MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

28.7.07

SEXO, MESSENGER Y TROYANOS BANCARIOS
Aunque es un tema recurrente, parece que el sexo sigue siendo uno de los reclamos más explotados en los ataques basados en ingeniería social relacionados con el robo de credenciales de acceso a banca.

Los canales habituales para llegar a las posibles víctimas son el correo electrónico y las páginas webs donde puedes dejar mensajes a otros usuarios, como por ejemplo los foros. En el caso de los troyanos de la escuela brasileña también se está popularizado el uso de Messenger como vía para infectar sistemas, mediante gusanos que te invitan a visitar una página con la excusa de iniciar un contacto o ver fotos.

Básicamente intentan que te descargues e instales los troyanos mediante engaños, como hacerte creer que vas a ver una foto cuando en realidad es un ejecutable.

El uso de gusanos de Messenger para distribuir troyanos bancarios tiene sus pros y sus contras desde el punto de vista del atacante. El lado positivo es que puede segmentar bastante bien a las posibles víctimas.

Comenzando la distribución inicial por un grupo de usuarios conocidos de un país concreto (según la entidad bancaria que sea objetivo), el gusano/troyano intentará propagarse entre los contactos de Messenger de esos primeros usuarios infectados, entre los que probablemente habrá muchos que sean del mismo país y algunos puedan tener cuentas en las entidades objetivo. Esos nuevos usuarios infectados propagarán a su vez, de forma automática, el gusano/troyano entre sus contactos de Messenger, etc. A efectos prácticos funcionaría de forma muy similar a las populares redes sociales tipo LinkedIn, XING, y similares.

Por contra, los afectados pueden ser advertidos casi de forma inmediata sobre la infección de su equipo, ya que a buen seguro alguno de sus contactos de Messenger le avisará de que está infectado al ver que le está enviando URLs para que descargue malware. Lo triste es que pueden pasar días hasta que logran desinfectar el equipo, y en la mayoría de las ocasiones no relacionan el gusano de Messenger con la funcionalidad de troyano bancario, por lo que siguen utilizando normalmente los servicios de banca electrónica y alimentando el fraude.

Fuente: Blog Laboratorio Hispasec

Ver más

SPAMMERS APROVECHAN AHORA LAS HOJAS DE EXCEL
Como parte de sus incansables esfuerzos por distribuir masivamente sus "mensajes publicitarios", los spammers han comenzado a usar hojas de cálculo y archivos ZIP.

El impopular correo electrónico no solicitado está siendo ahora camuflado en hojas de Excel. La nueva modalidad es empleada principalmente junto con las tradicionales tácticas conocidas como "pump-and-dump", es decir, donde spammers hacen publicidad a una acción determinada, esperan que su valor aumente, para luego venderlas en el mercado bursátil.

Las compañías de seguridad informática han distribuido esta semana abundante información sobre está nueva estrategia de los spammers.

Fuente: http://diarioti.com/gate/n.php?id=14812

Ver más

27.7.07

MOZILLA FIREFOX: VULNERABILIDAD EN FILTRADOS DE URI's
El US-CERT, publicó una alerta sobre el problema al que nos referíamos ayer en VSAntivirus. El hecho de que el máximo organismo de control de alertas cibernéticas de los Estados Unidos, haya publicado hoy este aviso, hace que volvamos a insistir en el tema.

Mozilla Firefox no filtra adecuadamente las entradas cuando se envían ciertos URIs a protocolos registrados. Esto permite que un atacante remoto pueda ejecutar comandos en el equipo del usuario con Firefox instalado, utilizando este navegador como vector de ataque.

Cómo ya lo hemos explicado, un URI (o Uniform Resource Identifier), es una cadena de caracteres utilizada para identificar una ubicación, recurso o protocolo.

Mozilla Firefox (cómo otros programas), "pasa" algunas URIs a otras aplicaciones que han sido registradas para manejarlos. El problema es que Firefox no filtra los datos pasados en ciertas URIs. Un atacante puede entonces construir un enlace malicioso, que Firefox envía al programa registrado para manejar dicha URI.

La alerta es crítica, porque ya se conocen exploits públicos que pueden utilizar los manejadores mailto, news, nntp, snews, y telnet.

Esta vulnerabilidad solo afecta las versiones de Firefox para Windows.

No existen al momento soluciones prácticas para este problema. Se recomienda utilizar la interfase "about:config" de Firefox para configurar los siguientes parámetros como "true", a los efectos de que al menos el usuario reciba una alerta antes de permitir la apertura de un programa externo, cuando un URI lo invoca desde Firefox:

network.protocol-handler.warn-external-default
network.protocol-handler.warn-external.mailto
network.protocol-handler.warn-external.news
network.protocol-handler.warn-external.nntp
network.protocol-handler.warn-external.snews

También se recomienda no hacer clic sobre enlaces no solicitados o no confiables, o sobre aquellos que contengan caracteres como "%00" inmediatamente después del nombre del protocolo (Ej: mailto: %00).

Los administradores pueden bloquear las siguientes cadenas dentro de páginas HTML, etc:

mailto: %00
nntp: %00
news: %00
snews: %00
telnet: %00


Más información:

Vulnerability Note VU#783400
Mozilla Firefox URI filtering vulnerability
http://www.kb.cert.org/vuls/id/783400


Referencias:

Remote Command Execution in FireFox et al
http://xs-sniper.com/blog/2007/07/24/remote-command-execution-in-firefox-2005/

Remote Command Exec (FireFox 2.0.0.5 et al)
http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

About:config entries
http://kb.mozillazine.org/Firefox_:_FAQs_:_About:config_Entries

Bug 389580 - some schemes with %00 launch unexpected handlers on windows
https://bugzilla.mozilla.org/show_bug.cgi?id=389580

Uniform Resource Identifier
http://es.wikipedia.org/wiki/Uniform_Resource_Identifier

Fuente: http://www.vsantivirus.com/vul-firefox-uris-cert-783400.htm

Ver más

26.7.07

AUTORIZANDO PARA HACER SPIM
Un sitio en Internet, busca incrementar su popularidad a través del envío de mensajes publicitarios por MSN Messenger.

El spim es una palabra usada como convencionalismo para designar el correo no deseado (SPAM), que se recibe mediante servicios de mensajería instantánea.

Hace muy poco tiempo atrás, hubo un sitio web que ofrecía un dudoso servicio a los internautas que usaran MSN Messenger. Esto era mostrar la lista de personas que hubieran colocado al usuario en la categoría de contactos "no admitidos".

Ahora ha sido reportado otro sitio, con una dirección web totalmente diferente, que ha montado el mismo servicio. En este caso se han explicado algunos puntos para hacerlo menos sospechoso. Para utilizarlo, debe aceptarse un enlace a los "Términos y condiciones". Dicho enlace lleva a las preguntas más frecuentes y no a un texto de los que usualmente se apreciaría como un contrato entre dos partes.

Este simple punto, demuestra que no se debe confiar en la página que se está visitando. No se ofrece ninguna seguridad al usuario de que no se descargue o se ejecute algún script malicioso, el cuál podría dejar vulnerable el ordenador a un ataque más sofisticado. No figuran compañías responsables, ni forma alguna de contacto con los creadores del sitio.

Lo que si se aclara, es que no se hacen responsables por el mal uso de la información que se les proporcione (nombre de usuario y contraseña). Alegan además, brindar un servicio a cambio de publicidad, y que no almacenará ningún dato en el servidor. Un experto en informática comenta que, si uno se cree esto, él tiene un campo de fútbol en la luna a la venta.

En realidad quien utilice este servicio, estará permitiendo el envío de publicidad en mensajes no deseados a todos sus contactos. En algunos países el spam es un delito y está castigado penalmente.

Los riesgos que se corren al proporcionar el acceso total y libre de una cuenta de correo a terceros, es algo que no se tiene en consideración. Perfectamente se puede almacenar la lista de contactos del usuario (sin decírselo, e ignorando las leyes al respecto), y de esta manera venderlo a delincuentes que los utilicen para ataques de phishing más sofisticados.

En el aspecto ético y moral, puede ser muy molesto para mucha gente recibir un mensaje que no pidió, especialmente viniendo de alguien conocido.

Se recomienda no seguir enlaces no solicitados que se reciban por mensajes instantáneos, aunque provengan de fuentes conocidas.

Si alguien ha bloqueado a otra persona en el MSN Messenger, es evidente que no desea tener contacto con la misma. No vale la pena arriesgar a todos los amigos/familiares/conocidos de la libreta de direcciones por ello.

Fuente: http://www.enciclopediavirus.com

Ver más

25.7.07

LA CURIOSIDAD MATO AL GATO... Y EL NUWAR INFECTO TU PC

Lo que en un principio, los usuarios desinformados, pensarían que se trata de una verdadera, creativa, colorida y linda tarjeta virtual enviada por alguna amiga “o amigo”, puede traer consecuencias desagradables para nuestro equipo y fastidio para nosotros.

Muy sabio es aquel dicho que dice: “la curiosidad mató al gato”, como también lo es aquello que naturalmente poseemos como seres humanos: nos mata la intriga y la curiosidad; y más aún como usuarios informáticos, donde, como diría un experto profesional de la materia, nos convertimos en “pistoleros del doble clic”.

Así quedó comrpobado en ”Las tarjetas virtuales de Nuwar”, donde se demostró de qué manera este malware se disemina a través del correo electrónico incrustando un enlace que supuestamente nos invita a descargar una tarjeta virtual pero que en realidad se trata del código del gusano informático.

Inmediatamente después de ser ejecutada la supuesta tarjeta virtual, levanta un proceso bajo el nombre “ecard.exe” (el mismo nombre del archivo ejecutado) a su vez, éste ejecuta la herramienta “netsh.exe”.

Netsh.exe es una herramienta que trae incorporado el sistema operativo y sirve para configurar y supervisar en forma remota o local los equipos conectados a una red.

Si tenemos activo un firewall, situación deseable y recomendada para cualquier usuario, nos alertará cuando el malware intente establecer una conexión.

En la siguiente captura podemos ver las acciones realizadas por el Nuwar hasta aquí descriptas.

Acciones llevadas a cabo por el malware

Paralelamente a lo mencionado, genera un archivo llamado “spooldr.ini” en la misma carpeta desde donde se copió el código malicioso (ecard.exe) mediante el cual establece el puerto donde se quedará “escuchando”.

Por otro lado, el malware realiza una copia de sí mismo en la carpeta Windows bajo el nombre de “spooldr.exe” y genera en la carpeta Windows/System32 el archivo “spooldr.sys” (denominado por ESET NOD32 como Win32/Nuwar.AE) que contiene instrucciones para matar los procesos de varias herramientas de seguridad.

Archivos creados y apertura de puerto

Hasta esta instancia, los archivos creados por el Nuwar son fácilmente visibles y eliminados, esto puede llevar a suponer, por ejemplo, que el malware se encuentra en proceso de desarrollo y todavía adolece de ciertas características que el desarrollador intenta lograr con su creación.

Pero los que lidiamos con los códigos maliciosos, logramos dotarnos de algo en lo que la mayoría de los profesionales de Seguridad caen, la paranoia; dicho de otra manera, no creemos nada que un malware nos muestre, entonces probamos cada cosa que podemos para intentar saber el recorrido que los códigos maliciosos realizan por la computadora.

Y fue así que luego de reiniciar la PC donde nuestro amigo Nuwar se aloja cómodamente, pudimos descubrir que en realidad incorpora en su código propiedades de rootkit, ya que esconde sus archivos y procesos.

Procesos ocultos

Si bien es verdad que este tipo de técnicas, el engaño por intermedio de tarjetas virtuales, no es novedosa y que data desde hace mucho tiempo atrás, la realidad es que sigue siendo utilizada porque hay muchísimos usuarios que desconocen éste y la mayoría de las metodologías de los delincuentes informáticos.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio



Ver más

COMO DISTINGUIR LAS POSTALES FALSAS DE LAS VERDADERAS

¿Recibes en tu carta postales, felicitaciones de Navidad, de cumpleaños, de aniversario o cualquier otro tipo? Seguramente sí. Pero, ¿te las mandan personas conocidas? ¿o te las manda gente que no conoces de nada?

Parece obvio que, salvo errores postales, las felicitaciones y postales que recibimos en casa son de gente conocida, y no de desconocidos, ya que no es muy normal que nos dediquemos a enviar christmas navideños o felicitaciones de cumpleaños a personas que no conocemos de nada. Siempre cabe el error postal, y que acabe en nuestro buzón una postal del vecino del quinto, pero en ese momento es fácil leer que el destinatario no es el nuestro y por tanto, disntiguir lo que es nuestro de lo que no.

¿Porqué no aplicar en el mundo de las postales virtuales el mismo razonamiento?

Muchas personas reciben en sus correos postales virtuales al cabo del día. A mí no me gustan mucho, pero confieso que alguna que otra he enviado en alguna ocasión. No obstante, comprendo que para un usuario no muy avezado, puede resultar complicado distinguir las postales legítimas de las fraudulentas. Para ello, seguiremos estos pasos elementales:

1. Generalmente, las postales fraudulentas se emiten en lengua inglesa. Si somos españoles, argentinos, ecuatorianos o chinos, no parece muy razonable que en nuestro buzón un tal Mike Roberts, Andy Charlton o Mary Smith nos feliciten por nuestro cumpleaños, especialmente teniendo en cuenta que no conocemos a ninguno de los tres.

2. Tampoco es normal recibir postales virtuales cuyo asunto esté escrito en un idioma que no es el nuestro. Asuntos como You’ve received an ecard from a Worshipper! deben, al menos, hacernos sospechar. Seguro que si recibes en casa una tarjeta en casa con matasellos de Korea del Norte, o con un dibujo de Filipinas en el sobre, lo menos que te produce es sensación de extrañeza.

3. Los servicios postales virtuales suelen funcionar de un modo muy sencillo: yo escribo mi nombre y mi dirección de correo, y selecciono a quién enviar una postal, escribiendo un nombre y un correo. Es habitual también que acompañemos a la postal de un mensaje de texto personalizado. Así que cualquier mensaje extraño que no contenga el nombre, el correo o un mensaje inequívocamente asociable a un conocido o amigo, debe ser motivo de sospecha.

4. Los servicios de postales virtuales no trabajan por amor al arte, y suelen sustentar su actividad en ingresos publicitarios, con lo que bien el contenido en sí de la postal o bien la página a la que apunte el mensaje de recepción de postal, contendrán con mucha probabilidad publicidad legítima (nada de viagra online y cosas parecidas)

Imaginemos que aún así seguimos teniendo dudas, y hemos abierto la postal

Mal hecho. Ante la duda, deberías haber preguntado a quien creamos autor del envío si nos ha enviado algo. Una llamada de telefóno o un mensaje de correo pueden aclarar si el envío es o no legítimo. Si no has podido sospechar de nadie, con más razón hubieras hecho bien en borrar la postal y olvidarte de ella. Aún así, te gusta el riesgo, y te la has seguido jugando.

Al abrir el mensaje, lo normal es que te encuentres algo parecido a esto:

postales

Marcadas en rojo hay 5 cosas que nos deben hacer pensar mal:

1- Un asunto de mensaje en inglés, tal y como habíamos comentado anteriormente. ¿Tienes amigos en Inglaterra o en un país de habla inglesa?

2- Una dirección de origen desconocida y compuesta por caracteres aleatorios que no se parecen a un nombre (pcxly). Además, si visitamos el dominio wilco.ca, no encontraremos servicios de envío de postales alguno. ¿Recuerdas haber agregado a pcxly@wilco.ca a tu cuenta de Hotmail por un casual?

3- Ausencia de personalización: el mensaje es impersonal. ¡ No te están felicitando por nada !

4- La presunta postal no se almacena en una dirección verificable, sino en una IP (70.246.16.65) ¿Hay algo en esa línea que haga pensar que es un servicio de postales virtuales?

5- La persona que firma el envío es impersonal, y no es asociable a un contacto. ¿Tienes algúna migo que se llame postmaster? Yo el único postmaster que conozco es el mayordomo de mi servidor de correo postfix.

Sigo pensando que la postal es legítima

Tranquilo, también hay gente que cree que Elvis vive, y que la cara oculta de la luna está poblada de hombrecillos verdes urdiendo planes de invasión terráquea.

Llegados a este punto, muchos usuarios, por desgracia, pincharán en el enlace. En el caso que nos ocupa, ese enlace apunta a una descarga llamada ecard.exe (las postales jamás se envían como ejecutables, todavía tienes una oportunidad de cancelar). Con los datos que apuntamos, había una sospecha elevada de que fuera un contenido malicioso, y como bien dice el refrán, piensa mal y acertarás:

La muestra sólo la detectan AntiVir (Found TR/Crypt.XPACK.Gen), BitDefender (Found Trojan.Peed.IAM (probable variant)) y Kaspersky Anti-Virus (Found Trojan-Downloader.Win32.Tibs.mr). El resto de motores del servicio no encuentran nada, y eso es probablemente, por la frescura de la muestra.

Pues yo he pinchado y he ejecutado el fichero ecard.exe, paso de tus consejos

Mala suerte amigo. Desconecta tu PC de Internet de inmediato. Trata de limpiar el PC con un buen antivirus, y ante la duda, solicita a un soporte técnico de confianza que restaure una copia limpia de tu sistema operativo.

También puedes pasar de este consejo, y esperar tranquilamente sentado a que tu cuenta bancaria se quede vacía, o que tu máquina quede comprometida y a merced de algún botnet, claro. En tu mano queda.

Un saludo, y cuidado con las postales. No cuesta tanto darse cuenta de cuándo nos quieren felicitar, y cuándo lo único que se pretende es engañarnos.

Ver más

PWDUMP 7

Hace ya algun tiempo que no escribiamos por aqui, así que he decidido publicar una nueva herramienta. no esta completamente acabada pero es completamente funcional.

Actualmente hay muchas versiones de herramientas como pwdump o fgdump que se encargan de volcar los hashes de un sistema windows, para que puedan ser posteriormente descifrados. Cada version de estas herramientas tiene su propio modo de funcionamiento, creando servicios, inyectando código al proceso lsass, sin embargo, hay formas de hacer que estas versiones dejen de funcionar, por ejemplo deshabilitando los recursos administrativos, o eliminando privilegios de debug a un usuario administrador.

Pwdump7 sin embargo funciona de una forma totalmente diferente.

Este software funciona con su propio driver de sistema de archivos, usando tecnologia del software de deteccion de rootkits rkdetector de forma que un usuario con privilegios de administración, será capaz de volcar directamente los ficheros de registro SYSTEM y SAM directamente del disco duro.

Una vez volcados, se extraera la clave de syskey del fichero SYSTEM y se utilizará para generar los hashes lanman y ntlm del fichero sam, en un formato igual al que otras versiones de pwdump hacen.

Esta version es todavia una beta, y necesita alguna funcionalidad mas que ire añadiendo a lo largo del tiempo.

- Modificacion de contraseñas "online", actualizando las contraseñas de cualquier usuario directamente sobre el fichero SAM. De esta forma, no quedarán trazas en el sistema de que el fichero/password ha sido manipulado.
- compilar directamente con openssl (ahora requiere una de las librerias en el path) :)
- Meter soporte de contraseñas del directorio activo (a dia de hoy se desconoce el formato de las contraseñas almacenadas en el fichero ntds.dit)


Consultar fichero readme.txt
Podeis descargar aqui la ultima version de Pwdump 7.1

Fuente: http://www.514.es/

Ver más

FAST HTTP AUTH SCANNER
Fast HTTP Auth Scanner, es un nuevo scanner web que permite la automatización de tareas de pen-test contra routers y otros dispositivos que requieran autenticación a través de HTTP, permite comprometer rápidamente multiples dispositivos web

Esta herramienta soporta las siguientes funcionalidades:
- Escaneo: realiza un barrido rápido sobre un amplio número de sistemas, identificando las versiones de los servidores web
- protocolos: establece conexiones contra sistemas a través http y https
- autenticación: realiza un ataque de fuerza bruta contra los sistemas que requieren autenticacion basic en la página principal.
- Busqueda de recursos: En el caso de que la página principal no requiera autenticación, en base al fingerprint del sistema, se intentan localizar recursos que si la requieran para lanzar un ataque de fuerza bruta.
- Identificación de version del servidor: Si no se encuentra la cabecera Server del servidor Web en la petición inicial (GET) se probará adicionalmente el método HEAD
- Identificación de Webforms: Muchos routers y servicios HTTP fuerzan a que la autenticación se realice en formularios. En base a firmas se puede ampliar el esquema de autenticación a estos formularios.
- Multithreading: Soporte multihilo (por defecto 200 threads con un timeout de 15 segundos)

Seguir leyendo

Fuente: http://www.514.es

Ver más

Este resumen no está disponible. Haz clic aquí para ver la publicación.

Ver más

19.7.07

FIREFOX 2.0.0.5, ACTUALIZACION DE SEGURIDAD
Ya Mozilla nos complace con una actualización de seguridad para Firefox 2.0. Esta versión (2.0.0.5) resuelve varias vulnerabilidades entre las cuales se destacan 3 de seguridad.

.- Algunos cuelgues que suponen corrupción de memoria.
.- Escalada de privilegios mediante un manejador de eventos adjunto a un elemento que no pertenece al documento.
.-Se arregla la contribución de Firefox al curioso bug que requiere Explorer como cooperador necesario.


Así que ya sabes, dentro de poco tu Firefox va a pedirte actualizar.

Fuente: Kriptopolis

Ver más

REVOLUTION OS

Etimología de la palabra Linux
Linux se refiere estrictamente al núcleo Linux, pero es comúnmente utilizado para describir al sistema operativo tipo Unix (que implementa el estándar POSIX), que utiliza primordialmente filosofía y metodologías libres (también conocido como GNU/Linux) y que está formado mediante la combinación del núcleo Linux con las bibliotecas y herramientas del proyecto GNU y de muchos otros proyectos/grupos de software (libre o no libre).

La expresión "Linux" es utilizada para referirse a las distribuciones GNU/Linux, colecciones de software que suelen contener grandes cantidades de paquetes además del núcleo. El software que suelen incluir consta de una enorme variedad de aplicaciones, como: entornos gráficos, suites ofimáticas, servidores web, servidores de correo, servidores FTP, etcétera. Coloquialmente se aplica el término "Linux" a éstas. Algunas personas opinan que es incorrecto denominarlas distribuciones Linux, y proponen llamarlas sistema GNU/Linux. Otras personas opinan que los programas incluidos proceden de fuentes tan variadas que proponen simplificarlo denominándolo simplemente a "Linux".

Pronunciación: /lí.nuks/, no /lái.nuks/

La pronunciación correcta (para cualquier idioma) es muy cercana a como se pronuncia en español: /lí.nux/ o /lnəks/ (Alfabeto Fonético Internacional).
Aquí les dejo un enlace para poder ver en línea este más que interesante documental sobre el nacimiento del movimiento Linux.
Un material que no deja nada para despreciar!!!!!!!!

jam

Ver más

13.7.07

TERCER SEMINARIO SEGU-INFO: "10 MANERAS DE SER ESTAFADOS"
El martes 17 de julio de 13:00 a 18:00 hs se llevará a cabo el 3er Seminario de Seguridad de la Información organizado por Segu-Info, en la Ciudad Autónoma de Buenos Aires, Argentina.

Este seminario está orientado a estudiantes, profesionales y público en general y se llevará a cabo en el Instituto Universitario de la Policía Federal Argentina (IUPFA) ubicado en Rosario 532.

El evento contará con la presencia de reconocidos expertos en Seguridad y Legislación durante toda la jornada. En el cierre se realizará un debate entre los profesionales y el público para conocer las experiencias de los asistentes.

"10 maneras de ser estafado tiene como objetivo presentar las debilidades más comunes a las que nos vemos expuestos como usuarios y las formas de prevención", dijo Cristian Borghello, Director de Segu-Info.

A continuación se detalla el programa a desarrollar.

1. Presentación Seminario
2. De Hollywood a la realidad
3. Demostración de Phishing
4. Troyano bancario
5. Ataques a DNS-Pharming
6. Las desventuras del ser Paranoico
7. Ataques mediante vulnerabilidades de Windows

8. Cookie Break

9. Ataques mediante USB
10. Debate Legislativo/Jurídico
- Responsabilidades Legales en Seguridad de la Información
- Robo de Intensidad
- Los delitos en la tecnología
11. Educación en Seguridad
12. Ataques a OpenID
13. Foro de debate

La participación del evento requiere inscripción previa y los cupos son limitados.

Ver más Información e Inscripción

Esperamos contar con su valiosa presencia.

Fuente: www.segu-info.com.ar

Ver más

ENTREVISTA CON UN HACKER BUENO
EZEQUIEL SALLIS, EXPERTO EN SEGURIDAD DE EMPRESAS

Una de estas tardes bien frías y grises, en la que los virus que más afectan son los de la gripe, decidimos darle vuelta la cara a los gérmenes y agarramos para el otro lado. Fuimos en busca de los virus que más nos interesan,
los virus informáticos.


De entrada nos planteamos llegar hasta el hueso. Y telefónicamente pactamos una cita con un hacker que trabaja para grandes empresas previniendo ataques. Es algo así como un agente no secreto que hackea a las empresas que se lo piden. Sabe meterse de prepo en casi cualquier sistema informático.

Sentados en su oficina de un piso 11 del macrocentro, lo esperamos un minuto, quizás menos. Imaginábamos dar con un pelilargo de barba de ocho días y bigotes mal cortados, como un antinarcóticos de la policía. O con un nerd de lentes y sonrisa permanente. Pero no, el tipo es la contracara.

Vestido para matar

"Que tal, yo soy Ezequiel", nos sorprendió estrechándonos la mano. Espigado, peinado hacia atrás, simpático, a Ezequiel Sallis le sentaba bien ese prolijo traje azul. Pero ni bien comenzó la charla, el saco parecía de otro. Su sonrisa fresca y la forma de pedirle el café a su compañera de trabajo de la empresa de seguridad I-Sec, no son propias de un ejecutivo. Pero Sallis debe vestirse de empresario porque trabaja para empresarios. Si su look fuera el de un hacker de película, sencillamente no tendría trabajo. Y trabajo le sobra.

"Con mi mujer ya tenemos ganas de tener nuestro primer hijo, pero tengo tanto trabajo... Estoy de acá para allá. En unos días vuelvo a viajar por una semana. Voy a hacer una tarea de consultoría en una empresa de Puerto Rico."

-¿Para qué le sirve a una gran empresa contratar a un hacker?

-Yo puedo decirles qué problemas tienen sus sistemas, puedo meterme en ellos como cualquier otro hacker y les digo donde están flojos. Hago Penetration Testing y Ethical Hacking. Penetration Testing es cuando te contratan para algo específico. Por ejemplo, si quieren saber si su base de datos es inviolable, te contratan para que trates de entrar ahí. En cambio, el Ethical Hacking no tiene un objetivo específico. Tratás de meterte en todos lados y sembrás pruebas. Es decir, colocás un archivo en el sistema o tomás datos secretos y se los contás. Eso se hace para demostrar que entraste.

La ética es lo que cuenta

A lo largo de la charla, Sallis aclara una y otra vez que él es un hacker ético desde siempre y no desde que trabaja para empresas. "Empecé con programitas tontos, ingresando a cuentas de e-mail de amigos y de novias, a los 13 años. Más tarde empecé a ver hasta dónde podía llegar. Me metía en empresas con fama de seguras. Decía: 'A ver si puedo entrar'. Y entraba y salía sin dejar rastro, y siempre sin hacer daño. Se debe diferenciar entre el hacker que hace daño y el que no. Eso es muy importante. Hoy, ya no entro donde no me lo piden. Pruebo mis programas de hacking en cuatro computadoras que tengo en red, en casa."

-¿Tenés esos programas acá?

-Sí, los llevo en la notebook. ¿Querés verlos?

Ezequiel invita a pasar a una pequeña oficina contigua de 2 por 3. Sobre el escritorio espera su portátil extrachata. La enciende. Ingresa a una carpeta llamada Security Tools y se dispone a exhibir lo suyo. Es un auténtico arsenal. Prueba cada una de las herramientas y todas funcionan.

Un verdadero arsenal

Tiene cracking de contraseñas, para ingresar en cuentas vedadas; diccionarios para crackear passwords, que incluye los más usados de la Argentina, como por ejemplo el término capo; herramientas de correo electrónico con las que se puede mandar fácilmente un e-mail con remitente de otro.

También tiene señuelos, que sirven para que un desprevenido entre en una página web que no es la que parece ser y, sin saberlo, envíe información al hacker. Y crawlers que sirven para bajar páginas web e investigarlas off line, y mucho más.

"De todos modos, aclara, esto sólo no sirve. Para hackear hay que tener creatividad. Una contraseña podés conseguirla sólo con llamar por teléfono a la mesa de ayuda de la empresa en cuestión. Y, aunque parezca mentira, con solo decir un nombre de alguien que trabaja ahí, algunos te la dan. O podés ir al Google y empezar a buscar información ahí. Y vas buscando y buscando y te aparecen sectores de sitios de Internet que si entrás por la dirección web de la página te dicen 'no disponible'. Pero si vas por Google, sí podés entrar." Así Sallis encontró los gastos de campaña de uno de los partidos políticos más importantes de la Argentina para la última elección a Jefe de Gobierno de la ciudad de Buenos Aires.

"Si en ese buscador —sigue Sallis— ponés @ y, seguido, el nombre de una empresa, van a aparecerte muchas direcciones de e-mail de esa empresa. Ahí ya tenés otra punta. Después le mandas un troyano a esa cuenta de correo . Y si el destinatario pica, ya estás adentro de la empresa, porque con el troyano todo lo que esa persona tipea te llega a vos. Un troyano se consigue en Internet por 300 dólares."

-Siguiendo el camino que trazás, el nivel de inseguridad es altísimo.

-Depende de la empresa. Hay que seguir ciertas pautas. Nosotros recomendamos manejarse con la norma ISO 17799, que explica desde cómo dar de alta un usuario hasta cómo configurar un servidor. Porque no sirve de nada tener celo en la protección de lo que está en la PC si mandás a imprimir información confidencial a una impresora que está en el medio de un salón al que todos tienen acceso. O si tenés en el pizarrón del departamento de redes el diagrama de red de la empresa. Para alguien como yo, eso es fundamental. Voy con este aparatito —saca de un bolsillo un diminuto celular con cámara—, le saco una foto y listo. Después, el sistema es mío.

Fuente: http://www.clarin.com

Ver más

5.7.07

LA DELGADA BARRERA QUE SEPARA LOS CODIGOS MALICIOSOS ILEGALES DE LOS LEGALES (ADWARE & SPYWARE)

Por André Goujon Maucher

Los Adware ya no son simples programas que muestran publicidad como hace unos años, sino que son capaces de eliminar otros Adware, atacar antivirus, firewalls y programas antispyware, actualizarse a versiones no detectadas por los antivirus y antispyware y ahora además ¡nos chantajean!

Breve introducción a los códigos maliciosos legales e ilegales
Para poder entender lo que más abajo expongo, se deben tener claros algunos conceptos básicos al respecto:

Códigos maliciosos legales
Programas que realizan diversas operaciones en el ordenador de forma oculta al usuario. Son generalmente instalados por aplicaciones gratuitas (KaZaa por ejemplo). Esto se debe a que al mostrar publicidad o enviar información del usuario, las empresas que ofrecen dichos programas gratuitos pueden obtener dinero a cambio. Son legales ya que en el contrato del programa gratuito se especifica que serán instalados y el usuario al hacer clic sobre "Yo acepto" está declarando que acepta los términos para poder utilizar dicho programa.

Dentro de los códigos maliciosos legales podemos encontrar Adware y Spyware.

1. Adware: Programas que muestran publicidad en su ordenador. Aunque no realizan espionaje, suelen ser molestos ya que utilizan recursos del ordenador, muestran publicidad incluso si no se tiene abierto el navegador Web, etc.

2. Spyware: Programas que envían información del usuario como hábitos de navegación a un determinado ordenador (servidor) de una compañía.

Códigos maliciosos ilegales
Todos aquellos programas que realizan operaciones en el ordenador sin el consentimiento escrito del usuario. Dentro de esta categoría tenemos la siguiente clasificación:

1. Virus: Programas que infectan ficheros del ordenador agregando su propio código al fichero original.

2. Troyanos: Programas que no poseen rutinas de expansión ni tampoco infectan ficheros. Aparentan ser una aplicación con buenos propósitos (de ahí el nombre).

  • Troyano downloader: Troyanos que descargan otros códigos maliciosos legales e ilegales desde Internet sin el consentimiento del usuario para luego instalarlos en el ordenador.
  • Troyano dropper: Troyanos que instalan códigos maliciosos legales e ilegales sin el consentimiento del usuario.
  • Troyanos de acceso remoto: Troyanos que esperan instrucciones de una persona remota desde Internet.


3. Gusanos: Programas capaces de expandirse utilizando Internet y redes.

¿Pero que tan legales son estos códigos?

Hoy en día, los códigos maliciosos legales han pasado a ser uno de los principales dolores de cabeza.

Bastó para darme cuenta cuando la gente me llama y me pide ayuda: André, mi computador está infectado con virus. En la mayoría de los casos, estas "infecciones" sólo se trataban de Adware o Spyware.

La barrera que existe entre los códigos maliciosos ilegales (virus, gusanos y troyanos) y los legales se nota cada vez menos. Los Adware ya no son simples programas que muestran publicidad como hace unos años, sino que son capaces de eliminar otros Adware, atacar antivirus, firewalls y programas antispyware, actualizarse a versiones no detectadas por los antivirus y antispyware y ahora además ¡nos chantajean!

Muchas aplicaciones vienen con estos códigos maliciosos legales, sin embargo, algunas páginas de estos productos aseguran que sus programas están libres de virus y troyanos. Hablando en términos de clasificación de códigos maliciosos, lo que estas empresas aseguran es cierto, pero ¿Los adware y spyware son tan legales como lo aseguran ser?

Revisemos el caso del virus que NOD32 detecta como Win32/Oleloa.A. Este virus es descargado por otros adware y troyanos downloaders. El virus infecta los archivos del disco duro y luego nos pide un precio por una solución capaz de desinfectar nuestros ficheros.

La aplicación misma sólo traería consigo un adware, pero capaz de descargar códigos maliciosos ilegales. En este caso, la barrera entre los códigos legales e ilegales desaparecería.

En mi opinión, esto no es legal en lo absoluto, independiente que el contrato de uso de un programa lo especifique. Es decir, ¿Cómo puede ser legal un código malicioso a pesar de que esté especificado en un contrato de un programa?

Pongamos el siguiente ejemplo: Ofrezco servicios de limpieza de chimeneas. En mi contrato de servicio especifico que a parte de limpiar la chimenea tengo derecho a robar objetos de la casa. ¿Es esto legal? En lo absoluto.

Los adware están atentando contra las buenas costumbres al descargar códigos maliciosos como virus.
Los programas antispyware tendrán que empezar a incluir rutinas de desinfección y los antivirus tendrán que cuestionarse si agregar el código en cuestión a la base de datos estándar (detección de códigos maliciosos ilegales) o extendida (detección de códigos maliciosos legales), ya que estrictamente hablando es un adware, pero que descarga un código malicioso, por lo tanto, podría considerarse como un troyano.

Que un virus sea instalado por un troyano downloader o por un adware debería ser castigado de igual manera e incluso se le debería prestar la misma atención que una persona que hace troyanos.

Espero que las leyes se pongan estrictas al respecto y que empiecen a actuar para prohibir dichas tendencias.

Fuente: http://www.enciclopediavirus.com/enciclopedia/articulo.php?id=564

Ver más

SECURITY DAY CON VIDEO
Desde el Blog de Chema podemos acceder al un video de Security Day con charlas del mismo Chema y Sergio de los Santos sobre malware y virustotal.

El video viene con demostración de troyanos y todo sobre el final. Si alguien quiere ver como funcionan, también puede hacerlo en nuestro seminario.

Fuente: http://www.segu-info.com.ar

Ver más

4.7.07

ESET LANZA LA VERSION BETA DE SU ONLINE SCANNER

"Ya se encuentra disponible al público el servicio gratuito de exploración en línea de la compañía líder en detección proactiva".

ESET es la empresa de Seguridad Informática que desarrolla y comercializa una de las mejores herramientas para combatir el malware, NOD32.

Esta semana acaba de lanzar la versión beta de su producto estrella para ser utilizada en línea prometiendo obtener a través de el los siguiente beneficios:
Rápido y Fácil de Usar: El explorador es instalado y activado por un solo botón.

Siempre Actualizado: Usa las últimas definiciones de amenazas y algoritmos de detección heurística disponibles desde ESET Threat Lab.

Detección Exhaustiva de Malware: Detecta tanto formas conocidas como desconocidas de una amplia variedad de códigos maliciosos: incluyendo virus, gusanos, troyanos, phishing y spyware.

Exploración Profunda: Explora dentro de archivos comprimidos, ejecutables empaquetados y mensajes de correo electrónico.

Limpieza: Limpia sistemas que fueron infectados mientras utilizaban otra solución antivirus y permite a los usuarios finales el diagnóstico y reparación de muchos problemas relacionados con el malware.

Anonimato: El Online Scanner puede ser usado anónimamente ya que la información del contacto no es requerida para la utilización del servicio.

Para más información o descargar una copia, visite la sección Beta del Online Scanner del sitio en inglés de ESET.

Fuente: http://www.eset-la.com

Ver más

3.7.07

INUNDACION DE TARJETAS VIRTUALES DAÑINAS
Esta semana que recien comienza viene agitada con el tema de los correos que simulan ser una tarjeta virtual pero que en realidad contiene un enlace a un archivo dañino.

El correo tiene la siguiente apariencia:

Como puede verse se dan opciones para descargar la supuesta postal. Cualquiera de las dos opciones que se menciona hacen referencia a un programa dañino.

Si accedemos a esas direcciones podremos ver lo siguiente:


Como puede verse se hace referencia a un archivo "ecard.exe". Si se descarga y ejecuta el mismo seremos infectados con un troyano.

Fuente: www.segu-info.com.ar

Ver más