Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 28 de septiembre de 2007

¿SOY UN ZOMBIE?

Hemos hablado alguna vez en este blog de las redes de equipos comprometidos por malware (equipos "Zombis") y el daño que causan. La pregunta normal es ¿Cómo se yo que no pertenezco a una red de estas de manera incosciente?

Esta respuesta no es trivial pero un usuario si puede realizar algunas pruebas básicas para saber si su equipo tiene algo raro o no. Voy a tratar de enumerar algunos sencillos consejos para usuarios Windows.

  • Primero: Ver si todo lo que está en ejecución en nuestro ordenador es todo lo que creemos tener instalado.
  • Para ello, podemos utilizar software de inspección de procesos como el propio administrador de tareas que aparece al pulsar Ctr+Alt+Sup o un programa mejor como el ProcessXP indicando en el menú de View, sección "select columns" que queremos ver cual es el "command line" de los procesos. Traducido, ver cada programa que está en ejecución en qué directorio se encuentra. También es interesante saber si algún programa se intenta ocultar y para ello podemos usar, también de Sysinternal, el Rootkit revealer.

  • Segundo: Ver si nuestro PC está conectado a Internet a los sitios correctos que estamos utilizando.
  • Existen diferentes programas para averiguar esta información aunque solo nombraré varias alternativas:
    - La más sencilla es utilizar el comando NETSTAT con el parámetro -B que indica cada conexión que programa la está utilizando. En esta url hay más información sobre cómo usar este parámetro.
    - Otra opción es usar la aplicación de Foundstone Fport
    - Si somos de interfaces gráficas, la gente de Sysinternal en su momento también creo la herramienta TcpView con estos propósitos.

  • Tercero: Revisar si nuestro ordenador tiene instalado malware utilizando los scanner online que ya se ofrecen.
  • Para eso, podemos hacer una serie de comprobaciones básicas de las claves de registro que suele utilizar el malware a traves de REGEDIT.EXE. En concreto, las claves de registro a mirar son:

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup
Con estos tres sencillos consejos, podremos en general, obtener indicios suficientes para sospechar si estamos o no contaminados y si nuestro equipo está comprometido, pudiendo pertenecer a una red Zombie.

Fuente: http://seguridad-de-la-informacion.blogspot.com/2007/09/soy-un-zombie.html

Ver más

jueves, 27 de septiembre de 2007

EJECUCIÓN TRANSPARENTE DE CÓDIGOS MALICIOSOS II

Ayer, luego de terminar de escribir este post, me quedé con la sensación de que algo me faltó contarles como para terminar de ejemplificar el tipo de técnica que estaba comentando.

Entonces, para reforzar el concepto, veamos otro ejemplo de cómo se conjugan Ingeniería Social, troyanos, script maliciosos, exploit y demás amenazas bajo una misma infección.

En el post anterior comentaba que es latente la posibilidad de infección con el sólo hecho de ingresar a un sitio web a través de script ofuscados y embebidos en el código HTML de la página, lo que se conoce con el nombre de drive-for-download.

Ahora, en este ejemplo, se muestra otra metodología utilizada para obtener el mismo resultado sin levantar sospechas, me refiero, a lograr la infección sin que el usuario se dé cuenta que ha sido infectado. Veámoslo de forma comentada.

El escenario podría ser el siguiente: nos llega por correo electrónico una invitación para participar, en forma online, de un evento sobre el lanzamiento de la nueva versión del famoso juego de Microsoft Halo. En el cuerpo del mensaje tenemos un enlace donde debemos hacer clic para poder registrarnos y así participar del mismo.

Ingenioso el cuento ¿no?

Ok, al hacer clic sobre el enlace, nos aparece la página “500 Internal Server error” que nos indica un supuesto error interno del servidor. En este punto, un usuario sin demasiados conocimientos procedería a cerrar directamente la página, ya que “evidentemente” no esta disponible.

Pero si miramos el código fuente de la página web nos encontramos con bastante código escrito, la leyenda de supuesto error del servidor y un condimento “especial”, una etiqueta "iframe".

Supuesto error y etiqueta iframe"

Este condimento “especial” es un tag (etiqueta) que permite crear un frame (marco) interno en el código HTML. Esto quiere decir que dentro de una página web, podemos encontrar, gracias a la etiqueta "iframe", otra página web (code injection).

Esta característica del lenguaje HTML aplicada con malas intenciones, permite la ejecución subrepticia de códigos maliciosos, ya que, continuando con el ejemplo, el iframe abre internamente otra página. Veamos a dónde nos lleva.

Script ofuscado

Concluimos con un script ofuscado. Es decir, en el momento que nos presentó el supuesto error del servidor, en forma paralela se estaban ejecutando las instrucciones contenidas en el script.

Y si no tenemos nuestro sistema y aplicaciones con las últimas actualizaciones, estamos obligados a presenciar el nacimiento de un nuevo usuario infectado.

Jorge.

Fuente: http://blogs.eset-la.com/laboratorio

Ver más

EJECUCIÓN TRANSPARENTE DE CÓDIGOS MALICIOSOS

Numerosos tipos de códigos maliciosos poseen la capacidad de infectar un equipo informático con el solo hecho de visitar una página web. Si señor, con la simple acción de visitar un sitio en Internet, es posible que creadores de malware comprometan nuestra computadora con alguna de sus creaciones.

Pero… ¿cómo puede ser posible? Bueno, los programadores malintencionados buscan constantemente desarrollar técnicas que permitan evadir las aplicaciones de seguridad o por lo menos, dificultar su análisis y detección.

Tal vez, muchos lectores hayan notado en más de una oportunidad que cuando ingresan a determinadas páginas web, estas tardan en cargarse y vemos que la barra de progreso se “estanca” en la mitad de la carga. Esto puede ser un indicio de que, en ese preciso momento, nuestra computadora estaría siendo víctima de un intento de infección.

Este tipo de páginas contienen dentro del código HTML un script malicioso que se encarga de descargar (e incluso ejecutar), por lo general, un troyano. Este script generalmente se encuentra “protegido” con una técnica que recibe el nombre de ofuscación.

Con esta técnica, se busca dificultar al máximo la lectura y/o análisis del código haciendo que sea lo más ilegible posible. En la siguiente captura podemos observar un ejemplo de cómo se ve un código ofuscado dentro de una página web.

Script ofuscado

En la imagen podemos apreciar que se utilizaron dos lenguajes para crear el script: JavaScript y VBScript. Además, también se observan los archivos ejecutables (el malware) que se copia y ejecuta respectivamente al momento de ingresar a una página que contiene inyectado este código ofuscado.

Se pueden encontrar codificados con diferentes metodologías pero básicamente se lo ve más o menos de la misma manera. Aquí tienen otro ejemplo:

Otro ejemplo de script ofuscado

La idea de dificultar el análisis de debe a que a través del ofuscamiento se esconde generalmente un exploit que aprovecha alguna vulnerabilidad de nuestro sistema operativo o aplicación instalada. De aquí la importancia de mantener al día las actualizaciones de nuestro equipo y antivirus.

Estos casos conforman buenos ejemplos para que dejemos de hacer clic, por ejemplo, sobre los enlaces que nos llegan a través de programas de mensajería instantánea o a través del correo electrónico no deseado.

Después de esta lectura ¿quedará algún lector sin actualizar su sistema operativo?

El éxito de este tipo de técnicas, depende en gran medida de nosotros, los usuarios. Somos nosotros mismos una especie de gran antivirus que, al igual que este tipo de programas, en la medida en que no nos mantengamos actualizados e informados, estaremos facilitando la entrada de estas amenazas a nuestro sistema.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio

Ver más

PWNPRESS: LA PESADILLA DE WORDPRESS

Si es importante actualizar las aplicaciones de escritorio cuando aparecen nuevas versiones, aun lo es más hacerlo con las aplicaciones web que estemos usando, ya que están accesibles para cualquier usuario de internet. Wordpress es una de esas aplicaciones con las que deberemos tener especial cuidado.

Últimamente, se han encontrado diversos fallos de seguridad en las versiones más recientes de Wordpress, que han obligado a los desarrolladores a lanzar actualizaciones. Pero estas actualizaciones no sirven de nada si no las instalamos en el servidor y nos mantenemos con la última versión.

Tal vez herramientas como pwnpress nos hagan más conscientes del riesgo de no usar versiones actualizadas de Wordpress. Con pwnpress es realmente sencillo atacar un sitio que tenga instalado Wordpress, ya sea desde la linea de comandos o, facilitando más aun la tarea, a través de una interfaz gráfica.

Para ejecutarlo solo es necesario tener instalado el lenguaje Ruby. La aplicación detecta automáticamente la versión de Wordpress instalada en el servidor especificado y lanza el ataque adecuado, que nos permitirá obtener credenciales para acceder al blog.

Una herramienta peligrosa pero que debería concienciarnos sobre la necesidad de estar actualizados.

Fuente: http://www.genbeta.com

Ver más

jueves, 20 de septiembre de 2007

¿SON LOS ATAQUES PUMP-AND-DUMP MAS RENTABLES QUE EL ROBO DE IDENTIDAD?

Allá por noviembre de 2006, escribí un texto sobre ataques pump-and-dump, o lo que es lo mismo, el empleo de spam financiero para adulterar los mercados financieros de alta volatilidad.

Los que lean este blog con regularidad sabrán que una de las críticas que suelo hacer habitualmente es que en el mundo del fraude y los delitos tecnológicos se hace mención, casi en exclusiva, a los ataques de robo de identidad, y más concretamente, al robo de credenciales. En su día fue el phishing, en vías de extinción en muchos países (España entre ellos), y hoy en día es el robo de credenciales empleando troyanos. Son los temas de moda, y aunque el efecto mediático es cada vez menor, ya que la gente se ha terminado por acostumbrar a su presencia, siguen dando que hablar.

Así pues, cuando leo a gente con rigor y con independecia que no todo en esta vida es el robo de identidad, y más concretamente, robo de credenciales (en mi opinión no es ni de lejos el principal problema de fraude de una entidad financiera), pues me alegro bastante, porque estoy algo cansado de las borriqueras que se han puesto los medios con los troyanos y el phishing. Estas borriqueras sólo dejan ver hacia delante y no permiten abrir la visión a los muchísimos “laterales” a los que se enfrentan los usuarios en su día a día en la red: existen otros problemas, y cito sólo algunos ejemplos: la venta ilegal, el juego online, la extorsión criptoviral, el spam, las cartas nigerianas, las farmacias online, las estafas segmentadas, el empleo ilegal, el crimen organizado en general y cómo no, la adulteración de mercados volátiles mediante spam. Todavía más irritante es comprobar que muchas veces se limita el concepto de robo de identidad al robo de credenciales, cuando lógicamente, el robo de credenciales es sólo un subconjunto del primero.

La semana pasada Ameritrade sufrió un robo de datos bastante relevante. Según ha declarado la organización, y median en ello juzgados y autoridades policiales, el robo de datos sólo se extendió a nombres, teléfonos y direcciones de correo electrónico. Aún teniendo a su disposición los autores del robo los números de seguridad social y números de cuenta en la misma base de datos, aparentemente, estos datos no fueron capturados. Esto hace pensar que el ataque, aparentemente, no iba enfocado al robo de identididad.

Este caso nos hace pensar que el atacante o atacantes se han movido por intereses ajenos al robo de identidad. Recientemente, el Gobierno de EEUU liberó una nota de prensa en la que se detalla cómo un atacante, empleando pump-and-dump, se embolsó más de 3 millones dólares. Esta cifra está muy alejada de cualquier robo de credenciales, salvo negligencia e inoperancia de la entidad afectada, lógicamente. Cualquier entidad mínimamente preparada, y me consta que la inmensa mayoría lo están, puede afrontar un robo de credenciales de una manera ágil y limitar los montos sustraídos, bien sea por los límites que el usuario tenga en su operativa, bien sea por la rapidez en cortar el acceso a unas credenciales comprometidas. Hay que explotar con éxito MUCHAS credenciales para embolsarse 3 millones de dólares.

No menos cierto es que el robo de emails cualificados puede ser una excelente vía de segmentar phishing, sobre todo en EEUU, donde el phishing convencional tiene una actividad bastante elevada. De todas maneras, coincido con John Bambenek: este caso tiene toda la pinta de ser una maniobra orquestada para atacar mediante spam financiero a receptores cualificados.

¿Realmente tenemos tan claro que el robo de identidad en cualquiera de sus formas es más rentable que otros delitos tecnológicos, como la adulteración de mercados? Yo no lo tengo tan claro. Y lo que más me asusta es que mediáticamente, la atención se está desviando a un único punto, con lo que el resto de frentes está total y absolutamente fuera del punto de mira, con lo que los esfuerzos por educar al usuario final son prácticamente nulos.

Fuente: http://www.sahw.com

Ver más

NAVEGACION ANONIMA CON JAP (JonDo Anon Proxy)

En este blog hemos hablado alguna vez del sistema de navegación anónima TOR, todo un estandarte para preservar nuestra privacidad online.

jap

Hoy hablamos de JAP, una buena alternativa a TOR, y que se caracteriza por su ligereza (TOR es bueno, pero es pesado como un ladrillo).

JAP (JonDo Anon Proxy) es un único fichero .jar, lo que hace que sea plenamente interoperable. Sólo necesitaremos un intérprete Java en nuestra máquina y estaremos en condiciones de navegar anónimamente. El fundamento de la navegación anónima consiste en la utilización de mix cascades, distintos desvíos que hacen que, en vez de realizar peticiones directas contra el servidor que visitemos, nuestras peticiones pasen por distintos servidores pertenecientes a instituciones que han declarado públicamente que no guardan logs relacionados con la privacidad del usuario.

Ver más

COLECCION DE HERRAMIENTAS DE SEGURIDAD ONLINE

ServerSniff.net es un conjunto de herramientas de seguridad online. Xavi la define como una navaja suiza online, y no le falta razón.

Las herramientas publicadas son las usuales: herramientas IP, de nameservers, de servidor Web, critpografía, y otras herramientas misceláneas. Los autores han habilitado también un blog.

Ver más

DELITOS TECNOLÓGICOS AVANZADOS: FAST-FLUX SERVICE NETWORK

Los chicos de The Honeynet Project & Research Alliance han publicado un nuevo documento de investigación, después de un tiempecillo sin habernos deleitado con ninguno de sus excelentes papers a los que nos tienen acostumbrados.

Esta vez, la famosa serie Know Your Enemy aborda un tema bastante poco conocido, o al menos, poco publicitado en los medios 2.0: las Fast-Flux Service Networks.

Estas redes toman su nombre del término sajón fast-flux, que viene a significar algo parecido a flujo rápido. Esta denominación se emplea para definir un tipo de redes de ataque de alta sofisticación, dotadas de una alta capacidad de transformación en cuanto a composición, lo que dificulta enormemente los procedimientos de track down o inhabilitación de las mismas. Sirvan estos dos diagramas para dar una idea sobre este tipo de redes:

fast flux diagram

double flux

Todos los detalles sobre este tipo de delitos telemáticos los tenéis publicados en Know Your Enemy: Fast-Flux Service Networks. También hay una versión PDF. Incluye referencias a malware fast-flux, y ejemplos de casos reales.

Fuente:
http://www.sahw.com/wp/archivos/2007/07/20/delitos-tecnologicos-avanzados-flash-flux-service-networks/
http://www.honeynet.org/papers/ff/fast-flux.html

Ver más

ATAQUE O REPLICA TOTAL DE TODOS LOS BLOGS ALOJADOS EN WordPress.com

En estos momentos podemos ser testigos de un espectacular ataque a Wordpres.com, extensible a todos los blogs alojados en esta plataforma de creación y gestión gratuita de blogs.

Aún nos falta saber si han accedido a los servidores de Wordpress.com con acceso total o están replicando de otro modo los contenidos de los blogs (por ejemplo como un proxy inverso).

Podéis comprobarlo si en lugar de la url_del_blog/wordpress.com escribís url_del_blog_/wordprexy.com. Han creado bajo ese dominio espejos absolutamente iguales de los blogs legítimos y además están insertando publicidad de Adsense, con lo que los legítimos propietarios caso de estar usando Adsense en sus blogs, podrían ser penalizados por Google (publicidad y contenidos duplicados).

El ataque o replica total se ha realizado desde Turquía y han llegado hasta el punto de replicar Wordpress.com en Wordprexy.com.

Los crackers(que no hackers) si es que tienen acceso a todo (aún por confirmar), CSS, HTML, bases de datos, PHP, direcciones de e-mail, etc, etc, está claro que el siguiente paso que podrían dar sería vender toda la información a alguna red de Spam o incluso para explotarlo ellos mismos.

Hace unos días, como los más asiduos sabéis, me preguntaba si “¿Merece la pena tener un blog alojado en un dominio propio o…?”.

Lo que está claro es que Blogger y otros lugares ganarán adeptos porque muchos usuarios migrarán y exportarán el contenido de sus bitácoras fuera de Wordpress.com. Veremos en que acaba todo…

Desde aquí, me solidarizo con todos los compañeros que tienen un blog alojado allí(unos cuantos por cierto), espero que todo se solucione de la forma más limpia posible -;).

Lo que está claro es que Wordpress.com tiene que tomar medidas urgentemente si es un ataque y no una réplica (o copy-paste) y en estos momentos, Google debería estar bloqueando todas las urls que contengan wordprexy.com para evitar problemas mayores.

Fuente y más info Mangas Verdes.

Actualización, dicen que lo que quieren es hacer como de proxy para evitar el bloqueo de Wordpress en Turquía ¿?.

Y un usuario se pregunta (con lógica)

Ver más

miércoles, 12 de septiembre de 2007

“LO ESENCIAL ES INVISIBLE A LOS OJOS”
Si bien este blog pretende caracterizarse por encarar aquellos temas que se fundamentan en todo lo relacionado con el ámbito de la Seguridad de la Información y capacitación de todas aquellas personas que se sientan conformes con los temas publicados, planteados y el material de auto estudio que se expone, no está de más dejar por unos minutos estas cuestiones para compartir algo que representó mucha enseñanza en mi vida, y que aún hoy lo sigue siendo.

Me refiero a una obra maestra de la literatura universal contemporánea del siglo XX como lo es “El principito”. Quién no lo ha leído y no ha admirado cada parte su texto.

Intentaré hacer un breve análisis de su contenido para contarles a todos aquellos que no saben de qué estoy hablando que es El principito.

En primer lugar deberían saber que su autor fue un aviador francés nacido en la ciudad de Lyon, Francia en el año 1900 llamado Antoine de Saint Exupery. En el año 1921 ingresó a la fuerza aérea francesa y en 1926 se convirtió en piloto comercial.

Durante la II Guerra Mundial Saint-Exupéry se incorporó de nuevo a la fuerza aérea y posteriormente se incorporó a las tropas de la Francia Libre donde durante un vuelo de reconocimiento por el sur de Francia su avión desapareció y nunca volvió a encontrarse.

Durante su vida escribió cinco libros, más uno que se público unos años después de su muerte. Ellos son los siguientes:

En 1929 publicó "Correo del Sur" y dos años después, "Vuelo Nocturno" (1931), donde describía su profesión de arriesgar incluso la vida en el cumplimiento de la tarea encomendada, con una visión romántica.

En 1939 dio a conocer "Tierra de Hombres", y en 1942, "Piloto de Guerra" (en forma de diario).

En 1943 escribió “El Principito”

En 1948 se publicó póstumamente "Ciudadela", que reúne sus cuadernos de notas.

Ahora sí vayamos a conocer de que se trata el principito.

El autor es un piloto, que sufre una avería en su avión y debe aterrizar en el Sahara. Allí se encuentra con el Principito que vino de otro planeta. Los dos conviven 8 días y las conversaciones que mantienen hacen que el piloto se conozca mejor a sí mismo y a los hombres, revelando su propia visión sobre la estupidez de la humanidad y la sencilla sabiduría que los adultos parecen olvidar cuando crecen.

En cambio, El principito habita un pequeñísimo asteroide, que comparte con una flor caprichosa y tres volcanes. Pero tiene "problemas" con la flor y empieza a experimentar la soledad. Hasta que decide abandonar el planeta en busca de un amigo. Buscando esa amistad recorre varios planetas, habitados sucesivamente por un rey, un vanidoso, un borracho, un hombre de negocios, un farolero, un geógrafo...

El concepto de "seriedad" que tienen estas "personas mayores" le deja perplejo y confuso. Prosiguiendo su búsqueda llega al planeta Tierra, pero, en su enorme extensión y vaciedad, siente más que nunca la soledad. Una serpiente le da su visión pesimista sobre los hombres y lo poco que se puede esperar de ellos. Tampoco el zorro contribuye a mejorar su opinión, pero en cambio le enseña el modo de hacerse amigos: hay que crear lazos, hay que dejarse "domesticar". Y al final le regala su secreto: "Sólo se ve bien con el corazón. Lo esencial es invisible a los ojos."

De pronto el principito se da cuenta de que su flor lo ha "domesticado" y decide regresar a su planeta valiéndose de los medios expeditivos que le ofrece la serpiente. Y es entonces cuando entra en contacto con el aviador, que también padecía de soledad. Cuando el principito desaparezca, también el hombre habrá encontrado un amigo.

Espero que estos párrafos les haya traído muchos y bueno recuerdos, y para aquellos que quieran leer la novela completa, les dejo un enlace para que lo disfruten en forma online.

El Principito de Antoine de Saint Exupery

jam

Ver más

INTEGRIDAD DE ARCHIVOS SOSPECHOSOS
Al mejor estilo de herramientas online como VirusTotal que facilitan la tarea de chequear la integridad de archivos que consideremos sospechosos, nace un nuevo servicio de este estilo.

Se trata de VirScan, una herramienta online que permite sibir archivos con el objetivo de verificar si se tratan de códigos maliciosos.

El servicio chequea el archivo a través de 32 motores antivirus, todas las empresas más importantes conglomeradas para nosotros, en forma online y gratuita.


Una particularidad interesante que posee el servicio, se centra en el hecho de explorar incluso aquellos archivos que se encuentran protegidos con contraseña.


Por otro lado, permite guardar un historial que podemos recuperar a través de la URL del escaneo que hayamos realizado. Asimismo, toda la información que devulve podemos copiarla a un archivo .txt.

jam

Ver más

viernes, 7 de septiembre de 2007

EL PRECIO DEL DESINTERES
Jorge Alejandro Mieres

Sólo hay dos cosas infinitas: El Universo y la estupidez humana.
Y no estoy tan seguro de la primera.
Albert Einstein

Todas aquellas personas que se desempeñan en el ámbito de Seguridad Informática coinciden en que el eslabón más débil de la seguridad esta constituido por los usuarios. Y a medida que el tiempo avanza, este pensamiento se afirma aún más.

Esta situación se ve reflejada por la falta de información y conocimiento que al respecto poseen los usuarios y, gracias al accionar de los códigos maliciosos quienes constituyen uno de los principales problemas de seguridad como así también uno de los principales motivos que causan mayores perdidas de índole económicas a nivel mundial.

En este aspecto, la falta de concientización es muy preocupante, y esto se puede percibir con mucha claridad al hablar puntualmente de seguridad antivirus.

Es por ello que cada día las iniciativas y campañas a través de páginas web y otro tipo de recursos que intentan ayudar, a través de concejos y tutoriales, a mitigar las acciones de las amenazas más difundidas y conocidas.

Este escenario no es casual, el objetivo es, simplemente, que cada día haya más usuarios capacitados y menos usuarios infectados y estafados por las amenazas actuales.

Los virus informáticos llevan entre nosotros un par de décadas, han evolucionado y esa evolución se traduce en una simple palabra muy nombrada en la actualidad, malware, una categoría de amenazas informáticas que engloba lo que conocemos como troyanos, gusanos, rootkits, backdoors, spyware y demás código maliciosos.

Cada día son más las amenazas de este tipo que circulan por la gran red de redes intentando “cazar” de alguna manera, por lo general a través de técnicas de Ingeniería Social, a aquellos usuarios que no se encuentran lo suficientemente informados para infectar sus computadoras.

Y crean en la afirmación que están apunto de leer: los usuarios caen a granel.

Bajo esta situación, una de las cosas que más llama la atención es el hecho de que prácticamente ya no se ven códigos maliciosos que innoven en cuanto a sus acciones, es decir, la generalidad de malware sigue utilizando las mismas técnicas y metodologías de infección que utilizaban hace 10 años atrás.

Incluso, explotando vulnerabilidades que se solucionaron hace mucho tiempo, y de las cuales existe mucha y muy buena documentación a fin de mitigarla.

Estas técnicas y metodologías suelen seguir un mismo patrón y por lo general se diseminan a través de algún medio de comunicación masiva, siendo el correo electrónico uno de los canales más explotados por los programadores malintencionados y por los diseminadores de códigos maliciosos.

A modo didáctico, podemos tipificar a través de un simple y común ejemplo unos de los ciclos más comunes en lo que a diseminación de malware se refiere:

Por intermedio del correo electrónico, o algún cliente de mensajería instantánea, llega un mensaje (en un idioma que no es el que cotidianamente manejamos) conteniendo un enlace que dice algo así como “click here” o “si haces clic aquí te infectarás”. Como buenos seres humanos y siendo fieles a nuestra naturaleza compulsiva, se hace clic sobre dicho enlace y se descarga un archivo llamado “mis_fotos.exe” que luego es ejecutado para poder ver las tan ansiadas fotos. Acto seguido, y al ver que la foto no se abre, lo primero que se piensa es: ¡Eh! ¡Que pasa! Bueno, el archivo debe estar corrupto. Lo vuelvo a descargar. Y en este inconsciente accionar estamos instalando, sin ninguna objeción, un malware.

Aunque parezca muy trivial, este ejemplo refleja la situación real y actual de lo que ocurre con muchos usuarios, por más que a algún lector el ejemplo le resulte sarcástico o irónico.

Entonces, una de las primeras preguntas que surge bajo esta problemática es: ¿porqué cada día hay más usuarios que se transforman en víctimas de las trampas sembradas por personas malintencionadas a través de códigos maliciosos?

Aunque la pregunta parezca compleja y dé la sensación de que la respuesta debería seguir esa idea y ser demasiado complicada y difícil de entender, no es así.

Si se toma como premisa que la mayoría de las infecciones provocadas por la gran gama de códigos maliciosos es evitable con sólo prevenir, el tema se simplifica bastante. Por ende, el problema de infecciones debería ser mínimo.

Esto no significa que se debe subestimar al malware ni crear una falsa sensación de seguridad para minimizar el peligro, sino, que tengamos en cuenta que la principal causa de que los códigos maliciosos se sigan propagando es nuestra conducta. Al hacer doble clic sobre enlaces de procedencia dudosa, al no explorar con un buen antivirus los archivos que se descargan, al navegar por páginas web “fuera de lo común” o maliciosas y otras situaciones que para describirlas se tendría que escribir varias hojas.

En este aspecto y en forma radicalmente distinta, la versión utópica de esta situación sería JAMAS abrir ni ejecutar ningún archivo, correo electrónico, página web que no se haya solicitado, explorar cada archivo descargado con un antivirus actualizado y mantener al día nuestro sistema operativo con los parches correspondientes como así también aquellos programas que manejamos con frecuencia.

En base a esto, la segunda pregunta que nos podríamos hacer es: ¿cómo se puede prevenir el malware? Si bien esta pregunta es mucho más corta que la primera, no deja de tener una respuesta sencilla que se resume con una sola y simple palabra: educación.

La mayoría del malware necesita de la intervención del usuario para lograr sus objetivos de infección y propagación, así que por ello es de capital importancia la capacitación en los usuarios, ya que el mejor método de prevención es conocer como se “mueve” el malware, más allá de la implementación de cualquier solución antivirus. Con ello se logrará crear nuevos y buenos hábitos de conducta que nos ahorrarán tiempo y simplificarán bastante los dolores de cabeza de los usuarios y administradores de redes.

“El que no sabe es como el que no ve”, por ende, aquellos usuario que no tengan mínimos conocimientos sobre el impacto que genera, no sólo en su computadora sino que también a nivel global, un simple clic sobre un enlace de procedencia dudosa, jamás logrará deshacerse del malware y mucho menos prevenir una potencial infección.

Los buenos hábitos de conducta siempre tienen buenos frutos ya que la única ambición que se persigue con ellos es hacer un uso seguro, responsable e inteligente de los sistemas, lo que equivale a garantizar una mejor y eficaz protección contra todo tipo de códigos maliciosos.

En conclusión
Como se mencionó líneas arriba, basta con seguir unas simples y sencillas normas de conducta para evitar en gran parte la propagación de códigos maliciosos.

Lograr que se tome conciencia de la problemática que implica ser “pioneros del doble clic” no es una tarea fácil y una cuota muy importante de responsabilidad esta bajo las manos de los usuarios.

Un justo pensamiento podría ser replantearse algunas cuestiones a fin de fortalecer la seguridad no sólo de los equipos sino también de los datos almacenados en él, y bajo una actitud proactiva intentar defenderse de los códigos maliciosos.

Plantearse también qué habrá querido decir el Sr, Einstein con la frase que se expuso al comienzo del artículo, podría ser una de esas cuestiones a replantearse. Tal vez sea un buen punto de reflexión a considerar a la hora de ver cual es la mejor forma de protegerse de los diferentes códigos maliciosos que existen y que cada día aparecen.

La prevención es el único remedio que evita en gran parte esta enfermedad, hay que tenerlo en cuenta siempre.

** También puede ser descargado en formato PDF desde la sección Papers. **
jam

Ver más

SERIE RETRO: LO QUE DEJO LA HISTORIA (IV)
Cuando se creía que los virus informáticos sólo eran capaces de propagarse e infectar computadoras a través de archivos ejecutables del tipo .exe o .com, surge durante 1995 una nueva modalidad de infección mediante la cual los desarrolladores de virus podían infectar archivos que permitieron ejecutar cierto tipo de lenguaje de programación.

Esta característica dio origen a una nueva generación de virus informáticos clasificados como “Macro virus” que, a diferencia de los virus tradicionales que sólo infectaban archivos ejecutables, infectaban archivos de texto.

Las macros son secuencias de instrucciones (script) que pueden estar escritas en algún lenguaje de programación en particular y que, según el programa para el que se lo utilice, permiten automatizar determinadas tareas y configurar ciertos parámetros en los mismos.

El virus llamado “Melissa”, cuya propagación se inició durante en marzo de 1999 a través del correo electrónico, es un malware de macro que aprovecha la posibilidad de embeber porciones de código en archivos de la suite ofimática de Microsoft en sus versiones MS Office 97 y 2000 para infectar los documentos creados con MS Word.

Melissa fue desarrollado en lenguaje Microsoft Visual Basic por David L. Smith, un programador nativo del estado de New Jersey, Estados Unidos, quien al momento de su detención por este hecho manifestó que desarrolló el virus en su departamento y que lo llamó Melissa en memoria a una bailarina de topless que vivía en el estado de Florida.

Al ser ejecutado, y para cerciorarse que su código viral contagiara a todos los documentos de Word, este virus infecta la plantilla de documento llamada normal.dot, la cual
guarda los valores y macros predeterminadas del procesador de textos.

Cuando desde una computadora infectada se abre una versión diferente del documento infectado, Melissa recurre a la opción de conversión incorporada en la versión 2000 del paquete de oficina para lograr compatibilidad con el archivo a infectar. En este momento el código malicioso desactiva la protección contra virus que posee MS Office 2000.

Aprovechando rutinas de Visual Basic logra acceder a MS Outlook y se auto envía adjuntándose a las primeras cincuenta direcciones de e-mail que el usuario infectado tenga como contacto por todas las cuentas configuradas en su equipo, y así sucesivamente para continuar con la propagación. Es decir, envía 50 mensajes por cada cuenta configurada en el MS Outlook. Si el usuario posee dos cuentas, Melissa enviará 100 mensajes.

También, para asegurar que su código se enviará sólo una vez desde la máquina infectada, manipula el registro del sistema y verifica la siguiente clave:

HKEY_CURRENT_USER\Software\Microsoft\Office
Melissa? = ... by Kwyjibo

Si la clave ya existe en el registro del sistema no se auto enviará.

El Melissa se difunde a través de un e-mail con el asunto “Important message from...” conteniendo en el cuerpo el mensaje “Here is that document you asked for ... don't show anyone else ;-)”(En castellano: este documento fue solicitado por usted…no se lo muestre a nadie más).Esta técnica de Ingeniería Social aún es muy utilizada en la actualidad por muchos tipos de malware.

El archivo adjunto infectado por el Melissa puede ser cualquiera de los documentos MS Word que el usuario comprometido tenga en su computadora incluso el documento de Word que tenga abierto en el momento en que el virus ejecuta su módulo de reproducción.

Por otro lado, cada vez que en la computadora infectada existe una coincidencia entre el día del mes y los minutos marcados por el reloj del sistema, se activa una rutina mediante la cual el virus inserta en el documento abierto el siguiente texto:

Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.

Esta frase hace referencia al juego Screbble y está sacada de uno de los capítulos de Los Simpsons.

Dentro del código fuente del virus se encuentran los siguientes comentarios:

WORD/Melissa written by Kwyjibo
Works in both Word 2000 and Word 97
Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You decide!
Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

Si bien existen códigos maliciosos mucho más peligrosos que el Melissa, lo realmente llamativo de este virus fue la repercusión que tuvo en los medios de comunicación al propagarse e infectar en forma masiva gracias a la infraestructura que proporciona Internet dando lugar al inicio a una nueva modalidad de infección basada en lenguaje Visual Basic Script (VBS) denominados gusanos de Internet.

Otro código malicioso que aprovecha las características del lenguaje de programación VBS (Visual Basic Script) es el que se difundió seis meses después que el Melissa, bajo el nombre de BubbleBoy, pero que a diferencia de Melissa, fue el primer código malicioso capaz de ejecutarse e infectar sin la intervención del usuario, es decir, sin que el usuario lo ejecute.

BubbleBoy llega a través del correo electrónico sin contener archivos adjuntos, característica que era común durante el año de su aparición, en formato HTML y fue desarrollado de manera tal que infecta los sistemas con el sólo hecho de leer el e-mail e incluso con sólo acceder a la vista previa del mensaje.

Para lograrlo, este código viral aprovecha una vulnerabilidad que presentaba el formato MIME[1] (Multipurpose Internet Mail Extensions - Extensiones Multipropósito del Correo Internet) en las aplicaciones de correo MS Exchange, Outlook, Outllok Express e Internet Explorer. Sólo infecta computadoras que tengan Internet Explorer en su versión 5 y Windows Scripting Host (WSH) instalados.

El mensaje recibido posee el asunto “BubbleBoy is back! (BubbleBoy esta de regreso!)” y en el cuerpo del mismo se encuentra la siguiente leyenda:

The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm

Cuando el BubbleBoy se activa, y con la finalidad de asegurar su ejecución en cada inicio de la computadora, crea en la carpeta Inicio del sistema (generalmente C:\WINDOWS\Menú Inicio\Programas\Inicio) el archivo UPDATE.HTA.

Luego de reiniciarse, el código malicioso realiza una serie de acciones en el registro de Windows que consisten básicamente en modificar las claves ubicadas en:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RegisteredOwner cambiándola por Bubbleboy

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RegisteredOrganization cambiándola por Vandelay Industries.

Otras características que comparte con el virus Melissa consisten en; su capacidad de auto enviarse a través del correo electrónico a todos los contactos de todas las libretas de direcciones que la máquina infectada tenga almacenadas en el Outlook; la manipulación del registro para crear una clave que le permita verificar si ya se envió para no volver a repetir el envío.

Tanto el Melissa como el Bubbleboy representaron nuevos métodos de infección y propagación conocidos no sólo por sus acciones víricas y maliciosas sino también por ser códigos innovadores dentro del mundo que constituyen lo que en la actualidad denominamos malware, logrando romper algunos viejos mitos implantados en la creencia de los usuarios.

Como de costumbre e incentivando al usuario a la actualización de su conocimiento a través de capacitación continua, ESET Latinoamérica ha desarrollado una Plataforma Educativa, gratuita y en línea, para todos los interesados en conocer cuestiones relacionadas con la seguridad de los sistemas.

Por otro lado, siempre es recomendable la utilización de una solución antivirus con propiedades proactivas como las ofrecidas por ESET NOD32, que nos mantengan seguros del alcance de estos y muchos otros tipos de amenazas.


Más información:
[1] Plataforma Educativa de ESET
http://edu.eset-la.com

[2] Cronología de los virus informáticos
http://www.eset-la.com/threat-center...s-informaticos

[3] Serie retro: “lo que nos dejó la historia” I
Serie retro: lo que dejó la historia (I)


[4] Serie retro: “lo que nos dejó la historia” II
Serie retro: lo que dejó la historia (II)

[5] Serie retro: “lo que nos dejó la historia” III
Serie retro: “Lo que dejó la historia” (III)


[1] MIME: especificaciones que permiten intercambiar a través de Internet todo tipo de archivos.

Fuente: http://www.psicofxp.com

Ver más

lunes, 3 de septiembre de 2007

SERIE RETRO: LO QUE DEJO LA HISTORIA (III)
Durante junio de 1998 surgió un nuevo virus que infectaba sólo archivos ejecutables de computadoras con sistemas operativos Microsoft Windows 95 y 98 y tenía la capacidad de dejar inutilizable una computadora si se daban ciertas condiciones en su hardware.

Win95/CIH fue creado en Taiwán por un estudiante de Ingeniería del Instituto Tecnológico de Taipé llamado Chen Ing-Hou y cuyas iniciales forman el nombre de su creación. Al momento de ser detenido, durante el año 2000, acusado de haber sido el creador del virus, Chen manifestó que la motivación que lo llevó a crear este virus fue venganza hacia quienes llamó “incompetentes desarrolladores de software antivirus”.

Este código viral recibió alias como CIH SPACEFILTER, CIH 1003, PE_CIH, CIHV, TSHERNOBYL, TSERNOBYL y más, pero sin lugar a dudas el más conocido fue el de Chernobyl recibido por el accidente nuclear que tuvo lugar en Chernobyl, ciudad de Ucrania, el 26 de abril del 1986.

El virus Win95/CIH, en su versión 1.2, posee un módulo de ataque que precisamente se activa el día del aniversario del accidente que dio lugar a su alias más conocido, la versión 1.4, denominada Tatung, se activa el día 26 de cada mes e incluso otra variante de esta familia de virus acciona su carga dañina el día 26 de junio.

En consecuencia, los usuarios podrían estar infectados sin saberlo hasta el momento en que se activa el módulo con instrucciones de daño y el virus comienza a desplegar sus acciones maliciosas sobre todos los archivos de 32-bits (ejecutables de Windows con extensión .EXE) que encuentra en su camino.

Al ejecutar su módulo de ataque, CIH sobrescribe los primeros 2048 bits de los discos rígidos borrando todo su contenido e intentando al mismo tiempo borrar la información contenida en la memoria flash de la BIOS de las computadoras Pentium basadas en chips Intel 430TX, que tienen la capacidad de ser actualizadas y configuradas como write-enabled (habilitar escritura). El CIH tiene la particularidad específica que sólo ataca a los equipos con estas características.

La BIOS es la encargada de mantener los datos vitales del sistema y permite realizar el proceso de arranque de las computadoras. La solución a la infección termina siendo el cambio del chip de la BIOS o, en caso de encontrarse soldada, la consecuencia es inevitable y consiste en cambiar la placa madre (mother). Por estos motivos, el Win95/CIH fue considerado uno de los virus más peligrosos de la historia.

Con el fin de dificultar su detección, también se encarga de copiar su código viral en espacios no utilizados (vacíos) de los archivos infectados sin modificar su tamaño, quedando residente en memoria para luego seguir propagándose a través de archivos con extensión .exe al momento de su ejecución y/o copia.

Debido a la publicación de su código fuente, muchos creadores de malware vieron la posibilidad de incluir en otros virus la porción de código correspondiente al módulo de ataque del CIH dando lugar a la creación de variantes como por ejemplo el virus llamado “Emperor”, también capaz de dañar específicas BIOS de computadoras.

Por accidente, Win95/CIH logró difundirse a través de varios canales comerciales como por ejemplo: el juego Wing Commander resultó infectado, la empresa Yamaha distribuyó una actualización de drivers para su CD-R400 también infectada y hasta IBM vendió un lote de computadoras con el virus Win95/CIH preinstalado durante marzo de 1999, un mes antes de que el virus activara su carga dañina.

A pesar de que todas las firmas antivirus detectan este código malicioso, como se puede apreciar en la imagen, en la actualidad siguen apareciendo casos de equipos infectados con este malware. Para las víctimas de este virus, existen herramientas que permiten recuperar los discos rígidos dañados por este virus.


Por ello es muy importante que los usuarios tengan la precaución de no ejecutar ni instalar nada nuevo sin antes haber verificado los archivos contenidos en medios de almacenamiento como CDs, disquetes, etc. con una herramienta antivirus como ESET NOD32.

Más información:
[1] Cronología de los virus informáticos.
http://www.eset-la.com/threat-center...s-informaticos

[2] Serie retro: “lo que nos dejó la historia” I.
Serie retro: lo que dejó la historia (I)

[3] Serie retro: “lo que nos dejó la historia” II.
Serie retro: lo que dejó la historia (II)

Fuente: http://www.psicofxp.com

Ver más

TARJETAS VIRTUALES: "SEEN YOUR CARD"
Las tarjetas electrónicas, e-card o simplemente postales virtuales, generalmente son utilizadas para reflejar algún sentimiento hacia algún ser querido (o no tan querido) sobre todo en aniversarios, en navidad y otras fechas festivas. Existen para casi cualquier temática y de cualquier estilo, incluso hay páginas web especializadas en esta particular manera de expresión.

Es por ello, que muchas personas malintencionadas recurren a ellas para intentar infectar computadoras o distribuir códigos maliciosos y es muy “común” que las envíen a través del correo electrónico. Esta situación la transforma en un medio más que utilizan los desarrolladores de malware para distribuir sus obras.

La mayor parte de los casos de infecciones es a través del correo electrónico y siempre utilizando alguna técnica de Ingeniería Social que se aprovecha de aquello que los usuarios poseen naturalmente: la curiosidad. y en esto, los creadores de malware son especialistas.

A modo de ejemplo, se puede mencionar un gusano de Internet que en los últimos días se está diseminado por correo electrónico simulando ser una “amigable” tarjeta virtual, el Nuwar (Storm/Tibs/Peacomm/Peed según la compañía antivirus).

El Nuwar es un complejo gusano de Internet que, entre otras cosas, se mimetiza detrás de una falsa tarjeta virtual donde su modus-operandi consiste básicamente en invitar, a través de un enlace incrustado en un mensaje de corre electrónico, a descargar una falsa tarjeta virtual. En la siguiente captura se puede ver un ejemplo del correo:



Imagen 1 – E-mail con la falsa tarjeta virtual

Al hacer clic sobre el enlace para ver la falsa tarjeta virtual, se intentará descargar un archivo ejecutable llamado ecard.exe, que se trata del malware. El usuario que lo ejecute comprometerá su computadora y en forma voluntaria la “donará” para que forme parte de una extensa red de computadoras infectadas [1].

Una vez ejecutado, el código malicioso realiza una serie de modificaciones sobre el sistema operativo que en forma global se pueden apreciar en la siguiente imagen:





Imagen 2 – El Nuwar en acción

Es decir, se copia en varios sectores del sistema y abre algún puerto en la computadora desde el cual intentará establecer una conexión; una acción muy común en el malware.

Cabe aclarar que este gusano de Internet no sólo utiliza esta metodología de engaño sino que puede usar cualquier otra como por ejemplo: intentar infectar simulando, a través del correo electrónico, ser alguna oferta; brindar información de cualquier tipo, regalos, etc.

Encontrarse con casos como el de este ejemplo es muy habitual y obviamente no es la situación deseada y, sosteniendo la filosofía de prevenir a través de la educación, es recomendable tener presente una serie de consejos a los que se debería tener en cuenta para evitar caer en una de estas trampas.

En primer lugar, desconfiar de todo aquel correo electrónico que llegue en algún idioma que no es el propio; en este ejemplo se puede observar que tanto el remitente, el asunto y el contenido del mensaje están en inglés.

Por otro lado, generalmente las tarjetas virtuales no se distribuyen en archivos ejecutables, lo cual es otro serio motivo para desconfiar de su contenido, además de rechazar cualquier enlace que llegue a través del correo electrónico.

Como se podrá apreciar, es suficiente con sólo chequear algunos puntos básicos para evitar ser víctimas de esta metodología de infección y eliminar todo aquel correo electrónico del cual se tengan dudas de su procedencia. Estas recomendaciones ayudan no sólo a identificar las falsas e-card sino también a detectar las intenciones de infección válidas para cualquier malware.

La importancia de la educación como prevención de las amenazas informáticas es cada vez más importante por el constante aprovechamiento de la Ingeniería Social como herramienta de engaño, por eso, combinando la capacitación de los usuarios con un software antivirus de detección proactiva como ESET NOD32, se puede lograr la protección adecuada para no infectar los equipos [2].

Para más información:

[1] Botnets, redes organizadas para el crimen
Botnets, redes organizadas para el crimen

[2] Plataforma Educativa ESET Latinoamérica
http://edu.eset-la.com/

Fuente: http://www.psicofxp.com

Ver más

BACKTRACK EN LLAVE USB

Si existe alguna auténtica "navaja suiza" de la seguridad informática ésa es BackTrack, que incluye más de 300 herramientas. Hasta hoy, sólo habíamos contemplado el uso de esta soberbia distro como máquina virtual, pero algunos lectores de Kriptópolis ya dejaron claro que su objetivo iba un paso más allá: BackTrack en una llave USB.

Y es que las características de esta distribución la hacen idónea para poder llevarla con nosotros a todas partes. A eso precisamente dedicaremos este tutorial...

Preparando tu llave USB

NOTA: Si tu llave está limpia (formateada en FAT32 y lista para usar) puedes saltarte este paso.

Comenzamos por conectar la llave a un puerto USB libre. Para identificarla, en un terminal tecleamos lo siguiente:

fdisk -l

Así podremos saber la denominación en forma /dev/xxxx que Linux da a nuestra llave. En mi caso, es /dev/sdf, que habrás de sustituir en los comandos que siguen por lo que tú obtengas con el comando anterior.

Si es necesario podemos borrar cualquier rastro un eventual MBR anterior tecleando:

dd if=/dev/zero of=/dev/sdf bs=512 count=1

Utilizamos de nuevo fdisk para borrar las particiones existentes y reparticionar la llave:

fdisk /dev/sdf

No olvides sustituir /dev/sdf por el nombre que tenga tu llave en tu sistema. Si no sabes usar fdisk (o no te atreves) puedes realizar esta operación en Windows: borrar las particiones y creas otra(s) a tu gusto, siempre que sean FAT32 (ó vfat, en linux). El uso de fdisk en linux es en realidad sencillo y nada queda grabado hasta que pulses "w". Con "p" ves las particiones, con "d" las borras, con "n" las creas, con "t" modificas su tipo, con "a" las vuelves activas, etc.

En mi caso, en una llave de 1 GB creé una partición de 800 MB para BackTrack y otra de 200 MB en el resto como eventual depósito de ficheros:

Disposit. Inicio    Comienzo      Fin      Bloques  Id  Sistema
/dev/sdf1 * 1 814 782223 b W95 FAT32
/dev/sdf2 815 1016 194122 b W95 FAT32

Bien; supongamos que la llave está lista para usar.

Creamos un sistema de ficheros FAT32 en la partición antes creada (sdf1, en mi caso) con:

mkfs.vfat -v /dev/sdf1

Y otro tanto en la partición para los ficheros:

mkfs.vfat -v /dev/sdf2

Instalando BackTrack

En primer lugar habrá que descargar la ISO de BackTrack 2 (700 MB) de cualquiera de los sitios enumerados aquí:

http://www.remote-exploit.org/backtrack_download.html

Una vez dispongas de la ISO crearemos un par de directorios en nuestra carpeta personal:

cd
mkdir bt2iso
mkdir bt2

Procedemos a montar la iso mediante el dispositivo loopback:

mount -r -o loop /home/usuario/bt2final.iso /home/usuario/bt2iso

Montamos a continuación la primera partición de nuestra llave USB:

mount -o rw /dev/sdf1 /home/usuario/bt2

Y ahora copiamos el contenido del primer directorio en el segundo:

cd /home/usuario/bt2iso
cp -r * /home/usuario/bt2

Este último comando tardará un poco. Paciencia.

Al final, deberemos tener un par de directorios (boot y bt):

ls -l /home/usuario/bt2
boot bt

Sólo nos queda hacer que nuestra llave sea arrancable:

cd boot
./bootinst.sh

[NOTA: en Windows el proceso es parecido, sólo que tras descomprimir la ISO en el USB hay que ejecutar bootinst.bat para hacerlo arrancable].

Se arranca un instalador que nos avisa de que se va a sobreescribir el MBR de nuestra llave USB. Aceptamos pulsando cualquier tecla y probamos si nuestra llave es capaz de arrancar BackTrack en un ordenador conforme a lo previsto.

Una vez iniciada BackTrack sólo necesitamos seguir las instrucciones que se nos muestran en pantalla. Tras teclear "root" como nombre de usuario y "toor" como contraseña, accedemos a nuestra sesión en un terminal. Para iniciar un entorno gráfico, basta teclear "startx" (para iniciar KDE) o "flux" (para FluxBox).

Suerte y que lo disfrutéis.

Fuentes:

Este tutorial se ha basado en mi propio artículo anterior sobre Backtrack como máquina virtual y en información adaptada a partir de los dos sitios siguientes:

Se ha realizado sobre una máquina corriendo Arch Linux y con una llave USB de 1 GB. Para arrancar un ordenador con Backtrack es necesario que soporte el arranque desde USB, algo que puede generalmente configurarse desde la BIOS en ordenadores relativamente recientes.

Ver más