• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Comerciando con el miedo

Existen varias técnicas de marketing agresivo que intentan vendernos productos de diversa índole, y el campo de la seguridad informática no es una excepción. Recientemente hemos recibido un correo de una conocida empresa de telecomunicaciones, concretamente de una de sus supuestas filiales, indicándonos que desde nuestro dominio se estaba enviando spam y ofreciéndonos contratar una aplicación para evitarlo.

Curiosamente, esta técnica es también usada por códigos maliciosos que intentan convencernos de la necesidad que tenemos para descargarlos con el fin de limpiar nuestro sistema de amenazas que no existen. Este punto ya ha sido tratado con anterioridad en este blog por lo que vamos a centrarnos en esta ocasion en las aplicaciones legitimas.

En este caso en particular se trata de evitar el envío masivo de correo no deseado desde nuestro dominio. Esta afirmación tan tajante se desmonta fácilmente en el momento en que cualquiera con un poco de habilidad puede generar correos enviados desde remitentes falsos con un dominio que pertenezca a una marca conocida, del tipo ayudatecnica@microsoft.com, consultas@google.es o, en nuestro caso pongasunombre@ontinet.com .

Así las cosas, ¿cómo de fiables son los análisis realizados por otras aplicaciones de seguridad?. En nuestro departamento técnico recibimos varias consultas de usuarios preguntándonos porque ESET NOD32 no es capaz de detectar supuestas infecciones que otros antivirus sí detectan. Cuando les pedimos el informe realizado por estas aplicaciones obtenemos resultados de lo mas variopinto como la detección de cookies de los navegadores como spyware de alto riesgo o la clasificación de herramientas de mantenimiento del sistema como peligrosos troyanos.

Pero, ¿por qué esta estricta detección?. El motivo no es otro que la obtención del mejor resultado en los diversos tests que se realizan periódicamente por analistas independientes. Muchos de estos estudios se realizan sobre decenas de miles de muestras de códigos maliciosos que han sido acumuladas durante varios años. Muchas de esas muestras no serían capaces de infectar un sistema actual y algunas otras no deberían ser catalogadas como malware. Pero muchas empresas creadores de software antivirus priman la mayor detección de todo aquello que sea sospechoso (aunque finalmente resulte inocuo) sobre el rendimiento de su producto y unas bases de firmas libres de falsos positivos.

Expuestos estos puntos, aconsejamos a nuestros lectores que busquen siempre una segunda opinión a la hora de verificar el peligro que representa un archivo sospechoso, usando un sistema como el estupendo analizador online proporcionado por Virustotal, y no se extrañen si, tras un aviso o correo de alerta se oculten intereses comerciales.

Josep Albors

Las cuentas del malware

Hemos comentado varias veces en este blog como la creación de códigos maliciosos ha evolucionado de ser un desafío personal a una importante fuente de ingresos. Pero, ¿cómo de grande es esta fuente de ingresos?. Consultando fuentes fiables, podemos asegurar que es grande, muy grande, y no solo debido a las cuentas bancarias robadas usando técnicas de phishing. El comercio con botnets alcanza dimensiones muy grandes capaz de rivalizar con los benéficos de cualquier multinacional pero con un coste muy bajo, prácticamente nulo por parte de los ciber-delincuentes.

Además hemos de sumar los gastos que genera el securizar los sistemas de una empresa ya que, recientes estudios aseguran que diversas empresas pierden alrededor del 30 por ciento de su producción, dependiendo de su actividad fiscal, por culpa de los delitos informáticos. El problema se agrava si consideramos que cualquier sistema conectado a una red es un potencial foco de infección con lo que no es suficiente proteger los sistemas críticos de una empresa para asegurarnos una protección eficaz.

Por ello, no debería extrañarnos que cada empresa empiece a dedicar entre el 10 y el 15 por ciento de su presupuesto a la seguridad informática, e incluso comiencen a aparecer compañías subcontratadas especializadas en seguridad informática.

Como puntos de interés acerca de este tema podemos considerar los siguientes:

1) La mayoría de ataques son lanzados desde redes localizadas en Asia y Rusia.

2) Como ejemplo, solamente el año pasado tuvo perdidas por valor de 42.000 millones de dólares debido a los delitos informáticos.

3) Empresas como Telefónica, invierten del orden de 10.000 millones de dólares anuales en concepto de seguridad informática.

4) Hace relativamente poco, los códigos maliciosos eran creados por diversión o buscando reconocimiento. En la actualidad se crean con fines delictivos.

5) Las amenazas mas extendidas son el spyware y el spam (y los códigos asociados que llevan normalmente asociados).

Ante este panorama y viendo que nuestro dinero está en juego, se recomienda proteger nuestro sistema con un buen antivirus para evitar sorpresas desagradables en nuestra cuenta bancaria.

Josep Albors

Ataques desde páginas web

Últimamente estoy observando como mucho del correo no deseado que recibo incluye enlaces a sitios preparados específicamente para aprovechar vulnerabilidades en los navegadores mas usados. Ya no pretenden venderme medicinas o ofrecerme trabajos de ensueño. Ahora parecen ser mas directos y pretenden tomar el control de mi sistema.

Este tipo de ataques se aprovecha de vulnerabilidades en programas tales como navegadores o sus plugins, aplicaciones ofimáticas tales como Microsoft Office o Acrobat Reader y otras aplicaciones de uso común. Prácticamente, cualquier programa que acceda a Internet para realizar cualquier función puede ser usado para infectar nuestro sistema si se descubren vulnerabilidades y estas no son solucionadas en un tiempo prudencial.

Lo realmente peligroso de este tipo de ataques es el hecho de que, tan solo visitando una web, el usuario queda infectado, no haciendo falta que descarguemos ningún fichero voluntariamente. Este tipo de vulnerabilidades pueden hacer que se instalen códigos maliciosos en nuestro sistema, incorporándolo a una botnet, robando nuestros datos confidenciales o provocando fallos en el correcto funcionamiento del sistema.

Para evitar estas vulnerabilidades es fundamental que el tiempo de respuesta por parte de los creadores de la aplicación comprometida sea el menor posible. También nos corresponde, como usuarios, conocer e instalar la última versión de los programas que usemos. Una utilidad que nos ayudará en este fin es el Software Inspector de Secunia, una aplicación que detecta las aplicaciones que tenemos instaladas y revisa la última versión disponible, informándonos si no la tenemos instalada.

Como hemos comentado anteriormente, el método mas común para propagar ataques que aprovechen estas vulnerabilidades es el spam pero, recientemente, se han añadido otros vectores de ataque como pueden ser la mensajería instantánea o webs sociales como MySpace. Incluso se han dado casos de suplantaciones de identidad de una web, creando un domino con un nombre similar o modificando la información proporcionada por el servidor de nombres de dominio (DNS).

Todo este aprovechamiento de vulnerabilidades genera grandes beneficios entre las redes de crimen organizado que actúan a través de Internet, llegándose a pagar grandes sumas de dinero por aquellas vulnerabilidades que aun no han sido hecho públicas.

Los consejos para evitar que estas vulnerabilidades nos afecten son las típicas. A la ya mencionada de mantener actualizado el software instalado en nuestro sistema se une el poseer un buen antivirus actualizado que revise los ficheros que intenten descargarse desde enlaces sospechosos y la utilización de un cortafuegos debidamente configurado con el fin de bloquear conexiones entrantes y salientes desde y hacia nuestro sistema.

Josep Albors

Descargas arriesgadas

A la vuelta de vacaciones recibí una notificación de mi ISP comunicándome que iban a proceder a aumentar el ancho de banda de mi conexión ADSL. Como yo, muchos otros usuarios, disfrutan de un ancho de banda que les permite descargar grandes cantidades de ficheros en poco tiempo y seguramente usaran los mismos programas o variantes.

Es en este punto donde cabe destacar que, debido al auge de las descargas usando las redes P2P, muchos creadores de malware han decidido aprovechar este medio para propagar sus códigos maliciosos. Podemos encontrar, principalmente, dos maneras de aprovecharse de la confianza del usuario para infectar su sistema.

La primera es infectando con malware el propio programa que usamos para descargar los archivos de la red. Hay multitud de ellos y no es difícil instalar uno que lleve un “regalito” incorporado. Por suerte, las comunidades de usuarios comparten sus experiencias y ayudan a elaborar listas de aplicaciones P2P infectadas (y también de las que están libres de infección).

El otro método de infección consiste en renombrar los códigos maliciosos asignándoles nombres de archivos muy solicitados por los usuarios. De este modo, la ingeniería social entra en juego, ya que, es mas probable que seamos menos precavidos al revisar un fichero que ansiamos.

Ante estas amenazas, el uso de un buen antivirus actualizado es fundamental ya que, en primera instancia nos informará de si el programa de intercambio de ficheros que usamos tiene algún elemento no deseado en forma de virus, spyware o troyano. Así mismo, también nos informara de infecciones en los archivos descargados, evitándonos mas de un problema a la hora de ejecutar un fichero.

Josep Albors

Nueva propagación de troyanos vía messenger

Recientemente uno de mis contactos del Messenger me envió el mensaje que podeís ver a continuación:

Sospeché desde el primer momento por varios motivos. El primero fue que, normalmente, no me comunico con ese contacto usando el Español y el lenguaje usado me resultaba extraño (el uso de la palabra “tipo” me ayudó a despejar definitivamente cualquier duda).

El segundo motivo era que me enviaba un fichero sin yo haberlo solicitado antes, supuestamente conteniendo unas fotos. Aquí entra en juego la ingeniería social, ya que muchos usuarios se alegran de recibir fotos y noticias de sus contactos y pueden aceptar el archivo enviado sin tomar las precauciones adecuadas.

Por último, el nombre del fichero (haciendo referencia a una conocida marca de teléfonos móviles) no parecía corresponderse con el contenido.

No obstante, puesto que nuestra función es la de detectar nuevos códigos maliciosos para avisar de su existencia y ayudar en su eliminación, avisé a mi contacto del Messenger de que estaba infectado y le pedí que localizase el fichero que estaba enviando sin saberlo y me lo volviese a remitir (esta vez conscientemente) una vez estuviese en un entorno seguro (máquina virtual con las debidas medidas de seguridad).

Tras analizarlo, descubrí que se trataba de otra variante del troyano SdBot, dedicado a infectar máquinas para convertirlas en zombies o bots y que ha parecido encontrar una buena vía de infección mediante la utilización del Messenger y la ingeniería social.

Ante este tipo de código malicioso cabe recordar las medidas básicas de seguridad:

- No aceptar ningún fichero enviado sin antes verificar su contenido preguntándole al remitente del mismo.

- Desconfiar de mensajes que estén escritos en un lenguaje distinto al usado habitualmente por el contacto que nos envía el fichero.

- Usar un antivirus actualizado para, en el caso de que aceptemos y abramos el fichero, sea detectado por el mismo.

Con estas simples precauciones evitaremos que nuestro sistema caiga en manos del controlador de una botnet.

Josep Albors

Tecnologías de consumo y seguridad

El otro día decidí hacer inventario de todos los gadgets y artilugios tecnológicos que tenia repartidos por casa. He de confesar que siempre me ha gustado la tecnología y desde pequeño me sentí atraído por este mundo. En un momento dado me paré a pensar como todos estos aparatos, tan comunes en estos días, tienen como punto en común su conexión con nuestros PCs. Desde el mas simple reproductor mp3 hasta la consola de videojuegos de última generación, todos interactuan, en mayor o menor grado con nuestros ordenadores. Son pues, un vector de ataque bastante suculento para aquellos creadores de malware que deseen explotarlos.

También hay que tener en cuenta que, además del hardware, existe software que, si bien es habitualmente usado por los usuarios en sus ordenadores personales domésticos, puede resultar peligroso en ambientes corporativos. Repasemos pues, aquellas tecnologías de consumo mas problemáticas en estos ambientes:

1.- Mensajería instantánea y telefonía IP. Quien mas, quien menos las usa habitualmente y, bien usada, son una potente herramienta de comunicación. En su aspecto lúdico han revolucionado las relaciones interpersonales tal y como las conocíamos hasta ahora. Por desgracia esta popularización ha hecho que sean uno de los principales vectores de ataques, apareciendo continuamente malware que intenta infectar nuestros sistemas usando este software como puerta de entrada. En este apartado englobaríamos aplicaciones como MSN o Skype

2.- Webmail. Es muy frecuente que la mayoría de los usuarios dispongan de una o varias cuentas de correo web. Este tipo de cuentas pueden sufrir ataques que pueden comprometer la confidencialidad del equipo desde el cual se accede, recibiendo ficheros no deseados o enviando información confidencial al exterior.

3.- Dispositivos de memoria externa. Con la masificación de los pendrives y discos duros USB es cada vez mas frecuente que los usuarios usemos estos dispositivos de alta capacidad como medio de transporte de información, sea personal o confidencial, con lo que la perdida o robo de uno de estos dispositivos puede ponernos en un aprieto. Así mismo, si se copian ficheros infectados a uno de estos dispositivos y luego lo conectamos a otro ordenador podemos esparcir la infección en una red en poco tiempo, inutilizando las defensas perimetrales de la empresa.

4.- Teléfonos móviles. Con el incremento de las capacidades de los móviles estos también han entrado a formar parte de los dispositivos con conectividad con nuestros ordenadores. Bien sea conectándolos por cable o mediante tecnología Wi-fi o bluetooth, pueden ser potencialmente peligrosos si se encuentran infectados a la par que pueden ser usados para robar información de sistemas vulnerables.

5.- Gadgets y demás dispositivos de entretenimiento. Muy populares en estos días, muchos de nosotros disponemos de reproductores de audio y video portátiles, videoconsolas portátiles, palms u otros dispositivos. Como, la mayoría de veces necesitan de nuestro ordenador para transferir ficheros pueden ser portadores de infecciones e incluso, en ocasiones, estas infecciones pueden estar orientadas a afectar estos dispositivos en vez de nuestro ordenador.

Así pues, cabe extremar las precauciones ya que la interactividad entre diferentes dispositivos y nuestros ordenadores puede resultar cómoda a la vez que peligrosa.

Josep Albors

El ataque de los (ordenadores) zombies

Este titular que puede llamarnos la atención, sobre todo a los que somos aficionados a las películas de terror de serie Z es una constante que se repite diariamente cuando, miles de sistemas infectados realizan acciones sin conocimiento de su legítimo propietario, siendo controlados remotamente por el administrador de una botnet.

Estas acciones varían desde el envío masivo de spam y códigos maliciosos hasta ataques masivos de varias miles de máquinas contra webs o servidores específicos. Así pues, ¿cómo saber si su sistema forma parte de estas redes de ordenadores zombies?

Esta pregunta puede parecer difícil de responder para un usuario común por lo que se aconseja seguir una serie de recomendaciones que enumeraremos a continuación:

- La primera de ellas es comprobar si todos aquellos programas que se encuentren en ejecución en el sistema son aquellos que deberían estarlo. Para comprobarlo, existen múltiples herramientas, como Process Explorer, que realizan una monitorización de las aplicaciones en funcionamiento, mostrándolas en pantalla e indicando el porcentaje de recursos del sistema consumidos y a que compañía pertenece. No obstante, es posible que un rootkit este activo y oculte su funcionamiento a estas herramientas. Para detectar estos rootkits se pueden usar antivirus con capacidad de detectarlos, como ESET NOD32>, o herramientas especificas como Rootkit Revealer.

- Seguidamente, debemos comprobar que las conexiones salientes hacia Internet desde nuestro equipo corresponden a aquellos sitios que deberían estar accediendo. Es muy probable que un código malicioso instalado en nuestro sistema esté intentando comunicarse desde nuestro sistema hacia el exterior para propagarse, descargar nuevo malware, enviar información privada, spam o conectarse con el administrador de una botnet a la espera de recibir órdenes. Se puede analizar el tráfico de nuestra red usando herramientas ya incluidas en el sistema (como el comando NETSTAT desde la consola de comandos de Windows) o usando programas externos que cumplen este cometido como TcpView.

- Por último, y como complemento al primer punto, es importante revisar a fondo nuestro sistema usando un antivirus actualizado o scanner online. ESET NOD32 dispone de versiones de evaluación plenamente funcionales durante 25 días para aquellos usuarios que deseen probar el antivirus.

Así mismo, ESET pone a disposición de todos aquellos usuarios que lo necesiten ESET Online Scanner, pudiendo analizar su sistema sin tener que instalar el antivirus. Este análisis gratuito también permite la eliminación del malware detectado. De momento su uso esta restringido al navegador Internet Explorer.

Si se dispone de conocimientos en el análisis del registro de Windows se pueden revisar las siguientes entradas del mismo en busca de referencias a códigos maliciosos presentes en el sistema y eliminarlas manualmente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServicesOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce\Setup

Siguiendo estos consejos, podremos determinar si nuestro sistema pertenece a una red de ordenadores zombies o si es seguro. Aun en el caso de que nuestro sistema se encuentre limpio, no conviene bajar la guardia puesto que los intentos de infección del mismo se producen a diario.

Josep Albors