sábado, 31 de marzo de 2007

¿WMF bug parte 2? El drama de la vulnerabilidad en los archivos ANI

A principios del año pasado nos encontrábamos con un grave fallo en Windows que permitió la aparición de varios códigos maliciosos capaces de ejecutarse automáticamente sin interacción con el usuario.

Dicha vulnerabilidad se daba en un error en la forma en que Windows manejaba archivos gráficos del formato WMF, lo cual permitía que se pudiera ejecutar código arbitrario sólo con visualizar uno de esos archivos.

La vulnerabilidad produjo que aparecieran varios parches independientes para resolverla dada la lentitud de la respuesta de Microsoft ante el problema y la aparición de múltiples malware aprovechando el error.

Esta semana se informó de una vulnerabilidad en el manejo de otro tipo de archivos por parte de Windows, los ANI. Estos archivos, normalmente de extensión .ani, son cursores animados para el puntero del mouse (o ratón).

Microsoft ya informó que está analizando la situación pero aún no hay un parche disponible, mientras que la forma de explotar el agujero de seguridad ya ha sido publicada en Internet.

El problema aquí es que, al igual que con la vulnerabilidad en los archivos WMF, el actual agujero de seguridad en los archivos ANI puede permitir códigos maliciosos que se ejecuten sólo con que el usuario visualice una página web o un mensaje de correo electrónico. Al menos ya se ha reportado uno proveniente de China.

¿Qué hacer ante estos casos? Dado que los vectores de ataque son múltiples y podrían incluso aprovecharse a través de navegadores y/o clientes de correo que no son de Microsoft, el problema es realmente grave. Las recomendaciones de varios sitios son bastante vagas. Cosas como “no navegue por ciertos no confiables ni abra mensajes de correo no confiables”.

Mientras que esperamos el parche de Microsoft, rezando porque no tarde tanto como el de WMF, lo que podemos hacer es:

  • Si somos administradores de una red, bloquear los archivos adjuntos del tipo ANI, ya sea por extensión o por el contenido del archivo
  • Si somos usuarios, modificar la configuración de nuestro cliente de correo electrónico para que no permita la lectura de archivos en formato HTML.
  • En ambos casos, contar con un producto antivirus actualizado periódicamente y que tenga la posibilidad detectar este tipo de amenazas en forma activa.

Lo anterior no nos va a proteger en un 100 % de los casos, y es ante este tipo de situaciones cuando los usuarios nos sentimos desprotegidos, dado que hay muy poca o casi ninguna información en cómo protegernos.

Si reciben correos que no conocen, simplemente elimínenlos e intenten no navegar por sitios desconocidos. Lamentablemente, no se puede hacer mucho más con la situación actual y si queremos seguir usando Windows.

...

¡MOMENTO! Esto es realmente WMF Parte 2; la gente de eEye lanzó un parche no-oficial que funciona y corrige la vulnerabilidad; pueden descargarlo desde:

http://research.eeye.com/html/alerts/zeroday/20070328.html

:-)) ¿Otro deja vu? :-))

“is”

jueves, 29 de marzo de 2007

Malware enmascarado

Hoy recibí un email con simplemente una imagen invitándome a descargar la Beta 2 de Internet Explorer 7 (recordemos que ya existe la versión final):


Si hacíamos click en la imagen, nos llevaba a descargar un programa IE7.0.exe, que pesa 32.5 KB, y que en lugar de ser el navegador de Microsoft, se trata de un pequeño troyano capaz de descargar otros malware.

El mensaje dice venir de admin@microsoft.com (dirección ficticia para intentar hacernos creer) y tiene varias cabeceras del mensaje falseadas (como la dirección IP – X-Originating-IP - que dice ser 563.70.03.5, la cual no existe). Esto es una técnica común.

Buscando un poco más, veo que el mensaje se ha originado en México; quizás voluntariamente, o quizás fue enviado automáticamente por un equipo infectado o una botnet.

Casos como estos hay a diario, pero sirven para remarcar que no debemos confiar en todos los correos que recibimos y que antes de descargar cualquier archivo es importante asegurarnos de que no sea un código malicioso.

Ningún programa navegador pesa tan poco ni tarda tan poco en bajar, por lo que a tener cuidado, dado que a este malware en particular, aún no todos los antivirus lo han agregado a su base de firmas.

“is”

miércoles, 28 de marzo de 2007

El virus "Kamasutra"

Los nombres que se le dan a los virus/malware a veces son bastante interesantes o llamativos. Un gusano de amplia propagación (Blackworm o VB.NEI) fue re-bautizado como Kamasutra por los medios por particularidades en el mensaje de correo que enviaba.

Hoy, gracias a un amigo, encontré esta tira cómica relacionada que de seguro les va a gustar:

http://www.tiraecol.net/modules/comic/comic.php?content_id=227

"is"

martes, 27 de marzo de 2007

Gusano para Skype… Nada nuevo

En varios medios de comunicación se han podido ver noticias recientes sobre la aparición de un gusano que aprovecha la conocida aplicación Skype para propagarse a través de mensajes.

Más allá de que algunos medios no saben si definirlo como un troyano o gusano, este malware no tiene nada de novedoso. En sí, no aprovecha ninguna vulnerabilidad ni agujero de seguridad en la aplicación, sino que se propaga a través de la funcionalidad de mensajes instantáneos del programa.

Esta técnica viene siendo aplicada desde hace bastante tiempo en otros mensajeros como ICQ o MSN Messenger, e incluso ya se había visto un caso similar a fines del 2006 que era capaz de aprovechar Skype.

En sí mismo, el gusano, lo que hace es enviar un mensaje instantáneo a los contactos de una persona infectada, con un texto fijo (Check up this) y un enlace a un archivo ejecutable con extensión .exe, que si el usuario descarga y abre, el ciclo se repetirá con los contactos de la nueva víctima.

Esta metodología es común y se basa en aprovechar la confianza que el usuario tiene a sus contactos para que así caiga en la trampa de ejecutar el archivo que se le envía.

De la misma manera que con los correos electrónicos, la recomendación en estos casos es no aceptar archivos que no fueron solicitados. En el caso de los mensajeros instantáneos, confirmar con el contacto que nos está, en teoría, enviando el archivo, que realmente lo haya hecho él. De esa manera, evitamos que el proceso automático del gusano pueda engañarnos.

“is”

PS: Les recomiendo leer este post sobre generadores automáticos de gusanos para Skype que publicamos hace poco.

lunes, 26 de marzo de 2007

InfoSecurity (Caracas, Venezuela)

InfoSecurity es el nombre de una serie de eventos dependiente de distintas organizaciones cuyo foco central son temas relacionados a la seguridad de la información. Estos eventos se realizan incluso en América Latina.

Del 23 al 27 de Abril se realizará la edición venezolana de InfoSecurity, por tercer año consecutivo. Como todos los años, participarán empresas internacionales y regionales, con conferencias y talleres, incluyendo charlas sobre ethical hacking y las certificaciones CISSP.

"is"

sábado, 24 de marzo de 2007

¿Qué es un exploit? (Lección 4)

Para poder continuar con el aprendizaje es importante que comprendamos que es un exploit. Previo a eso, tenemos que entender qué es un agujero de seguridad.

Los software de cualquier tipo (sistemas operativos, navegadores, suites ofimáticas, etc.) pueden contener lo que denominamos agujeros de seguridad: errores en su programación que permiten que usuarios ú otros programas realicen acciones no permitidas por el software vulnerable (el que tiene el agujero de seguridad).

Los exploits entonces son programas o códigos que permiten la explotación (de ahí viene el termino) de dicho agujero de seguridad en forma automatizada.

Algunos agujeros de seguridad permiten, por ejemplo, que al ser explotados se pueda acceder a mayores permisos dentro de un sistema o que directamente se pueda ejecutar acciones que en realidad no se debería poder hacer a través del software explotado. Por ejemplo, los casos más comunes son la ejecución de acciones a través del navegador (cuando visualizamos una página) o del correo electrónico (cuando abrimos un mensaje).

Los exploits son utilizados normalmente por el malware para poder auto-ejecutarse o auto-instalarse en un equipo informático cuando no debería poder hacerse a través de medios normales.

Como con toda la serie de aprendizaje, si tenés alguna duda, dejá tu comentario :-)

“is”

Volvemos...

Después de una semanita de "descanso", ya estamos de vuelta con el blog, así que nuevamente verán posts como estaban acostumbrados. Mantenganse en contacto :-)

"is"

domingo, 18 de marzo de 2007

OT: Bill Gates vs. Steve Jobs

No está relacionado con el mundo del malware (del todo) pero al menos pasarán unos 4 minutos 26 segundos divertidos.



"is"

sábado, 17 de marzo de 2007

Hispasec

Esta empresa española está conformada por algunos de los expertos más respetados del ambiente, en habla hispana, e incluso a nivel internacional. Respaldados por una reputación intachable en todo sentido, el equipo liderado por Bernardo Quintero y Antonio Ropero, genera los contenidos de información sobre seguridad informática en español más completos.

El sitio de Hispasec tiene una lista de noticias diaria, una-al-dia, que nos permite saber qué está pasando en materia de seguridad informática en forma sencilla y directamente en nuestra casilla de correo. Como no podía ser de otra manera, también tiene un feed RSS disponible.

Debido a los servicios que la empresa ofrece como consultora, podremos encontrar informes y artículos de nivel medio-avanzado que nos serán de gran ayuda. Hispasec ofrece otros servicios web que repasaremos por separado, pero antes de terminar de leer esto, suscríbanse a su boletín.

“is”

viernes, 16 de marzo de 2007

El señor antivirus: Internet da para todo

Sin palabras. No apto para personas impresionables.



Fuente: http://www.youtube.com/watch?v=h4kN-rNjjSI

PD: Al menos la música del final es de Los Cafres :)

jueves, 15 de marzo de 2007

Banners engañosos

Mientras navegamos por la web nos encontramos con publicidad en distintos formatos, sabores y colores. Aunque una gran cantidad de las publicidades en línea que vemos son veraces, o al menos intentan serlo, en muchos casos nos encontramos con publicidades engañosas.

Una forma normal que usan los creadores de spyware son los banners de publicidad. Lo típico es encontrarnos banners que dicen “tu computadora está infectada, haz click aquí para limpiarla”, o similares.

Esos banners, en realidad, no son ningún alerta de seguridad, sino una simple estrategia utilizada para que descarguemos algún tipo de software malicioso, especialmente software espía.

La realidad es que un banner en una página web (es decir, dentro de nuestro navegador), no puede acceder a nuestro equipo para corroborar si el mismo está infectado o no dado que es una simple imagen.

Cuando naveguen por Internet y vean un banner que los alerta sobre una situación insegura en su equipo informático, no deben hacerle caso bajo ningún punto de vista. En un 101 % (sí, 101) de los casos se trata de otra forma más de intentar que caigamos en la trampa y terminemos infectados.

“is”

miércoles, 14 de marzo de 2007

¡Mi proveedor de email me quiere infectar!

Eso es lo que muchos podrían pensar con uno de los trucos más comunes utilizados por los gusanos de correo electrónico que siguen dando vueltas por Internet en estos días.

En el día de hoy recibí varios mensajes de correo conteniendo gusanos (específicamente variantes de Mydoom, Netsky y Mytob), en los cuales se me avisaba que mi servicio de email estaba teniendo problemas, o que se le había actualizado la contraseña, o que mi cuenta de email generaba spam.

Esos emails decían provenir del servicio de soporte técnico de mi proveedor de Internet o de correo electrónico.

Todo lo anterior podría ser un aviso real si los mensajes no tuvieran archivos adjuntos, específicamente ejecutables. Ahí está el meollo de la cuestión.

Utilizando métodos que buscan dar confianza a quien recibe el mensaje (por ejemplo, haciéndose pasar por su servicio de Internet), los creadores de malware buscan que el usuario crea que el archivo adjunto no es dañino para poder infectarlos. Esto es una práctica normal desde los comienzos de los gusanos de correo electrónico.

Es importante destacar que un proveedor de Internet serio y confiable nunca (repito, NUNCA) enviará archivos adjuntos a sus clientes. Si reciben mensajes que, supuestamente, provienen de su proveedor de Internet y contienen archivos adjuntos, tienen dos opciones:

Que el mismo haya sido enviado por un malware, por lo cual, no vino de su proveedor de Internet y deben eliminarlo automáticamente por más que su antivirus no lo haya detectado
Que realmente su proveedor de Internet les haya enviado un archivo adjunto ejecutable a un mensaje; en ese caso, la opción es clara: eliminar el mensaje y cambiarse de proveedor de Internet porque el que tienen no le da importancia a la seguridad de sus usuarios

Para estos casos, siempre es importante recordar la regla de oro: no confiar en todo lo que se recibe por correo electrónico, y menos aún si contiene archivos adjuntos, venga de quien venga.

“is”

martes, 13 de marzo de 2007

Generadores semi-automáticos de virus

Uno de los problemas que enfrentamos a diario es la facilidad con que una persona con poco conocimiento de programación puede llegar a “programar” un malware.

El punto se basa en que algunos autores de códigos maliciosos crean además lo que denominamos generadores de virus. Estos programas permiten crear malware (según el generador) con solo algunos clicks o configurando algún archivo de inicio.

Por ejemplo, recientemente han lanzado una herramienta para generar gusanos que aprovechen Skype, la popular herramienta de conversaciones de voz a través de Internet.

Aunque facilitan la tarea a las personas con pocos conocimientos de programación que quieren realizar “maldades” a otras personas (algo que, lamentablemente, sigue ocurriendo en la Internet de hoy), los generadores de virus mantienen ciertos patrones similares en sus creaciones, permitiendo que los antivirus puedan detectarlos más fácilmente.

Por ende, seguimos con una de nuestras (cansinas, repetitivas) recomendaciones de siempre: utilizar un antivirus y mantenerlo actualizado al día para así evitar problemas con este tipo de herramientas usadas por los pseudo-creadores de malware.

“is”

PD: No incluimos el enlace al generador mencionado para evitar que el mismo sea accedido más fácilmente por cualquier lector. Esperamos esto contribuya a dificultar su propagación.

¿Qué es un macrovirus (Lección 3)?

Habiendo ya repasado lo que son los tipos más conocidos de códigos maliciosos (virus, troyanos y gusanos), vamos a hacer un apartado para hablar sobre los macrovirus, un tipo de amenaza que fue muy popular desde mediados de los 90 hasta principios del nuevo siglo, habiendo decaído recientemente a niveles muy bajos.

Más allá de la caída en las detecciones y apariciones de nuevos macrovirus, este tipo de virus marcó varios hitos en la historia.

El termino macrovirus proviene de la unión de dos términos “macro” y “virus”. Se le dio ese nombre porque los primeros ejemplares de este tipo de virus aprovechaban la funcionalidad de macros incorporada en las primeras versiones del Microsoft Office, específicamente del Word.

Lo que producían era que al abrir un documento infectado, se realizarán una serie de acciones preprogramadas, además de infectar otros documentos que estuvieran limpios, para seguir propagando las infecciones.

Con la incorporación de un lenguaje de programación (VBA) a los archivos del Microsoft Office, comenzaron a aparecer macrovirus mucho más complejos, capaces incluso de reproducirse por email (como el masivo Melissa, uno de los primeros macrovirus gusanos).

Por la forma en que las macros funcionaban, y el lenguaje que era utilizado por las mismas, el alcance de los macrovirus era casi infinito. Incluso, dado que las funcionalidades de macros se expandieron a otros productos (como AutoCAD o Visio), este tipo de virus dejó de ser exclusivo del Office.

Durante mucho tiempo, fueron uno de los tipos de virus de mayor prevalencia de la historia. Pero ante el agregado de nuevas funcionalidades de seguridad en Microsoft Office y ante la mejora de los software antivirus, los creadores de malware comenzaron a cambiar y a usar otros tipos de códigos maliciosos basados en ejecutables tradicionales.

Pronto vendremos con nuevas entregas de este aprendizaje, espero que esto les sirva como una introducción a uno de los tipos de virus más famosos…

“is”

lunes, 12 de marzo de 2007

ZonaVirus

Otro sitio en español sobre virus informáticos y relacionados es ZonaVirus. Con varios años de trayectoria, el sitio ha evolucionado bastante e incorporado así nuevos e interesantes servicios.

Además de noticias, artículos, glosario, manuales, y demás, ZonaVirus ofrece varios foros de ayuda donde los usuarios pueden encontrar respuestas a los problemas más comunes. También tiene enlaces a antivirus en línea y otras herramientas.

Algo interesante es la Wiki Antivirus que comenzaron; aunque aún bastante verde, el proyecto tiene un potencial interesante para convertirse en un repositorio de información sobre el tema.

ZonaVirus no es uno de mis sitios favoritos para mantenerme informado, pero premiando su trayectoria, es que lo estoy comentando en el blog. Se lo ve un poco desactualizado en algunas secciones, y sin dudas es por el esfuerzo enorme que lleva mantener un sitio como éste (si lo sabré yo ;-P)

“is”

domingo, 11 de marzo de 2007

Phishing latinoamericano

El phishing tiene como objetivo recolectar información sensible de los usuarios (por ejemplo, datos de acceso a su banca virtual, banca en línea o homebanking) con el fin de que esos datos sean usados por sus autores para realizar algún tipo de estafa.

Durante mucho tiempo, este tipo de ataque informático estaba enfocado predominantemente a usuarios que hablaran o utilizaran servicios en el idioma inglés. Luego, desde hace menos tiempo, comenzaron a verse ataques enfocados al sistema bancario español. Desde el año pasado, el tema se expandió a nuestro continente.

En el 2005 era raro ver algún phishing enfocado en bancos o entidades financieras latinoamericanas, y que el mismo estuviera en español. A principios del 2006, algunos casos en países como México, Argentina o Chile. Ahora, ya el tema afecta a casi toda la región.

Por ejemplo, recientemente aparecieron phishing enfocados en Banistmo, un banco panameño, así como otros casos en entidades colombianas, venezolanas, etc.

Esto se debe a que este tipo de ataques son fáciles de realizar y duplicar para afectar a otros bancos o entidades en cualquier idioma dado que no se basan en una vulnerabilidad del equipo o en un malware sino en la ingeniería social en si misma.

El phishing busca engañar a los usuarios de internet a través de sitios y correos electrónicos que son similares o casi iguales a los que se verían si se ingresara en el sitio de un banco. Dichos sitios falsos son creados a diarios, y se envían miles de mensajes de correo instando a los usuarios a ingresar al sitio falso con el fin de que ingresen su usuario y contraseña y así robarla.

El ataque es conocido de hace años, como dije más arriba, pero recién ahora se está masificando en América Latina. Y a no creerse que será pasajero, el phishing está aquí para quedarse.

Así que, a estar atento; nunca hagan click en enlaces en mensajes de correo electrónico que dicen venir de su banco o entidad financiera con ningún motivo. Si reciben un mensaje así, elimínenlo, y si quieren ingresar a su banco, abran el navegador directamente y tipeen la dirección web.
A tener cuidado, porque este tipo de ataques no afectan nuestra computadora, sino, nuestro bolsillo…

“is”

sábado, 10 de marzo de 2007

¿Qué es un gusano? (Lección 2)

No confundir, no me refiero a esto, sino a un gusano informático, un tipo de código malicioso que ha evolucionado tanto que hasta su definición inicial no tiene nada que ver con la actual.

Décadas atrás (si, hace más de 25 años que tenemos virus informáticos), los gusanos eran un tipo de virus que se “comían” el espacio libre en el disco duro. Al estar instalados en un equipo, mediante la infección del mismo, procedían a ocupar tanto espacio en disco como les era posible con el objetivo de llenarlo completamente. Divertido, ¿no?

Luego, el término gusano cambio por el que hizo Morris, que en lugar de hacerse del espacio de un disco duro, su función era propagarse copiándose de equipo a equipo, a través de una vulnerabilidad. Con dicho gusano nació lo que hoy llamamos gusanos de Internet.

Con el advenimiento del correo electrónico, aparecieron los gusanos específicos para esa tecnología. Básicamente, son códigos maliciosos capaces de auto-enviarse por correo electrónico como archivos adjuntos y dependen del usuario o vulnerabilidades para poder seguir reproduciéndose.

Es importante tener en cuenta que un gusano no se reproduce dentro de otros archivos ejecutables, es decir, no infecta como lo hace un virus informático. Lo que hace es intentar hacer llegar copias de si mismo a otras computadoras.

Finalmente, una definición de gusano informático sería aquel código malicioso que es capaz de propagarse de una computadora a otra a través de cualquier medio de comunicación.

Malware como el Iloveyou, Klez, Melissa y otros tantos de los más famosos de Internet fueron, claramente, gusanos. Hoy en día, este tipo de códigos maliciosos es principalmente usado como medio de transporte para instalar otras amenazas informáticas en los equipos infectados.

Si alguna vez te infectaste por un gusano, te invito a que te distiendas con este juego, que te permitirá sacarte la bronca por los problemas que te hayan causado.

“is”

viernes, 9 de marzo de 2007

Las contraseñas son importantes, úsalas adecuadamente

Cuando hablamos de contraseñas (claves o passwords es otra forma de llamarlas), alguno de quienes nos está leyendo recordará que la suya es la fecha de nacimiento de su hijo, el nombre de su mascota, el nombre de su novia, esposa, hijo, hija, madre combinado con el de otro amigo o familiar, o quizás la combinación 123456 o qwerty.

No es que tenga poderes psíquicos, sino que muchos de los estudios sobre contraseñas realizados marcan que la gran mayoría de ellas son débiles (es decir, fáciles de descifrar).

Con la gran cantidad de servicios que utilizamos a diario en Internet, necesitamos contar con usuarios y contraseñas para múltiples páginas: casillas de correo electrónico, banca virtual, foros, etc. Si tuviéramos que recordar tantas contraseñas como servicios utilizamos, seguramente comenzarían a confundírsenos o simplemente las olvidaríamos. Es por ello que mucha gente utiliza una única (o quizás dos o tres) contraseñas para todos los servicios que utilizan, y en muchos casos, las mismas son tan sencillas de recordar que cualquier persona que nos conozca puede averiguarlas.

Las contraseñas protegen información sensible de nosotros, y la información es dinero, dice alguna máxima leída por ahí. Es por ello que tenemos que preocuparnos en usar lo que se llaman contraseñas fuertes, difíciles de descifrar por personas que no somos nosotros.

Hay muchos artículos en Internet que describen cómo hacer lo anterior; entre ellos, les recomiendo la lectura de uno que, aunque antiguo, no ha perdido vigencia en sus consejos.

Lo ideal es:

  • Crear contraseñas fuertes
  • Tener una contraseña para cada servicio sensible (banca virtual, tarjeta de crédito, email)
  • Tener otras contraseñas distintas para otros servicios

Lo anterior nos lleva a necesitar contar con varias contraseñas, y que sí son complejas, nos será difícil recordar. Si se da este caso, podemos usar un programa administrador de contraseñas como el KeePass, que nos permite guardar en forma segura nuestras claves y consultarlas, mediante una contraseña maestra única, cuando las necesitemos.

El mejor consejo es que el único lugar donde las contraseñas estén almacenadas sean nuestras neuronas, y nunca decírselas a nadie, pero lo anterior no está tan mal, dentro de todo.

Finalizando, use contraseñas fuertes, su información es importante, protéjala.


“is”

jueves, 8 de marzo de 2007

VSAntivirus

Si hay un sitio específico en el tema de los virus informáticos y el malware, en español, con una larga trayectoria, ese es VSAntivirus. Con más de 10 años en Internet se ha establecido como una fuente ineludible de información sobre el tema.

En su página principal podemos encontrar un vistazo rápido de actualidad, incluyendo noticias, descripciones de virus, artículos, estadísticas, recomendaciones, actualizaciones de antivirus, etc.

Asimismo, VSAntivirus cuenta con un boletín de noticias de periodicidad casi diaria, y un foro de ayuda que permite a los usuarios encontrar soluciones a problemas particulares a través de la colaboración de todos sus integrantes.

El sitio es mantenido por José Luis López y su equipo, desde Uruguay. José Luis es uno de los expertos en materia de virus en Internet con mayor trayectoria.

Sin dudas, suscribirse al boletín de noticias de VSAntivirus es un requisito ineludible para poder saber más sobre seguridad informática.

“is”

miércoles, 7 de marzo de 2007

Caballo de Troya de la vida real

En el post anterior comentabamos que es un troyano informático. El siguiente video (en inglés) les mostrará el caso de un caballo de troya de la vida real aplicado a la actualidad que logra su objetivo a través de la ingeniería social:

http://www.youtube.com/watch?v=Xs3SfNANtig

“is”

¿Qué es un troyano? (Lección 1)

Aunque las chicas (y algunos chicos) recuerden a Brad Pitt cuando se habla de troyano (por la película de hace algunos años donde al Sr. Jolie se lo ve algo suelto de ropa), cuando nos referimos a este termino en el ámbito de la seguridad informática el sentido no es tan “agradable”.

Troyano es la “españolización” del termino anglosajón Trojan Horse, que realmente debería traducirse como Caballo de Troya.

Desde el punto de vista técnico y de comportamiento, un troyano se diferencia totalmente de los virus informáticos tradicionales. Un troyano es un programa ejecutable (incluyendo código ejecutable de cualquier tipo) que tiene el objetivo de realizar una función en particular.

Se lo denomina troyano porque su objetivo final está camuflado, simulando hacer otra cosa. Por ejemplo, un troyano puede mostrar una ventana con una imagen o mensaje de error y mientras tanto realizar alguna acción maliciosa.

Básicamente, cualquier programa ejecutable con fines maliciosos que no se reproduzca por si solo (algo inherente a este tipo de malware) es considerado un troyano. Lo que finalmente lo caracteriza del todo bajo esta definición es el hecho de que el usuario crea, de acuerdo al engaño del atacante, que está ejecutando otra cosa.

En la actualidad, existen infinidad de subclasificaciones de troyanos que realizan funciones específicas de distinta índole. Por ejemplo, descargar otro malware, abrir una puerta trasera, etc. Iremos revisando dichas subclasificaciones a lo largo de este aprendizaje.

“is”

martes, 6 de marzo de 2007

Parches para vulnerabilidades, parches para vulnerabilidades, parches para…

El título de este post no es fruto del síndrome de redacción nocturna (cerebro bloqueado en estado zombie que obliga al cuerpo a realizar acciones sin sentido). Por lo contrario, es lo que me sucede cada vez que leo una noticia como la siguiente:

Microsoft publica 12 boletines, seis críticos y seis importantes

El boletín MS07-008 informa sobre un fallo en Windows, en el control ActiveX de la Ayuda HTML. Al visitar un sitio web especialmente diseñado o modificado, un atacante podría tomar control total del sistema en forma remota. La versión no afectada del software es Windows Vista.
(...)

Esta es la noticia publicada por un sitio español para anunciar el último boletín de seguridad de Microsoft. En dicho boletín, se informa de la existencia de soluciones para vulnerabilidades detectadas y que pueden causar problemas graves.

Casi todos los meses nos encontramos con una noticia similar respecto de productos de Microsoft. Sin embargo, la empresa del Sr. Gates no es la única.

Los agujeros de seguridad y vulnerabilidades son algo común en el software actual, debido a la velocidad con la que se debe desarrollar por motivos comerciales y de marketing, así como por la complejidad que muchos software han alcanzado a lo largo de los años.

Por ello es que cada mes tenemos un dejà vu y vemos noticias que creemos son repetidas. El tema es que vulnerabilidades tienen todos los productos (o las tendrán o las tuvieron, mi opinión particular), y por ello, hay muchas amenazas informáticas que pueden filtrarse en nuestras computadoras sin que lo sepamos.

Obviamente, lo anterior solo pasa si no hacemos lo que debemos, lo cual es, mantener nuestro equipo actualizado. Lo que a veces se olvidan muchos profesionales es que muchos de los usuarios no saben que es necesario actualizar. Es lógico, el uso de la informática no nos resulta tan fácil a todos.

Los usuarios debemos “parchear” (instalar las correcciones a las vulnerabilidades); para ello, muchos del software actuales tienen funcionalidades de actualización automática, tales como las Actualizaciones Automáticas en el sistema operativo de Microsoft. Si ud. revise un aviso de que tiene que instalar actualizaciones, hágale caso; es probable que sea algo crítico, y en la gran mayoría de los casos, no le traerá problemas.

El próximo mes, volverá a ver una noticia como la anterior; no se asuste, actualice, es algo a lo que tendremos que acostumbrarnos cada día más, según parece.

“is”

lunes, 5 de marzo de 2007

¡¡No!! ¡No hagas click ahí!

Hay recomendaciones que se repiten, se dicen a diario, se incluyen en cada artículo sobre seguridad antivirus, en cada advertencia, pero no se respetan. No vale generalizar, pero aún hay demasiada gente que no respeta una de las medidas básicas de seguridad contra los códigos maliciosos: no hacer click y no abrir archivos adjuntos a mensajes de correo electrónico que no fueron solicitados.

Aunque los creadores de malware han incorporado nuevos métodos de propagación, el correo electrónico sigue siendo uno de los más utilizados. Cuando un código malicioso usa dicho medio para reproducirse, usualmente lo hace en la forma de un archivo adjunto.

La única forma de que muchos de los códigos maliciosos de los últimos tiempos se propaguen y sean capaces de infectar miles de equipos alrededor del mundo es si los usuarios que reciben los correos con el virus, hacen click en el archivo adjunto incluido.

Sin embargo, y aunque se recomiende siempre que no se abra un archivo adjunto que no ha sido solicitado, muchos usuarios siguen desoyendo esto y se tiran de cabeza. Esto causa que luego sus equipos se infecten, funcionen lentamente, sufran cambios, los datos sensibles del usuario puedan ser robados, etc.

¿Entonces? Seguiremos insistiendo con la recomendación: nunca haga click en un archivo adjunto a un mensaje de correo electrónico que ud. no solicitó. Por más que su antivirus no haya detectado nada en el mensaje, no haga click. Por más que prometa fotos de mujeres desnudas o desastres naturales, no haga click. Por más que venga de la empresa más conocida del planeta, no haga click.

Cuando reciban un mensaje de correo electrónico que contiene un archivo adjunto, no importa quien sea el remitente, al momento de acercar su mouse al mismo para abrirlo, recuérdenme gritando “¡¡No!! ¡No hagas click ahí!”.

“is”

domingo, 4 de marzo de 2007

¿Qué es un virus informático? (Lección 0)

Antes de poder comenzar a comprender el alcance de los códigos maliciosos de la actualidad, debemos entender cuáles fueron los disparadores.

Los virus informáticos fueron, de alguna manera, el inicio de todo, y el primer tipo de código malicioso que alcanzó altos niveles de propagación.

Un virus informático es, básicamente, como un virus biologico, aunque a veces se los ha comparado con las bacterias.

El funcionamiento básico de un virus es el siguiente:

  • Se esconden dentro del contenido de un archivo ejecutable (.exe., .com, .scr, etc)
  • Cuando el archivo ejecutable que contiene el virus es abierto por el usuario, intentará copiarse a otros archivos ejecutables para propagarse
  • Pueden contener lo que se denomina como payloads: rutinas preparadas para ejecutarse ante ciertos eventos, por ejemplo, para mostrar mensajes, cambiar configuraciones del sistema o eliminar archivos, entre otras cosas
  • Para propagarse a otras computadoras, un archivo ejecutable que contenga un virus debe ser transferido a través de algún medio, por ejemplo, un CD, disco flexible, un correo electrónico, etc.

Los virus fueron uno de los primeros intentos de inteligencia artificial aplicada a las computadoras, dado que el objetivo de sus primeros creadores era lograr microorganismos informáticos que fueran capaz de reproducirse y seguir viviendo.

Un virus informático puede infectar (copiarse dentro de un archivo ejecutable) solamente cuando su “anfitrión” es ejecutado, ya sea por el usuario o por el sistema operativo.

En próximas lecciones, analizaremos otros tipos de códigos maliciosos, su funcionamiento y modos de propagación hasta la actualidad.

“is”

PD: Si tienes dudas sobre esta definición, publiquen un comentario.

sábado, 3 de marzo de 2007

Centro de Alerta Temprana sobre Virus y Seguridad Informática

El Centro de Alerta Temprana, que depende de INTECO, es un sitio de Internet cuyo objetivo es promover la seguridad en Internet. De origen español, ofrece noticias, descripciones de virus, eventos, y campañas que incluyen diversos temas, desde la navegación segura hasta la lucha contra la pedofilia.

El CATA, como se lo conoce ampliamente, recolecta información de sensores ubicados por toda España, en universidades y organismos gubernamentales, y prepara así un ranking navegable de las amenazas víricas más extendidas en el país, específicamente aquellas que utilizan el correo electrónico como medio de propagación.

Además, ofrece útiles gratuitos, que son herramientas como cortafuegos, copias de seguridad, anti-fraude, etc. Estas herramientas son de gran ayuda para todos los usuarios de Internet, y de libre acceso.

Les recomiendo mantener a este sitio entre sus favoritos, dado que les servirá para estar al tanto sobre mucho de lo que sucede en el mundo de la seguridad antivirus.

“is”

viernes, 2 de marzo de 2007

Segurinfo 2007 (Argentina)

La necesidad de capacitación constante que provoca la evolución de la informática y su seguridad, ha llevado a que se realice un gran número de eventos relacionados alrededor del mundo. Mientras el hemisferio norte siempre ha sido pionero en esto, en América Latina se pueden encontrar opciones de alta calidad.

Segurinfo es un Congreso Argentino de Seguridad de la Información, y este año, el 15 de Marzo, se llevará adelante su 3era. Edición. En esta ocasión, como en la última, se llevará a cabo en el Sheraton Buenos Aires, ubicado en Av. Leandro N. Alem 1153, Cdad. de Buenos Aires.

El evento contará con conferencias y talleres dictados por expertos de todos los niveles, tanto empresariales, gubernamentales e independientes. Los temas a tratar son diversos, y van desde lo asociado al malware hasta la gestión de la seguridad de la información en las empresas y el robo de identidad.

Segurinfo es un evento pago, y considerado uno de los más completos y prestigiosos del país.

“is”

jueves, 1 de marzo de 2007

Creadores de Malware como soporte de las estafas

Cuando Virus Attack! comenzó a dejar de ser actualizado, habia pasado muy poco tiempo desde que la cultura detrás del malware comenzara a mutar y transformarse. Siendo en un principio un mundo compartido por personas pensantes y con curiosidades y otros que solo buscaban hacer daño, de pronto, todo comenzó a cambiar.

La llamada Viruscene, formada por los Vxers, se conforma de grupos (cada vez menos) de creadores de códigos maliciosos que se iniciaron con la vieja escuela, y su objetivo era hacer algo distinto en el mundo de la informático sin causar daño a nadie.

Al hacerse más masivos los virus informáticos y otros malware, se agregó a estos un grupo (mayor) de gente que solo buscaba crear códigos maliciosos con fines fastidiosos y/o simplemente dañinos. Este grupo comenzó el cambio en la cultura vírica hacia lo que hoy vemos en la actualidad.

Mientras que aquellos que progamaban virus informáticos por diversión han pasado más y más al retiro o anonimato, quienes desarrollaban estos programas maliciosos se convirtieron en programadores a sueldo.

El potencial delictivo, latente en Internet desde la explosión del e-commerce y los servicios en línea, se plasmó en la creación de troyanos, keyloggers, backdoors, gusanos y otros tantos malware cuyo objetivo es la estafa de usuarios desprevenidos. Es así que hoy, el número de códigos maliciosos cuyo objeto es causar daño ha disminuido, y nos encontramos con que el mayor porcentaje se centra en propagar spam, obtener datos sensibles, realizar espionaje, etc.

Adware y spyware, hoy ya una subrama del malware, son otro ejemplo de la fin económico que tienen detrás, buscando formas de aumentar la publicidad directa al usuario y cobrar por ello.

Quienes usamos internet a diario nos encontramos con la necesidad de pensar dos (tres, cuatro, cinco…) veces antes de visitar una página o abrir un archivo adjunto si queremos que nuestra computadora no se transforme en un lugar inseguro que permita a terceros hacernos “daño” real.

El número de estafas por internet asociadas a los códigos maliciosos, los cuales son creados por programadores de muchas partes del mundo que son contratados por empresas de todo tipo ú ofrecen sus servicios al mejor postor, va en aumento y nos obliga a que practiquemos medidas de prevención para “mantenernos a salvo”.

No es el fin del mundo; inseguridad hay en todos los ambientes de la vida, física o virtual, y para evitarla, siempre hay contra-medidas. Por ello, siempre tenemos que mantenernos alerta, como lo hacemos en la calle.

“is”