viernes, 25 de mayo de 2007

¿Quién dijo que no se puede infectar a Linux y Mac OS X?

Una reciente prueba de concepto demostró claramente cómo utilizando vectores alternativos es posible desarrollar códigos maliciosos multiplataforma que afecten a sistemas operativos que normalmente son considerados no vulnerables al malware.

Cuando se habla de prueba de concepto en materia de códigos maliciosos a lo que nos referimos es a un malware que fue desarrollado pura y exclusivamente para demostrar que algo es posible, y que luego es reportado a las casas antivirus para su detección, sin ser propagado ni distribuido entre usuarios finales.

Conocido como BadBunny (entre otros nombres similares), se trata de un código malicioso que aprovecha la posibilidad de ejecutar macros de OpenOffice, una suite ofimática multiplataforma, para luego, determinando en qué sistema operativo se está ejecutando (Windows, Linux o Mac OS X), descargar componentes específicos para infectar a cada uno de ellos.

La forma en que funciona lo convierte en una amenaza que probablemente no sea de alta escala, pero muestra claramente dos conceptos:

  • OpenOffice debe mejorar la seguridad en el manejo de macros
  • Las plataformas como Linux y/o Mac OS X no son "invulnerables" a los códigos maliciosos
A tener cuidado con la confianza que tengamos en un sistema operativo; el mundo informático cambia continuamente y lo que hoy no se pueda, probablemente mañana sí :-)

"is"

jueves, 24 de mayo de 2007

InfoSecurity (Buenos Aires, Argentina)

InfoSecurity es el nombre de una serie de eventos dependiente de distintas organizaciones cuyo foco central son temas relacionados a la seguridad de la información. Estos eventos se realizan incluso en América Latina.

Del 4 al 8 de Junio se realizará la edición argentina de InfoSecurity, por tercer año consecutivo. Como todos los años, participarán empresas internacionales y regionales, con conferencias y talleres, incluyendo charlas sobre ethical hacking y las certificaciones CISSP.

"is"

miércoles, 23 de mayo de 2007

Stration/Warezov, o aprendamos a no confiar en los emails

Es díficil poder ser claro a veces en un tema que implica tantos terminos técnicos como lo es el de la seguridad informática, y los códigos maliciosos en particular, pero una de las ideas de este blog es poder llevar a un lenguaje llano las recomendaciones y noticias de actualidad que vemos en muchos sitios especializados y no siempre todos entendemos.

Es por ello que en su momento escribí el post "¡¡No!! ¡No hagas click ahí!", dado que si hay una forma sencilla en que el malware se propaga a es través del correo electrónico. Un claro caso de esto es el gusano conocido como Stration o Warezov, entre otros nombres, del cual aparecen decenas de variantes cada cierto tiempo, y que usa principalmente el correo electrónico para reproducirse.

Lo que particularmente hace el gusano en cuestión no es lo importante, basta con darle una mirada a lo que hay en internet para verlo, sino como Stration logra amplios niveles de reproducción utilizando métodos viejos como los archivos adjuntos al correo electrónico. Por ejemplo, uno de los últimos ejemplos que recibí venía adjunto en un mensaje que decía provenir del soporte técnico de vaya uno a saber qué empresa, diciendo que teníamos que ejecutar el archivo adjunto para poder resolver un problema que teníamos en nuestra PC.

El adjunto podía tener un nombre como "Update-KB6687-x86.zip" o "Update-KB2062-x86.zip", en los ejemplos que recibí. Un amigo, poco ducho en informática, me dijo entonces "Ah, si el adjunto es Update-KB9234-x86.zip entonces no es un virus, no?"... Imposible es describir mi expresión ante esa pregunta. :-(

Tenemos que entender que el nombre de un adjunto no lo hace ser un virus o no, ni lo hace ser más peligroso o menos, sino su contenido. Si un archivo es ejecutable y está programado para hacer algo malicioso, no importa su nombre, puede hacerlo igual; es como pensar que un ladrón lo es por la forma de vestirse. Entonces, acá entra en juego nuevamente lo que recomendabamos en el post antes mencionado: No hacer click en archivos adjuntos y/o enlaces en mensajes de correo electrónico que no solicitamos. Es complicado, lo sé; es díficil de darnos cuenta a veces, también lo entiendo; pero es una de las únicas formas que tenemos de evitar infecciones si nuestro antivirus no llega a detectar una amenaza... (suerte que existe la heurística ;-P)

"is"

jueves, 10 de mayo de 2007

VirusTotal

Este servicio en línea, de la empresa Hispasec, permite que enviemos archivos vía correo electrónico o web y que los mismos sean analizados por múltiples antivirus y herramientas de seguridad.

VirusTotal es hoy en día uno de los servicios de escaneo individual y en línea de archivos más utilizados del mundo. Aunque no sustituye a los antivirus tradicionales, dado que no protege sino que solamente analiza, es realmente un servicio insustituible y de alta utilidad para todos los profesionales de informática.

Los archivos enviados a VirusTotal pueden ser distribuidos a las compañías antivirus directamente, si el usuario lo aprueba, con lo cual contribuimos con la mejora continua de los productos que participan del proyecto.

Si reciben algún archivo sospechoso, les recomiendo que comprueben si algún antivirus lo detecta a través de este servicio. El reporte detallado nos dirá que antivirus reconoce el archivo como un virus, bajo qué nombre, y así podremos saber qué es lo que el mismo puede llegar a ser.

"is"

miércoles, 9 de mayo de 2007

Entonces, ¿Qué es un malware? (Lección 7)

Hasta ahora hemos repasado distintos temas como virus, gusanos, troyanos, etc., en nuestra área de aprendizaje. En todos esos casos, o en la mayoría de ellos, nombramos la palabra malware, sin especificar exactamente el alcance de dicho termino.

Malware significa MALicious softWARE, que en español sería software malicioso. También se los llama comúnmente códigos maliciosos.

El malware engloba a todos aquellos programas y/o aplicaciones cuyos fines son maliciosos, sin enfocarse solamente en el tipo de daño que pueda generar. Dado que de la aparición de los primeros virus informáticos hasta la actualidad se han dado muchísimos cambios, para poder englobar a todas estas aplicaciones dañinas se creó la denominación malware.

El malware no tiene ninguna característica particular de funcionamiento, propagación o fin, sino que puede tener cualquiera.

Aunque actualmente se sigue hablando de virus informáticos, estos no son los más comunes de los malware existentes, por lo que es importante tener en cuenta que es muy probable que cuando leamos que aparece un nuevo “virus” en realidad se esté refiriendo a un software malicioso.

“is”

martes, 8 de mayo de 2007

¡No escuches ese virus!

Con una reciente vulnerabilidad en Winamp, una de las aplicaciones de reproducción multimedia más utilizadas, se puede llegar a crear un archivo .mp4 capaz de ejecutar código malicioso cuando es abierto mediante una versión vulnerable del programa.

Tras el conocimiento de la vulnerabilidad, aparecieron varias pruebas de concepto para poder demostrar esto, y varias aplicaciones prácticas de troyanos capaces de usar el agujero de seguridad con fines maliciosos.

Así que, a quienes usen Winamp, vayan a la página de ese programa, y descárguense la última versión para estar protegidos. Sino, puede pasarnos que si queremos abrir uno de estos archivos con el programa, terminemos… escuchando un virus ;-P

“is”