Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 28 de diciembre de 2008

Phishing y "cuentos" en navidad

El final de cada año representa un condimento especial para usuarios malintencionados debido al festejo de las fiestas navideñas, donde, a través de mentiras relacionadas a navidad, buscan captar la atención de los usuarios.


Así que desde hace unas horas, un nuevo ataque de phishing a través de correo electrónico no deseado, o spam, se encuentra inundando nuestras casillas de correo. Bajo la excusa de haber ganado la lotería de navidad, el spam aparenta ser emitido por una empresa llamada PostFinance. La apariencia del spam es la siguiente:


Para obtener el supuesto premio, el usuario debe, previamente, activar una cuenta en Western Union. En el cuerpo del mensaje se encuentran incrustados dos enlaces, el primero de ellos, bajo la leyenda “GO TO LOGIN PAGE FOR ACTIVATION (CLICK HERE)”, redirecciona hacia una página real de la empresa (https://e-finance.postfinance.ch); mientras que el segundo enlace, “CLICK HERE”, redirecciona hacia una página web falsa que solicita información personal del usuario (http://203.[ELIMINADO].149/js/default.html).

Sin embargo, al hacer clic sobre este segundo enlace, se produce un nuevo redireccionamiento pero hacia un sitio con otra dirección IP (http://203.[ELIMINADO].6/panel/[ELIMINADO]en.html), donde se presenta el formulario antes mencionado. El objetivo de esta página es que el usuario ingrese información personal que luego puede ser utilizada para cometer estafas.

Si comparamos ambas páginas, la real y la falsa, vemos que existen diferencias entre ellas, pero que, visualizadas por un usuario que desconoce estos métodos de engaño, la maniobra fraudulenta puede resultar efectiva para el atacante.


Como se puede apreciar en la captura, el phishing ofrece dos campos más de datos, la dirección de correo electrónico y el número telefónico. El principal objetivo que persigue esto es que, el atacante, obtenga en una sola instancia toda la información que necesita para luego cometer el fraude.

Es evidente que las técnicas de engaño y fraudes aumentan y existen para todos los gustos, sin embargo, es importante que sepamos cómo funcionan para poder identificarlas y no caer en trampas como estas, sobre todo en fechas significativas como lo es la navidad, donde muchos solemos hacer compras por Internet.

ACTUALIZACIÓN 19:30 hs: aparentemente, la dirección IP 203.[ELIMINADO].149 pertenece a un proveedor de servicios de Internet de Pakistán llamado Supernet. En cambio, la segunda dirección, 203.[ELIMINADO].6 (donde se encuentra alojada la página web falsa), sería perteneciente al Ministerio de Educación de Tailándia.

IP
203.[ELIMINADO].149
SUPERNET NetBlockAdmin
10th Floor, Tower B,
Karachi 75600, Pakistan.

IP
203.[ELIMINADO].6
Ministry of education
319 wangchankasem thanon ratchadamnoen-nok dusit bangkok
THAILAND 10300

# pistus

Ver más

viernes, 26 de diciembre de 2008

Violaciones de seguridad más comunes

Hace un rato me encontré con un interesante y reciente informe desarrollado por la empresa Verizon Business mediante el cual se describen los problemas de seguridad más comunes que se produjeron durante los últimos cuatro años provocando pérdidas de información considerables en las empresas.

Del informe se desprende que:
  • en el 87% de los casos, los problemas se pudieron haber evitado sin problemas a través de medidas de seguridad básicas,
  • en el 66% de los casos, las empresas no sabían que estaban publicando información sensible a través de sus sistemas y sitios web,
  • en el 39% de las violaciones de seguridad, participaban activamente socios de negocio de la empresa (Partners), cuestión que fue multiplicándose desde el año 2004.
Como verán, hasta aquí sólo se mencionan tres de los puntos más importantes que expone el documento pero que más allá de ello, se suelen obviar por considerarse triviales olvidando que, sin embargo, constituyen los puntos claves para un atacante. Por otro lado,
  • el 73% de las debilidades se debieron a fuentes externas,
  • el 18% fue provocado por personal interno, lo que se conoce como factor insider.
Teniendo en cuenta esta información, se puede desmitificar la creencia que establece que el mayor daño es provocado por ataques externos (73%) que quizás es llevado a cabo por un chico que se encuentra al otro lado del mundo frente a su PC y tomando cerveza. Contrariamente a lo llamativo que pueda parecer este porcentaje, los daños provocados por estos ataques poseen un impacto mínimo.

No sucede lo mismo cuando el ataque es provocado desde dentro de la organización ya que, si bien el porcentaje es menor (18%), este tipo de ataques es el que más daño provoca en la empresa debido a que, en la mayoría de los casos, es cometida por personal que posee y conoce información privilegiada y sensible de la empresa.

Ahora bien, después de leer estos puntos, la pregunta que genera el punto de inflexión en torno a este tema es ¿podrían haber sido evitadas? Siendo la respuesta un rotundo SI.

En el mismo informe se expresa que el 87% de los problemas pudieron haberse evitado a través de medidas básicas de seguridad, es decir, por intermedio de la implementación de controles de seguridad razonables tendientes, precisamente, a prevenir este importante 87% de problemas.

Otro dato importantísimo que expone el documento es que el 22% de los ataques se produjeron a través de la explotación de vulnerabilidades de las cuales más del 80% eran conocidos, es decir, no se trataba de exploit 0-Day, además de poseer su correspondiente parche de seguridad que soluciona la debilidad.

Este punto en particular, trae a mi mente el gran ruido que ha estado causando, por ejemplo, el gusano Conficker con alta tasa de infección en apenas unos días, aprovechando una vulnerabilidad en plataformas Windows solucionada en el boletín de seguridad MS08-067, o la reciente vulnerabilidad en Internet Explorer solucionada en el boletín MS08-078 y que muchos troyanos están explotando activamente.

Resulta sumamente importante sa ber que algunas de las medidas de seguridad básicas que debemos tener en cuenta pasan por implementar y/o actualizar la Política de Seguridad de la información en la empresa, y controlar que se cumplan las medidas expuestas, en esto se centra casi la totalidad de la solución a los problemas de seguridad mencionados.

Saber con qué datos contamos, dónde se encuentran almacenados y cuál es el valor que posee cada uno de ellos según el plan de riesgos realizado, es también una cuestión a considerar ya que no es posible asegurar lo que no se conoce o lo que no se sabe dónde se encuentra.

Debemos intentar adoptar el sentido de un estratega para asegurar el entorno, o por lo menos, encontrar un adecuado equilibrio de seguridad en el mismo.

Un interesante documento que llama a la reflexión sobre los problemas de seguridad a los que comúnmente se expone una organización dejando sin protección el activo más valioso con el que cuenta, la información; muchas veces, sin saber que se encuentra disponible “para todo público”.

# pistus

Ver más

domingo, 21 de diciembre de 2008

Malware for dummies (Generador de virus)

En varias oportunidades he leído noticias sobre herramientas supuestamente novedosas y de aparición relativamente reciente que permiten generar códigos maliciosos de manera automática, sin que el esfuerzo supere el solo hecho de hacer un clic. La siguiente captura, nos muestra una de estas aplicaciones:

En este caso, la manera en que esta herramienta fue presentada ante el usuario común me recuerda a escenas de películas de terror, esas que generan pánico a cualquier persona. Sin embargo, me gustaría compartir unas palabras para apaciguar en los usuarios esa sensación de miedo que puede llegar a generar este tipo de programas dañinos.

Por un lado, recordando acciones comunes propias de los viejos virus informáticos y los primeros troyanos, no es difícil darse cuenta que las funcionalidades ofrecidas por esta aplicación dañina no son para nada novedosas, teniendo algunas de ellas más de una década, como puede consultarse en nuestra Historia de los Virus Informáticos.

Funcionalidades como deshabilitar el registro, la restauración del sistema o el administrador de tareas, se encuentran presentes en cualquier malware actual. Por ejemplo, el generador que se expone en la imagen fue lanzada en septiembre del 2007.

Quizás, lo que sí resulta novedoso en este campo, es la capacidad que esta incorporando el malware actual de detectar ambientes virtualizados, como el que se muestra en la siguiente captura:

Si bien es cierto que aplicaciones dañinas de este estilo facilitan la creación automatizada y masiva de malware, sobre todo, por usuarios sin experiencia ni conocimientos informáticos, no debemos caer en el miedo o la paranoia que no nos permita disfrutar el uso de la tecnología.

Simplemente debemos estar atentos y dejar la seguridad antimalware a soluciones como ESET NOD32 que detecta estas amenazas de manera proactiva desde su lanzamiento, merced a su heurística avanzada.

Jorge

Ver más

domingo, 14 de diciembre de 2008

Phishing para American Express y consejos

Como sabemos, el phishing es una modalidad delictiva cuyo principal objetivo es obtener información sensible para luego estafar económicamente a los usuarios, a través de engaños donde el más difundido es la clonación de páginas web de entidades bancarias y financieras como el que vemos a continuación.

Con la llegada de los festejos de navidad y año nuevo, estas técnicas delictivas aumentarán su tasa de exposición y serán muchas las alternativas que emplearán quienes se encuentran detrás de estas maniobras, no sólo a través de phishing sino que también a través de otras estrategias como la propagación de malware por tarjetas virtuales, mensajes en cadena, spam con “oportunidades” de compra, etcétera.

En consecuencia, es fundamental actuar con mucha cautela y estar atentos a estas maniobras delictivas ¿de qué manera? Bueno, aquí les propongo tres consejos fundamentales:
  • Protocolo seguro. Verificar que, en la página donde se debe acceder información personal, cuente con la versión segura del protocolo http (https), de esta manera nos aseguramos que el sitio se encuentra cifrado a través del protocolo SSL (Secure Sockets Layer). Esto crea un canal seguro en la comunicación protegiendo la información.
  • Enlaces maliciosos incrustados. El correo electrónico es un canal altamente utilizado para la propagación de amenazas como el phishing y el malware. Es habitual encontrarnos correos que dicen ser de entidades bancarias que solicitan la actualización de nuestros datos y poseen enlaces incrustados en el cuerpo del mensaje que, supuestamente, nos redirigen hacia un formulario donde debemos ingresar la información. Entonces, jamás debemos hacer clic en los enlaces ni atender a solicitudes a través del correo.
  • Sitio web cifrado. Es importante que el sitio web de la entidad bancaria o financiera, o cualquier otra donde nos soliciten el ingreso de datos personales, cuente con las capas necesarias de seguridad para garantizar la transmisión segura de la información. Debemos verificar la existencia de un certificado digital en el navegador web y que este no se encuentre vencido. De esta manera sabemos que estamos en presencia de un sitio seguro.
Entonces, ¡prestar atención! Recordemos que una parte importante de la seguridad y la prevención de este, y muchos otros, tipo de amenazas recae en el factor humano, es decir, en nosotros; por lo tanto, debemos recurrir a buenas prácticas que nos permitan garantizar un nivel adecuado de seguridad.

# pistus

Ver más

domingo, 30 de noviembre de 2008

Open Source Intelligence con Exomind

Dando la última vuelta por la web, antes de ir a soñar con lo que sea :), he rebotado contra una herramienta llamada Exomind desarrollada por la gente de Core Labs, concebida para hacer OSINT en recursos tales como redes sociales, mensajería instantánea y buscadores web.

Según leo en el sitio web, esta herramienta se encuentra escrita en Python y orientada a plataformas GNU/Linux. Promete ser de mucha utilidad en lo que se refiere a la obtención de información.

Para descargar Exomind pueden hacerlo desde aquí, y para obtener mayor información desde este otro enlace.

# pistus

Ver más

martes, 18 de noviembre de 2008

Configuraciones por defecto: la misma historia de siempre

Luego de regresar del trabajo, me di una vuelta por Internet como para no perder la costumbre :-) y entre página y página, me encontré con una página que posee una vulnerabilidad muy habitual de encontrar: las configuraciones por defecto.


La cuestión es que, de casualidad, me topé con una interfaz de usuario para acceder a un calendario, creado con una aplicación llamada WebCalendar.


Por curiosidad, coloque una “x” en cada campo para ver el resultado. Un error, pero sin más dato. Inmediatamente después y casi por inercia, coloqué “admin” en cada campo y... adivinen qué?


Pero eso no es todo, como es de esperar, al entrar con la cuenta de administración, se tiene acceso a la configuración total de la aplicación y, lo más interesante, es que podemos obtener información de los usuarios que forman parte del calendario y hasta un historial de los eventos creados.



Lamentablemente las configuraciones por defecto responden a una cuestión recurrente que tiene relación directa con la falta de capacitación y concientización en cuanto a las cuestiones de seguridad.


Muchas herramientas de ataque asumen que los objetivos se encuentran con las configuraciones por defecto, como podemos observar en este caso. Además, existen muchos sitios que llevan una base de datos con los usuarios y contraseñas por defecto de dispositivos y aplicaciones.

# pistus

Ver más

domingo, 16 de noviembre de 2008

Extracción forense de información de archivos thumbs.db

Los sistemas Windows pueden almacenar información de las miniaturas de las imágenes de un directorio del sistema, así como sus metadatos asociados. El objetivo de estos ficheros es acelerar la aparición de imágenes, ya que las imágenes más pequeñas no se recalculan cada vez que el usuario visualiza las miniaturas de una carpeta. Como consecuencia de lo anterior, si en un sistema Windows empleamos la opción "Mostrar archivos ocultos", aparecerán con frecuencia ficheros Thumbs.db acompañando a las imágenes y fotografías que tengamos en un directorio, siempre que hayamos empleado la vista de miniaturas.

Técnicamente hablando, los ficheros Thumbs.db son OLE structured storage files, o si lo preferimos, ficheros OLE de almacenamiento estructurado, sobre los que podéis obtener más información en MSDN.

Extracción de información

Para nuestro experimento vamos a coger un fichero Thumbs.db públicamente accesible, por ejemplo, alguno de estos. También necesitaremos un programa de análisis, en este caso, Vinetto, orientado al análisis forense de estos ficheros.

El resultado de la ejecución es el siguiente:

sergio@nas:~/thumbs$ vinetto Thumbs.db

Root Entry modify timestamp : Thu Mar 22 20:51:51 2007

------------------------------------------------------

0001 Thu Mar 22 16:53:30 2007 {A42CD7B6-E9B9-4D02-B7A6-288B71AD28BA}
0002 Fri Dec 29 20:38:00 2006 boton_panel-pln-on.gif
0003 Fri Dec 29 20:38:00 2006 _boton_panel-hab-off.gif
0004 Fri Dec 29 20:38:00 2006 _boton_panel-hab-on.gif
0005 Fri Dec 29 20:38:00 2006 boton_panel-det-off.gif
0006 Fri Dec 29 20:38:00 2006 boton_panel-det-on.gif
0007 Fri Dec 29 20:38:00 2006 boton_panel-fts-off.gif
0008 Fri Dec 29 20:38:00 2006 boton_panel-fts-on.gif
0009 Tue Jan 30 19:41:06 2007 boton_panel-hab-off.gif
0010 Tue Jan 30 19:43:30 2007 boton_panel-hab-on.gif
0011 Fri Dec 29 20:38:00 2006 boton_panel-itn-off.gif
0012 Fri Dec 29 20:38:00 2006 boton_panel-itn-on.gif
0013 Fri Dec 29 20:38:00 2006 boton_panel-pln-off.gif
0014 Thu Jan 18 13:41:22 2007 boton-detalles.gif
0015 Thu Jan 18 13:41:44 2007 boton-obtenga_su_presupuesto.gif
0016 Thu Jan 18 13:53:36 2007 boton-obtenga_su_presupuesto_personalizado.gif
0017 Wed Jan 17 18:29:38 2007 boton-seleccionar.gif
0018 Thu Feb 1 12:45:52 2007 boton-vea_su_presupuesto.gif
0019 Wed Feb 7 17:24:56 2007 encabezado.jpg
0020 Thu Mar 22 20:06:28 2007 telefono-callcenter.gif
0021 Fri Dec 29 20:38:00 2006 boton_panel-pub-off.gif
0022 Fri Dec 29 20:39:00 2006 boton_panel-pub-on.gif
0023 Fri Dec 29 20:38:00 2006 boton-aceptar.gif
0024 Fri Dec 29 20:38:00 2006 boton-buscar.gif
0025 Thu Mar 22 20:50:12 2007 telefono-encabezado.gif
0026 Thu Mar 22 20:18:18 2007 telefono-presupuesto.gif
0027 Fri Dec 29 20:39:00 2006 titulo-buscador.gif
0028 Fri Dec 29 20:38:00 2006 boton-busqueda_avanzada-off.gif
0029 Fri Dec 29 20:38:00 2006 boton-busqueda_avanzada-on.gif
0030 Fri Dec 29 20:39:00 2006 titulo-inicio.gif
0031 Fri Dec 29 20:39:00 2006 titulo-promociones.gif

------------------------------------------------------

Como podéis comprobar, el fichero contiene, para cada imagen existente en ese directorio, una relación de fechas y horas de última modificación, así como nombre de los ficheros que contenía el directorio en el momento de generar el archivo de caché de miniaturas.

¿Para qué perder el tiempo analizando estos ficheros?

Como resulta fácil imaginar, el principal uso que se le puede dar a esta herramienta forense es tratar de demostrar la existencia de un fichero de imagen en un momento dado en un equipo que está siendo analizado. Aunque no genere pruebas irrefutables, ya que para eso haría falta que Thumbs.db contuviera hashes de los ficheros previsualizados, lo que ralentizaría el funcionamiento del equipo, puede resultar útil para establecer, en un proceso de investigación, un punto de partida: tener indicios sobre si un fichero con un nombre y una fecha de modificación determinada estuvo o no presente en un directorio en un momento determinado.

¿Puedo evitar la generación de ficheros Thumbs.db?

Sí. En el menú Herramientas de cualquier carpeta del sistema, seleccionamos Opciones de Carpeta, pestaña Ver y activamos la entrada “No alojar en caché las vistas en miniatura”. Nótese que la desactivación de esta función ralentiza la previsualización de miniaturas.

De un modo paralelo, obviamente, hay que eliminar los ficheros ya existentes.

Fuente: http://www.sahw.com

# pistus

Ver más

sábado, 18 de octubre de 2008

Guía para socializar en línea de modo seguro

Trend Argentina, especialista en seguridad de contenido, ofrece una guía de consejos y sugerencias tanto para los jóvenes como para sus padres, con el objetivo de garantizar una navegación segura para los menores.

Los padres, maestros y tutores que se hacen cargo de los jóvenes que son socialmente activos en línea deben primero establecer expectativas razonables. Prohibir a los jóvenes usar redes sociales puede obligarlos a hacerlo a escondidas y encontrarse en otro lugares (como computadoras en bibliotecas, teléfonos móviles o las computadoras de sus amigos) para seguir su vida social en línea. Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien.

GUÍA PARA JÓVENES:
A continuación presentamos algunas sugerencias para que los jóvenes tengan presente a la hora de ingresar a redes sociales, chats o blogs.
Utiliza un seudónimo o nombre de código en lugar de tu nombre real. No utilices un nombre que sea sexualmente sugerente u ofensivo para otros. Esto puede ayudar a reducir la probabilidad de acoso en línea.
Configura tus perfiles para que estén privados de modo que sólo la gente que vos invites pueda ver lo que publicas.
No compartas tu dirección, teléfono u otra información personal en ínea. No reveles tu ubicación real o planes para salidas o eventos.
Ten cuidado de compartir fotos provocativas o detalles íntimos en línea, incluso con la gente que conoces o, incluso, en un correo electrónico o sms. La información podría ser copiada y hacerse pública. Recuerda: lo que digas en una sala de chat o sesión de mensajería instantánea se queda allí y no puede eliminarse después.
Mantén actualizado tu software de seguridad y asegúrate de que el resto de las aplicaciones de software estén actualizadas y con sus respectivos parches.
Lee “entre líneas”. Sé consciente que, si bien algunas personas son muy agradables en línea, otras actúan de forma amable porque están tratando de obtener algo.
Evita las reuniones a solas. La única forma de que alguien pueda lastimarte físicamente es si están ambos en el mismo lugar. Si realmente tienes que conocer a alguien en persona, no vayas solo y dile a tus padres dónde estarás.
Piensa cómo respondes. Si alguien dice o hace algo que te haga sentir incómodo, bloquéalo y no respondas. Si continúan, deja que tus padres u otro adulto lo sepa y guarda el mensaje.
Todos estos mismos consejos se aplican para el uso de los celulares.

GUÍAS PARA PADRES:
A continuación, una guía para que los padres logren involucrarse con la vida digital de sus hijos:
Definan expectativas razonables. Desconectar el cable del sitio social favorito de su hijo es como desconectar su vida social. Esto puede cerrar la comunicación y hacer que los niños actúen a escondidas, aumentando el riesgo para ellos.
Hable con sus hijos sobre qué sitios están visitando y qué están haciendo en línea. Ayúdelos a entender algunos lineamientos de seguridad básicos, como proteger su privacidad (incluyendo contraseñas), nunca hablar de sexo con la gente que no conocen, evitar las reuniones a solas con gente que conocen en línea y ser cuidadosos con lo que publican en línea.
Apoye el pensamiento crítico. Estimule a su hijo para que desarrolle un buen sentido de la seguridad y las relaciones, tanto en línea como fuera de ella.
Considere el uso de Internet en un lugar de alto tráfico en su hogar para ayudar a monitorear las actividades y ampliar el uso.
Trate que sus hijos compartan sus perfiles y blogs con usted. También, utilice motores de búsqueda y las herramientas de búsqueda de los sitios de redes sociales para buscar el nombre completo de sus hijos, números de teléfono y otra información que los identifique. No está invadiendo su privacidad si están proporcionando información personal en lugares públicos en línea.

Para consultar más información sobre la seguridad en Internet para niños y familias, visite www.trendmicro.com/go/safety

Visto en http://seguridad-informacion.blogspot.com

# pistus

Ver más

Consejos útiles contra el malware 2.0 en Windows

Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque útiles y necesarios) no se han matizado ni completado correctamente con el tiempo. Son consejos de hace años, que no se han adaptado a una industria (la del malware) que avanza mucho más rápido de lo que podamos imaginar. Vamos a ofrecer algunos consejos útiles contra el malware... de hoy.

ADMINISTRADOR NO, GRACIAS

El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un "administrador" está precisamente para "administrar", y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes.

La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por fin la creación de un usuario distinto al administrador para el uso del sistema. Un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores, y por tanto fuese tan poderoso como él.

A nadie que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como "root" o súperusuario. En Windows, lo extraño es precisamente lo contrario, trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar... puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina.

En Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.

Aunque se presente aquí como panacea, no lo es. Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos... Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos.

ACTUALIZAR EL SISTEMA
No sólo Windows, sino todos los programas que tengamos instalados deben estar actualizados a la última versión de su rama. Esto es muy importante, pues una gran parte del malware hoy en día se aprovecha de vulnerabilidades conocidas que ya tienen parche. Muchos usuarios piensan que un Windows parcheado tendrá problemas "legales" o que sufrirá fallos de compatibilidad.

Un Windows sin actualizar es un Windows contaminado. Pero no sólo el sistema operativo. Todo programa es susceptible de sufrir problemas de seguridad y de que sean aprovechados. Desde el reproductor de MP3 hasta el lector de PDF, se han detectado ataques dirigidos a versiones vulnerables de los programas más utilizados para tareas comunes. La única solución es no abrir archivos no solicitados tengan el formato que tengan y sobre todo, mantener actualizados los programas que los interpretan.

MANTENERSE INFORMADO
Mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red. No se puede luchar contra lo que no se conoce. Son muchos los usuarios que desconocen que pueden ser infectados por archivos que no son ejecutables, que es posible ejecutar código arbitrario en el sistema de forma transparente con sólo visitar una web, o que el SSL del banco visitado no tiene por qué significar que un sistema no esté troyanizado o que no se trate de un phishing. Otros piensan que el hecho de que la página del banco aparezca modificada y requiera más casillas de la tarjeta de coordenadas de lo habitual, significa que la seguridad ha aumentado...estar informado es primordial. No sólo por lo cambiante de algunas técnicas, sino también porque es necesario seguir de cerca ciertas campañas que emprenden los atacantes y que suscitan modas y comportamientos sobre los que resulta imprescindible estar especialmente atento. Existen momentos en los que se perpetran ataques concretos para los que puede que la única solución sea conocerlos y evitarlos hasta que exista parche.

OTROS CONSEJOS
Estos tres consejos anteriores son los más importantes. Por desgracia no son los que se dan habitualmente en los medios no especializados. Ni la tecnología, ni Internet ni los atacantes son los mismos que hace cinco años, por tanto las precauciones no deben ser iguales para siempre. Obviamente es necesario usar herramientas o suites de seguridad actualizadas (cortafuegos, antispyware...) pero sobre todo, saber cómo se usan. Si no se saben manejar, se vuelven inútiles.

¿Y el antivirus? Por supuesto. También es imprescindible tener un antivirus actualizado a diario.

Fuente: http://www..hispasec.com

# pistus

Ver más

domingo, 12 de octubre de 2008

Rogue Antivirus. Una mirada más cercana a Win32/AntivirusXP

Las falsas (o rogue) aplicaciones de seguridad han sido la causa de confusión y problemas para los usuarios desde hace algunos años. Estas aplicaciones suelen mostrar advertencias falsas sobre detecciones de códigos maliciosos con el fin de atraer a los usuarios a comprar la aplicación y, por ende, "desinfectar" el sistema.

Con el tiempo, los mecanismos utilizados para evitar la detección y distribuir estas aplicaciones se han vuelto más complejas –ofuscación de código es ahora común y las botnets son utilizadas para la distribución generalizada.

Win32/AntivirusXP es una de esas aplicaciones y puede llegar a su máquina a través de múltiples canales, incluso, a través de spam que suplanta los principales servicios de noticias en línea (por ejemplo, el Top 10 de CNN y MSNBC).

Figura 1. Cadena de infección A

Figura 2. Cadena de infección B

Al igual que muchos otros programas de seguridad falsos, el rogue AntivirusXP puede ser descargado por Win32/Renos, directamente instalado desde el sitio web que distribuye el producto o sitios web de sus afiliados, o puede ser instalado engañando a los usuarios al hacer clic sobre los vínculos en correos spam.

La Figura 1 muestra un canal simplificado de infección donde, por ejemplo, un usuario recibe correo basura, hace clic en un vínculo incrustado en el spam y luego se infecta con Win32/Renos, que a su vez instala Win32/AntivirusXP en el sistema.

La Figura 2 muestra otro canal de infección, con otros componentes y complejidad. Tomando como ejemplo real los incidentes del Top 10 de CNN o MSNBC, los usuarios están expuestos, inicialmente, al troyano downloader Win32/Cbeplay a través de spam. Win32/Cbeplay baja un agente botnet (como Win32/Rustock o Win32/Srizbi) y variantes de Win32/Renos, que a su vez descargan Win32/AntivirusXP.

Esto aclara por qué en muchas situaciones en las que Win32/AntivirusXP se ha encontrado en un sistema, Win32/Rustock (o Win32/Srizbi) y Win32/Renos también estuvieron presentes. Generalmente, Renos se distribuye con la intención específica de mostrar falsas alertas y, a continuación, descargar aplicaciones de seguridad falsas. Los componentes de la cadena de infección de los resultados en la instalación de Win32/AntivirusXP son bastante íntegros y la relación entre Win32/Renos y Win32/AntivirusXP es simbiótica. A continuación son examinados.

Una vez que Renos infecta el sistema, pueden suceder una serie de cosas:
  • Después de una breve demora, el fondo del escritorio cambia para mostrar una imagen generada por Renos, esta imagen muestra un falso aviso.
Figura 3. Fondo de escritorio con alerta
  • Una copia del salvapantallas Sysinternals BSOD (Blue Screen Of Death - Pantalla Azul de la Muerte) a menudo es bajado al directorio del sistema y luego se activa como un salvapantallas.
  • En la carpeta Temp, se crean los archivos tt1.tmp o tt2.tmp.
Si hay una conexión activa a Internet, Renos intenta descargar e instalar el rogue AntivirusXP. No hay interacción con el usuario en esta cadena de infección. El archivo descargado por Renos, después de establecer la conexión con los dominios relacionados a AntivirusXP, es un archivo de imagen que contiene el instalador del rogue AntivirusXP.

El instalador se distribuye encriptado. Es desencriptado por Renos, guardado en la carpeta tmp previamente creada, y luego ejecutado. El instalador está codificado de tal manera que sólo Renos es capaz de llevar a cabo el proceso inverso.

Una vez que el rogue AntivirusXP se encuentra en el sistema, ya sea a través de los canales de infección mencionados o instalado de forma manual, se crea una carpeta con un nombre aleatorio y baja a la misma el ejecutable principal también con un nombre aleatorio. Asimismo, baja otro componente que es utilizado para mostrar las falsas alertas y promover la falsa aplicación como capaz de "eliminar" estas amenazas ficticias. Por último, se elimina el instalador del sistema.

Figura 4. Captura de pantalla del rogue AntivirusXP

Cuando se habla de rogue, Win32/Renos tiene una larga historia en la descarga de falsos antivirus. Una variante de Win32/Renos, el TrojanDownloader: Win32/Renos.gen! AQ, llamó nuestra atención durante las últimas emisiones de MSRT; se lo consideró responsable de un gran volumen de instalaciones de Win32/AntivirusXP. Durante las dos primeras semanas de septiembre de la liberación de MSRT, 148.111 máquinas eran limpiadas por la particular infección de Renos.

Las falsas aplicaciones de seguridad siempre han sido buenas para confundir a los usuarios finales. Win32/AntivirusXP no es diferente en ese sentido, y con nombres tales como Antivirus2008, XPAntivirus, Windows Antivirus, Antivirus 2008 XP, la confusión es difícil de evitar.

En lugar de entrar en similitudes, es mejor buscar específicamente en Win32/AntivirusXP y buscar si hay algo fácilmente identificable y singular en su comportamiento. La mayoría de las falsas aplicaciones de seguridad, como ya se ha mencionado, pueden tener un menor número de dependencias de Renos u otros troyanos downloader similares.

Cuando se instala sin la intervención del usuario Win32/AntivirusXP depende de Renos para descifrar su instalador. Las siguientes dos características mostradas por Win32/AntivirusXP no son típicamente observadas en otros rogues:
  • Creación aleatoria del nombre del archivo ejecutable y la carpeta principal.
  • Auto-eliminación del instalador de AntivirusXP.
Los falsos programas antivirus han crecido significativamente en los últimos tiempos. Ellos generan confusión y falsas alertas de detección, a fin de convencer a los usuarios de adquirir el falso programa de seguridad - a partir del programa Win32/AntivirusXP: Win32/Fakerednefed y ahora Win32/AntivirusXP.

Estos rogue han provocado un dramático trastorno tanto para los usuarios finales como para las empresas. Se sugiere encarecidamente implementar un producto antivirus completo para su negocio o computadoras personales. Como mínimo, si usted cree que su máquina se ve afectada por programas maliciosos o programas potencialmente no deseado, le recomendamos que ejecute libremente nuestro escáner en línea disponible en http://safety.live.com.

También puede obtener asistencia para la limpieza de virus a través de la ayuda y soporte técnico de Microsoft. Y si identifica un rogue que que no es detectado, por favor envíenos una muestra a través de nuestro portal.

Traducción de "Rogue Antivirus - A Closer Look at Win32/Antivirusxp" escrito originalmente por Subratam Biswas and Scott Wu
http://blogs.technet.com/mmpc/archive/2008/10/02/rogue-antivirus-a-closer-look-at-win32-antivirusxp.aspx


# pistus

Ver más

Bootcamp sobre CISSP de Segu-Info

EZ Group S.A. y Segu-Info tienen el agrado de invitarlo a participar del curso BootCamp de CISSP a desarrollarse en la semana del 27 al 31 de Octubre de 2008.

Este BootCamp tiene como objetivo, ayudar a preparar de manera intensiva, a los profesionales que aspiren a la Certificación Internacional de la ISC2 con mayor reconocimiento en el área de Seguridad de la Información.

Qué es la certificación CISSP:
Es una Certificación Internacional para profesionales de Seguridad de la Información (Certified Information System Security Professional).

Cuál es nuestra Metodología: Es un curso Teórico-Práctico, con la particularidad, que las prácticas consisten en exámenes de ejemplo para cada uno de los dominios de la certificación, y un examen final integrador, en simulación a un examen real de 250 preguntas y un workshop final de respuestas.

A Quién está dirigido:
Profesionales, Administradores y Responsables de Seguridad de la Información, Profesionales de Sistemas, Consultores de Tecnología y Auditores Internos y Externos de IT.

Quién es el Capacitador: Lic. Cristian Borghello, CISSP (Certified Information Systems Security Professional).


Duración:
40 hs.
Fecha:
del 27 al 31 de Octubre de 2008
Horario:
De 9:00 Hs a 18:00 Hs.
Lugar:
Centro de Capacitación EZ Group S.A., Buenos Aires.
Documentación:
Incluída en la capacitación
Arancelado


Ante cualquier consulta, enviar un correo con "Bootcamp CISSP" en el asunto.

Más información:
FAQ sobre CISSP
http://www.segu-info.com.ar/articulos/89-faq-sobre-cissp.htm

Fuente: http://www.segu-info.com.ar

# pistus

Ver más

sábado, 11 de octubre de 2008

Análisis forense de MSN Messenger: MSN Shadow

MSN Shadow es una herramienta de análisis forense orientada a MSN Messenger (recientemente rebautizado como Windows Live Messenger), ya que puede realizar operaciones específicas de análisis basadas en el Microsoft Notification Protocol, el protocolo de mensajería instantánea desarrollado por Redmond del que se abastece el popular Messenger.

MSN Shadow permite capturar el tráfico de texto y de vídeo de las sesiones Messenger, pudiendo exportarlas a HTML y AVI respectivamente. Adicionamente, permite la realización de pruebas de concepto relacionadas con el spoofing de autoría de mensajes (reenviando los números ack de las conversaciones mediante paquetes reset RST) y el secuestro de sesiones (igual que el método anterior, pero creando dos reglas específicas iptables para gestionar los paquetes, lo que hará que se abra una nueva ventana para continuar la conversación como si fuéramos la persona cuya sesión ha sido secuestrada)

Este software está pensado para analizar el tráfico de Messenger y para poder verificar si es factible la suplantación y el secuestro de sesiones, lo que podría tener utilidad como prueba pericial en un caso donde se presenten evidencias en la forma de logs de mensajería instantánea. Bajo ningún concepto entiendo que esté orientado a espiar/perjudicar/engañar/molestar a nadie.

msn shadow

El proyecto tiene un blog en http://msnshadow.blogspot.com/ y las descargas se pueden efectuar en la página de Sourceforge http://sourceforge.net/projects/msnshadow. Hay un tar genérico y un paquete Debian para facilitar la instalación a los usuarios de esta distribución y sus derivados. Tiene, como dependencias, libmimic, QT y libpcap.

msn shadow

Para instalar MSN Shadow debe ejecutarse el tradicional ./configure & make & make install. Lamentablemente para los usuarios de Windows, no existe un binario ejecutable para esta plataforma en la actualidad.

Fuente: http://www.sahw.com

# pistus

Ver más

Prevención en navegadores ante ataques de Clickjacking

Al comenzar a utilizarse ClickJacking para engañar e infectar usuarios, una de las preguntas que inmediatamente viene a colación es ¿de qué manera podemos prevenir este ataque? Por eso en ESET hemos desarrollado esta pequeña guía de configuración para cada navegador.

La cuestión se centra en deshabilitar algunas funcionalidades en los navegadores como la ejecución de componentes JavaScript, plugins o ActiveX, entre otros. Veamos cómo hacerlo en los navegadores más utilizados.

Firefox

En Firefox, la solución se basa en instalar una extensión llamada NoScript. Para ello, una vez instalada la extensión, en el icono de NoScript ubicado en el extremo derecho de la barra de tareas, debemos hacer clic y permitir el acceso a la página web deseada, tal como se muestra en la imagen:

En el caso que NoScript detecte un ataque del tipo ClickJacking, aparecerá una ventana informando de esta situación al usuario:

Con esta configuración, en el navegador Firefox se evita por completo el ataque de ClickJacking.

Nota: Es muy importante tener en cuenta que una vez instalada, esta extensión restringirá el acceso a determinadas secciones de las páginas web. En consecuencia, se debe permitir sólo el acceso y ejecución de las páginas en las que se confía. En el caso que no se conozca la confiabilidad del sitio es preferible dejar la configuración por defecto de la extensión.

Internet Explorer

Nos dirigimos hacia el menú Herramientas y seleccionamos el ítem Opciones de Internet. En la ventana que se abre, hacemos clic en la solapa Seguridad, seleccionamos Internet y el Nivel de seguridad para esta zona lo colocamos en Alto.

Cabe aclarar que esta configuración no garantiza una protección total contra ataques ClickJacking, pero mejora la seguridad del navegador.

Opera

En este navegador, debemos ingresar a las configuraciones seleccionando Herramientas en la barra de menú, y luego elegir Opciones. En ese momento visualizarán una ventana como la que se muestra a continuación:

Aquí, desde la solapa Avanzado, debemos seleccionar la opción Contenido y luego deshabilitar las opciones que se muestran en la captura. Para aumentar aún más la seguridad de este navegador, podemos deshabilitar algunos parámetros. En la barra de direcciones de Opera, escribimos opera:config, seleccionamos la opción Extensions y deshabilitamos las configuraciones por defecto. A continuación una captura:

Con esta configuración, en el navegador Opera se evita por completo el ataque de ClickJacking.

Safari

De una manera similar podemos fortalecer la seguridad en el navegador Safari seleccionando en la barra de menú la opción Edición y luego Preferencias. Desde la solapa Seguridad debemos deshabilitar las opciones de la sección Contenido web.

Esta configuración no garantiza una protección total contra ataques ClickJacking, pero mejora la seguridad del navegdor.

Chrome

A diferencia de los otros navegadores, Chrome necesita ejecutarse de una forma especial que se debe realizar bajo línea de comandos, lo cual no lo transforma en una de las mejores opciones, más aún porque no permite deshabilitar etiquetas iframe. La línea que se debe escribir es la siguiente:

chrome.exe -disable-javascript -disable-java -disable-plugins

Si fuera necesario se podría realizar un acceso directo con este comando para evitar tener que escribirlo cada vez que se desee ejecutar el navegador.

Nuevamente, esta configuración no garantiza una protección total contra ataques ClickJacking pero mejora la seguridad del navegador.

Como alternativa a los navegadores visuales mencionados, utilizar navegadores en modo texto como Links, Lynx o w3m, podría ser una buena opción, aunque esto es recomendable sólo para usuarios con mayores conocimientos técnicos.

Como puede ver, los diferentes navegadores ofrecen diferentes alternativas y grados de protección que pueden prevenir que seamos víctimas de este tipo de ataques.

Fuente: http://blogs.eset-la.com/laboratorio

# pistus

Ver más

domingo, 28 de septiembre de 2008

Los ataques internos, un gran peligro

Secure Computing Corporation, un a empresa de seguridad informática empresarial ha realizado una encuesta a 103 directores de tecnología y ha sacado unas conclusiones interesantes:

  • el 80% creen que tiene un gran problema con los ataques internos a la seguridad
  • el 37% ha detectado fugas de información sensible en el último año
  • el correo electrónico es la vía de apertura de la brecha de seguridad en la mayor parte de los casos
  • las mayores inversiones en seguridad pasan por reforzar la seguridad interna de la empresa
Respecto a los problemas de seguridad externos, las respuestas de la encuesta dicen lo siguiente:
  • el malwarepreocupa más que los hackers
  • los virus y el spam siguen manteniéndose como elementos degran preocupación
Fuente: http://www.blogantivirus.com

# pistus

Ver más

Malware en dispositivos móviles: los orígenes

De un tiempo a esta parte, los dispositivos móviles tales como smart-phones, PDAs etc. han ido cobrando cada vez más importancia en nuestras vidas, hasta tal punto que para algunos, se han convertido en accesorios indispensables en su vida cotidiana.

Si bien, el usuario medio, hoy en día es consciente de las amenazas en forma de virus y troyanos (malware en general) que existen alrededor de equipos informáticos, como ordenadores personales, no ocurre lo mismo con los dispositivos móviles.

Los teléfonos móviles, al igual que los ordenadores, también pueden ser atacados.
Todo empezó en junio del año 2004, con una "inocente" prueba de concepto llamada "Cabir". "Cabir" era un virus tipo gusano, que se propagaba a través de conexiones bluetooth entre dispositivos móviles.

En su primera versión, Cabir.A, el gusano solo se podía propagar a un único dispositivo por cada reinicio de este último. En diciembre de 2004, las versiones Cabir.H y Cabir.I superaron esa limitación, y por cada reinicio del dispositivo, se podían propagar a un número ilimitado de dispositivos. Si bien, este virus es inofensivo, afectaba a
la duración de la batería del móvil debido al uso del bluetooth.

Otro virus "pionero" fue el denominado
"Skull". Apareció en Noviembre de 2004 y no tuvo demasiado impacto. Cambiaba todos los iconos de la pantalla del telefono por calaveras y dejaba el teléfono practicamente inutilizable (ni si quiera se podían mandar SMSs).El virus fue encontrado en sitios "shareware" para Symbian bajo el nombre "Extended Theme Manager.sys" y "Tee-222.sys".

En Marzo de 2005 se descubrió otro virus tipo gusano llamado
"CommWarrior". Este fue el primer virus que se propagaba a través de mensajes MMS (con el consiguiente gasto para el usuario del móvil). También tenía la capacidad de propagarse a través de bluetooth y guardaba una copia de si mismo en las tarjetas de memoría extraibles, de manera que si se usaba esa tarjeta en otro teléfono, este tambien quedaba infectado.

Los ejemplos hasta ahora citados son solo una muestra de los primeros pasos que se dieron en la creación de malware para dispositivos móviles. A estos les siguieron
"Doomboot" (descubierto en Marzo de 2005), que te hacía creer que te estabas instalando Doom 2, el juego, pero en realidad te instalaba Cabir y CommWarrior, y "RedBrowser" (descubierto en Febrero de 2006), aplicación Java que mandaba mensajes a un número de telefono de Rusia, entre otros.

Una característica que llama la atención de estas primeras versiones de malware es, que en vez de sacar provecho de alguna vulnerabilidad existente en el dispositivo móvil, se hacía uso de lo que se conoce como "ingeniería social", es decir, engañar al usuario para que este último acceda a la instalación de programas maliciosos.


Hoy día, el problema del malware en dispositivos móviles, si bien no ha alcanzado el mismo impacto que en los ordenadores, es algo que se debe tener en cuenta y de lo que hay que estar concienciado.
Aunque existen productos comerciales tipo antivirus específicos para dispositivos móviles, cara a mantener nuestros dispositivos a salvo es recomendable seguir unas pautas mínimas de seguridad: - Asegurarnos que todos los dispositivos a los que sincronicemos nuestro móvil estén protegidos con software antivirus actualizado.

En algunos casos, es posible que estas aplicaciones detecten el archivo infectado antes de que este sea instalado en el teléfono.
- Usar bluetooth solo cuando es necesario, y el resto del tiempo tenerlo apagado, o por lo menos, en modo oculto. Nunca dejo de sorprenderme cuando estando en un sitio público al hacer un escaneo de la zona con mi móvil, siempre aparece mas de un dispositivo. Además de proteger nuestro móvil, de esta manera ahorraremos batería. - Como siempre, usar el sentido común y no instalar aplicaciones de dudoso origen en nuestro móvil. - Mantener siempre una copia de seguridad de los datos de tu móvil.

El malware es una amenaza para los móviles, pero también lo son el hurto o la perdida de estos últimos.


Fuente:
http://blog.s21sec.com

# pistus

Ver más

domingo, 27 de julio de 2008

To exploit or not to exploit

Estos días en la lista de correo Dailydave hay un hilo abierto que me parece bastante interesante. Comenzó con el anuncio de una nueva certificación por parte de los chicos de Immunity, llamada Network Offense Professional (NOP), y que estará disponible en la DEFCON del mes que viene en Las Vegas.

Ésta consistirá en la búsqueda y explotación de una vulnerabilidad en un software dado ejecutado en un Windows 2000, desde cero y con limite de tiempo. Se anunció de forma que parecía que todo pentester que se precie debería poder superarla y tener conocimientos del tema para dar garantías a sus clientes, y es aquí donde algunos no estaban del todo de acuerdo.
La discusión, que todavía está viva, se puede resumir en si es realmente necesario saber explotar una vulnerabilidad y ejecutar código en la máquina remota para realizar una buena auditoría.

Personalmente creo que, aunque no sea del todo necesario llegar a la ejecución de código, los conocimientos que se adquieren con la explotación de vulnerabilidades deja una base de experiencia que a la postre garantizará la confianza en el auditor. Os animo a que leáis el hilo completo y nos dejéis vuestras impresiones al respecto.


Fuente:
http://blog.s21sec.com

# pistus

Ver más