Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 4 de diciembre de 2007

MANUAL DEL INSTRUCTOR EN SEGURIDAD DE LA INFORMACIÓN
ArCert acaba de publicar el Manual del Instructor en Seguridad de la Información, un nuevo material para todos aquellos encargados de llevar concientización en su entorno laboral.


Este manual fue elaborado con el propósito de ayudarlo a desarrollar una propuesta de capacitación y/o concientización en Seguridad de la Información. Comprende el desarrollo de contenidos informáticos, diapositivas para utilizar en las presentaciones y actividades y recursos para la enseñanza.

Se espera que resulte de utilidad para impulsar en las organizaciones el uso responsable de la Información y de los sistemas y recursos que operan con ella.

Descarga del Manual

( 8 archivos, ZIP 3.22MB) - MD5: f7fdda90a6d51b2a66d8709bcde7467b
Fuente: http://www.arcert.gov.ar

Ver más

COMO LOS HACKERS PUEDEN CONTROLAR TU COMPUTADORA

Hay un falso concepto hoy en día acerca de la seguridad. La mayoría de los usuarios les gusta creer que sus costosos cortafuegos (firewalls) los protege de cualquier cosa obscena. La parte mala es que no pueden estar mas equivocados. Buscamos probar con estos tres programas que pueden comprometer la seguridad de sus computadoras antes de que tenga el chance de decir “Que es una puerta trasera o backdoor?”. Y aunque fueron creados en los 90s, todavía representan una amenaza en estos dias ya que los primeros dos todavía están en desarrollo.

Back Orifice / Back Orifice 2000

Back Orifice o BO, es uno de los programas backdoor mas comunes y uno de los mas letales. El nombre aparenta un chiste, pero puede estar seguro de que la amenaza es real. Este programa fue creado por el grupo del Culto de la Vaca Muerta (Cult of the Dead Cow Group). Si usted no ha notado, ellos tienen el don de un humor raro. A parte del nombre tan raro, este programa corre en el puerto 31337.

En la imagen superior se muestra el Back Orifice version 2000. El programa usa el modelo de cliente-servidor en el que el servidor es la victima y en cliente es el atacante. Lo que hace a este programa tan peligroso es que se puede instalar y operar de manera silenciosa, sin que nadie se de cuenta. No hay necesidad para interacción, esto significa que lo puedes tener en tu computadora ahora mismo sin darte cuenta.

Compañías tales como Symantec han tomado pasos para proteger a las computadoras de este programa. Todavía muchos ataques están usando el Back Orifice 2000. Esto debido a que todavía esta siendo desarrollado como una herramienta de código abierto. Como dice en la documentación del BO, el objetivo es hacer desconocida la presencia del Back Orifice 2000 aun hasta para aquellos que lo instalaron. BO puede correr en Windows 95, Windows 98, Windows NT, Windows 2000 y Windows XP.

Como remover el Back Orifice 2000

Para remover este programa se requiere editar algunas entradas en el registry de Windows

1. Seleccione Start > Run, entones escriba “Regedit” (sin las comillas)

2. Vaya a la entrada:“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices”

3. Ahora en el panel de la derecha, busque lo siguiente: “umgr32 = ‘c:\windows\system\umgr32.exe”

4. Hagla click derecho en esta entrada, y seleccione borrar. Ahora reinicialice su computadora.

5. Despues de reinicializar, solamente abra el explorador de Windows. Asegúrese de que puede ver todas las extensiones registradas. Para hacer esto vaya a View > Options, y configure las opciones apropiadas.

6. Vaya al directorio WINDOWS\SYSTEM y busque el programa “umgr32.exe” y borrelo.

7. Salga del explorador de Window y reinicialice su computadora otra vez.


NetBus / Netbus 2.0 Pro

NetBus fue creado alrededor del mismo tiempo que Back Orifice, a finales de los 90s. NetBus fue diseñado originalmente para hacerle bromas a amigos y familia, ciertamente nada muy malicioso. De todas maneras, el programa fue liberado en 1998 y fue usado ampliamente como un backdoor para controlar una computadora.

Este programa le permite a un atacante hacer virtualmente cualquier cosa en la computadora de su victima. Trabaja bien en los sistemas de Windows 9x y Windows XP. La ultima version de NetBus es considerada un shareware, no un freeware. NetBus también ha implementado menos operaciones silenciosas o secretas, como resultado de criticismo y quejas de su uso malicioso.

Estoy infectado. Ahora que?

Afortunadamente la ultima versión de NetBus es un programa valido. Puede ser removido como cualquier otro programa. Las versiones anteriores son un poco mas difíciles de remover. Si has sido atacado con una versión anterior, el proceso para eliminarlo es parecido al proceso de eliminación de Back Orifice.

Como remover el NetBus.

1. Seleccione Start > Run, entones escriba “Regedit” (sin las comillas)

2. Vaya a la siguiente entrada: “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices”

3. Ahora en la ventana de la derecha, busque lo siguiente: “[Nombre_del_Servidor].exe” Usted debe encontrar el nombre real del archivo .exe. Comunmente es “Patch.exe” o “SysEdit.exe”, pero puede variar.

4. Reinicialice su computador y remueva cualquier rastro del programa que haya quedado.

SubSeven / Sub7

SubSeven, o Sub7, fue creado para el mismo proposito que el NetBus, para bromas. Tiene mas soporte para bromas y también tiene una mejor interfaz. A pesar de que es detectado por muchos cortafuegos y antivirus antes de que pueda inicializarse.

Sub7 no ha tenido soporte desde hace varios anios, su amenaza es usualmente muy baja. La mayoría de los programas de seguridad no tendrán ningún problema deteniéndolo antes de que tenga la oportunidad de correr. Esto demuestra que la importancia de las actualizaciones y los programas de seguridad son vitales ya que estas herramientas todavía existen.

Es comúnmente usado por aquellos que tienen acceso físico a tus cortafuegos o programas de seguridad. Si los permisos apropiados son otorgados esta herramienta trabajara sin restricción.

Suena inofensivo, como lo remuevo?

Como remover el Sub7

1. Termine estos procesos via el task manager: ”editserver.exe, subseven.exe”

2. Borre estos archivos: “editserver.exe, subseven.exe, tutorial.txt.”

Por que estos programas son completamente legales.

La idea detrás de estos programas es que están diseñados para ayudar a las personas, no para hacer danos. Mientras que algunos como el NetBus fueron originalmente creados para bromas, ellos han cambiado su ruta para evitar problemas legales.

Estos programas reclaman ser programas legales para acceso remoto, a pesar de que son facilmente usados para fines maliciosos. Estos programas están supuestos a ser usados como helpdesk o departamentos de ayuda a usuarios. Mantenerlos alejados de su red o computadora es una buena idea ya que hay muchos adolescentes y pre-adolescentes que tienen copias de ellos.

La llegada de nuevas tecnologías han echo que estos programas de alguna manera sean menos efectivos. Sin embargo programas tales como el Back Orifice todavía están evolucionando, asi que no se sorprenda de que pueda estar corriendo en el background esperando por instrucciones. Ya que la mejor defensa es una buena ofensa, asegúrese de estar bien atento de lo que esta instalado en su red o computadora. Después de todo una onza de prevención vale mas que una libra de cura.

Traducido y publicado por Lenis Hernandez con permiso de www.learn-networking.com

Ver más

PENETRATION TESTING EN NUESTROS DÍAS

Hay varias razones por las cuales las empresas grandes y medianas necesitan contratar servicios de penetration testing. Si bien las profecías de la muerte de este tipo de servicios nunca se cumplieron (¿alguien recuerda cuando Gartner Group predijo la muerte de los IDS, el dominio absoluto de los IPS y el despegue de las PKI hace algunos años? Bueno, aún seguimos esperando), lo que sí es un hecho es que la forma de hacer penetration testing ha cambiado de forma significativa.

Siempre existió cierto empalme entre revisiones de vulnerabilidades (orientados más a ejecutar escaneos de vulnerabilidades conocidas) y un penetration test tradicional, porque algunas actividades del primero se realizaban como parte del segundo. Actualmente los escaneos de vulnerabilidades se realizan cada vez con mayor frecuencia y esta actividad tiene a automatizarse lo más posible, al grado que hay empresas que en cuestión de días han cubierto todo un ciclo de revisión de su infraestructura. Los costos de las herramientas y servicios de escaneo de vulnerabilidades, si bien no son del todo baratos, si bajaron considerablemente con respecto a su precio de mercado cuando se empezaron a ofrecer a finales de los 90s.

El costo de un penetration test sin embargo no ha bajado en la misma proporción, y hoy en día no hace mucho sentido pagar tal cantidad de dinero si gran parte de las actividades se concentran en hacer lo que se hace en una revisión de vulnerabilidades. Pero antes de entrar de lleno en los nuevos requerimientos de un PenTest de nuestros días conviene repasar cuáles son las necesidades actuales.

En primer lugar, algunas empresas están obligadas a contratar servicios de PenTest por regulación; de entrada, todas las empresas y entidades financieras que están normadas por PCI. En términos de PCI DSS 1.1 (la versión actual del estándar de seguridad), la necesidad de realizar un PenTest periódico por parte de un tercero certificado se basa en tener una cierta seguridad por parte de las marcas de tarjeta de crédito (VISA, Mastercard, Amex y compañía) de que la infraestructura de sistemas donde se procesa, almacena, transmite o genera información de tarjetas de pago no es fácilmente accesible para un atacante.

En segundo lugar, tenemos los ataques dirigidos, que se enfocan muchas veces en buscar vulnerabilidades específicas en los sistemas de una empresa (particularmente en sistemas y aplicaciones propietarias). A pesar de los avances en detección de vulnerabilidades genéricas en aplicaciones hechas en casas a través de escáners de código fuente y de vulnerabilidades, aún resulta muy complicado identificar con estas herramientas de forma automática muchas vulnerabilidades que a veces son triviales de encontrar. Técnicamente podría decirse que tenemos cubiertas las vulnerabilidades de desbordamiento de memoria con las herramientas y procesos de desarrollo adecuados, pero cosas que parecen sencillas como el manejo de sesiones en una aplicación son muy complicadas de detectar con las herramientas para revisión de vulnerabilidades actuales.

En tercer lugar tenemos el enfoque de los grupos de criminales profesionales hacia el eslabón más débil (los clientes y empleados). Un criminal profesional no va a perder el tiempo tratando de penetrar los sistemas de seguridad robustos de un Banco (de acuerdo, no todos los Bancos tiene una seguridad robusta pero podríamos decir que la mayoría poseen un nivel de seguridad aceptable), cuando es mucho más sencillo, rápido y difícil de rastrear un ataque enfocado hacia los clientes. Con la misma lógica, un criminal profesional que busca realizar espionaje industrial tiene más probabilidades de éxito buscando empleados de la compañía (como seres humanos nos gusta socializar y regamos todo tipo de información sobre nosotros en Internet, créanme que no es nada difícil), para después tratar de: engañarlos (ingeniería social), sobornarlos, o enviarles algún código malicioso customizado a sus computadoras personales. Obviamente están considerados aquí también todos los ataques internos.

En cuarto lugar tenemos una marcada tendencia hacia la desaparición de un perímetro claro en las comunicaciones. Por todos lados proliferan las extranets, acceso remotos de empleados y todo tipo de servicios a clientes a través de portales Web. El resultado obviamente es que los firewalls terminan llenos de huecos como coladeras y nos hemos visto obligados a subir de capa las protecciones de seguridad, a nivel de las aplicaciones (canal, acceso, sesión y almacenamiento seguro de datos).

Hay actividades que también han tendido a desaparecer aunque no podemos descartarlas del todo:

  • Ataques de negación de servicios. Hoy en día la gente va a la cárcel con mayor facilidad por estas actividades y no es tan sencillo efectuar estos ataques de forma anónima.
  • Ataques masivos por virus y gusanos informáticos de rápida propagación. Lo mismo que el caso anterior. De vez en cuando todavía aparece alguno que otro pero los criminales se enfocan en usar código malicioso para hacer ataques silenciosos, difíciles de detectar y más dirigidos, porque tiene mayores beneficios económicos para ellos.
  • Distribución de códigos de explotación para vulnerabilidades conocidas. En gran medida por las nuevas leyes que han aparecido en algunos países, pero también porque los criminales que han descubierto tales vulnerabilidades entienden que pueden sacar mayor provecho de esta información si no la divulgan. Para los que han estado presentes en foros como Bugtraq o Full Disclosure desde hace años saben bien a qué me refiero.

Es claro que un servicio de PenTest tradicional, enfocado a vulnerabilidades de la red y relativamente pocas pruebas de penetración manuales ya no es redituable en nuestros días. Las características que buscamos hoy en día de un PenTest deben incluir entre otras:

  • Gran cantidad de pruebas manuales. Ir al grano; como lo dijimos anteriormente, no tiene ningún sentido perder el tiempo con rehacer lo que se hace en revisiones de seguridad periódicas.
  • Mayor cantidad de tiempo invertido en revisar aplicaciones. Los esquemas de seguridad a nivel de redes e infraestructura han madurado ya bastante. Obviamente si a este nivel aún se encuentran vulnerabilidades considerables la empresa tiene un problema mucho mayor y debería de pensar en otras cosas antes de iniciar con un PenTest, pero si no es preferible dirigir los esfuerzos en evaluar lo que una revisión de vulnerabilidades no puede analizar. Sobre todo es importante considerar aplicaciones Web.
  • Información completa para el personal a cargo del PenTest. Anteriormente se tenía la creencia de que el mejor PenTest era aquel que simulaba el proceso de un hacker y por eso existían los llamados PenTest "zero-knowledge", donde no se le daba ninguna información al consultor salvo un rango de direcciones IP. Nunca me pareció congruente este esquema y menos ahora; un criminal profesional en nuestros días puede dedicar meses en planear y ejecutar su ataque (y queremos que el consultor lo haga en unos cuantos días), además un potencial atacante interno puede tener ya toda la información que necesita. ¿Para qué poner en desventaja innecesariamente al personal de seguridad y nosotros gastar el dinero sin ningún sentido creyendo que un servicio de este tipo constituye una buena evaluación?
  • Con respecto a la red, considerar todos los canales de comunicación hasta sus extremos y no sólo el perímetro con Internet. Los puntos de entrada son múltiples ahora, muchos canales de comunicación con clientes o empleados incluso van encriptados y lo que viaja por ahí ni siquiera se revisa por otros controles de seguridad (ej. IDS/IPS) en muchos casos. Por eso es muy importante revisar todos los puntos de acceso.
  • Considerar ataques dirigidos a clientes y empleados. Entiéndase por esto ataques de ingeniería social y con código malicioso customizado. Es crítico evaluar resistencia a intrusiones, fraudes y fugas de información por estos medios. Si bien en el caso de clientes es prácticamente imposible conocer los niveles de seguridad de computadoras personales, se puede evaluar el esquema de autenticación, el manejo de sesiones y cómo podría un atacante obtener acceso ilegítimo en una computadora sin protección con las medidas de seguridad que ofrecemos a nivel aplicación.
  • Considerar medidas de seguridad internas. Esto incluye a las aplicaciones y sistemas que no están expuestos al exterior pero que proporcionan acceso a personal interno que podría ser sobornado o engañado para proporcionar un acceso no autorizado a la información sensible de la empresa. En particular (como lo comenté en un artículo anterior), se deben revisar las medidas de seguridad aplicadas para evitar accesos no autorizados por parte de los administradores de sistemas críticos.
  • Considerar desarrollos específicos. Debido a la diversidad de ambientes en un PenTest actual se requiere la capacidad de desarrollar pruebas personalizadas a través de scripts y desarrollos propios. Estos desarrollos requieren un profundo conocimiento de plataformas de aplicaciones, lenguajes de programación, criptografía y protocolos de comunicación para poder interactuar con el ambiente de la empresa.

Con todo esto, podemos elaborar un sencillo cuadro comparativo de las diferencias entre un PenTest requerido actualmente y uno tradicional:



Como conclusión, podemos ver que es necesario un cambio importante en los servicios ofrecidos actualmente por las empresas de seguridad así como en la actitud y grado de involucramiento de las empresas. Además, es necesario un cambio importante en la literatura, cursos de capacitación y metodologías para ofrecer estos servicios. Por decirlo de alguna manera: ya no estamos en épocas donde sólo existían médicos generales (el PenTester tradicional tiende a ser aún un "todólogo"); en estos momentos necesitamos equipos formados con especialistas. Si alguien me dijera que domina PenTesting en: redes, aplicativos Web con todos los sabores y plataformas, criptografía, programas maliciosos e ingeniería social, yo dudaría en contratarlo (hoy en día conocer suficiente de cada una de esas disciplinas lleva varios años, y eso sin contar el tiempo invertido en capacitación para mantenerse actualizado).

Al día de hoy, pocas empresas de seguridad están en condiciones de ofrecer servicios de PenTesting de calidad con los requerimientos actuales; esto no va cambiar mucho hasta que los clientes no empiecen a demandar este tipo de servicios y dejen de requerir los PenTest tradicionales, cuyos beneficios son limitados actualmente.

Fuente: http://candadodigital.blogspot.com/2007/12/penetration-testing-en-nuestros-das.html

Ver más

ME DA IGUAL... SI TOTAL NO TENGO NADA

Vaya, otra vez la típica frase, no es la primera vez que la oigo, ni mucho menos:

- Oye, que ha salido un fallo del messenger, la versión que usas tú (bueno, tú y todo el mundo), y que permite que algún chico malo, de esos que pululan por internet, entre a tu ordenador y haga cosas malas.
- Me da igual, si no tengo nada...
Otra variante:
- La semana pasada se comunicó que todas las versiones del Internet Explorer tienen un fallo que deja a los usuarios a merced de cualquier atacante.
- Bueno, total, si sólo tengo fotos y pelis...
Y podría seguir. ¿Realmente piensas que no pueden hacer nada más con tu ordenador que ver las fotos de tus últimas vacaciones? lo siento, pero estás muy equivocado. ¿No has hecho nunca una compra por Internet?¿Nunca lees el correo del trabajo desde casa? Una vez que alguien accede a tu ordenador personal y tiene permisos para ejecutar lo que le venga en gana, sencillamente puede hacer lo que quiera, y seguramente lo último que haga sea ver cómo lucías tipo en Ibiza.

Primero, ya que estamos dentro, vamos a asegurarnos de que la puerta esté siempre abierta para nosotros, y vamos a instalar un backdoor (puerta trasera), que nos permita seguir accediendo aun habiendo tapado el agujero por el que entramos. Podemos seguir con el siempre útil keylogger, que va a registrar cada una de las teclas que pulses y las asociará a tu actividad en ese momento. De esta forma podremos saber qué contraseña corresponde a qué correo, o qué tarjeta de crédito usas para las compras por Internet, junto con su fecha de caducidad y su código de seguridad. Estos datos nos los podremos enviar cómodamente por e-mail, o guardarlos de forma secreta, para que cuando volvamos a pasearnos por tu sistema podamos ver la información recogida. O mejor, ¿por qué no instalar un troyano que haga todas estas cosas? Pero espera, eres bueno, tienes un cortafuegos, tendremos que modificar la política de filtrado del cortafuegos, que es un rollo...Hecha la ley, hecha la trampa, nos saltamos este paso usando un troyano de conexión inversa. Vaya, también tienes un control de las aplicaciones que salen a Internet, me estás dando guerra...Pues bueno, inyectamos el código maligno en el proceso del Internet Explorer, y así tu preciado cortafuegos lo dejará pasar sin problemas. Ah! claro, que tienes un antivirus, es verdad. ¿Vas a darle alguna importancia si al día siguiente aparece desactivado? No lo creo, y, de todas formas, un antivirus no asegura nada aun estando actualizado correctamente, ya que hay técnicas para ocultar estos programas. Es el juego del gato y el ratón.

Este no es un post para meterte miedo, no, es un post para concienciarte de que la seguridad y la aplicación de los últimos parches de los programas que más utilizas son muy importantes, más de lo que te parece. Si estas líneas no te han hecho plantearte nada, es que igual no he tocado tu punto débil. Bueno, tranquilo, en posteriores publicaciones intentaré adecuarme más a tu perfil, te aseguro que nadie está a salvo.

José Miguel Esparza
S21sec labs

Fuente: http://blog.s21sec.com/2007/11/me-da-igual.html

Ver más

LAS 16 AGENCIAS ESPIAS ESTADOUNIDENSES

Intelligence.gov parece algo así como la página de inicio o el portal de las agencia relacionadas con las labores de inteligencia/espionaje estadounidenses. En el menú de la izquierda se ofrece una cómoda lista a las dieciséis agencias reconocidas como tales. El público en general conoce poco más allá del FBI la CIA, la NSA o la DEA, pero al parecer las ramas del espionaje son frondosas.

Ver más