MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

18.10.08

Guía para socializar en línea de modo seguro

Trend Argentina, especialista en seguridad de contenido, ofrece una guía de consejos y sugerencias tanto para los jóvenes como para sus padres, con el objetivo de garantizar una navegación segura para los menores.

Los padres, maestros y tutores que se hacen cargo de los jóvenes que son socialmente activos en línea deben primero establecer expectativas razonables. Prohibir a los jóvenes usar redes sociales puede obligarlos a hacerlo a escondidas y encontrarse en otro lugares (como computadoras en bibliotecas, teléfonos móviles o las computadoras de sus amigos) para seguir su vida social en línea. Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien.

GUÍA PARA JÓVENES:
A continuación presentamos algunas sugerencias para que los jóvenes tengan presente a la hora de ingresar a redes sociales, chats o blogs.
Utiliza un seudónimo o nombre de código en lugar de tu nombre real. No utilices un nombre que sea sexualmente sugerente u ofensivo para otros. Esto puede ayudar a reducir la probabilidad de acoso en línea.
Configura tus perfiles para que estén privados de modo que sólo la gente que vos invites pueda ver lo que publicas.
No compartas tu dirección, teléfono u otra información personal en ínea. No reveles tu ubicación real o planes para salidas o eventos.
Ten cuidado de compartir fotos provocativas o detalles íntimos en línea, incluso con la gente que conoces o, incluso, en un correo electrónico o sms. La información podría ser copiada y hacerse pública. Recuerda: lo que digas en una sala de chat o sesión de mensajería instantánea se queda allí y no puede eliminarse después.
Mantén actualizado tu software de seguridad y asegúrate de que el resto de las aplicaciones de software estén actualizadas y con sus respectivos parches.
Lee “entre líneas”. Sé consciente que, si bien algunas personas son muy agradables en línea, otras actúan de forma amable porque están tratando de obtener algo.
Evita las reuniones a solas. La única forma de que alguien pueda lastimarte físicamente es si están ambos en el mismo lugar. Si realmente tienes que conocer a alguien en persona, no vayas solo y dile a tus padres dónde estarás.
Piensa cómo respondes. Si alguien dice o hace algo que te haga sentir incómodo, bloquéalo y no respondas. Si continúan, deja que tus padres u otro adulto lo sepa y guarda el mensaje.
Todos estos mismos consejos se aplican para el uso de los celulares.

GUÍAS PARA PADRES:
A continuación, una guía para que los padres logren involucrarse con la vida digital de sus hijos:
Definan expectativas razonables. Desconectar el cable del sitio social favorito de su hijo es como desconectar su vida social. Esto puede cerrar la comunicación y hacer que los niños actúen a escondidas, aumentando el riesgo para ellos.
Hable con sus hijos sobre qué sitios están visitando y qué están haciendo en línea. Ayúdelos a entender algunos lineamientos de seguridad básicos, como proteger su privacidad (incluyendo contraseñas), nunca hablar de sexo con la gente que no conocen, evitar las reuniones a solas con gente que conocen en línea y ser cuidadosos con lo que publican en línea.
Apoye el pensamiento crítico. Estimule a su hijo para que desarrolle un buen sentido de la seguridad y las relaciones, tanto en línea como fuera de ella.
Considere el uso de Internet en un lugar de alto tráfico en su hogar para ayudar a monitorear las actividades y ampliar el uso.
Trate que sus hijos compartan sus perfiles y blogs con usted. También, utilice motores de búsqueda y las herramientas de búsqueda de los sitios de redes sociales para buscar el nombre completo de sus hijos, números de teléfono y otra información que los identifique. No está invadiendo su privacidad si están proporcionando información personal en lugares públicos en línea.

Para consultar más información sobre la seguridad en Internet para niños y familias, visite www.trendmicro.com/go/safety

Visto en http://seguridad-informacion.blogspot.com

# pistus

Ver más

Consejos útiles contra el malware 2.0 en Windows

Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque útiles y necesarios) no se han matizado ni completado correctamente con el tiempo. Son consejos de hace años, que no se han adaptado a una industria (la del malware) que avanza mucho más rápido de lo que podamos imaginar. Vamos a ofrecer algunos consejos útiles contra el malware... de hoy.

ADMINISTRADOR NO, GRACIAS

El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un "administrador" está precisamente para "administrar", y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes.

La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por fin la creación de un usuario distinto al administrador para el uso del sistema. Un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores, y por tanto fuese tan poderoso como él.

A nadie que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como "root" o súperusuario. En Windows, lo extraño es precisamente lo contrario, trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar... puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina.

En Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.

Aunque se presente aquí como panacea, no lo es. Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos... Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos.

ACTUALIZAR EL SISTEMA
No sólo Windows, sino todos los programas que tengamos instalados deben estar actualizados a la última versión de su rama. Esto es muy importante, pues una gran parte del malware hoy en día se aprovecha de vulnerabilidades conocidas que ya tienen parche. Muchos usuarios piensan que un Windows parcheado tendrá problemas "legales" o que sufrirá fallos de compatibilidad.

Un Windows sin actualizar es un Windows contaminado. Pero no sólo el sistema operativo. Todo programa es susceptible de sufrir problemas de seguridad y de que sean aprovechados. Desde el reproductor de MP3 hasta el lector de PDF, se han detectado ataques dirigidos a versiones vulnerables de los programas más utilizados para tareas comunes. La única solución es no abrir archivos no solicitados tengan el formato que tengan y sobre todo, mantener actualizados los programas que los interpretan.

MANTENERSE INFORMADO
Mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red. No se puede luchar contra lo que no se conoce. Son muchos los usuarios que desconocen que pueden ser infectados por archivos que no son ejecutables, que es posible ejecutar código arbitrario en el sistema de forma transparente con sólo visitar una web, o que el SSL del banco visitado no tiene por qué significar que un sistema no esté troyanizado o que no se trate de un phishing. Otros piensan que el hecho de que la página del banco aparezca modificada y requiera más casillas de la tarjeta de coordenadas de lo habitual, significa que la seguridad ha aumentado...estar informado es primordial. No sólo por lo cambiante de algunas técnicas, sino también porque es necesario seguir de cerca ciertas campañas que emprenden los atacantes y que suscitan modas y comportamientos sobre los que resulta imprescindible estar especialmente atento. Existen momentos en los que se perpetran ataques concretos para los que puede que la única solución sea conocerlos y evitarlos hasta que exista parche.

OTROS CONSEJOS
Estos tres consejos anteriores son los más importantes. Por desgracia no son los que se dan habitualmente en los medios no especializados. Ni la tecnología, ni Internet ni los atacantes son los mismos que hace cinco años, por tanto las precauciones no deben ser iguales para siempre. Obviamente es necesario usar herramientas o suites de seguridad actualizadas (cortafuegos, antispyware...) pero sobre todo, saber cómo se usan. Si no se saben manejar, se vuelven inútiles.

¿Y el antivirus? Por supuesto. También es imprescindible tener un antivirus actualizado a diario.

Fuente: http://www..hispasec.com

# pistus

Ver más

12.10.08

Rogue Antivirus. Una mirada más cercana a Win32/AntivirusXP

Las falsas (o rogue) aplicaciones de seguridad han sido la causa de confusión y problemas para los usuarios desde hace algunos años. Estas aplicaciones suelen mostrar advertencias falsas sobre detecciones de códigos maliciosos con el fin de atraer a los usuarios a comprar la aplicación y, por ende, "desinfectar" el sistema.

Con el tiempo, los mecanismos utilizados para evitar la detección y distribuir estas aplicaciones se han vuelto más complejas –ofuscación de código es ahora común y las botnets son utilizadas para la distribución generalizada.

Win32/AntivirusXP es una de esas aplicaciones y puede llegar a su máquina a través de múltiples canales, incluso, a través de spam que suplanta los principales servicios de noticias en línea (por ejemplo, el Top 10 de CNN y MSNBC).

Figura 1. Cadena de infección A

Figura 2. Cadena de infección B

Al igual que muchos otros programas de seguridad falsos, el rogue AntivirusXP puede ser descargado por Win32/Renos, directamente instalado desde el sitio web que distribuye el producto o sitios web de sus afiliados, o puede ser instalado engañando a los usuarios al hacer clic sobre los vínculos en correos spam.

La Figura 1 muestra un canal simplificado de infección donde, por ejemplo, un usuario recibe correo basura, hace clic en un vínculo incrustado en el spam y luego se infecta con Win32/Renos, que a su vez instala Win32/AntivirusXP en el sistema.

La Figura 2 muestra otro canal de infección, con otros componentes y complejidad. Tomando como ejemplo real los incidentes del Top 10 de CNN o MSNBC, los usuarios están expuestos, inicialmente, al troyano downloader Win32/Cbeplay a través de spam. Win32/Cbeplay baja un agente botnet (como Win32/Rustock o Win32/Srizbi) y variantes de Win32/Renos, que a su vez descargan Win32/AntivirusXP.

Esto aclara por qué en muchas situaciones en las que Win32/AntivirusXP se ha encontrado en un sistema, Win32/Rustock (o Win32/Srizbi) y Win32/Renos también estuvieron presentes. Generalmente, Renos se distribuye con la intención específica de mostrar falsas alertas y, a continuación, descargar aplicaciones de seguridad falsas. Los componentes de la cadena de infección de los resultados en la instalación de Win32/AntivirusXP son bastante íntegros y la relación entre Win32/Renos y Win32/AntivirusXP es simbiótica. A continuación son examinados.

Una vez que Renos infecta el sistema, pueden suceder una serie de cosas:
  • Después de una breve demora, el fondo del escritorio cambia para mostrar una imagen generada por Renos, esta imagen muestra un falso aviso.
Figura 3. Fondo de escritorio con alerta
  • Una copia del salvapantallas Sysinternals BSOD (Blue Screen Of Death - Pantalla Azul de la Muerte) a menudo es bajado al directorio del sistema y luego se activa como un salvapantallas.
  • En la carpeta Temp, se crean los archivos tt1.tmp o tt2.tmp.
Si hay una conexión activa a Internet, Renos intenta descargar e instalar el rogue AntivirusXP. No hay interacción con el usuario en esta cadena de infección. El archivo descargado por Renos, después de establecer la conexión con los dominios relacionados a AntivirusXP, es un archivo de imagen que contiene el instalador del rogue AntivirusXP.

El instalador se distribuye encriptado. Es desencriptado por Renos, guardado en la carpeta tmp previamente creada, y luego ejecutado. El instalador está codificado de tal manera que sólo Renos es capaz de llevar a cabo el proceso inverso.

Una vez que el rogue AntivirusXP se encuentra en el sistema, ya sea a través de los canales de infección mencionados o instalado de forma manual, se crea una carpeta con un nombre aleatorio y baja a la misma el ejecutable principal también con un nombre aleatorio. Asimismo, baja otro componente que es utilizado para mostrar las falsas alertas y promover la falsa aplicación como capaz de "eliminar" estas amenazas ficticias. Por último, se elimina el instalador del sistema.

Figura 4. Captura de pantalla del rogue AntivirusXP

Cuando se habla de rogue, Win32/Renos tiene una larga historia en la descarga de falsos antivirus. Una variante de Win32/Renos, el TrojanDownloader: Win32/Renos.gen! AQ, llamó nuestra atención durante las últimas emisiones de MSRT; se lo consideró responsable de un gran volumen de instalaciones de Win32/AntivirusXP. Durante las dos primeras semanas de septiembre de la liberación de MSRT, 148.111 máquinas eran limpiadas por la particular infección de Renos.

Las falsas aplicaciones de seguridad siempre han sido buenas para confundir a los usuarios finales. Win32/AntivirusXP no es diferente en ese sentido, y con nombres tales como Antivirus2008, XPAntivirus, Windows Antivirus, Antivirus 2008 XP, la confusión es difícil de evitar.

En lugar de entrar en similitudes, es mejor buscar específicamente en Win32/AntivirusXP y buscar si hay algo fácilmente identificable y singular en su comportamiento. La mayoría de las falsas aplicaciones de seguridad, como ya se ha mencionado, pueden tener un menor número de dependencias de Renos u otros troyanos downloader similares.

Cuando se instala sin la intervención del usuario Win32/AntivirusXP depende de Renos para descifrar su instalador. Las siguientes dos características mostradas por Win32/AntivirusXP no son típicamente observadas en otros rogues:
  • Creación aleatoria del nombre del archivo ejecutable y la carpeta principal.
  • Auto-eliminación del instalador de AntivirusXP.
Los falsos programas antivirus han crecido significativamente en los últimos tiempos. Ellos generan confusión y falsas alertas de detección, a fin de convencer a los usuarios de adquirir el falso programa de seguridad - a partir del programa Win32/AntivirusXP: Win32/Fakerednefed y ahora Win32/AntivirusXP.

Estos rogue han provocado un dramático trastorno tanto para los usuarios finales como para las empresas. Se sugiere encarecidamente implementar un producto antivirus completo para su negocio o computadoras personales. Como mínimo, si usted cree que su máquina se ve afectada por programas maliciosos o programas potencialmente no deseado, le recomendamos que ejecute libremente nuestro escáner en línea disponible en http://safety.live.com.

También puede obtener asistencia para la limpieza de virus a través de la ayuda y soporte técnico de Microsoft. Y si identifica un rogue que que no es detectado, por favor envíenos una muestra a través de nuestro portal.

Traducción de "Rogue Antivirus - A Closer Look at Win32/Antivirusxp" escrito originalmente por Subratam Biswas and Scott Wu
http://blogs.technet.com/mmpc/archive/2008/10/02/rogue-antivirus-a-closer-look-at-win32-antivirusxp.aspx


# pistus

Ver más

Bootcamp sobre CISSP de Segu-Info

EZ Group S.A. y Segu-Info tienen el agrado de invitarlo a participar del curso BootCamp de CISSP a desarrollarse en la semana del 27 al 31 de Octubre de 2008.

Este BootCamp tiene como objetivo, ayudar a preparar de manera intensiva, a los profesionales que aspiren a la Certificación Internacional de la ISC2 con mayor reconocimiento en el área de Seguridad de la Información.

Qué es la certificación CISSP:
Es una Certificación Internacional para profesionales de Seguridad de la Información (Certified Information System Security Professional).

Cuál es nuestra Metodología: Es un curso Teórico-Práctico, con la particularidad, que las prácticas consisten en exámenes de ejemplo para cada uno de los dominios de la certificación, y un examen final integrador, en simulación a un examen real de 250 preguntas y un workshop final de respuestas.

A Quién está dirigido:
Profesionales, Administradores y Responsables de Seguridad de la Información, Profesionales de Sistemas, Consultores de Tecnología y Auditores Internos y Externos de IT.

Quién es el Capacitador: Lic. Cristian Borghello, CISSP (Certified Information Systems Security Professional).


Duración:
40 hs.
Fecha:
del 27 al 31 de Octubre de 2008
Horario:
De 9:00 Hs a 18:00 Hs.
Lugar:
Centro de Capacitación EZ Group S.A., Buenos Aires.
Documentación:
Incluída en la capacitación
Arancelado


Ante cualquier consulta, enviar un correo con "Bootcamp CISSP" en el asunto.

Más información:
FAQ sobre CISSP
http://www.segu-info.com.ar/articulos/89-faq-sobre-cissp.htm

Fuente: http://www.segu-info.com.ar

# pistus

Ver más

11.10.08

Análisis forense de MSN Messenger: MSN Shadow

MSN Shadow es una herramienta de análisis forense orientada a MSN Messenger (recientemente rebautizado como Windows Live Messenger), ya que puede realizar operaciones específicas de análisis basadas en el Microsoft Notification Protocol, el protocolo de mensajería instantánea desarrollado por Redmond del que se abastece el popular Messenger.

MSN Shadow permite capturar el tráfico de texto y de vídeo de las sesiones Messenger, pudiendo exportarlas a HTML y AVI respectivamente. Adicionamente, permite la realización de pruebas de concepto relacionadas con el spoofing de autoría de mensajes (reenviando los números ack de las conversaciones mediante paquetes reset RST) y el secuestro de sesiones (igual que el método anterior, pero creando dos reglas específicas iptables para gestionar los paquetes, lo que hará que se abra una nueva ventana para continuar la conversación como si fuéramos la persona cuya sesión ha sido secuestrada)

Este software está pensado para analizar el tráfico de Messenger y para poder verificar si es factible la suplantación y el secuestro de sesiones, lo que podría tener utilidad como prueba pericial en un caso donde se presenten evidencias en la forma de logs de mensajería instantánea. Bajo ningún concepto entiendo que esté orientado a espiar/perjudicar/engañar/molestar a nadie.

msn shadow

El proyecto tiene un blog en http://msnshadow.blogspot.com/ y las descargas se pueden efectuar en la página de Sourceforge http://sourceforge.net/projects/msnshadow. Hay un tar genérico y un paquete Debian para facilitar la instalación a los usuarios de esta distribución y sus derivados. Tiene, como dependencias, libmimic, QT y libpcap.

msn shadow

Para instalar MSN Shadow debe ejecutarse el tradicional ./configure & make & make install. Lamentablemente para los usuarios de Windows, no existe un binario ejecutable para esta plataforma en la actualidad.

Fuente: http://www.sahw.com

# pistus

Ver más

Prevención en navegadores ante ataques de Clickjacking

Al comenzar a utilizarse ClickJacking para engañar e infectar usuarios, una de las preguntas que inmediatamente viene a colación es ¿de qué manera podemos prevenir este ataque? Por eso en ESET hemos desarrollado esta pequeña guía de configuración para cada navegador.

La cuestión se centra en deshabilitar algunas funcionalidades en los navegadores como la ejecución de componentes JavaScript, plugins o ActiveX, entre otros. Veamos cómo hacerlo en los navegadores más utilizados.

Firefox

En Firefox, la solución se basa en instalar una extensión llamada NoScript. Para ello, una vez instalada la extensión, en el icono de NoScript ubicado en el extremo derecho de la barra de tareas, debemos hacer clic y permitir el acceso a la página web deseada, tal como se muestra en la imagen:

En el caso que NoScript detecte un ataque del tipo ClickJacking, aparecerá una ventana informando de esta situación al usuario:

Con esta configuración, en el navegador Firefox se evita por completo el ataque de ClickJacking.

Nota: Es muy importante tener en cuenta que una vez instalada, esta extensión restringirá el acceso a determinadas secciones de las páginas web. En consecuencia, se debe permitir sólo el acceso y ejecución de las páginas en las que se confía. En el caso que no se conozca la confiabilidad del sitio es preferible dejar la configuración por defecto de la extensión.

Internet Explorer

Nos dirigimos hacia el menú Herramientas y seleccionamos el ítem Opciones de Internet. En la ventana que se abre, hacemos clic en la solapa Seguridad, seleccionamos Internet y el Nivel de seguridad para esta zona lo colocamos en Alto.

Cabe aclarar que esta configuración no garantiza una protección total contra ataques ClickJacking, pero mejora la seguridad del navegador.

Opera

En este navegador, debemos ingresar a las configuraciones seleccionando Herramientas en la barra de menú, y luego elegir Opciones. En ese momento visualizarán una ventana como la que se muestra a continuación:

Aquí, desde la solapa Avanzado, debemos seleccionar la opción Contenido y luego deshabilitar las opciones que se muestran en la captura. Para aumentar aún más la seguridad de este navegador, podemos deshabilitar algunos parámetros. En la barra de direcciones de Opera, escribimos opera:config, seleccionamos la opción Extensions y deshabilitamos las configuraciones por defecto. A continuación una captura:

Con esta configuración, en el navegador Opera se evita por completo el ataque de ClickJacking.

Safari

De una manera similar podemos fortalecer la seguridad en el navegador Safari seleccionando en la barra de menú la opción Edición y luego Preferencias. Desde la solapa Seguridad debemos deshabilitar las opciones de la sección Contenido web.

Esta configuración no garantiza una protección total contra ataques ClickJacking, pero mejora la seguridad del navegdor.

Chrome

A diferencia de los otros navegadores, Chrome necesita ejecutarse de una forma especial que se debe realizar bajo línea de comandos, lo cual no lo transforma en una de las mejores opciones, más aún porque no permite deshabilitar etiquetas iframe. La línea que se debe escribir es la siguiente:

chrome.exe -disable-javascript -disable-java -disable-plugins

Si fuera necesario se podría realizar un acceso directo con este comando para evitar tener que escribirlo cada vez que se desee ejecutar el navegador.

Nuevamente, esta configuración no garantiza una protección total contra ataques ClickJacking pero mejora la seguridad del navegador.

Como alternativa a los navegadores visuales mencionados, utilizar navegadores en modo texto como Links, Lynx o w3m, podría ser una buena opción, aunque esto es recomendable sólo para usuarios con mayores conocimientos técnicos.

Como puede ver, los diferentes navegadores ofrecen diferentes alternativas y grados de protección que pueden prevenir que seamos víctimas de este tipo de ataques.

Fuente: http://blogs.eset-la.com/laboratorio

# pistus

Ver más