• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (4)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (21)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (42)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (100)
  • Facebook (56)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (18)
  • Linux (1)
  • Mac (23)
  • Malware (289)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (71)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (122)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (55)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (284)

• Archivos

  • mayo 2013 (15)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Nueva vulnerabilidad grave en Internet Explorer 8

En un caso similar al que ya vimos a finales del año pasado y principios de este, Microsoft ha confirmado la existencia de un nuevo agujero de seguridad en su navegador Internet Explorer 8. Esta vulnerabilidad ha estado utilizándose en los últimos días para propagar malware desde webs legítimas, pertenecientes a grandes empresas con intereses en la industria aeroespacial, defensa y seguridad, pasando por organizaciones no gubernamentales e incluso llegando a organismos oficiales del Gobierno de los Estados Unidos.

Las sospechas de la existencia de esta vulnerabilidad aparecieron cuando se descubrió, el pasado 1 de mayo, que la web del Departamento de Trabajo de los Estados Unidos estaba distribuyendo malware a todos los visitantes de uno de sus subdominios. Si hacemos un poco de memoria recordaremos que ocurrió un caso muy similar a principios de año y que afectó a la web del Council of Foreign Relations.

En un principio se llegó a pensar que se trataba de la misma vulnerabilidad vista en meses anteriores, pero, tras varios análisis, se descubrió que se trataba de un nuevo agujero de seguridad en Internet Explorer 8 instalado en Windows XP, Vista, 7 y 8. Las muestras analizadas en este ataque se encontrarían distribuyendo la herramienta maliciosa Poison Ivy, malware usado por ciberdelincuentes para, entre otras funcionalidades, robar información confidencial de redes corporativas y gubernamentales.

El problema ahora no es tanto el ataque inicial en el que se vieron comprometidas algunas webs importantes, sino la publicación de la vulnerabilidad usada y su consecuente exploit. Una vez desvelada la técnica usada para realizar este ataque, se ha tardado poco tiempo en incorporar esta nuevo agujero de seguridad a herramientas como Metasploit, de forma que queda automáticamente a disposición del público en general.

De momento, Microsoft no se ha pronunciado acerca de si lanzará un parche de seguridad que solucione esta vulnerabilidad, ya sea el próximo martes (dentro de su ciclo de actualizaciones mensuales) o como actualización fuera de ciclo. Mientras tanto, los usuarios que aún se encuentren utilizando Internet Explorer 8 pueden optar por actualizar a una versión más reciente (IE9 e IE10 no se ven afectados) o descargar la herramienta Enhaced Mitigation Experience Toolkit de Microsoft para minimizar los daños.

Son ya dos los casos similares en lo que llevamos de año que tienen como protagonistas a webs legítimas de cierta importancia y al navegador Internet Explorer. Esto nos debería bastar para concienciarnos de la importancia de mantener nuestro sistema y aplicaciones actualizadas y dejar de confiar ciegamente en páginas con una elevada reputación, puesto que podemos encontrar malware en cualquiera de ellas.

Josep Albors

Vulnerabilidad en Instagram permite acceder a cualquier cuenta

Se ha descubierto una vulnerabilidad Oauth sobre Instagram que permitiría a un atacante acceder a cualquier cuenta sin permiso de su propietario. Esta vulnerabilidad fue reportada por Nir Goldshlager, quien ya ha descubierto e informado de otras vulnerabilidades en Facebook. Nuestros compañeros de ESET Latinoamérica han comentado esta noticia en un interesante artículo que nos gustaría compartir.

Instagram es una red social que permite a los usuarios compartir fotografías a través de diferentes plataformas, como por ejemplo, Facebook. Usando la vulnerabilidad descubierta recientemente, un atacante que logre explotarla tendría acceso a fotos privadas e incluso podría borrar dicha información. Además, el ciberdelincuente podría subir nuevas imágenes y también editar o borrar comentarios existentes.

La vulnerabilidad puede ser aprovechada de dos formas diferentes. La primera opción es el robo de la cuenta a través de la propia vulnerabilidad Oauth de Instagram, mientras que la segunda opción utiliza el robo de sesión a través de Facebook.

En el primer método, el atacante utiliza el parámetro redirection_uri que valida el sitio web indicado, donde, en primera instancia, parecía que no era vulnerable. Sin embargo, el investigador descubrió que este parámetro podía ser explotado si se modificaba el sufijo del sitio especificado. En otras palabras, si el sitio finalizaba en “.com” podía pasarse como parámetro “.com.es”. Si el ciberdelincuente deseaba llevar a cabo el ataque, debía comprar previamente el dominio con el sufijo modificado. De esta forma, podría robar el token de la propia cuenta.

Mediante el segundo método, el investigador demostró que es posible utilizar cualquier dominio en el parámetro redirection_uri. De esta manera, un atacante podría robar el token de sesión de cualquier usuario de Instagram. Esta vulnerabilidad ya ha sido solucionada por el equipo de seguridad de Facebook tras ser informados de ella.

No es la primera vez que informamos de vulnerabilidades relacionadas con Facebook. Es algo ya conocido la existencia de aplicaciones maliciosas en Facebook, siendo este caso en particular una vulnerabilidad que ya se encuentra solucionada. Sin embargo, más allá de las vulnerabilidades que afecten a las redes sociales, es importante que los usuarios consideren adoptar buenas prácticas de seguridad, prácticas que pueden ser complementadas con herramientas gratuitas como ESET Social Media Scanner para detectar enlaces potencialmente maliciosos en Facebook.

Josep Albors

Talleres gratuitos en las jornadas X1RedMasSegura

La semana pasada os hablamos de una iniciativa muy interesante que se realizará el próximo día 17 de mayo en Madrid, aprovechando la celebración del día de Internet. Este evento, del que nos sentimos orgullosos de colaborar y que ha sido bautizado con el nombre “X1RedMasSegura”, cuenta con un buen puñado de expertos que colaboran de forma altruista y que enseñarán a aquellos usuarios menos técnicos como protegerse en la red.

El evento no solo contará con las charlas del viernes por la tarde y sábado por la mañana, si no que durante toda la semana se realizarán talleres orientados a usuarios específicos como padres, internautas base y ciberabuelos. Estos talleres gratuitos están pensados para formar a aquellos usuarios que no cuentan con un perfil técnico y quieren aprender cómo protegerse de las amenazas de Internet o a cuidar su privacidad online.

Las plazas para asistir a estos talleres son limitadas por lo que animamos a todos los interesados en acudir que se registren con el formulario que se ha preparado para tal efecto. Pensamos que este tipo de iniciativas son muy útiles y realmente beneficiosas para todos aquellos internautas que acudan tanto a las jornadas como a los talleres y animamos encarecidamente a los lectores de nuestro blog a acudir a este evento si se encuentran por Madrid durante esos días.

Josep Albors

“Fili putae”

Seguro que te llama la atención el título de este post, ¡y no me extraña! Hemos estado dándole vueltas intentando buscar la forma de decirlo más fino, menos soez y que no lo entendieran los pequeños si se acercan por aquí. Aunque no hay que hacer mucho esfuerzo por entenderlo: está escrito en latín, pero significa, precisamente, lo que estás pensando. Y es que hoy vamos a hablar de un “fili putae”, el protagonista de nuestra reflexión de hoy.

Anda un poco revolucionado últimamente el mundo de las noticias sobre informática en los telediarios. Resulta que un “experto informático” ha estado robando imágenes de sus vecinos a través de las cámaras de los portátiles. Conseguía conectar con las redes WiFi a su alcance en casa y una vez en la red instalaba en los ordenadores un código que le permitía controlar la cámara web. Por si fuera poco, ese “experto informático” almacenaba en su ordenador pornografía infantil.

Lo primero: repugna a la ética que se asocie en una misma palabra los conceptos “informático” y “pedófilo”. No me cabe la menor duda de que cualquier informático de los de verdad sentirá vergüenza ante la posibilidad de que en su gremio haya seres tan deleznables y míseros como un pedófilo. Por si algún niño lee esto prefiero omitir los calificativos que se merece y que me pide el alma dirigir a esa escoria, pero supongo que todos me entendéis.

Una vez aclarado que esa bazofia no merece llamarse “informático”, vuelvo a enfurecerme ante el calificativo de “experto”. ¿Es un experto? Vamos, por favor… Lo que ha hecho no tiene ningún mérito. Un experto informático es otra cosa. En ESET NOD32 España tenemos muchos, y ellos sí son expertos que crean, desarrollan, solucionan, imaginan, disfrutan… y hacen disfrutar con lo que hacen. Ese supuesto experto no hizo nada especial que no pueda hacer una persona con una conexión a Internet y muchísima mala fe.

Repasemos sus logros. Primero, “consiguió entrar a las redes WiFi de sus vecinos”. A ver, cómo lo explico… ¿soy yo un experto mecánico porque conseguí rellenar el líquido limpiaparabrisas de mi coche? ¡Y sin derramar ni una sola gota! Y para terminar de demostrar mi habilidad mecánica, y en el colmo de la sapiencia, fui capaz de cambiar la escobilla del limpiaparabrisas trasero. No rompí nada ni nadie resultó lesionado. Claro: ¡soy un experto!

Esta inmundicia de persona no tuvo más que buscar las redes WiFi de sus vecinos que no tuvieran una contraseña de acceso. Es poco probable, hoy en día los proveedores suelen dejar ya instalados los puntos de acceso con una contraseña para el acceso a la red inalámbrica. Pero la pregunta es: ¿qué tipo de cifrado se esconde tras esa contraseña? Si es del tipo “WEP”, podríamos afirmar que eso equivale hoy en día a no tener casi nada. Es un sistema muy débil. Generalmente suelen ser cifrados “WPA” o “WPA2”, que son algo más robustos.

Pero evidentemente, la deleznable persona de la que estamos hablando, no tiene una antena en la cabeza como Bender, sino que necesita en su ordenador algún tipo de software que capture los datos de la red inalámbrica para luego analizarlos y de allí obtener las contraseñas. ¿Existe alguien entre mis lectores que crea que un cerebro (si es que merece es nombre) que disfruta de niños forzados sexualmente es capaz de desarrollar un software que sea capaz de hacer eso? No, para conseguir esos datos ya existen muchísimos programas, no hay más que buscarlos. No quiero dar pistas, pero en Google aparecen en la primera página de resultados. ¡Y son gratis!

Bien, nuestro depravado “experto” ya es capaz de conseguir la contraseña de la red WiFi y conectarse a ella. A continuación, instala en los sistemas de los vecinos un “avanzado software” para controlar el equipo, especialmente la cámara. ¿Avanzado? No, hombre, no… eso es un programita de control del cual existen “cienes y cienes” por todo Internet. Que no, que el degenerado protagonista no tiene suficiente “experiencia informática” para desarrollarlo, y su inteligencia debe estar a la altura de su decencia ética.

Y a partir de ahí, el mundo es suyo. ¿Controla la cámara? Fácil. ¿Roba archivos personales? Sin problema. No, no es cuestión de inteligencia. Es simplemente cuestión de que tiene poco civismo y las herramientas adecuadas. Robar a los demás es fácil si tienes más fuerza (que no inteligencia) y una navaja más grande. Bueno, hasta aquí la glosa de la épica tarea llevada a cabo por el último imbécil detectado.

¿Y los robados? ¿Qué culpa tienen? Bueno, podríamos decir que ninguna, pero sí tenemos que decir que no han hecho todo de la forma más correcta. Yo, cuando vuelvo a casa por la noche, hay calles que intento evitar, ya que es posible que puedan asaltarme. Llamadme cobarde, sí, pero no me apetece que me roben. Así, los usuarios robados y a los que les han violado su intimidad, deberían haber tomado alguna precaución.

En primer lugar, nunca deberíamos fiarnos de los sistemas de protección WiFi que deja el proveedor de nuestra ADSL. Si nos damos cuenta, muchas redes de llaman “XXXX-YY”, siendo los dos (o cuatro) últimos caracteres los mismos últimos caracteres de la contraseña. Ya estamos dando pistas. Y si encima el cifrado es WEP, pues peor aún.

Una vez cambiada la contraseña por defecto de nuestro sistema WiFi, verifiquemos que estamos usando, como poco, WPA. Y si es WPA2, mejor. Pero no nos fiemos, “reventar” esas contraseñas es cuestión de tiempo, así que si las cambiamos de vez en cuando, mejor. Que sí, puede resultar incómodo, pero aunque sea complicado volver a poner la contraseña en la PlayStation (que tampoco es tanto, caramba), ganamos muchísimo en seguridad.

Pasemos al segundo paso. Nuestro ordenador. Sí, este delincuente disfrazado de ridículo aprendiz de informática consiguió instalar un código malicioso para el control de los ordenadores de la vecindad. Seamos realistas, caramba: ESET lleva en este mundo 25 años. ¿Nadie es capaz de pensar que hemos sido capaces de detectar un montón de códigos maliciosos distintos? Raro será que ese troyano que instalaba el mísero individuo no fuera detectado.

“Ya están echándose flores con su capacidad de detección”, dirán algunos (sobre todo los competidores que me leen, un abrazo para ellos). No, no es solo eso. Es que cualquier antivirus decente es muchísimo más potente que lo que puedan dar de sí las dos neuronas de nuestro inútil protagonista. Así que si un usuario ha visto un código malicioso en su ordenador, debería revisar qué producto antivirus utiliza. Tengo una lista, pregúntadme por ella o a nuestro departamento comercial.

Como mi sabia suegra decía, “estoy dispuesta a creerme todo, incluso las mentiras”. El antivirus que usaban los usuarios era bueno. Su base de datos de firmas de virus estaba actualizada. Pero… ¿era capaz de detectar códigos maliciosos desconocidos?

Un antivirus necesita información sobre los códigos maliciosos, pero si no la tiene, debe ser capaz de encontrar peligros simplemente a base de pistas. Es decir, “algo” que intenta copiarse en nuestro sistema, que intenta pasar desapercibido, que quiere controlar la cámara web… eso es malo aquí y en Sebastopol (¡un saludo para los sebastopolianos!).

Los antivirus modernos, los que merecen ese nombre, incorporan sistemas heurísticos de detección de código malicioso. Eso significa que, basándose únicamente en determinadas características y comportamiento de un código, pueden detectar si es malicioso o benigno. Así que si el antivirus ve que el código quiere hacer cosas, digamos… en fin… “poco decentes” a nivel informático, deberá bloquearlo. Y controlar la cámara a espaldas del usuario no es “muy decente” que digamos.

Venga, no podemos ser tan derrotistas. Los usuarios usaban un buen antivirus, con su heurística y todo. Pero… ¿estaba el sistema operativo correctamente actualizado? (los usuarios de Mac y de Linux también deben sentirse aludidos). Y las aplicaciones, ¿también?

Si resulta que usan un determinado programa para llevar a cabo determinada tarea que se pueda ver en peligro, ese programa es un riesgo. También debemos actualizar los programas de nuestro sistema, ya que un navegador de Internet defectuoso, un simple lector de un determinado tipo de documentos (¡vaya habilidad para no hablar del Acrobat Reader!) o un entorno de ejecución de código remoto (y no lo digo por Java) que tengan vulnerabilidades pueden causarnos un serio disgusto.

Pero de nuevo, disponemos de herramientas para evitar ataques a través de ese tipo de conexiones extrañas que puedan llevarse a cabo en nuestros sistemas. Se llaman “cortafuegos”, y de nuevo los hay buenos… y hay otro tipo de cortafuegos aún mejores. Pero vista la destreza intelectual del atacante,  creo que cualquier podría valer.

Así, pues, tenemos a nuestra disposición numerosas herramientas que pueden protegernos de ese individuo de baja calaña heredero de una saga de meretrices de moral distraída. Que ni es experto ni nada, lo que pasa es que muchas veces nos olvidamos de lo básico. “A veces lo urgente no deja tiempo para lo importante”, que dijo Mafalda.

Fernando de la Cuadra

@ferdelacuadra

Utilizan un servicio de juego online para infectar a jugadores y conseguir bitcoins

La popularidad que está teniendo la moneda virtual Bitcoin en las últimas semanas ha hecho que deje de ser considerada como algo anecdótico y experimental a ser considerada por muchos como una alternativa de inversión en los tiempos difíciles que corren. No hay más que ver las constantes fluctuaciones de su cotización para entender porque hay tanta gente interesada en invertir en esta moneda.

Sabemos de sobra por experiencias anteriores que, allí donde haya posibilidad de hacer negocio acudirán los ciberdelincuentes. En este blog, sin ir más lejos, venimos informando desde hace años de diferentes tipos de malware cuya finalidad es obtener el mayor número posible de estas monedas, bien sea robándola a los usuarios o aprovechando los recursos de sus ordenadores para generarlas.

Debido a la elevada potencia de cálculo necesaria para generar bitcoins, uno de los objetivos favoritos de los ciberdelincuentes son los jugones. Esto tiene una explicación muy sencilla y es que las tarjetas gráficas de gama alta son ideales para realizar los millones de cálculos computacionales que se necesitan para obtener una de estas monedas.

En esta ocasión nos hacemos eco de la utilización maliciosa del software de ESEA, una importante comunidad de juegos online entre los que encontramos algunos tan conocidos como Counter Strike, League of Legends o Team Fortress 2. Uno de los empleados consiguió modificar el software cliente anti-trampas de esta empresa para incluir una opción que se encargaba de utilizar los recursos del ordenador para minar bitcoins, algo que la propia empresa había estado probando de forma interna pero que terminó descartando.

Si bien la cantidad obtenida no ha sido especialmente elevada (alrededor de  3700 dólares desde el pasado 14 de abril), este incidente es bastante significativo por aprovechar el software de una empresa con buena reputación y dirigirse específicamente a un objetivo como son los jugadores online.

Fueron precisamente algunos de estos jugadores con este software instalado los que dieron la voz de alarma al notar que el uso de su tarjeta gráfica sobrepasaba el 90% aun cuando el ordenador se encontraba en reposo. Además este uso continuo de la GPU hace que esta se caliente en exceso y, en algunos casos, llegue incluso a averiarse por sobrecalentamiento.

En la web de esta comunidad de jugadores se ha colgado un aviso relatando los hechos y anunciando que, en compensación por las molestias ocasionadas, ofrecerá un mes de subscripción Premium a su servicio. Además, la cantidad de dinero obtenida de esta forma será donada a una asociación de lucha contra el cáncer.

Hace tiempo que los ciberdelincuentes aprovechan al máximo los recursos de los ordenadores que infecta. No hace falta que seamos una empresa o alguien importante para robarnos información confidencial. Cualquier dispositivo infectado y conectado a Internet, por modesto que sea, puede aportar beneficios a un ciberdelincuente de varias formas diferentes y eso es algo que debemos tener muy en cuenta.

Josep Albors

Cálico Electrónico: Trapicheos familiares

Las disputas entre hermanos siempre han sido especialmente delicadas, más aun si hablamos de temas en los que hay dinero de por medio. Si además estos hermanos son los niños mutantes pues ya tenemos el lio servido en bandeja.

Hay que ser mala persona para aprovecharse así de tu hermana pero de estos personajes  podemos esperar cualquier cosa.

Os esperamos la próxima semana con una nueva tira.

Yolanda Ruíz

Josep Albors

Cambiar el color de Facebook: otro scam que se distribuye de nuevo por la red social

No es nuevo, pero cada tanto tiempo surge una oleada que hace caer de nuevo a un montón de usuarios. En esta ocasión, te ofrecen cambiar el color de las pantallas de Facebook… Sí, ya sabemos que verlo azul siempre quizá es un poco cansado, pero es mucho mejor que lo mantengas así si no quieres que un rogueware, es decir, una falsa aplicación que como mínimo se hará con todos tus datos y comenzará a publicar mensajes en tu muro en tu nombre, de forma que estarás contribuyendo a expandirla todavía más.

El mecanismo es el mismo de siempre. Te llega un mensaje vía cualquiera de tus amigos sugiriéndote lo bien que quedaría tu Facebook en rosa :

Cuando haces clic en el link, te lleva a esta otra pantalla:

Cuando haces clic sobre el botón “Continuar”, comienza la instalación de la aplicación, que para empezar te pide acceso a todos tus datos y también permiso para publicar en tu nombre:

El siguiente paso te lleva a una encuesta, donde puedes ganar ¡¡hasta 1.500 dólares!!

Si has seguido todo este camino, ya habrás descubierto que esta aplicación no solo no te cambia el color de Facebook sino que ya tiene tus datos.

Realmente es muy fácil ser víctima de este tipo de aplicaciones… Uno tiende a pensar que cambiar el color de Facebook no tiene por qué tener ningún peligro. Así que para protegerte de forma proactiva de este tipo de amenazas, te recomendamos que te instales la aplicación totalmente gratuita ESET Social Media Scanner, que vigilará tu muro y el de tus amigos por ti y bloqueará todos los enlaces que sean amenazas. ¡Ah! Y es gratis .

Si después de leer este artículo recuerdas remotamente haber concedido permisos a esta aplicación, no puedes hacer que borre tus datos, pero sí evitar que publique en tu nombre. Para ello, solo tienes que ir a Configuración de la cuenta –> Aplicaciones y revocar los permisos de la aplicación en cuestión.

¡¡Feliz Día del Trabajador para mañana y feliz puente si estás en Madrid y te lo pillas!!

Yolanda Ruiz Hervás

Lanzamos el nuevo Plan de Certificaciones para nuestro canal de distribución

Con el objetivo de aumentar la competitividad de nuestros distribuidores activos y facilitaros el acceso a proyectos complejos de seguridad y a empresas de mayor volumen, así como a la comercialización de servicios de valor añadido, lanzamos nuestro nuevo Plan de Certificaciones. Estrenamos, además, nueva plataforma online a modo de campus virtual, desde la que los usuarios que inicien su certificación pueden acceder a todos los recursos, materiales y exámenes.

El nuevo Programa de Certificaciones se divide en cinco niveles diferentes, enfocados en la especialización en cada uno de los diferentes productos corporativos que comercializamos:

-          1. ESET Client Security Administrator

-          2. ESET Network Client Security Administrator

-          3. ESET Windows Server Security Administrator

-          4. ESET Linux Server Security Administrator

-          5. ESET Network Security Management Administrator

Si te animas, durante todo el proceso, nuestros compañeros técnicos te acompañarán en el proceso y harán un seguimiento exhaustivo e individual de cada uno de vosotros hasta conseguir que superéis cada examen de certificación. Par ello, tendrás que acertar un mínimo del 70% de las preguntas planteadas en cada una de las pruebas. Una vez superados, recibirás la acreditación que certifica tu capacitación en la especialización elegida.

Cada nivel tiene un precio simbólico que va desde los 50 a los 150 €, y existen descuentos por la certificación en varios niveles a la vez. Además, y con motivo del lanzamiento de este programa, se ha puesto en marcha una promoción por la que al aprobar cualquier certificación, os devolvemos más del importe de dicha certificación en cajas de producto que pueden ser vendidas.

El programa está disponible solo para distribuidores autorizados. Si todavía no trabajas con nosotros pero te dedicas a la distribución informática, puedes informarte de las condiciones para darte de alta en http://eset.es/canal-de-distribucion/. Y también encuentras más información sobre el nuevo programa de certificación y su niveles, así como la forma de contactar con nosotros en http://www.eset.es/certificados.

¡Ale, trop@! Volver a estudiar un poco puede salirte muy rentable

Yolanda Ruiz Hervás

Linux/Cdorked.A: nuevo backdoor para Apache que se está usando para propagar el malware Blackhole

El siguiente articulo es una adaptación del post publicado en el blog We Live Security de ESET por nuestro compañero Pierre-Marc Bureau.

La semana pasada, nuestros amigos de Sucuri nos enviaron una versión modificada  de un servidor web Apache que redirigía algunas de sus peticiones al infame kit de exploits Blackhole. Sucuri ha publicado un artículo en su blog hablando de este ataque.

Nuestro análisis de este malware, bautizado como Linux/Cdorked.A, revela que estamos ante un backdoor sofisticado y que sabe ocultarse, diseñado para dirigir el tráfico a sitios webs maliciosos. Instamos a los administradores de sistemas a que revisen sus servidores y verifiquen que no se encuentran afectados por esta amenaza. Más adelante veremos los pasos a realizar para realizar esta revisión (se puede encontrar más información acerca de Blackhole en el siguiente enlace).

De hecho, Linux/Cdorked.A es uno de los backdoors de Apache más sofisticados con los que nos hemos topado hasta ahora. A pesar de que aún nos encontramos procesando los datos, nuestro sistema Livegrid informa de cientos de servidores comprometidos. El backdoor no deja rastro de los hosts comprometidos en el disco duro, más allá del binario httpd, lo que complica el análisis forense. Toda la información relacionada con el backdoor se almacena en la memoria compartida. El atacante lanza la configuración a través de peticiones HTTP ofuscadas que no son registradas en los logs normales de Apache. Esto significa que no se almacena ninguna información en el sistema sobre centros de mando y control.

Análisis técnico de Linux/Cdorked

A continuación mostramos el primer análisis técnico de Linux/Cdorked, que parece estar afectando a cientos de servidores web en estos momentos. En el binario de Linux/Cdorked encontramos todas las cadenas sospechosas cifradas. Tal y como se muestra en la siguiente imagen, una función es responsable de descifrar las cadenas a petición con una clave XOR estática.

La versión de Linux/Cdorked que hemos analizado contiene un total de 70 cadenas que se encuentran codificadas de esta manera. Tal y como se muestra en la siguiente captura de pantalla, la clave usada para cifrar los datos es: 27A4E2DADAF183B51E3DA7F6C9E6239CDFC8A2E50A60E05F

Como hemos mencionado anteriormente, Linux/Cdorked no guarda ningún fichero en el disco. En su lugar, reserva alrededor de seis megabytes de memoria compartida para mantener la información de su estado y configuración. Este bloqueo de memoria, una región POSIX de memoria compartida (shm), se usa para todos los subprocesos de Apache, pero también puede ser accedida por otros procesos, ya que los autores de este malware no limitaron sus permisos. La siguiente captura de pantalla muestra los permisos (lectura, escritura para todos) asignados a la región de la memoria compartida.

Hay dos formas que el atacante puede utilizar para controlar el comportamiento de un servidor infectado: a través de una shell de conexión inversa o a través de comandos especiales, todos los cuales son activados vía peticiones HTTP.

El backdoor Linux/Cdorked.A

El servidor HTTP está equipado con un backdoor de conexión inversa que puede ser activado mediante una petición HTTP GET especial. Se le invoca cuando una petición a una ruta especial se realiza con una cadena de búsqueda en un formato en particular, conteniendo el nombre del host y el puerto al que se va a conectar. La dirección IP de un dialogo HTTP se usa como clave para descifrar la cadena de búsqueda como una clave XOR de 4 bytes. Adicionalmente, la IP especificada en las cabeceras X-Real-IP o X-Forwarded-For sobreescribirá tanto la IP del cliente como la clave XOR. Esto significa que podemos crear una cabecera X-Real-IP que será una clave “\x00\x00\x00\x00”. La cadena de búsqueda también necesita estar codificada en hexadecimal antes de enviarse.

Mientras que la shell es usada por el atacante, la conexión HTTP se cuelga (el código del backdoor no implementa la posibilidad de realizar un fork). Esto significa que las shells maliciosas pueden ser encontradas si se tiene acceso al servidor y se buscan conexiones HTTP de larga duración. Por otro lado, las peticiones HTTP no aparecen en el fichero de registro de Apache debido a la manera en la que este código malicioso se ancla en Apache.

Redirección en Linux/Cdorked.A

Cuando se redirecciona a un cliente, el malware añade una cadena codificada en base64 a la búsqueda que contiene información como la URL visitada inicialmente y si la petición fue o no originalmente un archivo javascript para que el servidor pueda descargar el malware adecuado.

Un ejemplo de redirección tiene este aspecto:

Location:hxxp://dcb84fc82e1f7b01.xxxxxxgsm.be/index.php?j=anM9MSZudmNiaW11Zj1jY3Zja3FqdSZ0aW1lPTEzMDQxNjE4M

jctMzYwNDUzNjUwJnNyYz0yMzImc3VybD13d3cuaW5mZWN0ZWRzZXJ2ZXIu

Y29tJnNwb3J0PTgwJmtleT0xM0Q5MDk1MCZzdXJpPS9mb3J1bS93Y2YvanMv

M3JkUGFydHkvcHJvdG9hY3Vsb3VzLjEuOC4yLm1pbi5qcw==

Tras descifrarlo, aparecen los siguientes parámetros:

js=1&nvcbimuf=ccvckqju&time=1304161827-360453650&src=232&surl=www.infectedserver.com&sport=80&key=13D90950&suri=/forum/wcf/js/3rdParty/protoaculous.1.8.2.min.js

El parámetro “surl” muestra el host infectado mientras que el “suri” indica cuál fue el recurso originalmente solicitado.

Tras la redirección, una cookie se establece en el cliente para que no sea redireccionado de nuevo. Esta cookie también se establece si se realiza una petición para una página que se parezca a una página de administración. El backdoor revisará si la URL, el nombre del servidor o el referrer coincide con alguna de las siguientes cadenas de texto: ‘*adm*’, ‘*webmaster*’, ‘*submit*’, ‘*stat*’, ‘*mrtg*’, ‘*webmin*’, ‘*cpanel*’, ‘*memb*’, ‘*bucks*’, ‘*bill*’, ‘*host*’, ‘*secur*’, ‘*support*’. Esto se realiza probablemente para evitar enviar contenido malicioso a los administradores del sitio web, haciendo que la infección sea más difícil de detectar. La siguiente captura de pantalla muestra parte del código responsable de manejar la cookie de la web.

Han de cumplirse unas cuantas condiciones adicionales antes de que se produzca la redirección. Por ejemplo, se busca la presencia de cabeceras Accept-Language, Accept-Encoding y Referrer.

Otros comandos de Linux/Cdorked.A

Encontramos 23 comandos en Linux/Cdorked.A que pueden enviarse al servidor vía POST a una URL especialmente diseñada. Esta petición debe contener una cabecera de la cookie que empiece por “SECID=”. El valor de la cadena de búsqueda debe contener 2 bytes codificados en hex que se encuentran cifrados con la IP del cliente, usando la misma técnica que la Shell. Los datos de la cookie SECID se usarán como argumentos para algunos de los comandos. Creemos que las URL para redireccionar a los clientes se envían al backdoor usando este método. La información de redirección se almacenará de forma cifrada en la región reservada de la memoria compartida. También creemos que las condiciones para la redirección se configuran de esta forma para, por ejemplo, preconfigurar una lista blanca de user agents para redireccionarlos y establecer una lista negra de IPS para evitar esta redirección.

Esta es la lista completa de comandos encontrados en el binario que hemos analizado: ‘DU’, ‘ST’, ‘T1′, ‘L1′, ‘D1′, ‘L2′, ‘D2′, ‘L3′, ‘D3′, ‘L4′, ‘D4′, ‘L5′, ‘D5′, ‘L6′, ‘D6′, ‘L7′, ‘D7′, ‘L8′, ‘D8′, ‘L9′, ‘D9′, ‘LA’, ‘DA’.

Finalmente, se envía información acerca del estado del backdoor de vuelta usando la cabecera ETag HTTP, tal y como se muestra en la captura de pantalla más abajo. Seguimos investigando el propósito de cada uno de los comandos y publicaremos nuestros resultados tan pronto como finalice el análisis. En resumen, todos ellos añaden contenido a, o lo eliminan de, la configuración en la región de la memoria compartida.

Eliminación de Linux/Cdorked.A

Tal y como hemos mencionado anteriormente, los permisos en la asignación de la memoria compartida son bastante vagos. Esto permite que otros procesos puedan acceder a la memoria. Hemos desarrollado una herramienta gratuita para permitir a los administradores de sistemas comprobar la presencia de la región en la memoria compartida y volcar su contenido a un archivo.

También recomendamos usar debsums para sistemas Debian y Ubuntu y rpm-verify para sistemas basados en RPM, para así comprobar la integridad de la instalación de su servidor Apache. No obstante, recordad aplicar esta medida con precaución puesto que el paquete puede haber sido alterado por un atacante.

Buscar por la presencia de este malware en la memoria compartida es el método recomendado para asegurarnos de que no estamos infectados. Asimismo, estamos interesados en recibir cualquier volcado de memoria para su análisis.

En el momento de escribir este artículo, el sistema de monitorización Livegrid de ESET muestra cientos de servidores web que parecen estar afectados por este backdoor, con miles de visitantes siendo redireccionados a contenido malicioso. Publicaremos más información acerca de la escala y complejidad de esta operación en los próximos días.

SHA1 del binario analizado: 24e3ebc0c5a28ba433dfa69c169a8dd90e05c429

Traducido y adaptado por Josep Albors

Los cuatro primeros meses del año han estado protagonizados por numerosos agujeros de seguridad

Si tuviéramos que hacer balance de lo que han sido los cuatro primeros meses del año en cuanto a incidentes de seguridad se refiere, sin duda tenemos que afirmar que los agujeros de seguridad en conocidas aplicaciones y sistemas operativos han marcado la tónica. Java se ha llevado la palma, aunque también Microsoft ha tenido que lanzar bastantes parches para soluciones graves problemas de su navegador y de su sistema operativo. Y Oracle no se ha quedado atrás…

Vulnerabilidades que han sido aprovechadas por colectivos asiáticos para lanzar diferentes ataques contra objetivos occidentales. Los primeros que dieron la voz de alarma fueron algunos de los periódicos más importantes a nivel mundial como New York Times, Washington Post o Wall Street Journal. Pero no fueron los únicos, también les siguió tanto Facebook como Twitter, que también denunciaron en febrero de intrusiones en su red. No ha quedado clara la autoría, aunque se apuntaba a coletivos chinos.

Y hablando de vulnerabilidades y redes sociales, Facebook y Twitter también han protagonizado serios incidentes con errores de programación que suponían riesgos contra la privacidad de los usuarios, que sumados a otros problemas derivados de scams y amenazas que utilizan las conocidas plataformas para distribuirse, han supuesto más de un quebradero de cabeza. El supuesto vídeo de Justin Bieber con su novia o el falso sorteo de varios Samsung Galaxy SIII son solo dos ejemplos de cómo la ingeniería social sigue siendo una de las técnicas más lucrativas de los ciberdelincuentes que buscan un alto número de víctimas muy rápidamente.

Y hablar de Twitter supone, irremediablemente, hablar de la cantidad de cuentas de marcas muy conocidas que han sido hackeadas, como ha sido el caso de la de Burger King y Jeep. Pero sin duda, la que ha conseguido desplomar al índice bursátil norteamericano Dow Jones ha sido el secuestro de la cuenta de la agencia de noticias Associated Press, que mostró durante unos minutos un tweet que aseguraba que había habido varias explosiones en la Casa Blanca y que Barack Obama había resultado herido. Tweet que fue desmentido solo unos minutos después pero que fue suficiente para convulsionar un país que venía de sufrir los recientes atentados de Boston.

Y aún a pesar del excelente trabajo realizado por los cuerpos policiales deteniendo a algunos miembros que estaban detrás de la trama del “Virus de la Policía“ (aquel que secuestra el ordenador por haber visto pornografía y solicita un rescate para poder acceder a los archivos), durante estos meses hemos visto cómo proliferaban muchas nuevas variantes que utilizando otros argumentos, como la pedofilia, buscaban el mismo fin: el dinero del usuario que, asustado, preferiría pagar a enfrentarse a una supuesta denuncia por sus actividades online.

Igualmente, estos meses hemos visto multitud de robos de datos personales. Quizá los más sonados han sido los cometidos en Estados Unidos: personas tan conocidas como Michelle Oba­ma, Beyoncé, Hillary Clinton, Tom Cruise o Bill Gates, entre otros, vieron cómo varios de sus datos privados eran accesibles a cualquie­ra que visitara la web preparada a tal efecto. Entre esta información encontramos varios lugares de residencia, números de teléfono e incluso movimientos de sus cuentas bancarias.

Por supuesto, el colectivo hacktivista Anonymous ha seguido haciendo de las suyas durante este tiempo, atacando tanto a objetivos nacionales como internacionales. Todo ello en un contexto en el que el sistema de monedas virtuales Bitcoin volvía a ser vulnerado y en el que se aprovechaban los atentados de Boston para distribuir una red de botnets.

Un cuatrimestre intenso que no hace más que evidenciar que los incidentes en materia de seguridad, lejos de solucionarse, siguen creciendo y evolucionando, y más en tiempos de crisis.

Yolanda Ruiz Hervás

« Artículos Posteriores — Artículos Anteriores »