lunes, 31 de marzo de 2008

Un enlace vale más que mil palabras...

Simplemente, me hago eco de esta noticia en Internautas, que recibi via twitter de Xyborg:

http://seguridad.internautas.org/html/4347.html

¿Para qué comentar lo incomentable? Si mi banco la errara tan feo, ya estaría cerrando todas las cuentas...

"is"

sábado, 29 de marzo de 2008

Spam y Fraude de Clics todo en uno (en teoría, Marge)

Spam y Fraude de Clics todo en uno

Como siempre, revisando el spam que recibo para ver qué hay de nuevo o para intentar encontrar algo que me llame la atención, me encontré con uno que contenía básicamente un enlace como el siguiente:

http://www.google.de/pagead/iclk?sa=l&ai=XXXXXX&num=XXXXXX&adurl=XXXXXX

(Quiero destacar que obviamente, donde dice XXXXXX había otro dato pero lo reemplacé para que el enlace no funcionara)

Esto no es algo completamente nuevo (es más, creo que anda dando vueltas desde el 2006 o antes), pero es interesante el “2 por 1” que buscan los autores con este tema.

Vayamos por partes:

  • Ya todos sabemos lo que es spam, así que no lo vuelvo a explicar (por las dudas, es todo ese correo basura que nos llega a nuestra casilla y que nosotros nunca solicitamos)
  • El fraude de clics (o click fraud, o clickfraud) es lograr obtener más ganancias (haciendo trampa) de los servicios de publicidad que pagan por clic y que muchos de los webmasters pueden incluir en su sitio gratuitamente (más clics en la publicidad, más dinero reciben, en teoría)

Ya en otro post anterior sobre spam y google había mostrado una forma que existía (ya no, al menos no igual) para poder usar al buscador como redireccionador para llevar a otro sitio. El concepto que se aplica aquí es el mismo, pero sumando la posibilidad de hacer fraude de clics (en teoría).

Si observan la URL que puse más arriba como ejemplo, verán que pertenece a google, y el script iclk recibe los parámetros ai, num, y adurl. Los primeros dos son parte de la identificación del advertiser (para usar términos “modernos” ;-P) y el último es la dirección web de destino.

Ahora bien, esa dirección URL de destino puede ser cambiada arbitrariamente por cualquiera, es decir, que si ahora vamos a google, hacemos una búsqueda y copiamos la URL de cualquiera de los enlaces patrocinados, se podrá cambiar la url de destino en el mismo, y usar al contabilizador de clicks de Adsense/Adwords de Google como redireccionador, haciéndole gastar dinero, en teoría, al anunciante.

De esta manera, también podría usarse para enviar masivos correos de spam, con enlaces de este tipo, para que cuando la gente haga clic en el enlace, no solo vaya al destino del correo basura, sino también el responsable del spam pueda ganar dinero (si Google no penaliza su cuenta).

Es otro tipo de técnica de spam más que cumple con los objetivos que siempre se han planteado los spammers: que el usuario confie/crea/se vea motivado por el mensaje, y que a su vez, haga clic en el enlace (y quien no haría clic en un enlace de Google ;-P).

Como dije, la técnica no tiene demasiado de innovación, pero si es interesante repasarla, porque, si se me lo permite, aquí Google ha cometido un grave error de diseño: permitir que se pueda cambiar fácilmente la dirección de destino de su redireccionador de clics, al ponerla tan claramente, en texto plano, al alcance de quien quiera hacerlo.

Puede ser que Google esté filtrando este tipo de cosas de su lado, y que los clics no sean contabilizados, pero sin embargo, cualquiera puede usar esta técnica (vayan, hagan la prueba de lo fácil que es usar un enlace patrocinado como redireccionador a cualquier sitio web).

Esto podría ser fácilmente evitable con Google si en lugar de mantener la URL de destino del anuncio en texto plano, la misma estuviera almacenada en una base de datos del buscador, y que la URL solamente tuviera un id(entificador) del anuncio, que luego sirviera para obtener en los sistemas de Google la URL de destino.

Espero que mejoren esto, dado que me parece un aspecto clave de la seguridad, ya que dejan la puerta abierta a ataques de ingeniería social, usando su propio dominio como la fuente de confianza.

“is”

PD: Si alguien hace la prueba, deje un comentario, para corroborar esto y que Google no se la agarre conmigo solo ;-P

PD2: Si alguno conoce más sobre la arquitectura del enlace de AdSense/AdWords para aportar más datos a este tema, bienvenido será :-)

viernes, 28 de marzo de 2008

Sitios con estadísticas sobre spam

Las estadísticas sobre spam varían de fuente a fuente, y cada una de ellas tiene como base distintos orígenes, tales como productos específicos de filtrado, logs de múltiples servidores, etc.

Aquí les dejo una lista amplia de fuentes, casi todas ellas en inglés, sobre el tema. Siempre tomar con pinzas aquellas que tienen como fuente una compañía, pero comparando todas, se puede ver un interesante estado de situación:

  1. MessageLabs

    El servicio muestra estadísticas sobre virus, phishing y spam. Las primeras dos no parecen tan reales, sobre todo la de virus que solamente analiza aquellos que van por correo electrónico, pero la de spam es interesante:

    http://www.messagelabs.co.uk/intelligence.aspx

    Si se ve bien, se verá que en muchos casos, esta fuente muestra que la mayor cantidad de spam se registra los fines de semana. En la semana de este post, casi el 70 % de los mensajes analizados fueron spam entre sábado y domingo, con un promedio en la semana de casi el 50 %.
  2. DCC

    Una fuente interesante que recolecta información de alrededor de 300 servidores:

    http://www.dcc-servers.net/dcc/graphs/

    Es original el tema del spam realmente detectado contra el que posiblemente fuera spam.
  1. Barracuda Central

    Otro proveedor de filtros de contenido; no prestar atención a virus (solo email):

    http://www.barracudacentral.com/index.cgi?p=spam

    Lo que si es interesante es la clasificación del spam por tema, donde se ve en esta semana el tema de las farmacias online, y los productos replica.
  1. Spam-O-Meter

    Ofrecen además de estadísticas por paises y categorias, distintos widgets para verlos en tiempo real en el escritorio:

    http://www.junk-o-meter.com/stats/index.php

    País fuente de mayor spam esta semana: Estados Unidos, seguido por Corea del Sur y China.
  1. SenderBase (de Ironport)

    Datos de fuentes de spam (por IP y país) en tiempo real:

    http://www.senderbase.org/home/detail_spam_source
  1. Commtouch Spam Lab

    Este proveedor de soluciones de correo tiene estadísticas que muestran principalmente la cantidad de spam detectados, así como dominios y países:

    http://www.commtouch.com/Site/Resources/statistics.asp

    Tienen una calculadora de costo del spam.
  1. Akismet

    Spam en blogs, principalmente aquellos que usan el plug-in de esta empresa para Wordpress:

    http://akismet.com/stats/
  1. Marshall

    Otro proveedor de soluciones de filtrado de correo, que muestra porcentajes de detección, tamaño del spam y el spam en imágenes:

    http://www.marshal.com/trace/spam_statistics.asp

    El otro punto interesante es que muestra cuáles son los bots fuentes de spam principales.
  1. SpamCop

    Basado en reportes recibidos de usuarios y servidores:

    http://www.spamcop.net/w3m?action=hoshame
    http://www.spamcop.net/spamgraph.shtml?spammonth
    http://www.spamcop.net/w3m?action=inprogress;type=www
    http://www.spamcop.net/w3m?action=inprogress

    Muestra gráfico de cantidad de spam y origen de los mismos.

Este es un panorama general de las principales fuentes de estadísticas de spam que nos ayuda, sumando su totalidad, a entender lo que sucede con este mal de Internet.

Espero les sirvan estos recursos.

“is”

Me sentí completamente identificado...

No me pasó nunca, pero no estoy tan lejos:



Visto en el Blog de Hispasec.

"is"

Chocolate por la noticia... Malware desde fábrica...

Al menos en mi país, cuando algo es muy pero muy obvio, se le suele decir "chocolate por la noticia" al interlocutor... Esa frase es lo primero que me vino a la cabeza cuando leí este titular recién:

> Se descubrió que los virus también pueden venir de fábrica

Respeto mucho a Canal-AR, me gusta su medio, y lo que hicieron fue tomar una noticia publicada por Associated Press, que lamentablemente, no tiene pies ni cabeza.

Si, puede pasar que un equipo electrónico de algún tipo salga infectado por un malware de fábrica, pero de no se descubrió ahora... es más viejo que Windows. Paso con unos iPod de Apple hace unos años, y también con software de HP, como por ejemplo acá:

http://www.hispasec.com/unaaldia/2781


¿Cómo no va a seguir pasando? Es lógico; la seguridad en muchas cosas no es tan prioritaria como debería, y por ende, pueden pasar estas cosas... Lástima que AP no haya chequeado el tema antes de publicar algo como eso.

"is"

El loro hacker

Estos de Google están en todo. Recomiendan no comunicar la contraseña a nadie (algo lógico), ni siquiera a tu loro (???????).


Miren que soy paranoico, pero eso me sobrepasa ampliamente.
Visto en Microsiervos.

lunes, 24 de marzo de 2008

Cambios de objetivos de los defacers

Los defacers son aquellos que realizan defacement de páginas web, lo cual es cambiar un sitio de internet a partir de una vulnerabilidad en el mismo de algún tipo (software, humana, etc).

Es una práctica común de los pseudo-hackers para mostrar de lo que son capaces, y es algo que hasta hace poco se hacia cada vez más común.

Sin embargo, Zone-H.org, un sitio cuyo objetivo es monitorear y publicar los defacements que se van dando, informa de una estadística muy interesante: en el 2007, hubo menos de lo normal.

Según informan en su página web, este tipo de ataques solía subir alrededor de un 30% de año a año, pero durante el 2007, se produjo una baja del 37 %, algo que nunca había ocurrido antes:

http://www.zone-h.org/content/view/14940/31/

Las conclusiones de los responsables del sitio son:

  • Cada vez hay menos interes de los medios por este tipo de ataques, por lo que no da la fama que daba antes
  • Los responsables de este tipo de ataques están cambiando a otros que les puedan dar más beneficios
Específicamente, la gente de Zone-H.org marca el descenso en los defacements realizados por los conocidos grupos brasileños.

Es otro dato más que nos muestra que quienes están detrás de los ataques informáticos están enfocándose cada vez más hacia la obtención de dinero, ya que Brasil es uno de los principales productores de troyanos bancarios y otros códigos maliciosos relacionados.

"is"

domingo, 23 de marzo de 2008

Para muestra, alcanza un botón

Para muchos encargados de seguridad informática, el malware no tiene la prioridad que tienen otras actividades de gestión, monitoreo, auditoria y otras yerbas. Pero, más allá de eso, sigue siendo uno de los temas que más afecta las empresas (ver último informe del CSI).

El alcance que el malware pude tener sobre la infraestructura tecnológica de una compañía es grande, pero se menosprecia en muchos casos.

Basta con escuchar de un caso específico como el que nos cuenta Sebastián en su blog:

http://unmundobinario.wordpress.com/2008/03/22/%c2%bfcuanto-dano-puede-causar-un-malware/

Si un malware en un único equipo infectado puede causar una disrupción de la conexión a internet de una empresa de 400 empleados, ¿no es hora de que se tome más en serio el tema por los CISO, CSO y todas esas siglas que tanto les gusta ostentar?

"is"

¿Qué es la ingeniería social? (Lección 14)

La ingeniería social es la técnica no-informática más efectiva usada por los creadores de códigos maliciosos (malware) y delincuentes, dado que no se basa en la tecnología, sino en atacar la vulnerabilidad humana.

Es básicamente la manipulación de la tendencia del ser humano a confiar, con el objetivo de hacer que una persona haga algo que el delincuente quiera (descargar un archivo desde Internet, acceder a un enlace, brindar información confidencial, tomar una decisión en particular, etc).

Esta técnica tiene sus fundamentos en la curiosidad del ser humano, así como en sus ganas de ayudar, en la persuasión, la creación de confianza, y todo aquello que haga que una persona baje las defensas.

Podemos ver la aplicación de la ingeniería social relacionada al malware en muchos aspectos de ellos: el tipo de mensajes de correo electrónico usados para engañar al usuario (eventos de relevancia, información confidencial, fotos de acontecimientos importantes, pornografía, etc), en el phishing, en los banners engañosos, en la forma utilizada para reproducir malware por MSN Messenger, etc. El creador del código malicioso trabaja en encontrar la mejor forma de que el usuario confíe y ejecute/instale el malware.

Pero no solo en el malware se utiliza, sino también en muchos otros aspectos. La ingeniería social tradicional comenzó, y sigue utilizándose, a través del teléfono. Por ejemplo, un delincuente que llama a un empleado de una empresa haciéndose pasar por alguien de soporte técnico interno de la compañía para obtener información de acceso.

Todo, absolutamente todo, lo que se usa para hacer que una persona confíe en otra, con el objetivo de obtener información del mismo y/o llevarlo a realizar alguna acción, es básicamente ingeniería social.

Para defenderse contra la ingeniería social no hay otra forma que la concientización y educación de las personas para saber la importancia de la seguridad informática y cómo aplicarla y respetarla.

Para más información:

sábado, 22 de marzo de 2008

¿Existe un país con el 95 % de las computadoras infectadas?

Si, existe, y se llama Vietnam, de acuerdo a declaraciones de Dang Van Hieu, del Ministerio de Seguridad Pública de ese país.

Según comentó en un conferencia, sumarizando datos propios a los de VNCERT (Equipo de Respuesta ante Emergencias Tecnológicas de Vietnam) y BKIS (una empresa local de seguridad informática), el 95 % de las computadoras de ese país fueron infectadas por algún tipo de malware durante 2007.

No solo eso: el 25 % de los sitios web más importantes del país estuvieron vulnerables durante ese año a ataques a través de explotación de vulnerabilidades.

Otros datos estadísticos:

  • Se encontraron vulnerabilidades en 140 sitios web de agencias gubernamentales y compañías que sin saberlo estuvieron distribuyendo malware a sus visitantes
  • 342 sitios web fueron alcanzados por ataques, siendo la fuente de más de 200 externa a Vietnam
  • 12 de los 22 sitios de acciones búrsatiles del país fueron atacados

Más información en:
http://www.darkreading.com/document.asp?doc_id=148863

Interesantes estadísticas. Me pregunto como obtuvieron algunas de ellas, pero más allá de eso, no deja de quedar claro que la seguridad informática tiene que ser abordada a través de un enfoque compartido por ciudadanos, empresas, y agencias gubernamentales.

"is"

No responda este mensaje...

Muchos de nosotros recibimos notificaciones y mensajes de los servicios de Internet que utilizamos. Estos mensajes nos son enviado en forma automática, y el remitente del mismo usualmente es una dirección inexistente tal como noresponder@dominio.com o noreply@dominio.com, entre otras tantas opciones.

Es una práctica muy común cuya intención es que el destinatario comprenda que no debe responder al mensaje, además de eviar recibir muchas notificaciones de rebotes de correo (p.e. por direcciones de destino inexistentes) en alguna casilla real.

Más allá de eso, muchos usuarios desconocen de esto y por ende, responden a los mensajes a esas inexistentes direcciones. En la mayoría de los casos, dicha dirección simplemente no recibe mensajes, por lo que la respuesta del destintario, se pierde.

Ahora, ¿qué pasa cuando no se usan direcciones de un dominio propio de la fuente del mensaje? Si observan las direcciones de ejemplo que puse más arriba, verán que las mismas corresponden a un sitio (dominio.com) que existe pero no está en uso. Si enviamos un mensaje de correo allí, no sabremos realmente quien lo recibirá o si alguien realmente lo verá o no.

Sobre este caso hay un interesante, y extraño, post en el blog de seguridad del Washington Post, llevado adelante por Brian Krebs, el cual nos trae una entrevista al dueño del dominio donotreply.com (en español, no responder . com).

Parece ser que varias empresas y negocios de Estados Unidos envian notificaciones a sus usuarios y clientes usando una dirección con ese dominio como remitente. No lo hacen con ninguna intención, en teoría, sino que lo hacen para que quede claro al destinatario que no debe responder... pero mucha gente lo hace igual y quien recibe esas respuestas no son las empresas que envian el mensaje sino Chet Faliszek, el dueño del dominio donotreply.com.

Chet ha recibido muchas cosas que deberían no haber sido enviadas a desconocidos (documentación confidencial, por ejemplo) debido a que algunas empresas y financieras hacen envios a sus clients poniendo una dirección con su dominio como remitente.

Más en Security Fix, el blog sobre seguridad del Washington Post:
http://blog.washingtonpost.com/securityfix/2008/03/they_told_you_not_to_reply.html

La culpa no la tiene Chet, sino los administradores de esas empresas y financieras que deberían usar una dirección de correo que controlen como remitente, en lugar de una de un dominio existente.

Para clarificar un poco el tema, les dejo este simple gráfico:


Esto funciona así:

  1. Nosotros recibimos una notificación desde una empresa que utilizamos normalmente llamada suservicio.com.
  2. Al recibirlo, respondemos al mensaje para hacer alguna consulta a dicha empresa o para enviarles información porque nos la solicitan.
  3. Dado que dicha empresa usa una dirección @donotreply.com en lugar de una @suservicio.com como remitente de la notificación cuando nosotros respondemos, no lo hacemos a la empresa, sino al servidor de Chet
  4. Chet entonces recibe nuestra respuesta y no la empresa

Este tema no es tan peligroso como parece pero si muestra dos claras malas costumbres:

  • Las empresas deben ser más cuidadosas con los envios que hacen a sus clientes. Las direcciones de remitente de las notificaciones que envien deben ser cuentas en dominios que controlen adecuadamente y no inventadas y sin verificación
  • Los usuarios tenemos la mala costubre de no leer correctamente todo el contenido del mensaje. Normalmente, esas notificaciones le dan al destinatario información de cómo es la forma correcta de comunicarse con el servicio pero el mismo no presta atención y responde igual, enviando el mensaje a direcciones que no conoce

Interesante caso para ilustrar que los usuarios debemos ser más responsables con lo que hacemos y prestar atención a los mensajes que recibimos.

"is"

NOTA AL PIE: dominio.com y noresponder.com son dos dominios que actualmente no muestran ninguna página ni servicio en particular; suservicio.com es el sitio de una empresa existente cuyo dominio se utilizó solamente para ejemplificar el caso en cuestión y no tiene ninguna relación con lo comentado en este post.

viernes, 21 de marzo de 2008

Virus para Mac



PD: Que quede claro que está hecho por una compañía dedicada al diseño... :-)

¿El antivirus me infectó? No puede ser, ¿no?

Y si, puede ser, pero dependiendo de donde lo consigas :-) Obviamente que un antivirus no está creado para infectar con malware un equipo bajo ningún punto de vista. Cuando la compañía antivirus distribuye normalmente, lo hace sin malware, dado que su objetivo es proteger al usuario del producto, no lo contrario.

Sobre lo anterior, no hay dudas, al menos yo no las tengo. El problema empieza cuando se obtiene el antivirus a través de medios "alternativos", por llamarlos de alguna manera (por ejemplo, cuando no se descarga una versión de evaluación desde el sitio oficial o no se adquiere el producto en forma legal).

Un medio "alternativo" para obtener un antivirus es a través de la redes P2P, el problema es que de esa manera no siempre sabemos lo que obtenemos. Por dar un caso real, en la red de emule hay una gran cantidad de malware que se hace pasar por cracks y/o seriales de productos de software de todo tipo (como antivirus) siendo en realidad malware que si uno lo ejecuta, se instalará en el equipo.

Tan solo buscar un poco en emule, nos encontramos con un archivo con el siguiente nombre:

All.Antivirus.Keygen-Serials-Cracks.(Symantec-Antivir-McAfee-Kaspersky-
Nod32-AVG).by.ElL0cos


Si se descarga dicho archivo y se ejecuta su contenido, el usuario se terminará infectando con un malware conocido normalmente como Archivarius.

Este es solo un ejemplo que debe mostrarnos lo importante que es que obtengamos nuestro software de fuentes de confianza y no de cualquier lado donde nos lo ofrezcan. Como todo lo que es ofrecido de forma "alternativa", nunca sabremos realmente si es lo que dice ser.

"is"

Estadísticas de un estudio sobre el phishing

Via Segu-info me entero de un reciente estudio realizado por profesores de las universidades de Harvard y Berkeley para analizar por qué el phishing funciona.

El estudio muestra algunos datos interesantes como:

  • El 23 % de las personas no hacen caso a las utilidades que los navegadores tienen para informar si un sitio es seguro o no
  • El 68 % de las personas tampoco hace caso a los avisos del navegador sobre la autenticidad o vigencia del certificado del sitio
  • La edad, sexo, educación y experiencia con la computadora no muestran ninguna diferencia en cuanto a las víctimas del phishing

Más información del estudio:

http://seguinfo.blogspot.com/2008/03/por-qu-funciona-el-phishing.html

http://people.seas.harvard.edu/%7Erachna/papers/why_phishing_works.pdf

miércoles, 19 de marzo de 2008

Nos deja Author C. Clarke, un genio

Me entero via otros blogs que Sir Author C. Clarke, uno de los visionarios de la ciencia ficción, nos abandonó hoy a los 90 años. Nos deja un legado inmenso en todo sentido, tanto en su obra como tal como en lo que influyó en muchos de los desarrollos tecnológicos.

Clarke fue el autor de muchas obras importantes, como Odisea en el Espacio, donde conocemos a HAL 9000, cuyo significado en inglés es Heuristically programmed Algorithm Computer, allá por 1968. En una de las obras de la serie, HAL 9000 intenta ser detenido a través de un virus informático (3001: Odisea en el Espacio, de 1997) donde vemos como Clarke incursiona cada vez más en temas como la inteligencia articial y la informática.

No solo allí Clarke incursiona en ese tema, sino también en Cuarentena, una historia que fue publicada por primera vez en 1977, donde robots de otro planeta son infectados por virus de computadoras.

Su asociación con la tecnología y la ciencia ficción, uniéndolas en algunos puntos al hacerse realidad algunas de sus invenciones, siempre ha sido fascinante. Lo vamos a echar de menos, sin dudas.

Via TechCrunch y Microsiervos.

"is"

martes, 18 de marzo de 2008

Conteste esta encuesta y denos los datos de su tarjeta

A través del blog de Sergio Hernando y por unos emails que recibí me encontré con un cambio en el phishing bastante interesante.

Normalmente el phishing viene en emails donde se informa al usuario que debe ingresar a una dirección web para actualizar su información o su cuenta será suspendida o cancelada. Normalmente, con esta simple técnica, una gran cantidad de personas caen en la trampa, dado que el correo electrónico parece venir desde una entidad financiera o bancaria real, o al menos de un sitio que de alguna manera pueda crear una sensción de confianza a la víctima.

Recientemente se vieron algunos ejemplos de otro tipo de emails en los que en lugar de pedir la información tan directamente, se invita a la víctima a que complete una encuesta de satisfacción del cliente, típica en muchos servicios en línea, y luego, se le piden los datos para verificar la información.

Con ese cambio, se brinda aún más una sensación de realidad al usuaio, posibilitando que más gente pueda caer en la trampa.

A tener cuidado y prestar atención: si no se solicita un email, preferiblemente no debe ser abierto.

Fuente: Modificaciones en el Phishing Tradicional

"is"

jueves, 13 de marzo de 2008

Sensaciones sobre Segurinfo 2008

No voy a hacer una cobertura porque justamente mi papel en el evento no fue exactamente el de un asistente normal, ya que participé como disertante, expositor y otras tantas cosas.

Mis sensaciones al dejar el evento fueron que de los que he ido hasta ahora (los últimos 3, incluyendo el actual), fue por lejos el mejor en cantidad de asistentes, contenido, e intenciones, muchas de ellas logradas.

En este tipo de eventos siempre se puede uno quejar de temas relacionados con la organización, pero lo mismo no viene el caso, aunque queda claro que siempre se puede mejorar.

Mis sensaciones fueron completamente positivas, la calidad de los disertantes fue muy buena, y las presentaciones en general, sacando algunas que se pasaron de comerciales, fueron muy instructivas.

Felicitaciones a todos aquellos que hicieron de este evento un referente en el tema de la seguridad una vez más.

"is"

jueves, 6 de marzo de 2008

El iPhone se abre, parcialmente... y eso qué significa en seguridad?

Como siempre (o casi siempre) y a su manera, Apple revoluciona el mercado con algún nuevo invento, siendo el iPhone uno de ellos. Aunque las versiones actuales no estén disponibles en todos los países, ni para todos los operadores de telefonía, de una forma ú otra este ¿telefono? ha llegado a todo el mundo.

Ya escribí algo sobre el iPhone antes pero hoy Apple anunció oficialmente el lanzamiento de su SDK, lo cual lleva a analizar aún más el tema de su seguridad. Para más información sobre el lanzamiento del SDK:

http://www.apple.com/quicktime/qtv/keynote/ http://developer.apple.com/iphone/program/

La apertura de cómo funcionan partes del iPhone permitirá, sin dudas, que se descubran más exploits para aprovechar en esta plataforma. Lisa y llanamente, algo que lo hará más usable, tambien lo hará más inseguro.

A estar atento a las novedades de los investigadores de vulnerabilidades, que seguramente no tardarán en venir...

"is"

martes, 4 de marzo de 2008

Apoyo

Poniendome al día y aprovechando mi último post sobre ataques DDoS (que en realidad escribí para poder luego escribir esto y que todos entendiaran sobre qué estaba hablando), quería apoyar a aquellos que por denunciar un servicio fraudulento fueron víctimas recientes de este tipo de extorsión virtual.

Algunos enlaces para que conozcan más sobre el tema, que está ya en la justicia:

http://gallir.wordpress.com/2008/02/27/gracias-y-perdon/
http://gallir.wordpress.com/2008/02/16/ejercicio-super-mega-interesante-%c2%bfsaes/
http://www.elserver.com/blog/2008/02/11/marche-un-ddos/
http://seguinfo.blogspot.com/2008/02/ataques-de-ddos-y-servicios.html
http://www.identidadol.com.ar/2008/03/03/no-me-gusta-tu-sitio-te-lo-tiro/

Espero esto siente precedente y jurisprudencia para poder terminar con esta práctica que nos afecta a todos los usuarios de Internet.

"is"

¿Qué es un ataque DDoS? (Lección 13)

Ahora que ya pasamos por gran parte de las lecciones básicas relacionadas con el malware de la actualidad, vamos a enfocarnos en algunos de los usos de los códigos maliciosos.

DoS (no confundir con D.O.S., el viejo y conocido sistema operativo de los comienzos de la PC) es una sigla que significa denial-of-service, es decir, denegación de servicio. El objetivo de un ataque DoS es hacer que un servicio X no pueda responder a sus usuarios. Entonces, un ataque DDoS es un ataque DoS distribuído (de ahí la otra D).

Para facilitar la comprensión del término mediante una analogía, pensemos en el teléfono de nuestras casas. Si una persona llama a nuestro teléfono y nosotros atendemos, la línea queda entonces bloqueada para la comunicación entre quien llama y quien recibe el llamado; ahora bien, si esa persona solamente llama para molestarnos, por ejemplo, quedándose callado y no diciendo nada, y en ese momento otra persona, un amigo, quiere comunicarse con nosotros, no podrá hacerlo porque la línea estará ocupada.

Esa línea ocupada está “denegando el servicio” de comunicarse telefónicamente, todo porque alguien está ocupando la línea con un fin malicioso (molestar, intimidar, etc.)

Ahora bien, traslademos eso a Internet. Por ejemplo, una página web. Los servidores que alojan páginas web tienen una capacidad máxima de usuarios concurrentes, es decir, de personas que visiten el sitio al mismo tiempo. Esa capacidad máxima está dada por factores como el hardware del servidor, el ancho de banda del servicio de Internet, etc. Si tenemos un servidor que, por caso, tenga una capacidad máxima de 400 usuarios concurrentes, y 401 intentan conectarse en el mismo momento, el último de ellos no podrá hacerlo porque se habrá superado la cantidad máxima, y entonces, se le “denegará el servicio” de acceder a la página.

Los ataques DDoS hacen exactamente lo anterior, contra servicios de Internet tales como páginas web, servidores DNS, servidores de correo, redes corporativas, etc, y lo hacen creando conexiones entrantes a dichos servicios desde múltiples puntos a lo largo y a lo ancho de Internet. Es de ahí que se les denomina distribuidos.

Una de las formas de realizar esto es desde las famosas botnets, que son construidas para, en algunos casos, para que sus administradores realicen ataques DDoS a cambio de dinero, ya sea extorsionando a la víctima de los mismos y/o por encargo. Dado que para realizar este tipo de ataques se usan cientos o miles de equipos infectados en distintas partes del mundo, los mismos son muy difíciles de combatir, dado que lleva tiempo y recursos poder cerrar las conexiones entrantes desde dicha cantidad de orígenes.

“is”

lunes, 3 de marzo de 2008

Segurinfo 2008

El 12 de Marzo de 2008, en el Hotel Sheraton Buenos Aires, Argentina, se llevará a cabo la edición 2008 de la conferencia Segurinfo.

En este año, este evento pago sobre seguridad informática, se basará en los casos de éxito en implementaciones de soluciones de seguridad y auditoría, además de en las recomendaciones de mejores prácticas sobre el tema.

Los temas serán: Legislación Comparada, Gobierno del Mercosur, Estándares Internacionales, Manejo de Crisis, Mejores Prácticas, Concientización, Tensiones en la Empresa y Responsable de Seguridad, entre otros.

Para saber más sobre el evento, pueden visitar la página de Segurinfo, en el siguiente enlace:

www.segurinfo.org.ar

"is"

domingo, 2 de marzo de 2008

Estadísticas sobre las botnets que son fuente de spam

La empresa de soluciones de filtrado de correo e Internt, Marshal, ha publicado un informe sobre cuáles son las principales fuentes del spam. En el informe se afirma que 6 botnets son las responsables de alrededor del 85 % del spam en todo el mundo.

El informe además hace una interesante afirmación respecto al hecho de que los spammers suelen usar más de una botnet al mismo tiempo para hacer sus envios de mensajes no solicitados de correo.

A continuación les dejo el enlace al informe:

http://www.marshal.com/trace/traceitem.asp?article=567

"is"

Falsos Sitios de XXXXXX para intentar difundir malware

No es que haya un error en el título, sino que este busca ser un post atemporal. En estos días es normal ver noticias sobre falsos sitios de algún servicio (las XXXXXX) en el título que son creados para engañar al usuario a fin de que el mismo descargu malware de una supuesta fuente de confianza.

Leyendo mis fuentes de noticias del día, me encuentro con un post en el blog de Sergio Hernando, titulado "Falsos sitios de Windows Live Mail para intentar difundir malware". Dicha noticia me llevó a pensar en este post, dado que si buscamos en internet sobre falsos sitios nos encontraremos con que es una práctica más que común y no está dirigida a un servicio en particular.

Los creadores de malware buscan la forma en que nosotros, los usuarios de Internet, seamos engañados a fin de que confiemos en alguna fuente (en este caso, un sitio) para descargar de allí algún archivo que termina siendo un código malicioso. Esto se llama Ingeniería Social.

Para no caer en la trampa hay que tener claro que:

  • No es culpa del servicio suplantado, ni tampoco dicho servicio - en este caso Windows Live Mail - es vulnerable o una fuente específica de malware. Es fácil realizar una copia de cualquier sitio de Internet.
  • Nunca debemos acceder a servicios de los que somos usuarios desde banners en páginas web de terceros o desde enlaces en mensajes de correo electrónico ni de ninguna otra manera que no sea accediendo directamente por nosotros mismos (abrir el navegador, tipear la dirección web que conocemos del servicio y allí si ingresar nuestros datos).
  • Hay que tener siempre un antivirus actualizado, un firewall en funcionamiento y mantener el navegador y sistema operativo actualizado con los últimos parches.

Recuerden que Internet es como la vida misma y siempre habrá alguien que quiera aprovecharse de nosotros para sacar provecho.

"is"

sábado, 1 de marzo de 2008

Spam de Vacaciones, estadísticas y otras yerbas

Unas de las tantas cosas que no hice durante las vacaciones - además de actualizar el blog - fue chequear los mensajes en mi casilla de Gmail. Esto me dio la oportunidad de ver qué tan bien había andado el filtro antispam del servicio de email de Google, veamos algunas estadísticas:

- En 2 semanas recibí 2897 mensajes.
- 735 de esos mensajes fueron a parar a mi bandeja de entrada.
- 2162 estaba en mi carpeta de spam.
- Solamente 21 mensajes de spam no fueron clasificados como tal quedando en mi bandeja de entrada.
- Solamente 2 mensajes válidos fueron clasificados como spam.

De los datos anteriores podemos, haciendo un análisis rápido:

- El filtro antispam anduvo muy bien. Solamente falló en 0,7 % de los mensajes.
- 74 % del correo que recibí fue spam, acorde con las estadísticas públicas que hablan de entre 60 y 90 %, de acuerdo al servicio.

Son solo datos de mi cuenta personal, pero dan una muestra de lo que sucede en estos días con el spam.

Mirando rápidamente el spam recibido, la gran mayoría estaba relacionado con productos para agrandar el pene y casi todos ellos eran mensajes de texto con enlaces.

"is"

Actualización sobre spam a través de google.com

Hoy volví a probar lo que habia posteado sobre el spam usando google.com y lo han arreglado, ya que ya no hace la redirección automática como en ese momento. También dejé de notar mensajes de spam con URLs como esas, así que claramente no lo están usando más porque ya no funciona, al menos por el momento o hasta que los spammers encuentren alguna otra cosa similar.

"is"