jueves, 30 de agosto de 2007

Costos del Cibercrimen

Desde hace tiempo, cuando hablamos de seguridad, tenemos que además estar aprendiendo de economía, dado que los creadores de malware están dedicando sus esfuerzos a engrosar sus cuentas bancarias.

En una encuesta hecha por un organismo estadounidense nos encontramos que el cibercrimen, es decir, el crimen que usa medios tecnológicos a través de Internet, ha tenido ingresos que están entre los 70 y 130 billones de dólares (para que quede claro... 70,000,000,000 dólares!).

A cuidarnos del malware que busca nuestros bolsillos.

"is"

Fuente:
http://esj.com/security/article.aspx?EditorialsID=2777

lunes, 27 de agosto de 2007

"Se debe enfatizar en la educación y entrenamiento de los empleados"

Me gusta mucho leer artículos antiguos sobre el tema de seguridad informática para ver cuánto evolucionamos en los conceptos básicos, y cuánto se ha aprendido desde entonces. En esa línea, cayó en mis manos un artículo de 1989, titulado "El impacto de los virus de computadoras en la sociedad" (The Impact of Computer Viruses on Society), escrito por Jimming Lin y Chia-Hao Chang, quienes, con todo respecto, son dos personas cuya trayectoria en el área de la seguridad desconozco completamente.

El artículo no es una joya de la seguridad, pero es un análisis serio, y muy avanzado en el tiempo, de las consecuencias causadas y que causarían los virus informáticos, y el malware, en nuestra sociedad.

En el mismo, nos encontramos frases como la del título, donde dicen "La administración (de sistemas) debe también enfatizar sobre una mejor educación y capacitación para sus empleados." Esto está claramente relacionado con mi divague sobre la educación en seguridad informática, dónde comento exactmante lo mismo.

Lo interesante (y preocupante) es que pasaron 18 años, y seguimos instando a hacer lo mismo, dado que realmente, faltan iniciativas serias sobre el tema por parte de las empresas. Van casí dos décadas en que los especialistas en seguridad proponen esto, y todavía estamos en pañales, mientras la inseguridad informática sigue avanzando.

Otras partes interesantes del artículo son las que, por ejemplo, dicen:

  • "El intercambio de archivos en los BBS (anterior a Internet) se ve también afectado por las epidemias de virus"
  • "El efecto inmediato en los usuarios puede poner un fin al intercambio de archivos que se ha hecho tan común desde los primeros días de la revolución informática"
  • "Los usuarios deben protegerse entendiendo en mayor medida su equipo y las formas en qué los virus informáticos operan"
Si nos ponemos a analizar esas tres frases, vemos que la primera sigue siendo válida. Una forma común en que el malware se reproduce es a través de los programas de intercambios de archivos y el software pirata, pero la conclusión que sacan los autores de lo que podía suceder (el usuario dejando de compartir), nunca ha sucedido.

En el artículo comparan al virus del SIDA con los virus informáticos, diciendo que así como la gente se ha vuelto más cautelosa para evitar el HIV, también lo hará con los virus de computadoras. Eso nunca se hizo realidad, dado que la gente sigue compartiendo archivos infectados sin saberlo, y tomandos muy pocas medidas de prevención contra el malware.

Lo que si es interesante es la tercera afirmación sobre la necesidad de la prevención, que sigue el enfoque de la necesidad de la educación, en este caso, autodidáctica.

Pasaron 18 años de ese artículo, que seguramente no ha sido el único de esos días en el que se analizaba este tipo de cosas, y en muchos aspectos, seguimos igual que antes. Debemos comprender que una parte importante del problema es la capacitación de los usuarios de computadoras. Sin eso, siempre será una carrera contra el tiempo...

"is"

PD: Ah... se me acaba de ocurrir que la razón de que no se tome en serio o no se dediquen recursos a la educación de los usuarios hasta ahora es que nadie leyó este artículo al que hago referencia (ironía pura!)

Más sobre el gusano storm

Esta vez, el gusanillo de moda en estos días, ya no llega como una tarjeta virtual o como un mensaje de correo con usuario y contraseña de un servicio, sino con un enlace a un supuesto video de Youtube, que en realidad, nos lleva a una página donde se nos intenta descargar el malware.

A tener cuidado, que estos muchachos parecen estar buscando nuevos enfoques que les den resultados, así que seguramente seguiremos viendo más sobre el gusano Storm.

Leído en: SANS.

"is"

jueves, 23 de agosto de 2007

Publicidad tercerizada en Internet: las llaves de la seguridad de sus visitantes

No es ninguna novedad que uno de las formas en que se sustentan muchos sitios y servicios de Internet (incluyendo los blogs) es la publicidad. La necesidad de solventar gastos y obtener rentabilidad es el motor que lleva a la necesidad de utilizar publicidad como medio para lograrlo.

Ahora bien, existen básicamente dos formas de tener publicidad en un sitio de Internet (sin contar cosas como Google AdWords):

  • Administrándola uno mismo
  • Vendiendo el espacio a un tercero
La primera conlleva un tiempo y dedicación que muchos grandes sitios de Internet no tienen o no están dispuestos a invertir, por lo que en muchos casos, terminan vendiendo el espacio a una empresa especializada en el tema.

Desde el punto de vista del negocio, la motivación es clara: maximizar la rentabilidad. Pero desde el ángulo de la seguridad, se abre una puerta para que los visitantes del sitio puedan ser víctimas de algún tipo de ataque informático.

Esto se debe a que la empresa que administra el espacio publicitario del sitio web, puede comercializar dicho lugar a quien quiera, y entre ellos puede encontrarse una empresa que intente distribuir alguna forma de malware (como spyware) a través de dichos banners, aprovechando publicidad engañosa o simplemente a través de vulnerabilidades.

Esto no es algo nuevo y existen múltiples casos que lo respaldan. ¿Vieron alguna vez banners publicitarios que dicen cosas como “Su PC infectada. Haga clic aquí para desinfectarla”? ¡Voilá! Ahí tienen un ejemplo…

La solución a este problema es el compromiso de todas las partes involucradas (el sitio de Internet donde se muestra la publicidad, la empresa que comercializa el espacio publicitario y el usuario mismo), para mejorar la seguridad y evitar que los visitantes salgan perjudicados por el modelo económico publicitario del sitio que visitan.

Las empresas que tercerizan su espacio publicitario deben analizar el tema con la seriedad que se merece, evitando contratar empresas que no tengan una clara y completa política de seguridad.

Quienes explotan económicamente el espacio publicitario de un tercero, no deben permitir que los anunciantes realicen prácticas engañosas o que simplemente distribuyan malware a través de este medio.

El usuario debe ser cuidadoso, prestar atención donde hace clic, ser un poco más paranoico en ese sentido, actualizar su sistema operativo y navegador constantemente, y utilizar antivirus actualizado.

Ahora bien, además de lo anterior, tenemos casos que también se han visto en los servicios AdWords/AdSense, en donde atacantes contratan espacio publicitario en el servicio de Google, para engañar así a los usuarios.

Como ven, ningún servicio “tercerizado” de publicidad se queda fuera… ni siquiera el gigante Google.

Por esto, cuando pensamos en tercerizar nuestro espacio publicitario, si no tomamos las precauciones necesarias, estamos entregando las llaves de la seguridad de nuestros visitantes. Y si un usuario se infecta al visitar nuestra página, por culpa de un banner, ¿creen que no pensará dos veces antes de volver a visitarnos? Yo, realmente, me cuidaría de volver a visitar un sitio que distribuye publicidad sin control que pueda llevar a la posibilidad de una infección por malware…

“is”

PD: Ampliando el espectro de la publicidad, la utilización de cualquier servicio que no controlemos en su totalidad puede llevar a una situación similar, incluyendo aún el de Blogger (donde está este blog). Por suerte, este servicio no distribuye publicidad (hasta ahora), y si lo hiciera, realmente tendría que ver adonde mudarme para evitar que mis usuarios se vean en riesgo…

Nos van prestando atención

Con el tiempo, y el trabajo, se va notando que de a poco nos van prestando algo de atención como fuente fidedigna de información, lo cual me pone muy contento, y les agradezco expresamente a quienes nos leen.

Algunos lugares donden nos han usado de fuente recientemente:

"Ladran, Sancho. Señal que cabalgamos", decía el Quijote!

"is"

miércoles, 22 de agosto de 2007

El modelo Kübler-Ross de la administración de vulnerabilidades

Esta es una interesante y cómica aplicación de un modelo psicológico de cómo las personas se enfrentan con las tragedias y aquello que los afecta internamente (ver más sobre Kübler-Ross).

  • Negación: Esto no me está pasando a mí, así como con la totalidad del mercado “interno” de software empresarial. Se puede ver por la falta de cualquier contacto de seguridad, vulnerabilidades que deben ser enviadas a soporte técnico, desarrolladores que necesitan que se le explique el concepto de “desbordamiento de pila” (stack overflow). Errores de expansión de meta-caracteres Unix en protocolos de red son un claro indicador.
  • Enojo: ¿Por qué a mí?, así como con Oracle. Se denota por la condena pública de toda investigación en seguridad, a pesar de que 50 billones de dólares invertidos en seguridad apenas es una fracción de lo que Oracle gasta en Control de Calidad básico.

  • Negociando: Solamente dejame vivir para mantener Internet funcionando, como con Cisco. Se ve por políticas ambiguas de revelación de información, parches solamente distribuidos a clientes seleccionados, boletines de seguridad que hablan sobre vulnerabilidades que “pueden, quizás, bajo ciertas circunstancias” permitir ejecución de código en forma remota.

  • Depresión: Ya no puedo soportar continuar, ¿cuál es el sentido de esto?, como sucede con iDefense y Zero Day Initiative. Se denota por la ambivalencia en cuanto a la revelación de información, rendida ante cualquier pretensión de estar trabajando para el bien común.

  • Aceptación: Necesito seguir adelante, como con cualquier proyecto de código abierto, o Microsoft, cuando no están murmullando contra los investigadores de seguridad.
Claramente podemos ver, más allá del tono irónico, varias cosas relacionadas a cómo se manejan los agujeros de seguridad y cómo se quieren comunicar en el ambiente actual.

Fuente: Matasanochargen
Traducción: Mía

martes, 21 de agosto de 2007

El gusano Storm cambia de piel

Internet viene siendo inundada de mensajes de correo electrónico relacionados con un malware en particular conocido como Storm Worm y/o Nuwar, entre varios nombres.

El mismo es una de las razones de los mil y un correos que veníamos recibiendo con tarjetas virtuales, que en realidad, llevaban a sitios de internet desde donde se descargaba el gusano.

En estos días, el gusano ha cambiado de piel, y los correos electrónicos, al menos por el momento, ya no son de tarjetas virtuales (ecards), sino que ahora se trata de mensajes de correo electrónico que incluyen información de acceso a supuestos sitios de descargas de, por ejemplo, ringtones.

Los mensajes están en inglés, e incluyen una dirección web en forma de dirección IP (4 grupos de 2 a 3 números separados por puntos), desde los cuales, si los accedemos, terminaremos descargando el gusano Storm en lugar de lo que se nos invita a descargar.

Este gusano es el responsable de una de las botnets más grandes que se conocen en la actualidad, así que a tener cuidado de no terminar siendo parte de esta red masiva de envio de spam.

"is"

sábado, 18 de agosto de 2007

La importancia de una política de seguridad en las empresas

Una de las cosas que siempre me gusta destacar es que para lograr un alto nivel de seguridad informática es necesario combinar una buena estrategia de implementación y uso de software de seguridad sumada a la educación y formación.

Cuando pensamos en empresas, hay otros factores a considerar, entre ellos, la definición, implementación y constante actualización y monitoreo de una política de seguridad. En términos sencillos, una política de seguridad es una lista detallada de temas sobre lo qué se debe hacer y lo qué no se debe hacer en materia de seguridad de la información.

Incluye aspectos que cubren temas tan diversos como los procesos que deben tenerse en cuenta, el software a utilizar, seguridad física, backup (resguardo), contraseñas, autentifación, control de riesgos, protección, etc.

Resume, en un documento único, más o menos extensa, todo lo que el responsable de seguridad de la información de la empresa debe llevar adelante y controlar, así como lo que todos los recursos y empleados de la empresa deben tener en cuenta para mantener la información lo más segura posible.

Aquí les dejo algunos enlaces para explorar más en el tema:

En toda empresa se debe comprender que una política de seguridad no es necesaria, sino que es una prioridad básica, tan importante como el uso de antivirus y/o la educación de los usuarios, y si realmente quieren tener un nível de seguridad alta, deben contemplarla, implementarla y ejecutarla.

"is"

lunes, 13 de agosto de 2007

Spam en PDF, ZIP, y ahora, FDF...

La tecnología evoluciona, junto con ella también lo hace la informática y la Internet, y obviamente, los creadores de malware así como los responsables detrás del spam no se quedan atrás.

Desde este año hemos visto varios cambios en el spam, específicamente, en el formato en que se envía. De ser simples mensajes de texto plano, texto enriquecido y/o HTML (simil páginas web), ahora estamos viendo otros métodos usados por los "chicos malos".

Primero, se vió el spam en imagenes, sin nada de texto en el mensaje, de manera que las soluciones antispam tuvieran más trabajo que hacer para poder reconocer una imagen que tuviera spam dentro de otra que no.

Luego comenzamos a ver spam en archivos adjuntos; en lugar de enviar el texto del spam en el mismo cuerpo del mensaje, ahora vemos como los spammers envían archivos adjuntos en distintos formatos, como por ejemplo, PDF y algunos pocos casos que he visto por ahí, en formato ZIP.

Este fin de semana me encontré con otro spam en mi bandeja de entrada, que tenía como adjunto un archivo FDF. Ese tipo de archivo puede ser abierto por el mismo software Acrobat Reader que sirve para abrir archivos PDF.

Un análisis reciente de Hispasec mostró que en realidad, internamente, el archivo es un PDF, pero con la extensión cambiada a FDF, seguramente, para poder pasar por sobre los filtros de correo que tengan instaladas las empresas.

Más allá de la noticia en sí, y sin ahondar en ese tema en particular, lo que se está viendo en el bienio 2006-2007 es el hecho de la evolución del spam en materia de contenido, y estamos siendo testigos de las pruebas que los spammers están haciendo, a fin de encontrar nuevas técnicas que puedan darles mejor provecho.

Seguramente, esto no se quede acá. La innovación en materia de spam y malware tiene sus picos y llanos, momentos en los que una técnica es efectiva y usada masivamente, y otros momentos donde vemos saltos a técnicas nuevas. Ahora estamos viendo pruebas, y seguramente los spammers estarán analizando cuál les es más beneficiosa.

La regla en estos casos de spam mediante archivos adjuntos es la misma que se aplica al malware: no abrir archivos adjuntos en mensajes que no hayamos solicitados. Los administradores deben analizar la forma de implementar filtros para evitar que ese tipo de archivos pase por sus servidores de correo.

...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ......

Imaginemos por un momento que el spam en formato PDF se populariza, ya que muchos usuarios hacen click en los mismos, los leen y prestan atención a su contenido (p.e., comprando los productos que allí se ofrecen). En ese caso, ese formato seguramente será también utilizado por los creadores de malware, dado que sabrán que es un vector de ataque posible.

Tengan en cuenta que los creadores de malware analizan las tendencias de los usuarios de internet, y en base a ello deciden sus métodos de propagación. Si prestamos atención al correo no deseado en archivos adjuntos, le estamos diciendo a los creadores de códigos maliciosos que eso es algo que nos interesa, y en cuestión de muy poco tiempo, ellos intentarán aprovechar ese interés enviando malware a través de formatos que sean también utilizados por los spammers.

"is"

domingo, 12 de agosto de 2007

Virus Revealed: Libro sobre virus informáticos

Hay mucha literatura sobre virus informáticos, malware y seguridad de la información, pero en su gran mayoría está en inglés, salvos contados casos. Más allá de eso, hay muchos más libros sobre seguridad informática, que sobre malware.

En este caso, me encontré disponible en Internet (publicado el día de hoy por un sitio web), el libro "Virus Revealed: Understanding and Counter Malicious Software", escrito en el 2001 por David Harley, Robert Slade and Urs Gattiker.

Aunque no es lo más nuevo en cuestión de malware, dado que no contiene información sobre las novedades después del año de publicación, es una buena forma de iniciar la lectura en materia de virus informáticos y relacionados, desde sus comienzos, hasta el pasado reciente, y con bastante información conceptual, bien explicada, que ayudará a muchos a comprender mejor el mundo del malware y cómo mejorar la seguridad de sus computadoras.

Los 3 autores son ampliamente reconocidos en el ambiente de la seguridad, y tienen pergaminos suficientes como para que confíemos en los que nos cuentan en su libro. El único "problema": está en inglés... :)

"is"

PD: ¿Algún voluntario interesado en traducirlo? ;-P

Para la seguridad, siempre hay tiempo (más de Dilbert)

Aunque no está directamente relacionado con la seguridad informático, hay partes del diálogo entre Dilbert y el guardia de seguridad, que realmente, dan que pensar...



"is"

sábado, 11 de agosto de 2007

Una de cal, otra de arena

Bien sabido es que la televisión y el cine no suelen retratar en forma acertada las realidades de la informática, menos aún cuando se tocan los temas de malware, hackers, y demás. Todos (aquellos que vimos la peli) recordaremos la película Swordfish, y el "gusano hidra" que era creado en una super computadora con 9 monitores y un compilador en 3D que creo ningún programador ha visto en su vida.

Estaba leyendo el Blog de Fabio el día de hoy y su post sobre la película Duro de Matar 4, y me encontré con comentarios similares a los que un amigo investigador de malware, Pierre-Marc Bureau, me hizo sobre el mismo tema: los realizadores de cine ni se gastan en ver si lo que hacen, en cuanto a seguridad informática, es válido o no. Los "hackers" en Duro de Matar 4, poco más que son capaces de hacer cualquier cosa, sin importar las medidas de seguridad que puedan existir, y todo en cuestión de segundos. ¿Cómo quieren que aprendamos con seguridad informática así? ;-P

Pero, más allá las mil y un veces que nos encontraremos con todo ese tipo de situaciones sin sentido en las películas, siempre habrá una excepción.

Cambiando de canal en la televisión me encontré con un capítulo de la serie Close to Home, donde se trata un caso en el que las famosas estafas nigerianas por internet son parte esencial, y lo más importante de todo, lo tratan de manera muy seria y detallada. Realmente, para aquellos que nunca han entendido de que se trata una estafa a la nigeriana, les recomiendo ver el capítulo
30
de dicha serie!

Mensaje a todos: lo que vean en la televisión o el cine sobre virus y hackers... ¡no lo crean! Seguramente, va a ser sobredimensionado y/o inexistente... Preferible leer en lugares serios sobre seguridad informática que aprender a través de esos medios :)

"is"

PD: Creo que este es mi post con mayor cantidad de enlaces de la historia ;-P

miércoles, 8 de agosto de 2007

¡Estoy cansado de las tarjetas virtuales!

Todos los días estoy recibiendo varios mensajes de correo que me dicen que un amigo me ha enviado una tarjeta virtual o ecard. "Hey, you have received an ecard from a mate", "Here is your ecard!", es lo que suelen decir los asuntos... entre otras tantas opciones diferentes entre asunto, remitente, contenido, etc...

Lo que es igual en estos casos es el hecho de que no es que sea una persona con tantos amigos como para recibir tantas tarjetas virtuales sino que todas, pero absolutamente todas las que recibo, tienen un enlace que lleva a una página donde, en realidad, no hay ninguna tarjeta virtual, sino un malware de algún tipo y con, seguramente, un fin non-santo.

Tengo que reconocerles que este método realmente debe estar dandoles muchos resultados a los creadores de malware, porque de otra manera, no podría comprender el masivo uso que están haciendo de las falsas tarjetas virtuales para la distribución de códigos maliciosos.

Hay que tener cuidado. Por más lindo que sea que nos envíen tarjetas virtuales nuestros amigos, es necesario buscar la forma de evitar abrirlas, dado que como están las cosas, en el 99.99% de las veces, se va a tratar de un malware. Utilicen un antivirus, no acepten correos no solicitados, y sean un poco más paranoicos...

"is"

martes, 7 de agosto de 2007

¿Qué es un keylogger? (Lección 9)

Vamos a seguir hablando un poco más sobre los distintos miembros de la fauna del malware que siguen existentes en la actualidad.

En este caso, vamos a hablar de los keyloggers. La denominación viene de juntar las palabras keystroke y logger, que en español viene a significar “registrador de teclado”, o similar.

Básicamente, un keylogger es un software capaz de registrar todo aquello que el usuario tipea (ingresa por el teclado de la computadora), guardándolo en un archivo local. Si lo tenemos instalado en nuestro equipo, todo aquello que nosotros tecleemos, será almacenado, ya sean largos textos, usuarios, contraseñas, números de tarjetas de crédito, etc., sin discriminar el contenido.

Desde el comienzo del uso de los keyloggers hasta ahora, estos han evolucionado hasta volverse bastante específicos y ser capaces de saber qué programa se está usando en el momento que el usuario está tecleando, de manera de poder distinguir el contenido.

Existen keyloggers por software (aquellos que se instalan como cualquier otro programa) y por hardware (por ejemplo, dispositivos USB que realizan la misma acción).

El uso que se le da actualmente a este tipo de aplicaciones es el robo de información sensible por parte de los usuarios, para poder luego realizar estafas. Además, los keyloggers han avanzado notablemente, incluyendo la posibilidad de obtener impresiones de pantalla cuando el usuario está en algún sitio en particular, e incluso tomar videos (lo que podría llamarse videologging).

“is”

jueves, 2 de agosto de 2007

¿Cuanto dura un sitio de phishing activo?

Uno de los factores que permite que el phishing sea un ataque informático exitoso es el tiempo en que un sitio falso se pueda mantener activo.

Cuando nos referimos al tiempo activo, hablamos del tiempo entre que es lanzado hasta que el proveedor de internet lo da de baja por ser fraudulento.

Dancho Danchev, experto en seguridad y blogger, nos acerca un estudio sobre el tema, donde comenta que el tiempo activo de un sitio de phishing cambia mucho de país a país. Por ejemplo, en Taiwan, el tiempo promedio según el estudio es de 19 horas, mientras que en Australia es de una semana.

De acuerdo al Anti-Phishing Working Group, el tiempo promedio es de 3.8 días por sitio fraudulento. Esto es sin discriminar por país.

La causa por la que sea más fácil o díficil dar de baja un sitio de estos varia de acuerdo al caso. Por ejemplo:

1. En algunos países existen trabas legales.
2. En otros se tarda menos porque hay menor cantidad de casos, lo cual permite que las fuerzas del orden puedan trabajar mejor.
3. Algunos kits de phishing permiten instalar varios sitios en un solo servidor, así que al dar de baja uno, se dan de baja todos.
4. Cuando el sitio está alojado en la PC de un usuario infectado, la baja es más compleja.
5. Vulnerabilidades XSS que no se corrigen a tiempo en sitios de banca en línea.

El phishing es uno de los mayores problemas de la actualidad, permitiendo a los atacantes usar Internet para realizar estafas, y es importante que toda la comunidad tome conciencia del tema y dedique recursos para intentar resolver esta situación.

El usuario puede colaborar teniendo una protección contra malware activa y actualizada para evitar que su equipo se convierta en un servidor de phishing; las empresas deben tener en cuenta medidas de seguridad para evitar errores en sus plataformas web que faciliten la acción del phishing; los bancos y financieras deben considerar pautas de educación para sus clientes. Combinando esos esfuerzos podemos mejorar la seguridad contra el phishing.

"is"

Más información (en inglés):

miércoles, 1 de agosto de 2007

Seguridad en mensajeria instantánea

Les dejo un video con consejos de especialistas sobre seguridad en mensajeria instantánea, que seguramente les va a ser de utilidad.



"is"