Desfiguración de sitios web de fin de semana

Websites defacement of weekend

El defacement, o defacing, consiste básicamente en la modificación de una página web de manera no autorizada; es decir, la modificación de una página que no es realizada por el administrador de esa página web.

La persona que realiza un defacing recibe el nombre de defacer y, en la mayoría de los casos, suelen responder a un sentimiento hacktivista utilizándolo como método de manifestación en contra de decisiones políticas o sociales de algunos países, sin embargo, también es utilizado con fines maliciosos como la propagación de malware o, en el menor de los casos, simplemente dar a conocer la vulnerabilidad para que sea solucionada.

Algunos defacing que se produjeron durante la última semana son:

• Ref.: # 00001
• Defacer: Keremhan
• Grupo: The Turkish Hacker

• Ref.: # 00138
• Defacer: NikitiN
• Grupo: LatinHackTeam (Argentina, Chile, Uruguay, Ecuador, Perú, México, Venezuela, España, Holanda)

• Ref.: # 00117
• Defacer: Scream
• Grupo: Team Saw (Arabia Saudita)

Desfiguración histórica
Defacing realizado a la Comisión Nacional de Comunicaciones de Argentina el 10 de abril de 1999.

• Ref.: # 00001h
• Defacer: dr_fdisk^ (Argentina)
  
• Grupo: --
  

# pistus

Ver más

Malware preinstalado

Con la leyenda “You've been iframed”, “Usted ha sido iframeado” o algo similar, bajo el título principal, leo una noticia en The Register sobre la aparente diseminación de malware por parte de la empresa Samsung, a través de un CD.

Según la fuente de información mencionada, se trata de un portarretratos digital, exactamente el modelo SPF-85H 8-inch Digital Photo Frame, cuyo programa de manejo fotográfico incluido en el CD que acompaña el dispositivo, se encontraría infectado con un código malicioso.

En este caso, la infección sería provocada por una variante de la familia del virus Sality, un malware muy peligroso que posee capacidades polimórficas, y busca infectar los archivos ejecutables que encuentra en el sistema víctima.

Según la misma empresa Samsung, el problema “sólo” estaría limitado a la infección en sistemas Windows XP y, si bien al infectar “sólo” esta plataforma se mantiene un filtro importante, no es un problema menor ni se debe minimizarlo como se intenta hacer desde el sitio web de Samsung, que de hecho ha publicado una pequeña guía de desinfección.

Muchos dispositivos como reproductores MP3 y GPS ya han tenido problemas de este tipo, incluso algunas PC’s como el caso de la Eee Box mini PC de Asus o el reciente de Lenovo que he leído hace un tiempo en el blog de virusattack.

Si bien este tipo de acontecimientos no son una novedad a esta altura de la era digital, constituye un problema realmente preocupante teniendo en cuenta que cada vez son más los dispositivos comprometidos con algún programa dañino antes de llegar al usuario final, ya que deja en evidencia el pobre control de calidad que realizan algunas compañías, más allá de los servicios tercerizados que esta tenga, la responsabilidad de trasmitir confianza a los usuarios y mantener la “seguridad electrónica” recae netamente en la compañía misma.

# pistus

Ver más

Phishing y "cuentos" en navidad

El final de cada año representa un condimento especial para usuarios malintencionados debido al festejo de las fiestas navideñas, donde, a través de mentiras relacionadas a navidad, buscan captar la atención de los usuarios.

Así que desde hace unas horas, un nuevo ataque de phishing a través de correo electrónico no deseado, o spam, se encuentra inundando nuestras casillas de correo. Bajo la excusa de haber ganado la lotería de navidad, el spam aparenta ser emitido por una empresa llamada PostFinance. La apariencia del spam es la siguiente:

Para obtener el supuesto premio, el usuario debe, previamente, activar una cuenta en Western Union. En el cuerpo del mensaje se encuentran incrustados dos enlaces, el primero de ellos, bajo la leyenda “GO TO LOGIN PAGE FOR ACTIVATION (CLICK HERE)”, redirecciona hacia una página real de la empresa (https://e-finance.postfinance.ch); mientras que el segundo enlace, “CLICK HERE”, redirecciona hacia una página web falsa que solicita información personal del usuario (http://203.[ELIMINADO].149/js/default.html).

Sin embargo, al hacer clic sobre este segundo enlace, se produce un nuevo redireccionamiento pero hacia un sitio con otra dirección IP (http://203.[ELIMINADO].6/panel/[ELIMINADO]en.html), donde se presenta el formulario antes mencionado. El objetivo de esta página es que el usuario ingrese información personal que luego puede ser utilizada para cometer estafas.

Si comparamos ambas páginas, la real y la falsa, vemos que existen diferencias entre ellas, pero que, visualizadas por un usuario que desconoce estos métodos de engaño, la maniobra fraudulenta puede resultar efectiva para el atacante.

Como se puede apreciar en la captura, el phishing ofrece dos campos más de datos, la dirección de correo electrónico y el número telefónico. El principal objetivo que persigue esto es que, el atacante, obtenga en una sola instancia toda la información que necesita para luego cometer el fraude.

Es evidente que las técnicas de engaño y fraudes aumentan y existen para todos los gustos, sin embargo, es importante que sepamos cómo funcionan para poder identificarlas y no caer en trampas como estas, sobre todo en fechas significativas como lo es la navidad, donde muchos solemos hacer compras por Internet.

ACTUALIZACIÓN 19:30 hs: aparentemente, la dirección IP 203.[ELIMINADO].149 pertenece a un proveedor de servicios de Internet de Pakistán llamado Supernet. En cambio, la segunda dirección, 203.[ELIMINADO].6 (donde se encuentra alojada la página web falsa), sería perteneciente al Ministerio de Educación de Tailándia.

IP 203.[ELIMINADO].149
SUPERNET NetBlockAdmin
10th Floor, Tower B,
Karachi 75600, Pakistan.

IP 203.[ELIMINADO].6
Ministry of education
319 wangchankasem thanon ratchadamnoen-nok dusit bangkok
THAILAND 10300

# pistus

Ver más

Violaciones de seguridad más comunes

Hace un rato me encontré con un interesante y reciente informe desarrollado por la empresa Verizon Business mediante el cual se describen los problemas de seguridad más comunes que se produjeron durante los últimos cuatro años provocando pérdidas de información considerables en las empresas.

Del informe se desprende que:

• en el 87% de los casos, los problemas se pudieron haber evitado sin problemas a través de medidas de seguridad básicas,
• en el 66% de los casos, las empresas no sabían que estaban publicando información sensible a través de sus sistemas y sitios web,
• en el 39% de las violaciones de seguridad, participaban activamente socios de negocio de la empresa (Partners), cuestión que fue multiplicándose desde el año 2004.
  

Como verán, hasta aquí sólo se mencionan tres de los puntos más importantes que expone el documento pero que más allá de ello, se suelen obviar por considerarse triviales olvidando que, sin embargo, constituyen los puntos claves para un atacante. Por otro lado,

• el 73% de las debilidades se debieron a fuentes externas,
• el 18% fue provocado por personal interno, lo que se conoce como factor insider.
  

Teniendo en cuenta esta información, se puede desmitificar la creencia que establece que el mayor daño es provocado por ataques externos (73%) que quizás es llevado a cabo por un chico que se encuentra al otro lado del mundo frente a su PC y tomando cerveza. Contrariamente a lo llamativo que pueda parecer este porcentaje, los daños provocados por estos ataques poseen un impacto mínimo.

No sucede lo mismo cuando el ataque es provocado desde dentro de la organización ya que, si bien el porcentaje es menor (18%), este tipo de ataques es el que más daño provoca en la empresa debido a que, en la mayoría de los casos, es cometida por personal que posee y conoce información privilegiada y sensible de la empresa.

Ahora bien, después de leer estos puntos, la pregunta que genera el punto de inflexión en torno a este tema es ¿podrían haber sido evitadas? Siendo la respuesta un rotundo SI.

En el mismo informe se expresa que el 87% de los problemas pudieron haberse evitado a través de medidas básicas de seguridad, es decir, por intermedio de la implementación de controles de seguridad razonables tendientes, precisamente, a prevenir este importante 87% de problemas.

Otro dato importantísimo que expone el documento es que el 22% de los ataques se produjeron a través de la explotación de vulnerabilidades de las cuales más del 80% eran conocidos, es decir, no se trataba de exploit 0-Day, además de poseer su correspondiente parche de seguridad que soluciona la debilidad.

Este punto en particular, trae a mi mente el gran ruido que ha estado causando, por ejemplo, el gusano Conficker con alta tasa de infección en apenas unos días, aprovechando una vulnerabilidad en plataformas Windows solucionada en el boletín de seguridad MS08-067, o la reciente vulnerabilidad en Internet Explorer solucionada en el boletín MS08-078 y que muchos troyanos están explotando activamente.

Resulta sumamente importante sa ber que algunas de las medidas de seguridad básicas que debemos tener en cuenta pasan por implementar y/o actualizar la Política de Seguridad de la información en la empresa, y controlar que se cumplan las medidas expuestas, en esto se centra casi la totalidad de la solución a los problemas de seguridad mencionados.

Saber con qué datos contamos, dónde se encuentran almacenados y cuál es el valor que posee cada uno de ellos según el plan de riesgos realizado, es también una cuestión a considerar ya que no es posible asegurar lo que no se conoce o lo que no se sabe dónde se encuentra.

Debemos intentar adoptar el sentido de un estratega para asegurar el entorno, o por lo menos, encontrar un adecuado equilibrio de seguridad en el mismo.

Un interesante documento que llama a la reflexión sobre los problemas de seguridad a los que comúnmente se expone una organización dejando sin protección el activo más valioso con el que cuenta, la información; muchas veces, sin saber que se encuentra disponible “para todo público”.

# pistus

Ver más

Malware for dummies (Generador de virus)

En varias oportunidades he leído noticias sobre herramientas supuestamente novedosas y de aparición relativamente reciente que permiten generar códigos maliciosos de manera automática, sin que el esfuerzo supere el solo hecho de hacer un clic. La siguiente captura, nos muestra una de estas aplicaciones:

En este caso, la manera en que esta herramienta fue presentada ante el usuario común me recuerda a escenas de películas de terror, esas que generan pánico a cualquier persona. Sin embargo, me gustaría compartir unas palabras para apaciguar en los usuarios esa sensación de miedo que puede llegar a generar este tipo de programas dañinos.

Por un lado, recordando acciones comunes propias de los viejos virus informáticos y los primeros troyanos, no es difícil darse cuenta que las funcionalidades ofrecidas por esta aplicación dañina no son para nada novedosas, teniendo algunas de ellas más de una década, como puede consultarse en nuestra Historia de los Virus Informáticos.

Funcionalidades como deshabilitar el registro, la restauración del sistema o el administrador de tareas, se encuentran presentes en cualquier malware actual. Por ejemplo, el generador que se expone en la imagen fue lanzada en septiembre del 2007.

Quizás, lo que sí resulta novedoso en este campo, es la capacidad que esta incorporando el malware actual de detectar ambientes virtualizados, como el que se muestra en la siguiente captura:

Si bien es cierto que aplicaciones dañinas de este estilo facilitan la creación automatizada y masiva de malware, sobre todo, por usuarios sin experiencia ni conocimientos informáticos, no debemos caer en el miedo o la paranoia que no nos permita disfrutar el uso de la tecnología.

Simplemente debemos estar atentos y dejar la seguridad antimalware a soluciones como ESET NOD32 que detecta estas amenazas de manera proactiva desde su lanzamiento, merced a su heurística avanzada.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio/2008/12/12/malware-dummies-generador-virus/

# pistus

Ver más