=1).