Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 30 de agosto de 2007

SERIE RETRO: LO QUE DEJO LA HISTORIA (II)
El Avispa es un virus desarrollado en Argentina que logro convertirse en epidemia al expandirse lo suficiente como para infectar las computadoras de muchísimas personas de dicho país.

Avispa es un virus que posee capacidades polimórficas, residente en memoria y funciona solamente en máquinas con microprocesador 386 y superiores, chequeando e infectando todos los programas que empiezan con los bytes MZ (identificador de los archivos ejecutables con extensión .exe) aumentando el tamaño de los mismos a 2048 bytes.

Para extender sus posibilidades de infección y reproducción, despliega una rutina que verifica si los archivos que debe infectar dentro del autoexec.bat (xcopy.exe, mem.exe, setver.exe y emm386.exe) ya están infectados. El texto de estos archivos se encuentra cifrado en el código de la variante Avispa.2048.b.

Si bien para cada ejecución usa el mismo algoritmo, cada vez que encripta su código siempre lo hace con una clave diferente, para ello genera una contraseña al azar a partir del reloj de la máquina (técnica de polimorfismo). Esto es para evitar ser detectado con herramientas que implementan características de heurística.

Un punto a destacar con respecto a este virus es que no es una variante de otro, es decir, su código fue escrito completamente desde cero y no se tomó otro virus como modelo para su desarrollo.

Durante su proceso de infección despliega cadenas de texto con el siguiente mensaje:

$$ Virus AVISPA $$ Republica Argentina$$ Elijah Baley $$ Noviembre 10 de 1993 $$ This program is not an old virus variant, and it was written in Argentina by Elijah Baley. It uses polymorphic technics to avoid conventional scanning. $$=64446$$


Al final de los archivos ejecutables que infecta (.exe) escribe el siguiente código:


__ Virus Avispa - Buenos Aires - Noviembre 1993 __

En otras versiones (Avispa.2048.c), cambia el mensaje por el siguiente:

Escrito por Elijah Baley
V1.0 Noviembre 10 1993
V1.2 Enero 4 1994
Buenos Aires - Republica Argentina
Peace will only come finding the peace within.
QUE NOS DEPARA EL 94... QUIEN SABE!!

El 2048 mencionado en el nombre, hace referencia a la cantidad de bytes que el virus aumenta a cada ejecutable infectado.

En el mensaje se puede observar claramente que el virus fue creado durante el mes de noviembre del año 1993 por Elijah Baley en la República Argentina. En realidad, Elijah Baley es un personaje de la novela de ciencia ficción “La Bóveda de acero” de Isaac Asimov, lo cual demostraría que el autor de este ejemplar podía ser seguidor de la saga de este escritor.

Otra particularidad del Avispa es que evita infectar aquellos programas que en la formación de su nombre terminaran con OT, ot, LD, ld, AN o an, haciendo referencia a los ejecutables Scan.exe, F-Prot.exe y Vshield.exe de empresas antivirus de aquel momento. En la siguiente captura se puede apreciar la parte del código en donde se encarga de esta operación:





Evidentemente este virus tuvo una connotación especial, no sólo debido a su “novedosa” técnica de infección mediante la cual lograba evadir las herramientas antivirus de la época sino que también por tratarse de uno de los primeros ejemplares desarrollado en Argentina.

Polimorfismo: capacidad que poseen algunos malware de modificar su código cada vez que es ejecutado para intentar no ser detectado por los software antivirus.

Más información.
Fuente: http://www.psicofxp.com

Ver más

Troyanos "simples": "Keep it simple, stupid!"

Llevamos meses y meses hablando de lo sofisticado de las técnicas de
los nuevos troyanos, de lo sutil y avanzado de sus métodos, siempre
enfocados a pasar desapercibidos, engañar a usuarios cada vez más
concienciados y entorpecer su propio análisis. ¿Evita eso que exista
una corriente de "involución" en el mundo de los troyanos? Ni mucho
menos. Técnicas simples (incluso chapuceras) siguen obversándose y no
por ello con un menor "éxito" para el atacante. "¡Hazlo simple,
idiota!" (conocida técnica KISS).

Ya se habló en el blog de Hispasec
(http://blog.hispasec.com/laboratorio/) de troyanos sencillos que
pasaban desapercibidos para (en aquel momento) la totalidad de los
motores antivirus con los que trabaja VirusTotal.com (Cuando 30
antivirus no son suficientes se llamó la entrada). Hoy vemos como
esta técnica sigue teniendo éxito con numerosas campañas.

La última de las campañas lanzadas corresponde a un supuesto correo
proveniente de la rimbombante "Dirección General de Servicios de
Cómputo Académico de la Universidad Nacional Autónoma de México a
través del Departamento de Seguridad en Cómputo y UNAM-CERT". En un
correo donde precisamente (y con fina ironía) se dan consejos útiles
y reales para prevenir el phishing. El el mensaje se pide la descarga
de un manual.exe que supuestamente contiene más información para
prevenir este tipo de estafas.

Manual.exe está alojado en un servidor legítimo comprometido,
perteneciente a una organización sin ánimo de lucro con dominio .au
(Australia) y resulta ser de lo más chapucero. Sin ningún tipo de
ocultación ni ofuscación de código (de hecho, si se usan técnicas
habituales de ofuscación comienza a ser detectado por los motores
gracias a una herústica paranoide), modifica el archivo "hosts" del
sistema (pharming local) redirigiendo al usuario que pretenda
conectarse a un importante banco mexicano hacia una web fraudulenta
que simula ser la banca online de la entidad.

Un simple vistazo al código desnudo del archivo (abriéndolo con
cualquier editor de texto) permite conocer qué y cómo modifica el
sistema. Es tan "simple" que ni siquiera utiliza la variable de
entorno %systemroot% para encontrar el archivo de "hosts" (usa
c:\windows, afectando sólo a las instalaciones por defecto de XP y
2003). Está escrito en VisualBasic y su vida útil es muy corta. De
hecho, a las pocas horas de analizarlo, la web fraudulenta a la que
redirigía al usuario era desactivada, con lo que el troyano queda ya
inutilizado (esa dirección se encontraba incrustada en su código).

Sin embargo este malware pasaba desapercibido para la totalidad de los
motores en VirusTotal.com. 24 horas después de nuestro estudio ya lo
detectan 3 motores, pero en el momento de ser lanzada la "campaña",
pasaba inmaculado cualquier análisis. Precisamente comienzan a
detectarlo cuando ya no sirve para nada, pero eso es otro problema.
En cualquier caso, no todo es simple en este tipo de ejemplares: este
tipo de troyano en concreto ofrece ciertas ventajas que permiten
�saltarse� el sistema de OTP (one time password) específico de la
entidad a la que ataca.

En estos días, esta simpleza de código, esta "cuasi-chapuza" con
inminente fecha de caducidad resulta todavía efectiva. Una especie de
involución que pilla desprevenidas a las tecnologías antivirus. En
este caso, lo único sofisticado es la ingeniería social usada para
intentar que el troyano sea ejecutado. El resto, un cambio en el
sistema que no muchos notarán pues serán redirigidos de forma casi
transparente (el certificado SSL no será válido, pero no es algo a lo
que muchos usuarios presten atención, se fijan más en una URL
correcta) a una web con idéntico aspecto que la original.

Si siempre hemos hablado de que los atacantes utilizan todas las
técnicas en su mano para inundar los buzones y buscar la máxima
infección, los métodos simples también tienen su espacio, por qué no.
Quizás no consigan un número de infecciones espectacular, pero son sin
duda un añadido más en una carrera de fondo contra las técnicas que
pretenden solucionarlos. Como las modas, lo "retro", lo "minimalista"
también tiene su hueco... "keep it simple, stupid!"

Fuente: http://www.hispasec.com

Ver más

domingo, 26 de agosto de 2007

HAZ RECIBIDO UN NUEVO SPAM!!!

Muy bien sabemos que el correo electrónico es el canal preferido por los spammers (personas que se encargan de enviar correos electrónicos no deseados) para la difusión y distribución de SPAM; y, dentro de sus prácticas, una de las tareas más dinámicas que tienen estos personajes es el hecho de pensar constantemente en nuevas metodologías y estrategias para lograr que sus mensajes lleguen a nuestra bandeja de entrada y así captar la atención del usuario.

Evidentemente esta problemática tiene que ver también con una cuestión de oferta y demanda, es decir, alguien lo vende porque alguien lo compra y se utiliza este canal (e-mail) porque la relación costo/tiempo es mínima.

En la búsqueda de estas nuevas formas, los spammers lograron encontrar algunas que escapan de lo convencional, o por lo menos a lo que estábamos acostumbrados a recibir, ahora nos encontramos con SPAM en archivos comprimidos, en archivos .PDF, en archivos .XLS (MS Excel), etc.

Es así que en los últimos días comenzamos a recibir en nuestra casilla de correo una nueva variante de SPAM conteniendo archivos con extensión .FDF (formato de datos de formulario - Form Data Format) utilizado para el manejo de formularios en Archivos .PDF.

SPAM con archivo .FDF

Ante este escenario y mediante un simple análisis comparativo entre un archivo .pdf y el .fdf, sale a la luz que el archivo con extensión .fdf es en realidad un archivo .pdf. ¿y cómo es esto? Bueno, para nada complicado.

Todos los archivos poseen un encabezado que los identifica, por ejemplo, un archivo .exe posee un encabezado llamado “MZ”; los archivos .pdf poseen un encabezado %PDF-1.5 y los archivos .fdf se identifican con %FDF-1.2.

Al ver el encabezado del archivo .fdf podemos visualizar que es %PDF-1.5 con lo cual nos indica que en realidad se trata de un archivo .pdf renombrado.

Encabezado .PDF

Algunos ejemplos más sobre esta situación podemos encontrar en “SPAM en archivos comprimidos”, “Alguem Te Mandou Um cartão Virtual”, “SPAM, ahora en los PDF” y otros tantos que podremos encontrar navegando este blog. Y, obviamente sin contar aquellos que ya son todo un clásico como los de imitaciones de rolex, casinos online y sobre todo el más representativo: la mágica pastillita del placer sexual.

Fuente: http://blogs.eset-la.com/laboratorio

Ver más

jueves, 23 de agosto de 2007

¿QUÉ ES GOOGLING HACKING?

google hack honeypot

Los buscadores son herramientas muy populares, que todos usamos y que todos necesitamos. Los motores de búsqueda son muy potentes y absorben toda la información que encuentran en su camino que no esté debidamente protegida.

Google es hoy por hoy el buscador más popular en uso, si

endo sus técnicas de recolección de datos y algoritmos de clasificación muy avanzados, lo que proporciona resultados certeros en las búsquedas a poco que sepamos operar con sus múltiples funcionalidades. Google es, con toda probabilidad, el buscador más tecnológicamente avanzado que existe.

Esto facilita que dispongamos de mucha información en la red. Pero también posibilita que podamos hallar información sensible que no ha sido pertinentemente securizada. Veamos en qué consiste esta técnica de minado de datos con fines maliciosos, con ejemplos y con algunos consejos para evitarlo.

¿Qué es el Google Hacking? Ejemplos

Muchos os preguntaréis qué es eso del Google Hacking. Es bien sencillo. Pulsad esta demostración, o si lo preferís, esta otra. ¿Queda claro?

Por si no quedase claro, el Google Hacking consiste en explotar la gran capacidad de almacenamiento de información de Google, buscando información específica que ha sido añadida a las bases de datos del buscador. Si las búsquedas las orientamos a ciertas palabras clave que nos ayuden a encontrar información sensible, puntos de entrada sensibles a posibles ataques, como por ejemplo, este o cualquier otro tipo de información que tuviera carácter de sensibilidad, estaremos ejecutando un Google hack. Resumiendo: Google Hacking es buscar en Google información sensible, generalmente, con fines maliciosos.

Mediante esta técnica, es posible encontrar información sobre (cada familia contiene un ejemplo práctico)

¿Cómo impedir ser víctimas de Google Hacks?

Existen varias alternativas. Las citamos a continuación:

  1. Aprenda cómo funciona Google. Conozca y experimente las posibilidades de la búsqueda avanzada. Entienda que las búsqued as son muy refinables y que es un motor de búsqueda muy poderoso, que no sólo está pensado para ordenar y encontrar páginas web, sino que también pueden hallarse documentos ofimáticos, informes, faxes, memorandos, notas, fotografías, teléfonos … es decir, absolutamente todo lo que sea accesible puede acabar en las bases de datos de Google.
  2. Una vez entendido el punto primero, entienda que igual que podemos usar Google para hallar documentos inocuos, podemos emplearlo para obtener documentos con datos sensibles. Grábeselo en la cabeza. Hay gente que vive de este tipo de técnicas y de la información que extrae de ellas.
  3. Si dispone de página web, asegúrese de comprender lo importante que es tener un fichero de robots.txt correctamente configurado. Tener una página web es algo más que colocar fotos y documentos en la Red para que las vean los amiguetes. Nuevamente incidimos en que todo lo que se coloca en servidores Web es susceptible de acabar siendo indexado en las bases de datos de Google. Esto es aplicable para cualquier objeto accesible desde documentos Web: cámaras web, impresoras, etc.
  4. No deje de consultar los parámetros que definen el mecanismo de posicionamiento de resultados en Google. Aplique “posicionamiento inverso” a todo aquello que quiera mantener lejos de ojos ajenos. Puestos a aparecer, mejor aparecer en el puesto doscientos que en el quinto. No está de más usar el buscador para aprender cómo funciona el Google hacking y aplicar técnicas de inversión aplicadas a su caso.
  5. Si usted tiene un buen nivel técnico y administra máquinas corporativas, quizás debería plantearse no sólo la revisión de las políticas de exclusión de robots, sino además, debería probar un honeypot especializado. Le propongo Google Hack Honeypot. Funciona muy bien y le brindará información interesante sobre Google hackers que intenten explotar en sus sitios Web este tipo de técnicas.

    Sería recomendable también que leyera documentos con ideas sobre este honeypot, en caso de que opte por emplearlo.

Ver más

ESTEGANOGRAFIA: DOBLE USO

Lo bueno de no ser un experto, ni tener que ganarse la vida con la informática, es que se puede prescindir de ella cuando a uno le da la gana. Lo malo, es que cuando en el fondo hay una afición latente, se está aburrido y sin otra cosa más importante que hacer, a uno puede girársele la olla y ponerse a investigar sobre algo, algo que no hará sino complicarle la vida y plantearse, en vista de los resultados agridulces, si no hubiera sido mejor dedicar sus esfuerzos al bricolaje...

Este artículo versará sobre esteganografía en Windows y sobre esteganálisis (o estegoanálisis, o esteganoanálisis) también en Windows, palabras todas ellas que no se encuentran introducidas en el diccionario de la Real Academia, pero que sin embargo todos conocemos. Y no se hablará sobre su uso legítimo en la protección de la información, sino sobre su mal uso y sobre cómo contrarrestarlo...

Seguir leyendo

Visto en: http://www.segu-info.com.ar

Ver más

lunes, 20 de agosto de 2007

El escarabajo de oro

La lectura de "El escarabajo de oro", relato de Edgar Allan Poe, ha
supuesto para muchos el bautismo con el criptoanálisis, descubriendo
uno de los métodos básicos para romper un mensaje cifrado y recuperar
la información original.

Edgar Allan Poe es tal vez más conocido por sus obras de misterio e
historias macabras, si bien también fue un apasionado de la
criptografía. Esa afición ha quedado reflejada para la posteridad
con mensajes ocultos en varios de sus poemas y de forma más explícita
en "El escarabajo de oro".

Esa faceta se hizo aun más patente cuando en 1839 comenzó a escribir
en la publicación Alexander's Weekly Messenger una serie de artículos
sobre criptografía, llegando a retar a sus lectores a que le enviaran
mensajes cifrados que él intentaría resolver.

Su colaboración con la publicación apenas duró 5 meses. Un año más
tarde comenzó de nuevo a escribir sobre criptografía en la publicación
Graham's Magazine, bajo el título "A Few Words on Secret Writing"
y una serie de tres artículos. En esta publicación afirmó que durante
el transcurso del anterior reto logró resolver todos los mensajes
cifrados enviados por los lectores de Messenger, aproximadamente unos
cien.

Según Poe, recibió dos nuevos mensajes cifrados de un lector,
Mr. W.B. Tyler, que reprodujo en Graham's Magazine para animar a sus
lectores a que intentaran descifrarlos. Poe afirmó que no había
podido resolverlos por falta de tiempo. Siempre se tuvo la sospecha
de que la historia era una excusa, y que Tyler era en realidad Poe,
que habría dejado de esta forma algún mensaje oculto para la
posteridad.

El primero de los mensaje cifrados de Tyler no fue resuelto hasta
pasados más de 150 años, en 1992, por Terence Whalen, un estudioso de
la obra de Poe, que a día de hoy ejerce en la universidad de Illinois

Este primer mensaje resultó ser un fragmento de "Cato", obra de
Joseph Addison que data de 1973, y que a priori no establece relación
alguna con Poe. En cuanto al sistema de cifrado utilizado, tampoco
resultó ser nada sofisticado, se trataba de una simple sustitución
monoalfabética, que podía ser resuelta de forma similar a como se
describe en "El escarabajo de oro".

El segundo mensaje cifrado de Tyler seguía resistiendose. En 1996,
Shawn J Rosenheim, profesor del Williams College y estudioso de Poe,
anunció un concurso por el que premiaría con 2.500 dólares a la
persona que descifrara el segundo mensaje de Tyler.

En el año 2000 Gil Broza, actualmente consultor IT, se alzaría con
el premio al resolver el segundo mensaje de Tyler con la ayuda de
un ordenador, varios programas que diseñó para la ocasión, y dos
meses de quebraderos de cabeza. El texto descifrado resultó ser de
lo más decepcionante, ya que no se ha establecido su autoría y a
priori no guarda relación alguna con Poe. Aun así, continúan las
teorías sobre que Poe pudiera ser el autor de estos mensajes
cifrados y que, una vez descifrados, aun pudiera contener algún
mensaje oculto que aun no habría sido interpretado.

Si has llegado hasta aquí y no conocías la obra de Poe o te has
interesado por el criptoanálisis, tal vez te apetezca leer "El
escarabajo de oro":

(HTML)
http://es.wikisource.org/wiki/El_escarabajo_de_oro
(PDF)
http://www.librosgratisweb.com/pdf/poe-edgar-alan/el-escarabajo-de-oro.pdf

Fuente: www.hispasec.com

Ver más

jueves, 16 de agosto de 2007

COMO OBTENER INFORMACION DE LOS PROCESOS QUE CORREN EN WINDOWS
Por: Alvaro Paz

En este post no voy a hablar de programas para monitorizar procesos, sino de páginas Web en las que podemos obtener información muy valiosa de los procesos que corren en nuestro sistema. En estas paginas hay información sobre procesos y sobre las aplicaciones de las que forman parte: si son programas espías, virus, troyanos, componentes de Windows… Esta información nos puede ayudar a mejorar la seguridad de nuestros sistemas Windows.


ProcessLibrary.com (Ingles):
http://www.processlibrary.com/

WinTasks Process Library (Ingles):
http://www.liutilities.com/products/wintaskspro/processlibrary/

ProcessID (Ingles):
http://www.processid.com/processes.html

Startup Application Knowledge Base (Ingles):
http://www.windowsstartup.com/wso/browse.php

Yoreparo (Castellano):
http://www.yoreparo.com/procesos/

Fuente: http://vtroger.blogspot.com/

Ver más

sábado, 11 de agosto de 2007

GIGANTESCA RED DE ZOMBIES
La red zombi más grande del mundo está compuesta por 1,7 millones de computadoras, que esperan un comando de activación para iniciar el ataque en línea más grande de la historia.

En algún lugar del mundo hay una persona con su dedo puesto sobre el botón rojo que activará el mayor ataque DDos (Distributed Denial of Service) visto hasta ahora. Normalmente, el primer paso para realizar un ataque de este tipo consiste en asumir el control de un gran número de computadoras, que son convertidas en "zombis" sin voluntad, o "bots", que pueden ser controlados a distancia por intrusos. Si todas las computadoras son activadas simultáneamente para bombardear un sitio web o servidor simultáneamente, el acceso al sitio es bloqueado totalmente. En el peor de los casos, un ataque de tales características puede afectar a un país completo, como ocurrió en un ataque realizado contra Estonia hace algunos meses (ver artículo de referencia).

Normalmente, una red zombi incluye 10-20.000 computadoras infectadas, que pueden ser controladas remotamente y ser usadas, por ejemplo, para extorsionar a propietarios de sitios web.

Sin embargo, la red Storm Worm parece ser diferente. El gusano ha tenido una enorme propagación durante el último semestre, parcialmente como archivo adjunto a correo electrónico y parcialmente induciendo a usuarios descuidados a hacer en clic en enlaces hacia sitios malignos. Storm Worm se propaga, por ejemplo, mediante correo electrónico con el texto "Your system is infected, please click on this link" (su sistema está infectado, por favor haga clic en este enlace).

Solo durante las últimas dos semanas de julio se han registrado más de 415 millones de correo spam con el gusano Storm Worm. Si el sistema es infectado se instala en este un rootkit que es muy difícil de detectar y eliminar. El rootkit escucha en Internet, a la espera de un comando que lo haga entrar en acción.

Sin embargo, lo curioso con Storm Worm es que el comando en cuestión no ha sido enviado. Según Future Zone, actualmente habría 1,7 millones de PC infectados con Storm Worm en todo el planeta, esperando el comando que les activará como zombies. Según la fuente, una pequeña parte del “ejército de zombis" está siendo usado para propagar el gusano, en tanto que otra parte, igual de reducida, realiza ataques de prueba contra sitios anti-spam. Todo indica que se trata de ensayos previos a un inminente gran ataque.

Por ahora se desconoce quién controla la gigantesca red de zombis, ni cual es su objetivo. Sin embargo, si las 1,7 millones de computadoras son activadas para un ataque simultáneo, se trataría del mayor acto de sabotaje cibernético visto hasta ahora.

Fuentes Future Zone en Alemán e Inglés

Fuentes:
http://www.diarioti.com/gate/n.php?id=14929

Ver más

LA SEGURIDAD EN INTERNET ES UNA CUESTION DE COMPORTAMIENTO
Por Sara Aguareles

¿Quién no ha sufrido en los últimos años algún “ataque” de un virus informático? ¿Y quien se atrevería a decir que el virus “se coló” sin que le abriéramos la puerta?

La mayoría de los problemas de seguridad de la red son culpa del mal uso que las personas hacemos de nuestro equipo informático, y de la temeridad al utilizar los servicios de Internet. Por primera vez, un estudio muestra qué es lo que hacemos mal los internautas españoles.

Si usted abre correos de remitentes desconocidos; desactiva las medidas de seguridad de los equipos porque le parece que entorpecen el funcionamiento de su ordenador; comparte archivos y software no verificado a través de redes P2P como Emule; o acepta la invitación de contactos de mensajería instantánea sin saber quién hay detrás de ellos; usted está haciendo todo lo posible para que un virus infecte su ordenador.


Toda prevención es poca. A pesar de que el 87% de los hogares españoles tienen instalado algún tipo de antivirus en sus equipos informáticos, más de la mitad están infectados por código malicioso de riesgo alto, según la Primera Oleada del Estudio sobre la Seguridad de la Información realizado por el Instituto Nacional de Tecnologías de la Comunicación (INTECO).

Y es que la tecnología no puede garantizar, por sí sola, la seguridad de nuestros ordenadores, que depende también del comportamiento de los usuarios. Pero los españoles parecemos no estar dispuestos a hacer nada más que instalar, uno tras otro, programas antivirus o cortafuegos.

El estudio de Inteco destapa el hecho de que “los usuarios de Internet utilizan principalmente medidas de seguridad automatizadas, que no exigen ninguna participación activa”. Somos tan vagos, que incluso algo tan simple como hacer copias de seguridad nos da pereza, y sólo un 35% de los usuarios respetan esta recomendación básica. Por todo ello, Inteco reclama una “mayor proactividad por parte del usuario” para extender la seguridad de Internet.

¿Valentía o temeridad?
La mayoría de los internautas que no se implican en un uso seguro de la Red lo hacen porque creen que, en realidad, no hay ningún peligro. Hay usuarios que incluso desinstalan los programas antivirus porque consideran que entorpecen la navegación por Internet, y el uso del ordenador.

La consecuencia es que un tercio de las computadoras con acceso a Internet en España presentan una protección deficiente, ya que no cuentan con sistemas automáticos ni mucho menos con usuarios proactivos en temas de seguridad.

La buena noticia es que los internautas “temerarios” sólo representan al 8% de los usuarios, pero “en ellos se concentra gran parte del riesgo total del sistema”, según Inteco. Es decir, son pocos, pero las consecuencias de sus actos son muy peligrosos, ya que sus ordenadores actúan como dispersores de amenazas informáticas.

El resto de usuarios son más prudentes en sus comportamientos, pero la solidaridad brilla por su ausencia. Sólo el 33% de los internautas españoles añaden a la protección individual de sus ordenadores, la preocupación por compartir y ayudar a los demás en temas de seguridad, según Inteco.

Troyanos, los reyes del malware
El 72% de los ordenadores domésticos para acceso a Internet presentan algún tipo de código malicioso (malware en el argot del sector), detectándose malware con riesgo alto en más del 50% de los equipos analizados.

Así, algo más del 50% de los ordenadores tienen “troyanos”, un virus capaz de alojarse en el ordenador y permitir desde ahí el acceso a usuarios externos, que pueden visitar toda la información almacenada en el equipo. Además de ser los virus más comunes, los troyanos también son los que presentan más variantes, seguidos por el adware publicitario, que utiliza un software mediante el cual se descarga automáticamente la publicidad de distintos productos o servicios.

Estas dos amenazas han desplazado a los tradicionales “virus” y “gusanos” que hasta ahora han constituido los principales ataques a la seguridad de Internet. Ello se explica porque en estas nuevas modalidades existe una relación con el fraude y con el lucro de sus creadores a costa de los usuarios infectados.

“En este nuevo escenario los troyanos y el adware son los códigos maliciosos más productivos para las estafas, por eso se crean mas que otros tipos de malware”, explica el estudio de Inteco.

Ver más

jueves, 9 de agosto de 2007

MALWARE 2.0
Aunque no deja de ser una etiqueta de moda sin una definición clara, el concepto de la Web 2.0 hace referencia a una segunda generación de aplicaciones web dinámicas e interactivas donde el usuario tiene un mayor protagonismo y participación, frente a las webs estáticas tradicionales donde el usuario era un receptor pasivo. ¿Existe también un nueva generación de malware 2.0?

Tengo que confesar que creía que iba a ser original hablando del concepto Malware 2.0, pero una búsqueda en Google me ha sacado de mi error. Hace menos de un mes la empresa de seguridad PC Tools utilizó el término en una nota de prensa donde hablaba de una nueva generación de malware: http://www.pctools.com/news/view/id/181/

PC Tools hace referencia a características que llevamos comentando tiempo atrás en Hispasec:

* La proliferación de nuevas variantes de malware ha crecido de forma brutal.

* Se utilizan técnicas automáticas para ofuscar las variantes y dificultar la identificación por firmas.

* La estrategia actual pasa por utilizar muchas variantes en vez de un único espécimen para llamar menos la atención y dificultar una respuesta rápida por parte de la comunidad antivirus (de ahí que llevemos bastante tiempo sin ver un gusano de propagación masiva como el ILoveYou y compañía).

A continuación, como era de esperar, utiliza este argumento para vender su producto antispyware, que utiliza técnicas adicionales para no depender en exclusiva de las firmas de detección.

Aunque esas características son una realidad evidente desde hace bastante tiempo, mi idea del concepto de Malware 2.0 tiene más analogía con la Web 2.0: el uso de la web como plataforma para la distribución, personalización del malware, y uso inteligente de los datos obtenidos por parte de los usuarios para propocionar "nuevos contenidos".

Para desarrollar la idea voy a utilizar un ejemplo de ataque real, de los muchos que están sucediendo a día de hoy, destinado a los usuarios de banca electrónica:

* Los atacantes diseñan un servidor web que hospeda el código malicioso.

* Para atraer a potenciales víctimas anuncian su URL a través de spam, en foros, comentarios en blogs, etc. con cualquier excusa (bien una noticia de actualidad, curiosidades, imágenes eróticas o cualquier otro contenido potencialmente atractivo que lleven a los usuarios a visitar el servidor web de los atacantes).

* Cuando un usuario accede al sitio de los atacantes, la web comprueba la versión del navegador del visitante y, si es vulnerable, devuelve un exploit específico para su versión del navegador que provoque la descarga automática y ejecución del troyano.

* Si el usuario tiene un navegador actualizado, utiliza la ingeniería social para que el usuario descargue y ejecute por si mismo el troyano (por ejemplo, mediante un ActiveX, decirle que es un vídeo, o una utilidad que requiere con cualquier excusa).

* Este primer troyano que se descarga es un "downloader", que lo que hace es instalarse en el sistema y descargar e instalar la última versión del troyano bancario, así como sucesivas actualizaciones que pudieran aparecer en el futuro.

* El troyano "downloader" también puede personalizar la versión del troyano bancario que descarga en función del sistema. Por ejemplo, si el usuario tiene una versión de Windows en español, el "downloader" instalará en el sistema un troyano bancario diseñado específicamente para entidades españolas.

* El troyano bancario puede estar destinado a unas entidades específicas o ser más genérico. En el caso de que tenga unas entidades predefinidas, si el usuario accede a las webs de banca electrónica reconocidas por el troyano, envía los usuarios y contraseñas de acceso del usuario al servidor web para que los atacantes puedan suplantar su identidad y realizar transferencias a otras cuentas.

* En el caso de un troyano bancario más genérico e inteligente, envía a un script del servidor web de los atacantes todas las URLs por las que el usuario navegue y que comiencen por https. En el servidor web tienen un listado de URLs de bancos, si alguna de las URLs que envía el troyano corresponde con el listado, entonces el servidor web devuelve al troyano una orden concreta: redirigir al usuario a un sitio de phishing de esa entidad, modificar en local la página web de la entidad para que pida la clave de operaciones, etc.

* La información de las URLs de páginas seguras (https) por la que los usuarios navegan, y que envían al servidor web, sirve a los atacantes para diseñar nuevos ataques y actualizaciones de su troyano bancario. Por ejemplo, imaginemos que en un principio los atacantes contemplaban a Banesto, pero no al BBVA. Los usuarios que visitaban la web de Banesto eran afectados, mientras que los del BBVA no porque el servidor web no devolvía ninguna orden concreta al no tener un ataque específico preparado. Los atacantes estudian periódicamente las estadísticas de las URLs que se centralizan en su servidor, y comprueban que hay muchos usuarios infectados que visitan la web del BBVA. Entonces deciden crear una nueva versión del troyano bancario específico o una página de phishing a la que redirigir a los usuarios infectados que la próxima vez visiten la web del BBVA.

Este último punto tiene cierta analogía con servicios web 2.0 como digg.com o meneame.net, si muchos usuarios visitan una página de un banco se contabiliza en el servidor de los atacantes como votos positivos y termina por aparecer en portada (en este caso en la lista negra de entidades para las que desarrollan un ataque concreto).

Cómo podemos ver, esta nueva generación de malware utiliza la infraestructura de la web para comunicarse con los sistemas infectados de los usuarios y realimentarse con la información que estos proporcionan, aprovechando esta inteligencia colectiva para ofrecer nuevos contenidos dinámicos en función de los perfiles de los usuarios. ¿Estamos ante el malware 2.0?

Fuente: http://www.hispasec.com

Ver más

ANTIVIRUS: RENDIMIENTO VS PROTECCION
El mundo de los antivirus está en crisis técnica, que no comercial, sigue siendo un buen negocio. Pero a estas alturas a nadie escapa que los antivirus a duras penas logran tapar parte de la ventana de riesgo de infección a la que todo usuario de Windows se expone en Internet.
Ante este panorama cabría pensar que están triunfando los antivirus que mayor protección ofrecen, si bien la realidad es distinta.

La gran proliferación y diversificación del malware ha puesto en jaque a un esquema basado en tener fichados a los malos: firmas para identificar al malware conocido, firmas genéricas para identificar variantes de una misma familia, y heurísticas basadas en la detección de código sospechoso.

Los malos han ganado la partida en este juego. Modifican una y otra vez el código para que las firmas y heurísticas existentes no puedan detectarlos, cambian la cara de sus especímenes para evitar ser reconocidos aunque en el fondo siguen haciendo el mismo daño. Lo hacen de forma tan masiva que los antivirus a duras penas pueden seguir el ritmo para actualizarse, no dan a basto, están saturados. Es una carrera sin final y nos llevan mucha ventaja.

Hay que cambiar de estrategia. Visto que actualizar firmas de forma constante no es suficiente, los antivirus han optado por implementar nuevas tecnologías que les permita más proactividad. El fin es poder detectar el malware nuevo, desconocido o variante. No depender de una firma reactiva, ser más genéricos y proactivos en la protección.

Son varias las empresas antivirus que han arriesgado en ese campo, incorporando nuevas tecnologías y capas de seguridad al motor antivirus tradicional, que dotan a la solución de un mayor poder de protección. Pero no todos son ventajas a la vista del usuario, la incorporación de este tipo de tecnologías adicionales suele conllevar
también un software más "pesado", que consume más recursos, enlentece el sistema, tiende a dar más falsos positivos y/o termina haciendo preguntas incomodas al usuario:

"El proceso svchost.exe intenta conectar a Internet.
¿Permitir o denegar?"

¿No se supone que el antivirus debe saber si es algo peligroso o no?, ¿por qué me pregunta a mí?. Después de una serie de pensamientos similares, el usuario acabará por tomar alguna decisión del tipo:

- Intentará averiguar en google que es "svchost.exe" (no llegará a ninguna conclusión, y a la segunda o tercera pregunta sobre otros procesos desistirá en la búsqueda de la verdad)

- Permitir Todo (tarde o temprano terminará infectándose)

- Denegar Todo (dejará de funcionarle algún software legítimo)

- Desinstalar el antivirus e instalar otro que no le haga perder tiempo con ventanitas emergentes y preguntas que no sabe contestar (sin excluir las decisiones anteriores, el usuario suele terminar desembocando en este punto y cambiando de antivirus)

Percepción del usuario

Ahora tenemos a un usuario con un antivirus tradicional, basado en firmas, que no incluye tecnologías adicionales, que no enlentece el arranque de su sistema, que no le consume mucha memoria, que no le importuna con preguntas... tenemos a un usuario menos protegido, pero un usuario que está teniendo una "buena experiencia" con su antivirus.

Y es que aunque teóricamente un desarrollador antivirus debe balancear entre endimiento y protección, la realidad es que el usuario sólo puede percibir el rendimiento. Un usuario no sabe de tecnologías, un usuario no puede evaluar el grado de protección que le ofrece una solución, en la lógica de un usuario un antivirus debe protegerle de infecciones y punto.

En los años 90 cuando un virus infectaba el ordenador se notaba de inmediato: borraba archivos, mostraba imágenes en pantalla, etc.

Cuando un usuario se veía infectado por un virus aun teniendo antivirus, motivaba el cambio de producto: "este antivirus no es bueno, ha permitido que me infecte". Pero ahora el panorama es bien diferente, el malware de hoy día está diseñado para permanecer oculto y el mayor tiempo en los sistemas infectados, sin dar señales de vida.

Así que el usuario seguirá con la buena experiencia de su "antivirus ligero" pese a que su sistema esté infectado. Simplemente, el usuario no se entera.

Lo que si va a notar un usuario de inmediato es si el antivirus interfiere en su sistema y en el trabajo diario. Esa experiencia que si puede percibir de forma directa es la que decanta hoy día la evaluación de un antivirus y la elección final por parte del usuario.

La balanza por parte del usuario está inclinada claramente hacia un lado: el rendimiento. Mientras que algunos antivirus son conscientes de ello y explotan esta visibilidad parcial por parte de los usuarios para ganar mercado, otros siguen intentando equilibrar la balanza, o dándole más peso a la protección, y perdiendo clientes en el camino.

¿Deben las empresas antivirus renunciar a ofrecer una mejor protección? Evidentemente no, pero la experiencia del usuario debe ser un objetivo igual o más importante si cabe, incluso en muchas ocasiones tendrá mayor peso. De nada sirve diseñar el antivirus más seguro si los usuarios no lo pueden utilizar. Para el usuario el mejor
antivirus no es el más seguro, sino el más confortable.

Algunos ejemplos

La pregunta sobre el svchost.exe me saltó ayer mientras probaba un antivirus, y no fue la única pregunta que hizo. Es más, después de instalarse, tras el primer reinicio del sistema, hizo un análisis completo de todos los archivos del disco duro en segundo plano. Por la actividad del disco duro deduje lo que estaba haciendo, y haciendo doble click en el icono del antivirus pude confirmarlo en la ventana
del escaner.

Como medida de seguridad estaba muy bien, pero, ¿cuál es la experiencia de un usuario común? Pues no tiene dudas, tras instalar el antivirus el sistema se ha vuelto muy lento y apenas lo deja trabajar. El usuario no sabe que es una acción que llevará a cabo sólo en el primer reinicio y no en posteriores, la percepción es que instalando el antivirus X el sistema inmediatamente se vuelve lento.

¿Por qué el antivirus no deja el análisis de todos los archivos para más tarde, cuando detecte que el sistema lleva un tiempo en "reposo" en vez de hacerlo justo en el inicio? Incluso podría pausar ese análisis en segundo plano si detecta que el usuario comienza a utilizar el ordenador, o al menos regular la velocidad y consumo de recursos del análisis para no interferir la actividad del usuario.

Probando otros antivirus se puede notar claramente el cambio de enfoque, acertado desde el punto de vista comercial, explotando al máximo los conceptos de velocidad y rendimiento. Aunque en ocasiones sea a costa de una menor protección o simplemente aplicando cierta picaresca.

Hay un antivirus que se vende como uno de los más rápidos, para ello tiene una opción por defecto de análisis a demanda donde no utiliza las técnicas de heurística que más recursos consume, con las que hacen las pruebas de velocidad. Cuando toca hacer una prueba de detección, piden encarecidamente que se utilice la opción con la heurística más lenta activada. Objetivo: aparecer en las evaluaciones como el más rápido sin perder capacidad de detección. Lo logran.

Resumiendo

Demostrar que una tecnología antivirus ofrece mejor protección que otra es complicado. Desde el punto de vista de marketing el usuario está cansado, al fin y al cabo todos los antivirus afirman ser los mejores, y se deja llevar por la propia experiencia o por terceros confiables creadores de opinión.

La experiencia del usuario tiene una visibilidad muy parcial, no puede saber que grado de protección real le ofrece un producto. Se dejará llevar por indicadores tales como la no interferencia con su trabajo y el rendimiento del sistema. El usuario no sabe si está infectado o no, pero si sabe si el antivirus le molesta.

Los terceros confiables no son confiables. La dificultad que el usuario tiene para evaluar el grado de protección de un antivirus también se traslada a los creadores de opinión, desde foros de Internet pasando por revistas de informática y comparativas que tampoco están diseñadas para evaluar las nuevas tecnologías. También tienen la resposabilidad de explicar cual es la situación actual y las diferencias entre tecnologías, hay que formar a los usuarios.

Los evaluadores de antivirus deben evolucionar a nuevas metodologías, siguen (seguimos) utilizando tests de los años 90 dando resultados adulterados y penalizando a las nuevas tecnologías. Son las fuentes de la que beben los terceros confiables, "culpables" también de la formación en nuevas tecnologías que requieren traducir su eficacia real en indicadores que a día de hoy simplemente no se miden.

Los desarrolladores antivirus deben reinventarse y no perder el foco sobre el usuario. Hay productos que están incorporando tecnología sobre tecnología en su búsqueda de minimizar la ventana de riesgo de infección, pero convirtiéndose en un software complejo, poco optimizado, que consume muchos recursos, y que ofrece una pobre experiencia al usuario.

Hay que evolucionar, pero no a cualquier precio. A veces tendemos a ofuscarnos con soluciones técnicas y olvidamos que al final un usuario, que no es informático ni tiene nociones de seguridad, tendrá que convivir con esas soluciones en su día a día en un PC normal, no sobrado de recursos, que ejecuta otras aplicaciones que son realmente las importantes para él.

Fuente: http://www.hispasec.com

Ver más

viernes, 3 de agosto de 2007

SEGURIDAD EN MENSAJERIA INSTANTANEA
Una de las principales blancos de ataques informáticos está dado por todas aquellas aplicaciones de se utilizan en forma masiva.

Sin lugar a dudas, una de estas herramientas esta constituída por clientes de mensajería instantánea (IM - Instant Messenger), como lo son Windows Messenger/MSN Messenger/Yahoo Messenger y demás.

A través del siguiente video, podran escuchar algunas recomendaciones de expertos sobre seguridad a la hora de utilizar alguno de los clientes de IM.



jam

Ver más

jueves, 2 de agosto de 2007

PHISHING DE VISA (SITIO FALSO)
Una vez más nos encontramos con un sitio falso, muy bien creado y armado para robar datos de usuarios incautos.

El correo como siempre llega al usuario por spam con un enlace que nos dirige a un sitio web. Lo "original" de este enlace es que realmente existe y que no es copia de ningún otro sitio. El mismo ha sido registrado y construido pura y exclusivamente para este fin de robar datos de tarjetas de crédito.

Si se ingresa al sitio podrá constatarse que no se intenta suplantar un sitio web de VISA sino que simplemente se solicita que se "confirmen" los datos por razones de seguridad.

Para agregar un poco más de credibilidad la animación Flash del centro hace referencia a un sitio verdadero de VISA Latinoamérica: hxxp://www.visalatam.com/flash/manos_latam.swf

El engaño completo ocurre cuando no se "recuerda la contraseña" o si "no se tiene la clave de acceso", datos que por supuesto el usuario no dispone porque nunca se ha ingresado anteriormente a este sitio. En cualquier de los dos enlaces en los que se ingrese se solicitan los datos que posteriormente serán robados:

En este caso la imagen superior también es descargada desde el sitio verdadero de VISA: (hxxp://visalatam.com/e_imgs/cabezal/fraude.jpg) y la inferior de un sitio de terceros (hxxp://www.cheapdigitizing.com/images/VerifiedVISA-Web.gif)

Si en algún momento se duda de el motivo para ingresar el número de verificación de tarjeta (CVV), se informa que debe hacerse por "seguridad y protección":

Como puede verse el engaño está muy bien logrado y hasta podría dudarse de su autenticidad por lo que siempre es bueno una verificación de la entidad que registró el dominio:

El dominio ha sido registrado a una empresa de hosting española que no guarda relación con VISA el día 27 de julio de 2007 (hace 3 días) para realizar este robo masivo de datos.

Si aún así queda la duda de si este sitio es verdadero, la solución es sencilla: no ingrese datos nunca en ningún sitio del cual dude (y de los otros tampoco)... NUNCA!

Si no desea hacerme caso a mi, hágaselo a Visa y sus consejos.

Dicho sea de paso, no encontré ninguna página de contacto con VISA Latam para denunciar este sitio así que lo hice a través de Firefox, como de costumbre:

Actualización 22:50: acabo de comunicarme con el hosting del servicio en España y he recibido un cordial "ah muchas gracias...". Ante esto me queda pensar que realmente se dedican a eso, que no les importa demasiado el problema (a fin de cuentas es un cliente) o que no entienden la gravedad del problema.


Fuente: http://www.segu-info.com.ar

Ver más