La eterna polémica entre lo legal y lo ilegal en la lucha contra el crimen, tiene como protagonista de esta semana la noticia de que el FBI utilizó recientemente un nuevo tipo de software espía para investigar amenazas de bombas a una escuela secundaria.

De acuerdo a las leyes vigentes en Estados Unidos, los agentes federales obtuvieron una orden judicial, para enviar el pasado 12 de junio, un spyware a una cuenta de MySpace sospechosa de ser utilizada para el envío de falsas amenazas de bombas. Una vez implantado, el software envió información de la computadora del sospechoso al FBI, incluyendo un registro de las conexiones salientes.

El propio FBI llama a este software, CIPAV, siglas de Computer and Internet Protocol Address Verifier, o verificador de la dirección IP.

Con las pruebas obtenidas, el sospechoso, un joven de 15 años llamado Josh Glazebrook, antiguo estudiante de la secundaria amenazada, fue finalmente condenado a 90 días de detención en la prisión para menores, después de haber firmado una declaración de culpabilidad por enviar las amenazas de bombas y otros cargos.

Si bien existen aún muchas especulaciones sobre la manera en que el FBI habría enviado el software espía, este caso parece ser el primero en revelar que en la práctica, esta técnica es realmente utilizada.

En 2001, el FBI ni negaba ni confirmaba la existencia de su propio caballo de Troya, creado con la excusa de combatir al terrorismo. El troyano, conocido en ese entonces como Magic Lantern (Linterna Mágica), sería enviado a cualquier sospechoso, como un adjunto a un mensaje aparentemente inocente.

Ante la prensa, el organismo declaró que no era nada nuevo que la organización estuviera trabajando con especialistas de la industria de la seguridad, para crear una herramienta que fuera eficaz en combatir tanto al terrorismo, como a otros actos delictivos. Y aunque no debería ser una sorpresa, “tampoco era apropiado que se revelaran las tecnologías que específicamente serían usadas,” explicó un vocero.

Desde entonces, el FBI nada ha dicho sobre Linterna Mágica. En otros dos casos en que se sabe que los investigadores utilizaron un software espía para obtener pruebas, en realidad se trató de keylogers (registradores de lo que se escribe en el teclado), implantados por agentes directamente en los equipos, no mediante su envío electrónico.

El caso actual es diferente, ya que se envío un troyano a una cuenta de MySpace. En la declaración jurada de la orden de allanamiento presentada a un tribunal, el FBI indica que los detalles del uso de este software “son confidenciales.”

“La naturaleza exacta de los comandos, procesos, capacidades, y la configuración del software, está clasificada como una técnica de investigación especialmente sensible. [...] Su revelación probablemente pondría en peligro otras investigaciones en curso y/o el uso futuro de dicha técnica”, dice la declaración.

Las referencias, parecen apuntar a que se trata de un software específico para Microsoft Windows. Otros datos enviados al FBI, incluyen “el tipo de sistema operativo instalado y su número de serie, el nombre del usuario conectado, y las direcciones de las páginas web a las que la computadora estuvo previamente conectada,” afirma la misma declaración.

CIPAV sería instalado “a través de un programa de mensajería electrónica de una cuenta controlada por el FBI”, lo que probablemente significa un correo electrónico o de mensajería instantánea. “Luego, durante unos 60 días, se registran las direcciones IP visitadas, pero no el contenido de las comunicaciones.”

Lo curioso, y preocupante, es que este tipo de acción involucra alguna clase de infección, y por lo tanto, debería eludir las defensas de un programa antivirus o antispyware para poder ejecutarse. En la declaración jurada del FBI no se hace mención alguna al software antivirus.

Una posibilidad manejada por algunos, es que el FBI haya convencido a todas las empresas de programas de seguridad para pasar por alto a CIPAV, y para no alertar a los usuarios de su presencia. Sin embargo, esto es fácil descartarlo, ya que claramente perjudicaría a las propias compañías y a su confianza con el público, y por lo tanto a sus ventas.

La política general en este sentido para cualquier empresa de seguridad, es que si algo quiere instalarse sin conocimiento del usuario, es un malware, y debe ser detectado. Además, muchas compañías están en países a los que una ley federal no puede afectar.

Otra teoría más plausible, es que el FBI haya descubierto (o pagado a alguien para hacerlo), vulnerabilidades desconocidas en Windows que permitirían a CIPAV instalarse.

De todos modos, la polémica de lo legal y lo ilegal para combatir el crimen informático, ha vuelto a ponerse en juego.

Fuente: http://www.gratisprogramas.org/descargar-warez/el-fbi-infecta-con-un-troyano-a-un-sospechoso/

Los ciberdelincuentes aprovechan el gran interés que despierta la película entre los más jóvenes para esconder malware como archivos legítimos.

PandaLabs ha informado que varias descargas de canciones, vídeos, etc. relacionadas con “High School Musical” están siendo utilizadas por los ciberdelincuentes para ocultar malware (virus, gusanos, troyanos, etc.). Estos archivos infectados están siendo distribuidos a través de programas para redes P2P.

Debido a esto, cuando un usuario busca archivos relacionados con “High School Musical” en alguno de estos programas, obtiene como resultado, entre otros archivos no infectados, varios ficheros que sí contienen malware.

“Los ciberdelincuentes aprovechan el interés del gran número de fans de esta película para enmascarar sus creaciones como productos de “High School Musical”. Un peligro añadido es que la mayoría de esos fans son muy jóvenes y, por lo tanto, pueden caer más fácilmente en la trampa. Por ello, es muy conveniente educar a los más pequeños en los peligros de la seguridad informática”, explica Luis Corrons, director técnico de PandaLabs.

Cuando el usuario ejecute uno de estos falsos archivos descargado esperando oír ciertas canciones o ver algún tipo de vídeo, en realidad, lo que estará haciendo es infectar su ordenador con el backdoor VB.ADQ, el troyano Agent.KGR, el adware Koolbar, o algún otro código malicioso. Algunos de estos ejemplares, para que el usuario no sospeche, pueden mostrar imágenes o fondos de pantalla relacionados con el musical tras ser abiertos.

“Cada vez estamos viendo más casos de ficheros descargados a través de redes P2P que contienen malware. Incluso, búsquedas al azar como “abxdj” o similares dan como resultado archivos maliciosos, lo que nos ha llevado a pensar que pueden existir servidores creados en exclusiva para distribuir malware por este tipo de redes”, afirma Luis Corrons.

Debido a esta situación PandaLabs aconseja extremar las precauciones con los archivos que se descargan y, sobre todo, prestar especial atención a la extensión de los mismos, puesto que la mayoría son ficheros ejecutables con extensión “.exe”, una extensión que raramente tendrá un archivo de música o vídeo legal.

Fuente: http://www.diarioti.com/gate/n.php?id=20376

Se trata de una amenaza doble pues el gusano también ataca Google Reader y Picasa.

Diario Ti: Fortinet ha detectado un gusano malicioso en Facebook que está utilizando Google Reader y Picasa, para que así los usuarios al acceder descarguen el código malicioso en sus equipos.

Esta nueva amenaza funciona con un vídeo malicioso que es distribuido a través del gusano de Facebook y que utiliza ingeniería social para obtener información confidencial de los usuarios, quienes son redirigidos fuera de Facebook al sitio de Google Reader o Picasa.

Desde finales de julio del 2008, los gusanos que estaban atacando a los usuarios de Facebook habían sido detectados en varios sitios. La estrategia ha sido simple, pero efectiva: un mensaje malicioso es enviado a los amigos del usuario infectado, invitándoles a visitar una página que contiene un vídeo, algo muy común en la actual era de la Web 2.0. Sin embargo, si los usuarios siguen el link, pronto se darán cuenta de que el vídeo no empieza, a menos que instalen un códec especial, cómo es solicitado por la página. Como era de esperarse, dicho códec no es más que un troyano, que contiene varias piezas de malware, entre las que se incluye la copia de un gusano.

Este “salto” a través de Google Reader o Picasa sirve para un propósito básico: le da al usuario la sensación de que el vídeo está guardado en Google, por lo que supone que debería ser seguro. Esto, más el factor de que “el mensaje es de un amigo”, hace que disminuya la cautela del usuario, y aumentan las posibilidades de descargar el código malicioso.

Fuente: http://www.diarioti.com/gate/n.php?id=20054