domingo, 27 de julio de 2008

Seguimiento de las no-actualizaciones de Thunderbird

Para que tanto yo, Sergio Hernando y Sebastián de Un Mundo Binario, así como todos los usuarios de Thunderbird (el cliente de correo que venía siendo abandonado por la Fundación Mozilla) nos quedemos tranquilos, finalmente han salido las actualizaciones que lo ponen a la par de la última versión 2.x del Firefox, y por lo tanto, resuelven los problemas, errores y agujeros de seguridad que podían encontrarse en la última versión estable.

Así que si sos usuario de Thunderbird, te recomiendo ir corriendo a actualizarte:

http://www.mozilla.com/en-US/thunderbird/

"is"

sábado, 26 de julio de 2008

Cuando somos nosotros los culpables

Como todos los días, hoy estuve revisando la carpeta de spam de mi bandeja de correo, buscando que había de nuevo. Realmente, era más de lo mismo, spam mezclado con malware con una pizca de phishing y alguna que otra cosa similar.

Pese a eso encontré algo que motiva este post en particular, que aunque no tiene nada de nuevo ni innovador, sirve para marcar un punto importante: en demasiados casos somos nosotros, los usuarios y administradores, los responsables de caer en la trampa de quienes generan y distribuyen malware. Paso a fundamentar mi opinión…

Uno de los correos en mi bandeja de entrada tenía el sugestivo título “Steve Jobs down with cancer”. Claramente, el filtro antispam de mi casilla de correo ya venía funcionando correctamente, porque el título tan llamativo, en un idioma distinto al mío y que no venía de una lista de correo o noticias de las que yo consulto, demostraba que no era un correo solicitado ni esperado por mí.

Para investigar, como siempre lo hago, abrí el mensaje y el sencillo texto decía “Lance Armstrong suffers relapse in cancer and urge Americans to do more to prevent cancer” y luego mostraba un enlace como el siguiente:

http://www.[unsitiocualquiera].com/topnews.html

Los más avispados de mis lectores ya sabrán a esta altura que de ninguna manera deberían seguir un enlace en un mensaje no solicitado. Pero sin dudas alguien lo hace (basta ver las estadísticas de este malware en particular para comprobarlo) y es a ellos a los que me refiero como culpables.

¿Por qué? Porque si abrieron el mensaje y al menos lo hubieran leído correctamente, se hubieran dado cuenta de que tiene algo raro:

  • En el asunto se hace referencia a Steve Jobs, mientras que en el texto se habla de Lance Armstrong, ¡dos personas completamente distintas!
  • El [unsitiocualquiera] apunta a una web cuyo dominio hace referencia al tuning de automóviles. ¿¡Qué tiene que ver eso con el cáncer!?
Pero no, hay demasiada gente que ve un enlace y hace clic, sin reparar en el contenido del mensaje ni en lo que dice ni en el idioma ni en nada. Son adictos a hacer clic en los enlaces, llaneros del doble clic los llama un amigo (aunque aquí solo haga falta uno solo).

Es ahí donde son culpables… de no prestar atención y correr directamente a la trampa. Y esto los creadores de malware lo saben y por eso se preocupan en aplicar la ingeniería social a los asuntos de sus mensajes para hacerlos llamativos a los usuarios.

Del otro lado del enlace, hay una página que simula tener algún video sobre el tema cuando en realidad intentará ejecutar un troyano downloader para descargar más malware en el equipo del desprevenido y culpable usuario.

Buscando en mi bandeja de entrada, encontré uno aún peor, que en el asunto del mensaje decía “Osama caught sodomizing lieutenants” y en el cuerpo del mensaje “Private investigation report on your flirting girlfriend”, con otra dirección web que también apuntaba al mismo malware que el ejemplo anterior (pero en un sitio distinto, de un diseñador gráfico).

Para los que no saben inglés, el asunto habla de Osama Bin Laden sodomizando tenientes, pero el contenido del mensaje habla de un reporte de un investigador privado sobre la supuesta novia del destinatario. Ninguna relación entre asunto y contenido del mensaje, pero eso no es problema, porque demasiados usuarios harán clic en el enlace sin prestar atención a nada más.

Pero, para no llamar culpables solamente a los desprevenidos y poco atentos usuarios, también hay que tener en cuenta a los administradores y desarrolladores de los sitios web donde muchas veces se aloja el malware. ¿Por qué? Porque si, por ejemplo, este malware en particular del que estoy hablando está alojado en sitios de un taller de tuning y de un diseñador gráfico, es debido a que los administradores de esos sitios no tomaron las precauciones necesarias para mantenerlo seguro y de alguna manera los atacantes encontraron vulnerabilidades para subir allí el malware que luego infectará a los usuarios.

Los administradores y desarrolladores de sitios web también son culpables de que este tipo de cosas sucedan, porque si al crear una página de Internet tuvieran en cuenta la seguridad de la misma, los atacantes tendrían menos formas de distribuidor sus creaciones.

El problema aquí es que, aunque no seamos nosotros (usuarios, administradores, desarrolladores) los que generemos y distribuyamos el malware, tenemos algo de culpa de todas formas, porque es gracias a nosotros y nuestra falta de interés por la seguridad o por aprender sobre ella, que cada día el malware tiene más formas distintas de distribuirse y llegar a más y más usuarios.


“is”

viernes, 25 de julio de 2008

La nueva Ley de Delitos Informáticos en Argentina

Ayer tuve la suerte de ir al evento organizado por InfobaeProfesional.com y dedicado a tratar la nueva Ley de Delitos Informáticos en Argentina.

Pablo de unblogged.net me dio la oportunidad de publicar la review del evento en su blog, así que los invito a leerla allí:

http://www.unblogged.net/ley-de-delitos-informaticos/

Gracias Pablo!

Para leer durante el fin de semana

Les dejo algunas cosas interesantes para que lean y se actualicen durante el fin de semana en materia de seguridad informática y relacionados:

Que los disfruten...

"is"

jueves, 24 de julio de 2008

El drama de los DNS

No hablé de este tema antes porque todo el mundo estaba hablando del mismo, pero viendo cómo ha evolucionado, no quiero dejar pasar la oportunidad de informar a mis lectores y visitantes.

Para empezar, la pregunta de muchos seguramente es qué es un DNS. Para quienes tengan algún conocimiento técnico, les recomiendo el artículo de Wikipedia sobre el tema. Para los que no, voy a intentar hacer una breve explicación.

DNS son las siglas correspondientes a Servidor de Nombres de Dominio (Domain Name Server). Un dominio es básicamente lo que un usuario promedio entendería por dirección de una página web (p.e., google.com, yahoo.com, virusattack.blogspot.com, etc.). Lo que un DNS hace es traducir ese dominio en la dirección IP real del servidor donde está alojado.

Por hacer una comparación con el mundo real, imaginen a un DNS como la guía telefónica, el dominio como el nombre de una persona, y la IP como el número telefónico. Si no sabemos su número telefónico, para hablar con Juan Pérez, vamos a la guía telefónica, buscamos su nombre y obtendremos el número al que debemos marcar. Eso mismo es lo que hacen los DNS (con la salvedad que no puede haber dos Juan Pérez, como no puede haber dos google.com ;-P)

Cuando en nuestro navegador de Internet escribimos una dirección web, la misma es interpretada por el DNS que nuestra configuración tenga determinada (normalmente, el de nuestro proveedor de servicios de Internet o el de nuestra empresa), y es así como el mismo nos direcciona al servidor exacto donde la página que buscamos está alojada. Hoy por hoy, no habría Internet como la conocemos sin los DNS.

El pasado 8 de Julio, los más importantes proveedores de software para DNS lanzaron una serie de parches en forma conjunta al mismo tiempo que se conocía la existencia de una deficiencia en el protocolo utilizado por las implementaciones de DNS, que podría causar lo que se conoce como cache poisoning.

Dicha vulnerabilidad era conocida desde tiempo atrás por estos fabricantes que estuvieron trabajando en conjunto para lanzar los parches en forma coordinada, dado la gravedad de la misma. El descubridor es un investigador llamado Dan Kaminsky.

La vulnerabilidad en sí es muy grave dado que permitiría que, si nuestro DNS no está correctamente asegurado y actualizado, el mismo puede ser modificado por atacantes maliciosos para que nos redirija a una página que no es la que buscamos, por ejemplo, a una con phishing, malware y demás. Y teniendo en cuenta que esto afecta a casi la totalidad de los software para DNS, es realmente gravísimo.

Para evitar que el problema pudiera ser aprovechado rápidamente por cualquier atacante, los detalles de la vulnerabilidad se mantuvieron sin publicar, a fin de que los administradores de los DNS alrededor del mundo pudieran actualizar su software.

Sin embargo, esta semana los mismos se filtraron, y la cuenta regresiva comenzó, dado que ahora los atacantes tienen más fácil la posibilidad de aprovecharlos (aunque desde que existen los parches, también pueden hacer ingeniería reversa de los mismos).

Y desde que los detalles se filtraron hasta que aparecieron los exploits para aprovecharlos, no han pasado ni 48 horas.

Esto ahora está obligando a que todos los administradores de algún DNS tengan que actualizar los mismos a la brevedad, dado que en caso contrario, tanto ellos como sus usuarios podrían comenzar a ser víctimas de ataques de usuarios maliciosos.

¿Qué pueden hacer los usuarios al respecto de esto? Confiar en que su proveedor de Internet haya actualizado sus DNS, o comprobarlo por ellos mismos con los tests que se informan en los siguientes enlaces:

http://www.kriptopolis.org/comprobar-vulnerabilidad-dns-en-windows

http://www.kriptopolis.org/node/6242/38670#comment-38670

Si tu servidor es vulnerable, se está recomendando utilizar los de OpenDNS, aunque obviamente eso no es tarea para cualquier usuario.

Lamentablemente, no hay una aplicación en línea que permita comprobar si tus DNS son vulnerables, al menos no hasta ahora. Por suerte (qué colgado que fui al escribir esto!), Dan Kaminsky tiene una herramienta para chequear si tu DNS es vulnerable.

Para usarla:

  • Visita el sitio http://www.doxpara.com/
  • Oprime el botón "Check My DNS"(a la derecha)
  • Te dirá si tu DNS es vulnerable o no (en inglés, lamentablemente)
Si tu DNS es vulnerable, a estar atento estos días si la página que normalmente visitas no luce igual o si quieres ingresar a una página y terminas en otra. Si ese es el caso, lo ideal es que contactes al soporte técnico de tu proveedor de Internet para ver como solucionar el problema de alguna manera.

De haber alguna novedad sobre este caso, iré comentándola en nuevos posts sobre el caso, pero que no cunda el pánico.

“is”

PD: Quiero felicitar a la gente de Kriptópolis por el excelente seguimiento que hicieron del caso, que he usado como fuente para muchas de las referencias de este post.

lunes, 21 de julio de 2008

Resumen de Aprendizaje (II) (Julio 2008)

Para facilitar el encontrar la información de aprendizaje que he ido publicando en el blog, cada cierto tiempo voy publicando un resumen de los distintos posts relacionados. El (primero y) último fue en Abril del 2008, por lo que aquí va una actualización.

Lecciones Básicas

Herramientas de Defensa y Protección
Metodologías y Técnicas de Ataque
Vías de Entrada del Malware
Glosario
Este índice se irá actualizando a medida que vaya generando nuevos artículos y posts para la serie de aprendizaje, a fin de que sea más fácil encontrar la información. Existen aún muchos más temas para desarrollar, y los irán encontrando a medida que se vayan publicando en el blog, siempre en la página principal o en la siguiente sección:


http://virusattack.blogspot.com/search/label/aprendizaje

Actualicen Flash de una vez (II)

Un mes atrás publiqué un post sobre una vulnerabilidad en el Adobe Flash Player, que requería de actualización a la nueva versión del mismo (9.0.124) al fin de evitarla.

Dicho agujero de seguridad comenzó a ser explotado abiertamente para distribuir malware, tal como se puede ver en los siguientes enlaces al blog del investigador Dancho Danchev:

http://ddanchev.blogspot.com/2008/05/malware-attack-exploiting-flash-zero.html
http://ddanchev.blogspot.com/2008/06/fake-youtube-site-serving-flash.html

En aquel momento, aproximadamente un mes después de que la nueva versión de Flash estuviera disponible, solamente un 35 % de los visitantes a este blog estaban actualizados a la misma y, por ende, protegidos contra los exploits de dicho agujero de seguridad.

Hoy volví a revisar las estadísticas y me encuentro con que solamente el 55 % de los visitantes a este blog durante la semana pasada tienen la versión 9.0.124 del Adobe Flash Player (la más actual), por lo que el 45 % de los mismos son vulnerables a los códigos maliciosos que aprovechan agujeros de seguridad en versiones anteriores, y se comentan en los posts de más arriba.

Si te interesa la seguridad de tu equipo, revisá la herramienta de chequeo automático de la versión de Adobe Flash Player que preparé y está disponible en este blog. Podrás encontrarla en la parte derecha de esta página, o haciendo click aquí.

Mantener actualizado tu equipo es una de las cuestiones básicas para mantenerlo seguro.

“is”

domingo, 20 de julio de 2008

Confirmado: Algunos resultados de Google Safe Browsing son muy raros y la herramienta no es confiable

Desde el domingo pasado vengo siguiendo los resultados que la herramienta Google Safe Browsing da del dominio google.com.

Primero llamaba poderosamente la atención el hecho de que Safe Browsing detectará algunas cosas en google.com, como marqué en este post:ç

> Google 1 – Yahoo 0 (según Google Safe Browsing)
http://virusattack.blogspot.com/2008/07/google-1-yahoo-0-segn-google-safe.html

Dos días, Safe Browsing ya no detectaba nada en el dominio google.com, lo cuál me pareció muy raro, y dejé mis sensaciones en este post:

> ¿Google 0 – Yahoo 0?
http://virusattack.blogspot.com/2008/07/google-0-yahoo-0.html

El viernes volví a revisar los resultados, y otra vez Safe Browsing detectaba ciertas cosas en el dominio google.com, diferentes a las detectadas en la primera ocasión:

> Si, Google 1 – Yahoo 0
http://virusattack.blogspot.com/2008/07/si-google-1-yahoo-0.html

Y ahora, estos son los resultados de hoy:



Comparando entre los resultados de hoy, y los del viernes, hay un cambio muy raro en la última pregunta “Has this site hosted malware?” (“¿Ha alojado malware este sitio?”). El viernes, el resultado era positivo (con el dominio kst83.com) y hoy, el resultado es negativo.

En teoría, Google Safe Browsing reporta lo encontrado en los últimos 90 días, pero si el martes no reportaba nada, el viernes sí y hoy de vuelta no, ¿qué ha pasado?

Sinceramente, estas inconsistencias sobre los reportes del dominio google.com demuestran claramente que la herramienta Google Safe Browsing, así como está actualmente no es confiable, y sus resultados varían sin explicación aparente, demostrando que aún le queda demasiado por mejorar que podamos usarla para determinar si un sitio es potencialmente dañino para sus visitantes o no.

El problema es que Google ya la está utilizando activamente en los resultados de sus búsquedas y con lo demostrado aquí, podría estar previniendo visitas a ciertos sitios, reportando que los mismos son maliciosos, cuando quizás, se trate de un error de la herramienta. Con lo visto, yo pensaría varias veces antes de confiar en los resultados de Google Safe Browsing.

"is"

¿Por dónde ingresa el malware a tu sistema? Mensajería instantánea (Anexo IIb)


En la última entrada relacionada, revisamos las formas en que el malware puede ingresar a nuestro sistema a través del correo electrónico.


Ahora, vamos a hablar de otra forma que es bastante utilizada por estos lados, y es la mensajería instantánea. Así como el correo electrónico es una herramienta con la que no podríamos aprovechar realmente Internet, la mensajería instantánea, a través de Windows Live Messenger, Yahoo! Messenger, Gtalk, AIM, etc., ha probado ser una excelente forma de ir un paso más allá del email, y permitir comunicación sencilla, rápida y directa con amigos y colegas de cualquier parte del mundo.


Dada su masividad, desde hace tiempo es uno de los vectores de distribución de malware más utilizados.


Básicamente, hay tres formas por las que nos puede llegar malware a través de estos mensajeros instantáneos, las cuales repasaré a continuación.


Envío de archivos


La mayoría de estos mensajeros instantáneos permiten intercambiar archivos entre contactos. En un uso normal, estos archivos suelen ser documentos, fotografías, animaciones y cualquier otra cosa que una persona crea interesante compartir con sus contactos.


Sin embargo, usuarios maliciosos aprovechan la confianza que le pueden tener sus contactos para distribuir malware, tales como troyanos de puerta trasera, entre sus contactos, a fin de poder obtener luego información de sus sistemas.


También existe malware que cuando infecta un sistema, aprovecha los mensajeros instantáneos instalados, para enviar automáticamente algún gusano de internet a todos los contactos del usuario afectado.


Si aceptamos la transferencia de dichos archivos, normalmente ejecutables (.exe) o comprimidos (.zip) y los abrimos, nuestro equipo se verá afectado por algún malware.


Enlaces en mensajes


Dado que algunos mensajeros comenzaron a implementar controles sobre las transferencias de ciertos tipos de archivos, los creadores de malware y usuarios maliciosos comenzaron a utilizar otros trucos, tales como enviar un enlace a una página alojando malware en lugar de enviar directamente el archivo malicioso.


Normalmente, este enlace viene acompañado de algún mensaje de parte del usuario infectado, con el cual se intenta convencer al destinatario para que descargue y abra el archivo (cosas como “mirá las fotos de las últimas vacaciones”, o “¿te acuerdas cuando tenías el cabello así?”).


Respuesta automática


Otra forma que tienen los usuarios maliciosos es a través del robo de cuentas y la modificación de los mensajes de respuesta automáticos que tienen algunos de estos mensajeros instantáneos, tal como pasó en el caso comentado recientemente en este blog en “Homero Simpson no lee Virus Attack!”.


Vulnerabilidades


Todas las aplicaciones son potencialmente susceptibles a las vulnerabilidades y agujeros de seguridad, y obviamente, los mensajeros instantáneos no están exentos de ellas.


En el pasado se han encontrado distintas vulnerabilidades en mensajeros instantáneos que podían ser aprovechadas para distribuir código malicioso.


Aunque los casos han sido mínimos, esto no quita que no se haya dado en el pasado y no pueda volver a suceder en el futuro.


Conclusiones y Recomendaciones


La mayoría del malware que se distribuye automática o manualmente a través de los mensajeros instantáneos se basa en aprovechar la confianza que los usuarios tienen en las personas que están en su lista de contactos.


En base a eso, aunque el lenguaje y método puede variar, el objetivo es aprovechar técnicas de ingeniería social para que las potenciales víctimas caigan en la trampa.


Para evitar esto, es importante que quienes utilicen cualquier aplicación de mensajería instantánea, sigan estas recomendaciones:



  • Mantener actualizado su sistema y mensajero instantáneo

  • Tener instalado un antivirus y mantenerlo actualizado. Revisar todos los archivos recibidos con el antivirus.

  • No aceptar archivos de sus contactos cuando estos no fueron solicitados. Primero corroborar si realmente la otra persona se los ha enviado y cuál es el objetivo del mismo. Si el archivo tiene una extensión ejecutable (p.e., .exe), no aceptarlo.

  • No seguir enlaces a páginas web que no fueron solicitados. Primero corroborar si realmente la otra persona se los ha enviado y cuál es el objetivo del mismo.

Solo manteniendo una actitud preventiva ante este tipo de ataques, los usuarios podrán evitar infectarse por códigos maliciosos que se distribuyen a través de mensajeros instantáneos.


“is”

viernes, 18 de julio de 2008

Si, Google 1 - Yahoo 0

Vuelvo al tema un poco más, porque los resultados volvieron a cambiar :-)

El domingo publiqué sobre cómo Google Safe Browsing detectaba que el dominio google.com “había infectado al menos 1 dominio, hoyem.org”. El martes, esta detección ya no aparecía más, lo cual levantó algunas suspicacias, y para ver qué había pasado, dejé un comentario en el blog de Matt Cutts, sin respuesta aún.

Hoy volví a probar el dominio Google.com en la herramienta Google Safe Browsing, y me mostró los siguientes resultados:



En español:

• El primer punto del análisis es algo confuso porque dice que no se ha encontrado contenido sospechoso en los últimos 90 días, pero que el software malicioso encontrado incluye 2 “scripting exploits”.
• El segundo punto comenta que google.com “parece haber sido intermediario para la infección de 2 sitios” en los últimos 90 días. Los sitios son xlovelygirls.com y ww36.com.
• El último punto dice que “Si, este sitio ha alojado software malicioso durante los últimos 90 días. Infectó 1 dominio, incluyendo kst83.com”.

Esta información no aparecía el martes, por lo que si se trata de algo real, debería aparecer así al menos por otros 88 días. Si se trata de un error, la herramienta Google Safe Browsing, es realmente poco confiable porque si comete errores con el propio Google, vaya uno a saber cuantos errores tiene sobre otros dominios.

Sería bueno que alguien de Google se pronuncie sobre el tema, pero tal y como pasó con las redirecciones, dudo que lo hagan.

Eso sí, lo que deja claro es que no se puede confiar en demasiado de lo que aparece en Internet, ni siquiera en las herramientas de Google :(

“is”

Thunderbird y sus no-actualizaciones

Hoy leo en el blog de Hispasec algo que se me había pasado por alto: la fundación Mozilla, responsable del navegador Firefox, y de otros proyectos como el cliente de correo Thunderbird, no viene actualizando este último tan frecuentamente como el navegador del zorrito.

Como bien dice Sergio de los Santos: "La fundación Mozilla ya avisó de que concentraría todos sus esfuerzos en el navegador Firefox, dejando un poco de lado a su hermano Thunderbird... el problema es que no se han relajado sólo en el desarrollo, sino también en cuestión de seguridad. Ambos programas comparten gran parte del código necesario para procesar y mostrar páginas web, por lo que los fallos de seguridad de uno, afectan de forma directa al otro. Si es posible ejecutar código al visitar una página con Firefox, es muy probable que también se pueda ejecutar código al visualizar un correo HTML en Thunderbird."

Firefox ya está por la versión 3.01, Thunderbird se ha quedado en la 2.0.0.14, con temas de seguridad no resueltos en su código, y que al ya conocerse porque han sido resueltos en Firefox, son incluso más fáciles de explotar.

Los problemas aquí se dan en que pese a eso, Thunderbird dirá que está actualizado a la última versión, lo cual no quiere decir que sea la más segura.

Las actualizaciones de Firefox de problemas críticos, en muchos casos pueden llegar a afectar a Thunderbird, dado que comparten funciones para el procesamiento de páginas web. Pero si se arreglan en uno y no en el otro, no solo el cliente de correo termina siendo más inseguro, sino que se termina sabiendo exactamente qué se corrigió, lo cuál facilita saber cómo explotarlo.

Si un proyecto de software libre y/o de código abierto deja de actualizarse y mantenerse, uno de sus mayores problemas es éste: los agujeros de seguridad que se pueden dar y que nunca serán resueltos. Ojo, esto también pasa con los software comerciales, la diferencia es lo que termina estando a la vista de todos: el código del programa.

"is"

jueves, 17 de julio de 2008

¡Conseguí amigos y mucho spam!

El 20 de Julio próximo se celebra en Argentina el día del amigo, y un diario local no tuvo mejor idea que aprovechar el evento para crear una campaña pseudo-viral.

Lo interesante del caso es los desastres en materia de programación, seguridad y privacidad con que fue programado el sitio, y que comenta Cristian en su blog:

http://seguinfo.blogspot.com/2008/07/un-millon-de-amigos-y-de-errores.html

El sitio en cuestión se encuentra en la siguiente dirección:

http://www.amigos.lanacion.com.ar/

Problemas de seguridad y privacidad encontrados:

  1. Pide datos de usuario y contraseña de tu mensajero instantáneo para hacerles llegar la invitación a tus amigos. Mi pregunta a quienes pusieron sus datos ahi: ¿saben qué pasa del otro lado con su usuario y contraseña? No es por desconfiar de La Nación, pero personas hay en todos lados y vaya uno a saber cómo se almacenan esos datos y quien (persona) tiene acceso a los mismo.
  2. Publica en el sitio direcciones de correo electrónico: la delicia de cualquier spammer. Basta con ir copiando las que aparecen y linda base de datos se armarán para llenarnos las casillas de email con spam y más correo basura.
El día del amigo, quienes hayan puesto su correo ahí, lo van a pasar con la casilla llena de spam :-)

Nunca, jamás, never, ingresen sus datos de usuario y contraseña de cualquier servicio en otro sitio. No importa si es confiable o no, no importa si es lo que sea, no lo hagan. De lo contrario, nunca sabrán lo que pase con los mismos...

"is"

martes, 15 de julio de 2008

¿Google 0 - Yahoo 0?

El Domingo publicaba un post sobre los resultados publicados por la herramienta Google Safe Browsing respecto de los dominios principales de Google y Yahoo!. Hoy, paranoico que soy, se me dio por volver a revisar los resultados y me encuentro con que los dominios www.google.com y google.com ya no muestran lo mismo que había comentado días atrás. ¿WTF?

Google Safe Browsing solamente muestra los resultados de los últimos 90 días, por lo que pueden haber pasados tres cosas:

  • La infección reportada en aquel momento por la herramienta es anterior a 90 días contados desde el día de hoy
  • La infección reportada se trataba de un error y/o prueba, y la misma se ha corregido
  • La información ha sido cambiada por otros aspectos (modo paranoico)

Me gustaría oír opiniones... porque para teorías, ya tengo demasiadas :)

PD: De paso, dejé un comentario en el blog de Matt Cutts, donde hablaban ayer de temas relacionados, para ver si él si sabe qué pasó :)

PD2: Lo interesante es que desde el Domingo 13 en que posteé esto, hay varios lugares más donde apareció (1 día después)...

PD3: No tengo nada personal con Google, es más, soy fan de muchas de sus cosas, pero esto, así como lo de las redirecciones, me hacen preguntar demasiadas cosas...

El "cibercrimen" está estructurado

Desde hace tiempo vengo hablando de que los creadores de malware y responsables de otros tantos ataques informáticos, se han profesionalizado a fin de aprovechar estas herramientas con el objetivo de obtener beneficios económicos a expensas de las víctimas de sus desarrollos.

Esto ha estado creciendo cada vez más, y varios equipos de investigadores han comenzado a analizar la estructura de estas organizaciones criminales que utilizan la tecnología. Net-Security comenta hoy sobre un estudio de una empresa de seguridad finlandesa algunos aspectos de estas organizaciones.

La estructura descripta en el informe no es otra que la de una organización claramente definida, con jefes, sub-jefes y operarios, que se asemeja a una industria y que se beneficia de ella. Esto es un cambio drástico de lo que era el mundo del malware 10 años atrás, y que va más allá de quién programa las herramientas, sino de quien las financia y para qué.

Todo esto se traduce en mayor cantidad de vectores de ataques, enfocados en llegar a la mayor cantidad de usuarios o a grupos específicos, y que se ven beneficiados por las nuevas tecnologías.

El informe original puede ser encontrado en la siguiente dirección:

http://www.finjan.com/Pressrelease.aspx?id=1998&PressLan=1819&lan=3

domingo, 13 de julio de 2008

Google 1 – Yahoo 0 (según Google Safe Browsing)

Hoy se me dio por probar qué resultados darían los dominios google.com y yahoo.com en la herramienta Google Safe Browsing que comentaba aquí dos meses atrás, y a la cuál podés acceder desde un recuadro en la derecha de este blog.

En los siguientes enlaces podrán encontrar los resultados de cada dominio al día de hoy:

- Google
- Yahoo!

El resultado de Yahoo! es lógico para una empresa de tal renombre, pero el de Google es llamativo, en la última parte, dónde la herramienta nos informa si el sitio ha alojado o no malware en los últimos 90 días:




Traduciendo: “Si, este sitio ha alojado malware en los últimos 90 días. Ha infectado 1 dominio, incluyendo hoyem.org”. ¿Google alojó malware en algún momento por alguna vulnerabilidad no conocida? ¿Error de la herramienta de Google? ¿Qué habrá pasado para que Google Safe Browsing informe esto del dominio Google.com?

Homero Simpson no lee Virus Attack!

Allá por el 2002, Homero registró su casilla de correo y comenzó a usar Internet. Al menos, eso fue lo sucedido de acuerdo a un episodio de ese año del show de televisión Los Simpsons, donde Homero dice cuál es su dirección de email (chunkylover53@aol.com, para ser preciso).

Durante un tiempo, uno de los productores estuvo usando esa dirección de correo, respondiendo los mensajes de quienes escribían allí interesados en ver si Homero realmente estaba o no usando esa dirección. Incluso, el productor intentaba responder como si lo hiciera el mismo Sr. Simpson.

Pero luego, ante la avalancha de respuestas, la dirección de correo ya no devolvía mensajes, y durante años, nada más se supo de Homero en Internet… hasta la semana pesada, cuando repentinamente, todos aquellos que habían agregado a chunkylover53 a su mensajero instantáneo, lo vieron aparecer online.

Muchos comenzaron a escribirle mensajes instantáneos, para encontrarse que todo lo que recibían era un mensaje diciendo que el usuario no estaba frente al equipo en ese momento (idle) y los invitaba a descargar un video exclusivo de los Simpsons, solo para Internet.

En realidad, si se descargaba dicho archivo, el mismo no era un vídeo, sino un ejecutable que realmente era un malware, y estaba alojado en un servicio gratuito de hosting. Durante varios días, el mensaje fue cambiando, sin nunca Homero responder mensajes.

Lo que parece que ha pasado es que alguien consiguió las credenciales de la cuenta chunkylover53 y aprovechando que muchas personas la han tenido en su mensajero durante mucho tiempo, la comenzó a aprovechar para distribuir malware.

Habría que recomendarle a Homero (o al productor que tenía la cuenta) que lea Virus Attack! y siga las recomendaciones posteadas aquí para evitar el malware y mantener segura su cuenta de correo… Sin embargo, ya sabemos como es Homero con los virus y las computadoras, ya que allá por el año 2000, no ejecutó el antivirus en la planta ni se preocupó del bug del Y2K y toda la red de plantas nucleares de Estados Unidos dejó de funcionar :-) Algunos no aprenden más…

Primero visto en Slashdot ("News for nerds, stuff that matters" ;-P)

sábado, 12 de julio de 2008

¿Qué es un dialer? (Lección 20)

Retomando la serie de aprendizaje sobre malware y relacionados, esta vez voy a hablar sobre el concepto de dialer que aunque es un tipo de código malicioso en baja, es bueno para demostrar ciertos puntos de la relación malware-dinero.

Un dialer es básicamente un troyano cuyo objetivo es interactuar con la placa módem de la computadora donde está instalado y realizar llamados telefónicos desde la misma a números de pago (p.e., 906 en España, 0600/0610 en Argentina, etc) haciéndole gastar pulsos telefónicos al usuario infectado y ganar dinero al administrador de dicho número.

Cuando el equipo se infectaba con un dialer, si éste detectaba que la conexión telefonica de la computadora estaba inactiva, realizaba llamados a estos números telefonicos por distintas cantidades de tiempo, lo cual repercutía luego en la factura telefonica del usuario.

Normalmente estos dialers no se reproducían por si mismos (de ahí que sean considerados como troyanos). Sencillos de programar, comenzaron a marcar una tendencia en los intereses transformados de los creadores de malware.

El dialer demuestra dos puntos muy importantes de la historia del malware:

  • De cierto modo, los dialers fueron uno de los primeros intentos serios de utilizar los códigos maliciosos para generar ingresos económicos, aprovechando que allá por fines de los 90, comienzos de esta década, todavía muchos usuarios contaban con conexiones dial-up (que usan la línea telefonica directamente) alrededor del mundo.
  • Demostraron que la interacción entre malware y “realidad” era posible, e incluso, beneficiosa para los programadores de códigos maliciosos

Aunque muchos no lo consideran así, en mi opinión, los dialers, aunque no tan masivos como otros tipos de malware, han sido un punto de inflexión en la historia de los códigos maliciosos. Obviamente que no por su calidad técnica, sino por el link que comenzaron a establecer entre malware y dinero, que hasta su aparición, nunca había sido tan claro.

jueves, 10 de julio de 2008

¡Cuánto amor!

Que los desarrolladores de malware tienen una relación de "amor-odio" con la comunidad antivirus es algo sabido, y sino, lean el siguiente post de Hispasec:

http://blog.hispasec.com/laboratorio/295

"is"

domingo, 6 de julio de 2008

Equipos personales en el trabajo

Un artículo reciente en MateriaBiz me hizo acordar de una entrega de la tira cómica Dilbert, que dejo a continuación:



El uso de equipos personales en el trabajo son un gran problema de seguridad, y una de las causas por las que la seguridad perimetral no puede ser aplicada completamente, ni con el control necesario.

"is"

Seguridad en el perímetro

Es muchas veces díficil explicar qué es la seguridad en el perímetro o perimetral. Desde hace varios años, en seminarios en los que he participado, siempre he hablado de este tema, y cómo se ha hecho complejo a lo largo de los años de la informática.

En un principio, el perímetro de nuestra red eran las mismas paredes de nuestra oficina. Con el advenimiento de internet, los smartphones, las laptops, y demás, este concepto se ha redefinido completamente, haciendose más complejo.

Un white paper publicado por IBM y que me ha llegado a través del blog de Sergio Hernando brinda los fundamentos de la seguridad perimetral.

Los invito a leerlo si no saben o conocen poco del tema:
http://www.redbooks.ibm.com/abstracts/redp4397.html

"is"

sábado, 5 de julio de 2008

Los últimos 10 años de la industria antivirus


Via el blog de Dancho Danchev, me entero de un chiste gráfico realizado por la gente de Ikarus, una compañía antivirus.

Es real el cambio que se viene dando entre creados de malware y empresas antivirus. Mientras que antes eran los últimos quienes corrían detrás del malware, teniendolo relativamente controlado, la situación se ha tornado más caótica.

La gran cantidad de malware hace necesario un enfoque conjunto de control, prevención y educación para mantener los códigos maliciosos a raya.

"is"

Novedad de seguridad en Internet Explorer 8: Filtro XSS

Me enteró por el blog Security Vunerability Research & Defense de Microsoft, de una nueva funcionalidad de seguridad que será integrada en la Beta 2 de Internet Explorer 8, aún en desarrollo.

Esta nueva funcionalidad es un filtro XSS (cross-site-scripting) que busca proteger a los navegantes contra ese tipo de ataque, muy utilizado en la actualidad. Los ataques XSS son aquellos que aprovechan fallas de seguridad en el desarrollo de sitios web que pueden permitir, entre otras cosas, el acceso a las cookies del visitante, interactuar con su navegación en los sitios web para obtener información sensible, etc.

Dichas vulnerabilidades se deben, puntualmente, a que los desarrolladores de algunos sitios web no comienzan su trabajo pensando en la seguridad, dejando de lado controles básicos en su programación.

El filtro que se incorporará en Internet Explorer 8 bloqueará el acceso a aquellas URLs que puedan intentar aprovechar vulnerabilidades XSS, mostrando un mensaje de aviso al usuario. La funcionalidad es explicada en detalle en el blog de Internet Explorer de Microsoft.

Para evitar problemas de acceso a ciertos sitios web que puedan ser falsos positivos, la aplicación del filtro puede ser anulada por el propietario del sitio web, mediante una cabecera HTTP particular (X-XSS-Protection: 0).

En los comentarios del blog que anuncia esto ya se ven algunas preocupaciones al respecto de este filtro, tales como lo confuso que puede ser para el usuario promedio, así como la efectividad que pueda llegar a tener.

Vale recordar que el plugin NoScript de Mozilla Firefox ya protege contra muchos de estos tipos de ataques.

Es bueno, de todas formas, ver que Internet Explorer se va aggiornando a las necesidades de seguridad de sus usuarios.

"is"

viernes, 4 de julio de 2008

Congreso Seguridad en Cómputo 2008 / UNAM (México)

En la semana del 19 de Septiembre se llevará adelante el congreso anual de Seguridad en Cómputo, organizado por UNAM/CERT, que se compone de talleres y conferencias magistrales sobre todos y cada uno de los temas relacionados a la seguridad informática.

Más información sobre el evento se puede encontrar en:

http://congreso.seguridad.unam.mx/?idioma=es

Espero poder asistir :-)

"is"

Windows Server 2008, Firewall y Servicios

Es bien sabido que Microsoft viene trabajando en implementar cada vez más medidas de seguridad en sus sistemas operativos. Sus iniciativas pueden ser bien o mal recibidos, y considerarse acordes o no, pero eso no quita que no se esté haciendo.

Windows Server 2008 es el último miembro de la familia de sistemas operativos para servidores de Microsoft, lanzada durante este año, que implementa varias medidas de seguridad. Una de ellas es la integración de un firewall propio, al estilo de lo que Microsoft hizo con Windows XP SP2 y Windows Vista.

Esta es la primera vez que Microsoft incluye un firewall en su S.O. para servidores, y no solo eso, sino que viene activado por defecto.

Esta decisión está basada en el hecho de que hay una gran cantidad de equipos, con servicios directamente publicados en Internet, que no siempre tienen la seguridad adecuada para ello.

Por ejemplo, una investigación realizada por David Litchfield, de NGS Software, encontró que alrededor de 368.000 equipos con SQL Server son accesibles desde Internet, así como alrededor de 124.000 con la base de datos de Oracle.

Que estos servidores estén expuestos a Internet no quiere decir que sean vulnerables, pero que se encuentre un agujero de seguridad explotado con algún código 0-day puede llegar a hacerlos inseguros a todos al mismo tiempo.

En ese sentido, la recomendación es elegir una política de seguridad adecuada, que incluya un firewall de seguridad perimetral o en el mismo servidor, y por ello Windows Server 2008 lo trae activado.

Sin embargo, no todo el mundo lo sabe, y al migrar de plataformas anteriores (como Windows Server 2003) se puede encontrar con que sus servicios, como SQL Server, dejan de funcionar.

Por ello, el blog de seguridad SQL de Microsoft publicó un artículo con las acciones recomendadas a tener en cuenta en estos casos, que se aplican no solo a SQL Server, sino también a cualquier servicio que se tenga en Windows Server 2008 y pueda ser bloqueado por el firewall integrado.

Visto en el blog de Michael Howard.

miércoles, 2 de julio de 2008

Más seguridad para los usuarios de World of Warcraft

No es ninguna novedad que uno de los objetivos de los creadores de malware es obtener información de los usuarios, específicamente datos de acceso (usuario y contraseña, p.e.) a servicios de internet de todo tipo.

En esa línea, uno de los objetivos más comúnes de este tipo de códigos maliciosos es tratar de obtener credenciales de acceso a plataformas de juegos en línea tales como Lineage o World of Warcraft.

En respuesta a eso, Blizzard, la compañía detrás del World of Warcraft, ha lanzado el Blizzard Authenticator, una herramienta de seguridad adicional para sus usuarios, paga, y basada en hardware.

Este "Authenticator" no es otra cosa que un token basado en una llave USB, que permite tener una doble autenticación para ingresar a WoW: el usuario y contraseña tradicional, y un código aleatorio generado y autenticado por la llave USB.

Este tipo de herramientas ya está siendo utilizada para seguridad en algunas empresas, bancos y financieras, pero es poco común encontrarlo fuera de esos lados.

Es un excelente paso por parte de Blizzard, dado que World of Warcraft viene siendo uno de los objetivos más comúnes de los creadores de malware. Agregando una nueva capa de seguridad, brindarán una mejor experiencia a sus usuarios/clientes, y así podrán seguir haciendo crecer su negocio (obviamente).

Más información sobre el Blizzard Authenticator se puede encontrar aquí:

http://us.blizzard.com/support/article.xml?articleId=24660&rhtml=true

Más allá de que los tokens son una interesante medida de seguridad, es importante que no son infalibles, así que seguir practicando computación segura es recomendable para todos aquellos usuarios de World of Warcraft, token o no token, y para todos los que andamos por Internet a diario.

"is"

NOTA MENTAL: ¿Qué pasaría si todos los servicios en línea implementaran este tipo de tokens? ¿Cuántos tendríamos que tener? Da para pensar de nuevo en lo que es la seguridad vs. la usabilidad...

[La imagén fue tomada de Wikipedia]

Notas y estadísticas sobre seguridad y versiones de navegadores de Internet

Siguiendo con el análisis de las estadísticas relacionadas con las herramientas utilizadas por aquellos que acceden a este blog, que comencé con el tema de las versiones del Adobe Flash Player, paso ahora a revisar el tema de los navegadores.

Actualmente, el 65,87 % de los visitantes de este blog utilizan Internet Explorer, mientras que el 30,19 % están usando Firefox, siempre basándome en las estadísticas de los últimos 30 días.

Las estadísticas de las versiones de Internet Explorer no nos permiten saber exactamente si se está usando la última versión exacta, y con ello, la más segura, con todas las actualizaciones, porque el navegador solamente informa la versión "madre", es decir, si es 7.0, 6.0, etc. Al menos, solamente el 3 % de los visitantes de este blog utilizan versiones anteriores a la 6.0.

Pese a todo, si usamos Internet Explorer, tenemos que preocuparnos de mantenerlo actualizado, para lo cual lo ideal es activar las actualizaciones automáticas de Windows. Para quienes no sepan cómo, les dejo este enlace:

http://support.microsoft.com/kb/306525/es

Lo bueno es que con Firefox si podemos ver exactamente qué versión se está usando y por suerte, veo que las versiones utilizadas son de las más actuales (hasta hace unas horas):

  • 62 % está utilizando la versión 2.0.0.14
  • 18 % está usando la versión 3.0
  • El resto está usando versiones más antiguas, incluso alguna que otra 1.x
Para todos aquellos que no quieran usar la versión 3.0, porque es reciente, lo recomendable es que se mantengan al día con la versión 2.0. Desde ayer ya existe una nueva versión, la 2.0.0.15, que resuelve varios temas de seguridad.

Si no sabes cómo actualizar tu Firefox, es bastante simple:
  • Abris el navegador
  • Vas al menú Ayuda
  • Elegis la opción "Buscar actualizaciones..."
  • Si existen nuevas versiones para tu navegador, te propondrá descargarlas e instalarlas
(Tengan en cuenta que la versión 2.x de Firefox solamente será mantenida por los desarrolladores hasta Diciembre de este año)

Más información sobre últimas versiones de Firefox 2.x en:

http://www.mozilla.com/en-US/firefox/all-older.html#es

Con estas notas y comentarios sobre estadísticas, quiero que todos recuerden lo importante que es mantener el software que usamos actualizado, sobretodo en materia de seguridad de nuestra computadora. Si nuestro navegador no está actualizado, sin importar cuál es, el mismo puede contener bugs conocidos (siempre hay errores en el software) que podrían permitir "atacar" nuestro equipo cuando visitamos algún sitio web.

Manteniendo al día nuestras aplicaciones, haremos más segura nuestra experiencia en Internet. Lamentablemente, no todos hacen esto, como se puede ver aquí :-)

"is"

Herramienta de código abierto de análisis de sitios web, by Google

El día de hoy, Google liberó ratproxy, una herramienta que permite analizar sitios web en busca de potenciales vulnerabilidades varias.

Esta herramienta está pensada para analizar sitios de internet y automáticamente determinar posibles vulnerabilidades, así como priorizarlas y brindar información sobre las mismas.

Entre otras cosas, busca por posibles XSS, XSRF, inyecciones de datos, inclusiones potencialmente peligrosas, y mucho más. Lo interesante es que es gratis, de código abierto y puede incluso encadenarse con otras aplicaciones similares.

Para aquellos que estén interesados en probar esta aplicación, deben tener en cuenta que está pensada para usuarios avanzados, y no funciona directamente sobre Windows sin tener implementado cygwin previamente.

Más información en:

http://code.google.com/p/ratproxy/
http://code.google.com/p/ratproxy/wiki/RatproxyDoc