Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 18 de enero de 2009

White paper: Ataques informáticos

A diferencia de lo que sucedía años atrás, donde personas con amplias habilidades en el campo informático disfrutaban investigando estos aspectos con el ánimo de incorporar mayor conocimiento; en la actualidad se ha desvirtuado completamente dando origen a nuevos personajes que utilizan los medios informáticos y el conocimiento sobre su funcionamiento como herramientas para delinquir y obtener algún beneficio económico...

El presente documento pretende ofrecer una rápida visión sobre las debilidades comúnmente explotadas por atacantes para traspasar los esquemas de seguridad en los sistemas informáticos, junto a posibles contramedidas bajo las cuales es posible ampararse para prevenir de manera efectiva los diferentes tipos de ataques que diariamente recibe un sistema.

El artículo puede ser descargado desde aquí o desde la sección de papers. También desde la sección terceros de segu-info.com.ar donde encontrarán una versión adaptada exclusivamente.

Espero que el mismo sea de utilidad para quien lo lea :-)

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

sábado, 17 de enero de 2009

Una recorrida por los últimos scareware II

Este tipo de programas maliciosos es cada vez más común y se valen de numerosos métodos de engaño (Ingeniería Social) para captar la atención de los usuarios. Por otro lado, constantemente son manipulados para aumentar su ciclo de vida y evitar que las compañías antivirus los detecten.

Algunos son mucho más dañinos que otros, y utilizan "formas" más agresivas para asustar a sus víctimas. Hagamos una segunda recorrida por el scareware que srgió durante la semana:

Antivirus Plus
MD5: f4b27d042b55cfd3283af159b2d754fe
VT Report: Result: 21/37 (56.76%)








Spy Protector
MD5: db206d75b7219eb9fd6f51add1e4aa80
VT Report: Result: 18/37 (48.65%)






Antivirus 2009
MD5: cb1b2b84ca04259c7d3197d1baca2cbb
VT Report: Result: 3/39 (7.69%)







Pro Antispyware 2009
MD5: 6c02aba11dac9fbd923da981f567c19c
VT Report: Result: 6/38 (15.79%)







Real Antivirus
MD5: 2a3da028735228b5e7ce91f9fda301e2
VT Report: Result: 22/39 (56.42%)







Spyware Protect 2009
MD5: b75bf6855d8e8f83ae10f5fd4cf0b9d4
VT Report: Result: 21/39 (53.85%)






# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

jueves, 15 de enero de 2009

Ataque de malware vía Drive-by-Download

Uno de los problemas más comunes que sufren la mayoría de los entornos de información, es la mala gestión de las actualizaciones de seguridad, tanto del sistema operativo como de las aplicaciones instaladas. Y, con el mismo nivel de criticidad, uno de los más efectivos ataques que se producen como consecuencia de la falta de actualización, es aquel que se ejecuta vía web, denominado Drive-by-Download.

Este ataque se basa en explotar vulnerabilidades que permitan ejecutar códigos maliciosos a través de la inyección de etiquetas iframe incrustadas en el cuerpo del código HTML, similar al ejemplo que se muestra en la imagen:

La etiqueta iframe se ejecuta en segundo plano y de manera transparente para el usuario abriendo una segunda página que por lo general contiene algún script ofuscado que esconde tras su código uno o varios exploits encargados de buscar en el equipo alguna vulnerabilidad específica. Puede darse el caso que cuando el usuario ingresa a un sitio web malicioso o comprometido con estas amenazas, visualice, por ejemplo, lo que se muestra en la siguiente captura (simplemente una serie de puntos):

Sin embargo, al observar el código fuente de la página, veremos el verdadero código que se esconde de manera maliciosa. Esta técnica de ataque supone un riesgo potencial, ya que si un sistema presenta las características que necesita el ataque, el mismo será exitoso. En consecuencia, la contramedida que mitiga de manera efectiva estas acciones maliciosas, es la implementación de las actualizaciones de seguridad, tanto del sistema operativo como de las aplicaciones. # pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

miércoles, 14 de enero de 2009

Desfiguración de sitios web II

Websites defacement two

El defacing puede ser llevado a cabo por diferentes motivaciones. Algunos lo utilizan como recurso de protesta por cuestiones políticas, sociales y/o religiosas, otros ven en ello una manera de ayudar a segurizar el sitio web o servidor o, simplemente, con ánimo de molestar.

Sin embargo, más allá de los diferentes puntos de discusión que puede generar el porqué del defacing, siempre representa una intrusión no autorizada a un sistema de información.

Algunas de las últimas desfiguraciones de sitios web son:





Websites defacement one

Desfiguración histórica

Defacing realizado por un grupo de Brasil al Ministerio de Desarrollo Sostenible y Panificación de Bolivia, actual Ministerios de Planificación del Desarrollo el 23 de diciembre del año 2000.

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

lunes, 12 de enero de 2009

Seguridad "electrónica " y propagación de malware

Cada vez son más los casos que se conocen sobre infecciones, o potenciales infecciones, a través de dispositivos electrónicos. El último caso conocido, que he comentado en malware preinstalado, ha desatado un interesante debate que me recuerda a una linda anécdota sobre este tema.

Al finalizar una charla sobre Seguridad Antivirus en la cual expliqué en qué se basa la Ingeniería Social y cómo se propagan los gusanos a través de un archivo de texto plano llamado Autorun.inf (no es un malware, simplemente aprovecha la funcionalidad de ejecución automática de Windows), uno de los asistentes me solicitó uno de los programas que había utilizado durante la charla, con lo cual lo copié en una memoria USB y se la pasé, pero esta persona, atento, me dijo: no, no quiero conectar esa memoria en mi equipo ya que puede estar infectada y mi equipo terminará infectado. Aunque la memoria estaba limpia, eso era correcto.

Bueno, dije entonces, "te lo copio en otro soporte"; y copié el mismo archivo en un iPod. La persona quedó conforme y conectó el iPod en su equipo sin tener en cuenta que no estaba haciendo otra cosa que acceder a un dispositivo de almacenamiento que también es susceptible a alojar código dañino.

Los dispositivos de almacenamiento extraíble que se conectan a través del puerto USB poseen un alto porcentaje de eficacia en la diseminación de códigos maliciosos, es decir, no hablamos sólo de memorias USB, hablamos también de iPod, reproductores mp3, mp4, cámaras fotográficas, filmadoras, teléfonos celulares, marcos fotográficos digitales, y cualquier dispositivo que tenga interacción con la PC.

Desde el punto de vista económico, en muchos países se consigue cualquiera de estos dispositivos a un bajo costo, sin embargo, esto supone un riesgo extra debido al poco control que se deposita en el proceso de fabricación de esos dispositivos, y el control de calidad cuando sale a la venta, pudiendo resultar potenciales canales de infección, incluso, a través del CD que acompaña al dispositivo.

En alguna parte leí la recomendación de comprar productos de empresas reconocidas, sin embargo, tampoco es una garantía y, casos como el de Samsung lo demuestran. Como verán, absolutamente nada es seguro, pero si es seguro implementar mecanismos que nos permitan mitigar este tipo de problemas, p.e. mantener actualizado y activo un programa antivirus.

Algunos antecedentes de infección durante el 2008 a través de diferentes dispositivos que se pueden destacar son:


No es para alarmarse, pero si para estar atentos :-)

# Pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

Suscribirse a: Entradas (Atom)