domingo, 28 de diciembre de 2008

Estas fiestas no abras tarjetas virtuales si...

El fin de año y las navidades son momentos en los que nos gusta saludar y recibir saludos, e Internet ha permitido hacerlo mucho más fácil que nunca, gracias a las tarjetas virtuales. Las hay de todo tipo y en todos los idiomas, y a muy poca gente le disgusta recibirlas, porque eso significa que alguien se ha acordado de uno.

Sin embargo, las tarjetas virtuales no dejan de ser uno de los principales vectores de distribución de malware durante estas épocas, ya que al haber tantas legítimas que son enviadas y recibidas es fácil engañar al usuario a que abra una que pueda dañarlo sin que note la diferencia.

La recomendación simplista sería decir "no abras ninguna tarjeta virtual navideña o de fin de año", porque entre medio de las que recibas puede haber alguna que se te haya enviado con fines maliciosos, pero es lógico que nadie - o casi nadie - seguirá ese consejo.

Entonces, lo que personalmente recomiendo es que nadie abra tarjetas virtuales si no lleva a cabo primero los siguientes pasos:

  • Tiene la última versión de su navegador. No contar con la última versión del navegador que uses (sea Internet Explorer, Firefox ú otro), deja la puerta abierta a que se utilicen vulnerabilidades del mismo para instala malware en tu sistema sin que lo sepas.
  • Tiene la última versión de Adobe Flash Player. Al ser uno de los componentes de navegación más utilizado, es un vector normal de distribución de malware, por lo que mantenerlo al día es muy importante, sobre todo, porque es lo que necesita un equipo para poder mostrar muchas de las tarjetas virtuales animadas.
  • Tiene las actualizaciones de su sistema operativo instaladas. Si usas Windows, puedes comprobarlo ingresando a http://www.windowsupdate.com/
  • La tarjeta virtual tiene tus datos reales y los de un remitente conocido, es decir, que esté dirigida a tí, con tu nombre y el nombre de alguien que conozcas. Si tiene datos genéricos, seguramente no fue enviada solo a tí, sino a mucha otra gente, y entonces hay posibilidades que sea un malware.
Además, si al abrir la tarjeta virtual se te pide que instales o descargues algo adicional para verlo, no lo hagas, porque ese "algo adicional" puede tranquilamente ser un código malicioso y en lugar de recibir un saludo de felices fiestas, terminarás con el equipo infectado por algún malware que te hará pasar un fin de año incomodo intentando quitarlo.

Ahora sí, con estas simples recomendaciones, espero pasen un excelente fin de año, en familia y con amigos, y que comiencen el 2009 un poco más seguros mientras navegan por Internet.

/is

jueves, 11 de diciembre de 2008

Malas prácticas de seguridad de la información para la casa y la oficina

Ayer recibí un mensaje de correo electrónico desde BDO Becher, firma argentina de auditores y consultores con la que no tengo relación alguna. El mensaje estaba titulado “Buenas prácticas de seguridad de la información para la casa y la oficina” y pueden verlo a continuación:


Como pueden ver en la imagen, el mensaje contiene un archivo adjunto, que en teoría, tiene consejos sobre seguridad de la información como iniciativa por la Semana de la Seguridad Informática.

Me parece loable la iniciativa, pero la forma de implementarla va completamente en contra de las buenas prácticas que BDO Becher pregona en su correo, e incluso, se contradice con las recomendaciones incluidas en el documento adjunto.

En primer lugar, el correo me fue enviado sin haberlo solicitado, dado que nunca jamás solicite nada de BDO Becher ni tengo relación alguna con ellos, por lo que, en cuanto a mi respecta, esto es simplemente un SPAM (correo no solicitado) y así lo clasifique en mi cliente de correo.

Luego, el mensaje tiene un archivo adjunto, lo cual es una práctica que debe ser evitada por cualquier empresa dedicada a la seguridad informática. Justamente, si recibo un correo de alguien que no solicite (como es este caso) y el mismo tiene un archivo adjunto, lo primero que debo hacer es desconfiar del mismo, porque esa es exactamente la práctica llevada adelante por quienes distribuyen malware.

Llevando adelante esta iniciativa de esta manera, BDO Becher justamente no está promoviendo “Buenas Prácticas” sino todo lo contrario, dado que está haciendo lo completamente opuesto a lo que recomienda.

La intención es buena, pero el método elegido para llevarla a cabo es erróneo, y “enseña” a los usuarios a confiar en cosas (mensajes no solicitados, archivos adjuntos) de las que deben desconfiar en forma automática y eso, indirectamente, incrementa la inseguridad informática.

/is

NOTA: Vale aclarar que el correo NO contiene malware y el contenido del documento, pese a todo, incluye buenas recomendaciones...

jueves, 27 de noviembre de 2008

Cuidado donde metes la memoria

El buen Microsaurio de Tecnozona comentó esta semana una interesante anécdota que sirve para entender que el malware está en todos lados y no solo te puede llegar a infectar por andar navegando por Internet.

En la noticia en cuestión, comenta el caso de una persona cuya memoria de la cámara de fotos terminó infectada por un código malicioso solamente por llevarla a una casa de fotografía para realizar copias a través de las terminales de autoservicio cada vez más comunes.

Resulta que dichas terminales utilizan, en muchos casos, sistemas operativos como Windows, y por ende, pueden infectarse como cualquier otra cosa. Al meter tu memoria en uno de ellos terminas ante la posibilidad de que en ella se copie un malware y luego cuando la conectes a tu computadora para ver las fotos que sacaste con tu cámara, también termine infectado tu equipo informático.

Es muy importante que tengamos en cuenta que cualquier medio de almacenamiento (tarjetas de memoria, llaves usb, etc) puede ser utilizado para distribuir malware, y que muchos de los creadores de código malicioso agregan rutinas a sus desarrollos para que detecten si se conecta algo a la computadora a fin de automáticamente copiar un malware allí.

La noticia original está en:

http://www.tecnozona.com/?q=node/2208

/is

miércoles, 26 de noviembre de 2008

Blogueando en Revista ITNow

Desde hace poco fui inviado a bloguear en una nueva sección de la revista ITNow, uno de los principales medios de tecnología de Centroamérica. La idea me pareció muy interesante dado que me permitió tratar otros temas distintos a los que, ahora esporadicamente, suelo tratar aquí, dado que tiene un perfil de lector bien homogeneo.

Para quienes deseen seguir lo que vaya publicando allí, los invito a visitar el sitio donde se van publicando esos posts:

http://www.revistaitnow.com/blog/category/14

Hasta ahora, he venido tratando temas relacionados al manejo del presupuesto en TI y Seguridad de la Información. Espero les resulte interesante y estoy abierto a escuchar ideas para seguir desarrollando nuevos temas.

/is

martes, 25 de noviembre de 2008

Malware desde fábrica (IV), esta vez le toca a Lenovo

Mes y medio atrás comentaba como se hizo público que como unas máquinas de Asus habían sido lanzadas al mercado con un malware. Ahora, se está comentando uno de los últimos casos que está relacionado con Lenovo.

Este tipo de incidentes no es ninguna novedad, y en realidad es algo cada vez más común, y es un reflejo claro de la falta de políticas de seguridad informática por parte de las compañías donde empresas como Lenovo tercerizan procesos y servicios.

Lenovo (y otras empresas como ellos) seguramente tiene políticas internas de seguridad informática con altos niveles de control y monitoreo, pero para ciertas cosas, tienen proveedores externos que se encargan, de entre otras cosas, liberar software, actualizaciones, hacer controles, etc.

Estos proveedores externos seguramente no tienen tan férreas políticas internas de control, o incluso es posible que también tercericen parte de su carga laboral.

Es ahí donde está la debilidad de dicho modelo de lanzamiento de hardware y software, dado que esos entornos tercerizados pueden incluso no tener software antivirus actualizado y/o controles de liberación de software basados en criterios de control de calidad.

Tanta noticia en este año respecto a esto debería llevar a replantear estos procesos, porque más allá que luego empresas como Lenovo provean soluciones, con el objetivo económico que existe detrás del malware, los usuarios pueden verse altamente perjudicados sin saberlo.

/is

domingo, 23 de noviembre de 2008

Feliz Año Mundo Binario!

Hace tan solo unos días, el blog de Sebastián, Un Mundo Binario, alcanzó su primer año de vida, así que aprovecho este espacio para felicitarlo, y además invitarlos a todos a que lo visiten, dado que tiene contenidos y aportes de alta calidad.

¡Seguí así Sebastián! ¡Felicidades!

/is

sábado, 22 de noviembre de 2008

La crisis y el malware

Cuando algún evento de alcance mundial alcanza gran relevancia, es lógico que quienes están detrás de la creación de malware y otras amenazas informáticas intenten aprovecharlo de alguna forma.

Una de las primeras formas en que lo hacen es modificando sus ataques para aprovechar el momento, a través de distintas técnicas de lo que se conoce como Ingeniería Social.

Con la actual incertidumbre financiera y económica mundial era de esperarse que el tema comenzara a aprovecharse, y ya se están comenzando a ver modificaciones en los mensajes utilizados en los ataques de phishing.

Lo que están haciendo es agregar comentarios más actuales a los contenidos de dichos mensajes, sobre adquisiciones de distintos bancos, a fin de que el recipiente del correo crea que realmente está recibiendo el mensaje porque su banco fue adquirido por otro y que por eso debe confirmar sus datos.

En uno de los tantos blogs de Microsoft, el de “Security Tips & Talk”, se hicieron eco de esto recientemente.

A estar atentos, la mejor forma de evitar el phishing es nunca jamás hacer click en los enlaces de mensajes de correo electrónico recibidos y que no fueron solicitados, sin importar de donde vengan.

/is

viernes, 21 de noviembre de 2008

AMTSO

AMTSO es la Organización de Estándares de Evaluación Anti-Malware, que fue fundada este año y núclea a más de 40 miembros de la industria antivirus, organizaciones de evaluación y laboratorios independientes, entre otros.

El objetivo de AMTSO es trabajar en el desarrollo de metodologías válidas para la evaluación y comparación de las soluciones de seguridad informática contra códigos maliciosos de todo tipo, con el fin de que las mismas tengan una base científica de desarrollo, así como que sus resultados sean de relevancia para usuarios y empresas.

Uno de los aspectos más interesantes de esta iniciativa es que la gran mayoría de las casas antivirus forman parte de ella y trabajan por un interés común, lo cual es algo inédito en la industria.

Hace tan solo unas semanas han publicado sus primeros documentos, los cuales están disponible en su sitio web (en inglés) así como han sido traducidos al español y publicados por varios de los miembros de AMTSO, como por ejemplo, Hispasec.

Los mismos pueden ser descargados desde las siguientes direcciones:

- Documentos AMTSO en Inglés
- Documentos AMTSO en Español

Les recomiendo visitar el sitio y su blog, dado que permiten conocer mucho sobre lo realmente necesario para entender las evaluaciones de productos de seguridad y las formas correctas de llevarlas a cabo.

/is

lunes, 10 de noviembre de 2008

Cuando el filtro de spam se pasa de listo

Como varios habrán visto en posts anteriores, soy un fanático de Dilbert y realmente me gusta mucho como Scott Adams, su creador, presenta algunas situaciones relacionadas con la seguridad informática.

En la última tira de cómic - en inglés - Dilbert se encuentra con un problema en el filtro antispam de la empresa:

Dilbert.com

Para los que no leen inglés, se los traduzco a continuación:

- Dilbert: "Nuestro filtro antispam se ha vuelto consciente de si mismo"
- Dilbert: "Está administrando la compañía, decidiendo qué mensajes debe dejar pasar."
- Jefe de Dilbert: "Todo lo que estoy recibiendo son mensajes sobre la caída del cabello y... Oh! Otro acierto más..."

Más allá del humor, en más de una empresa se debe uno sentir "manejado" por su filtro antispam...

/is

domingo, 9 de noviembre de 2008

Vulnerabilidades en reproductor Adobe Flash

Unos 20 días atrás les avisaba que habia una nueva versión del Adobe Flash Player pero que al momento de lanzarla no se conocía ninguna vulnerabilidad.

En un boletín de seguridad reciente de Adobe se informaron varias vulnerabilidades existentes en la versión anterior del reproducto (9.0.0.124) por lo que ahora si les recomiendo sí o sí actualizarse a la última versión del navegador (10.0.12.36) a través del siguiente enlace:

http://www.adobe.com/go/getflash

Haganme caso...

/is

PD: Como siempre, si no saben que versión del reproductor de Adobe Flash tienen, el detector de versión que está en la barra derecha de este blog se lo informará :-)

domingo, 2 de noviembre de 2008

10 años de una-al-dia... ¡Felicitaciones!

El boletín una-al-dia de los amigos de Hispasec ha cumplido 10 años y quiero aprovechar este especio para felicitarlos por tamaño logro... Creo que debe ser uno de los pocos boletines de seguridad informática que han alcanzado 10 años ininterrumpidos de existencia, y sin perder nunca la calidad de sus publicaciones.

Soy un seguidor del trabajo realizado por Bernardo, Antonio (x2), Sergio y el resto de los pioneros españoles que están detrás de Hispasec. Sin dudas, expertos de verdad en materia de seguridad informática y cuyo trabajo merece el debido reconocimiento.

Así que, ¡felicitaciones y enhorabuena!

/is

jueves, 23 de octubre de 2008

Grave vulnerabilidad en Windows (en serio)

No me gustan los títulos que parecen sensacionalistas pero este tema amerita llamar la atención mediante un titulo igualmente llamativo.

Microsoft liberó hoy un boletín de seguridad, con actualización de software incluida, debido a una grave vulnerabilidad descubierta en casi todas las versiones vigentes de Windows, desde 2000 hasta el Server 2008.

No quiero entrar en detalles técnicos ya que el mismo boletín los cubre en detalle, pero básicamente, el problema se encuentra en que debido a un agujero de seguridad en el servicio RPC de Windows es posible realizar ataques remotos a equipos vulnerables a fin de ejecutar cualquier tipo de acción en los mismos sin el consentimiento del usuario.

Este tipo de vulnerabilidad es de gravedad crítica aunque existen varios aspectos que la mitigan notablemente:

  • Dentro de una red corporativa con un firewall correctamente configurado no debería existir la posibilidad de que se den ataques externos (aunque si internos)
  • Si el usuario utiliza otro firewall distinto del de Windows en su equipo, y dicho firewall bloquea las conexiones externas al servicio RPC en los puertos 139 y 445 (lo lógico por defecto), tampoco podría darse el ataque
  • Si la conexión de la red hogareña es a través de un router que también bloquea dichas conexiones, tampoco se podrían dar los ataques desde el exterior

La mayor preocupación que produce esta vulnerabilidad yace en el hecho de que ya se han visto ataques, debido a que ya se han publicado, en ciertos círculos, los exploits necesarios para aprovecharla.

Esto motivó que Microsoft liberará un boletín de seguridad, con los parches necesarios para resolver el problema, fuera de su ciclo normal de actualizaciones.

A parchear (instalar la actualización) para evitar caer victima de alguno de los ataques que se pueden llegar a producir.

Más información en:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

/is

miércoles, 22 de octubre de 2008

Nuevas herramientas del Microsoft SDL próximamente

En Junio comentaba la apertura del Microsoft Security Development Lifecycle, una interesante iniciativa de la empresa de Bill Gates para el desarrollo de aplicaciones en forma segura.

Hasta ahora, dicha iniciativa constaba principalmente de una serie de documentaciones y recomendaciones describiendo lo que Microsoft propone para lograr la creación y mantenimiento de soluciones de software con un alto grado de seguridad.

Ahora, se están agregando varias herramientas a la iniciativa, que estarán disponibles en breve, y de las cuales existen dos de alto interes para aquellos equipos de programadores que quieran mejorar los procesos de desarrollo de sus aplicaciones.

Una de ellas es un modelo de optimización (SDL Optimization Model) que estará pronto disponible para descarga desde el sitio de Microsoft y tiene como objetivo facilitar la implementación de SDL.

La otra que me ha resultado interesante es una herramienta de modelaje de amenazas (Microsoft SDL Threat Modeling Tool 3.0) que permitirá realizar un analisis estructurado para la mitigación de potenciales riesgos de seguridad en el desarrollo de aplicaciones.

La iniciativa SDL de Microsoft me parece que tiene varios aspectos muy positivos, tanto para la comunidad de desarrolladores como para conocer en detalle cómo son pensadas y desarrolladas las aplicaciones de la empresa.

Interesante lectura para todos los interesados, que está disponible en el siguiente enlace:

http://msdn.microsoft.com/es-es/security/cc967276(en-us).aspx

/is

miércoles, 15 de octubre de 2008

Nueva versión de Adobe Flash Player

Adobe lanzó una nueva versión de los plugin para navegadores del Adobe Flash Player, la 10.0.12.36, la cual reemplaza a la anterior 9.0.0.124. Sin embargo, no se debió a problemas de seguridad, sino a la actualízación necesaria para soportar las nuevas funcionalidades de las aplicaciones de Adobe.

Si quieren actualizar, o consultar qué versión tienen instalada, podrán hacerlo desde este blog, donde encontrarán en la barra derecha la información que brinda la herramienta que hice para chequear la versión de Adobe Flash Player que tienen instalada quienes visitan la página.

/is

jueves, 9 de octubre de 2008

Mes del Cyber Security Awareness del ISC / SANS

Tal como comenté el año pasado, Octubre es el mes de la campaña de awareness del Internet Security Center del SANS, y en esta ocasión, en el Handler's Diary, están dando consejos diarios sobre manejo de incidentes relacionados a la seguridad informática.

Estos consejos han comenzado desde la preparación previa necesaria para poder luego responder a incidentes, para luego pasar por las distintas etapas propuestas por el SANS, como la identificación, la Contención, la Erradicación, la Recuperación y las lecciones aprendidas por el incidente.

Les recuerdo que la información está en inglés, y les recomiendo leer estos consejos, dado que dan un paneo interesante de lo necesario para detectar y responder ante un incidente de seguridad.

miércoles, 8 de octubre de 2008

8 años después, la futurología acierta en una

Hace casi ocho años escribí un artículo llamado “Virus: ayer, hoy y mañana”, el cual volvió a mi mente luego de ver en el blog de Segu-info un interesante artículo que no sé como se me pasó de largo.

En aquel artículo me animaba a hacer algo de futurología, así como a comentar otras tantas “profecías” de otros tantos que escribían sobre seguridad en aquellas épocas.

Releer ese artículo (además de hacerme sentir un tanto “antiguo” por no decir viejo) y conectarlo al que comentaré a continuación, realmente, me ha sorprendido en cuanto al acierto de uno de los párrafos donde hacía futurología.

En dicho párrafo hablaba sobre cómo se venía comentando que a medida que se conectaran más y más dispositivos a Internet, también se ampliaba el horizonte a los virus informáticos y demás amenazas similares.

Bueno, un artículo escrito por David Martin para Muy Computer hace referencia a una vulnerabilidad (o serie de ellas) en una cafetera inteligente con conexión a Internet que permitiría no solo atacar a dicho dispositivo sino también utilizarlo como puente para acceder a otros equipos en la misma red donde se encuentre.

Esto es posible a que dicha cafetera tiene un pequeño sistema operativo, con el objetivo de que pueda ser más inteligente, conectarse a Internet e incluirse ser reparada, lógicamente hablando, a través de la red por los técnicos del fabricante.

Al tener dicho software (o firmware, hablando en mejores terminos) incluido, la cafetera es susceptible de los mismos fallos que cualquier otro dispositivo conectado a la red, y por ende, puede tener agujeros de seguridad, tal como se comenta en el artículo de David que se descubrió en este caso.

Este hecho demuestra claramente que los ataques y amenazas informáticos van teniendo otros lugares adonde ir, tal y como se pensaba en aquella época, y que a veces, solo a veces, cuando se habla de lo que se viene, no es por alarmar infundadamente, ya que, aunque lleve tiempo, si la advertencia tiene fundamento técnico, puede llegar a hacerse realidad.

/is

Malware desde fábrica (III) y ¡atenti periodistas!

En sendos posts hace unos meses informaba sobre cómo es posible que algunos dispositivos de hardware, e incluso software varios, completamente legales, pueden llegar a nosotros con malware incluido, por errores de control de calidad en el proceso de liberación de nuevos productos por parte de los fabricantes.

¡Ojo! No lo hacen a propósito, sino que debido a que los procesos internos de algunos fabricantes son bastante "complejos" y que no siempre incluyen todas las medidas de seguridad que harían falta, se dan casos esporádicos donde nuevos productos salen al mercado con códigos maliciosos incluidos.

El último caso detectado fue reportado hoy por el medio británico “The Register” e informa sobre como una partida del modelo desktop de la Asus Eee PC (no las mini-notebooks, sino las PCs de escritorios) estaban infectados por un malware.

Según Asus, esto solo pasó con un modelo particular, el Asus Eee Box de 80 GB y en la partida que se envió a Japón para su comercialización.

El problema no tiene nada de “anormal” respecto a los anteriores, pero nos recuerda que debemos estar atentos a que tan seguras son las cosas que adquirimos, aunque segundos antes los hayamos sacado, nuevos y relucientes, de su caja.

Ahora bien, lo interesante de la noticia escrita por Tony Smith para The Register, es el comentario que hace respecto a que un Eee Box que recibió para hacer una revisión (review en inglés) también estaba infectado por malware.

La duda que le quedó al periodista es si eso se debio a problemas de fábrica o a que la misma se hubiera infectado por aquellos que hayan recibido la máquina para probar antes de ellos…

En sus propias palabras:

“En este momento, no queda claro si la infección que encontramos estaba presente desde el comienzo, o si fue accidentalmente agregada por un revisor anterior.”

Entonces, ¡Atenti periodistas! Es claro que no todos utilizamos las recomendaciones de seguridad básicas en nuestras computadoras personales, por lo que seguramente menos lo haremos en equipos que nos presten, sobre todo cuando los mismos andan pasando de mano en mano porque son provistos para los fabricantes para las pruebas.

Por lo que si ud., querido lector, es un periodista y/o blogger que reviews sobre software y/o hardware en su medio, antes de “enchufarlo”, revise si el mismo no trae de “regalo sorpresa” algún bichito. Si esto pasa en Inglaterra, ¿por qué no va a pasar por estos lugares?”

/is

lunes, 6 de octubre de 2008

¿Se puede alguna vez estar seguro?

Hace unos días, Sebastián publicaba un post titulado “¿Cómo sé que estoy seguro?” en su blog Un Mundo Binario que me llevó a reflexionar sobre el tema y si realmente en algún momento es posible estar seguro.

En su entrada, Sebastián comenta cómo el tema surgió en una de las listas de correo de Security Focus y distintas impresiones de los que participaron del tema así como de las suyas propias. Recomiendo su lectura porque realmente el post da en el clavo en muchos temas.

La conclusión a la que se llega tras analizar en detalle la pregunta y las posibles respuestas que se puedan dar la misma en que uno nunca puede saber si está realmente seguro.

Suena melodramático, alarmista y muy pesimista, pero como siempre digo, la informática e Internet, en cuanto a seguridad, no son otra cosa que un reflejo del mundo “real”. ¿Podemos saber con certeza si cuando salimos a la calle todos los días estamos 100 % seguros? No; por lo tanto, tampoco podemos responder afirmativamente a la pregunta de si nuestra computadora de casa, nuestra red hogareña o la propia infraestructura tecnológica de nuestra empresa lo están.

Existen un sinfín de medidas de seguridad y recaudos que podemos tomar para estar seguros en Internet, desde la instalación de software antivirus y firewall, la actualización de nuestro sistema operativo, navegador y demás aplicaciones que tengamos, el llevar adelante prácticas seguras al utilizar la PC, pero pese a ello, podemos igual seguir teniendo una probabilidad de enfrentarnos a problemas de seguridad.

Aunque nos diga que estamos protegidos, el antivirus puede haber dejado pasar una amenaza sin detectarla y comprometer la seguridad de nuestro equipo; nuestro sistema operativo o navegador puede ser vulnerable a algún agujero de seguridad desconocido (0-day) y nosotros no saberlo; ese sitio de Internet al que le tenemos confianza e ingresamos siempre, puede haber sido comprometido por un atacante y por ello ser un riesgo para nosotros visitarlo…. La lista de posibilidades podría seguir indefinidamente.

La búsqueda de un entorno seguro, ya sea en el hogar como en la empresa, puede tener como objetivo último alcanzar un 100 % de protección, pero dicho número “mágico” es un tanto utópico.

Dada la gran cantidad de problemas de seguridad a los que podemos enfrentarnos en la Internet de estos días, es cada vez más importante que tengamos en cuenta que tomar medidas preventivas y educarnos (y educar a otros) en materia de seguridad es primordial para maximizar la seguridad al máximo posible. Y si queremos agregar medidas, tenemos que realizar resguardos (backups), y en las empresas debemos contar con planes de contingencia y de continuidad del negocio.

Pero, más allá de lo anterior, siempre debemos tener en cuenta que no importa lo que hagamos, siempre existe la posibilidad de un incidente de seguridad, porque no es posible responder afirmativamente, con un 100 %, a la pregunta que planteo en mi post, pero si podemos responder que hemos tomado todas las medidas necesarias para intentar lograrlo.

Conocer el alcance de nuestras acciones y las debilidades que podemos tener en nuestros sistemas es uno de los primeros pasos para poder realmente alcanzar un alto nivel de seguridad.

/is

domingo, 5 de octubre de 2008

Actualicen Flash de una vez (III)

Pasaron varias veces desde que implementé la pequeña herramienta que ven a la derecha de este blog y que detecta que versión de Adobe Flash Player tienen instalada uds. en sus computadoras.

Adobe Flash Player es uno de los plugin de navegadores más utilizados dado que es el que permite visualizar muchas de las animaciones que se encuentran en millones de páginas de Internet. Por ejemplo, sin dicho plugin, no podrías ver los videos de Youtube.

Luego de crear dicha herramienta, escribí dos veces sobre qué porcentaje de uds., los visitantes de este blog, tienen actualizado dicho plugin y cuántos no. Esto debido a que tener un plugin vulnerable, hace que tu equipo sea susceptible de verse afectado por un malware que aproveche dicho agujero de seguridad, y siendo el Adobe Flash Player tan utilizado (+99 % de los visitantes del blog lo tienen instalado) es algo que da para preocuparse.

Sin embargo, habiendo pasado casi 4 meses desde entonces, las estadísticas de actualización no han mejorado demasiado...

  • Al 21 de Julio pasado, el 55 % de los visitantes del blog tenían la última versión de Adobe Flash Player
  • Hoy, solo son el 62,83 %, es decir, un 7 % más que hace 3 meses y tantos días. Hablando en cristiano, más de 1 de cada 3 visitantes son vulnerables.
El mayor problema de esto es que el Adobe Flash Player es multiplataforma, ya que existen versiones para los principales sistemas operativos, incluyendo Windows y Linux, así como los principales navegadores, sino todos ellos, y si tenés una versión vulnerable del mismo, no importa qué tan seguro creas que estás, dado que estás dejando una ventana abierta a cualquier tipo de ataque que aproveche esta vulnerabilidad.

Por ello, chequea si tenés la última versión, y si no es así, instala ya mismo la última versión del Adobe Flash Player. Después, no digas que no te avisé...

/is

sábado, 4 de octubre de 2008

Si no evolucionamos nosotros, menos lo hará el resto

El otro día, Martín publicó un post en su blog sobre un tema que muestra una triste involución en la industria antivirus, titulado "Antivirus, y la eterna guerra por ver quién la tiene más larga".

Antes de seguir leyendo, tengan en cuenta que trabajo en una empresa antivirus que no es nombrada en el post. Daré mi opinión personal pero obviamente se pueden dar lecturas subjetivas de la misma :-)

Martín hace referencia a una "lucha" que existe desde los inicios de la industria antivirus, y está basada en la cuestionable cantidad de malware que cada compañía antivirus informa detectar. Cuando los antivirus comenzaban y estaban estrictamente basados en firmas únicas, es decir, por cada virus existente debían agregar un registro en su base de datos de detecciones, el número de códigos maliciosos reconocidos era un valor muy importante para comparar soluciones.

Pero eso fue quedando en el tiempo a medida que las detecciones genéricas comenzaron a aparecer a partir de los virus polimorficos y las familias de malware que mantenían similitudes entre ellas. A partir de entonces, un registro en la base de datos de firmas podía llegar a detectar 1 o varios códigos maliciosos distintos, por lo que el número informado por los antivirus comenzó a ser relativo. Con la aparición de distintas técnicas proactivas de detección como la heurística y los bloqueadores de comportamiento, que se enfocan no en los códigos conocidos sino en los desconocidos, el número no solo dejó de tener valor, sino que pasó a ser completamente inútil, dado que no se puede enumerar la cantidad de códigos susceptibles de ser detectados por cada tecnología proactiva.

Desterrar ese concepto de la mente de los usuarios llevó años, y ahora cuando la mayoría de los mismos entiende que es un dato inocuo, parece que la guerra se reaviva, tal y como marca Martín, lo cual es una triste involución de la industria, al menos desde el punto de vista de la comunicación.

Lamentablemente, esta es una clara muestra de que a la educación de los usuarios no está en la agenda de todos los que formamos parte de la industria, y que es dañino para que la seguridad de internet siga mejorando. Si no informamos y educamos responsablemente a los usuarios, estamos atentando contra su seguridad, y yendo en contra de la realidad. Hablar de cantidades que detecta o no un antivirus es realmente denostar los avances en los campos de detección proactiva. Si el mensaje que comunica la industria no evoluciona, menos podremos hacer que la seguridad evolucione y mejore.

Espero, sinceramente, que esto solo quede como una anecdota pasajera...

/is

viernes, 3 de octubre de 2008

El MSN y el malware

 El otro día una visitante de este blog dejó un comentario preguntando sobre si una cosa que había recibido por MSN era un malware o no, y que debía hacer al respecto.

Como no estaba relacionado directamente con el post donde se comentó, preferí moderarlo y aprovechar otra entrada para contestar algo que, seguramente, muchos se preguntan o tienen dudas al respecto.

Hace un par de meses, como parte de la serie de aprendizaje, escribí sobre cómo la mensajería instantánea (por ejemplo, el MSN) es una de las formas a través de la que el malware puede ingresar a un sistema.

Lo que le sucedió a este visitante en particular (a.k.a. foxycar) fue:

  • Recibió un enlace a través de un mensaje del MSN por parte de un amigo
  • Hizo click en el enlace, descargó el ZIP al que apuntaba, lo descomprimió
  • Ejecuto el contenido del mensaje
  • Aparentemente nada pasó...
Lo que en realidad terminó sucediendo fue:
  • El amigo de foxycar estaba infectado por un malware
  • Dicho malware envió mensajes instantáneos con un enlace para seguir reproduciendose a toda la lista de contactos de ella
  • foxycar no se dió cuenta que era un malware, su antivirus tampoco lo detectó y por ende, lo ejecutó
  • El malware, al ejecutarse, no muestra ninguna ventana ni nada, sino que realiza todas sus acciones en forma oculta
  • El equipo de foxycar ahora está infectado
Lo que debería haber hecho ella es:
  • Al recibir un enlace a través del MSN que no solicitó, debería haber confirmado con el usuario que lo envió para saber qué era
  • Seguramente el usuario no le hubiera respondido porque no estaba frente a la computadora y/o le hubiera dicho "¿qué enlace?"
  • foxycar debería haber entonces dudado de la "seguridad" de dicho enlace y no haberlo descargado y asi su equipo no estaría hoy infectado
Este tipo de situaciones son muy normales día a día dado que la mensajería instantánea es un vector relevante de distribución de malware y mucha gente no está al tanto de ello. Es prioritario que todos tengamos un poco más de precaución al manejarnos por internet dado que el malware no solo llega a través de personas desconocidas, sino que si nuestros conocidos se infectan con el mismo, también por ellos podremos llegar a recibirlo.

A estar atentos, que hay mucho malware dando vuelta...

/is

jueves, 18 de septiembre de 2008

CEOs y CIOs no se ponen de acuerdo

De acuerdo a la información recolectada y analizada por IDC Cono Sur, los CEOs (Ejecutivos Generales) y CIOs (Gerentes y/o Directores de Sistemas y/o Informática) de las empresas no están de acuerdo en el grado de importancia que tiene la seguridad de la información en la compañía.

Esto se desprende de lo comunicado hoy en el 2008 Information Security & Business Continuity Conference de IDC.

Por un lado, los CEOs le dan mayor importancia a la confiabilidad, costo y performance de todo lo relacionado con la IT, mientras que los CIOs invierten más en seguridad, luego en el ERP y luego en el CRM de la empresa. Los datos se basan en encuestas a empresas de más de 100 empleados en el Cono Sur de América.

Para los CEOs, la seguridad queda en el cuarto puesto, mientras que para los CIOs en el primero, una clara muestra de la diferencia de prioridad entre los que definen la estrategia de la empresa y de los que deben dar el soporte de sistemas para que el negocio pueda desarrollarse.

Esto nos lleva a darnos cuenta de las razones del por qué aún falta mucho por hacer en materia de concientización sobre la relevancia de la seguridad informática como parte inherente al negocio en si mismo y la necesidad de trabajar arduamente para que todos los elementos de la pirámide corporativa se enteren de ellos. Claramente, hace falta más y más capacitación en el tema.

Fuente: Bloggers Report

viernes, 12 de septiembre de 2008

Un par de cursos de seguridad informática en línea

Durante esta semana me enteré que Microsoft lanzó su Value Academy, una plataforma de educación virtual, gratuita, que entre otras cosas, incluye una carrera de seguridad que por lo que estuve revisando está bastante interesante.

Esto me dio pie también para comentar la existencia de otra plataforma gratuita de educación en seguridad informática que lleva adelante la empresa ESET (*).

Les recomiendo darle una visita a ambas plataformas porque el contenido es interesante, se dan certificados (en línea) y sirven para aprender más sobre seguridad informática:

http://www.mslatam.com/latam/technet/mva/home.aspx
http://edu.eset-la.com

Que aprendan mucho :-)


(*) Disclaimer: desempeño mi carrera profesional en dicha empresa desde mediados del 2004.

martes, 9 de septiembre de 2008

Confirme el Acuerdo de Licencia (Beta) para continuar

Bastante lío se armó la semana pasada con el Acuerdo de Licencia de Usuario Final (EULA en inglés) del nuevo navegador Google Chrome. El mismo contenía una sección, más específicamente, la número 11, que se reservaba algunos derechos interesantes y un tanto “amplios”, por llamarlos de alguna manera.

Para el que no conozca lo que es el Acuerdo de Licencia de Usuario Final, les recomiendo leer al respecto en el siguiente enlace:

http://es.wikipedia.org/wiki/CLUF

La sección 11 del EULA de Chrome decía lo siguiente:

"a perpetual, irrevocable, worldwide, royalty-free, and non-exclusive license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content which you submit, post or display on or through, the Services"

Para el que no sabe inglés, dice algo como “una licencia perpetua, irrevocable, mundial, sin costo y no exclusiva para reproducir, adaptar, modificar, traducir, publicar, utilizar y mostrar públicamente, y distribuir cualquier contenido que Ud. envíe, publique o muestre en o a través de los Servicios” de Google.

Al día siguiente Google la cambió, y en los siguientes posts hay varias respuestas oficiales al respecto:

http://googleblog.blogspot.com/2008/09/update-to-google-chromes-terms-of.html

http://www.mattcutts.com/blog/google-chrome-license-agreement/

Según Google, todo se debió a un error, se utilizaron partes de EULA que usan en otros servicios, y “bueno, lo sentimos mucho”.

El problema con esto es que normalmente ninguno de nosotros lee los acuerdos de licencia, y ésta es una clara muestra de ello. El acuerdo de licencia es lo que dictamina los términos del servicio o software que estamos utilizando, y si los aceptamos, estamos aceptando también dichas condiciones. Y si las condiciones dicen que se puede hacer lo que el fabricante o proveedor quiera con los datos que incluyamos en el servicio o software, nosotros las habremos aprobado al aceptar el EULA.

Con tanto software beta dando vueltas, los EULA beta ya están entre nosotros, y bueno, los fabricantes los cambiarán cuando tengan ganas y nosotros no les prestaremos atención. Y un día vamos a ver las fotos de nuestras vacaciones en algún otro sitio, iremos a protestar, y será porque utilizamos algún software cuyo EULA decía que podía tomar nuestra información sin problemas (y cosas como estas ya han pasado ;-P)

A prestar un poco de atención a donde hacemos click, que no hace daño, al menos no tanto como el que podemos sufrir luego del click :-)

miércoles, 3 de septiembre de 2008

Una nueva fuente de vulnerabilidades: Google Chrome

El título puede ser un tanto "tremendista", pero hace honor a la realidad que la Internet nos depara a diario. Google ha lanzado ayer su propio navegador web, que competirá por el gusto de los usuarios contra Internet Explorer, Mozilla Firefox y Opera, y se llama Google Chrome.

No pasaron 24 horas que ya se encontró que este nuevo navegador contiene vulnerabilidades y agujeros de seguridad. Aviv Raff, un conocido especialista en seguridad, lo informó en su blog e incluso puso a disposición una prueba de concepto, tal como informa The Register, a través de John Leyden hoy:

http://www.theregister.co.uk/2008/09/03/google_chrome_vuln/

La vulnerabilidad es la misma que se anunció hace un tiempo atrás para Safari, el navegador de Apple, y esto se debe a que Google Chrome está basado en Webkit, motor de navegación web de código abierto, y que también es utilizado por el explorador web de la manzanita. El problema es que mientras Safari ya no cuenta con esa vulnerabilidad, Chrome está usando una versión no actualizada de Webkit, y por ende, vulnerable.

Teniendo en cuenta la eterna lucha de los departamentos de marketing y seguridad de las empresas ("¡Necesito sacar este producto YA!" vs. "Espera que tenemos que evaluar la seguridad del producto antes de lanzarlo, por favor"), es más que lógico que
pasen este tipo de cosas.

Es una lástima que este apuro opaque el hecho de que Chrome parece tener unos cuantos aspectos interesantes en materia de seguridad.

"is"

jueves, 28 de agosto de 2008

Houston, tenemos un virus

Como habrán notado, este mes no he posteado mucho. Cuestiones de poco tiempo, la verdad... Pero estaba leyendo una noticia hoy y me pareció interesante compartirlo.

Parece ser, de acuerdo a la NASA, que un malware hizo de las suyas y logró llegar hasta la Estación Espacial Internacional. Si, sres., y lo más interesante, no es la primera vez que un código malicioso llega hasta el espacio.

En una noticia que apareció en varios medios entre ayer y hoy, se informó sobre las palabras de un vocero de la NASA que confirmó que unas laptops que se enviaron a la Estación Espacial Internacional tenía un malware capaz de robar contraseñas de software de juegos en línea.

Además de que la razón de esto es que algunos procesos de seguridad deben haber fallado, otro motivo de lo sucedido es que las mismas no tenían antivirus.

Obviamente, la NASA informó que esto de ninguna manera afectó ni pudo haber afectado el correcto funcionamiento de la Estación.

Con tanto malware y problemas de seguridad dando vueltas, uno se pregunta cómo puede ser que una de las agencias gubernamentales estadounidenses que mayor cantidad de dinero tiene asignado a su presupuesto puede tener tan pobres procedimientos de seguridad que permitan tamaña falla.

Fuente: The Register

martes, 5 de agosto de 2008

Guia de Seguridad en Windows Vista

Como esta semana estoy algo complicado de tiempo, al menos les quiero dejar algo interesante que vi el día de hoy: La Guía de Seguridad en Windows Vista.

Es un documento al estilo manual que analiza diversos aspectos de seguridad en el último sistema operativo de Microsoft, incluyendo aspectos como malware, políticas, protección de datos, etc.

La guía solamente está en inglés (y francés), pero no deja de ser interesantes para quienes tengan la posibilidad de leerla, más allá de que algunos conceptos es bueno tomarlos con pinzas, porque no es tan bonito como lo pintan ahi.

Está más bien orientada a usuarios avanzados o administradores, pero también se las recomiendo a aquellos que tienen ganas de experimentar un poco en materia de seguridad con sus equipos.

Está disponible desde al año pasado, en:

http://technet.microsoft.com/es-ar/bb629420.aspx

Visto en Segu-Info y DragonJAR.

Para quienes anden interesados en ver la de XP, algo más antigua, aquí también les dejo el enlace:

http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/default.mspx

sábado, 2 de agosto de 2008

Cuando somos nosotros los culpables (II)

La semana pasada escribí un post titulado “Cuando somos nosotros los culpables”, respecto a cómo, tanto usuarios y administradores, somos en parte responsables de muchos de los problemas de seguridad relacionados con el malware.

En ese post destacaba los casos del cliqueo adictivo sobre enlaces a mensajes de correo electrónico que nos llegan, así como el alojamiento de malware en sitios web “normales” debido a que los administradores no toman las medidas de seguridad necesarias.

Pero que quede claro, no sólo de eso somos culpables, hay más, y esto no es más que una toma de conciencia de lo irresponsables que somos muchos al andar por Internet.

Los usuarios de Internet están siendo cada vez más culpables de que sus usuarios y contraseñas circulen por la red. ¿Por qué? Porque ellos mismos son quienes los entregan, voluntariamente, a terceros, sin siquiera pensar en quien los está viendo del otro lado.

Ya había hecho referencia al tema cuando escribí “¡Conseguí amigos y mucho spam!”, pero no solo nos quedamos ahí.

Acá tenés las llaves de mi casa, desconocido

Esta semana recibo de un amigo, por MSN, un mensaje simplemente con un enlace; ese enlace llevaba a una página donde se me solicitaban mis datos de usuario y contraseña de mi mensajero instantáneo. Leyendo para qué querían mis datos (además de para mil cosas maravillosas), reviso sus términos y condiciones, en las cuales claramente se expresaba que se usarían para distribuir más enlaces entre mis contactos de MSN.

Explicándolo simplemente: mis datos de usuario y contraseña serían usados para seguir distribuyendo esos enlaces entre mis amigos, con mi consentimiento, dado que estaba explicado en el sitio, aunque en letra pequeña, que para eso lo usarían.

Este tipo de servicios es seguido bien de cerca por Cristian de Segu-info, y justamente el que recibí lo comentamos en la semana, y encontrarán más detalles en los siguientes enlaces:

http://seguinfo.blogspot.com/2008/07/checkapic-otro-sitio-sospechoso.html
http://seguinfo.blogspot.com/2008/07/friendlypixx-roba-tus-datos.html

Lo que no terminan de comprender las personas que “caen voluntariamente” en este tipo de cosas, es que al ingresar su usuario y contraseña en este tipo de sitios que no conocen, le están entregando las llaves de su casa, y una vez hecho eso, no saben qué es lo que estos “desconocidos” harán con las mismas.

No importa cuantas veces advertimos sobre este tipo de cosas, siempre pero siempre, los usuarios de Internet siguen cayendo en estas trampas. Pese a que uno se cansa un poco de repetirlo, aquí van las recomendaciones sobre el tema:

  1. No ingresen su usuario y contraseña en sitios desconocidos.
  2. Referirse a la recomendación 1.
  3. Si no quedó claro, volver a referirse a la recomendación 1.
  4. Si hasta ahora no se entienden las recomendaciones de los 3 puntos anteriores, repito, ¡NO INGRESEN SUS CONTRASEÑAS EN SITIOS DESCONOCIDOS POR USTEDES! :-)
Si alguna vez lo hicieron, cambien su contraseña ya mismo, en este instante, ¡YA! Con las “llaves de su casa”, una persona maliciosa puede hacer básicamente lo que quiera… ¿o no?

Desprotegiendo al querer proteger

Como siempre, los administradores a veces no se quedan atrás. Leo hoy en PuntoGeek sobre un servicio llamado DirProtect, que es básicamente una página que permite crear, en línea, los archivos necesarios para que, luego de subirlos a nuestro sitio web, podamos proteger algún directorio del mismo.

Quienes administramos sitios web, siempre tenemos la necesidad de que alguna parte del mismo quede fuera del acceso de cualquier curioso, y una de las mejores medidas para hacerlo, es cerrar esa parte mediante una protección, por ejemplo.

Si lo pensamos desde el punto de vista funcional, servicios como DirProtect son muy útiles para muchos de quienes hoy tienen un sitio web, pero no tienen los conocimientos técnicos necesarios para administrarlo completamente.

Pero si lo pensamos desde el punto de vista de la seguridad, al usar un servicio de DirProtect, ¡le estamos dando las llaves de nuestra casa a un desconocido antes incluso de poner la cerradura!

Esto es así porque el servicio nos pide: ruta del directorio a proteger de nuestro sitio web (la cual normalmente incluye el dominio de nuestra página), y el usuario y contraseña que queremos usar… o sea… ¡todo lo necesario para poder luego ingresar y saltar esa protección!

No es que crea que la gente detrás de DirProtect sea maliciosa o tenga esa intención con este servicio, pero no los conozco, entonces, si no sé quienes son, no los voy a invitar a que sepan como entrar a mi casa (Al menos yo, no invito desconocidos a mi hogar). Para colmo, en todo el sitio de DirProtect no encuentro ninguna confirmación de si almacenan esos datos o no, así como ni una declaración de si hacen algo con la información allí ingresada.

Este tipo de servicios puede ser muy útil, pero usarlos, implica abrir la puerta a futuros problemas de seguridad en nuestro sitio web. En este caso se aplican las mismas recomendaciones que dí antes: ¡No ingresar usuarios y contraseñas de algún servicio de uds. en un sitio desconocido!

En el caso particular de DirProtect, si así y todo tenés la necesidad utilizar el servicio, lo menos que podés hacer es:
  1. Ingresar una ruta inexistente y cuando se genere el htaccess, cambiala por la real
  2. Utilizar un usuario cualquiera, y cuando el archivo htpasswd se genere, cambialo por el que realmente querés utilizar (vas a tener que poner el password real de todas formas, pero al poner otro usuario y otra ruta, menos inseguro va a terminar siendo el tema)
Otra vez el post quedó largo, pero dejar claros estos puntos necesita mucho espacio. Espero quede claro el tema, y sino, no tenemos ningún derecho a quejarnos luego cuando nuestro MSN ya no anda, nuestra cuenta sea “robada” o nuestro sitio sea vulnerado por alguien, porque somos nosotros mismos quienes le estamos abriendo la puerta a los ladrones, sabiendo que están ahí.

“is”

viernes, 1 de agosto de 2008

El drama de los DNS (II)

Como dije en el último post sobre el tema de la vulnerabilidad del cache poisoning en los servidores DNS, mi idea es mantenerlos al tanto sobre los distintos avances de este tema tan problemático para todos los que usamos Internet a diario.

Primero comentarles que además de la posibilidad de chequear si sus DNS son vulnerables a través de la página de Dan Kaminsky, el descubridor de la vulnerabilidad, DNS-OARC también liberó una herramienta similar (hacer click en la opción Test my DNS en el centro de la página disponible aquí).

Es importante contar con dos herramientas porque nos dará más seguridad sobre si nuestros DNS aún son vulnerables o no.

Con lo complicado del alcance de esta vulnerabilidad, se hace más marcada la diferencia entre tres tipos de proveedores de servicios y/o software de de DNS:


El mayor problema está en que no solo la vulnerabilidad ya es conocida públicamente, sino que ya existen herramientas para explotarlas, tales como Evilgrade, o lo incluido en Metasploit.

Lo anterior hace que ya se comiencen a encontrar algunos casos de ataques que podrían estar dándose gracias al aprovechamiento de esta vulnerabilidad, y como se dijo anteriormente, todavía hay demasiados proveedores y fabricantes que no han logrado parchear o liberar actualizaciones.

Todo esto no ha hecho que algunas soluciones ya seguras, como OpenDNS, comiencen a recibir mucha atención y las recomendaciones para utilizarlos pululan en Internet. No es que sea mala idea, todo lo contrario; si no saben si su DNS es vulnerable, o si comprueban que lo es con las herramientas anteriores, les recomiendo analizar la posibilidad de utilizar estos proveedores ya asegurados.

Algunos enlaces de interes para todos:


En resumen: si son administradores, ¡parcheen ya! Si son usuarios, comprueben si sus DNS son vulnerables, y sino, cambien a algunos que no lo sean.

"is"

domingo, 27 de julio de 2008

Seguimiento de las no-actualizaciones de Thunderbird

Para que tanto yo, Sergio Hernando y Sebastián de Un Mundo Binario, así como todos los usuarios de Thunderbird (el cliente de correo que venía siendo abandonado por la Fundación Mozilla) nos quedemos tranquilos, finalmente han salido las actualizaciones que lo ponen a la par de la última versión 2.x del Firefox, y por lo tanto, resuelven los problemas, errores y agujeros de seguridad que podían encontrarse en la última versión estable.

Así que si sos usuario de Thunderbird, te recomiendo ir corriendo a actualizarte:

http://www.mozilla.com/en-US/thunderbird/

"is"

sábado, 26 de julio de 2008

Cuando somos nosotros los culpables

Como todos los días, hoy estuve revisando la carpeta de spam de mi bandeja de correo, buscando que había de nuevo. Realmente, era más de lo mismo, spam mezclado con malware con una pizca de phishing y alguna que otra cosa similar.

Pese a eso encontré algo que motiva este post en particular, que aunque no tiene nada de nuevo ni innovador, sirve para marcar un punto importante: en demasiados casos somos nosotros, los usuarios y administradores, los responsables de caer en la trampa de quienes generan y distribuyen malware. Paso a fundamentar mi opinión…

Uno de los correos en mi bandeja de entrada tenía el sugestivo título “Steve Jobs down with cancer”. Claramente, el filtro antispam de mi casilla de correo ya venía funcionando correctamente, porque el título tan llamativo, en un idioma distinto al mío y que no venía de una lista de correo o noticias de las que yo consulto, demostraba que no era un correo solicitado ni esperado por mí.

Para investigar, como siempre lo hago, abrí el mensaje y el sencillo texto decía “Lance Armstrong suffers relapse in cancer and urge Americans to do more to prevent cancer” y luego mostraba un enlace como el siguiente:

http://www.[unsitiocualquiera].com/topnews.html

Los más avispados de mis lectores ya sabrán a esta altura que de ninguna manera deberían seguir un enlace en un mensaje no solicitado. Pero sin dudas alguien lo hace (basta ver las estadísticas de este malware en particular para comprobarlo) y es a ellos a los que me refiero como culpables.

¿Por qué? Porque si abrieron el mensaje y al menos lo hubieran leído correctamente, se hubieran dado cuenta de que tiene algo raro:

  • En el asunto se hace referencia a Steve Jobs, mientras que en el texto se habla de Lance Armstrong, ¡dos personas completamente distintas!
  • El [unsitiocualquiera] apunta a una web cuyo dominio hace referencia al tuning de automóviles. ¿¡Qué tiene que ver eso con el cáncer!?
Pero no, hay demasiada gente que ve un enlace y hace clic, sin reparar en el contenido del mensaje ni en lo que dice ni en el idioma ni en nada. Son adictos a hacer clic en los enlaces, llaneros del doble clic los llama un amigo (aunque aquí solo haga falta uno solo).

Es ahí donde son culpables… de no prestar atención y correr directamente a la trampa. Y esto los creadores de malware lo saben y por eso se preocupan en aplicar la ingeniería social a los asuntos de sus mensajes para hacerlos llamativos a los usuarios.

Del otro lado del enlace, hay una página que simula tener algún video sobre el tema cuando en realidad intentará ejecutar un troyano downloader para descargar más malware en el equipo del desprevenido y culpable usuario.

Buscando en mi bandeja de entrada, encontré uno aún peor, que en el asunto del mensaje decía “Osama caught sodomizing lieutenants” y en el cuerpo del mensaje “Private investigation report on your flirting girlfriend”, con otra dirección web que también apuntaba al mismo malware que el ejemplo anterior (pero en un sitio distinto, de un diseñador gráfico).

Para los que no saben inglés, el asunto habla de Osama Bin Laden sodomizando tenientes, pero el contenido del mensaje habla de un reporte de un investigador privado sobre la supuesta novia del destinatario. Ninguna relación entre asunto y contenido del mensaje, pero eso no es problema, porque demasiados usuarios harán clic en el enlace sin prestar atención a nada más.

Pero, para no llamar culpables solamente a los desprevenidos y poco atentos usuarios, también hay que tener en cuenta a los administradores y desarrolladores de los sitios web donde muchas veces se aloja el malware. ¿Por qué? Porque si, por ejemplo, este malware en particular del que estoy hablando está alojado en sitios de un taller de tuning y de un diseñador gráfico, es debido a que los administradores de esos sitios no tomaron las precauciones necesarias para mantenerlo seguro y de alguna manera los atacantes encontraron vulnerabilidades para subir allí el malware que luego infectará a los usuarios.

Los administradores y desarrolladores de sitios web también son culpables de que este tipo de cosas sucedan, porque si al crear una página de Internet tuvieran en cuenta la seguridad de la misma, los atacantes tendrían menos formas de distribuidor sus creaciones.

El problema aquí es que, aunque no seamos nosotros (usuarios, administradores, desarrolladores) los que generemos y distribuyamos el malware, tenemos algo de culpa de todas formas, porque es gracias a nosotros y nuestra falta de interés por la seguridad o por aprender sobre ella, que cada día el malware tiene más formas distintas de distribuirse y llegar a más y más usuarios.


“is”

viernes, 25 de julio de 2008

La nueva Ley de Delitos Informáticos en Argentina

Ayer tuve la suerte de ir al evento organizado por InfobaeProfesional.com y dedicado a tratar la nueva Ley de Delitos Informáticos en Argentina.

Pablo de unblogged.net me dio la oportunidad de publicar la review del evento en su blog, así que los invito a leerla allí:

http://www.unblogged.net/ley-de-delitos-informaticos/

Gracias Pablo!

Para leer durante el fin de semana

Les dejo algunas cosas interesantes para que lean y se actualicen durante el fin de semana en materia de seguridad informática y relacionados:

Que los disfruten...

"is"

jueves, 24 de julio de 2008

El drama de los DNS

No hablé de este tema antes porque todo el mundo estaba hablando del mismo, pero viendo cómo ha evolucionado, no quiero dejar pasar la oportunidad de informar a mis lectores y visitantes.

Para empezar, la pregunta de muchos seguramente es qué es un DNS. Para quienes tengan algún conocimiento técnico, les recomiendo el artículo de Wikipedia sobre el tema. Para los que no, voy a intentar hacer una breve explicación.

DNS son las siglas correspondientes a Servidor de Nombres de Dominio (Domain Name Server). Un dominio es básicamente lo que un usuario promedio entendería por dirección de una página web (p.e., google.com, yahoo.com, virusattack.blogspot.com, etc.). Lo que un DNS hace es traducir ese dominio en la dirección IP real del servidor donde está alojado.

Por hacer una comparación con el mundo real, imaginen a un DNS como la guía telefónica, el dominio como el nombre de una persona, y la IP como el número telefónico. Si no sabemos su número telefónico, para hablar con Juan Pérez, vamos a la guía telefónica, buscamos su nombre y obtendremos el número al que debemos marcar. Eso mismo es lo que hacen los DNS (con la salvedad que no puede haber dos Juan Pérez, como no puede haber dos google.com ;-P)

Cuando en nuestro navegador de Internet escribimos una dirección web, la misma es interpretada por el DNS que nuestra configuración tenga determinada (normalmente, el de nuestro proveedor de servicios de Internet o el de nuestra empresa), y es así como el mismo nos direcciona al servidor exacto donde la página que buscamos está alojada. Hoy por hoy, no habría Internet como la conocemos sin los DNS.

El pasado 8 de Julio, los más importantes proveedores de software para DNS lanzaron una serie de parches en forma conjunta al mismo tiempo que se conocía la existencia de una deficiencia en el protocolo utilizado por las implementaciones de DNS, que podría causar lo que se conoce como cache poisoning.

Dicha vulnerabilidad era conocida desde tiempo atrás por estos fabricantes que estuvieron trabajando en conjunto para lanzar los parches en forma coordinada, dado la gravedad de la misma. El descubridor es un investigador llamado Dan Kaminsky.

La vulnerabilidad en sí es muy grave dado que permitiría que, si nuestro DNS no está correctamente asegurado y actualizado, el mismo puede ser modificado por atacantes maliciosos para que nos redirija a una página que no es la que buscamos, por ejemplo, a una con phishing, malware y demás. Y teniendo en cuenta que esto afecta a casi la totalidad de los software para DNS, es realmente gravísimo.

Para evitar que el problema pudiera ser aprovechado rápidamente por cualquier atacante, los detalles de la vulnerabilidad se mantuvieron sin publicar, a fin de que los administradores de los DNS alrededor del mundo pudieran actualizar su software.

Sin embargo, esta semana los mismos se filtraron, y la cuenta regresiva comenzó, dado que ahora los atacantes tienen más fácil la posibilidad de aprovecharlos (aunque desde que existen los parches, también pueden hacer ingeniería reversa de los mismos).

Y desde que los detalles se filtraron hasta que aparecieron los exploits para aprovecharlos, no han pasado ni 48 horas.

Esto ahora está obligando a que todos los administradores de algún DNS tengan que actualizar los mismos a la brevedad, dado que en caso contrario, tanto ellos como sus usuarios podrían comenzar a ser víctimas de ataques de usuarios maliciosos.

¿Qué pueden hacer los usuarios al respecto de esto? Confiar en que su proveedor de Internet haya actualizado sus DNS, o comprobarlo por ellos mismos con los tests que se informan en los siguientes enlaces:

http://www.kriptopolis.org/comprobar-vulnerabilidad-dns-en-windows

http://www.kriptopolis.org/node/6242/38670#comment-38670

Si tu servidor es vulnerable, se está recomendando utilizar los de OpenDNS, aunque obviamente eso no es tarea para cualquier usuario.

Lamentablemente, no hay una aplicación en línea que permita comprobar si tus DNS son vulnerables, al menos no hasta ahora. Por suerte (qué colgado que fui al escribir esto!), Dan Kaminsky tiene una herramienta para chequear si tu DNS es vulnerable.

Para usarla:

  • Visita el sitio http://www.doxpara.com/
  • Oprime el botón "Check My DNS"(a la derecha)
  • Te dirá si tu DNS es vulnerable o no (en inglés, lamentablemente)
Si tu DNS es vulnerable, a estar atento estos días si la página que normalmente visitas no luce igual o si quieres ingresar a una página y terminas en otra. Si ese es el caso, lo ideal es que contactes al soporte técnico de tu proveedor de Internet para ver como solucionar el problema de alguna manera.

De haber alguna novedad sobre este caso, iré comentándola en nuevos posts sobre el caso, pero que no cunda el pánico.

“is”

PD: Quiero felicitar a la gente de Kriptópolis por el excelente seguimiento que hicieron del caso, que he usado como fuente para muchas de las referencias de este post.

lunes, 21 de julio de 2008

Resumen de Aprendizaje (II) (Julio 2008)

Para facilitar el encontrar la información de aprendizaje que he ido publicando en el blog, cada cierto tiempo voy publicando un resumen de los distintos posts relacionados. El (primero y) último fue en Abril del 2008, por lo que aquí va una actualización.

Lecciones Básicas

Herramientas de Defensa y Protección
Metodologías y Técnicas de Ataque
Vías de Entrada del Malware
Glosario
Este índice se irá actualizando a medida que vaya generando nuevos artículos y posts para la serie de aprendizaje, a fin de que sea más fácil encontrar la información. Existen aún muchos más temas para desarrollar, y los irán encontrando a medida que se vayan publicando en el blog, siempre en la página principal o en la siguiente sección:


http://virusattack.blogspot.com/search/label/aprendizaje

Actualicen Flash de una vez (II)

Un mes atrás publiqué un post sobre una vulnerabilidad en el Adobe Flash Player, que requería de actualización a la nueva versión del mismo (9.0.124) al fin de evitarla.

Dicho agujero de seguridad comenzó a ser explotado abiertamente para distribuir malware, tal como se puede ver en los siguientes enlaces al blog del investigador Dancho Danchev:

http://ddanchev.blogspot.com/2008/05/malware-attack-exploiting-flash-zero.html
http://ddanchev.blogspot.com/2008/06/fake-youtube-site-serving-flash.html

En aquel momento, aproximadamente un mes después de que la nueva versión de Flash estuviera disponible, solamente un 35 % de los visitantes a este blog estaban actualizados a la misma y, por ende, protegidos contra los exploits de dicho agujero de seguridad.

Hoy volví a revisar las estadísticas y me encuentro con que solamente el 55 % de los visitantes a este blog durante la semana pasada tienen la versión 9.0.124 del Adobe Flash Player (la más actual), por lo que el 45 % de los mismos son vulnerables a los códigos maliciosos que aprovechan agujeros de seguridad en versiones anteriores, y se comentan en los posts de más arriba.

Si te interesa la seguridad de tu equipo, revisá la herramienta de chequeo automático de la versión de Adobe Flash Player que preparé y está disponible en este blog. Podrás encontrarla en la parte derecha de esta página, o haciendo click aquí.

Mantener actualizado tu equipo es una de las cuestiones básicas para mantenerlo seguro.

“is”

domingo, 20 de julio de 2008

Confirmado: Algunos resultados de Google Safe Browsing son muy raros y la herramienta no es confiable

Desde el domingo pasado vengo siguiendo los resultados que la herramienta Google Safe Browsing da del dominio google.com.

Primero llamaba poderosamente la atención el hecho de que Safe Browsing detectará algunas cosas en google.com, como marqué en este post:ç

> Google 1 – Yahoo 0 (según Google Safe Browsing)
http://virusattack.blogspot.com/2008/07/google-1-yahoo-0-segn-google-safe.html

Dos días, Safe Browsing ya no detectaba nada en el dominio google.com, lo cuál me pareció muy raro, y dejé mis sensaciones en este post:

> ¿Google 0 – Yahoo 0?
http://virusattack.blogspot.com/2008/07/google-0-yahoo-0.html

El viernes volví a revisar los resultados, y otra vez Safe Browsing detectaba ciertas cosas en el dominio google.com, diferentes a las detectadas en la primera ocasión:

> Si, Google 1 – Yahoo 0
http://virusattack.blogspot.com/2008/07/si-google-1-yahoo-0.html

Y ahora, estos son los resultados de hoy:



Comparando entre los resultados de hoy, y los del viernes, hay un cambio muy raro en la última pregunta “Has this site hosted malware?” (“¿Ha alojado malware este sitio?”). El viernes, el resultado era positivo (con el dominio kst83.com) y hoy, el resultado es negativo.

En teoría, Google Safe Browsing reporta lo encontrado en los últimos 90 días, pero si el martes no reportaba nada, el viernes sí y hoy de vuelta no, ¿qué ha pasado?

Sinceramente, estas inconsistencias sobre los reportes del dominio google.com demuestran claramente que la herramienta Google Safe Browsing, así como está actualmente no es confiable, y sus resultados varían sin explicación aparente, demostrando que aún le queda demasiado por mejorar que podamos usarla para determinar si un sitio es potencialmente dañino para sus visitantes o no.

El problema es que Google ya la está utilizando activamente en los resultados de sus búsquedas y con lo demostrado aquí, podría estar previniendo visitas a ciertos sitios, reportando que los mismos son maliciosos, cuando quizás, se trate de un error de la herramienta. Con lo visto, yo pensaría varias veces antes de confiar en los resultados de Google Safe Browsing.

"is"

¿Por dónde ingresa el malware a tu sistema? Mensajería instantánea (Anexo IIb)


En la última entrada relacionada, revisamos las formas en que el malware puede ingresar a nuestro sistema a través del correo electrónico.


Ahora, vamos a hablar de otra forma que es bastante utilizada por estos lados, y es la mensajería instantánea. Así como el correo electrónico es una herramienta con la que no podríamos aprovechar realmente Internet, la mensajería instantánea, a través de Windows Live Messenger, Yahoo! Messenger, Gtalk, AIM, etc., ha probado ser una excelente forma de ir un paso más allá del email, y permitir comunicación sencilla, rápida y directa con amigos y colegas de cualquier parte del mundo.


Dada su masividad, desde hace tiempo es uno de los vectores de distribución de malware más utilizados.


Básicamente, hay tres formas por las que nos puede llegar malware a través de estos mensajeros instantáneos, las cuales repasaré a continuación.


Envío de archivos


La mayoría de estos mensajeros instantáneos permiten intercambiar archivos entre contactos. En un uso normal, estos archivos suelen ser documentos, fotografías, animaciones y cualquier otra cosa que una persona crea interesante compartir con sus contactos.


Sin embargo, usuarios maliciosos aprovechan la confianza que le pueden tener sus contactos para distribuir malware, tales como troyanos de puerta trasera, entre sus contactos, a fin de poder obtener luego información de sus sistemas.


También existe malware que cuando infecta un sistema, aprovecha los mensajeros instantáneos instalados, para enviar automáticamente algún gusano de internet a todos los contactos del usuario afectado.


Si aceptamos la transferencia de dichos archivos, normalmente ejecutables (.exe) o comprimidos (.zip) y los abrimos, nuestro equipo se verá afectado por algún malware.


Enlaces en mensajes


Dado que algunos mensajeros comenzaron a implementar controles sobre las transferencias de ciertos tipos de archivos, los creadores de malware y usuarios maliciosos comenzaron a utilizar otros trucos, tales como enviar un enlace a una página alojando malware en lugar de enviar directamente el archivo malicioso.


Normalmente, este enlace viene acompañado de algún mensaje de parte del usuario infectado, con el cual se intenta convencer al destinatario para que descargue y abra el archivo (cosas como “mirá las fotos de las últimas vacaciones”, o “¿te acuerdas cuando tenías el cabello así?”).


Respuesta automática


Otra forma que tienen los usuarios maliciosos es a través del robo de cuentas y la modificación de los mensajes de respuesta automáticos que tienen algunos de estos mensajeros instantáneos, tal como pasó en el caso comentado recientemente en este blog en “Homero Simpson no lee Virus Attack!”.


Vulnerabilidades


Todas las aplicaciones son potencialmente susceptibles a las vulnerabilidades y agujeros de seguridad, y obviamente, los mensajeros instantáneos no están exentos de ellas.


En el pasado se han encontrado distintas vulnerabilidades en mensajeros instantáneos que podían ser aprovechadas para distribuir código malicioso.


Aunque los casos han sido mínimos, esto no quita que no se haya dado en el pasado y no pueda volver a suceder en el futuro.


Conclusiones y Recomendaciones


La mayoría del malware que se distribuye automática o manualmente a través de los mensajeros instantáneos se basa en aprovechar la confianza que los usuarios tienen en las personas que están en su lista de contactos.


En base a eso, aunque el lenguaje y método puede variar, el objetivo es aprovechar técnicas de ingeniería social para que las potenciales víctimas caigan en la trampa.


Para evitar esto, es importante que quienes utilicen cualquier aplicación de mensajería instantánea, sigan estas recomendaciones:



  • Mantener actualizado su sistema y mensajero instantáneo

  • Tener instalado un antivirus y mantenerlo actualizado. Revisar todos los archivos recibidos con el antivirus.

  • No aceptar archivos de sus contactos cuando estos no fueron solicitados. Primero corroborar si realmente la otra persona se los ha enviado y cuál es el objetivo del mismo. Si el archivo tiene una extensión ejecutable (p.e., .exe), no aceptarlo.

  • No seguir enlaces a páginas web que no fueron solicitados. Primero corroborar si realmente la otra persona se los ha enviado y cuál es el objetivo del mismo.

Solo manteniendo una actitud preventiva ante este tipo de ataques, los usuarios podrán evitar infectarse por códigos maliciosos que se distribuyen a través de mensajeros instantáneos.


“is”

viernes, 18 de julio de 2008

Si, Google 1 - Yahoo 0

Vuelvo al tema un poco más, porque los resultados volvieron a cambiar :-)

El domingo publiqué sobre cómo Google Safe Browsing detectaba que el dominio google.com “había infectado al menos 1 dominio, hoyem.org”. El martes, esta detección ya no aparecía más, lo cual levantó algunas suspicacias, y para ver qué había pasado, dejé un comentario en el blog de Matt Cutts, sin respuesta aún.

Hoy volví a probar el dominio Google.com en la herramienta Google Safe Browsing, y me mostró los siguientes resultados:



En español:

• El primer punto del análisis es algo confuso porque dice que no se ha encontrado contenido sospechoso en los últimos 90 días, pero que el software malicioso encontrado incluye 2 “scripting exploits”.
• El segundo punto comenta que google.com “parece haber sido intermediario para la infección de 2 sitios” en los últimos 90 días. Los sitios son xlovelygirls.com y ww36.com.
• El último punto dice que “Si, este sitio ha alojado software malicioso durante los últimos 90 días. Infectó 1 dominio, incluyendo kst83.com”.

Esta información no aparecía el martes, por lo que si se trata de algo real, debería aparecer así al menos por otros 88 días. Si se trata de un error, la herramienta Google Safe Browsing, es realmente poco confiable porque si comete errores con el propio Google, vaya uno a saber cuantos errores tiene sobre otros dominios.

Sería bueno que alguien de Google se pronuncie sobre el tema, pero tal y como pasó con las redirecciones, dudo que lo hagan.

Eso sí, lo que deja claro es que no se puede confiar en demasiado de lo que aparece en Internet, ni siquiera en las herramientas de Google :(

“is”

Thunderbird y sus no-actualizaciones

Hoy leo en el blog de Hispasec algo que se me había pasado por alto: la fundación Mozilla, responsable del navegador Firefox, y de otros proyectos como el cliente de correo Thunderbird, no viene actualizando este último tan frecuentamente como el navegador del zorrito.

Como bien dice Sergio de los Santos: "La fundación Mozilla ya avisó de que concentraría todos sus esfuerzos en el navegador Firefox, dejando un poco de lado a su hermano Thunderbird... el problema es que no se han relajado sólo en el desarrollo, sino también en cuestión de seguridad. Ambos programas comparten gran parte del código necesario para procesar y mostrar páginas web, por lo que los fallos de seguridad de uno, afectan de forma directa al otro. Si es posible ejecutar código al visitar una página con Firefox, es muy probable que también se pueda ejecutar código al visualizar un correo HTML en Thunderbird."

Firefox ya está por la versión 3.01, Thunderbird se ha quedado en la 2.0.0.14, con temas de seguridad no resueltos en su código, y que al ya conocerse porque han sido resueltos en Firefox, son incluso más fáciles de explotar.

Los problemas aquí se dan en que pese a eso, Thunderbird dirá que está actualizado a la última versión, lo cual no quiere decir que sea la más segura.

Las actualizaciones de Firefox de problemas críticos, en muchos casos pueden llegar a afectar a Thunderbird, dado que comparten funciones para el procesamiento de páginas web. Pero si se arreglan en uno y no en el otro, no solo el cliente de correo termina siendo más inseguro, sino que se termina sabiendo exactamente qué se corrigió, lo cuál facilita saber cómo explotarlo.

Si un proyecto de software libre y/o de código abierto deja de actualizarse y mantenerse, uno de sus mayores problemas es éste: los agujeros de seguridad que se pueden dar y que nunca serán resueltos. Ojo, esto también pasa con los software comerciales, la diferencia es lo que termina estando a la vista de todos: el código del programa.

"is"

jueves, 17 de julio de 2008

¡Conseguí amigos y mucho spam!

El 20 de Julio próximo se celebra en Argentina el día del amigo, y un diario local no tuvo mejor idea que aprovechar el evento para crear una campaña pseudo-viral.

Lo interesante del caso es los desastres en materia de programación, seguridad y privacidad con que fue programado el sitio, y que comenta Cristian en su blog:

http://seguinfo.blogspot.com/2008/07/un-millon-de-amigos-y-de-errores.html

El sitio en cuestión se encuentra en la siguiente dirección:

http://www.amigos.lanacion.com.ar/

Problemas de seguridad y privacidad encontrados:

  1. Pide datos de usuario y contraseña de tu mensajero instantáneo para hacerles llegar la invitación a tus amigos. Mi pregunta a quienes pusieron sus datos ahi: ¿saben qué pasa del otro lado con su usuario y contraseña? No es por desconfiar de La Nación, pero personas hay en todos lados y vaya uno a saber cómo se almacenan esos datos y quien (persona) tiene acceso a los mismo.
  2. Publica en el sitio direcciones de correo electrónico: la delicia de cualquier spammer. Basta con ir copiando las que aparecen y linda base de datos se armarán para llenarnos las casillas de email con spam y más correo basura.
El día del amigo, quienes hayan puesto su correo ahí, lo van a pasar con la casilla llena de spam :-)

Nunca, jamás, never, ingresen sus datos de usuario y contraseña de cualquier servicio en otro sitio. No importa si es confiable o no, no importa si es lo que sea, no lo hagan. De lo contrario, nunca sabrán lo que pase con los mismos...

"is"

martes, 15 de julio de 2008

¿Google 0 - Yahoo 0?

El Domingo publicaba un post sobre los resultados publicados por la herramienta Google Safe Browsing respecto de los dominios principales de Google y Yahoo!. Hoy, paranoico que soy, se me dio por volver a revisar los resultados y me encuentro con que los dominios www.google.com y google.com ya no muestran lo mismo que había comentado días atrás. ¿WTF?

Google Safe Browsing solamente muestra los resultados de los últimos 90 días, por lo que pueden haber pasados tres cosas:

  • La infección reportada en aquel momento por la herramienta es anterior a 90 días contados desde el día de hoy
  • La infección reportada se trataba de un error y/o prueba, y la misma se ha corregido
  • La información ha sido cambiada por otros aspectos (modo paranoico)

Me gustaría oír opiniones... porque para teorías, ya tengo demasiadas :)

PD: De paso, dejé un comentario en el blog de Matt Cutts, donde hablaban ayer de temas relacionados, para ver si él si sabe qué pasó :)

PD2: Lo interesante es que desde el Domingo 13 en que posteé esto, hay varios lugares más donde apareció (1 día después)...

PD3: No tengo nada personal con Google, es más, soy fan de muchas de sus cosas, pero esto, así como lo de las redirecciones, me hacen preguntar demasiadas cosas...

El "cibercrimen" está estructurado

Desde hace tiempo vengo hablando de que los creadores de malware y responsables de otros tantos ataques informáticos, se han profesionalizado a fin de aprovechar estas herramientas con el objetivo de obtener beneficios económicos a expensas de las víctimas de sus desarrollos.

Esto ha estado creciendo cada vez más, y varios equipos de investigadores han comenzado a analizar la estructura de estas organizaciones criminales que utilizan la tecnología. Net-Security comenta hoy sobre un estudio de una empresa de seguridad finlandesa algunos aspectos de estas organizaciones.

La estructura descripta en el informe no es otra que la de una organización claramente definida, con jefes, sub-jefes y operarios, que se asemeja a una industria y que se beneficia de ella. Esto es un cambio drástico de lo que era el mundo del malware 10 años atrás, y que va más allá de quién programa las herramientas, sino de quien las financia y para qué.

Todo esto se traduce en mayor cantidad de vectores de ataques, enfocados en llegar a la mayor cantidad de usuarios o a grupos específicos, y que se ven beneficiados por las nuevas tecnologías.

El informe original puede ser encontrado en la siguiente dirección:

http://www.finjan.com/Pressrelease.aspx?id=1998&PressLan=1819&lan=3

domingo, 13 de julio de 2008

Google 1 – Yahoo 0 (según Google Safe Browsing)

Hoy se me dio por probar qué resultados darían los dominios google.com y yahoo.com en la herramienta Google Safe Browsing que comentaba aquí dos meses atrás, y a la cuál podés acceder desde un recuadro en la derecha de este blog.

En los siguientes enlaces podrán encontrar los resultados de cada dominio al día de hoy:

- Google
- Yahoo!

El resultado de Yahoo! es lógico para una empresa de tal renombre, pero el de Google es llamativo, en la última parte, dónde la herramienta nos informa si el sitio ha alojado o no malware en los últimos 90 días:




Traduciendo: “Si, este sitio ha alojado malware en los últimos 90 días. Ha infectado 1 dominio, incluyendo hoyem.org”. ¿Google alojó malware en algún momento por alguna vulnerabilidad no conocida? ¿Error de la herramienta de Google? ¿Qué habrá pasado para que Google Safe Browsing informe esto del dominio Google.com?

Homero Simpson no lee Virus Attack!

Allá por el 2002, Homero registró su casilla de correo y comenzó a usar Internet. Al menos, eso fue lo sucedido de acuerdo a un episodio de ese año del show de televisión Los Simpsons, donde Homero dice cuál es su dirección de email (chunkylover53@aol.com, para ser preciso).

Durante un tiempo, uno de los productores estuvo usando esa dirección de correo, respondiendo los mensajes de quienes escribían allí interesados en ver si Homero realmente estaba o no usando esa dirección. Incluso, el productor intentaba responder como si lo hiciera el mismo Sr. Simpson.

Pero luego, ante la avalancha de respuestas, la dirección de correo ya no devolvía mensajes, y durante años, nada más se supo de Homero en Internet… hasta la semana pesada, cuando repentinamente, todos aquellos que habían agregado a chunkylover53 a su mensajero instantáneo, lo vieron aparecer online.

Muchos comenzaron a escribirle mensajes instantáneos, para encontrarse que todo lo que recibían era un mensaje diciendo que el usuario no estaba frente al equipo en ese momento (idle) y los invitaba a descargar un video exclusivo de los Simpsons, solo para Internet.

En realidad, si se descargaba dicho archivo, el mismo no era un vídeo, sino un ejecutable que realmente era un malware, y estaba alojado en un servicio gratuito de hosting. Durante varios días, el mensaje fue cambiando, sin nunca Homero responder mensajes.

Lo que parece que ha pasado es que alguien consiguió las credenciales de la cuenta chunkylover53 y aprovechando que muchas personas la han tenido en su mensajero durante mucho tiempo, la comenzó a aprovechar para distribuir malware.

Habría que recomendarle a Homero (o al productor que tenía la cuenta) que lea Virus Attack! y siga las recomendaciones posteadas aquí para evitar el malware y mantener segura su cuenta de correo… Sin embargo, ya sabemos como es Homero con los virus y las computadoras, ya que allá por el año 2000, no ejecutó el antivirus en la planta ni se preocupó del bug del Y2K y toda la red de plantas nucleares de Estados Unidos dejó de funcionar :-) Algunos no aprenden más…

Primero visto en Slashdot ("News for nerds, stuff that matters" ;-P)