SUDO para Windows.

pd: Quien no entienda de qué estoy hablando, probablemente no necesite prestar mayor atención a esta entrada

Pues este email es el que me ha llegado hoy, que no ha cazado el filtro de Gmail. Por cierto, ya lo he reportado. Se puede ver que es un intento muy vulgar, pues no incluye imágenes, y tiene hasta faltas ortográficas.

Hola, apreciado cliente:

Nuestro departamento de antifraude descubrió que la cantidad
en su cuenta excede de dos mil euros. Para prevenir cualquier tentativa
de una tercera persona de tener acceso a su cuenta personal hemos
desarrollado un sistema de seguridad único que nos permite eliminar
cualquier posibilidad de un acceso no autorizado.

El corazón de este nuevo sistema de seguridad es una autorización
de cada transacción hecha de su cuenta personal. La autorización será
aceptada después de que usted introduzca su numero pin de su tarjeta
personal de seguridadl:
- El número de seguridad contiene 6 dígitos
- La tarjeta personal de seguridad contiene una lista de 300 números pin
que pueden ser usados para la confirmación de sus transacciones.

En el caso que el número pin de su tarjeta personal de seguridad sea
introducido tres veces incorrectamente, su cuenta será automáticamente
suspendida. El número de seguridad sólo puede ser usado una vez para
cada transaccion y es invalidado después de que la transacción es realizada.

Para solicitar el sistema de protección en Línea usted tiene que hacer clic
en el link de abajo y seguir las instrucciones en pantalla. Si no tenemos noticias
de usted dentro de 14 días su cuenta será bloqueada y tendra que ir a su
oficina para que se la pongan de nuevo operativa.

En la última etapa de su registro asegurese de introducir su direccion postal
donde qquiere que le enviemos su tarjeta personal de seguridad. Asegúrese
que usted entra toda la informacion correcta para evitar retrasos en recibir su
tarjeta personal de seguridad.

La tarjeta la recibira en un plazo de 14 dias por correo certificado despues de
rellenar el formulario. Mientras tanto usted puede seguir usando su cuenta
personal como hasta ahora.

Para ir al formulario presione aqui: Acceso a Banka por Internet

Email ID: BNSTRvoGEm
Atentamente.
Alfredo Camara Garcia.
Departamento de seguridad y asistencia al cliente.
Banesto (Banco Español de Credito).

Información detallada de los boletines, en VSAntivirus.

Por tanto, usando Hamachi podemos tener conectados ordenadores en puntos remotos del planeta a través de internet, pero como si estuviéramos en una red local privada, compartiendo archivos, impresoras, etc. Por supuesto, la velocidad será la de la conexión a internet que tengamos en cada momento.

Una vez instalado, Hamachi crea un adaptador de red virtual en nuestro ordenador, al que le asigna una ip en el rango 5.x.x.x (este rango no es usado por ninguna red conocida por el momento). Esa ip será el identificador unívoco de ese ordenador en Hamachi. Tras esto, se puede crear una red nueva, o ingresar en una ya creada. Al crear una red nueva, hay que definir una contraseña para que sólo aquellos que deseemos puedan acceder a ella.

Está disponible en dos versiones, una gratuita (Basic), que ofrece todo lo que estoy contando, y otra de pago (Premium), que además permite correr el programa en modo servicio, el poder formar parte de hasta 256 redes en lugar de 64, con 256 usuarios por red en lugar de 16, y algunas cosas más, detalladas aquí. Cada una de ellas para Windows, Linux y Mac. La última versión estable es la 0.9.9.9, pero las betas funcionan igual de bien, e incorporan importantes novedades, así que las recomiendo.

Desde el punto de vista de la seguridad, hay que decir que las comunicaciones están encriptadas en todo momento, según atestigua Steve Gibson, de grc.com. El único problema que le encuentro al sistema, es que ya que Hamachi conecta a un servidor que es el que contiene los datos de las redes y clientes, si éste se cae por alguna circunstancia, nos quedamos sin red.

Más cosas que se pueden hacer con Hamachi (enlaces en inglés):

Como decía, a día de hoy no existe parche oficial para solucionar el problema (ya está disponible, mirar abajo del todo), pero sí que hay uno no oficial, que no resta funcionalidad a nuestro sistema operativo. Se puede descargar de aquí (http://handlers.sans.org/tliston/wmffix_hexblog14.exe y el post del blog del autor del parche). Cuando Microsoft saque el parche oficial, sólo habrá que desinstalar éste desde Agregar y quitar programas, en el Panel de Control.

También existe otra manera de protegernos hasta que salga el parche oficial, y es desregistrando el Visor de Fotos y Fax de Windows (Shimgvw.dll). Para ello hay que seguir los siguientes pasos.

1. Clic en Inicio, clic en Ejecutar, y escribe “regsvr32 -u %windir%\system32\shimgvw.dll”
(sin las comillas), y pulsa Aceptar.

2. Una ventana de diálogo aparecerá para confirmar que el proceso se completó con éxito. Pulsa Aceptar para cerrarla.

El efecto colateral de este arreglo es que el Visor de Fotos y Fax no funcionará más al abrir un archivo asociado a él, pero, sin embargo, no ayudará si lo que hacemos es abrir la imagen con el Paint. Recordad que el Paint abrirá el WMF aunque su extensión no sea .wmf.

Si queremos volver a registar el Visor de Fotos y Fax, basta con seguir el mismo proceso, pero introduciendo “regsvr32 %windir%\system32\shimgvw.dll”.

Mejor y más detallada información en:

Microsoft Security Advisory.

Hex Blog.

FAQ sobre el exploit en vsantivirus.

F-Secure Weblog.

Artículo en la wikipedia.

Actualizado Martes 3 de Enero 2006: nueva versión del parche no oficial, la 1.4.

Actualizado Jueves 5 de Enero 2006: Ya está disponible el parche oficial de Microsoft, aquí.

Esto tiene algunas implicaciones peligrosas.

La primera y peor, es que si en un script hemos añadido información personal, como puede ser el login y contraseña u otros datos sensibles, éstos están a la vista de las webs que visitamos. Es más, imaginad que una de nuestras webs favoritas es hackeada. Podría darse el caso de que perdamos nuestras cuentas de correo por ejemplo.

La segunda es que es posible que alguna web no esté dispuesta a que usemos en ella determinado script. Ya que pueden ver cuáles usamos, lo tienen fácil para detectarnos y tomar las medidas que crean oportunas.

Los desarrolladores de GM, mientras tanto, están al tanto del problema, del que se han percatado justo antes de terminar la versión 0.4, y están trabajando para cambiar la manera de actuar de la extensión, pero parece ser que no es sencillo, y están pidiendo ayuda de expertos en XPCOM/Mozilla/JavaScript.

Mientras tanto, lo mejor es, o bien desactivar la extensión hasta que aparezca una nueva versión que arregle el fallo de seguridad, o al menos asegurarse de que no hay información sensible en ninguno de nuestros scritps.

Actualización: parece que el fallo es aún peor de lo que apuntaba, mucho peor de hecho. Tener instalado GM permite a cualquier web leer cualquier fichero de nuestro disco duro. Ahora sí, hasta nuevo aviso, desinstalad la extensión. Enlace a la discusión en la lista de correo.

Actualización 2: parece que se va a sacar una versión capada, que será la 0.3.5, y que parchea el fallo, pero a costa de hacer que muchos scripts dejen de funcionar. Sin duda un mal menor.

Actualización 3: Greasemonkey 0.3.5

Actualización 4: Anuncio oficial.