Weblog de Hispasec Sistemas sobre seguridad corporativa y estrategias de tecnologías de la información

Parece prácticamente inexcusable que a estas alturas cualquier red que se precie proteger cuente con mecanismos de detección de intrusos.

De entre las múltiples opciones que poseen los administradores, hay un sistema de detección bastante popular. Se trata de Snort, un buen sistema de detección que además, es libre y gratuíto.

Una de las grandes ventajas de Snort es que admite la carga de firmas específicas para determinadas vulnerabilidades, factor interesante a tener en cuenta a la hora de minimizar el riesgo que proviene de la existencia de exploits masivos que puden atacar nuestra infraestructura.

Así por ejemplo, a raíz de la reciente publicación de MS06-042, sobre la que se habló extensamente ayer en una-al-día, han aparecido algunos exploits on the wild que pueden ser detenidos con ayuda de nuestro amigo Snort.

Para ello, basta con añadir firmas que permitan identificar estos exploits. Desde la firma más genérica, del tipo alert tcp any any -> any $RPC_PORTS (msg:"US-CERT MS06-040 Indicator"; content:"| 90 90 EB 04 2B 38 03 78 |"; classtype:malicious-activity; sid:1000003; rev:1;), a firmas más elaboradas, que incluyen información suficiente para identificar al vuelo los exploits conocidos para un determinado problema de seguridad.

Para entender la secuencia PCRE que sirve habitualmente como firma para un IDS como Snort, basta con acudir a una referencia Regular Expression Basic Syntax Reference, en la que se estandariza la sintaxis adecuada para codificar firmas adecuadamente. Estas PCRE son las llamadas Perl Compatible Regular Expressions, orientadas a ofrecer patrones de coincidencia (matching) en expresiones regulares.

Este tipo de firmas pueden ser consultadas y descargadas de servicios como Bleeding Edge Snort. Otro ejemplo interesante de firma sirve para contrarrestar el reciente troyano que se comunica vía túnel ICMP, y sobre el que habló Julio en nuestro blog del laboratorio.

Según lo que se puede constatar en la nota de prensa que Panda software ha emitido recientemente, la conocida casa antivirus, en conjunción con Canonical Ltd, ha anunciado la dibilidad de un producto antivirus para Ubuntu Linux 6.06 LTS. Según podemos leer en la nota de prensa:


Tras el lanzamiento de Ubuntu 6.06 LTS, Canonical y Panda Software ponen a disposición de todos los usuarios de dicho producto la suite de seguridad Panda DesktopSecure para Linux.

La seguridad y manejabilidad de la nueva suite de seguridad de Panda, combinada con la facilidad de uso de la interfaz de Ubuntu, proporciona a los usuarios la oportunidad de navegar, comprar e interactuar en Internet con seguridad.


”Nuestro objetivo es poner a disposición de todos los usuarios herramientas eficaces y sencillas de manejar que ayuden a preservar la integridad de los sistemas, como Panda Desktop Secure para Linux. Por ello, esta colaboración con Ubuntu, una compañía líder en el mercado de las distribuciones Linux, es muy importante para nosotros dado que nos permite llegar a una gran parte de la comunidad de usuarios de este sistema operativo”, afirma Pedro Bustamante, director de Marketing de Panda Software”.

Una noticia particularmente llamativa, sin duda alguna. No todos los días se ven acuerdos entre empresas focalizadas en sistemas operativos diametralmente opuestos. El producto es gratuíto y el coste en el proceso de compra responde a la obtención de soporte especializado.

Los usuarios de Ubuntu pueden hacerse con la última versión directamente a través de apt:

~$ sudo apt-get install desktopsecure

America On Line y Kaspersky Lab han llegado a un acuerdo mediante el cual, el proveedor americano podrá distribuir un producto gratuíto llamado Active Virus Shield, cuya tecnología es obra y gracia del popular proveedor ruso de seguridad.


Ni en Kaspersky.com ni en AOL.com hay de momento notas de prensa ni noticias al respecto, pero sin duda, es un movimiento acertado por parte de AOL, no sólo por la calidad del partner escogido, sino por la contribución que supone para la seguridad global de sus usuarios.

Podéis haceros con vuestra copia aquí.

Actualización: Tal y como se cita en la página, No cost, obligation, or AOL membership required, así que cualquiera puede usar este antivirus, sin necesidad de ser cliente de AOL.

Según comentan tanto Ricardo Galli como en el blog Dirson, ayer se produjo un relevante comunicado por parte de Google Research, en el que se anuncia que donarán a la comunidad una importante colección de registros, procedentes de las búsquedas que los usuarios efectúan en el popular buscador.


El conocimiento será liberado, tal y como comentan en Dirson, en forma de seis DVDs, que contendrán 1.011.582.453.213 palabras (más de un billón), dentro de ellas hay más de mil millones de secuencias de cinco vocablos que se repiten más de 40 veces (de gran utilidad para los analistas del lenguaje humano), y existen más de 13 millones de palabras únicas.

Los filólogos y los eruditos del lenguage estarán hoy, sin lugar a dudas, de enhorabuena. Y es que somos muy distintos no sólo hablando y escribiendo, sino buscando.

Yahoo! estrena blog corporativo.


El sitio, al que han bautizado como Yodel, estrena contenidos con una entrada en la que exhiben un vídeo de sus instalaciones, impresionantes a todas luces.

El blog, construido con Wordpress, pretende ofrecer noticias sobre el devenir de la empresa, desde la óptica gerencial. La coletilla Anecdotal que acompaña al nombre de Yodel, hace entrever que se publicarán entresijos interesantes sobre la compañía.

Vía: Genbeta