[Infografía] La importancia del doble factor de autenticación

Hace unos días comentabamos en este blog qué era el doble factor de autenticación y porque es una medida de seguridad altamente recomendable tanto para usuarios particulares como, especialmente, para empresas.

Para complementar la información ya publicada, hemos preparado esta infografía que cuenta con datos interesantes para comprender la importancia que tiene proteger el acceso a la información confidencial de las empresas.

ESA2_Infographic_Source español

Josep Albors



Administración de contraseñas utilizando hardware con Arduino

Categorias: Arduino,General,Herramientas,seguridad | | Sin comentarios » |

Nuestros compañeros de ESET en Latinoamérica han publicado un interesante artículo sobre una aplicación de la plataforma Arduino para gestionar contraseñas. Estos sistemas se van a volver cada vez más populares, y reproducimos aquí el artículo de Gastón Charkiewicz.

La 30° edición del Chaos Communication Congress se ha llevado a cabo hace unos días, y en ella se han presentado ideas y proyectos muy interesantes. Uno de ellos es calc.pw, un proyecto de hardware desarrollado con Arduino que presenta una nueva alternativa a la generación, administración y protección de contraseñas.

Más y mejores contraseñas, más difícil administrarlas

Mucho se ha tratado el tema de contraseñas y su administración de forma segura. De hecho, en este blog hemos hablado acerca de cómo construir una contraseña segura, y además, hemos visto que descubrir una contraseña demasiado corta puede realizarse en unos pocos segundos. También hemos considerado que ante la utilización de distintos servicios, el mejor de los casos es utilizar una contraseña distinta para cada uno de ellos. Ahora, ¿qué hacer con tantas contraseñas? La cantidad de información que el ser humano puede recordar es limitada, y tener contraseñas robustas para distintos servicios se hace una tarea muy complicada, porque recordarlas todas se hace imposible.

Una herramienta que se enfoca en simplificar esa problemática es calc.pw. Esta consta de una placa Arduino, un host USB y un circuito relativamente simple que se conecta entre el teclado y la computadora. Permite la generación bajo demanda de contraseñas y se encarga de suministrarlas en el momento de ser utilizadas. A continuación, pueden observar una foto (imagen tomada de la página del proyecto):

arduino

Imaginemos un caso de uso con un usuario que desea crear una contraseña para utilizar en una red social. Los pasos que llevará a cabo son los siguientes:

  • En caso de que el dispositivo esté apagado, el usuario deberá encenderlo e ingresar su clave maestra. Esta tiene como finalidad proteger las contraseñas ya almacenadas. Una vez terminado el proceso de autenticación, el dispositivo por defecto transmitirá todas las teclas presionadas a la computadora.
  • La combinación de teclas Control + Esc hará que la herramienta cambie al modo de generación de contraseñas. En este, el usuario deberá ingresar información como el nombre asociado a la contraseña (puede ser “cuenta de Twitter”, por ejemplo) o incluso el tamaño de la contraseña, que puede variar de 3 a 50 caracteres.
  • Una vez ingresados los datos relativos a la contraseña, ya estará disponible para su utilización junto con las otras que se encuentren almacenadas en el dispositivo. De esta forma, el usuario se desliga del conocimiento de la contraseña, y podrá solicitarla bajo demanda del dispositivo.

Si bien la herramienta se presenta de una forma muy útil para desligarse de la manipulación de contraseñas y evitar ataques de robos de estas, hay algunos aspectos negativos a tener en cuenta: las memorias flash y RAM limitadas del dispositivo utilizado para su implementación y, sobre todo, su utilización con dispositivos móviles. En este último caso, no sería posible utilizar una contraseña generada con esta herramienta en este tipo de dispositivos, ya que no habría forma de vincularla con ellos. Recordemos además que almacenar todas las contraseñas en una única herramienta podría representar un gran problema en caso de que, por ejemplo, se borrara su memoria. Estas últimas consideraciones pueden parecer excesivas, pero de todas formas la herramienta presenta una gran solución para casos específicos, como la utilización de contraseñas únicamente en computadoras de escritorio o en sistemas específicos donde proveer contraseñas personales a usuarios sería riesgoso.

Gastón N. Charkiewicz
Especialista de Awareness & Research



Españoles en la Defcon: Construyendo un IDS en Android a nivel de red.

Siendo los ataques a dispositivos móviles uno de los tema principales en la pasada Defcon, se agradeció mucho que algunas de las charlas estuvieran orientadas a aprender cómo defendernos de estos ataques y a presentar herramientas que cumplieran esta función. Uno de los ponentes que más nos impresionó en este aspecto fue el español Jaime Sánchez, quien presentó una aplicación para Android que podía actuar tanto como IDS (Sistema de detección de intrusos por sus siglas en inglés) e IPS (sistema de protección frente a intrusos por sus siglas en inglés) a nivel de red y capaz de analizar tráfico en tiempo real.

Durante la charla Jaime nos explicó los problemas que tenemos los usuarios de Android al ser la plataforma más utilizada y, por ende, la elegida por los atacantes. Actualmente, la gran mayoría del malware diseñado para móviles está enfocado a esta plataforma y las amenazas van creciendo constantemente. Además de las vulnerabilidades propias del sistema, o las existentes en la plataforma de aplicaciones webkit, presente en varios de los navegadores más utilizados, hay que añadir el malware dirigido que busca robar información confidencial e incluso los módulos del Metasploit Framework orientados a atacar a dispositivos móviles.

defcon_jaime

Esta herramienta que se ejecuta dentro del propio dispositivo móvil y de forma automática permite analizar, clasificar y modificar en tiempo real los paquetes obtenidos al capturar todo el tráfico de red generado por un móvil. Esto es algo extremadamente útil para aquellos administradores de red que quieran conocer las amenazas de seguridad que afectan a sus usuarios y prevenir acciones maliciosas de atacantes debido a que la herramienta es capaz de procesar el tráfico antes de que lo haga nuestro dispositivo Android, pudiendo protegernos de una forma más efectiva que el software actual para móviles.

De esta forma, la herramienta podría lanzar una alerta en el propio dispositivo como avisar al equipo de seguridad que lo controla para que tome las medidas adecuadas, lo que incluye descartar paquetes, añadir una nueva regla en el cortafuegos propio del móvil o ejecutar un script o módulo en respuesta. El software se conecta frecuentemente con un servidor principal de donde obtiene las nuevas firmas de ataques y amenazas para estar actualizado.

Con la ayuda de una base de firmas personalizada, esta herramienta también podría detectar ataques específicos para otros dispositivos o tecnologías, tomando como fuente, por ejemplo, la base de firmas de Snort y convirtiéndolas a un formato que pueda interpretar. Esto permite integrar firmas para ataques ya conocidos, y desarrollar nuevas específicas para la plataforma, como la vulnerabilidad en USSD, malware específico para móviles o incluso ataques desde Metasploit. Sin duda una herramienta a tener en cuenta aunque aun se encuentra en fase de desarrollo y podría incorporar aún más funcionalidades en su versión final.

Tras una charla tan interesante y, sobre todo, tras presentar una herramienta tan versátil, no podíamos perder la oportunidad de entrevistar a este investigador español. Así lo hicimos y aquí tenéis el resultado.

Buenos días Jaime. Antes de nada, cuéntanos un poco sobre ti mismo para que te conozcamos mejor

Muy buenos días. Me llamo Jaime Sánchez y soy un apasionado de la seguridad informática. He trabajado durante más de 10 años como especialista y asesor de grandes empresas nacionales e internacionales. Centro mi actividad en varios aspectos de la seguridad como la consultoría, auditorías, formación y técnicas de hacking ético.

Estudié Ingeniería Informática de Sistemas y más tarde hice un Executive MBA en una conocida escuela de negocios. Además, por mi trabajo, cuento con múltiples certificaciones de seguridad. Actualmente estoy trabajando en el Centro de Operaciones de Seguridad de una conocida multinacional de telecomunicaciones y

He tenido la oportunidad de participar en conferencias de renombre internacional como RootedCon en España, Nuit du Hack en París y Black Hat y Defcon en los EE.UU. En los próximos meses estaré participando además en Derbycon (Kentucky) y Hacktivity (Budapest).

Además cuento con un blog llamado “Seguridad Ofensiva” donde trato temas de actualidad, hacking y seguridad.

defcon_jaime_entrevista

Sin duda un currículum impresionante. ¿Podrías comentarnos algo más sobre la herramienta que acabas de presentar?

Bueno, la idea era crear una solución económica, efectiva y funcional que pudiera lidiar con las amenazas orientadas a dispositivos Android. Es por eso que empecé a desarrollar esta herramienta que actua como IDS e IPS en tiempo real, detectando y bloqueando los ataques más conocidos y reconociendo ataques nuevos usando patrones de comportamiento.

La idea surgió gracias al desarrollo de otra herramienta(OSfooler) que presenté en Blackhat Arsenal USA 2013 que permite detectar y engañar las principales herramientas de fingerprinting activo y pasivo, como nmap y p0f.

La primera prueba de concepto de este framework de protección para móviles Android se acaba de presentar en Defcon. A pesar de ser una solución funcional, me gustaría seguir dedicándole tiempo e incorporar nuevos módulos de protección.

¿Qué podrías decirnos de su manejo, es sencillo o requiere conocimientos avanzados?

Cualquiera con conocimientos de redes y programación podría construir su propio mecanismo de defensa y configurarlo a su gusto. Actualmente existen varios tipos de ataques que pueden ser identificados pero que muchas soluciones de seguridad pensadas para móviles aun no detectan. Esta solución vendría a complementar a las soluciones tradicionales como los antivirus y añadir una capa adicional de seguridad en los dispositivos móviles, siendo capaz de integrarse con diferentes soluciones comerciales.

¿Qué opinas de la situación actual de la seguridad de los dispositivos móviles?

Ahora mismo, los dispositivos móviles son uno de los principales objetivos de los atacantes. Contienen muchos datos importantes, tanto si son móviles personales como si se trata de móviles corporativos. Un atacante que lograra robar información de nuestro dispositivo podría obtener datos privados como nuestro correo electrónico, acceso a nuestras redes sociales o la contraseña para acceder a nuestra cuenta bancaria online.

A todo eso hay que añadir la gran implementación que está teniendo la filosofía BYOD en las empresas, sin que se estén tomando, en la mayoría de ocasiones, las medidas de seguridad necesarias. Los usuarios no suelen diferenciar entre cuenta corporativa y de usuario y no es extraño que se filtren datos de la empresa por un uso indebido del dispositivo.

Para concluir, ¿cuál dirías que es la principal ventaja de esta herramienta?

Además de todo lo comentado en la charla, con esta herramienta se puede implementar una capa de seguridad adicional para proteger los dispositivos móviles, ya sean personales o corporativos, basado en las reglas que decidamos, evitando ataques que pongan en riesgo nuestros datos o posibles fugas de información.

Además, podremos enviar esta información a un servidor dedicado, donde añadir otras funciones más específicas, como análisis estadísticos de tráfico (para detectar canales encubiertos de comunicación externa), gestión de listas de reputación de direcciones IP, análisis forense en caso de incidente de seguridad o integrarlo con nuestra solución SIEM implantada.

Muchas gracias por la entrevista Jaime. Esperamos que tu herramienta siga por el buen camino y esperamos que sigas ofreciéndonos charlas tan interesantes como la que acabamos de ver.

Josep Albors



Implementado el nuevo Facebook Graph Search: ¡ojo con tu privacidad!

Ya lo veníamos adelantando desde hace algún tiempo: Facebook cumple un hito más con Facebook Graph Search, la búsqueda semántica que la conocida red social incorpora y que le faltaba para poder competir con otros grandes, como Google, por ejemplo.  Por si no lo recuerdas, la nueva funcionalidad consiste en que todos nuestros contenidos públicos se indexan dentro del propio portal, de forma que cuando realizas una búsqueda, los resultados se organizan de acuerdo a lo que le gusta a tus amigos, y a los amigos de tus amigos y así sucesivamente.

Desde el punto de vista funcional, está muy bien: te permite conocer qué le gusta a tus amigos, o a los amigos de tus amigos. Y como se supone que tienes un lazo de afinidad, puede llegar a ser útil el que los resultados estén más focalizados a tus gustos.

La funcionalidad todavía no está implementada al 100% en España, ya que el lunes salió de su fase beta en Estados Unidos. Pero en nuestro país ya empezamos a ver nuevos elementos en la página que nos dan pistas de que próximamente estará  operativo.

¿Cuál es el riesgo para los usuarios y su privacidad? Bien, sobre la privacidad de Facebook hemos hablado largo y tendido varias veces. Pero lo cierto es que, aunque disponibles a través de los diferentes menús de configuración, por experiencia personal sé que la mayoría de los usuarios de la red social no se paran a conocer todas las opciones que la red social pone a nuestra disposición para proteger nuestra privacidad. ¿Cuál es la consecuencia? Muy fácil: la mayoría de nosotros publicamos contenidos, comentamos, decimos que nos gustan cosas o seguimos a páginas de forma totalmente pública, sin pararnos a elegir a qué tipo de público queremos que lleguen nuestras publicaciones.

Y aquí radica el peligro: todo lo que compartimos en Facebook de manera pública sin restringir quién tiene acceso a nuestro contenido, se va a indexar en el buscador interno y pasará estar a disposición totalmente pública. Si tu perfil es profesional, probablemente te venga hasta bien que tus contenidos se distribuyan más. Pero si tu perfil es personal, ojo, porque quizá las fotos de tus niños estarán a disposición de todo el mundo.

graphsearch--644x362

Configurar la privacidad es engorroso, pero merece la pena

No es fácil configurar la privacidad en Facebook, porque tienes que tener tiempo, ponerle dedicación y empeño, pero merece la pena si no quieres luego llevarte más de una sorpresa. Y es conveniente que, si quieres hacerlo, lo hagas ya. Te contamos cómo hacerlo…

Lo primero que tenemos que hacer es ir a nuestro perfil y seleccionar la pestaña “Información”:

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-1

Una vez en la pestaña, haz clic en “Editar”:

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-2

Se abrirá una pestaña con una bola del mundo como icono: haciendo clic en él puedes elegir qué tipo de público quieres que tenga acceso a cada tipo de información:

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-3

Este paso debes repetirlo con todos y cada uno de los apartados de información que contiene tu biografía. Si bajas en la página hasta la parte de gustos, ya verás parte de la funcionalidad de Facebook Graph Search en forma de sugerencias (en el ejemplo, música que me sugiere que le gusta a mis amigos). De nuevo, si haces clic sobre el lápiz, se abrirá un cuadro de diálogo. Haz clic en “Editar privacidad”:

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-4

Se abrirá un cuadro de diálogo a través del cual puedes seleccionar si tus gustos son públicos o no:

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-5

Cuando termines con todos los apartados de esta página (ya te dijimos que es engorroso y tedioso), ve a la Configuración de privacidad de tu página, a la que accedes desde el símbolo de la rueda dentada que encuentras en la parte superior derecha de la página:

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-6

Se abrirá el registro de actividad de todo lo que has ido haciendo en tu perfil: post que has compartido, imágenes en la que otros amigos te han etiquetado, etc. Haciendo clic sobre el icono de cada una de las publicaciones, verás que de nuevo se despliegan las opciones para elegir al público:

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-7

La parte negativa: tienes que hacerlo uno a uno. Así que si has publicado muchas cosas, prepárate para echarle paciencia. También puedes hacer lo mismo si un amigo te ha etiquetado en una foto, por ejemplo:

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-8

Verás que al hacer clic en “Denunciar/eliminar etiqueta” se abre un cuadro de diálogo desde el cual puedes quitar la etiqueta de la foto o solicitar que se elimine dicha foto. Dado que no es una publicación tuya, no podrás elegir el público al que va, pero si quitas la etiqueta, no se vinculará contigo. Esto es especialmente útil cuando alguien te etiqueta en imágenes o fotos subidas de todo, inconvenientes, con publicidad, etc.

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-9

Esto aplica para todo lo que hayas publicado hasta el momento, pero si quieres ahorrarte este trabajo en el futuro, puedes configurar quién puede ver tus publicaciones a partir de este momento. Para ello, volvemos a nuestra pestaña de Configuración de Privacidad, y elegimos la primera opción. No te preocupes: si posteriormente quieres que alguna publicación esté disponible para todo el mundo, puedes hacerlo en el momento en que estás publicándola.

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-10

También puedes hacer que todo lo que hayas publicado anteriormente al cambio del Timeline, que se hizo el año pasado, sea público o privado. Eso sí, si luego quieres cambiar las opciones tendrás que ir, de nuevo, uno a uno:

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-11

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-12

Todavía hay funcionalidades que, al menos yo, no tengo implementadas, como la posibilidad de acceder a visualizar tu perfil como si fueras alguien ajeno a tu círculo de amistades, para asegurarte de a qué tipo de contenidos tienen acceso. Así que para esta opción tendremos que esperar un poquito más.

eset-nod32-antivirus-facebook-graph-search-yolanda-ruiz-hervas-13

Seguiremos informando sobre Facebook y su privacidad próximamente, pero mientras tanto, te recomendamos que vayas revisando (aunque te dé pereza) cómo están tus contenidos. Ya sabéis que siempre utilizo el refranero español, y como es muy sabio, os recuerdo: “Más vale prevenir, que curar” ;-).

¡¡Buena semana, trop@!!

Yolanda Ruiz



Peligrosísimas armas cibernéticas

Categorias: Cyberwar,General,Herramientas | | Sin comentarios » |

Tengo que reconocer que vivo en un país, España, en el que su derecho está fuertemente influido por el derecho romano, y con unas tradiciones y costumbres propias de una cultura judeocristiana occidental. Puede gustarme o no, pero es así, y en él me he educado y vivo, espero que por muchos años.

Así, la legislación que me rodea, con la que estaré de acuerdo o no, no difiere en mucho de la de los países cercanos y las culturas más próximas. Hay conceptos básicos que no cambian, como por ejemplo, matar a una persona. Eso no está bien, y así se reconoce en prácticamente todas las culturas.

Pero nos encontramos que el teniente general John Hyten, de la Air Force Space Command, ha declarado que se van a considerar armas seis herramientas informáticas. Insisto, cada país legisla como quiere, pero hay normas que francamente, me hacen dudar mucho.

ak47

¿Armas? ¿Puede ser una herramienta informática un arma? Si no te sabes defender, seguro que sí. Cuando los españoles llegaron a América, los nativos se asustaron con las armas de fuego, pero en cualquier guerra de la época estaban más que preparados para el uso de esas armas, así que no hay mucha sorpresa.

¿Va a ser delito que una persona tenga almacenada en un ordenador una herramienta que pueda servir para, por ejemplo, buscar vulnerabilidades en un servidor? No paro de pensar en la cantidad de empresas que van a pasar a la ilegalidad por prestar servicios de seguridad a otras empresas.

La noticia no es demasiado clara, y no consigo encontrar el listado de qué “peligrosas aplicaciones” van a ser consideradas armas. No me extrañaría que la lista empezara por el tremendamente peligroso y asustante “Back Orifice”, o por el incontrolable “nMap”, porque al ritmo que van los legisladores será lo más moderno que puedan entender. Seguro que aparecerán Blade Runners exigiendo que dejes despacito en el suelo una memoria USB, sin movimientos bruscos mientras te apuntan con un seguro y pacífico revólver.

Seamos consecuentes, señores. De nuevo, cada país legisla como quiere, incluso países que permiten que los niños anden pegando tiros por ahí con fusiles de asalto. Pero tener una determinada herramienta informática no creo que deba ser un delito nunca, si acaso, el uso que se haga de ella.

¿Llegará el momento en el que tenga que renunciar a mi colección de minerales por ser armas arrojadizas?

Fernando de la Cuadra

@ferdelacuadra



Nuevo Social Media Scanner contra las amenazas que utilizan Facebook

Categorias: Facebook,General,Herramientas | | 3 Comentarios » |

Hoy os presentamos el nuevo Social Media Scanner, aplicación diseñada especialmente para amenazas que utilizan la popular red social Facebook para distribuirse. Esta nueva aplicación es parte del lanzamiento de las nuevas características y funcionalidades ESET NOD32 Antivirus 6 y ESET NOD32 Smart Security 6 que, como sabes, hemos presentado esta misma semana. En el caso particular de esta aplicación, no necesitas ser cliente de las soluciones mencionadas para descargártelo: es gratis. Así que si utilizas Facebook, te recomendamos que la utilices.

 eset_nod32_antivirus_social_meia_

¿Cómo funciona? Pues a modo de vigilante. Continuamente estará analizando cualquier foto, comentario con links o vídeo que cualquiera de tus amigos compartan a través de su muro, mensajes privados o en últimas noticias o que pretenda compartirse a través del tuyo sin que lo sepas, dado que muchas veces damos permisos a aplicaciones que solicitan comentar en nuestro nombre.

En el momento en el que detecte algo sospechoso, automáticamente actuará de forma inmediata sobre la amenaza enviándote un email notificándote del hecho.

eset_nod32_antivirus_Social_media_scanner

Así, esta herramienta es social de verdad, porque no solo mantiene tu muro limpio de amenazas, sino también el de tus amigos: al avisarte, tú puedes, de forma proactiva, avisar a tus seguidores de manera que ellos también estén a salvo. De esta manera, entre todos evitaremos que Facebook vuelva a ocupar los primeros puestos en cuanto a incidentes de seguridad, puesto de honor que ha conseguido en el año 2012, según los datos de nuestro Informe Anual de Seguridad 2012.

Si usas Facebook, protégete, es gratis ;-). Puedes descargarte ESET Social Media Scanner aquí.

 

Yolanda Ruiz Hervás

 



Certificado de Adobe usado para firmar malware

Categorias: Herramientas,Malware | | Sin comentarios » |

En un aviso urgente enviado ayer por la tarde por Adobe, la empresa anunció que habían descubierto la existencia de dos herramientas con fines maliciosos que habían sido firmadas digitalmente con un certificado válido de Adobe. Tan pronto como se descubrió este hecho, se lanzó una investigación para descubrir a continuación que uno de los servidores de desarrollo con acceso a la infraestructura de firma de código de Adobe fue comprometido, permitiendo a los atacantes robar el certificado.

Desde Adobe nos indican que han empezado a planificar la revocación del certificado comprometido y la publicación de actualizaciones para el software de Adobe que usa el certificado comprometido. Esto afectaría únicamente al software de Adobe que funciona con ese certificado en sistemas Windows  y a tres aplicaciones Adobe AIR que funcionan tanto en Windows como en Mac.

El motivo del robo de este certificado es claro: usarlo en ataques dirigidos para evadir las medidas de protección que incluyen los sistemas operativos actuales, donde un ejecutable sin firmar debería hacer saltar las alarmas si el sistema está correctamente configurado en materia de seguridad.

De momento se han identificado dos herramientas maliciosas firmadas con este certificado robado. La primera de ellas es pwdump7 v7.1, usada principalmente para extraer hashes de contraseñas en sistemas operativos Windows y que, en ocasiones, también es usada como un archivo único que enlaza con la librería libeay32.dll de OpenSSL. Esta muestra contenía dos archivos separados firmados individualmente.

Con respecto a la segunda herramienta maliciosa descubierta, myGeeksmail.dll, se trata de un filtro malicioso ISAPI (ficheros dll que pueden ser usados para modificar y mejorar la funcionalidad proporcionada por Internet Information Server de Microsoft).

Mientras se prepara la revocación del certificado comprometido, prevista para el próximo jueves 4 de octubre, Adobe recomienda a los administradores de sistemas que gestionen estaciones de trabajo Windows que generen una política de restricción de software (SRP usando las políticas de grupos) que desactive la ejecución de las herramientas maliciosas y las bloquee basándose en el hash de los archivos dañinos.

Desde el laboratorio de ESET en Ontinet.com recomendamos ir con cuidado con los archivos firmados por Adobe que ejecutemos en nuestro sistema, especialmente si el ejecutable ha sido firmado después del 10 de julio de 2012. Aplicar las políticas de restricción de software que recomienda Adobe puede evitar también muchos quebraderos de cabeza a los administradores de sistemas en las empresas.

Josep Albors

@JosepAlbors



Cazadores de mitos: si el ordenador me va lento, estoy infectado

Categorias: Botnets,Herramientas,Malware,seguridad | | Sin comentarios » |

Durante años y aún hoy en día, uno de los comentarios más oídos por parte de los usuarios es el de “el ordenador me va muy lento, seguro que me ha entrado un virus”. Esta afirmación tiene su razón de ser, puesto que el malware, llamémosle “clásico”, en muchas ocasiones se hacía notar en exceso e incluso mostraba mensajes para que el usuario supiese quién le estaba infectando.

Con la llegada del malware con fines lucrativos a mediados de la década de los 2000, esto empezó a cambiar, puesto que resultaba mucho más interesante para los ciberdelincuentes un sistema infectado durante más tiempo, por lo que se debía evitar que el usuario se diese cuenta de la infección. Así pues, a día de hoy tenemos varios tipos de malware, unos más discretos que otros, pero esa máxima de pasar desapercibido se intenta aplicar casi siempre.

El ejemplo más claro son las botnets y los miles de ordenadores que controlan. Obviamente, al administrador de una de estas redes zombis no le interesa que el usuario se dé cuenta de que su sistema se encuentra infectado, para así poder seguir usándolo para su provecho durante más tiempo. Se han dado casos incluso de diferentes tipos de malware que detectaban si el sistema al que querían afectar estaba infectado por otro código malicioso y lo han eliminado antes de infectarlo ellos.

Ejemplo de panel de control de una Botnet Citadel

Otro ejemplo son muchos de los casos de troyanos y spyware actuales. Especialmente a estos últimos les interesa estar espiando el sistema de sus víctimas el mayor tiempo posible y por ello evitan generar sospechas intentando pasar desapercibidos. A un nivel mucho más elevado tenemos los ataques de las llamadas ciberarmas, dirigidos a empresas, individuos o Gobiernos que pueden llegar a evitar ser detectados durante años. Ejemplos tenemos varios, como Stuxnet, Duqu, Flame o el reciente Gauss.

No obstante, siguen habiendo códigos maliciosos que se hacen notar, bien porque forma parte de su estrategia de infección o porque contienen errores de programación que los delatan. En el primer grupo tenemos a los catalogados de Ransomware, con el conocido como “Virus de la policía” a la cabeza. Obviamente, este tipo de amenazas necesita causar miedo en el usuario para que este responda según sus instrucciones, por lo que no escatima esfuerzos en bloquear el sistema y mostrar pantallas amenazantes como la que vemos a continuación:

Los códigos maliciosos con efectos secundarios no previstos por el creador de esa amenaza tampoco son extraños de ver. Alguno de los ejemplos incluyen el “virus de  la doble tilde”, tan extendido hace unos años, o algunas de las herramientas de control remoto creadas principalmente por gente sin muchos conocimientos (script kiddies) que se limitan a seguir las instrucciones publicadas en cualquier foro de supuestos hackers.

Entonces, ¿cómo conseguimos detectar una infección si los síntomas no son tan evidentes? Lo primero es ser previsor y conocer nuestro sistema a fondo. Existen muchos mecanismos de autodefensa incorporados en los sistemas operativos más usados (Windows, Mac OS y GNU/Linux), pero algunos no vienen activados por defecto y otros son desactivados por los usuarios por los “molestos” mensajes de alerta que emiten.

También es importante contar con una solución de seguridad antivirus capaz de detectar las amenazas nada más estas intenten infectar nuestro sistema, y si ésta cuenta con un cortafuegos bidireccional, mucho mejor. De esta forma seremos capaces de detectar aquellas aplicaciones que intenten conectarse para enviar o recibir datos sin nuestro consentimiento.

Como complemento al software de seguridad convencional existen otras muchas herramientas (la mayoría de ellas gratuitas) que pueden ayudar a aquellos usuarios más avanzados a determinar si su sistema sufre alguna infección y eliminarla de forma manual. Entre estas herramientas recomendamos la suite de utilidades de SysInternals, que engloban todo tipo de herramientas para detectar procesos o comunicaciones sospechosas. La propia Microsoft proporciona tutoriales y vídeos donde se explica cómo usar estas herramientas para eliminar malware.

Rootkit Revealer, una herramienta esencial para detectar y eliminar rootkits

Este tipo de medidas, junto con la monitorización de la red en busca de conexiones sospechosas o la revisión de archivos sospechosos que estén actuando de forma extraña, son de ayuda para detectar y eliminar las infecciones. No obstante, no debemos olvidar otra serie de medidas, como deshabilitar los servicios y cuentas que se hayan visto afectadas por la infección y cambiar todas las contraseñas, ya que es probable que se hayan visto comprometidas. Todo esto sin olvidarnos de tener una copia de seguridad actualizada de nuestro sistema por si la infección hubiese dañado gravemente nuestro sistema o los archivos almacenados.

Como vemos, el malware que genera síntomas que pueden hacernos sospechar que somos víctimas de una infección sigue existiendo. No obstante, hay otras muchas amenazas que pasan desapercibidas a los ojos de la mayoría de usuarios, por lo que no debemos afirmar alegremente que el pobre rendimiento de nuestro ordenador se debe a una infección, y sí que debemos dedicar más tiempo a analizar nuestro sistema a fondo con las herramientas adecuadas en busca de malware oculto.

Josep Albors

@JosepAlbors



Foxxy Software: Hosting malicioso a la carta

Categorias: Herramientas,Malware | | 1 Comentario » |

La profesionalización del malware en los últimos años ha provocado también la aparición de cierto tipo de servicios, llamémosles “profesionales”, que proporcionan herramientas y facilitan la vida de los ciberdelincuentes a la hora de realizar sus actividades delictivas. En los diversos laboratorios que ESET tiene repartidos por todo el mundo, nos dedicamos a analizar todo tipo de amenazas, incluyendo aquellas URL en las que observemos nuevas tendencias en campañas de malware.

Nuestro compañero, Sébastien Duquette, del laboratorio de ESET en Montreal, acaba de publicar el resultado de una investigación en la que ha analizado un grupo de URL que seguían un patrón similar. Cuando nuestro compañero investigó más a fondo encontró que estas URL apuntaban a copias de web legítimas que incluían un applet de Java dentro de su código.

Un ejemplo de ello es la siguiente captura de pantalla donde se compara el sitio web original (en este caso, la página web principal del popular juego RuneScape) con su copia. La zona gris que aparece en la web clonada es debido a que el applet de Java se encontraba desactivado cuando se tomó esta captura.

Cuando examinamos el código fuente HTML de los sitios webs clonados encontramos comentarios indicando que las primeras versiones fueron copiadas con HTTrack, una herramienta open-source usada con el objetivo de guardar webs para su posterior lectura offline. En las últimas versiones, el comentario ha sido modificado para poner “FoxxySF Website Copier”. Nos sorprendió comprobar cómo la persona detrás de este asunto se molestó en modificar el comentario en lugar de eliminarlo.

Observamos cómo se incluyó un script y un applet de Java en los sitios web clonados. Esto, por sí mismo, no es nada nuevo: los applets de Java se han usado por un tiempo para instalar malware en los ordenadores. No obstante, usar una copia del sitio web de Runescape es una estrategia bien pensada, ya que el juego en sí es un applet de Java y, por lo tanto, los usuarios pueden estar acostumbrados a ver avisos de seguridad de Java y caer en la trampa.

Este script malicioso fue escondido e incorporaba un contador de impactos albergado en un servidor en otro dominio para mantener un registro del número de visitantes a los sitios web clonados.

Al ejecutarlo, el applet de Java descarga un archivo ejecutable malicioso albergado en varios servicios de almacenamiento de ficheros y lo pone en marcha. Cuando se descompila el applet encontramos que el autor usó HelloESET como nombre de la función.

Tras ejecutar con éxito el archivo descargado, el applet también realizó una llamada al mismo dominio que mencionó el script previamente. Ese dominio parecía un excelente candidato para continuar con nuestro análisis.

Presentamos a FoxxySoftware

Cuando visitamos el dominio con un navegador web, nos sorprendimos al descubrir que estaba alojando en un sitio web desde donde se ofrecía un servicio de distribución de malware.

Esta web contenía una comparativa de las funciones de las diferentes versiones del producto, mencionando características maliciosas como “clonador de sitios web”, “auto propagación”, uso de compresión de archivos ejecutables y análisis con varios motores antivirus para asegurarse de que los archivos no son detectados antes de ser distribuidos. La descripción incluía también la siguiente frase: “FoxxyJava le permite descargar una aplicación a los varios ordenadores de forma rápida y efectiva, sin complicaciones ni frustraciones”.

En el sitio web se incluía un blog y en uno de los artículos del mismo el desarrollador se quejaba de las detecciones que realizaban los productos de ESET. Lo gracioso es que no nos encontrábamos siguiendo el rastro de este malware antes de que empezáramos este análisis (que comenzó después de que publicara su queja) y ni siquiera teníamos una cuenta en este blog.

Además del seudónimo usado en el blog de FoxxySoftware, también teníamos direcciones de email y otra información recopilada de las entradas de WHOIS para los nombres de dominio. Nuestro siguiente paso fue revisar y ver qué información adicional podíamos encontrar en relación con este caso. Esto muchas veces resulta complicado y un considerable gasto de tiempo, porque los autores de malware y ciberdelincuentes suelen tomar precauciones para no proporcionar demasiada información sobre ellos mismos y así poder mantener su vida personal separada de su alter ego maligno. Pero no fue así en esta ocasión.

Conociendo a JHFIRE

La primera información que encontramos fue en foros de hacking, donde nuestro nuevo amigo estaba promocionando su producto, lo cual no debería sorprendernos porque es una práctica habitual. También encontramos posts antiguos donde usaba el mismo seudónimo y estilo de lenguaje y donde se pavoneaba de usar trampas en juegos online. Este es, posiblemente, el inicio de su “carrera” de ciberdelincuente. Buscando un poco más descubrimos que tenía incluso cuentas de Twitter donde anunciaba su producto.

También realizó una pregunta en el foro de programación StackOverflow, pidiendo ayuda con parte de un código Javascript.

Asimismo, también encontramos quejas suyas en los foros de Dropbox sobre su interfaz de programación de aplicaciones (API), la cual era usada para descargar los ejecutables del malware a los ordenadores de sus víctimas. Nos gustaría destacar el hecho de que Dropbox no estaba al tanto de este abuso de su sistema y respondió de forma eficaz y profesional cuando se lo notificamos.

En la página Web of Trust, servicio que permite clasificar sitios web como seguros o peligrosos, se quejaba de que su página había sido etiquetada como maliciosa.

También comentó un artículo en el blog de Kaspersky, donde se quejaba de la explicación de una descarga “drive-by”.

Buscando en Youtube también encontramos una cuenta relacionada con este personaje. Entre los vídeos que publicó, hay uno que se llama “Hacking a Hacker”, donde se puede observar un nombre que aparece durante breves instantes en el menú de Inicio de Windows. ¡Ups!

Buscando por una de las direcciones de email que extrajimos desde las entradas de WHOIS encontramos el mismo nombre asociado a una cuenta de Skype.

Conclusión

A pesar de que hay una parte cómica, este caso ilustra una tendencia problemática representada en la existencia de servicios de creación y distribución de malware de forma fácil y sencilla. Servicios como la compresión automática de ejecutables, análisis para evitar la detección por parte de los antivirus, alquiler de botnets para el envío de spam o ataques de denegación de servicio. Básicamente, un poco de todo lo que un ciberdelincuente podría necesitar puede ser comprado y usado con solo un par de clics. Y, mientras que la mayoría de estos servicios se anuncian en foros “underground”, el hecho de que veamos cada vez más casos de este tipo en webs públicas presentándose como un negocio legítimos es motivo de preocupación.

También es difícil cerrar este tipo de servicios, incluso ante casos evidentes de abuso como este. Contactamos con los servicios de alojamiento usados por FoxxySoftware con escasos resultados, por lo que el sitio web aun sigue accesible en el momento de publicar este artículo [1]. Por eso, desaconsejamos encarecidamente acudir a este sitio para evitar ser objetivos de un ataque.

[1] Nos gustaría dar las gracias a Dropbox y PublicDomainRegistri por tomar acciones rápidamente tras haber contactado con ellos

Josep Albors

@JosepAlbors



Virus DNSChanger: el próximo 9 de julio se apagarán los servidores que necesitan para navegar los ordenadores infectados

Categorias: Anuncios,General,Herramientas | | 2 Comentarios » |

El pasado mes de febrero os informábamos desde este blog acerca del virus DNSChanger, diseñado para redirigir ordenadores infectados a páginas maliciosas controladas por un atacante sin el conocimiento de los usuarios ni su consentimiento. Para ello, este virus manipula la configuración DNS del equipo infectado, que si no se restablece antes del 9 de julio, no permitirá el acceso a Internet.

Y es que después de la investigación que el FBI ha llevado a cabo, han decidido -tras varios aplazamientos de fechas- apagar los servidores que necesitan los ordenadores afectados para navegar y acabar, de esta manera, con el riesgo que supone que se sigan visitando páginas maliciosas. Recordemos que este virus afecta por igual a ordenadores Windows, Mac y Linux.

Por eso es muy importante comprobar, antes de esa fecha, si nuestro equipo ha sido afectado, y en caso positivo, solucionarlo.

Comprobar si mi equipo está infectado

Comprobar si tu equipo ha sido infectado o no es sumamente sencillo y solo te llevará unos segundos, ya que la Asociación de la industria de Internet alemana en cooperación con la Oficina de Seguridad del Internauta (OSI) y el Centro de Respuesta a Incidentes de Seguridad TIC (INTECO-CERT), servicios prestados por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), han puesto a disposición de todos los usuarios una herramienta gratuita y sencilla que ejecuta este análisis y dictamina si estás infectado o no: www.dns-changer.eu.

ESET España DNScharger

 

En el caso de que tu equipo esté infectado, es necesario que lo soluciones antes del próximo 9 de julio, ya que si no lo haces antes, llegada dicha fecha no podrás navegar. Lo primero es que instales un buen antivirus (si no lo tienes) o que hagas un análisis en profundidad de tu equipo. Si no tienes antivirus, puedes descargarte gratuitamente cualquiera de la gama de ESET.

Y aunque analices tu ordenador con un antivirus, hay cosas adicionales que hacer. Las instrucciones nos las proporciona OSI y son las siguientes:

Si además el equipo se encuentra conectado a un router y este utiliza las credenciales por defecto, también deberías comprobar la configuración DNS de dicho dispositivo. El servicio DNS es el encargado de traducir un nombre de dominio en una dirección IP, por lo que si esta traducción es manipulada, cuando el usuario introduce una página web en su navegador o accede a cualquier servicio a través de su nombre de dominio, en realidad puede acceder a cualquier página o servicio no legítimo proporcionado por el atacante.

 

Yolanda Ruiz Hervás

@yolandaruiz



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje