Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 29 de abril de 2007

IE 7 Y FIREFOX PROPENSOS A ATAQUES DE AUTENTICACION
Firefox e Internet Explorer son propensos a un ataque del tipo "Http Request Splitting", cuando ocurre una autenticación codificada (Digest Authentication). Esto es debido a una "Digest Authentication Request Splitting", o división de respuesta en una autenticación codificada.

La autenticación codificada es una manera de encriptar una contraseña, antes de enviarla por Internet, considerada más segura que una autenticación básica a la hora de solicitar y enviar credenciales.

Básicamente, la primera vez que el cliente solicita un documento al servidor, ningún encabezamiento de autorización es enviado, y una respuesta simple es recibida. Luego, el cliente pregunta al usuario por su nombre y contraseña, enviando la respuesta al servidor con el cabezal de autorización.

Hay dos maneras de enviar las credenciales (utilizando HTML y JavaScript), y ambos navegadores son vulnerables a este tipo de ataque.

Un ataque del tipo "Http Request Splitting" o división de respuesta HTTP, permite al atacante enviar una única petición HTTP al servidor, de tal manera que obligue a éste último a formar una cadena de salida que puede ser interpretada como dos respuestas HTTP. El atacante puede controlar totalmente la segunda de esas salidas.

A partir de allí, es posible la realización de diferentes tipos de ataques o el uso de ciertas técnicas de intrusión.

Por ejemplo, es posible lanzar ataques del tipo Cross-site Scripting (XSS) (script que redirecciona de un dominio a otro la solicitud). También se puede envenenar la caché web (alterar su contenido), lo que permite la desfiguración de un sitio y ataques a otros usuarios que de forma temporal compartan la caché.

Un atacante también podría secuestrar páginas con la información del usuario (robo de identidad), o inclusive robar la caché del navegador, suplantando un recurso específico al que accede el usuario.

El robo de cookies de sesión o su modificación, también puede ser posible mediante algunos de esos ataques.

Varias técnicas pueden ser combinadas para llevar a cabo con éxito estos ataques.

Software vulnerable:
- Internet Explorer 7.0.5730.11
- Mozilla Firefox 2.0.0.3

Versiones anteriores también podrían ser vulnerables. Ha sido probado en Firefox 2.0.0.3 bajo Windows XP SP2 y Ubuntu 6.06, y en Internet Explorer 7.0.5730.11 bajo Windows XP SP2.

El navegador Safari (desarrollado por Apple para su sistema operativo Mac OS X) también es vulnerable.

Fuente: http://www.vsantivirus.com

Ver más

sábado, 28 de abril de 2007

NI LA CRIPTOGRAFIA CUANTICA ES SEGURA
Un grupo de investigadores ha comprobado, por primera vez, que la seguridad de una red protegida por criptografía cuántica, también puede ser violada.


La criptografía cuántica usa las leyes mecánicas cuánticas para proteger datos de forma segura. Hasta este hallazgo, muchos investigadores suponían que las redes protegidas por estos métodos eran 100% seguras, pero un grupo del MIT ha logrado romper la seguridad usando la técnica de la escucha, en donde capturaron la mitad de los datos enviados (de modo que no fuesen detectados por ninguno de los dos extremos), y finalmente descifraron lo que se enviaba.

Es sabido que si un conjunto de datos cifrados es capturado, un posterior análisis de un amplio porcentaje de estos podría revelar el secreto ocultado en dichos datos, ya que se cumpliría con un patrón que es necesario para que ambas máquinas logren entenderse. Por estas mismas premisas, muchos dicen que no hay forma de proteger completamente un sistema, menos una masa de datos.

El grupo aún así, admite que el ataque ha sido llevado acabo en entornos de prueba, y que en un entorno real podría no ser posible de momento.

Aún así, este último mensaje claramente fue dedicado a empresas que están actualmente apostando por estas formas de seguridad, ya que si alguien lo logró en un entorno de prueba, es muy probable que puedan replicarlo a entornos reales sin mucho esfuerzo, solo con un poco de tiempo…

Fuente: Nature

Ver más

CONTRASEÑAS. CUESTION DE CONCIENCIA
Este texto es el mismo que podrán encontrar en la sección "papers" y fue el primero en publicarse en el blog. La intención de su contenido es dejar reflejada la importancia que poseen las contraseñas para cualquier sistema informático.

La primera línea de defensa que posee un sistema informático para evitar que personas no autorizadas accedan al él, es determinar mediante un método de autenticación, denominado logín o logon, quién o qué está accediendo al sistema. Una de las piezas más criticas de este proceso de autenticación la constituyen las contraseñas.

Esta principal barreras de protección está formada por caracteres (letras, números, símbolos) cuya cantidad y combinación que utilicemos para formar nuestras contraseñas nos dará el grado de robustez de la misma. Evidentemente, cuanto más larga y más caracteres posee, aumentará exponencialmente el grado de protección y, por ende, será menor la probabilidad de ser descubiertas.

A modo didáctico y para clarificar la importancia que tienen las contraseñas, nos remitiremos a uno de los textos expuestos en HHS [1] referido a uno de los principales personajes de la famosa película MATRIX RELOADED, el "hacedor de llaves". Este personaje es muy importante porque es el encargado de fabricar y mantener las llaves que dan acceso a las diferentes zonas de MATRIX. MATRIX representa un mundo generado por computadoras y las llaves que dan acceso a las diferentes zonas son contraseñas. Entonces se podría decir que las contraseñas son las llaves con las que se controlan los accesos. Es decir, controlan el acceso a la información (contraseñas en documentos), restringen el acceso a los recursos (contraseñas en páginas web) o implementan autenticación (demostrando que eres quien dices ser).

Evidentemente, uno de los problemas más comunes en seguridad informática no tiene que ver con malas implementaciones o problemas de ataques, sino que proviene de contraseñas inseguras o fáciles de adivinar, lo cual es muy fácil de solucionar con sólo cambiar la contraseña. Lo que resulta realmente difícil es concientizar a los usuarios para que utilicen contraseñas complejas.

Si bien resulta muy difícil, aunque no imposible, que un atacante externo a nuestra red pueda "descubrir nuestras contraseñas", no se tiene el mismo criterio cuando existe la posibilidad de que el ataque provenga desde nuestra propia red, y si el atacante conoce algo de la víctima el riesgo se incrementa ya que podrá probar palabras relacionadas a él. Es muy común que este intento de intrusión ocurra, para muchos usuarios es muy tentador intentar "descubrir" la contraseña de administrador o las del correo electrónico de algún compañero para jugarle alguna broma.

Hoy en día, existen herramientas específicas y automatizadas que pueden ser utilizadas para violar la seguridad de los sistemas informáticos recurriendo a ataques por fuerza bruta o ataques por diccionarios de contraseñas (wordlist) para intentar “romperlas” y así ingresar al sistema. Por ello siempre es recomendable limitar el tiempo de vida de las contraseñas evitando tenerlas el tiempo suficiente para que sean deducibles por cualquiera de los ataques mencionados.

También es muy común encontrarse con personas que utilizan como usuario/contraseña la misma palabra y muchas veces relacionadas a él, por ejemplo el nombre, apellido, el nombre del hijo, el numero de teléfono, número de documento, direcciones, claves muy sencillas como "1234" (muchas veces es mas seguro la ausencia de contraseña que una como "1234"); o para evitar olvidarlas las anotan y la dejan sobre el escritorio, en un pizarrón y hasta bien grande en una hoja A4 pegada al costado del monitor sin darse cuenta que lo único que se logra con ello es aumentar la probabilidad de que un atacante averigüe alguna contraseña y pueda escalar privilegios hasta alcanzar el de administrador.

Esto se debe a que, salvo raras excepciones, el usuario no tiene conciencia de la seguridad. Para ellos, muchas de las medidas de seguridad que se implementan, como puede ser la autenticación mediante una simple contraseña, son vistas como un contratiempo, como una exigencia sin consentimiento que lleva a cabo la gente de sistemas para justificar su trabajo y que no aporta ninguna ventaja, lo toman como una agresión o intromisión a su forma de trabajar y al final, y dentro de su lógica, terminan buscando la comodidad (dejarlas anotadas para no ser olvidadas) siendo peor el remedio que la enfermedad.

Se cree erróneamente que la responsabilidad de las medidas de protección de acceso recae solamente en el o los administradores de la red y por ello no se tiene conciencia de la vulnerabilidad que implica un olvido de contraseña o anotarlas en algún lugar visible por cualquier persona. Hay que tener presente que la protección de la contraseña también recae en los usuarios ya que al comprometer una cuenta se puede estar comprometiendo todo el sistema.

Por lo tanto, el fortalecer las contraseñas y el cambio frecuente de las mismas, son las principales herramientas con las que disponemos como usuarios para aumentar la seguridad y fortalecer no solo la integridad de los sistemas informáticos sino que también nuestra propia información confidencial. Una contraseña robusta es aquella que:
  • No puede encontrarse en un diccionario.
  • Contiene números, letras y símbolos.
  • Contiene letras mayúsculas y minúsculas.
  • Cuanto más larga, mas robusta es.
Por otro lado, cabe mencionar la importancia de definir una política de contraseñas. En general, se puede definir la longitud máxima y mínima, el período máximo en que estará activa (pasado ese período deberá ser cambiada), el período mínimo en que estará activa (el tiempo que debe transcurrir antes que un usuario esté habilitado para cambiar su contraseña), un control de complejidad (para evitar contraseñas triviales), un control de historial (para evitar que se repitan las contraseñas), etc. Los siguientes valores se pueden considerar seguros para una política de contraseñas:
  • Longitud mínima: 8 caracteres.
  • Longitud máxima: Entre 12 y 14 caracteres.
  • Período máximo: 30 días.
  • Período mínimo: 1 día
  • Control de complejidad: Habilitado
  • Historial de contraseñas: Habilitado
  • Cantidad de contraseñas en el historial: 12
Estrategias para la elección de contraseñas.
Algunos métodos que suelen emplearse para crear contraseñas pueden resultar fáciles de adivinar para un atacante. A fin de evitar contraseñas poco seguras y fáciles de averiguar, se mencionarán a continuación algunas recomendaciones a tener en cuenta a la hora de elegirlas:
  • No utilice contraseñas que sean palabras que puedan ser encontradas en diccionarios, aunque sean en otro idioma, ni nombres como el del usuario, familiares o mascotas.
  • Tampoco utilice contraseñas totalmente numéricas con algún significado como números telefónicos, DNI, fecha de nacimiento, etc.
  • Trate de elegir una contraseña que mezcle caracteres alfanuméricos con mayúsculas y minúsculas.
  • Procure que, como mínimo, la contraseña tenga ocho (8) caracteres.
  • Deben ser fáciles de recordar para evitar verse obligado a escribirlas.
Algunos ejemplos podrían ser:
  • Combinar palabras cortas con números o caracteres de puntuación: Soy2_Yo3.
  • Usar acrónimos, por ejemplo de alguna frase fácil de recordar: En casa De Herrero Cuchillo de palo: EcDHCdp, y hasta añadir algún número para mayor seguridad: EcDHCdp12 .
  • Incluso es mejor si la frase no es conocida: Hasta ahora No He olvidado Mi Contraseña: HaNHoMC. [2]
Consejos para proteger las contraseñas.
Muchas vulnerabilidades están dadas por el descuido del propio usuario. Algunas medidas básicas de protección podrían ser las siguientes:
  • Nunca comparta las contraseñas, y si lo hace cámbielas inmediatamente.
  • No anote la contraseña en ningún sitio ni la escriba si alguien esta observando, es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.
  • No las envie por correo electrónico ni la mencione en una conversación.
  • No mantenga una contraseña indefinidamente, se recomienda cambiarla en forma periódica.
  • Cuanto menos tipos de caracteres haya en la contraseña, más larga deberá ser ésta.
Conclusión.
Después de lo mencionado podrán darse cuenta que la existencia de contraseñas débiles puede derivar en un riesgo muy importante para la seguridad de nuestro sistema informático y que su seguridad esta dada en gran parte por la fortaleza de nuestras contraseñas.

Una parte fundamental de nuestro trabajo depende de la implementación de buenas contraseñas, es decir, de su complejidad. A su vez, esta implementación depende de la educación que cada usuario recibe, de las Políticas de Seguridad aplicadas y de auditorias permanentes; por ello es muy importante contar con una política de contraseñas que, de forma sencilla y comprensible, nos brinde los lineamientos necesarios para cubrir el punto en cuestión.
[2]

[1] HHS
[2] Segu-info

versión PDF

jam

Ver más

viernes, 27 de abril de 2007

TRUECRYPT

No tengo excusa. Para ser sincero, no encuentro ninguna razón (más allá de la pura y dura pereza) que justifique que TrueCrypt, posiblemente la mejor herramienta de cifrado disponible en la actualidad, no contase aún con un espacio propio en Kriptópolis.

Es cierto; en varios artículos y debates hemos arañado levemente su superficie, pero se echaba en falta una especie de tutorial de TrueCrypt para novatos, de esos que tanto nos gustan por aquí.


La buena noticia es que hoy, por fin, TrueCrypt ha llegado a Kriptópolis. Y lo hace con todos los honores: sección propia, foro específico y primera entrega de un tutorial sobre TrueCrypt para Windows...


Sin duda aún es poco para los más impacientes (y para los usuarios habituales del programa), pero lo más costoso ha sido arrancar. A partir de este momento (y siempre que la respuesta sea estimulante) procederemos a exprimir a TrueCrypt todo su jugo, que como muchos bien sabéis es abundante y sabroso.


Fuente:
http://www.kriptopolis.org

Ver más

domingo, 22 de abril de 2007

EL GOBIERNO PIDE A EMPRESAS MEJORAS EN LA SEGURIDAD DE REDES
Reclamo de la ONTI

El único CERT, un equipo de profesionales informáticos que supervisa la red todos los días del año, funciona en el ámbito del Poder Ejecutivo Nacional

El director de la Oficina Nacional de Tecnología de la Infomación (ONTI), Carlos Achiary, instó al sector privado a preparar equipos de profesionales que trabajen en el control de las redes privadas para prevenir y evitar ataques y delitos informáticos.

“Les pido al sector privado que organice sus propios CERTs, ya que el único que funciona hoy está en la ONTI y además de trabajar sobre las redes del sector público lo está haciendo sobre las redes privadas”, apuntó Achiary, en la inauguración de International Internet Techonologies, organizado por la Cámara Argentina de Bases de Datos (Cabase).

Los CERTs (Computer Emergency Response Team) son equipos de profesionales que supervisan la red y advierten cuando detectan la sospecha de un ataque informático y reciben las denuncias de los usuarios, las 24 horas los 365 días del año.

El único CERT que funciona hoy en la Argentina está integrado por cinco personas que trabajan en la ONTI y, en su tarea, han advertido en más de una oportunidad al sector privado de posibles ataques.

Uno del los sectores más críticos es el bancario, que en al menos dos oportunidades recibió el aviso del CERT de la ONTI, de que sus bases de datos estaban siendo víctimas de robo de identidad de sus clientes.

“Este grupo trabaja todo el día, es gente altamente capacitada que además está dispuesta a asesorar al sector privado para que puedan tener sus propios CERTs”, agregó Achiary en diálogo con la agencia Télam.

Señaló que “hay cada vez más ataques, pero este crecimiento es inevitable porque al crecer internet, también crecen los que prefieren usar la red con malos fines”.

Ver más

jueves, 19 de abril de 2007

LINUXMIL 1.0 SOFTWARE LIBRE PARA EL EJERCITO

En un interesante reportaje a la revista argentina USERS Linux, realizado por Franco Rivero al director del proyeco LinuxMil, Miguel Angel Blanco, se revelan los detalles de esta versión del sistema operativo GNU/Linux destinado a las fuerzas armadas.

¿Qué trae LinuxMil? Entre otras cosas: "una gama de soluciones que van del simple empleo de oficina hasta desarrollos sumamente complejos y específicos estrechamente vinculados con la seguridad, confidencialidad, integridad, confiabilidad, disponibilidad; siempre buscando un máximo aprovechamiento de los medios con mínimo consumo de recursos."

Para Miguel: "La guerra de la información plantea nuevos paradigmas, el teatro de operaciones cibernético nos impone el manejo de nuevas armas para proteger y conquistar la información, conducir operaciones sin ser interceptado, transmitir sin ser detectado, navegar sin ser monitoreado, y sobre todo tener la libertad de acción, que sólo se consigue cuando se tiene pleno control del Sistema Operativo sobre el cual se despliega la estrategia, sin puertas traseras que repitan la historia de Troya y el caballo.

Linuxmil en consecuencia, y en esta etapa de su desarrollo es:

  • Un proyecto que impulsa el desarrollo de un Sistema Operativo propio que garantice: Seguridad, Independencia Tecnológica, e interoperabilidad en la Conducción.
  • Es un proyecto de integración social y desarrollo de tecnología de empleo dual (civil-militar).
  • Es una compilación de aplicaciones que permite el manejo de información (ofimática) legal ,segura y económica.
  • Investigación de tecnología y su relación de impacto en la incorporación en el ámbito militar para futuros desarrollos específicos.

En fin, se trata del primer sistema operativo realizado exclusivamente para las fuerzas armadas en Latinoamérica. Seas o no perteneciente al ejército, te puede venir bien si tu interés está centrado en la seguridad informática.

Más información: http://www.linuxmil.com.ar

Fuente: http://www.rompecadenas.com.ar

Ver más

CUIDADO AL USAR LIVE MESSENGER
Si hay algo que realmente me molesta, son los virus para Live Messenger. Ultimamente, chateando con algunos clientes y amigos, me han comenzado a mandar mensajes en portugués (a través de Live Messenger) saludándome e invitándome a descargar sus fotografías. Por supuesto, que no lo hice y les recomiendo estar pendiente de mensajes así. A mí me llego uno en portugués y si a ustedes les llegase, también se extrañarían, pero si les llega en español ¿qué van a hacer?

Les recomiendo algunas cosas.

  • Nunca descargar archivos que te manden por Messenger de personas desconocidas o que sientas que tu amigo no te está hablando a ti (es decir, que lo hackearon).
  • Tener activado algún antivirus que revise los archivos descargados.
  • Preguntar antes a tu amigo, ¿me quieres enviar algo? o preguntarle algo que ustedes sepan
  • Por supuesto, no hay que estar siempre temiendo de que te puedan hackear, pero debes estar en alerta permanente.

Sobre todo, lo importante es revisar los archivos para ver si están infectados, y no aceptar archivos de extensión *.exe.

PD: Estas vulnerabilidades de Messenger son corregidas cuando se ponen nuevas versiones de Messenger para descarga, pero acuerdate, que siempre se podrán encontrar nuevas fallas de seguridad.

Ver más

EL RETORNO DEL RINBOT
Se ha detectado una nueva versión del gusano Rinbot que hace unas semanas saltó a la palestra por infectar redes de la CNN aprovechando una vulnerabilidad del antivirus de Symantec. En esta nueva versión, además de las acciones habituales, el gusano aprovecha la vulnerabilidad RPC/DNS de Windows (aún no parcheada) con el objeto de propagarse y ejecutar código para convertir la máquina infectada en un zombie y formar así una botnet o red de máquinas dispuestas para ser controladas remotamente y lanzar ataques coordinados.

Hasta que se publique el correspondiente parche de Microsoft (si no se salen del ciclo habitual puede que se incluya en el boletín del 8 de Mayo) se recomienda deshabilitar la capacidad de control remoto sobre RPC de los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000, e incluso el 445 si no es necesario (ese puerto es el que se usa para el protocolo SMB que posibilita la compartición de recursos en redes Windows)

Fuente: SANS

Ver más

PRIMERA CRUZADA ANTI-FRAUDE DE SEGU-INFO

El Licenciado Cristian Borghello, a través de su web www.segu-info.com.ar, comanzará a difundir desde el 1 de mayo una serie de consejos, exactamente 17, bajo el nombre "naranja #" cuyo principal objetivo es el de educar al usuario para , como lo dice Cristian, "evitar caer en las trampas de personas sin escrúpulos."

"El objetivo de la misma es educar al usuario en el buen uso y buenas costumbres en Internet, para que su paso por ella esté libre de tropiezos."

Para todos aquellos que estamos de este lado de la vereda y luchamos, en mayor o menor medida, contra todos y cada uno de los males informáticos que vivimos cotidianamente, y teniendo en cuenta esta nueva propuesta, quiero hacerme eco de la misma y colaborar desde mi humilde posición con este pequeño aporte, el de difundir una causa tan saludable como ésta.

En la página principal de la cruzada podrán encontrar más información.

jam

Mas Información: http://www.segu-info.com.ar/cruzada/
Fuente: http://www.segu-info.com.ar/blogger

Ver más

LA PORNOGRAFIA INFANTIL ES CADA VEZ MAS CRUDA
Según la organización Internet Watch Foundation, dedicada a la monitorización de pornografía infantil en línea, esta forma de delito es cada vez más seria, tanto en términos de crudeza como volumen de material disponible.

The Internet Watch Foundation (IWF) ha publicado el informe anual de su trabajo de monitorización de pornografía con menores de edad en Internet. La lectura es sombría y abrumadora.

El informe concluye que la cantidad de sitios que ofrecen comercialmente material audiovisual aumenta constantemente, a la vez que las imágenes en sí son cada vez más crudas e inconcebibles.

Así, IWF constata que la cantidad de URL que apuntan hacia contenidos de pornografía infantil ha aumentado en 74% en el período de solo un año.

El informe indica además que Estados Unidos y Rusia, en conjunto, albergan el mayor número de sitios web pornográficos del mundo. En efecto, el 62% de los dominios donde IWF encontró material pornográfico infantil disponible comercialmente, está registrado en Estados Unidos. Para el caso de Rusia, en tanto, el porcentaje asciende al 28%.

El informe señala además que alrededor del 10% de las fotografías de atrocidades contra menores están disponibles desde servicios de álbumes fotográficos.

En el marco de la presentación del informe, IWF recuerda que desde su sitio es posible denunciar a los depravados distribuidores o usuarios de pornografía infantil.

Fuentes:
CNet, The Register, Techweb, eWeek.
http://www.diarioti.com/gate/n.php?id=13909

Ver más

REGISTROS DE DOMINIOS RELACIONADOS CON LA MASACRE DE VIRGINIA
La gente de Sans advierte de la sospechosa oleada de registros de dominios relacionados con la reciente matanza en la Universidad de Virginia. Aunque muchos de estos dominios, según dicen, pueden pertenecer a entidades honestas así como a organizaciones que van a brindar su apoyo a las familias de las víctimas, hay otros que parecen haber sido creados por gente sin escrúpulos que, como en otras ocasiones, pretenden sacar tajada del sufrimiento de los demás.

Los editores de Wired ya han detectado subastas en eBay de un grupo de estos dominios (alguna puja pide $500.000 de salida), pero, como advierte Sans, el mayor peligro puede venir por las oleadas de spam y phishing que, con la excusa de ayudar a las víctimas, soliciten datos bancarios al usuario utilizando estos dominios como señuelo.

Así que cuidado con estos desalmados.

Fuente: http://www.blogantivirus.com/

Ver más

FILIPINAS INVITA A HACKEAR SU SISTEMA DE VOTO ELECTRONICO
El sistema se pone en marcha el próximo 10 de Julio y ha sido desarrollado por Scytl, una empresa española.

La provocación está servida:

"Cuando Scytl presentó este sistema, todo el mundo quedó impresionado por sus medidas de seguridad. Está cubierto por una patente internacional y ha sido declarado seguro nada menos que por Suiza y todo el mundo debería respetar esa decisión".

Son palabras de Florentino Tuason Jr. (responsable de Comelec, la Comisión de Elecciones de Filipinas), que parece dispuesto a convertir a Suiza en árbitro de la seguridad mundial, no sabemos muy bien por qué...

Este tipo de convocatorias tienen un claro objetivo publicitario (al que involuntariamente estamos ahora mismo contribuyendo), que no acredita absolutamente nada en lo relativo a la seguridad. Un "hacker" digno de ese nombre, que se sintiera atraido por el reto, probablemente se guardaría muy mucho de comunicar públicamente sus hallazgos (caso de haberlos). En cambio, miles de cantamañanas estarán encantados de proporcionar al sistema el marchamo de "invencible", que es de lo que al fin y al cabo se pretende siempre con este tipo de cosas.

Y eso por no hablar del punto fundamental: el mayor peligro de este tipo de sistemas radica siempre en el "enemigo interior". Seguro que en Filipinas no falta gente dispuesta a subvertir el sistema desde dentro.

Ver más

lunes, 16 de abril de 2007

PRINCIPALES PAISES EMISORES DE SPAM

Los expertos de Sophos consideran que una de las razones que pueden explicar la posición cada vez más predominante de Estados Unidos como emisor de spam es la aparición de más de 300 variantes del gusano Stratio. Este gusano, también llamado Stration o Warezov, transforma los ordenadores en emisores de spam.

1. Estados Unidos

21,6%

2. China (y Hong Kong)

13,4%

3. Francia

6,3%

4. Corea del Sur

6,3%

5. España

5,8%

6. Polonia

4,8%

7. Brasil

4,7%

8. Italia

4,3%

9. Alemania

3,0%

10. Taiwan

2,0%

11. Israel

1,8%

12. Japón

1,7%

La justicia siguió su curso contra creadores de spam durante el tercer trimestre del año: En septiembre, la Autoridad de Comunicaciones Australiana (ACMA) comenzó una investigación acerca de las actividades de un hombre sospechoso de haber difundido más de dos mil millones de `spam Viagra'. En los Estados Unidos, se emprendió una acción contra dos empresas acusadas de haber enviado mensajes de apuestas y bebidas alcohólicas a menores. También en EE.UU., William Bailey Junior, de Carolina del Norte, corre el riesgo de una pena máxima de 55 años de prisión y 2.750.000 de dólares de multa si se le encuentra culpable de obtener de manera ilegal información sobre 80.000 miembros del Colegio de Medicina de América.

Para tener en cuenta:

El primer y segundo puesto de emisores de spam pertenece a países con una gran cantidad de habitantes pero si realizamos un coeficiente de spamers por cantidad de habitantes observaremos cómo Francia, España, Italia e Israel van a subir posiciones en este ranking.


Fuente: http://www.infosecurityonline.org

Ver más

BOTNETS, EL NEGOCIO SUCIO DEL MOMENTO

Durante el mes de febrero se realizó en Estados Unidos uno de los más importantes operativos en lo que a crímenes electrónicos se refiere, que según los fiscales de ese país es el primero en su tipo, ya que se trata de un hacker a sueldo: Jeanson James Ancheta.


Ancheta fue detenido en Los Ángeles tras ser engañado por oficiales del FBI especializados en ataques cibernéticos. Estaba acusado de atacar a la División de Armamento del Centro Naval Aéreo de Guerra. Luego de ser arrestado confesó haber cometido los crímenes y no sólo eso, sino que aseguró hacerlo por dinero y no por burlar las reglas, razón por la cual los fiscales lo nombran el
primer crimen de este tipo en la historia.


Admitió haber causado daños en ordenadores de la defensa estadounidense y otras computadoras, violando así la Ley de Fraude Informático y una ley anti-spam. La acusación más grave contra Ancheta es la de haber infectado PCs del Ejército norteamericano, que convirtió en lanzadores de los ataques masivos a otros servidores que resultaron inundados de mensajes basura o correo no deseado.


Acusado de conspiración, intento de transmisión de código a un ordenador protegido, transmisión de código a un computador gubernamental, acceso a un ordenador protegido para cometer fraude y blanqueo de dinero, se enfrenta a un máximo de 50 años en prisión si es hallado culpable de los 17 cargos, aunque habitualmente las multas son menores. Los fiscales no dieron los nombres de las compañías que pagaron a Ancheta y manifestaron que las firmas no sabían que se estaban quebrantando las leyes.


¿Cómo es la cadena delictiva?

Ancheta, a través del troyano “rxbot", comprometió miles de host para crear una botnet utilizando el ancho de banda de Internet y todas conectadas a un canal IRC (Internet Relay Chat) que el acusado controlaba. En otro IRC Archeta vendía los host comprometidos para quienes estuvieran interesados en lanzar ataques de DOS (denegaciones de servicio) o spam para que fueran de forma distribuida y sin ser detectados. Cuando lograba realizar la venta y recibía el pago entregaba temporalmente las computadoras comprometidas, incluyendo además un manual con instrucciones de uso y herramientas para generar código malicioso para diseminar y propagar botnets, herramientas de testeo de los ataques.


Fuente: http://www.infosecurityonline.org

Ver más

DATO INTERESANTE. EL ARBOL GENEALOGICO DE LINUX

Si tenéis curiosidad por comprobar cuáles son las principales distribuciones de Linux, cuáles fueron sus antecesoras y cuándo iniciaron sus caminos, no os perdáis esta 'línea de tiempo' de Linux. Y para acompañar, la de los sistemas Unix.

Muchos conocerán los orígenes de Linux, y probablemente unos cuantos menos sepan cómo se originaron los sistemas Unix, pero lo que es probable que no sepáis al dedillo es el origen de cada una de las vertientes que estos sistemas operativos tomaron.

Y estos dos gráficos con las "líneas de tiempo" de Linux y de Unix muestran la evolución de estas soluciones y cómo de ellas se fueron desgajando poco a poco distintas distribuciones y otros sistemas operativos Unix comerciales.

linuxdistrotimeline.png

La de Linux, aquí, y la de Unix, aquí.

Fuente http://es.theinquirer.net

Ver más

VULNERABILIDAD CRITICA EN ClamAV
Los desarrolladores del AntiVirus ClamAV, gratuito y de UNIX, han liberado la versión 0.90.2.

La actualización solventa algunos errores menores, pero también dos vulnerabilidades de seguridad que podrían permitir el acceso de un tercero al sistema.

Uno de los bugs permitiría colgar el programa, al ingresar un archivo malformado en formato CHM (archivos de ayuda), ya que dicho módulo no contemplaba dicho error.

La segunda vulnerabilidad apunta a los archivos CAB, lo que permitiría causar un cuelgue de la aplicación como resultado de una sobrecarga de buffer.

No se han dado mayores detalles, pero todo aquel usuario que haga uso de ClamAV, se le recomienda actualizar a la nueva versión.

Fuente Heise

Actualización Descargar

Ver más

LOS 7 MEJORES HACKERS DE TODOS LOS TIEMPOS

Bordeando la fina línea entre hacker y cracker, una lista de los mejores siete hackers de todos los tiempos, traducida con más detalle en El Concepto es el Concepto como Top 7 Hackers, procedente del original Top 7 Hackers Ever donde hay amplísima información:

Kimble – Condenado a dos años por colarse en servidores de empresas y redes telefónicas.


John Draper
a.k.a. Captain Crunch, el phreaker mas famosos de todos los tiempos, inventor de las blue boxes para llamar gratis (también encarcelado).

Eric Gordon Corley – a.k.a. Emmanuel Goldstein, activista, divulgador y editor de 2600.

DVD Jon Jon Lech Johansen, llevó a cabo la ingeniería inversa de la protección de los DVDs, entre otros sistemas.

Adrian Lamo – Famoso por entrar en AOL, Yahoo, Microsoft y el The New York Times pero avisando de los fallos de seguridad a sus responsables.

Solo Gary McKinnon, se supone que se metía en los ordenadores del ejército, pidieron su extradición desde Reino Unido a EE.UU. pero todavía no se sabe bien qué será de él.

Kevin Mitnick – El hacker mas famoso de todos los tiempos, también pasó un buen tiempo en la sombra.

Para mi gusto hubiera intercambiando algunos de estos nombres por los de otros héroes hackers tipo Wozniak, digamos más del lado «positivo» que del lado de «¡Ops! tomé algunas elecciones equivocadas y pasé una temporada a la sombra», pero en cualquier caso todas sus historias tienen su encanto.

Fuente
: http://www.microsiervos.com

Ver más

ESTADISTICAS DE TIPOLOGIA Y VOLUMEN DE SPAM 2000-2007
En éste cuadro sinóptico es posible ver, en función de las muestras capturadas desde el año 2000 publicadas por William Stearns en su blog , la clasificación del spam recibido según categorías y cantidades, lo que nos ofrece un valioso punto de vista a la hora de analizar la evolución del spam.


En el cuadro es posible ver datos muy curiosos:

  1. En 2001 William sólo registró un correo de casinos online, mientras que en 2006, atrapó un total de 6288.
  2. En la categoría de phishing, se totalizó un único mensaje en 2003, siendo el total en 2006 de 6497.
  3. De una sola carta nigeriana en 2003, se pasó a capturar un total de 8439 muestras en 2006, una cifra muy cercana a los 8476 del año 2005.
  4. El spam más temprano capturado se remonta a 2000, correspondiendo a dos muestras de spam de mercado de valores. Este tipo de spam es también el más diversificado.
  5. El spam más abundante en 2006 es el relacionado con farmacia ilegal, con 148018 muestras.
  6. Muy pocas categorías experimentan retroceso entre el 2005 y el 2006. Las ventas de tóner y tabaco son dos ejemplos.
  7. De un total de 2330 mensajes en todas las categorías, se ha pasado a 506820 mensajes en 2006.

Y como una imagen vale más que mil palabras, aquí hay una comparativa entre phishing, cartas nigerianas y farmacia online:

grafica spam

Fuente http://www.sahw.com/wp/

Ver más

EL 87,5% DEL CORREO ANALIZADO EN MARZO ERA SPAM
Este dato ha sido recogido de las redes de los clientes que tienen contratado TrustLayer Mail, el servicio de seguridad gestionada de Panda Software. “El spam es una de las principales causas de pérdida de productividad en las empresas. Los trabajadores se ven obligados a leer y borrar un gran número de mensajes inútiles. Además, la empresa gasta muchos recursos en almacenar mails que no tienen utilidad alguna y que ralentizan su sistema. Por ello, conviene contar con una herramienta que frene ese spam antes de que llegue a los ordenadores", explica Jesús Fernández, director de la Unidad de Negocio de Servicios Gestionados de Panda.

El correo, además de publicidad o información no solicitada, puede contener alguna amenaza a la seguridad. A este respecto, la mayoría de las amenazas de correo detectadas por TrustLayer Mail eran principalmente gusanos.

El código malicioso que estaba presente en un mayor número de correos era el gusano Mydoom.M. Este malware, que tiene funcionalidades backdoor, instala una librería de enlace dinámico o DLL que abre una puerta trasera en el ordenador infectado. De esta manera, permite el control remoto de la máquina. Mydoom.M, además, impide el correcto funcionamiento de varias soluciones de seguridad, lo que deja el ordenador vulnerable frente a futuros ataques.

“Una de las ventajas de TrustLayer Mail es que detiene el malware que llega por correo electrónico antes de que infecte el ordenador. De esta manera, se evita la posibilidad de que los códigos maliciosos causen daños y los trabajadores no pierden el tiempo eliminando ese malware o reparando sus efectos. Todo ello contribuye a aumentar la productividad y el buen funcionamiento de la empresa", comenta Jesús Fernández.

Ver más

domingo, 15 de abril de 2007

HERRAMIENTAS: COMANDO TASKLIST
Como lo había prometido en el post "Herramientas de Windows XP" les iré mostrando algunas herramientas que nos ayudarán a solucionar algunos problemas, ya sean relacionados a malware, a networking o a otros inconvenientes de seguridad.

En esta oportunidad se trata del comando TaskList. Esta herramienta, que trabaja bajo línea de comados, nos permite ver una lista completa y ordenada alfabetivamente de todas las tareas y procesos que estan activos en nuestro sistema o en un sistema remoto. Por lo tanto nos nos será de mucha utilidad a la hora de verificar la existencia de codigos maliciosos en nuestro equipo.
Para cada proceso, TaskList nos muestra el nombre del proceso y el PID.

Imagen 1: salida del comando tasklist

Es el equivalente al Administrador de tareas (taskmgr) que obtenemos al pulsar las teclas CTRL+ALT+SUPR. Por qué usamos el comando tasklist y no el taskmgr, simplemente porque algunos programas maliciosos (malware) despliegan como mecanismo de defensa intentar bloquear el Administrador de tareas e impedirnos el acceso al mismo.

Podremos utilizar este comando bajo Windows XP y Windows Server 2003, no existe en Windows Home. Para Windows 2000 podemos usar su equivalente , el comando TList.

La sintaxis de esta herramienta es la siguiente:

tasklist [/s equipo [/u dominio\usuario [/p contraseña]]] [{/m módulo /svc /v}] [/fo {TABLE LIST CSV}] [/nh] [/fi filtro [/fi filtro [ ... ]]]
Como parámetro le podemos pasar la siguiente información:

/s equipo: Especifica el nombre o la dirección IP de un equipo remoto (no utilice barras diagonales inversas). El valor predeterminado es el equipo local.

/u dominio\usuario: Ejecuta el comando con los permisos de cuenta del usuario especificado por usuario o dominio\usuario. El valor predeterminado son los permisos del usuario que inició la sesión actual en el equipo que emite el comando.


/p contraseña: Especifica la contraseña de la cuenta de usuario especificada en el parámetro /u.

/m módulo:
Enumera todas las tareas en las que se han cargado módulos DLL que concuerdan con el nombre de patrón especificado. Si no se especifica el nombre de módulo, esta opción muestra todos los módulos cargados por cada tarea.

/SVC: Muestra los servicios en cada proceso.

/V: Especifica que la información sea mostrada.

/?:
Muestra Ayuda en el símbolo del sistema.


La informacion que obtenemos mediante este comando nos servirá luego para poder "matar" los procesos que no nos interese (o que sean objeto de nuestro interés) mediante su "process identification" (PID).

También es muy útil para ser aplicado al analisis forense, por ejemplo, podemos enviar toda la informacion de los procesos a un archivo .txt con el siguiente comando:

tasklist >Procesos.txt &date /t >>Procesos.txt &time /t >>Procesos.txt
o si queremos informacion sobre los servicios que dependen de los procesos podemos usar:

tasklist /SVC >ProcesosYServicios.txt &date /t >>ProcesosYServicios.txt &time /t >>ProcesosYServicios.txt
en este caso, además de generar un archivo con extensión .txt con los procesos activos en el sistema, también obtendremos información sobre los servicios asociados a los procesos.

Otra opción seria ver los servicios asociados sólo a un proceso en particular, para este caso escribiremos lo siguiente:

tasklist /svc /fi "imagename eq svchost.exe"
Imagen 2: servicios asociados al proceso svchost.exe

Ahora, si son un poco paranoicos como yo, podrían chequear la información obtenida con otra herramienta, pslist de Sysinternals, una utilidad similar al tasklist que básicamente hace lo mismo, listar los procesos y tareas en ejecución, y también nos permite obtener información en forma remota.

Imagen 3: salida del comando pslist

Y para los que no son amantes de la línea de comandos, pueden utilizar una muy buena herramienta gráfica, también de sysinternals, llamada Process Explorer. Esta herramienta posee una amplia gama de opciones para obtener información detallada de cada uno de los procesos. En otro post veremos esta utilidad en detalle.

Espero que esta primera entrega sea de vuestra utilidad.
Process Explorer 10.21
http://download.sysinternals.com/Files/ProcessExplorer.zip

PsList 1.28
http://download.sysinternals.com/Files/PsTools.zip


jam

Ver más

NETSKY.BLA BLA BLA BLA

Como vemos en la captura sobre la estadística tomada por el Centro de Alerta Temprana sobre virus y seguridad informática (CAT) de www.alerta-antivirus.es, el Netsky sigue siendo, hace mucho tiempo, el gusano favorito manteniéndose primero en el top ten con casi el 73% de los votos, seguido inescrupulosamente por sus variantes.

El Netsky se propaga a través del envio masivo de email a todas las direcciones que existen en la máquina infectada.

La mayoría de sus varientes explotan una vulnerabilidad bastante antígua del navegador IE de Microsoft en su versión 6 y anteriores llamada MIME header vulnerability que permite la ejecución del código malicioso con sólo visualizar el mensaje con la vista previa o al abrirlo, en tanto otras variantes, buscan eliminar a la competencia, es decir, borran entradas en el registro correspondiente a otros gusanos, en concreto Mydoom, Mimail.T y varias variantes del Beagle.

Quizás, la característica de infectar las máquinas con sólo visualizar el mensaje, sea la responsable de que este gusano siga manteniendo su racha de "number one" en las estadísticas de infecciones; además, obviamente, de la falta de educación que tienen los usuarios con relación a las medidas preventivas referidas al buen uso del correo electrónico.

Según el portal español www.consumer.es, el Netsky.D ya ha infectado a unos 3.828.596 de emails, también advierten que el Netsky.P y el Netsky.B son los responsables de más del 70% de todas las infecciones de la última semana.

El Netsky.B apareció el 18 de febrero y, desde entonces, ha infectado 2.453.955 emails, de ellos 695.161 en la última semana, y 80.534 en las últimas 24 horas.

El Netsky.P, por su parte, comenzó a propagarse el 22 de marzo, y en sólo seis días ya ha contagiado 710.146 correos electrónicos, 53.331 en las últimas 24 horas.

jam

Ver más

viernes, 13 de abril de 2007

FRAMEWORKS PARA PENETRATION TEST
Hace un tiempo la gente de vulnerabilityassessment nos entregaba un mapa de los pasos a seguir y las herramientas a utilizar en un Penetration Test.

Ahora la gente de wirelessdefence hace lo propio con su Penetration Testing Framework para Wireless

cfb

Fuente: www.segu-info.com.ar

Ver más

TROJANO PHISHERO

Comienza a ser una estrategia bastante común. El atacante lanza un troyano que haga capturas genéricas o concretas de entidades bancarias. En los equipos que logra infectar, el troyano va enviando al servidor las URLs y datos de los formularios seguros por los que navega el usuario.

El atacante va examinando los datos que le van llegando al servidor, buscando entre las URLs capturadas webs de banca electrónica, y prepara páginas de phishing específicas en base a las entidades que más se repiten entre los usuarios infectados.


Desde el servidor indica a los troyanos que cuando el usuario navegue por ciertas páginas de banca los rediriga a los contenidos de los phishings que ha preparado. A partir de entonces, cuando los usuarios infectados visitan la página de su banco, el troyano los redirige a la falsa.


Si un banco detecta la página fraudulenta y la consigue desactivar, el atacante sólo tiene que hospedar la página de phishing en otro servidor y actualizar los datos. Dado que utiliza servidores diferentes para comunicarse con el troyano y hospedar las páginas de phishing, hasta que el banco no cierre el servidor que controla a los troyanos los usuarios infectados seguirán en peligro.

En ocasiones las entidades detectan páginas de phishing de las que no han tenido noticias por correos electrónicos, no han detectado que se haya hecho un spam solicitando a los usuarios que visiten esas páginas. ¿Algún atacante despistado? ¿Detección antes de que se lance el ataque?... ¿o es que forma parte de un ataque de phishing segmentado y/o troyano?

Ver más

miércoles, 11 de abril de 2007

PRESENTACIONES DE LAS CONFERENCIAS b:Secure EN MEXICO

Ya están disponibles las presentaciones de las conferencias de IV b:Secure Conference llevadas a cabo en México el 28 y 29 de marzo de 2007. Los temas tratados han sido:

KEYNOTES
OPERACIÓN ENCUBIERTA: MANTENER LA CALMA
¿CÓMO JUSTIFICAR EL TAMAÑO DE LA ESCOLTA?
911 RESPUESTA A INCIDENTESLA
MÚLTIPLE IDENTIDAD DEL CRIMINAL MÁS BUSCADODES
CIFRANDO LA MENTE CRIMINAL
BLINDAJE DE NACIMIENTO
ESTA INFORMACIÓN SE AUTODESTRUIRÁ EN CINCO SEGUNDOS

Las presentaciones pueden ser descargadas desde:

Ver más

EL PHARMING Y LA MANIPULACION DEL TRAFICO EN INTERNET
Uno de los delitos informáticos relacionados con el desvío del tráfico de Internet hacia páginas falsas pero diseñadas en forma similar a la original, es el pharming.

En cierto aspecto, suele tener alguna similitud con el phishing, pero éste último tiene que ver con un link falso al que el usuario ingresa a través de un correo electrónico, mientras que en el pharming no hay ningún mail ni participación directa del usuario.

Pero veamos bien qué es el pharming y cómo actúa. Se denomina pharming a la modalidad mediante la cual el delincuente logra controlar un servidor DNS (Sistema de Nombre de Dominio) o un equipo particular. De esta manera, cuando el usuario ingresa al nombre de un dominio, se redirecciona automáticamente hacia una página falsa, y no a la original, que previamente ha sido especificada por el atacante.

En buen criollo, sería cuando queremos acceder a una Web pero como el DNS o la máquina está controlada por el delincuente, el tráfico se direcciona hacia una página falsa que él ha determinado.

La finalidad, al igual que el phisihing, es la de obtener información privada del usuario, como números de cuenta, contraseñas, etc. Por eso es que generalmente las páginas que más son falsificadas son las de bancos o entidades financieras.

Existen dos formas en que se den los ataques de pharming. Por un lado, al atacar a una máquina particular a través del ingreso de un código malicioso que controla y modifica los “hosts”, archivos que se encuentran en equipos que trabajan con Windows y otros sistemas como Unix, que contienen direcciones de Webs.

Cuando esos archivos (los hosts) son controlados, cada vez que el usuario ingrese a una dirección de las que están allí será redireccionado a una página falsa predeterminada por el delincuente. En este caso el que sufre el ataque es ese único usuario.

La otra forma, y más compleja por la cantidad de víctimas que puede tener, es cuando el que está controlado es directamente el servidor DNS, que contiene nombres de dominios y direcciones en red. El “envenenamiento de DNS”, como se conoce a este ataque, es cuando el delincuente logra apoderarse y modificar una base de datos de algún proveedor de Internet por lo que cada vez que un usuario ingresa a una página que está allí contenida, es redireccionada hacia el sitio falso prederterminado por el delincuente.

Para protegerse de esta modalidad de fraude, existe el software especializado, el que generalmente utilizan los servidores de las grandes compañías y protecciones DNS, con lo que se busca evitar justamente el “envenenamiento de DNS”.

En cuanto a las máquinas domésticas, por supuesto que lo más importante es la continua actualización de los antivirus que permitan reconocer los archivos que contienen los códigos maliciosos. Estos códigos pueden ingresar de diversas maneras (correos electrónicos, descargas online, etc.) y se van modificando continuamente. Por eso siempre hay que estar al día en cuanto a este tipo de amenazas y las actualizaciones correspondientes.

Más información:
http://www.microsoft.com/spain/athome/securi ty/privacy/pharming.mspx

Ver más