Monthly Archives: June 2009

¿Actualizó su antivirus? no la firmas, el programa

Posted on by
Reply

De tanto repetirlo todos los que nos dedicamos a la seguridad, hemos logrado que hasta nuestra abuelita sepa que hay que mantener actualizadas las firmas/definiciones del antivirus en nuestros equipos. Otra cosa distinta es que lo hagan, pero ya conseguimos algo. :)

Pero lo que no todos tenemos tan claro, y me refiero a los que nos dedicamos a la seguridad, es que los motores antivirus también tienen actualizaciones de seguridad pues pueden sufrir de fallas de seguridad, como cualquier programa.

En particular hay un tipo de fallas denominadas de evasión. Estas fallas consisten en que una vez halladas, un atacante podría explotarla de forma tal que logra evitar que el motor del antivirus sea capaz de examinar algún archivo particular que contenga una carga maliciosa.

Muchos productos de distintas marcas padecen y solucionan este tipo de fallas que investigadores como Thierry Zoller descubren y reportan para su solución. Y como pasa con los distintos fabricantes de software, no todos reaccionan velozmente prestando la debida atención a estos temas.

Una de las últimas fallas de evasión halladas por Zoller fue en el motor de todos los productos de Kaspersky y consiste en una forma de evadir al motor de escaneo de forma que un archivo PDF especialmente preparado, puede alojar un código malicioso y el motor heurístico no lo examinará ni lo hallará problemático dejándolo pasar.

Sorprende leer que una empresa como Kaspersky, después de un intento silencioso, aun no logró solucionarlo y también que no establece una buena comunicación con este investigador que les señala un problema en sus productos.

He observado cuantas instalaciones antivirus con sus licencias pagas al día siguen utilizando versiones de uno o más años de antigüedad. Evidentemente no se ha prestado atención a actualizar el programa, un aspecto de importancia tal como el actualizar las firmas.

Por eso es recomendable que los administradores además de las firmas verifiquen tener la última versión del motor/programa antivirus; sobre todo en los equipos servidores que analizan el ingreso de correo y sus adjuntos tanto como los que analizan archivos descargados o transferidos desde Internet. Sin entrar en mayores detalles, es en este tipo de equipos donde las fallas que permiten la evasión al escaneo afectan más.

Si quiere leer sobre la fallas descripta de Kaspersky puede verlo aquí. Y para conocer sobre las fallas de evasión en general vea esta nota en el blog de Zoller, es un trabajo corto y muy comprensible, para técnicos. (en inglés)

Algo que nos quedó claro después de revisar los reportes de fallas que hizo Zoller a distintos fabricantes de programas antivirus, es que no todas las mepresas reaccionan igual cuando les informan de una falla en su producto.

De los reportes de fallas halladas por Zoller de este año, uno o dos por fabricante, se ve que fueron rápidos, colaboradores y de buena respuesta para solucionarla empresas como: AVG, Avira, BitDefender, Eset, McAfee, Comod y ClamAV.

En tanto otros ignoran, se demoran o no reaccionan con parches a las fallas reportadas, tales son los casos de F-Prot, Kaspersky, TrendMicro, Aladin, Avast, Fortinet, IBMProventia.

En una próxima nota examinaremos el impacto de estas falla de evasión en los motores Antivirus.

Basado en información del: blog de Thierry Zoller

Raúl de la redacción de Segu-info

Read more:
¿Actualizó su antivirus? no la firmas, el programa |

Wikipedia censura artículo para salvar a periodista

Posted on by
Reply

La censura en Wikipedia es un tema delicado, pues si bien varios de nosotros tomamos una postura del estilo “todo, absolutamente todo se debe conocer”, la verdad es que en muchas ocasiones la decisión no es tan directa, y este fue justamente el caso que se dió sobre el artículo de David Rohde, periodista del New York Times que trabajaba en Afghanistan cuando fue capturado el 10 de noviembre pasado por el Talibán.

El Times, sabiendo que la notoriedad pública sólo aumentaba el riesgo que Rohde fuera ejecutado, decidió contactar a todos los medios tradicionales para evitar que la noticia fuera conocida por el público, algo que no es especialmente difícil al tener que lidiar sólo con los editores en jefe de cada publicación, pero el caso de Wikipedia fue mucho más complejo, pues la enciclopedia virtual no tiene “un puñado” de editores, sino más bien miles.

Como solución a este problema, el periódico decidió trabajar en conjunto con Jimmy Wales (co-fundador de Wikipedia) y algunos de los administradores del sitio, para que un grupo del Times se dedicara a mantener el artículo de Rohde libre de la mención de su captura por meses, librando las llamadas “edit wars” (Guerras de edición) entre lo usuarios que de una u otra forma habían escuchado de la noticia de Rohde (agregando la información al artículo) y aquellos que conocían las intenciones del Times (revirtiéndolo a su estado anterior), resultando en más de una discusión y dedos apuntándose.

Finalmente la historia tuvo un final feliz, pues este mes Rohde logró escapar del Talibán, con lo que el plan de censura pudo ser desarticulado, e incluso expuesto por el propio Times, pero a algunos aún les queda un sabor algo amargo, ¿acaso esto se podría repetir con fines menos benevolentes?.

Fuente: Fayerwayer

More here:
Wikipedia censura artículo para salvar a periodista |

Buscadores: arma de doble filo

Posted on by
Reply

Los buscadores son los servicios más usados en Internet con diferencia y en la actualidad podemos afirmar que se han hecho totalmente imprescindibles dada la necesidad que tenemos de procesar la ingente cantidad de datos que encontramos en la red. No obstante y desde hace algún tiempo, han pasado a ser el objetivo de atacantes para usarlos con fines bien distintos.

Ya hablamos de técnicas como el malvertising, consistente en insertar anuncios maliciosos dentro de las redes de publicidad que se muestran en distintas webs, con el fin de infectar el equipo que visualiza el anuncio. Este tipo de técnicas amenazan el principal negocio de los buscadores, que es la publicidad, por lo que empresas como Google ya están empezando a ofrecer soluciones a este problema.
Otro de los problemas a los que se enfrentan en la actualidad los buscadores es el BlackHat SEO (Search Engine Optimization). Este término hace referencia a posicionar términos comunes asociados a URLs maliciosas en los principales buscadores, de modo que cuando accedamos a los resultados pensando que se trata de una URL legítima, se infecte nuestro equipo. Básicamente es usar las mismas técnicas que usa cualquier empresa para posicionarse en buscadores, pero con fines maliciosos y usando técnicas ilegales, como inyectar miles de URLs en páginas legítimas mediante alguna vulnerabilidad, SPAM en servicios como Twitter, etc.
No obstante el post de hoy habla de una de las técnicas más antiguas, el Google-hacking, que parece vivir una segunda juventud. Google-hacking consiste en la búsqueda de ciertos términos en cualquier buscador (son extrapolables dependiendo de la funcionalidad que ofrece cada uno de ellos) con la finalidad de detectar versiones de software vulnerables o vulnerabilidades en sí. De este modo, la búsqueda de una cadena que sepamos aparece cuando hay un error de SQL en un conocido CMS nos retornará miles de potenciales objetivos a explotar.
Tuvo un gran impacto en su momento para quedar en la actualidad en un segundo plano. No obstante está volviendo a ser una técnica muy usada para la realización de ataques masivos en campañas de infección masivas, inyectando en URLs vulnerables iframes que redirijan a sitios maliciosos, o buscando objetivos para campañas de BHSEO.
Finalmente, y en lo referente al mercado más under, estas técnicas siguen siendo explotadas, en esta ocasión para obtener números de tarjetas de crédito. En la actualidad este tipo de bienes tiene un valor muy bajo en el mercado, que maltrata el bien al revenderlo en multitud de ocasiones y debido al alto grado de fraude entre los mismos delincuentes. Es por ello que hay distintos niveles de calidad, siendo circulos cada vez más cerrados los que ofrecen material de primera mano. En los circulos más bajos, y dada la dificultad a acceder a dicho material, se buscan alternativas a la compras de dumps (conjuntos de números de tarjetas de crédito) que posiblemente son inusables a estas alturas. Una de las alternativas es volver a las técnicas
de Google-hacking.
La popularización de todo tipo de herramientas para la creación de tiendas on-line crea un mercado potencial muy amplio para la búsqueda de vulnerabilidades que puedan llevarnos a encontrar datos relacionados con la compra, esto es, tarjetas de crédito. A continuación se muestran algunas de las técnicas usadas para localizar los mismos:
Por supuesto recomendamos comprobar que ninguno de nuestros sitios sea vulnerable a los problemas relacionados con las búsquedas, así como mantenerse atento a cualquier nueva vulnerabilidad y a las técnicas utilizadas para su detección.

Fuente: S21Sec

Read the original post:
Buscadores: arma de doble filo |

Gmail y Live Mail, un poco más seguros

Posted on by
Reply

Gmail se ha convertido en mi única herramienta de correo electrónico para uso personal. Una de las principales razones para esto es que da soporte para encriptación de todo lo que entra y sale de nuestra casilla hacia y desde los servidores de Google.

El correo electrónico es uno de los servicios más inseguros que existen. Aunque es posible encriptar los mensajes, y casi cualquier geek que se precie debe poner sí o sí su clave pública al pie de los mensajes que envía, el resto de la humanidad no tiene ni la más remota idea de que sus e-mails son cartas abiertas (o casi) ni mucho menos cómo cerrarlas a cal y canto, si acaso esto es posible. Lo peor llega cuando se compra la notebook y el domingo por la mañana va a desayunar a su confitería de confianza que, por supuesto, tiene Wi-Fi. Allí, sin saberlo, sin siquiera sospecharlo, coloca en el aire, al alcance de cualquiera, sus mails y lo que chatea, entre otras cosas. Para el pirata es como robarle un caramelo a un chico. Más fácil, a decir verdad. Una buena porción del robo de identidad se realiza de esta forma.

No, el mail convencional no viaja encriptado, y cuando lo recibimos o enviamos por un Wi-Fi público, estamos emitiéndolo a los cuatro vientos y sin ningún cifrado. Literalmente.

Contenido completo en La Nación

Read the rest here:
Gmail y Live Mail, un poco más seguros |

14 detenidos por robar datos bancarios en Internet

Posted on by
Reply

Uno de los detenidos se hacía pasar por una entidad financiera para obtener las claves de usuarios de banca en línea

En dos operaciones distintas, la Policía Nacional ha detenido a 14 sospechosos de perpetrar fraudes en Internet -denominados phishing- mediante el empleo de datos bancarios y contraseñas de usuarios del sistema bancario. Como consecuencia del primer operativo policial ha caído un joven que se dedicaba a capturar claves mediante el envío masivo de correos electrónicos en los que simulaba ser una entidad bancaria. Una segunda actuación ha desarticulado al grupo que actuaba como intermediario a cambio de recibir transferencias en sus cuentas y enviar dinero a Ucrania, Moldavia o la República Checa.

La primera investigación comenzó a finales de 2007 y descubrió que un joven de Navarra enviaba correos desde el dominio de un supuesto banco español. El cliente era redirigido a través del hipervínculo a una página web fraudulenta que contaba con un formulario con los logos y signos distintivos de la entidad bancaria y en el que se solicitaban las claves de acceso. El autor de la maniobra recibía esta información y la utilizaba para adquirir productos y servicios en Internet. Para enmascarar el ordenador desde el que enviaba los correos spam, el detenido atacó un servidor alojado en España y logró el acceso a la Red desde una dirección IP gestionada por ese servidor.

La segunda investigación de la Brigada de Investigación Tecnológica (BIT) ha permitido detener a 13 supuestos intermediarios acusados de practicar transferencias electrónicas fraudulentas realizadas con datos obtenidos mediante phishing. Los arrestados colaboraban a cambio de un porcentaje del dinero que era ingresado en sus cuentas y después remitido mediante empresas de envío de dinero a países como Ucrania, Moldavia o la República Checa. Para captar a los intermediarios o ‘mulas’, los responsables simulaban actuar en nombre de empresas con diferente objeto social, que se dedicaban a la compraventa de maderas y a actividades financieras variadas.

La Policía ha recomendado a la población adoptar una serie de medidas para evitar ser víctimas de phishing. Entre ellas, recordar que los bancos nunca piden por correo electrónico a sus clientes que introduzcan sus contraseñas. Para acceder a los servicios de banca electrónica se debe teclear siempre la dirección directamente en el navegador, sin utilizar enlaces. Además, se aconseja contar con un antivirus actualizado para prevenir el ataque de los ‘ciberdelincuentes’. Por último, la Policía ha advertido que colaborar con transferencias al extranjero a cambio de una comisión puede constituir un ilícito.

Fuente: ELPAÍS.com

See more here:
14 detenidos por robar datos bancarios en Internet |