MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

29.2.08

INTRODUCCIÓN A LAS REDES TOR
Tor es un cojunto de herramientas que pretende conseguir el anonimato online. Usa una red de máquinas o nodos a través de los cuales enruta el tráfico de red, tal y como se muestra en el esquema siguiente:

Como se ve en el dibujo una conexión a través de la red Tor usa tres nodos intermediarios entre el origen y el destino. De esta manera la máquina destino que recibe la conexión solo tendrá acceso a la IP del último nodo.

Tor ofrece una interfaz SOCKS a las aplicaciones, por lo que cualquier aplicación preparada para usar SOCKS podrá utilizar la red Tor sin problemas.
Sin embargo, no es necesario que una aplicación disponga de soporte para SOCKS, dado que Tor distribuye un script llamado "torify" que permite que cualquier aplicación use la red tor.

Este script emplea la herramienta tsocks para permitir que una aplicación use SOCKS de forma transparente.

Para que un usuario pueda conectarse a la red Tor necesita obtener un listado de nodos de la red. Este proceso, como indica el dibujo, se realiza sin cifrar.


A continuación se empieza a crear el circuito por el que viajaran los datos en la red Tor. Cada servidor conoce únicamente al servidor que le proporciona los datos y al servidor al que se los envía. por lo que ninguna máquina conoce el recorrido completo. Además, en cada tramo, los servidores afectados negocian claves diferentes, impidiendo que las conexiones sean rastreadas.


Una vez el circuito ha sido establecido se utilizará durante unos diez minutos. Posteriormente se creará un circuito nuevo.


La forma de instalar Tor depende en gran medida del sistema operativo utilizado, por lo que para instalarlo lo mejor es partir de la documentación oficial.

Una vez instalado su uso es sencillo. Por ejemplo, podríamos torificar la aplicación netcat con el comando siguiente:
$ torify nc www.google.com 80
Observemos el funcionamiento de Tor. Si no usamos el comando "torify" vemos que estamos realizando una conexión directa a google.
$ nc www.google.com 80

# En otro terminal
$ netstat | grep ESTABLISHED
tcp 0 0 192.168.1.69:34362 nf-in-f99.google.com:http ESTABLISHED
Sin embargo, torificando netcat los resultados son diferentes.
$ torify nc www.google.com 80

# En otro terminal
$ netstat | grep ESTABLISHED
tcp 0 0 192.168.1.69:34352 tor.outra.net:9090 ESTABLISHED
tcp 0 0 192.168.1.69:34351 cyberphunk.eu:9001 ESTABLISHED
Queda claro que no saltamos directamente al servidor de google sino que entramos en la red Tor. Veamos ahora con que dirección IP llegamos a nuestro destino. Necesitaremos una web que nos diga la dirección IP (http://www.vermiip.es/) y otra que nos diga la localización geográfica (http://www.ip2location.com/free.asp),

Esto nos permitirá obtener la IP con el comando:
$ torify lynx --dump http://www.vermiip.com 2>/dev/null | grep "Tu ip" | cut -c 18-30
85.214.63.25
Y su localización geográfica:
$ torify lynx --dump http://www.ip2location.com/free.asp?ipaddresses=85.214.63.25 \
2>/dev/null | grep "85.214.63.25\|mapit" | sed -e 's/\[.*\]//'
85.214.63.25 DE GERMANY
BERLIN BERLIN STRATO RECHENZENTRUM BERLIN
De esta manera podemos construir un sencillo script que nos de el listado de nodos de salida de Tor.

$ cat print_tor_nodes.sh
#!/bin/bash

while true; do

IP=`torify lynx --dump http://www.vermiip.com 2>/dev/null | grep "Tu ip" | cut -c 18-30`;

DATA=`torify lynx --dump http://www.ip2location.com/free.asp?ipaddresses="$IP" \
2>/dev/null | grep "$IP\|mapit" | sed -e 's/\[.*\]//'`

echo $DATA
sleep 300

done
Del que extraemos el siguiente listado, que nos permite ver los nodos que nos dan acceso a Internet en último lugar.
208.64.29.34 US UNITED STATES NEW YORK NEW YORK R & D TECHNOLOGIES LLC
217.20.117.1 DE GERMANY BERLIN BERLIN NETDIREKT E. K
128.197.11.3 US UNITED STATES MASSACHUSETTS BOSTON BOSTON UNIVERSITY
88.191.29.92 FR FRANCE ILE-DE-FRANCE PARIS DEDIBOX SAS
88.191.25.27 FR FRANCE ILE-DE-FRANCE PARIS DEDIBOX SAS
89.149.207.1 DE GERMANY BERLIN BERLIN NETDIREKT E.K
87.234.124.1 DE GERMANY BERLIN BERLIN QSC AG DYNAMIC IP ADDRESSES
88.191.29.92 FR FRANCE ILE-DE-FRANCE PARIS DEDIBOX SAS
87.234.124.1 DE GERMANY BERLIN BERLIN QSC AG DYNAMIC IP ADDRESSES
88.191.29.92 FR FRANCE ILE-DE-FRANCE PARIS DEDIBOX SAS
128.197.11.3 US UNITED STATES MASSACHUSETTS BOSTON BOSTON UNIVERSITY
75.72.79.46 US UNITED STATES
203.26.16.68 AU AUSTRALIA NEW SOUTH WALES WEST WYALONG TPG INTERNET PTY LTD
88.191.11.18 FR FRANCE ILE-DE-FRANCE PARIS DEDIBOX SAS
88.198.50.14 DE GERMANY - - HETZNER-RZ-NBG-NET
83.243.80.77 DE GERMANY BERLIN BERLIN SERVERCREW LTD. PI
88.191.29.92 FR FRANCE ILE-DE-FRANCE PARIS DEDIBOX SAS
209.160.32.1 US UNITED STATES DISTRICT OF COLUMBIA WASHINGTON HOPONE INTERNET CORPORATION
60.167.39.24 CN CHINA BEIJING BEIJING CHINANET ANHUI PROVINCE NETWORK
83.217.66.50 BE BELGIUM OOST-VLAANDEREN DENDERMONDE NMV-CUST-DIGITALROOT
128.2.141.33 US UNITED STATES PENNSYLVANIA PITTSBURGH CARNEGIE MELLON UNIVERSITY83.171.182.9 DE GERMANY BAYERN NüRNBERG MNET TELEKOMMUNIKATION GMBH
85.214.63.25 DE GERMANY BERLIN BERLIN STRATO RECHENZENTRUM BERLIN
74.208.46.15 US UNITED STATES NEW YORK NEW YORK 1&1 INTERNET INC
122.145.8.19 JP JAPAN - - FREEBIT CO. LTD
71.226.252.2 US UNITED STATES PENNSYLVANIA WEST CHESTER COMCAST CABLE COMMUNICATIONS INC
83.233.181.9 SE SWEDEN - - PROVIDER LOCAL REGISTRY
166.70.207.2 US UNITED STATES UTAH SALT LAKE CITY XMISSION
195.71.90.10 DE GERMANY - - PROVIDER LOCAL REGISTRY
...
Respecto al script anterior, realiza un sleep de cinco minutos antes de reintentar, lo que hace el procese extremadamente lento. Si se reinicia Tor antes de cada petición el circuito se crea de nuevo y se obtiene un nodo diferente. De esta manera puede suprimirse el sleep del script.

En el momento de escribir este artículo la red Tor es relativamente pequeña, lo que disminuye notablemente el grado de anonimato. Aunque, sin duda, tiene un futuro prometedor.

Referencias:
- Tor Project: http://www.torproject.org

Fuente: http://h4ck1t.blogspot.com

Ver más

MODOS DE CIFRADO: ECB, CBC, CTR, OFB y CFB.
Los algoritmos de cifrado de bloque como DES o AES separan el mensaje en pedazos de tamaño fijo, por ejemplo de 64 o 128 bits. La forma en que se gestionan estos pedazos o bloques de mensaje, se denomina "modo de cifrado". Existen muchos modos de cifrado diferentes, a continuación hablaremos de los más importantes.

ECB - Electronic Code Book Mode:
ECB ha sido estandarizado por el NIST (U.S. National Institute for Standards and Technology). Este modo de cifrado es el más simple de todos, pues se limita a partir el mensaje en bloques y cifrarlos por separado.


Entre las ventajas de este método destaca la posibilidad de romper el mensaje en bloques y cifrarlos en paralelo o el acceso aleatorio a diferentes bloques.

Sin embargo, las desventajas de este modo de cifrado son enormes, por lo que se usa cada vez menos. El hecho de cifrar los bloques por separado implica que cuando se cifre un bloque con cierto valor, siempre se obtendra el mismo resultado. Esto hace posible los ataques de diccionario.

Además, cuando se cifran varios bloques y se envían por un canal inseguro, es posible que un adversario elimine ciertos bloques sin ser detectado, o que capture algunos bloques y los reenvíe más adelante.

CBC - Cipher Block Chaining Mode:
CBC ha sido estandarizado por el NIST (U.S. National Institute for Standards and Technology). Este modo de cifrado es una extensión de ECB que añade cierta seguridad. El modo de cifrado CBC divide el mensaje en bloques y usa XOR para combinar el cifrado del bloque anterior con el texto plano del bloque actual. Como no se dispone de un texto cifrado con el que combinar el primer bloque, se usa un vector de inicialización IV (número aleatorio que puede ser publicamente conocido). El uso del vector de inicialización es importante, pues de no usarlo, podría ser susceptible de ataques de diccionario. También es necesario que el IV sea aleatorio y no un número secuencial o predecible.

Para descifrar el mensaje usaremos el mismo procedimiento a la inversa:
Entre las desventajas de este modo de cifrado destaca la necesidad de realizar el cifrado de forma secuencial (no puede ser paralelizado). Tambien hay que tener en cuenta la posibilidad de realizar ataques de reenvío de un mensaje entero (o parcial).

CTR - Counter Mode:
Mientras que ECB y CBC son modos basados en bloques, CTR simula un cifrado de flujo. Es decir, se usa un cifrado de bloque para producir un flujo pseudo aleatorio conocido como keystream. Este flujo se combina con el texto plano mediante XOR dando lugar al cifrado.

Para generar el keystream se cifra un contador combinado con un número aleatorio (nonce) mediante ECB y se va incrementando. El valor del contador puede ser públicamente conocido, aunque es preferible guardarlo en secreto. Es necesario que el valor de nonce+contador lo conozcan ambos lados de la comunicación.

Entre las ventajas de CTR destaca la posibilidad de precalcular el keystream (y/o trabajar en paralelo), el acceso aleatorio al keystream o que revela poquísima información sobre la clave.

Como desventajas hay que tener en cuenta que reutilizar un contador en la misma clave puede ser desastroso, pues se generará de nuevo el mismo keystream.

Modificar bits en el texto plano es muy sencillo, pues modificando un bit del cifrado se modificará el bit del texto plano correspondiente (Bit-flipping attacks). Por lo que es adecuado usar este modo de cifrado junto con una verificación de la integridad del mensaje.

OFB - Output Feedback Mode:
OFB ha sido estandarizado por el NIST (U.S. National Institute for Standards and Technology). Como CTR es otro cifrado de flujo. En este caso el keystream se genera cifrando el bloque anterior del keystream, dando lugar al siguiente bloque. El primer bloque de keystream se crea cifrando un vector de inicialización IV.


OFB comparte muchas de las características de CTR, pero CTR tiene beneficios adicionales, por lo que OFB se usa bastante poco.

En OFB se pueden precalcular los keystream (aunque no se puede realizar en paralelo) y a diferencia de CTR no da problemas al ser usado con cifrados de bloque de 64 bits. Además, como en el caso de CTR, revela muy poca información sobre la clave.

Tambien comparte con CTR sus desventajas: reutilizar un contador en la misma clave puede ser desastroso y permite Bit-flipping attacks.

CFB - Cipher Feedback Mode:
CFB ha sido estandarizado por el NIST (U.S. National Institute for Standards and Technology) y es muy similar a OFB. Para producir el keystream cifra el último bloque de cifrado, en lugar del último bloque del keystrema como hace OFB.


Como un OFB reutilizar un contador en la misma clave puede ser desastroso y permite Bit-flipping attacks. En CFB el cifrado no puede ser paralelizado, pero el descifrado si.
Igual que en el caso anterior, es preferible usar CTR.

Referencias:
- Block cipher modes of operation - Wikipedia.
- Secure Programming Cookbook, Ed O'Reilly. Viega, Messier.

Fuente: http://h4ck1t.blogspot.com

Ver más

28.2.08

VIDEOS SOBRE MALWARE

ESET ha presentado Videos Educativos sobre Seguridad Antivirus como iniciativa en torno a la educación y capacitación en Seguridad Informática y con el objetivo de seguir brindando nuevas herramientas de prevención para los usuarios.

El lema de los Videos Educativos de ESET es: ¿Qué tendría que haber hecho usted?, y en los mismos se muestra en primera instancia el accionar de un código malicioso, para luego mostrar lo que tendría que haber realizado el usuario para no infectarse con dicho malware.

En este momento se encuentran tres videos disponibles con diversas temáticas

Ver más

DEMOSTRACIÓN DE LA RUPTURA DEL CAPTCHA DE GMAIL

CAPTCHA se denomina a esas letras apenas legibles para los humanos que se presentan en casi todos los formularios de inscripción a algún servicio web, y en este caso en especifico a los servicios de correo gratuito de Google Gmail.

Para entender para que sirven le pido ayuda a la Wikipedia:

Captcha es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar a máquinas y humanos).
Se trata de una prueba desafío-respuesta utilizada en computación para determinar cuándo el usuario es o no humano. El término se empezó a utilizar en el año 2000 por Luis von Ahn, Manuel Blum y Nicholas J. Hopper de la Carnegie Mellon University, y John Langford de IBM.

La típica prueba consiste en que el usuario introduzca un conjunto de caracteres que se muestran en una imagen distorsionada que aparece en pantalla. Se supone que una máquina no es capaz de comprender e introducir la secuencia de forma correcta por lo que solamente el humano podría hacerlo (salvo error).

Como el test es controlado por una máquina en lugar de un humano como en la Prueba de Turing, también se denomina Prueba de Turing Inversa

Todo estos esfuerzos y barreras se establecen para impedir que los spammers creen cuentas basuras en forma automática a través de sus spambots, y así no les sea más fácil bombardearnos desde "dentro" con spam nuestras cuentas de correo en Gmail.

Pero al parecer esto no esta siendo suficiente ya que Websense a presentado un estudio técnico muy interesante sobre la ruptura del sistema de captcha en Gmail [EN], con una tasa de éxito de 1 en 5 intentos. Al parecer la técnica para romper el captcha en forma automática, se coordina a través de dos máquinas trabajando en conjunto, una descifrando el captcha y la otra haciendo una petición de la página de ayuda de Gmail para "ganar tiempo" para realizar el trabajo.

Ver más

20.2.08

CÓMO FUNCIONA UN ATAQUE DE DDoS (GRÁFICAMENTE)

Un ataque de DDoS a través de equipos controlados (zombies) funciona de la siguiente manera:

Ver más

"GUSANO BENIGNO" DE MICROSOFT CAUSA CONTROVERSIA

Un equipo de investigadores de Microsoft en Cambridge asegura haber encontrado una forma más eficiente para distribuir los parches del sistema: imitando las técnicas de propagación de los gusanos informáticos.

Los gusanos se reproducen por sí mismos, buscando sistemas vulnerables para infectarlos. De la misma manera, la actualización de Windows buscaría ordenadores que no estén actualizados y los parcharía de forma automática.

Según los investigadores, esto ayudaría a actualizar los sistemas de manera más rápida y eficaz.

Microsoft aclaró que, por el momento, no planea reemplazar Windows Update por ningún gusano y que esta investigación sólo busca formas de adoptar los conocimientos de epidemiología y aplicarlos a la distribución de contenido.

Muchos expertos en seguridad aseguran que este gusano podría traer más inconvenientes que beneficios. Una de las mayores dificultades sería controlar su expansión y asegurar su interacción con los programas de seguridad. Asimismo, los cibercriminales podrían utilizarlo con fines maliciosos.

Además, esta propuesta trae consigo un gran dilema ético, pues modificaría programas y sistemas sin el consentimiento del usuario.

Los expertos presentarán su investigación en la conferencia INFOCOM que se llevará a cabo en abril de este año.

Fuente: http://www.viruslist.com/

Ver más

12 COSAS QUE SIEMPRE QUISISTE SABER MSN PERO TEMIAS PREGUNTAR

Para algunos es el principal motivo para usar una computadora, para otros una herramienta de comunicación más, y para otros una mediocre e insegura aplicación propietaria que sólo puede agradar a la masa imberbe. MSN Messenger o Windows Live Messenger como Microsoft lo denomina actualmente, junto con Internet Explorer, se convirtió para mucha gente en un sinónimo de Internet. Hoy, en un extraordinario servicio a la comunidad (por Dios…! qué bueno soy! debería levantarme un monumento…) voy a revelar algunos misterios sobre el mensajero más popular que muchos desconocen, otros sospechan, y algunos saben. Así saben a qué atenerse.

Vamos a los bifes:

1. Puedo saber quién me bloqueó en el MSN?: No, como bien comentaban en este blog (el cual en parte inspiró este post), hoy en día es imposible saber si algún contacto te tiene bloqueado. Hace mucho se podía pero Microsoft solucionó el problema. Hoy sólo es posible haciéndose pasar por otro y esperando que el susodicho caiga o preguntarle a algún contacto en común si lo ve online. Todo sitio web, programa, o servicio que diga que sí puede te miente o es obsoleto, y es más probable que sea lo primero.

2. Puedo saber quién me borró de su lista de contactos?: Sí. La forma difícil y sin nada extra para averiguarlo es ir a Herramientas/Opciones/Privacidad en Messenger y hacer click en el botón Ver…, y así veremos a quienes nos tienen agregados, de manera que quienes no figuren, no nos tienen. También algunos clientes alternativos que se conectan a la red de MSN lo informan directamente sobre los datos de cada contacto, como aMSN o Gaim; sino otra opción es utilizar Noroom’s ListManager, una herramienta freeware que además nos permite de la forma más intuitiva y efectiva “limpiar” nuestra lista de contactos de aquellos que nos quitaron, así como también borrar permisos (allows) y bloqueos dados a contactos que ya no tenemos. De esta forma se reduce la cantidad de información que se intercambia al iniciar sesión, agilizándose esta.

3. Alguien puede leer lo que escribo por MSN?: La respuesta es sí. Haciendo a un lado la posibilidad de tener un troyano o keylogger que capture todo lo que se teclea, los mensajes que se envían por la red pueden ser interceptados y almacenados. Esto se debe básicamente a que los mensajes viajan como texto plano, sin ningún tipo de cifrado. De esta manera, alquien que conversa por MSN desde su notebook usando una conexión Wi-Fi puede tener todas sus charlas vistas y guardadas por cualquiera que esté en el mismo café y tenga el software adecuado (que no es difícil de conseguir). También está el caso del empleado que chatea desde la computadora de su oficina, donde también es perfectamente posible que el administrador de la red intercepte y almacene todas las charlas de MSN y otros mensajeros que ocurren a través de equipos de la compañía. Esto muchas empresas lo hacen por políticas de seguridad, y sin informar a sus empleados, para poder detectar fugas de información confidencial de la empresa o tener una constancia de todo lo que cualquier empleado de la firma haya dicho, para preveer conflictos futuros. Msn Chat Monitor & Sniffer es una de estas aplicaciones que permiten espiar y almacenar todo lo que se conversa en una red a través de MSN.

MSN Chat Monitor & Sniffer

4. Existe alguna forma de evitar que intercepten mis conversaciones?: Afortunadamente sí. La solución más popular y además gratuita es SimpLite-MSN, el cual encripta los mensajes de forma que no puedan ser fácilmente descifrados. Para funcionar requiere que el otro contacto también lo tenga instalado en su equipo.

SimpLite-MSN

5. Mis contactos de MSN pueden saber mi dirección IP?: Sí. Existen varias formas de saberlo o deducirlo, una por ejemplo consiste en tener algún monitor de la red para ver las conexiones del equipo y ver que IP tiene tráfico en el momento que le mandamos un archivo a un contacto específico, o simplemente deducirlo de las IP’s a las que se conecta el cliente de MSN (cuantos más contactos estén online, más difícil). También existe un script (antes conocido como plugin) para el Messenger Plus! Live (una aplicación famosísima que le añade múltiples funcionalidades al cliente de Windows Live Messenger) llamado IPGet el cual informa la dirección IP de cada conexión nueva que se va realizando, así como también nos las puede mostrar a todas en una ventana, facilitando de esta forma el saber a qué contacto pertenece cada IP.

Script IPGet para Messenger Plus! Live

6. Se puede tener el cliente de MSN Mesenger sin publicidad en las ventanas?: Sí. En el sitio Mess.be puede descargarse el Mess Patch, el cual permite realizarle decenas de modificaciones al cliente MSN de Microsoft, entre ellas eliminar la publicidad, y también los botones y barras de búsqueda. El programa es gratuito y en el sitio van lanzando uno por cada revisión de Messenger que aparece.

Mess Patch

7. Puedo tener varios MSN’s abiertos al mismo tiempo, cada uno en una cuenta distinta?: Sí, ver punto anterior.

8. El MSN no me deja escribir más de cierta cantidad de texto por mensaje, se puede alargar la cantidad de texto permitido?: Sí, ver punto 6.

9. Es cierto que se pueden robar mi imagen para mostrar de MSN?: Sí, y no sólo eso. Partamos de la base que si realmente alquien quiere tener la imagen que mostramos por MSN sólo tiene que presionar la tecla Impr Pant (Print Screen) mientras tiene abierta una ventana de charla con el contacto en cuestion (de esta forma captura toda la pantalla al portapapeles; luego puede usar cualquier soft de edición de imágenes para recortar la imagen y guardarla), pero también existen programas que permiten automatizar el almacenado de cada imagen nueva que aparezca en nuestra lista de contactos. Una de las herramientas que permiten hacer eso es StuffPlug, un add-on para el messenger que entre otras cosas roba automáticamente las imágenes de los contactos (incluyendo las animadas), así como también cualquier emoticon personalizado o guiño que un contacto nos envíe.

Hurtador de contenido de StuffPlug

10. Se puede jugar con ciertas características del Messenger como por ejemplo que no le avise a los demás cuando estoy escribiendo un mensaje, mandarles mensajes que parecen del sistema, y cosas por el estilo?: Sí, se pueden hacer muchas cosas, acá van algunas:

  • AlwaysTyping es un script para Messenger Plus! Live que hace que siempre se vea el aviso de que el usuario está escribiendo un mensaje en la ventana de los demás contactos.
  • Mess Patch (punto 6) permite que directamente nunca les aparezca a nuestros contactos el aviso de cuando escribimos.
  • Con StuffPlug (punto 9) pueden enviarse invitaciones a actividades falsas y falsos mensajes del sistema también. Así que ojo que no todo lo que muestre Messenger puede ser cierto…
  • HopperLive es otro script cuya función es mandar ventanas de aviso de MSN a los demás usuarios de nuestra lista con el texto que se nos ocurra, sólo para molestar, vió?

HopperLive

11. Si invito a un contacto a que me vea por la webcam, me puede grabar desde su computadora?: Sí, y de hecho así es como se filtraron por sitios como YouTube cientos de videos de chicas haciendo de strippers por la webcam de su cuarto, entre otras cosas. La forma más fácil es usar unos programas que lo que hacen es capturar cierta área de la pantalla y grabar en un video todo lo que en ella pase, de esta forma con esto se puede capturar cualquier webcam de cualquier servicio. Una aplicación que hace esto y además es gratuita es CamStudio. Pero existe otra forma más peligrosa y más sistemática, mediante una aplicación llamada MSN Webcam Recorder. Esta aplicación captura directamente los paquetes de red y reconstruye las sesiones de video, pudiendo estas luego ser exportadas a cualquier formato de archivo de video. Desde ya el tipo de intercepción que este programa realiza da lugar al mismo tipo de espionage y vigilancia que mencioné en el punto 3, o sea, ya sea en un café con Wi-Fi o en nuestro trabajo, alguien puede estar grabando todas las sesiones de webcam que tenemos.

12. Ok, pueden grabarme si me ven por la webcam, pero al menos puedo estar seguro cuando veo a alguien por webcam de que estoy chateando con esa persona, no?: Eehh… no. Les presento a Fake Webcam (el nombre lo dice todo, no?), el cual permite levantar cualquier archivo de video del disco y usarlo como la imagen que entregaría una webcam virtual y pasarla como tal a cualquiera de nuestros contactos. En combinación con lo visto en el punto 11, podemos usar alguna sesión de webcam guardada previamente y así engañar a algún contacto en común para cualesquiera que sean nuestros maléficos planes (muejeje).

Una muestra de Fake Webcam

Bueno gente, espero que sirva de prevención para muchos, aunque seguramente también va a servir de diversión para unos cuantos otros.

Recomendación de Segu-Info: nunca ingreses tus datos privados en ningún sitio.

Fuente: Geekotik

Ver más

13.2.08

CAIDOS POR LA LIBERTAD DE EXPRESIÓN (DDoS)

Piratas informáticos echan abajo varias webs para evitar la difusión de una noticia.

Las amenazas a la libertad de expresión en Internet provienen de los lugares más inesperados. Un blog español publicó una noticia en noviembre alertando de un posible fraude. El supuesto estafador, molesto con la publicidad negativa, amenazó con echar abajo la página web si no retiraban el texto. Y cumplió su ultimátum. La bitácora ha estado inaccesible varios días. Y junto a ella, otras páginas populares, como Menéame y Error500, han sufrido ataques por reproducir el artículo.

Genbeta, uno de los blog sobre tecnología más populares, publicó una noticia en la que alertaba contra un supuesto servicio para que los interesados supieran quién les había borrado de la lista de contactos del Messenger (uno de los programas de mensajería instantánea más popular). Para saberlo, sólo tenían que mandar su nombre de usuario y clave.

El mensaje se quedó ahí. Además de que dar estos datos a un desconocido es un "suicidio tecnológico", en palabras de Víctor Pimentel, el autor del artículo, la mayor parte de los lectores del blog saben que es sencillo averiguar quién les ha borrado de su Messenger. Pero en las últimas semanas, la noticia aparecía muy bien colocada en Google y a alguien le molestó la mala publicidad.

Amenazas por correo

Hace unos días, en Genbeta recibieron un mensaje amenazador. Si no retiraban la noticia, iban a tener problemas. "Si no sacan esta nota su página sufrirá una denegación masiva enorme, desde un datacenter de China, la cual no la podrán detener, y es tan fuerte, que podrá afectar toda la red donde alojan", afirmaba el correo.

El 3 de febrero, los responsables del blog vieron que algo no iba bien. El tráfico de su página crecía demasiado. El jueves pasado, sufrieron oleadas sucesivas de peticiones desde miles de ordenadores de todo el mundo. Su modesta página soportaba 100 millones de peticiones por segundo. La caída fue inevitable y la web no se recuperó hasta el sábado.

El director general de Weblogs SL , Julio Alonso, propietaria de Genbeta, lo explica: "A partir del jueves el ataque creció exponencialmente y ya no fue posible pararlo. Era capaz de tumbar el centro de datos de NTT (propietaria de los servidores que albergan Genbeta, y otras compañías, como Spanair) afectando a todos sus clientes en España. En ese momento, NTT cortó la conexión con Genbeta para evitar el contagio al resto de clientes".

El ataque sufrido por este blog es lo que en seguridad informática se llama DDoS (ataque distribuido de denegación de servicio). Consiste en realizar un elevado número de solicitudes a un servidor o web, hasta que llega un punto en que la máquina no puede procesarlas. Primero ralentiza sus respuestas y, finalmente, cae.

Tanto NTT Europe Online como Weblogs SL no quieren ofrecer muchos datos para no entorpecer la denuncia que han puesto, pero sus responsables están seguros de quién ha sido. Como dice el director general de NTT: "Se trata de un cracker [un hacker malicioso] profesional. Los ataques vienen de potentes ordenadores y desde muchos países".

Da la impresión de que es un trabajo por encargo. "Alguien pagó a un profesional para que lanzara el ataque", explica Alonso. Pero asegura que resistirán. No van a borrar la noticia, aunque les esté dejando sin visitas e ingresos por publicidad. "¿Qué sería lo siguiente si cedemos al chantaje? ¿Exigirnos dinero?", se pregunta.

Ataques por encargo

Por Olof Sandstrom, responsable de la Comisión de Seguridad de Asimilec

Cuando eres el objetivo de un ataque de denegación de servicio tiran abajo tu infraestructura con un exceso de transacciones.

Lo primero que hacen es tantearte. Antes del ataque definitivo, pasan unas semanas de investigación, haciendo pruebas contra tu infraestructura para comprobar su resistencia. Primero te suelen enviar millones de correos electrónicos en cinco minutos. Si tu servirdor lo aguanta, los vuelven a mandar, pero en un minuto. En el caso de que el sistema rechace estos envíos, dirigen la ofensiva contra la web y el servidor que la alberga.

Los ordenadores implicados en el ataque pueden ser miles y mandar millones de peticiones en una fracción de minuto. Casi nunca atacan desde su ordenador, lo hacen desde otros, para enmascarar su origen. Por eso es tan difícil detectar el ataque ni identificar al atacante.

La herramienta para combatirlos es cortar la conexión con esos ordenadores. El problema es que las peticiones se hacen desde ordenadores legítimos y, como no hay forma de detectar a los que están atacando, afecta a inocentes.

Desde hace dos o tres años existe todo un negocio, ilegal, pero negocio. Grupos mafiosos venden este tipo de ataques a quien quiera echar abajo una red o página web. La única manera de pillarlos es la coordinación de todos nosotros.

Ver más

CERTIFICACIONES DE SEGURIDAD DE LA INFORMACIÓN

Esta es una lista de las certificaciones actuales de seguridad de la información

  • ISC2 Systems Security Certified Practitioner (SSCP)
  • ISC2 Certification and Accreditation Professional (CAP).
  • ISC2 Certified Information Systems Security Professional (CISSP)
  • Eccouncil Certified Ethical Hacker (CEH)
  • CERT Certified Computer Security Incident Handler (CSIH)
  • Certified Business Continuity Planner (CBCP)
  • Certified Computer Crime Investigator (Advanced) (CCCI)
  • Certified Computer Crime Prosecutor
  • Certified Computer Examiner (CCE)
  • Certified Fraud Examiner (CFE)
  • Certified Information Systems Auditor (CISA)
  • Certified Information Security Manager (CISM)
  • Certified Internal Auditor (CIA)
  • Certified Protection Professional (CPP)
  • Certified Wireless Security Professional (CWSP)
  • CompTIA Security+
  • Computer Forensic Computer Examiner (CFCE)
  • GIAC Security Essentials Certification (GSEC)
  • GIAC Certified Firewall Analyst (GCFW)
  • GIAC Certified Intrusion Analyst (GCIA)
  • GIAC Certified Incident Handler (GCIH)
  • GIAC Certified Windows Security Administrator (GCWN)
  • GIAC Certified UNIX Security Administrator (GCUX)
  • GIAC Certified Forensic Analyst (GCFA)
  • GIAC Information Security Officer (GISO)
  • GIAC IT Security Audit Essentials (GSAE)
  • GIAC Security Expert (GSE)
  • GIAC Certified ISO-17799 Specialist (G7799)
  • GIAC Security Leadership Certification (GSLC)
  • GIAC Systems and Network Auditor (GSNA)
  • GIAC Certified Security Consultant (GCSC)
  • Microsoft Certified Systems Administrator (MCSA)
  • Microsoft Certified Systems Engineer (MCSE)
  • Master Business Continuity Planner (MBCP)
  • System Security Certified Practitioner (SSCP)
Cada certificación puede encontrarse en los sitios web relacionados.

Fuente: http://www.segu-info.com.ar

Ver más

12.2.08

CÓMO GESTIONAR LA SEGURIDAD INFORMÁTICA EN UNA EMPRESA
A. Sciessere, de BMC Software, explica los elementos que debe tener en cuenta una organización para resguardar sus datos y sistemas informáticos.


Como gestionar la seguridad informática en una empresa Guardar
A. Sciessere, de BMC Software, explica los elementos que debe tener en cuenta una organización para resguardar sus datos y sistemas informáticos

Cuando se habla de seguridad en entornos informáticos, la gente tiende a pensar automáticamente en dos tipos de soluciones: Cortafuegos (Firewalls) y antivirus. Si hablamos con algún experto en seguridad informática seguramente nos hablará de troyanos, “malware”, “spyware”, detección de intrusos, limpieza “antispam”, phishing, etc.

Los “firewalls” recuerdan mucho a las murallas medievales, lo malo es que las puertas (los puertos) no pueden estar cerradas cuando ataca el enemigo, primero porque no vale con poner un vigía a vigilar la inminencia de un ataque y segundo porque el negocio debe estar disponible 24 horas al día 365 días al año.

Pero, incluso suponiendo que los firewalls sean infalibles, deberíamos hacernos algunas de estas preguntas: ¿Es suficiente con proteger el perímetro? ¿El enemigo está siempre fuera? ¿Cuales son los activos que tenemos proteger? ¿Quién tiene acceso para poder manipular dichos activos? ¿Es la información un activo en mi empresa? ¿Puedo asegurar que mis empleados pueden acceder a la información que necesitan para realizar su trabajo pero solamente a la que necesitan? ¿Puedo asegurar que cuando un empleado abandona mi compañía, pierde toda oportunidad de acceder a datos de la misma?.

Volviendo al símil de la muralla, hace no demasiado tiempo, simplemente con no dejar pasar a un ex empleado a los edificios de la compañía, ya teníamos asegurado que no podría acceder a información confidencial. Hoy, gracias a las redes virtuales privadas (VPN) y otras tecnologías, muchos empleados podemos acceder a los sistemas internos de nuestra compañía desde cualquier punto del planeta con nuestro portátil o desde un caber café, por lo que se hace absolutamente necesario el borrado de todas las cuentas de usuario y permisos que tenía un ex empleado.
Continuando con las preguntas, hemos hablado de personas y de información. ¿Debemos cumplir alguna legislación al respecto? ¿Nos afecta la LOPD? ¿y Sabarnes-Oxley (SOX o Sarbox)? ¿Existen estándares que nos ayuden a proteger la información? ¿Qué dice al respecto la ISO17799 o la ISO 27.000? ¿Existen en mi compañía normas específicas relativas al uso de la información? ¿Sé si se están cumpliendo? ¿Se cuando alguien está intentando acceder a información confidencial sin tener derecho; o incluso teniéndolo pero desde ubicaciones distintas de las habituales o en horarios sospechosos?

Existen muchas mas preguntas que podemos hacernos, podemos analizar estadísticamente cuantos delitos se producen por personas externas a la organización, cuantos por empleados o ex-empleados y cuántos por personas externas con datos proporcionados por empleados o ex-empleados. Pero si pasamos de un análisis cuantitativo a uno cualitativo, no es difícil darse cuenta que con datos de empleados o ex-empleados el daño causado puede ser mucho mayor y no me resisto a poner en negrita una frase que vi un día en una presentación: Los ataques externos pueden causar problemas; los atraques internos pueden destruir tu negocio.

Para dar respuesta a las preguntas formuladas con anterioridad y mitigar los riesgos descritos existe la gestión de identidades, una disciplina ligada en sus comienzos a la seguridad informática, pero con entidad suficiente como para ser independiente y relacionada además con otras disciplinas existentes como la gestión de procesos de negocio o la gestión de cambios.

La gestión de identidades, denominada también gestión de accesos en ITIL v.3 trata de dar respuesta a cuatro sencillas preguntas:

* ¿Quienes son mis usuarios?
* ¿A qué tienen acceso?
* ¿Quién les dio este acceso?
* ¿Qué hacen con dicho acceso?

También es descrita habitualmente como las 4 Aes:

* Autenticación.
* Autorización.
* Auditoría.
* Administración.

Como cualquier otra disciplina, teniendo en cuenta el nivel de madurez de la empresa dónde se va a implantar, el tipo de usuarios y lo que realmente “aprieta el zapato” al responsable de su despliegue, existen diversos caminos para llegar a tener cubiertas las necesidades básicas en cuanto a la Gestión de Identidades. Así podemos tener:

* Gestión y aprovisionamiento de usuarios, que nos permitirá la automatización de los procesos de creación borrado y modificación de usuarios, mediante la utilización de un interfaz único para todos los sistemas de información, la utilización de perfiles para la definición rápida de derechos de acceso y la modificación de los mismos en caso de un cambio de departamento, por ejemplo. También podríamos implementar administración delegada, autoservicio y un workflow de peticiones y aprobaciones para conseguir una automatización máxima de los procesos sin comprometer la seguridad, re-certificaciones periódicas de los usuarios, etc.
* Gestión de contraseñas, para facilitar el cambio de las mismas por parte del usuario final, de una forma sencilla, que nos permita además fortalecer la política tanto en número y tipo de caracteres, como en el tiempo máximo en el que deba cambiarse, como tamaño del histórico de contraseñas no reutilizables, etc.
* Gestión de accesos, dónde pueden incluirse los Single Sign On (SSO), tanto de propósito general como Web, la protección de recursos Web e incluso la Federación de Identidades.
* Auditoria y cumplimiento de políticas y regulaciones, que nos permitirá saber si se están cumpliendo o no las políticas definidas por la compañía como por ejemplo la separación de tareas, la forma de asignación de permisos, la caducidad de empleados temporales, etc. a la vez que observamos dónde, cuándo y cómo acceden los empleados a las distintas fuentes de información de la empresa.

Cambiando de tercio, una breve reflexión sobre los antivirus. Es sabido que un antivirus sin actualizar no sirve para nada. Pero no todo el mundo es consciente de la necesidad de tener actualizados los ordenadores empresariales con los últimos parches de seguridad existentes. Habitualmente los virus explotan las vulnerabilidades de los sistemas operativos. Muchas veces estas vulnerabilidades son conocidas, publicadas y corregidas mediante un parche de seguridad, antes incluso de que exista un virus que las ataque, el problema de que a pesar de todo muchos virus consigan su objetivo destructor, es la lentitud de las compañías en “parchear” sus redes internas de ordenadores ya que no disponen de herramientas de gestión de parches o utilizan herramientas poco adecuadas y con las que además es imposible saber de forma certera cuál es el nivel de parches de seguridad que tienen los ordenadores y qué porcentaje de ellos están al nivel adecuado.

La situación se complica además por el hecho de que es necesario probar que las aplicaciones de uso corporativo en las que se sustenta el negocio de la compañía, no van a ser afectadas por la instalación de un determinado parche o una determinada versión de un componente de software.

Como resumen mi recomendación para las compañías en general y para los responsables de seguridad en particular sería dedicar algo de tiempo a evaluar sus necesidades de gestión de identidades y gestión de parches de s.

Agustín Sciessere es Seales Team Leader of Latin America South, Andeab & Caribbean de BMC Software.

Fuente: http://www.infobaeprofesional.com

Ver más

PROYECTOS DE LEY ANTISPAM
El correo electrónico “basura” es un suceso con intensa presencia en las sociedades contemporáneas, cada vez más arraigadas a la tecnología informática. En nuestro país, existe una regulación sobre la temática y un fallo del 2006 en el que se condenó a dos personas por invasión a la esfera de la intimidad y comercialización de información sobre terceros. En el fallo, el magistrado considero que el spam era “ilegal”.

Se llama spam o correo basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico.

En nuestro país (Argentina), no existe ninguna normativa específica relativa a esta materia. La única disposición pasible de ser aplicada es el artículo 27 de la Ley 25.326 de Protección de Datos Personales, pero que sólo brinda una frágil solución al conflicto. Esta norma establece que “en toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio a distancia a conocer, se deberá indicar, en forma expresa y destacada, la posibilidad del titular del dato de solicitar el retiro o bloqueo, total o parcial, de su nombre de la base de datos. A pedido del interesado, se deberá informar el nombre del responsable o usuario del banco de datos que proveyó la información”.

En los últimos años, han existido diversos proyectos y anteproyectos, pero hasta el presente ninguno ha prosperado.

En el año 2006, se formuló un proyecto de ley referente a la regulación y protección jurídica del correo electrónico, que estipulaba en su articulo 7, que se prohíbe que toda persona “transmita correo electrónico comercial, sea o no solicitado, con la intención de engañar, por el medio que fuere, a los receptores acerca de la identidad del emisor.”

Además establece la prohibición de transmitirlo a un destinatario que hubiere formulado el pedido para que no se le envíe dicho correo electrónico o no hubiera manifestado su voluntad para una recepción futura.

En materia judicial, también existieron novedades respecto a la regulación del spam. En el año 2003, la Justicia Civil y Comercial Federal dictó la primera medida cautelar en un caso de estas características. El magistrado interviniente dispuso que los demandados debían abstenerse de seguir enviando correos electrónicos a los actores mientras dure el litigio.

A su vez, estableció que no podían "transferir o ceder a terceros las direcciones de correo electrónico u otro dato personal vinculado a ellos, hasta tanto se resuelva el fondo de la cuestión".

En el año 2006, se resolvió el primer caso de spam en nuestro país, cuando el juez Roberto Toti consideró que los correos basura enviados por internet eran "ilegales".

La causa se había iniciado hace tres años, cuando los abogados Pablo Palazzi y Gustavo Tanús interpusieron una acción de hábeas data contra la firma “PubliCC Soluciones” ante el Juzgado Nacional en lo Civil y Comercial N° 3.

La acción es un tipo de amparo mediante el cual una persona puede exigir tomar conocimiento de los datos que obran en un registro o banco y de ser informada sobre la finalidad con la que fueron incluidos. También habilita la posibilidad de solicitar la supresión, rectificación, confidencialidad o actualización de los datos, en caso de falsedad, inexactitud, o tratamiento prohibido, según establece el artículo 33 de la ley 25.326.

En la demanda se adjuntaron copias de los mensajes recibidos que incluían direcciones en las que, supuestamente, se podía solicitar ser retirados del listado de destinatarios de los envíos de publicidad. Sin embargo, alegaron que los pedidos no fueron respondidos y los avisos con ofertas de soluciones informáticas continuaron llegando, infringiendo los derechos reconocidos por la ley de Protección de Datos.

En el fallo en cuestión, el magistrado condenó a dos personas por invasión a la esfera de la intimidad y comercialización de información sobre terceros, y les ordenó a retirar el nombre de los denunciantes de sus bases de datos.

El abogado del caso, Pablo Palazzi, especialista en derecho informático y privacidad, expreso “hay mucho trafico de mails. El paso previo es saber como consiguieron las direcciones, debido a que se las roban a proveedores de bases de datos o las recolectan on line con programas que reconocen los dominios.”

Agregó que “hay que respetar la libertad de expresión, pero no debe haber abuso. El e-mail es un dato personal, se puede tratar siempre que medie consentimiento.”

Por ultimo, respecto de las medidas que habría que adoptar para limitar este tipo de correo no deseado, el letrado manifestó que hay dos vías: “se puede prohibir judicialmente, o poner multas a los que incurren en esta práctica. Esta ultima medida afecta más a las empresas, debido a que no sólo los perjudica económicamente sino que repercute negativamente en su imagen.”

El spam es más de la mitad del correo electrónico que circula por la red. Su utilización, perjudica especialmente a los usuarios de Internet considerando que los filtros o programas para detenerlo no son 100% efectivos. Por lo cual, se vuelve imprescindible la promulgación de una ley que ejerza mayor control sobre esta problemática.

Archivos adjuntos:
Proyecto de ley anti spam S-1628/06
Ley 25.326. Protección de los Datos Personales

Fuente: http://www.diariojudicial.com/nota.asp?IDNoticia=34641

Ver más

10.2.08

EL SCAM DE FREELOTTO: LA GRAN MENTIRA
Si bien en la actualidad, los correos electrónicos no deseados o no solicitados, más conocidos como spam; y los fraudes online como la estafa a la nigeriana, también llamado timo nigeriano, o simplemente scam (muy difundidos a través del spam) no son técnicas novedosas, siguen siendo una constante que difícilmente tienda a desaparecer.

Día a día aumenta de manera importante la industria del spam y las técnicas de estafas online que utilizan metodologías fraudulentas basadas en Ingeniería Social, cada vez más sofisticadas y eficaces, que buscan obtener información confidencial de sus víctimas.

A través del presente documento se intenta dejar en evidencia la magnitud de estas metodologías de engaño describiendo de principio y fin el camino que recorren los usuarios perjudicados por una de las estafas online más difundidas y polémicas cuyos fines ilícitos atentan cotidianamente contra la información de las personas, el scam de FreeLotto.

Seguir leyendo

Ver más