Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 30 de marzo de 2007

OJO CON LOS CURSORES ANIMADOS

Diversas compañias han comenzado a alertar sobre la vulnerabilidad confirmada por Microsoft y que permite la ejecución de archivos que pueden ser descargados de internet (malware).Las aplicaciones vulnerables son Windows, Outlook y Outlook ExpressSi alguien te ofrece un archivo .ani, ignóralo a menos que quieras infectarte.

Vista también es vulnerable cerrando la carpeta en donde se aloja el archivo del cursor.

Más información:

http://isc.sans.org/diary.html?storyid=2534

http://isc.sans.org/diary.html?storyid=2539

http://isc.sans.org/diary.html?storyid=2540

Fuente: http://www.segu-info.com.ar

Ver más

DOS X UNO: NAVEGADOR + ROOTKIT
La truculenta historia de los navegadores fraudulentos da ya para una enciclopedia. Por mencionar algunos ejemplos palmarios, tratados en su día Kriptópolis, remitiremos al caso Browsezilla y al caso Browzar.

Hoy nos llega otro ejemplo interesante, que además ha sido objeto de un análisis pormenorizado...

Se trata de NetBrowserPro, que se presenta como un navegador "seguro y confidencial, que no deja hueco para virus".

Al menos la última afirmación ("no deja hueco para virus") se ha mostrado indiscutible, porque parece que NetBrowserPro esconde un rootkit que apenas deja sitio para -otros- intrusos.

Pero quizás lo más interesante es que el propio sitio web de NetBrowserPro comparte dirección IP con el del famoso Browsezilla.

Sin duda un curioso caso de clonación.

Fuente: http://www.kriptopolis.org

Ver más

NUEVA AMENAZA EN LATINOAMERICA

Latinoamérica está siendo blanco de un ataque bastante particular de un troyano. El mismo simula ser una descarga de Internet Explorer para engañar al usuario.

Si bien este caso es uno más de los cientos que se ven a diario, siempre hay que prestar especial atención en estos casos que salen de la normalidad por la cantidad de correos que están llegando.


Los Antivirus lucen así hasta este momento:

Fuente: http://www.segu-info.com.ar

Ver más

jueves, 29 de marzo de 2007

NETKEY EN BANAMEX

El Banco Nacional de Mexico (BanaMex) anuncia cambios en su esquema de seguridad. Los clientes de dicho banco a partir de ahora tienen una llave NetKey, un token que genera claves dinámicas "one-session", o de un solo uso. Esta es la respuesta de Banamex al phishing que venian sufriendo sus clientes desde hace tiempo.

Este consistía en un email en el cual "el banco" pedia a los clientes que ingresaran su usuario y password para que sus cuentas no quedaran cerradas. A continuación se reproduce textualmente el email recibido:

--- Comienzo del falso mensaje ---

De: Banamex
Asunto: Estimado cliente de Banamex

BancaNet

Estimado cliente de Banamex

Durante nuestro programado mantenimiento regular y procesos de verificacion, hemos detectado un error en la informacion que tenemos registrada de su cuenta.
Esto se debe a algunos de estos factores:

1. Un cambio reciente en su informacion personal (cambio de direccion etc.)

2. Proveido informacion invalida durante su proceso inicial de registro para bancanet o que usted aun no aya realizado dicho registro.

3. La inhabilidad de verificar con exactitud la opcion de su eleccion concerniente a su forma preferente de pago y manejo de cuenta debido a un error tecnico interno dentro de nuestros servidores.

Favor de actualizar y verificar la informacion de su cuenta hacienda clic el siguiente en a siguiente liga. Esto lo redirigira a la pagina principal de nuestro sitio en Internet y podra actualizar desde la comodidad de su casa dicha informacion,
https://bovedabanamexcom.mx

Si la informacion en su cuenta no se \nactualice en las siguientes 48 horas algunos servicios en el uso y acceso a su \ncuenta seran restringidos hasta que esta infamacion sea verificada y actualizada.

De antemano agradezco su pronta atencion este asunto

Departamento de Validacion

Este sitio se ve mejor con Microsoft Internet Explorer 5.0

La URL de la pagina a donde estan hospedados es
https://boveda.banamex.com.mx

---Final del falso mensaje ---

Las direcciones mostradas son falsas. Si el usuario hace clic en ellas, es redirigido a páginas en los siguientes sitios:

Allí, se le pedirán los siguientes datos, los que serán enviados al pirata informático que envió el falso mensaje:
Número de Tarjeta
PIN (NIP) de Cajero 4 Dígitos
Fecha de Vencimiento
Código de Seguridad
No. de Cliente
No. Secreto/Password


Murcy

Mas información
Phishing: Caja Madrid seguridad mejorada para clientes

Scam: Fraude a clientes de Caja Madrid (España) (II)

Scam: Fraude a clientes de Caja Madrid (España)

Ver más

martes, 27 de marzo de 2007

METASPLOIT FRAMEWORK 3.0 YA DISPONIBLE


Este Framework tiene su principal utilidad para la realización de tests de penetración, con los que los administradores de seguridad pueden comprobar el estado de permeabilidad de su perímetro.

Esta nueva versión trae consigo 177 exploits distintos, 104 payloads, 17 codificadores y 3 módulos nop. Además, tal y como se lee en la página de SANS, se han incluído 30 módulos auxiliares para realizar tareas diversas, como el descubrimiento y enumeración de máquinas y ensayos de denegación de servicio.

Y como una imagen vale más que mil palabras, he aquí un vídeo en el que se identifican, empleando Metasploit, instalación y login para un servidor SQL Server. La música, además de horriblemente mala en cuanto a calidad, está a un volumen muy alto, así que no os asustéis.

Metasploit Framework funciona en entornos Linux, BSD, Mac OS X, Windows Cygwin, así como en plataformas Windows.Ah, y es absolutamente gratuíto.

Ver más

RFIDIOt

No hace mucho hablamos en Kriptópolis de Adam Laurie, el experto que ayudó al Daily Mail a clonar un pasaporte británico RFID sin siquiera sacarlo del sobre.

Ahora Adam ha creado RFIDIOt.org, el sitio desde el que pone a nuestra disposición su particular "caja de herramientas" a la hora de reventar tarjetas y dispositivos RFID...

Se trata de una biblioteca Open Source, escrita en Python, cuyos aplicaciones son muy amplias y sus resultados espectaculares.

A modo de ejemplo, basta con echar un vistazo al impresionante grado de detalle que Adam obtiene al leer mediante sus propias utilidades el chip espía de un pasaporte británico.

Ver más

lunes, 26 de marzo de 2007

HOTMAIL AUN ES VULNERABLE (DEMO)
Luego de 3 días de publicado un grave fallo de XSS en el servicio hotmail (ahora live) de Microsoft, millones se usuarios aun siguen siendo vulnerables. No me voy a extender sobre los motivos por los cuales Microsoft no soluciona este problema, sencillamente porque no lo sé. Lo que si voy a hacer es pegar un par de pantallas en donde puede verse que el agujero sigue existiendo y por el cual pueden robarse las cookie de cualquier usuario de este servicio.

Robar estas cookies equivale a decir que un usuario podrá ingresar en la cuenta de otro sin validación previa de usuario/contraseña. También vale aclarar que los scripts para realizar este ataque son públicos y no lleva más de 5 minutos realizar un intento con éxito.

Como primer paso se crean los scripts en PHP y js (se pueden descargar de varios lugares). Aqui puede verse parte de uno de ellos en donde se aprecia el XSS en el sitio msn.com:
Luego se crea un correo engañoso para que la víctima haga click:

Cuando la víctima recibe el correo y hace el click, se ejecutan los scripts mencionados y las cookies del usuario legan al atacante. Desde este momento este último podrá ingresar a la cuenta de la víctima utilizando estos datos:



De más está decir que este engaño puede perfeccionarse mucho más para que sea absolutamente creíble.Si Ud. todavía es usuario de este servicio, el consejo es: piense primero, luego NO haga click.

Ver más

domingo, 25 de marzo de 2007

90 DIAS DE WINDOWS VISTA Y SUS VULNERABILIDADES

El 28 de febrero se cumplieron 90 días del lanzamiento de Windows Vista.En diciembre se hizo público la primera vulnerabilidad y en febrero se lanzó el primer Boletín de Seguridad que lo mencionaba.
Puede descargarse el reporte completo desde aquí

Fuente
Mas Información

Ver más

EXPLOIT PARA HOTMAIL PONE EN PELIGRO LA CLAVE DE MILLONES DE USUARIOS
Un exploit que explota un fallo de Hotmail pone en peligro la clave de millones de usuarios.

Recientemente se ha hecho publico en algunos foros un exploit que se aprovecha de una vulnerabilidad de Hotmail y donde este fallo hace que se puedan apoderar de la cookies de sesión de un usuario de Hotmail para obtener la clave.

Con cuatro ficheros configurados de forma personalizada puede usted conseguir la claves de un usuario de Hotmail con solo enviarle un enlace preparado para este objetivo, es lo único que hace falta para secuestrar la sesión de un usuario de Hotmail.
Fichero usados:
Cookies robadas:

Modificación:

Enlace trampa:



Se recomienda a los usuarios de Hotmail que durante unos días si reciben un correo electrónico con algún enlace sean prudentes antes de pulsar sobre el mismo, puede que le secuestre su sesión y con esto le pueden cambiar la clave, ver sus correos electrónico, su libreta de direcciones, resumiendo todo aquello que pueda afectar a su privacidad e identidad.

Fuente

Ver más

viernes, 23 de marzo de 2007

FireCAT: LAS EXTENSIONES QUE TRANSFORMAN A FIREFOX EN UNA HERRAMIENTA DE HACKING ETICO
Nota de Segu-Info: las herramientas mencionadas en este artículo pueden ser descargadas desde aquí.

En Security Database recopilaron a pincipios de año todas las extensiones que permiten utilizar Firefox como un útil instrumento para la auditoría de aplicaciones.

Un mes después, y en la misma línea, han hecho lo propio con aquellas extensiones que convierten a Firefox en una herramienta que puede ayudar en los test de penetración u otras actividades del llamado "hacking ético"...

Incluso han creado un mapa (pdf) que muestra todas las relaciones entre estas útiles extensiones de una forma mucho más gráfica.

Fuente

Ver más

jueves, 22 de marzo de 2007

MYSPACE PROPAGA TROYANO A TRAVES DE PELICULA QUICKTIME
Una característica documentada de Apple QuickTime (denominada HREF Tracks), es la causa de la ejecución de código malicioso desde una página Web.

Recientemente se ha detectado un troyano que se vale de esta característica mediante una película de QuickTime oculta para descargarse. Se trata de un JavaScript que es ejecutado cuando se visita una página hospedada en MySpace.

MySpace es un sitio web de interacción social formado por perfiles personales de usuarios que incluye redes de amigos, grupos, blogs, fotos, vídeos y música, además de una red interna de mensajería que permite comunicarse a unos usuarios con otros (según Wikipedia). La versión en español, aún está en fase beta...


Ver más

VIEJOS HOAX
Esta volviendo a circular una versión de un viejo hoax: INVERTIR SU NUMERO DE PIN PUEDE SALVARLE


Como puede verse debajo aparece un link. Ud. no debe hacer click en el mismo. Sólo es un engaño para llevarlo a es sitio y ofrecerle negocios imposibles que pueden terminar en timos y estafas.

Gracias W.

Ver más

LA IMPORTANCIA DE LAS COPIAS DE SEGURIDAD
A través de http://es.theinquirer.net podemos leer una noticia publicada por CNN.com donde podemos ver mediante un caso real la importancia que tienen los backup para cualquier organización.

"Un técnico mete la pata y borra los datos de un disco duro. Su valor: 38.000 millones de dólares.

Es probable que muchos de vosotros hayáis perdido de vez en cuando datos al formatear o borrar datos de una unidad de disco por error. Pero seguro que nunca os ha costado 38.000 millones de dólares.

El Departament of Revenue en Alaska sufrió esa catástrofe cuando un técnico de sus instalaciones informáticas borró información de un disco con datos sobre cuentas petrolíferas, y luego acabó formateando también el disco donde residía la copia de seguridad. La historia la cuentan en CNN.com, donde señalan que una 'tercera línea de defensa', las cintas de backup, tampoco sirvieron, puesto que eran ilegibles, lo que hizo que se perdieran importantes datos.

Por ejemplo, nueve meses de datos recogidos del Fondo Permanente de Alaska, 800.000 imágenes escaneadas a mano, certificados de nacimiento, de residencia, y solicitudes ingresadas durante todo el 2006.Todo ese material sólo estaba guardado en un segundo almacén. Y no digitalmente, sino tan sólo en forma de los papeles e impresos con todos esos datos.

Eso obligó a que unas 70 personas tuvieran que trabajar todos los fines de semana durante mes y medio para reintroducir los datos, lo que costó 220.000 dólares."


Ver más

martes, 20 de marzo de 2007

KASPERSKY: "VISTA ES MENOS SEGURO QUE XP"
Natalya Kaspersky, CEO de la empresa, reveló que la característica UAC de Windows Vista es tan molesta que los usuarios la desactivarán, y eso acabará provocando que Vista sea un sistema menos seguro que Windows XP.
Muchos analistas y algunos directivos de Microsoft han tachado esas declaraciones de extrañas, sobre todo teniendo en cuenta que Kaspersky es uno de los partners de la compañía de Redmond.

Sin embargo, parecen estar afirmándolo con hechos: los analistas de esta empresa han encontrado al menos cinco formas de superar los controles de acceso propuestos por UAC, y seguramente los desarrolladores de malware puedan encontrar más.

No sólo eso, ya que tal y como señalan en la noticia de ZDNet Australia, la empresa se ha sumado a las críticas de Symantec y McAfee respecto a la presencia de la tecnología PatchGuard en la versión de 64 bits de Vista, de la que dicen que impide que estas empresas de seguridad puedan desarrollar sus soluciones para esta versión del nuevo sistema operativo de Microsoft.

Ver más

sábado, 17 de marzo de 2007

VULNERABILIDAD EN IE7 POR ERROR DE DISEÑO

Internet Explorer 7 posee una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en uno de sus recursos locales.

Debido a un error de diseño del navegador, dicha vulnerabilidad podría ser utilizada por un atacante para llevar a cabo un ataque de phishing (suplantación de un sitio web legítimo).

Una vulnerabilidad XSS permite eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios. Esto es válido para cualquier sitio web o para un archivo local.

NAVCANCL.HTM es un recurso local que IE utiliza cuando por alguna razón se cancela la navegación (Exploración cancelada). Cuando ello ocurre, la dirección (URL) de la página cancelada, es proporcionada a un script local después del símbolo numeral (#), de la siguiente manera:

res://ieframe.dll/navcancl.htm#[URL cancelada]

El script (httpErrorPagesScripts.js, que es parte del sistema), permite que el usuario pueda ir a la página cancelada, si hace clic en el enlace "Actualice la página." que se muestra (ver imagen más adelante).

Debido a la vulnerabilidad, es posible inyectar otro script en el enlace proporcionado, que también se ejecutaría cuando el usuario haga clic en el link "Actualice la página." Debido a que Internet Explorer 7 ejecuta sus propios recursos locales en la zona de seguridad "Internet" (más restrictiva que la "Zona local" o "Mi PC" de versiones anteriores), esta vulnerabilidad no puede ser utilizada para la ejecución remota de código.

Sin embargo, por un error de diseño, cuando NAVCANCL.HTM se ejecuta, la dirección del sitio que se incluye después del numeral, es mostrada en la barra de direcciones (seguida de otro código que no siempre es una señal clara de alerta para un usuario desprevenido).

Una prueba de concepto, muestra como un atacante podría crear un enlace malicioso, que al ser cancelado lanzaría un script que desplegaría en la barra de direcciones un contenido que no sería el verdadero, pero que podría parecerlo. Por ejemplo, podría mostrarse el enlace real a un banco, pero cuando el usuario haga clic en "Actualice la página", en realidad sería redirigido a un sitio falso.
En la prueba de concepto, se simula que el enlace apunta a CNN.COM, cuando ello no es así.


No se ha demostrado si el filtro anti-phishing del IE7, en caso de estar habilitado, podría ayudar a evitar el engaño, pero tampoco se ha comprobado lo contrario. Son afectadas las versiones de Internet Explorer 7.0 para Windows XP y Windows Vista.

Se aconseja a los usuarios, no hacer clic en el enlace "Actualice la página" que muestra el sistema, cuando la navegación es interrumpida por cualquier motivo.

Más información:
Phishing using IE7 local resource vulnerability
http://aviv.raffon.net/2007/03/14/PhishingUsingIE7LocalResourceVulnerability.aspx

Fuente

Ver más

viernes, 16 de marzo de 2007

SUCESOS DE SEGURIDAD

A veces, las cosas más sencillas acaban pareciendo las más complicadas. Una de ellas suele ser lo relativo a la gestión de sucesos de seguridad. Incidentes, eventos, incidencias, fallos... Un montón de términos que a veces se confunden, se entremezclan, y que a los encargados de tratar con ellos dan más quebraderos de cabeza de los que debieran. Y sin embargo, las cosas suelen ser más sencillas de lo que parecen...

Por un lado, tenemos las incidencias de seguridad. Entendidas, sencillamente, como que "ha pasado algo relacionado con la seguridad". Qué ha pasado? Tenemos tres opciones. La primera es que haya pasado "algo malo". Hemos tenido un problema, algo ha fallado. Técnicamente, una amenaza ha conseguido explotar una vulnerabilidad sobre un activo. Y qué hay que hacer? Simplemente, arreglarlo. A eso se le llama corrección.

Otra opción es que la incidencia haya quedado "en nada". Ha sucedido un evento, pero no ha llegado a ser incidente. Una amenaza que nos ha atacado pero finalmente no se ha materializado, una vulnerabilidad nueva que ha aparecido, pero que aún no ha sido explotada...

Lo que haya sucedido todavía no nos ha hecho ningún daño. Aunque si no hacemos nada, podría llegar a causarlo. Qué hay que hacer? Evitarlo antes de que suceda: corregir aquello que acabamos de descubrir que está mal, antes de que pase nada (acciones correctivas) o reforzar nuestras medidas de protección, por si acaso (acciones preventivas).

Todavía tenemos una tercera opción. Lo que ha pasado es que hemos descubierto que nuestros controles no funcionan bien. No es que haya pasado algo malo, sino que hemos encontrado un fallo en nuestro sistema de gestión. La incidencia, en este caso, se cataloga como no conformidad, y lo que tendremos que arreglar en este caso es el control en sí, mediante las acciones correctivas correspondientes.

Por último, existe otro tipo de entrada que puede dar lugar a este tipo de acciones. En este caso yo no lo catalogaría como incidencia, ya que no es que "haya pasado algo", sino que alguien realiza una aportación (sugerencia, comentario).

En este caso, la aportación (realizada por cualquier persona de la organización) puede ser una propuesta de mejora (lo que desencadenaría la correspondiente acción preventiva si así se considera) o puede "levantar alguna liebre", descubrir algún fallo que deba ser resuelto, mediante las correspondientes acciones correctivas.

Y no olvidemos que una corrección puede conllevar, en su tratamiento a posteriori, una acción correctiva para resolver la causa que ha provocado el incidente. Y que a su vez las acciones correctivas también pueden desencadenar acciones preventivas que ayuden a optimizar las protecciones existentes en relación al origen de los hipotéticos incidentes. En el fondo, todo está relacionado, no?

Fuente

Ver más

EL ENEMIGO INTERIOR
Tanto tiempo echando la culpa a malvados "hackers" de la revelación de datos confidenciales y ahora un estudio de la Universidad de Washington en Seattle revela que los intrusos sólo son responsables de menos de un tercio de esos episodios, mientras casi dos tercios son responsabilidad de las propias empresas.

Pérdidas de equipos, puesta on-line inadvertida de información confidencial, pérdidas de backups y otros errores de administración conforman el grueso de la responsabilidad empresarial en este campo...

Para Philip Howard, coautor del trabajo, cuando la empresa pierde un montón de datos de sus clientes, lo más fácil es echarle la culpa a un supuesto "hacker".

Otro estudio similar publicado la semana pasada por IT Policy Compliance Group proporcionaba resultados similares: 75% de responsabilidad atribuible a la empresa, 25% a intrusos externos.

Fuente
Mas información

Ver más

miércoles, 14 de marzo de 2007

FORMAS DE ANALISAR UN VIRUS. UN PASEO POR RAPIDSHARE.

Dando vueltas por el diario de juanito, me tope con este ineresante post. Para los que estan acostumbrados a bajar de Internet todo lo que pueden, les recomiendo la lectura en cuestión.

"De vez en cuando me doy un paseillo por webs de descarga directa a ver si encuentro algún amiguete escondido entre tanto link. Esta vez me dí un paseo por rapidshare. Este tipo de Webs, como sabéis, ofrecen un servicio gratuito de alojamiento de archivos por un tiempo limitado. Chulo no? Lo malo es que se pueden alojar tanto archivos buenos, como archivos maliciosos.

Empecé buscando lo que busca todo el mundo. Un keygen para el Windows Vista. jaja. Tanto critiqueo pero estas Webs están llenas de cracks para el Vista. De los 5 archivos que me descargué 3 tenían un alien dentro. Llamádme loco, pero cada vez que descargo un archivo, tengo la paranoia de subirlo a virustotal. Los 3 amigos son los siguientes:

Troyano Zlob (2 archivos)
Un keylogger
Un posible virus sin identificar (Mirad la foto)

Tanto el troyano como el keylogger, lo detectaban perfectamente casi todos los antivirus de virustotal, pero con el tercero, la cosa cambia. El posible virus está empacado con Themida, un software comercial para empacado de archivos. Permite encriptación, técnicas anti-debbuger, etc.. Una aplicación que haya sido empacada con este software puede dar más de un falso positivo, y sólo algunos antivirus, con heurística paranoica, detectan algo, que en algunos casos, puede o no ser un virus.

En el blog de Hispasec pusieron una entrada hace no mucho tiempo que debatían sobre el tema de si los antivirus debían detectar estos packers.
En aquí.

Ni Mcafee, ni Norton, ni Panda, ni Kaspersky, ni Nod32 lo detectan. Se lo tragan completito. Y el nombre no puede ser más sugerente. Microsoft_Windows_Vista_Keygen. Si los antivirus no lo detectan, qué haría una persona medianamente normal? Doble click…. Y a jugar! Veamos un poco lo que hacen nuestros amigos.

Aquí empezamos a jugar con la máquina virtual. En post anteriores os he dado algunos enlaces directos a máquinas virtuales, así que podéis descargaros las de los links, o montaros alguna para pruebas. Ejecutamos nuestra máquina virtual y ejecutamos el posible virus. Doble click y el archivo desaparece… Y mi serial??
Acto seguido abro una shell de Windows y ejecuto el comando netstat, para ver las conexiones activas de mi equipo virtual. La ejecuto con los parámetros siguientes:

-n.- Muestra direcciones y puertos asociados
-a.- Muestra todas las conexiones
-b.- Muestra el ejecutable que crea la conexión
-o.- Muestra el PID asociado al ejecutable

netstat -nabo Jaja. Qué palabra más bonita! Los datos son reveladores
Como quiero saber más de nuestro sospechoso amigo, me descargo de Microsoft la herramienta ProcessExplorer, aplicación que me va a ayudar a conocer de una manera más íntima a nuestro amigo. Lo que voy a mirar será los strings que contiene, lo que carga en memoria, y las propiedades TCP/IP del amigo.

El comando Strings, me va a buscar cadenas de texto ASCII o Unicode en el ejecutable. De ahí podremos deducir algo si vemos cadenas legíbles.
Para ver los strings del fichero, hacemos doble click en el archivo (desde Process Explorer) y nos vamos a la pestaña Strings. El resultado no nos muestra mucho. Efectivamente está empacado con Themida y al final leemos que está intentando escribir o tomar un archivo, posiblemente de configuración. Lo podéis ver en la imagen adjunta.

Justo en esta misma pestaña, Process Explorer nos da la oportunidad de mirar también el contenido de la memoria. El contenido es más que revelador. Tenemos ante nosotros a un auténtico depredador. Virus con capacidad de troyano, downloader, gusano, Bot, etc…
Guarda en memoria todo tipo de datos. Posibles usuarios y contraseñas, diversas formas de explotar una serie de vulnerabilidades antiguas (DCOM, LSASS, RPC, etc.).

Si queremos ver el tipo de conexión que intenta realizar el virus, pulsamos la pestaña TCP/IP y nos muestra lo siguiente:


El virus está intentando crear una conexión a través de IRC y por el puerto 6667, un puerto típico de conexión para estos menesteres. También vemos que el estado de la conexión es SYN_SENT, es decir, el socket está esperando la conexión. El virus en cuestión crea una entrada en el registro de Windows, y se aloja en System32. Cabe decir que si ejecutásemos este virus bajo una cuenta NO Administrativa, este virus tendría un impacto NULO en un sistema Windows.

Espero que os quede un poco más claro que por muchas protecciones de seguridad que tengamos en un equipo, ninguna de ellas será efectiva ante un doble-clic de un usuario. Cuidadito por la Red y vigilad lo que os descargáis".

Ver más

PERTENECER A UN CLUB ZOMBIE SIN SABERLO
Desgraciadamente muchos host pueden estar trabajando codo a codo dentro de una red de máquinas zombies sin ser conscientes de ello, convirtiéndose en auténticos servidores de spam. Vamos a poner a un ejemplo.

Existe una web,
SenderBase, perteneciente a la conocida empresa de seguridad en Internet IronPort, que se dedica a monitorizar el 25% mundial de todos los envios de correo electrónico que se producen.

Esta monitorización se logra gracias a la participación de más de 75.000 empresas de todo el mundo donde destacan algunos operadores de telefonía. En la página principal, podemos ver las redes que más emails envían, curiosamente (o no) en el momento de escribir este post nos encontramos con la red rima-tde.net de Telefónica en el primer puesto (ver foto).

“Hay que tener en cuenta que actualmente un 90% de los emails enviados son spam”. En el bloque inferior vemos otra lista ordenada por los host que más emails envían. He buscado el primer host dentro de la redes de telefónica (ver foto) y resulta ser muelle.portel.es con un volumen escalofriante de envíos diarios.

Posteriormente fue fácil descubrir que se envía spam desde ese host (las estadísticas no engañan) El host aparece en algunas blacklist como por ejemplo esta de Vortex Technology.

Probablemente la empresa que gestiona portel.es no es consciente de que su dominio es usado para propagar tanto spam, aunque nunca se sabe!


Fuente

Ver más

martes, 13 de marzo de 2007

OFICIAL: CRACKEARON EL VISTA

Yo pensaba que se demorarían un poco menos, pero quién sabe, esta vez el desafío debe haber sido mayor. Señoras y señores, ya llegó un crack para Windows Vista. Sólo para motivos informativos:

El crack funciona sobre las versiones Home Basic/Premium y Ultimate de Vista y, a diferencia de otros que ya habían salido —cuya solución era parchar Vista con archivos de activación beta (o modificando el timer)—, este efectivamente hace uso del proceso de activación. Todo parece que Microsoft permitió a los fabricantes la posibilidad de empaquetar sus productos con una copia de Vista preinstalada, sin la necesidad de activarla para que funcionara (probablemente para facilitarle las cosas a los usuarios). Ése fue el hoyo que escarbó el grupo Paradox, los creadores del crack.

El programita básicamente elimina la necesidad de activar Vista, ya que permite emular el BIOS de uno de los fabricantes “certificados”. Luego de eso, usa una de las llaves pre-aprobadas por Microsoft para los fabricantes. Y listo. Como prueba de que funciona, varios de los comentarios en el artículo original dicen que el crack corre sin problemas.

NOTA: No confundir este crack con el generador de llaves que salió hace un tiempo en la red. Ése era, en realidad, un troyano.

Fuente

Ver más

sábado, 10 de marzo de 2007

TOR PARCHEADO. ADIOS AL ANONIMATO
No cabe duda de que la necesidad de que exista -o no- anonimato en la Red suscita serias controversias. Como siempre, existe un difícil compromiso entre la protección del anonimato de los usuarios legítimos (disidentes en regímenes dictatoriales, por ejemplo) y el de los indeseables (con los pedófilos a la cabeza).

Sin embargo el anonimato es una cuestión de todo o nada. Si -como acaba de hacer HD Moore (de Metasploit)- parcheamos los servidores Tor para que detecten palabras "sospechosas" de actividades pedófilas y así poder rastrear ese tráfico, nada impide a un régimen dictatorial hacer lo propio con otro tipo de términos, comprometiendo así a todos aquellos para quienes el anonimato es una cuestión de vida o muerte...

A la vista del curso que van tomando los acontecimientos, si mi propia vida dependiera del anonimato, desde luego no se la confiaría a Tor.

En cuanto al controvertido asunto de si la desaparición del anonimato representa un retroceso de las libertades o un avance de la seguridad, lo dejo al criterio de cada cual. El mío lo tengo muy claro y coincide con una conocida frase (frecuentemente mal citada y dudosamente atribuida a Benjamin Franklin):

Those who would give up Essential Liberty to purchase a little Temporary Safety, deserve neither Liberty nor Safety.

Es decir:

Quienes cederían una libertad esencial para lograr un poco de seguridad temporal, no merecen ni libertad ni seguridad.

Más información:

Ver más

viernes, 9 de marzo de 2007

D-LINK TECHNOLOGY INSTITUTE. DTI

El conocimiento en tecnología es una herramienta diferencia y fundamental en la aplicación de soluciones y una garantía de calidad para los clientes. D-Link como una de los mejores empresas de networking en el mundo, ofrece un programa de certificaciones desarrollado por Ingenieros de D-Link Corp y D-Link LatinAmerica, llamado D-Link Technology Institute (DTI).DTI, es una estructura que contempla 5 niveles de certificaciones (2 certificaciones on line y 3 Hands on Labs), en diversas tecnologías como: Wireless, Switches, Firewall, cámaras IP, entre otras. Con este programa de certificaciones D-Link garantiza un aprendizaje continuo desde formación básica a conocimientos avanzados sobre tecnologías de networking.



Corresponde al nivel 1, este curso esta dirigido a todos aquellos que trabajan con tecnología multimedia y de networking, que necesitan conocer y aprender lo básico de tecnología. Este curso es de fácil acceso, disponible en forma on-line.




Corresponde al nivel 2 de D-Link Technology Institute, dirigido a todo el público en general, quienes necesitan conocer y aprender lo básico en tecnología. Esa certificación es de fácil acceso, disponible en forma on-line.




Corresponde al nivel 3 de D-Link Technology Institute y está dirigido a todas las personas que necesitan conocer tecnologías avanzadas para dar soporte al segmento de las Pequeñas y Medianas Empresas (SMB). Esta certificación está dividida en tres etapas:


1. Curso Técnico.

2. Curso Práctico.

  • Tecnología Gateway.
  • Tecnología Switches.
  • Tecnología Wireless.

3. Certificación.




La finalidad principal de este curso es formar especialistas en diferentes tecnologías, por medio de aplicaciones de productos D-Link, especialmente en diseño e implementación. Las certificaciones disponibles son:

  • cámaras IP
  • Switches
  • Wireless
  • Firewall



Dirigida a todos los ingenieros que han aprobado exitosamente el curso D-Link Partner Certification en las categorías de Broadband, LAN, Security y Wireless. En este nivel, el ingeniero será capaz de proveer a la empresa de diseño de implementación de soluciones y un alto nivel de troubleshooting. Este curso se desarrollará de dos secciones una teórica y otra práctica.

Ver más

LA CORTE DETERMINO QUE LOS BANCOS NO PODRAN BRINDAR DATOS DE CLIENTES MOROSOS AL VERAZ
El día jueves la Corte Suprema de Justicia ratificó la prohibición de difundir "datos financieros personales" sobre titulares y beneficiarios de tarjetas de crédito. El fallo de la Corte prohíbe a las entidades bancarias a brindar informes financieros personales sobre los titulares y sus beneficiarios de extensiones cuando el titular "no haya cancelado sus obligaciones, se encuentre en mora o en etapa de refinanciación".

De esta forma rechazó una apelación presentada por la Organización Veraz, por supuesta inconstitucionalidad del artículo 53 de la ley 25.065, que regula el funcionamiento de las tarjetas de crédito.

La Corte, que con su fallo ratificó otro de la Sala II de la Cámara Nacional de Apelaciones en lo Contencioso Administrativo Federal, sostuvo que esa disposición "obedece a la necesaria protección de los usuarios" de las tarjetas.

El máximo tribunal aclaró que mientras se tramitaba la causa fue dictada la ley 25.326, "que no contenía igual prohibición a la establecida en la ley 25.065".

Al respecto, la Corte sostuvo que "la sanción de la primera de las leyes mencionadas no determina la derogación tácita del artículo 53 de la última norma".

Ante ello, para el tribunal la prohibición contenida en ese artículo continúa vigente, y consideró "razonable" en la medida que tiene "la finalidad de preservar la exactitud de los datos registrados, en beneficio de sus titulares y de la seriedad de la información que se pone a disposición del público en general".

La Corte subrayó en su sentencia que esa prohibición obedece a la "necesaria protección del usuario de las tarjetas de crédito que, de lo contrario -esto es sin la centralización de la fuente de registro en el Banco Central- podría verse materialmente imposibilitado de ejercer cualquiera de los mecanismos de control sobre sus datos, autorizados por el artículo 43 de la Constitución Nacional y transformado en un paria en el mundo de las relaciones de crédito.

El fallo mayoritario fue suscripto por los jueces Ricardo Lorenzetti, Carlos Fayt, Juan Carlos Maqueda, Raúl Zaffaroni, Carmen Argibay y Elena Highton, quien si bien coincidió con la decisión tuvo voto propio. El ministro Enrique Petracchi votó en disidencia.

Fuente

Ver más

jueves, 8 de marzo de 2007

EL PODER EJECUTIVO DIO PLENA IMPLEMENTACION DE LA FIRMA DIGITAL

El congestionado circuito que provoca el tráfico de papeles pareciera ir caminando al ocaso. La implementación de la nueva decisión administrativa, dictada por la Jefatura de Gabinete de la Nación, es otro lento paso hacia adelante para morigerar la agotadora sensación que produce la burocracia en el ciudadano.

Por lo menos el salto fue dado. El Poder Ejecutivo dio plena implementación de la firma digital, al sancionar el marco normativo 6/07, aplicable para el otorgamiento y revocación de las licencias a los entes certificadores. De esta manera se pretende poner en acción a las empresas y organismos certificadores que podrán introducir mayor seguridad al sistema. Algunos de los puntos salientes de la nueva norma son:

  • Los certificadores licenciados realizarán la actividad con arreglo a los principios de “objetividad, transparencia y no-discriminación.
  • La norma crea lo que se llama la “Infraestructura de Firma Digital de la República Argentina, compuesta por autoridad certificante, los certificadores licenciadores, los suscriptores de los certificados digitales y los terceros usuarios.
  • Las entidades certificantes deberán publicar en internet los actos administrativos
  • Para poder emitir certificados es necesario realizar una petición formal que será analizada por la autoridad.
  • La reglamentación establece la necesidad de que las empresas tomen medidas necesarias para proteger los datos de los usuarios al sistema.
Es nuevo instrumento que recibió el impulso de Poder Ejecutivo, venía precedido del decreto 724/06 que reglamentó por enésima vez la ley existente sobre la Firma Digital, 25.506, sancionada en el 2001. Entre las alternativas que presenta la firma digital, más allá de la economía de lugar y espacio, se encuentra la movilidad de los documentos en formato digital. Pero revisemos un poco ¿Qué es la Firma Digital?

La Firma Digital: es un conjunto de datos asociados a un mensaje que permite resguardar la identidad del firmante y del mensaje. El procedimiento es el siguiente: quien firma genera mediante una función matemática una especie de huella digital del mensaje. Este rastro se encripta con una clave privada que escribe el firmante. El resultado: la firma digital se adjunta la mensaje originario. En palabras claras: una identificación personal que permite corroborar los datos de las personas a través de una doble verificación. Además la estructura de la firma digital está cimentada sobre tres pilares básicos:

Autenticación: garantiza la identidad del firmante o autor de un documento. Integridad: asegura que la información del documento digital no haya sufrido alteraciones luego de su firma.
No Repudio: garantiza que el firmante no pueda negar el contenido del documento o la veracidad de la firma.

Es de esperar, a partir de la nueva reglamentación dictada, que de ahora en más la pila de formularios entren en un CD. Del resguardo se encargue la encriptación y sólo un clic nos libre de movernos de nuestra casa. Las herramientas tecnológicas procuran acelerar los tiempos. También hacerlos menos atestados. La puesta en marcha de la firma digital en nuestro país se suma a la cola de países como Chile, México y Brasil, en donde ya funciona con éxito. América Latina parece, poco a poco, entender el guiño del cybermundo. Ese que está al alcance de un solo clic y que nadie puede ya detener.

Ver más

SE DEMUESTRA QUE MICROSOFT NOS SIGUE ESPIANDO
La revista alemana CT ha descubierto otra pequeña treta de Microsoft: iban a actualizar la utilidad Windows Genuine Advantage - WGA - mediante Windows Update, pero cancelaron el proceso: fue entonces cuando se dieron cuenta de que el programa mandaba información a Microsoft sobre esta actividad.


La noticia aparece en Neowin, donde señalan que al cancelar el proceso de actualización el firewall que tenían instalado les notificó que el programa update.exe trató de conectarse a Internet. Una vez establecida la conexión analizaron el tráfico mediante la utilidad WireShark, y descubrieron que este pequeño programa manda información a genuine.microsoft.com. De hecho, se envía información del registro: la llamada SusClientID y la versión de WGA de la que dispone nuestro ordenador, además de la versión de nuestro Windows y el idioma en el que trabajamos. También se instala en nuestro equipo una cookie que contiene el GUID, lo cual podría utilizarse para identificar una computadora.

Una posible solución a esta situación sería bloquear en el firewall el acceso a genuine.microsoft.com o agregar la línea "127.0.0.1 genuine.microsoft.com" al archivo host.

Ver más

domingo, 4 de marzo de 2007

CONTRASEÑAS DE ADMINISTRADOR QUE HAY QUE EVITAR
Los servidores siguen siendo los blancos preferidos por los piratas informáticos hoy en día, aparte de engañar usuarios o infectar máquinas. ¿Cuántos servidores aún tienen una contraseña sencilla o de origen?

Los usuarios crean contraseñas para proteger sus sistemas y los delincuentes digitales tratan de adivinarlo para su provecho. Investigadores de la Universidad de Maryland, completaron un estudio usando como carnada 4 servidores Linux abiertos, para ver la frecuencia de los ataques. El resultado fueron 269,262 intentos en un periodo de 24 días.

Durante ese tiempo solo 824 intentos fueron exitosos, obteniendo el atacante el nombre de usuario y contraseña del servidor. Esto significa que unas 10 veces al día el servidor fue accedido ilegalmente. Los servidores eran anónimos, colocados en un Centro de Datos de la Universidad, sin información importante. De haberse usado el nombre de una institución financiera o un departamento gubernamental, las estadísticas tendrían valores mucho más altos.

Entre las 10 contraseñas más usadas y fácilmente deducibles se encuentran:

1. (nombre de usuario)
2. (nombre de usuario)123
3. 123456
4. password
5. 1234
6. 12345
7. passwd
8. 123
9. test
10. 1

Otros expertos han agregado otras tales como "changeme", "dontforget", y "letmein." Una de las contraseñas de origen en servidores es "admin1" como nombre de usuario y también como clave de acceso. Otra de ellas es "root" que tradicionalmente se usa para acceder múltiples sistemas.

Las contraseñas de origen son también utilizadas como posible método de entrada, "default", "system", "attack", "cisco", "tiger", "public", y "sun123"; ya que mucha gente se olvida de cambiarlas, después de activar el producto o configurar él o los servidores.
En muchos de los casos, el atacante intenta un nombre simple y lo escribe como contraseña. El 43% de los intentos fueron realizados de esta manera. Aunque en esta nota se hable de seguridad en contraseñas a nivel administradores, lo que aquí se dice también es válido para usuarios comunes. Los más fáciles de adivinar suelen ser nombres famosos, tales como equipos de fútbol, cantantes, actores, etc.

Expertos dicen, que hace un tiempo era una práctica común intercambiar contraseñas en los centros de datos. Hoy en día ya no lo es. También cuentan, que han encontrado uno o dos servidores vulnerables que permiten el acceso a cientos de ordenadores en red, solamente por compartir cuentas de usuarios comunes.

Una buena clave de acceso debería tener al menos ocho caracteres, incluyendo números y letras, intercambiando entre mayúsculas y minúsculas. Un experto en seguridad recomienda elegir una frase de 8 o 9 palabras o una frase favorita, tomando solo la primera o segunda letra de cada palabra, y agrega: "Esto es muy fácil de recordar, pero difícil de adivinar."

Ver más

PEN DRIVER ESPIA
"La última herramienta para monitorear las actividades de Internet". Este es el slogan de un simpático "pen driver" llamado SnoopStick que una empresa de EEUU comercializa y que sirve para monitorear (o espiar) desde cualquier parte del mundo, por ejemplo, a tus hijos, empleados o a quien quieras. Lo particular de este dispositivo USB es que ni bien se lo conecta al puerto USB ejecuta en forma "silenciosa", y sin el consentimiento del usuario, un keylogger que te permite ver en tiempo real que esta pasando en esa máquina. El SnoopStick cuesta 60 dólares y la ventaja o desventaja, según el propósito que se le de, es que funciona sólo sobre plataformas Windows.

Se podrán dar cuenta que este tipo de pen puede ser utilizado como una herramienta de “doble filo”; por un lado te permite controlar y supervisar las actividades que tus hijos o empleados (y por que no tu esposa) realizan en la PC, y por el otro, puede ser usado, como cualquier otro pen driver USB, para robar información almacenada en cualquier computadora contando con una serie de características propias de un programa keylogger:
  • Permite monitorear todas las páginas web a las que se accede.
  • Monitorear las conversaciones mediante mensajería instantánea de ambos lados.
  • Trabaja con todos los programas populares de mensajería instantánea.
  • Monitorear el acceso de e-mails (SMTP, POP3, IMAP) y ver a quien se envia y de quien se recibe.
  • Almacenar hasta 12 meses de registros de actividad directamente en el dispositivo.
  • Enviar mensajes de alerta a los usuario, y muchas cosas más.

En su web podrán encontrar más información.

Ver más

viernes, 2 de marzo de 2007

PRIMER SEMINARIO DE SEGU-INFO

El 24 de marzo a las 18.30 hs se llevará a cabo el Primer Seminario de Seguridad de la Información organizado por Segu-Info, en la Ciudad de Salto, Provincia de Buenos Aires (Argentina).

Por qué
En el mundo altamente globalizado y conectado en el que vivimos, la necesidad de asegurar la información surgió hace tiemp. Por esto se ha puesto en evidencia la necesidad de este tipo de actividades.
Nos proponemos acercar a todos las formas de proteger la información, además de los principios de concientización necesarios para cuidar este activo, el más importante que tiene cualquier persona u organización.

Para quien
Este seminario está orientado a usuarios, administradores, personas relacionados con la Seguridad de la Información y público en general.

Para obtener mas información visiten este link.

Ver más