• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Win32/Duqu: tras los pasos de Stuxnet

Durante los últimos días, los investigadores de malware han dedicado mucho tiempo al nuevo código malicioso identificado por ESET como Win32/Duqu. Los investigadores de nuestro laboratorio Aleksandr Matrosov, Eugene Rodionov y David Harley han analizado su código a fondo y han extraído información más que interesante.

Una de las características que hacen de este malware un ejemplar singular es que se parece bastante a Stuxnet, uno de los gusanos más sofisticados (si no el que más) de los detectados en los últimos años. Ahora nos encontramos en el proceso de diseccionar  los binarios de Duqu.

Tras unos primeros análisis preliminares es evidente que Duqu está basado en el código fuente de Stuxnet. Desde el punto de vista de la arquitectura del malware, Duqu es prácticamente idéntico a Stuxnet: en esencia, hay un driver en modo kernel que inyecta una librería DLL en procesos específicos del sistema. Esta DLL incluye la carga maliciosa en su interior y exporta una serie de rutinas que realizan unas acciones específicas. Además de las similitudes en la arquitectura, los módulos de Duqu son muy similares a Stuxnet desde un punto de vista binario: se usaron las mismas clases y estructuras para compilar tanto Stuxnet como Duqu. Obviamente, estos módulos no son 100% idénticos, pero hemos encontrado patrones idénticos de código.

Desde que los investigadores empezaron a analizar Duqu se han formulado muchas preguntas, muchas de las cuales permanecen sin respuestas. En concreto, no tenemos ninguna información (pública) sobre el archivo que descargaba Duqu ni de cómo y cuándo se instaló en las máquinas infectadas. Esta información es vital a la hora de realizar un análisis forense. Con respecto a la fecha en la que este malware fue  instalado, esta puede encontrarse en el archivo de configuración. Debido a que Duqu tiene especificado permanecer en el sistema solo durante un periodo de tiempo (después del cual se elimina del sistema), creemos razonable asumir que la fecha de la infección se almacenaba en algún lugar del archivo de configuración. No fue difícil averiguar el código responsable de implementar este almacenamiento y, por tanto, determinar qué ubicación se usaba  en los datos de configuración para almacenar la fecha de la instalación.

La fecha en la que Duqu se ejecuta por primera vez en el sistema infectado se almacena en format UTC, en el offset 0×123 desde el principio del archivo de configuración. Basándose en estos datos, es posible determinar la fecha en la que Duqu penetró en el sistema.

En el informe “Duqu: el precursor del siguiente Stuxnet”, el autor menciona que una de las modificaciones de Duqu que ellos analizaron tiene una esperanza de vida de 36 días y, cuando alcanza esa fecha, el malware se elimina a si mismo del sistema.

Para obtener este valor necesitamos descifrar el archivo de configuración con el siguiente criptoalgoritmo personalizado:

Resulta interesante destacar que el array gamma usado para descifrar los datos consiste en 8 elementos, de los cuales solo los 7 primeros son usados. A pesar de que esto puede ser intencionado, consideramos que es más probable que se trate de un pequeño error en su implementación.

Basándonos en el análisis de varias muestras, observamos que la esperanza de vida es diferente según la muestra analizada. Este valor se define en los datos de configuración (palabra en el offset 0x124E). En las imágenes mostradas a continuación se pueden ver fragmentos de archivos de configuración mostrando información acerca de la esperanza de vida.

• Datos de configuración resaltando la fecha en la que infectó el sistema: 11/08/2011 a las 07:50:01 y con una esperanza de vida de 36 días.

Control Parental en ESET Smart Security 5

La nueva versión de ESET Smart Security está al caer y, entre las múltiples novedades que presenta, una de las más esperadas es, sin duda, el control parental. Esta funcionalidad es especialmente demandada por aquellos padres y tutores que quieren que sus hijos naveguen de forma segura por la red, evitando que visualicen contenido inadecuado para su edad.

Esta característica permite definir una serie de parámetros dependiendo del usuario que inicie sesión en el equipo. Es importante recordar que cada usuario del sistema debería tener su propio perfil creado para que así puedan aplicarse los permisos necesarios. Si evitamos compartir cuentas de acceso, gestionaremos mucho mejor el contenido al que nuestros hijos pueden acceder.

El control parental de ESET Smart Security 5 viene con tres perfiles pregenerados: Niño, Adolescente y Padre. Esto facilita la gestión para el tutor que quiera vigilar el contenido al que acceden sus hijos. Asimismo, se pueden personalizar todas las categorías que son revisadas.

Esta funcionalidad permite también realizar excepciones en determinadas páginas web, que bien podrían estar clasificadas dentro de una categoría prohibida pero que, por algún motivo, queramos que sea accesible. Por supuesto, todos los accesos a contenidos en la red quedan registrados y almacenados en su correspondiente registro, que puede ser revisado posteriormente si deseamos comprobar que no se ha accedido a sitios inadecuados.

Desde el laboratorio de ESET en Ontinet.com pensamos que la inclusión de esta utilidad ayudará a los padres y tutores a mejorar la experiencia online de sus hijos. No obstante, es importante recordar que una comunicación abierta con nuestros hijos resulta vital para ayudarlos a protegerse de los peligros que pueden acecharles en Internet.
Josep Albors

Hacking y novatos

Ha llegado hasta nosotros un anuncio de un curioso dispositivo para crackear redes Wi-Fi. Por lo que se anuncia, es un sistema al que basta con conectar por un puerto USB a un ordenador para que él solito busque las redes Wi-Fi que tenga a su alcance y las crackee automáticamente, sin necesidad de hacer nada más que esperar un rato.

No cabe duda de que su inventor es una persona ingeniosa programando, desarrollando y comercializando por 120 dólares estadounidenses (algo más de 80 euros al cambio) el aparato en cuestión. Muchos usuarios lo encontrarán atractivo y lo comprarán esperando usar la conexión Wi-Fi del vecino aunque tenga contraseña. A todo esto, solo sirve si el sistema de cifrado es WEP, no menciona en ningún caso otros sistemas de cifrado más robustos, los siempre recomendados WPA o WPA2.

Pero el uso de este tipo de dispositivos para crackear contraseñas tiene un posible doble filo del que no debe fiarse nadie. Me ha recordado a los programas que se utilizan para generar claves de programas, los famosos “keygen”. Pocos son los que funcionan adecuadamente, la mayoría no sirve y/o llevan asociado algún tipo de código malicioso.

O múltiples herramientas utilizadas por principiantes en el tema del hackeo, que incluyen dentro un maravilloso espía para el novato. Muchas descargas de herramientas como NMAP o NESSUS están infectadas por código malicioso, lo cual hace del proyecto de hacker un completo usuario espiado.

A la hora de adentrarse en el mundo de la seguridad, ello puede hacerse de dos maneras: estudiando y desarrollando las herramientas necesarias o bien heredando las herramientas de otras personas. La segunda opción es más sencilla, pero en el mundo de la seguridad informática hay demasiadas personas en el “lado oscuro” dispuestas a engañar a los novatos.

No dudamos de que el aparato del que hablábamos al principio sea una maravilla, pero habría que probarlo muy seriamente antes de asegurar que no incorpora ningún regalito de un cracker. Es decir, algún espía que nos robe algún tipo de información mientras lo usamos.

Al fin y al cabo, el que roba a un ladrón…

Fernando de la Cuadra

Extremar las precauciones en ordenadores públicos

Desde nuestro blog, siempre hemos aconsejado mucha precaución cuando se accede a Internet a través de ordenadores públicos, como los proporcionados en bibliotecas públicas, universidades, hoteles, cibercafés, etc.

El uso de este tipo de equipos públicos para realizar determinadas operaciones que se alejen de la simple búsqueda de información, puede acarrear que seamos víctimas de robo de contraseñas, datos bancarios y demás información crítica, debido a software o hardware malintencionado que pueda estar instalado en el equipo, como pueden ser troyanos, o keyloggers.

Es lo que ha ocurrido, según indica menmedia.co.uk, en dos bibliotecas públicas de Manchester, exactamente en las de Wilmslow y Handforth, en los que se han detectado hasta tres dispositivos USB que realizaban funciones de keylogger. Lo cual puede haber puesto en peligro los datos de los usuarios que utilizaron esos equipos.

Al igual que cuando nos conectamos a una red WIFI pública no realizamos determinados tipos de operaciones, el mismo comportamiento debemos adoptar cuando utilicemos un ordenador público. Desde el departamento técnico de ESET en Ontinet.com, recomendamos NO REALIZAR las siguientes acciones a través de Internet cuando nos conectemos a ordenadores públicos.

• Realizar compras online
• Acceder a la banca online
• Escribir datos sensibles a través de correos electrónicos o aplicaciones de mensajería instantánea
• Cambiar contraseñas de acceso
• Acceder a facturas online
• Conectarse remotamente a otros equipos
• Conectarse a redes sociales o servicios de microbloggin

Si es absolutamente necesario utilizar alguno de estos servicios, comprobar que se accede mediante cifrado SSL o a través de una VPN.

Es aconsejable modificar las credenciales de acceso utilizadas después de acceder a un servicio mediante un ordenador público. De esta forma evitaremos más de una situación indeseable.

David Sánchez

La reforma del código penal y sus consecuencias en materia de delitos informáticos

Con todo lo acontecido en las últimas semanas en materia de ataques de denegación de servicio a diversas webs españolas, ya fuera por todo el asunto Wikileaks o por la votación de la conocida como “Ley Sinde”, nos parece importante comentar ciertos puntos del nuevo código penal que afectan a los delitos informáticos. Desde el pasado 23 de Diciembre, estos ataques DoS podrían ser constituyentes de un delito, cosa que la mayoría de usuarios que participen en este tipo de ataques puede que desconozcan. Pero este tipo de ataques no son los únicos que se han incluido en esté código penal por lo que pasamos a comentar los que pensamos son más interesantes y afectan a muchos usuarios.

En el articulo 197.3 se castiga la intrusión en sistemas ajenos protegidos con sistemas de seguridad aunque no se dañe o robe información. No importa que se aproveche una vulnerabilidad conocida o se usen unas claves por defecto. Si entramos en ese sistema sin consentimiento del propietario, tal y como sucede en la mayoría de ocasiones, podremos ser castigados con pernas de cárcel que oscilan entre los 6 meses a los 2 años. Esto puede suponer un grave impedimento para los investigadores españoles que se dedican a descubrir vulnerabilidades en sistemas y a avisar sobre las mismas ya que, si se impide que gente con buena fe pueda avisar de posibles problemas en el acceso a nuestros sistemas, es muy probable que cuando alguien malintencionado quiera acceder, no tenga mayores problemas al no haber podido prepararnos frente a ese ataque por el mero hecho de desconocer la vulnerabilidad.

Otro de los artículos que se ve modificado es el 248.2, donde se añade un apartado relacionado con la posesión de aplicaciones que puedan ser usadas para cometer estafas o delitos informáticos. La inclusión de este artículo es especialmente preocupante puesto que hay herramientas de uso bastante extendido que pueden ser utilizadas con esa finalidad. Así pues, la simple posesión de distribuciones Linux enfocadas a la seguridad y a la auditoría de sistemas como Wifislax o Backtrack (repletas de herramientas que se podían catalogar por ese artículo como aplicaciones no autorizadas) pasarían a ser motivo de delito. No obstante, si se demuestra que la aplicación no tiene únicamente fines delictivos, no se podrá castigar su posesión.

Por último, el artículo 264 ha sido modificado para incluir aquellos ataques a un sistema que le impidan funcionar con normalidad. Un claro ejemplo de esto son los ataques de denegación de servicio que se han estado produciendo contra diferentes webs impulsado por el grupo Anonymous. Desde la aprobación de la ley, todo aquel que participe en uno de estos ataques podrá enfrentarse a penas de prisión que van desde los 6 meses a los 3 años.

Aunque, desde el laboratorio de ESET en Ontinet.com no dudamos que la reforma del código penal ha pretendido abarcar los nuevos tipos de delincuencia que se cometen usando sistemas informáticos, consideramos que aun queda mucho por pulir, puesto que algunos de los puntos añadidos quedan bastante ambigüos. Faltaría saber además si los jueces y tribunales que se encarguen de juzgar estos nuevos tipos de delitos tienen los conocimientos adecuados para poder dictar sentencias justas y que no se vean afectadas por intereses empresariales o gubernamentales.

Josep Albors

Firesheep y la seguridad de las redes inalámbricas

Mucho se ha hablado en las últimas semanas sobre Firesheep, un complemento para Firefox que permite obtener las credenciales de cuentas como, por ejemplo, Facebook, Gmail o Hotmail, en redes inalámbricas inseguras. Técnicamente, no hace nada adicional a lo que otras aplicaciones de análisis de paquetes en una red (como Wireshark) ya venían haciendo desde hace mucho tiempo. Lo que sí hace es simplificar esta tarea en gran medida, permitiendo que gente con apenas conocimientos técnicos pueda obtener este tipo de información de forma muy sencilla.

En las apenas 3 semanas que lleva disponible Firesheep, ya ha superado las 600.000 descargas, lo que demuestra la cantidad de gente que está interesada en obtener este tipo de datos. El problema es especialmente grave si tenemos en cuenta que, con la obtención de los datos de acceso de un usuario a cualquiera de los servicios web más usados, se pueden realizar ataques dirigidos contra esa persona o usarla como vector de propagación de amenazas. Esto es aplicable a prácticamente cualquier escenario, desde una universidad en la que se roban los datos de acceso a Facebook a los estudiantes, hasta el robo de credenciales de servicios de correo web a un directivo de una gran empresa conectado a una red wifi pública en un aeropuerto, por poner solo dos ejemplos.

El problema radica, no tanto en la existencia de esta aplicación, puesto que solo simplifica lo que ya venían haciendo otras, si no en la inseguridad que demuestran por defecto la mayoría de servicios a través de la web, que usamos de forma cotidiana, al no solicitar algún tipo de cifrado al conectarse. También tienen buena parte de culpa la proliferación de redes inseguras por descuido de las personas encargadas de gestionarlas. Es relativamente fácil encontrar redes wifi abiertas en sitios públicos y con una seguridad insuficiente o inexistente. Asimismo, la mayoría de usuarios no están concienciados de los peligros de conectarse a este tipo de redes y de cómo su información confidencial puede estar expuesta a cualquier atacante conectado a esa red.

Una vez analizada la situación, ¿cómo podemos protegernos?. En una situación ideal, solo deberíamos conectarnos a redes seguras con métodos de cifrado eficaces (WPA como mínimo), intentando siempre conectarnos a los sitios web que soliciten nuestras credenciales usando un protocolo seguro. Existen complementos de navegadores que fuerzan el uso de SSL para conectarnos a los servicios webs más frecuentes, así como también otras aplicaciones para mitigar los ataques producidos por Firesheep o aplicaciones similares. Un buen recopilatorio de estas aplicaciones puede encontrarse en el excelente artículo que han preparado los chicos de Security by default. También han aparecido extensiones para nuestro navegador como Blacksheep que permiten detectar si alguien está usando Firesheep en nuestra red, cosa que no impedirá que nos roben nuestras credenciales pero si puede ayudar a que andemos con pies de plomo.

Desde el laboratorio de ESET en Ontinet.com nos gustaría añadir que el robo de información usando redes inalámbricas inseguras ha sido y es uno de los mayores problemas de seguridad desde hace varios años. Esperamos que la repercusión mediática que ha tenido esta herramienta ayude a los usuarios a vigilar en que redes se conectan y a introducir sus credenciales de acceso a la multitud de servicios web que usamos hoy en día usando siempre un protocolo seguro.

Josep Albors

Lapsec (beta), herramienta gratuita de seguridad de Hispasec

Nuestros compañeros de Hispasec, no contentos con ofrecer servicios impagables como son Virustotal o Una al día, siguen desarrollando herramientas que ayudan a mejorar la seguridad de los usuarios. LapSec es el nombre de una herramienta que actualmente se encuentra en fase beta y cuya finalidad es ayudar a securizar equipos portátiles con sistemas Windows instalados.

Con LapSec se consigue automatizar tan solo pulsando un botón una serie de cambios en el sistema operativo Windows que proporcionan una mayor seguridad a los usuarios. Su finalidad no es blindar completamente un portátil pero si hacerlo más seguro que al sacarlo de su embalaje e iniciarlo por primera vez.

Como bien indican desde Hispasec, existen más medidas que pueden tomarse para securizar aun mas un ordenador portátil o sistemas Windows en general pero no han sido incorporadas al programa por salirse del objetivo del mismo que no es otro que proporcionar funcionalidades de seguridad en entornos Windows adaptadas a equipos portátiles.

En el blog de Hispasec se pude encontrar una lista de funcionalidades de esta utilidad junto con una descripción más profunda de la misma. Desde el laboratorio de ESET en Ontinet.com consideramos que esta aplicación puede ser de mucha utilidad para aquellos usuarios de sistemas Windows en equipos portátiles que, además de contar con una solución antivirus deseen tener sus equipos configurados de forma segura.

Josep Albors

Repara los daños realizados en tu equipo por una infección

De la mano de Genbeta.com, hoy damos a conocer una herramienta que nos puede ser muy útil a la hora reparar los daños producidos por una infección. En ocasiones, nos ha ocurrido que después de que nuestro equipo se vea afectado por un virus, éste nos deshabilite el administrador de tareas, el regedit, u otra serie de aplicaciones necesarias para la correcta administración y uso del equipo.

Con la aplicación llamada Re-enable podremos reparar, de forma muy sencilla, estas y otras opciones del sistema deshabilitadas por una infección. Eso sí, es una condición indispensable que el equipo se haya desinfectado previamente. Re-enable se puede descargar desde el siguiente enlace y dispone también de una versión portable para guardar en nuestro dispositivo USB.

Su funcionamiento es sencillo, una vez se ejecuta aparecerá la ventana que le mostramos, donde podremos elegir que opciones habilitar nuevamente. Seleccione las opciones deseadas y pulse sobre el botón Re-Enable para habilitarlas. Además, la aplicación dispone de otras funciones tal y como se muestra en la siguiente captura:

Desde el departamento técnico de ESET en Ontinet.com esperamos que dicha aplicación les sea de utilidad en el caso de tener problemas con la ejecución de cualquiera de los procesos mostrados.

David Sánchez

Protege tu USB

Hoy vamos a mostrarles una herramienta interesante para proteger nuestros dispositivos USB. Siempre que le dejamos un USB a alguien, o lo conectamos en ordenadores ajenos que desconocemos si pueden estar infectados o no, tenemos el peligro que nuestro dispositivo USB se infecte por el ya conocido método Autorun, o peor aún, que los archivos que tenemos dentro sean modificados o eliminados.

Con la herramienta USB Write Protect, que nos presentan desde ADSL-Faqs, podemos proteger la escritura no deseada en nuestro Pen drive y con ello evitar la eliminación o modificación de cualquier archivo alojado en esta unidad.

Es una aplicación de apenas 12kb que podemos guardar en nuestro USB y que solo con conectar la unidad extraíble, ejecutar esta aplicación y hacer clic en el botón Apply, teniendo marcada la opción “Enable Write Protect” queda bloqueada la escritura en el dispositivo. Desde el departamento técnico de ESET en Ontinet.com esperamos que esta herramienta les sea de utilidad.

David Sánchez

FamilyShield, protege a los más pequeños de los peligros de Internet

Desde el departamento técnico de ESET en Ontinet.com nos esmeramos en aconsejar a los internautas en general sobre hábitos y acciones recomendables cuando se navega por Internet, se utiliza el correo electrónico, accedemos a redes sociales, etc. Toda esta información la tienen disponible en el siguiente enlace: Consejos de seguridad.

Además de ofrecer todos estos consejos, intentamos ir añadiendo contenidos que creemos necesarios e interesantes para cualquier usuario que utilice un ordenador, sobretodo haciendo hincapié en los más pequeños, que son los más vulnerables a la hora de acceder a Internet en general, es por ello que hoy les mostramos una herramienta llamada FamilyShield,la cual va a ayudarnos en la difícil tarea de proteger a los pequeños de la casa de cualquier acceso no deseado filtrando todo el contenido.

Nos gustaría, en primer lugar, destacar las características principales de FamilyShield:

• Se puede configurar directamente en el router, con lo cual todo dispositivo que se conecte a Internet a través del router estará protegido.
• Se actualiza constantemente.
• Dispone de un filtro antiphishing y de protección contra sitios webs maliciosos.
• El servicio está activado por OpenDNS, una empresa de confianza.
• Es gratuito.

A continuación les mostramos el enlace para configurarlo, dependiendo de si deseamos configurarlo en el router o en el ordenador: https://store.opendns.com/familyshield/setup/. Una vez configurado, filtrará cualquier acceso de forma automática, protegiendo así a los más pequeños de cualquier contenido indeseable.

David Sánchez

Artículos Anteriores »