11 de diciembre de 2007

Las redes de ordenadores

Definir el concepto de redes implica diferenciar entre el concepto de redes físicas y redes de comunicación.
Respecto a la estructura física, los modos de conexión física, los flujos de datos, etc; podemos decir que una red la constituyen dos o más ordenadores que comparten determinados recursos, sea hardware (impresoras, sistemas de almacenamiento, ...) sea software (aplicaciones, archivos, datos...).
Desde una perspectiva más comunicativa y que expresa mejor lo que puede hacerse con las redes en la educación, podemos decir que existe una red cuando están involucrados un componente humano que comunica, un componente tecnológico (ordenadores, televisión, telecomunicaciones) y un componente administrativo (institución o instituciones que mantienen los servicios). Una red, más que varios ordenadores conectados, la constituyen varias personas que solicitan, proporcionan e intercambian experiencias e informaciones a través de sistemas de comunicación.
Atendiendo al ámbito que abarcan, tradicionalmente se habla de:
Redes de Área Local (conocidas como LAN) que conectan varias estaciones dentro de la misma institución,
Redes de Área Metropolitana (MAN),
Area extensa (WAN),
Por su soporte físico:
Redes de fibra óptica,
Red de servicios integrados (RDSI),
Si nos referimos a las redes de comunicación podemos hablar de Internet, BITNET, USENET FIDONET o de otras grandes redes.Pero, en el fondo, lo que verdaderamente nos debe interesar es el flujo y el tipo de información que en estas redes circula. Es decir, que las redes deben ser lo más transparentes posibles, de tal forma que el usuario final no requiera tener conocimiento de la tecnología (equipos y programas) utilizada para la comunicación (o no debiera, al menos).
Conclusiones:
A lo largo de la historia los ordenadores (o las computadoras) nos han ayudado a realizar muchas aplicaciones y trabajos, el hombre no satisfecho con esto, buscó mas progreso, logrando implantar comunicaciones entre varias computadoras, o mejor dicho: "implantar Redes en las computadoras"; hoy en día la llamada Internet es dueña de las redes, en cualquier parte del mundo una computadora se comunica, comparte datos, realiza transacciones en segundos, gracias a las redes.
En los Bancos, las agencias de alquiler de vehículos, las líneas aéreas, y casi todas las empresas tienen como núcleo principal de la comunicación a una RED.
Gracias a la denominada INTERNET, familias, empresas, y personas de todo el mundo, se comunican, rápida y económicamente.
Las redes agilizaron en un paso gigante al mundo, por que grandes cantidades de información se trasladan de un sitio a otro sin peligro de extraviarse en el camino.

Conceptos básicos para entender el funcionamiento de un router.

Enrutamiento o “routing”, es el proceso de enviar información a un destino concreto como puede ser otro ordenador o sistema informático. El router es el dispositivo hardware que realiza ese envío y lo consigue utilizando diferentes protocolos de routing.
El proceso de routing comienza cuando un ordenador transmite un paquete de información a otro ordenador, el cual no está en la misma red local que el que envía el paquete. En otras palabras, cualquier ordenador que no está en la misma red Ethernet. Este paquete de información, que puede ser parte de un correo electrónico, o parte de una transferencia de archivos, es enviado a lo que llamamos el router por defecto o “gateway”. Este router recoge todos los paquetes con direcciones de destino diferentes a la red del ordenador origen.
Un router es básicamente un ordenador muy rápido. Tiene un procesador, memoria, software y conexiones de entrada y salida. Estas entradas y salidas serán donde se conecten los equipos de red, los cuales queremos que comunicen con otros equipos.
Los hay de varias tipos y tamaños y con diferentes capacidades. Para hacerlo mas simple pondremos un ejemplo de un router básico con el mínimo de conexiones requerido. Esto sería un puerto Ethernet y puerto WAN (Wide area Network). El ordenador que quiere enviar información (correo, fotos, videos etc.) tendrá que conectarse al interfaz Ethernet. Dicha información será redirigida por el interfaz WAN a otro puerto WAN en el destino (router) y reenviado a su vez a su ordenador correspondiente.
El protocolo de enrutamiento mas simple que existe es el enrutamiento estático. Esto requiere que cada dirección de destino sea introducida individualmente en la memoria del router, con la dirección del siguiente router en la cadena. Este router destino es llamado “next hop” o siguiente salto.
Este método se utiliza en redes mas bien pequeñas y poco complejas. Según las redes van creciendo con cientos de Routers y ordenadores, seguir un control ruta por ruta para direccionar datos de un lado a otro se hace bastante difícil. Por ello, existen los llamados protocolos de enrutamiento dinámico que encuentran los destinos de redes remotas de forma automática y con muy poca configuración manual.
A nivel doméstico, podremos tener contacto con este tipo de dispositivo hardware si contratamos un linea de banda ancha con un router adsl. La configuración nos vendrá prácticamente hecha y las instrucciones serán muy sencillas de poner en práctica.
Muchos de estos router adsl vendrán con la opción Wifi incorporada. Son los llamados “router wifi” o “router wireless” que nos permitirán conectarnos a Internet sin necesidad de cables conectados al router.
Los routers usados en las grandes redes son muy costosos y fuera del presupuesto de una persona corriente, pero puedes crear tu propia red en casa comprando routers de gama básica y por precios mas que asequibles.
Incluso si quieres conseguir un router de una gama mas alta pero a un precio bajo, tenemos la opción de comprarlo de segunda mano.
Tienes una amplia selección de routers y equipos de red de segunda mano en eBay, a los cuales puedes optar registrándote de forma totalmente gratis.

El modem en formato PC Card

Este tipo de modem es el adecuado para los ordenadores portátiles, pues tiene las mismas prestaciones que el resto de tipos analizados, pero con el tamaño de una tarjeta de crédito.
Ventajas:
No necesita fuente de alimentación externa y su consumo eléctrico es reducido, aunque no es conveniente abusar de él cuando lo utilizamos en un ordenador portátil usando las baterías.
Inconvenientes:
Requieren una ranura PC-Card libre, normalmente de tipo I (las más estrechas)

El modem USB

Este tipo de configuración es la más reciente dentro del mundo de los modem. La principal ventaja la tenemos en el propio método de conexión.
Respecto del modelo externo para puerto serie tiene la ventaja de que no hay que preocuparse por la velocidad de conexión de éste con el ordenador, pues en este caso el caudal proporcionado es más que suficiente. Tampoco es problema el contar con pocos puertos USB, pues siempre podremos adquirir un hub para interconectar más dispositivos. De todas formas para evitar este gasto sería interesante que el propio modem incorporara como mínimo dos conectores, aunque no suele ser lo habitual.
Ventajas:
1. No ocupan ninguna ranura de expansión, lo que es adecuado para ordenadores con nulas o pocas posibilidades de ampliación, incluso para ordenadores portátiles, aunque hay que tener en cuenta que su consumo normalmente será mayor que el de un dispositivo de tipo PC-Card.
2. Sólo utilizan los recursos del propio USB al que están conectados.
3. Suelen dispone de indicadores luminosos que nos informan del estado de la conexión y del propio aparato.
4. Algunos modelos disponen de un interruptor para apagarlo cuando no lo utilizamos. En todo caso, al igual que ocurre con cualquier otro dispositivo USB, siempre se puede desconectar (y por supuesto conectar) "en caliente", es decir, con el ordenador en marcha.
5. Una ventaja sobre los modem externos serie es que no precisan de ninguna alimentación externa.
Inconvenientes:
1. Ocupan lugar en nuestro escritorio.
2. Necesitan un conector USB libre, bien en el propio ordenador, bien en algún otro dispositivo USB conectado a nuestra máquina que actúe de hub.

El modem para PC’s

El modem es otro de los periféricos que con el tiempo se ha convertido ya en imprescindible y pocos son los modelos de ordenador que no estén conectados en red que no lo incorporen. Su gran utilización viene dada básicamente por dos motivos: Internet y el fax, aunque también le podemos dar otros usos como son su utilización como contestador automático incluso con funciones de centralita o para conectarnos con la red local de nuestra oficina o con la central de nuestra empresa.
Aún en el caso de estar conectado a una red, ésta tampoco se libra de éstos dispositivos, ya que en este caso será la propia red la que utilizará el modem para poder conectarse a otras redes o a Internet estando en este caso conectado a nuestro servidor o a un router.
Lo primero que hay que dejar claro es que los modem se utilizan con líneas analógicas, ya que su propio nombre indica su principal función, que es la de modular-demodular la señal digital proveniente de nuestro ordenador y convertirla a una forma de onda que sea asimilable por dicho tipo de líneas.
Es cierto que se suelen oír expresiones como modem ADSL o incluso modem RDSI, aunque esto no es cierto en estos casos, ya que estas líneas de tipo digital no necesitan de ningún tipo de conversión de digital a analógico, y su función en este caso es más parecida a la de una tarjeta de red que a la de un modem.
Uno de los primeros parámetros que lo definen es su velocidad. El estándar más habitual y el más moderno está basado en la actual norma V.90 cuya velocidad máxima está en los 56 Kbps (Kilobites por segundo). Esta norma se caracteriza por un funcionamiento asimétrico, puesto que la mayor velocidad sólo es alcanzable "en bajada", ya que en el envío de datos está limitada a 33,6 Kbps.Otra consideración importante es que para poder llegar a esta velocidad máxima se deben dar una serie de circunstancias que no siempre están presentes y que dependen totalmente de la compañía telefónica que nos presta sus servicios, pudiendo ser en algunos casos bastante inferiores.
Evidentemente, el modem que se encuentre al otro lado de la línea telefónica, sea nuestro proveedor de Internet o el de nuestra oficina debe ser capaz de trabajar a la misma velocidad y con la misma norma que el nuestro, ya que sino la velocidad que se establecerá será la máxima que aquel soporte.

¿Modem o Router?

Muchos proveedores de ADSL o DSL (cable) escogen usar los Módems en lugar de los Routers como un medio más barato para comercializar el acceso . Antes de decidir qué dispositivo responde mejor a sus necesidades, usted debe analizar la diferencia entre estos dos productos. Cuando se habla de Módem ADSL ó DSL se hace referencia a dos tipos de dispositivos: una tarjeta PCI que necesita ser instalada físicamente en su ordenador o una unidad externa que puede conectarse a un puerto USB.
Los Módems ADSL ó DSL requieren controladores para su Sistema Operativo (S.O.) y utilizan diferentes direcciones IRQ, DMA e IO y puertos COM. Dado que los Módems usan tal inmensa variedad de recursos, podrían causar conflictos con otros dispositivos instalados en su ordenador.
Los dispositivos como las tarjetas controladoras, las tarjetas gráficas y tarjetas SCSI podrían crear un conflicto con el Módem si comparten el mismo rango de direcciones. Además, el requisito de instalar los controladores del Módem en su equipo, puede ser una desventaja añadida, dado que existe un riesgo de incompatibilidad con el S.O., lo que puede redundar en un mal funcionamiento de todo el sistema o en la imposibilidad de realizar la instalación.
Otra desventaja al usar un Módem es la limitación para conectar a múltiples ordenadores u otros dispositivos de hardware. Un Módem normalmente contiene sólo un puerto Ethernet o USB, permitiendo a un sólo ordenador conectar a Internet directamente. Para conectar más de un ordenador, tendría que ponerlos en red y utilizar el ordenador conectado al Módem como proxy.
En cambio, los Routers ADSL son soluciones basadas en hardware para conexiones a Internet de Banda Ancha. Los Routers no exigen instalar un software especial en su S.O. ni utilizan direcciones que pudieran causar conflictos con los dispositivos instalados en su ordenador. Dado que los Routers ADSL usan una solución de hardware en lugar de controladores para conectar su ordenador a Internet, son compatibles con muchos sistemas operativos incluso Windows 9x, Windows NT, Windows 2000, Macintosh, Linux, Unix y cualquier otro sistema operativo que use los protocolos TCP/IP, para conectar a Internet.
Los Routers, además, permiten disponer de un amplio número de utilidades programadas en el propio Router. Entre la lista de utilidades incluidas están el soporte VPN (Red Privada Virtual), NAT (Traducción de Direcciones de Red), capacidades como Firewall (Aspectos de Seguridad), DHCP etc.
Al contrario que los Módems que soportan sólo un ordenador, los Routers soportan desde uno hasta cuatro o cinco unidades conectadas directamente y muchas más si se emplea un hub.
Aunque los Módems ADSL son más baratos, la funcionalidad y flexibilidad que un Router ADSL puede ofrecer, si se conecta desde una red local (o tiene intención de crearla), compensan ampliamente su mayor coste. Si usted quiere una conexión de Internet sólida y rápida sin renunciar a la seguridad y utilidad, escoja un router. Si usted prefiere una opción más barata, para usar sólo un ordenador, escoja un módem.

28 de octubre de 2007

Múltiples Fallos de seguridad en productos RealPlayer, RealOne y HelixPlayer

Se han encontrado múltiples vulnerabilidades en RealPlayer, RealOne y HelixPlayer que podrían ser explotadas por un atacante remoto para comprometer un sistema vulnerable.

Las vulnerabilidades están causadas por errores de límite al procesar archivos de diversos formatos: mp3, rm, SMIL, swf, ram y pls. Esto podría ser explotado por un atacante remoto para causar desbordamientos de buffer por medio de archivos especialmente manipulados.

Una o varias vulnerabilidades están confirmadas para las versiones y productos:
RealPlayer 10.x
RealOne Player v2
RealOne Player v1
RealPlayer 8
RealPlayer Enterprise
Mac RealPlayer 10.x
Mac RealOne Player
Linux RealPlayer 10.x
Helix Player 10.x


Se recomienda actualizar a las últimas versiones de cada producto, disponibles desde el siguiente enlace:
http://service.real.com/realplayer/security/10252007_player/en/

Fuente:
www.hispasec.com

26 de octubre de 2007

Aumentan los ataques de smishing a móviles ó celulares

El phishing en telefonía celular no es nuevo. Ya hace mucho tiempo se han detectado casos que se valen de la voz sobre IP para cometer estafas. A eso se lo llama "vishing". Otra modalidad similar que utiliza mensajes SMS para captar la atención de la víctima, es denominada "smishing".

Hasta ahora, la forma de operar es la siguiente. El usuario recibe un SMS en su celular, en donde se le solicita la confirmación de algún tipo de transacción financiera, y se le pide devuelva la llamada para confirmar la misma. Al llamar a un número determinado, se utiliza un software que responde automáticamente, y se le piden algunos datos personales, etc.

Es muy común que conocidos se intercambien bromas y otro tipo de juguetes descargados de Internet, de celular a celular. Los SMS, pueden parecer inocuos para muchos, pero no debemos ignorar que pueden ser fácilmente manipulados por los delincuentes e incluso ser enviados desde otros países.

El gobierno de la India se ha dado cuenta de esta amenaza, y por ello ha establecido un comité para evaluar las nuevas tecnologías y su uso indebido.Las recomendaciones de este comité, han sido bloquear las llamadas que no sean del propio país, y pedir a las operadoras móviles un control más estricto de los centros de administración remota de SMS vía Internet.

Actualmente, esta clase de SMS es enviada en protocolos abiertos basados en HTTP, cosa que los hace vulnerables a ser interceptados y modificados, afirma el comité hindú.Es muy probable que otros países comiencen a pensar de forma similar.

El consejo, es no aceptar aquellos SMS de los que se duda o desconoce su origen. El mundo de los SMS ya es tan propenso a ataques de los piratas informáticos, como lo puede ser Internet. Y el usuario es la barrera más importante para detenerlos.

www.vsantivirus.com

Por 10 dolares se puede suplantar la identidad

El submundo de Internet se ha convertido en una industria multimillonaria, en que delincuentes compran a hackers informaciones robadas por fuertes sumas de dinero. La situación es analizada por la compañía de seguridad informática Symantec en un reciente informe.

La venta de códigos para virus, números de tarjetas de crédito y direcciones de correo electrónico alcanzan niveles multimillonarios. Cada vez es más fácil comprar información ilegal en Internet. El informe de Symantec indica además que grupos de delincuentes organizados destinan grandes recursos para conseguir que expertos en informática participen en la ciberdelincuencia y el robo de identidades.

Por una suma inferior a los 80 dólares es posible comprar un programa completo para realizar ataques de phishing, que contiene todas las funciones necesarias para falsificar sitios de Internet y enviar correo phishing instalando además virus en el sistema del destinatario.

El informe incluye una lista de los tipos de malware que pueden ser comprados en sitios de receptación en Internet.

En primer lugar se sitúan las tarjetas de crédito, que se venden por grupos de 10 a 20 unidades por un precio que bordea los 50 centavos de dólar. Les siguen los números de cuentas bancarias, cuyo valor llega a los 30 y los 500 dólares dependiendo de su potencial. Las contraseñas para correo electrónico pueden ser adquiridas por sólo un dólar, en tanto que los programas de tipo "mailers" (programas que distribuyen correo no solicitado) tienen un precio de 8 a 10 dólares.

Por solo 10 dólares es posible comprar una identidad completa en Internet, indica Symantec en su informe.

www.symantec.com

Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas

Una vulnerabilidad en Adobe Reader (compartida en realidad con Microsoft Windows) está siendo aprovechada para ejecutar código con sólo abrir un archivo en PDF. Si bien se conoce esta vulnerabilidad desde hace algunas semanas, no ha sido hasta el día 22 de octubre que se han observado correos intentando explotar el fallo descargando e instalando malware alojado como no, en la siempre presente Russian Bussines Network.

En junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha. Entonces avisábamos de que, al menos, este spam no intentaba aprovechar ninguna vulnerabilidad en el lector más popular Adobe Reader y que si el correo era abierto sólo se perdería el tiempo. Hasta ahora... pues se ha descubierto que se están enviando archivos PDF que si son abiertos en un Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de descargar y ejecutar código.


www.hispasec.com

19 de octubre de 2007

Cyberdelincuentes: ahora usan skype para el robo de identidad

Una oleada de correos electrónicos falsos está llegando. Por estos días, los correos se utilizan para robar nombres de usuario y contraseñas a través del popular programa Skype, que utiliza para sus comunicaciones la tecnología conocida como “voz sobre IP” (VOIP).

El ISC (Internet Storm Center) acaba de dar a conocer un informe en el cual se consigna este nuevo fenómeno, que podría asimilarse a algo así como “phishing vía Skype”.

Así como se busca robar nombres de usuario y contraseñas para acceder al sistema bancario mediante el phishing tradicional, -técnica utilizada para obtener información confidencial mediante la suplantación de una persona o institución legítima generalmente por medio de un "scam" o estafa, mensaje electrónico fraudulento, o falsificación de página Web-, en esta nueva modalidad de fraude se intenta conseguir credenciales de acceso al sistema de Skype.

Para qué robar las cuentas en un servicio de VOIP? La teoría del ISC, es que con el uso de la voz, podrían mejorarse otras técnicas utilizadas para delinquir, y llevar a cabo ataques de phishing más elaborados.

Y, ¿por qué robar cuentas y no crearlas con nombres falsos? Muy simple la respuesta: Skype es bueno bloqueando la creación de cuentas de forma automática. No acepta el uso de robots para su creación. Puede resultar mucho más fácil utilizar la clásica ingeniería social para que el propio usuario sea quien termine proporcionando sus datos al atacante.

Otro de los puntos importantes al conseguir el dato de usuario y contraseña en un servicio aparentemente inofensivo como Skype, es que muchos usuarios utilizan la misma contraseña en varios sistemas. Lo cual podría hacer que los hackers probaran esta combinación de usuario y contraseña en sistemas más redituables, como la banca online o de manejos financieros.

Fuente: minutouno.com

18 de octubre de 2007

Russian Business Network ¿centro de operaciones mundial de los ataques de Virus?

Brian Krebs publica una serie de interesantes artículos sobre la Russian Business Network (más conocida como la RBN), una compañía que supuestamente proporciona alojamiento e infraestructura web a la creciente industria del malware, convirtiéndose así en una especie de centro de operaciones mundial desde donde se descargan los troyanos y hacia donde viaja la información robada.

La RBN se encuentra en St. Petersburg y proporciona alojamiento web. Su actividad parece estar íntimamente relacionada con la industria del malware, hasta el punto de que muchos han decidido bloquear directamente toda conexión con direcciones pertenecientes a esta red. Y no sólo malware. Se dice que la mitad del phishing mundial está alojado impunemente en alguno de sus servidores.

Pero no ha servido de mucho. Han aprendido a enrutar las conexiones a través de otras webs comprometidas en Estados Unidos y Europa de forma que, aunque sea dando un rodeo a través de otras IPs (habitualmente usuarios residenciales troyanizados o webs atacadas), siguen operando de forma normal. Por ejemplo, en el reciente ataque al Banco de la India, al seguir el rastro del malware que se intentaba instalar en los sistemas Windows que visitaban la web, se observó que tras pasar la información a través de varios servidores, finalmente acababa en un servidor de la RBN.

13 de octubre de 2007

SEGURIDAD Y PRIVACIDAD EN REDES INALAMBRICAS

RIESGOS POTENCIALES

  1. Virus.- Los virus no solo pueden infectar a los ordenadores (computadores ) si no que también pueden atacar a los telefonos móviles y PDA, borrando o copiando su información así como a las redes inalámbricas bloquandolas por saturación.
  2. Piratas de teléfonos móviles.- Delicuentes que espían las llamadas telefónicas, por supuesto sin orden judicial, invadiendo la privacidad de la gente.
  3. Clonadores de teléfonos móviles.- Delincuentes que roban la identidad de los propietarios de los teléfonos móviles, para después realizar llamadas suplantando su identidad y cargarles los costes de las mismas.
  4. Piratas de redes inalámbricas.- Delicuentes que espían los datos que viajan por la red inalámbrica, pudiendo robar información, borrar archivos y programas. También pueden robar datos de los mismos teléfonos móviles.
  5. Gamberros inalámbricos.- Este tipo de delicuentes pueden bloquear las redes inalámbricas, saturándolas de información y/o mensajes falsos, para que dichas redes no puedan controlar el tráfico.

12 de octubre de 2007

Virus en teléfonos móviles , celulares y PDA

  • Los teléfonos móviles pueden verse infectados por virus de la misma forma en la que pueden infectarse los ordenadores. Existen distintos tipos de virus que entran en los teléfonos de formas distintas.
  • En uno de los tipos de ataques, las capacidades de Bluetooth del teléfono se utilizan para extender un virus. El virus Cabir es un ejemplo de un virus que se propaga a través del Bluetooth. Se aprovecha del hecho de que Bluetooth envía de forma constante señales buscando dispositivos Bluetooth cercanos con los que conectar. Cuando los dispositivos Bluetooth se conectan pueden intercambiar información.
  • Un teléfono móvil con Bluetooth envía constantemente señales en busca de un dispositivo Bluetooth cercano. Cuando un teléfono infectado con un virus encuentra otro teléfono Bluetooth, se conecta a él, y le envía el virus. El nuevo teléfono buscará constantemente otros teléfonos con lo que conectarse, e infectará a todos aquellos que se crucen en su camino
  • Otro tipo de ataque utiliza la "red social" para propagarse. Utiliza el servicio de mensajes cortos (SMS) o el servicio de mensajes multimedia (MMS) para expandirse. Cuando un teléfono infectado con el virus recibe un SMS o un MMS de alguien, se envía en forma de mensaje MMS, haciéndose pasar por la respuesta, aunque en realidad lo hace es infectar el teléfono. El virus Mabir.A pertenece a este tipo.
  • Otro tipo de virus, en este caso un Trojan Horse, se expande cuando la gente utiliza los teléfonos móviles para compartir archivos entre sí, a través de redes para compartir archivos o del protocolo de mensajes IRC que permite también compartir archivos. Un Trojan Horse finge ser un juego, un tipo de letra u otra parte útil de código, por lo que alguien lo descarga y lo instala. Sin embargo, cuando está instalado, resulta muy dañino.
  • El virus Fontal.A Trojan es de este tipo. Una vez instalado, ataca al gestor de aplicación del teléfono y no permite que se instalen nuevos programas. Además, evitará que se desinstale el Trojan. La única solución en formatear el teléfono, lo que hace que pierda todos sus datos.

24 de agosto de 2007

¿HAY VIRUS EN LINUX? (1)

¿ PORQUE EN LINUX NO HAY APENAS VIRUS ?

Los virus son la pesadilla de los administradores, cada mes aparecen mas de 30 mil y es un hecho que las actualizaciones mensuales de los antivirus no los incluyen a todos. Para los usuarios no expertos también son una molestia, los antivirus pueden hacer que una computadora pierda hasta el 30% de su veocidad. Cada año cientos de millones de dólares se pierden en horas/hombre (y horas/mujer ;-) ) por los virus en todo el mundo.

Para que un programa sea considerado como un virus debe cumplir dos requisitos:

1) Que se copie a sí mismo
2) Que se propague de manera "natural" entre los sistemas


Los gusanos son programas que aprovechan un exploit (error en el código de un programa) para infiltrarse en un sistema. Los troyanos son gusanos que abren un puerto trasero para permitir que una persona ajena entre al sistema. La diferencia principal entre los virus y los gusanos radica en que los virus se propagan sólos por la red, mientras que alguien (un hacker) debe realizar acciones especificas para implantar un gusano. Por cada máquina atacada por un gusano existen miles (quizás millones) de equipos infectados por virus. En GNU/Linux hay gusanos y troyanos, pero no virus.

Con frecuencia he escuchado la opinion de "expertos" que argumentan que en Linux no hay virus porque hay pocos equipos con este sistema operativo, pero que en cuanto se vuelva más popular los virus aparecerán. Obviando el hecho de que Unix/Linux poseen el 40% del mercado de servidores, esta opinión revela las pobres expectativas que Microsoft le ha impuesto al usuario común, pues según éste, es normal que todos los sistemas operativos sean afectados por los virus. Pero en realidad, solo Windows padece de los virus. No todo es culpa de Microsoft, no ha sido fácil llevar a un sistema operativo tan deficiente como Windows95 al exigente mundo de los servidores: en busca de un buen desempeño, se ha debido de pagar un precio en la seguridad de Windows XP y Windows 2003, quizás un precio demasiado alto.


El hecho, sin embargo, es que en Linux no hay ni habrá virus, (la verdad es que en ningún sistema operativo deberían de existir los virus), la razón radica en la gestión de memoria y la asignacion de permisos por omisión, los cuales hacen imposible que un programa no autorizado se ejecute y propague. Varias consultoras reportan que los servidores mas atacados en Internet son los basados en Linux, y la gran mayoria sale victorioso de la prueba. Sin embargo, esto no significa que este sistema operativo sea invulnerable: los programas y el mismo kernel poseen fallas que al ser explotadas permiten que, en casos extremos, un extraño tome control del equipo. La mejor manera de prepararse para un ataque es siendo uno mismo un hacker, escaneando los puerto de nuestro server, inyectando SQL en nuestras paginas web y tratando de ejecutar codigo malicioso. Lo más importante es frecuentar sitios que informen sobre fallos de seguridad, como linuxtoday.com∞ y buscar actualizaciones para nuestro sistema cada siete dias. Existen muchas soluciones que automatizan este proceso.

10 de agosto de 2007

¿ANTIVIRUS SEGUROS? (2)


Demostrar que una tecnología antivirus ofrece mejor protección que otra es complicado. Desde el punto de vista de marketing el usuario está cansado, al fin y al cabo todos los antivirus afirman ser los mejores, y se deja llevar por la propia experiencia o por terceros confiables creadores de opinión.

La experiencia del usuario tiene una visibilidad muy parcial, no puede saber que grado de protección real le ofrece un producto. Se dejará llevar por indicadores tales como la no inteferencia con su trabajo y el rendimiento del sistema. El usuario no sabe si está infectado o no, pero si sabe si el antivirus le molesta.

Los terceros confiables no son confiables. La dificultad que el usuario tiene para evaluar el grado de protección de un antivirus también se traslada a los creadores de opinión, desde foros de Internet pasando por revistas de informática y comparativas que tampoco están diseñadas para evaluar las nuevas tecnologías. También tienen la resposabilidad de explicar cual es la situación actual y las diferencias entre tecnologías, hay que formar a los usuarios.

Los evaluadores de antivirus deben evolucionar a nuevas metodologías, siguen (seguimos) tilizando tests de los años 90 dando resultados adulterados y penalizando a las nuevas tecnologías. Son las fuentes de la que beben los terceros confiables, "culpables" también de la formación en nuevas tecnologías que requieren traducir su eficacia real en indicadores que a día de hoy simplemente no se miden.

Los desarrolladores antivirus deben reinventarse y no perder el foco sobre el usuario. Hay productos que están incorporando tecnología sobre tecnología en su búsqueda de minimizar la ventana de riesgo de infección, pero convirtiéndose en un software complejo, poco optimizado, que consume muchos recursos, y que ofrece una pobre experiencia al usuario.

Hay que evolucionar, pero no a cualquier precio. A veces tendemos a ofuscarnos con soluciones técnicas y olvidamos que al final un usuario, que no es informático ni tiene nociones de seguridad, tendrá que convivir con esas soluciones en su día a día en un PC normal, no sobrado de recursos, que ejecuta otras aplicaciones que son realmente las importantes para él.
Fuente: portal hispasec

¿ANTIVIRUS SEGUROS? (1)

Antivirus: rendimiento vs. protección

El mundo de los antivirus está en crisis técnica, que no comercial, sigue siendo un buen negocio. Pero a estas alturas a nadie escapa que los antivirus a duras penas logran tapar parte de la ventana de riesgo de infección a la que todo usuario de Windows se expone en Internet.
Ante este panorama cabría pensar que están triunfando los antivirus que mayor protección ofrecen, si bien la realidad es distinta.
La gran proliferación y diversificación del malware ha puesto en jaque a un esquema basado en tener fichados a los malos: firmas para identificar al malware conocido, firmas genéricas para identificar variantes de una misma familia, y heurísticas basadas en la detección de código sospechoso.

Los malos han ganado la partida en este juego. Modifican una y otra vez el código para que las firmas y heurísticas existentes no puedan detectarlos, cambian la cara de sus especímenes para evitar ser reconocidos aunque en el fondo siguen haciendo el mismo daño. Lo hacen de forma tan masiva que los antivirus a duras penas pueden seguir el ritmo para actualizarse, no dan a basto, están saturados. Es una carrera sin final y nos llevan mucha ventaja.

Hay que cambiar de estrategia. Visto que actualizar firmas de forma constante no es suficiente, los antivirus han optado por implementar nuevas tecnologías que les permita más proactividad. El fin es poder detectar el malware nuevo, desconocido o variante. No depender de una firma reactiva , ser más genéricos y proactivos en la protección.
Son varias las empresas antivirus que han arriesgado en ese campo, incorporando nuevas tecnologías y capas de seguridad al motor antivirus tradicional, que dotan a la solución de un mayor poder de protección. Pero no todos son ventajas a la vista del usuario, la
incorporación de este tipo de tecnologías adicionales suele conllevar también un software más "pesado", que consume más recursos, enlentece el sistema, tiende a dar más falsos positivos y/o termina haciendo preguntas incomodas al usuario:

"El proceso svchost.exe intenta conectar a Internet.
¿Permitir o denegar?"

¿No se supone que el antivirus debe saber si es algo peligroso o no?, ¿por qué me pregunta a mí?. Después de una serie de pensamientos similares, el usuario acabará por tomar alguna decisión del tipo:

  • Intentará averiguar en google que es "svchost.exe" (no llegará a ninguna conclusión, y a la segunda o tercera pregunta sobre otros procesos desistirá en la búsqueda de la verdad)
  • Permitir Todo (tarde o temprano terminará infectándose)
  • Denegar Todo (dejará de funcionarle algún software legítimo)
  • Desinstalar el antivirus e instalar otro que no le haga perder tiempo con ventanitas emergentes y preguntas que no sabe contestar (sin excluir las decisiones anteriores, el usuario suele terminar desembocando en este punto y cambiando de antivirus)

Fuente: portal hispasec

28 de junio de 2007

27 de junio de 2007

SPAM EN FORMATO PDF

Si en su cliente de correo tiene una carpeta donde almacena el spam, haga una búsqueda por archivos adjuntos con extensión “.PDF”, a buen seguro encontrará unos cuantos ejemplos. Es la penúltima moda para intentar evitar los filtros antispam, si durante los últimos meses la avalancha de mensajes no deseados llegaba con imágenes, ahora le toca el turno al formato PDF.

Las soluciones antispam suelen combinar diferentes técnicas para poder determinar si un mensaje es spam o no. Pueden analizar ciertas cabeceras del mensaje, realizar diversas comprobaciones sobre el servidor que realiza el envío, compararlo con listas negras, utilizar firmas basadas en patrones estáticos y dinámicos, aplicar filtros bayesianos, etc.

Este mismo arsenal de técnicas está a disposición de los spammers, van probando contra ellas diferentes estrategias para buscar eludir este tipo de barreras y conseguir que el mensaje no deseado llegue sí o sí a nuestros buzones.

Por ejemplo, una de las técnicas más explotadas para evitar la detección basándose en el análisis del texto consiste en enviar el mismo mensaje pero "dibujado" en una imagen adjunta. De esta forma, aparte de poder dibujarle la pastillita azul junto con sus propiedades, precios, etc, lo que buscan es que el nombre de la pastillita no aparezca escrito en texto plano en el cuerpo del mensaje y pueda hacer sospechar al filtro antispam.

Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto que era dibujado en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir "ruido" en las imágenes para dificultar el reconocimiento automático por este tipo de software.

Esa es la razón por la que en ocasiones las imágenes con texto que nos llegan por spam estén distorsionadas, con caracteres multicolor, parezcan mal enfocadas, o tengan líneas por encima del texto. No es que los spammers sean muy malos diseñadores o tengan muy mal gusto, la explicación es que quieren dificultar la labor a los filtros antispam.

Aprovechando que la inmensa mayoría de los ordenadores de hoy día cuentan con un visualizador de archivos PDF, que se ha convertido en un formato universal y que goza de buena "reputación" (suele utilizarse para compartir documentación), los spammers han decidido que también puede ser una buena vía para sus objetivos.

Como el texto de los archivos PDF es interpretable, puede llegar a ser procesado por motores antispam, ellos también demuestran que saben combinar técnicas y han decido utilizar las imágenes con el mensaje distorsionado incrustadas en el PDF.

21 de junio de 2007

CONTRASEÑAS DE USUARIOS

Se supone que la mayoría de los usuarios seleccionan sus contraseñas para acceder a las máquinas y a la red de forma bastante aleatoria, pero estudios recientes demuestran que en realidad la mayor parte siguen patrones bastante definidos, que facilitan a hackers e intrusos el introducirse en redes corporativas, empresariales y académicas.

Para determinar la frecuencia de repetición de las contraseñas y obtener alguna luz sobre como se escogen por operadores, ejecutivos, empleados y usuarios en general, la entidad británica Pentasafe Security Technologies encuestó más de 15 mil personas en 600 organizaciones de Estados Unidos y Europa, y sus resultados afirman que varias no toman las medidas adecuadas para proteger bien las informaciones confidenciales, ya sean propias o de la empresa.

Según el sondeo anónimo, el 60% de los empleados sabía muy poco sobre las medidas de seguridad que debía tomar, y el 90% por ciento admitió haber abierto o ejecutado por lo menos un archivo “peligroso” en computadoras de la compañía.

Asimismo, el 25% eligió como contraseña una palabra tan simple como “Banana”, a pesar de que un pirata informático apenas tardaría segundos en descifrarla y entrar en las bases de datos de una empresa. ENTRENAMIENTO Por otro lado casi un 50% de los encuestados dijo no haber recibido entrenamiento sobre las medidas de seguridad mínimas, mientras que un tercio de las organizaciones no exige a sus trabajadores leer sus políticas de seguridad. Esto concuerda con los resultados de otra encuesta realizada entre gerentes de seguridad, en la cual el 66% creen que el nivel de conocimiento promedio de los empleados sobre la seguridad del sistema es insuficiente, cuando no peligrosamente insuficiente. Curiosamente, de los sectores entrevistados, el de las comunicaciones ofreció los peores resultados, sin embargo, las instituciones financieras, empresas de salud y organizaciones del sector público se desempeñaron un poco mejor. Según expertos, esto se debe a que en las entidades informáticas y de comunicación, las computadoras e Internet son moneda corriente diaria, y en la confianza excesiva está el peligro.

FRAUDE INFORMÁTICO Otro problema que producen las contraseñas mal escogidas es la proliferación del fraude informático, que puede ir desde robar tiempo de conexión en Internet a usuarios legítimos, hasta el de las compras con tarjeta de crédito, cuentas bancarias e información confidencial.

TRIVIALIDAD DE LOS “PASSWORDS” Otros estudios demuestran que muchos usuarios casi nunca cambian sus contraseñas, suelen apegarse a determinados tipos, o simplemente tienen el hábito de escribirlas en papeles pegados al interior de las gavetas, debajo de los teclados de las máquinas, y aún en los monitores, para horror de los agentes de seguridad informática, demostrando una vez más que el mayor riesgo de seguridad en un sistema son sus propios usuarios.

En pruebas realizadas durante auditorías de seguridad informática en el Reino Unido, se aplicó el tipo de ataque denominado “fuerza bruta”, con programas que prueban en pocos minutos todas las combinaciones de contraseñas con seis o siete caracteres, experimentando también con listados de nombres, equipos deportivos, caracteres de ficción y personalidades de la vida real.

Como ejemplo, podemos citar que en una gran empresa europea, una auditoría informática detectó que casi un 50% de las compañías que utilizaban Windows, un 30-40% de todas las contraseñas de Windows, fueron determinadas en los primeros 20 minutos y el resto de ellas en 5-8 horas.

SECRETOS En contraste, las organizaciones militares, tan apegadas al tema de los secretos, suelen tener políticas más elaboradas para el caso. Por ejemplo, la guía para crear contraseñas del Departamento de Defensa de Estados Unidos tiene 30 páginas de extensión.... y aún así han sido atacados.

Entre las empresas y corporaciones se registran otros fenómenos, pues con el incremento de sitios WEB, muchas personas tienden a utilizar la misma una y otra vez para diferentes servicios de pago, facilitando la tarea al hacker. Estudios de la facultad de computación de la Universidad de California plantean que la mayor parte de los ejecutivos utiliza un rango medio de 5-8 contraseñas, y todas son variaciones sobre el mismo tema.

En fin, que si las contraseñas son el “Abrete Sésamo” de esta era de la informática, si no se escogen y protegen con cuidado, también pueden abrir la puerta a ladrones, saboteadores e intrusos de todo tipo.

20 de junio de 2007

Informe Oficial de Seguridad Informática en los hogares españoles

El Instituto Nacional de Tecnologías de la Información (INTECO) acaba de presentar la Primera Oleada del Estudio sobre la Seguridad de la Información y la e-Confianza de los Hogares Españoles, del cual se desprende que los hábitos de los usuarios son los que realmente afectan a la seguridad en internet.

Así, el 90 por ciento de los hogares participantes en el estudio accede a la red a través de la banda ancha. Además, el 78 por ciento de los encuestados asegura que se conecta a internet desde su casa, el 76 por ciento desde un PC de sobremesa, un 22 por ciento desde un portátil y el 2 por ciento restante desde otros dispositivos.

El perfil de los encuestados es el de usuarios tecnológicamente avanzados, que pasan más de 5 horas diarias conectados a internet. Asimismo, el 65,4 por ciento afirmó que su relación con la red comenzó hace más de cinco años.

Si nos centramos en las medidas de seguridad, la mayoría de los encuestados utiliza aplicaciones no automatizadas. De éstas, son los antivirus los programas más generalizados ya que están instalados y en activo en el 87 por ciento de los hogares. La segunda de las medidas más utilizadas son los cortafuegos.

Cabe señalar que, aunque sólo un 9 por ciento de los encuestados aseguró que no utiliza ninguna medida de seguridad, son los que “se encargan” de expandir las amenazas. Las razones esgrimidas para no utilizar ninguna protección se centran en el desconocimiento o la percepción de que son innecesarias. Además, también hay que destacar el hecho de que un gran porcentaje de estos alega no hacerlo porque entorpece el uso del ordenador y la navegación por internet.

En cuanto a las incidencias de seguridad, el informe de INTECO asegura que el 72 por ciento de los ordenadores domésticos presentan algún tipo de código malicioso o malware, detectándose malware con riesgo alto en más del 50 por ciento de los equipos analizados. Así, el 50 por ciento de los PC analizados tienen troyanos, el 40 por ciento adware publicitario, un 25 por ciento herramientas de intrusión, un 10 por ciento programas espía y otro 10 por ciento algún tipo de virus.

La parte positiva es que la mayoría de los encuestados aseguró que las incidencias de seguridad no provocan el abandono de los servicios ni tampoco implica que vayan a dejar de conectarse a internet. Eso sí, casi la mitad afirma que utilizaría más servicios si supiera la manera de reducir el riesgo.

Desde INTECO se asegura “si bien es cierto que existe un efecto de retraso en la incorporación a la Sociedad de la Información relacionado con la falta de confianza en internet, dicho efecto debe buscarse entre los no usuarios, es decir, aquellos que no se sienten suficientemente protegidos como para incorporarse y moverse plenamente por la red.

19 de junio de 2007

Ataque a gran escala contra webs europeas

No consiste en una simple acumulación de webs atacadas, sino que en ellas, manteniendo su aspecto original, han conseguido encajar código de forma que los usuarios vulnerables que las visiten serán infectados. El malware, una vez instalado en sus sistemas les robará (cómo no) sus credenciales bancarias.

Websense ha alertado de que se está usando MPACK web exploit toolkit como infraestructura para esta ofensiva. Una herramienta PHP alojada en un servidor que genera exploits e infecta a quien lo visite eligiendo el fallo adecuado según el software que use la víctima.

Las páginas afectadas (que se convierten en "cómplices" sin saberlo ni quererlo) son legítimas y con todo tipo de contenidos, desde webs de deportes, hoteles, juegos, medios de comunicación, política, sexo...

Habitualmente, los atacantes que consiguen acceso a una web "popular", roban datos y causan un "deface" (cambio de su página índice para que todo el mundo sepa que ha sido atacada). Por el contrario en este caso, han incrustado IFRAMEs "invisibles" en esas 11.000 páginas. Una de las que más visitas está recibiendo (y por tanto a más víctimas está infectando) resulta ser la página oficial de una popular y atractiva presentadora española.

MPACK dispone de un completo "backend" con datos y estadísticas sobre sus "progresos". Hemos tenido acceso a esta zona, donde se recogen estadísticas y datos concretos del "éxito de la operación". El país con más infectados es Italia (porque a su vez, son mayoría los dominios .it que están siendo usados para "infectar"), seguido de España y Estados Unidos.

Las vulnerabilidades que están siendo aprovechadas afectan a Windows, pero no sólo a los usuarios de Internet Explorer, como es habitual.

También se valen de fallos en los plugins Windows Media y QuickTime de Firefox y Opera. A pesar del uso minoritario de este último, no han querido dejar escapar ni una sola oportunidad de infección.

Otro dato interesante es el porcentaje de eficacia de los exploits utilizados en este ataque. En el caso de España, el 6,04% de los usuarios que visitan alguna de las 11.179 webs comprometidas resulta infectado (porque no mantiene su sistema actualizado). A excepción de Italia con un 13,7%, el resto de países europeos se sitúan por debajo de España.

18 de junio de 2007

SEGURIDAD INFORMATICA POR AUTONOMIAS

  • Los virus y sistemas espía, los grandes problemas de la pyme

  • Los canarios, los que más importancia dan a la seguridad informática

Canarias es la Comunidad Autónoma en la que la empresa da más importancia a la seguridad informática, con un 75% de las pymes encuestadas, y La Rioja la que menos, con un 50%, según un estudio realizado por la empresa de seguridad Panda Software con Fundetec.

El informe, que se llevó a cabo entre 3.000 empresas de 14 países de la Unión Europea y otras 3.000 de España, revela que las pymes españolas son las que más se preocupan de la UE por la seguridad informática, detrás de Finlandia, con un 61% de los encuestados, mientras que Austria es la menos interesada, con un 25%.

Por Comunidades Autónomas, detrás de Canarias figura Extremadura con un 69%; Extremadura (68%), Castilla La Mancha (67%), Andalucía (65%), Valencia (62%), Andalucía y Galicia (61%) y Madrid (60%).

Esta preocupación hace que casi todas las pymes analizadas en España tengan al menos una persona que se dedica al mantenimiento de los sistemas informáticos, aunque no en exclusiva, ya que sólo el 55% cuenta con este puesto, lo que supone posibles riesgos, según el informe.

En el resto de los países europeos analizados, la tendencia general es dedicar un mayor número de recursos a la administración y gestión de la seguridad que en España, siendo Alemania la más preparada, ya que el 75% de sus pymes encuestadas cuentan con un especialista dedicado a la seguridad.

En España, Extremadura es la Comunidad Autónoma más preparada, ya que el 63% de sus pymes cuentan con una persona dedicada a la seguridad.

En el informe, los autores hacen hincapié en la importancia que tiene destinar personas en exclusiva a la seguridad informática y lo califican como uno de los aspectos en los que España debe mejorar.

El 93% de las empresas encuestadas en los 15 países, cuentan ya con algún tipo de sistema de seguridad informática para hacer frente a cualquier amenaza o incidencia y al buen desarrollo de la actividad empresarial, aunque esto no supone, dice el documento, que la pyme tenga un completo plan de seguridad adaptado a sus riesgos y necesidades.

Los virus y los sistemas espía son los grandes problemas de la pyme, seguido del correo basura (spam) y los contenidos inapropiados.

En las conclusiones del estudio se resalta que a pesar de las amenazas, sólo un 10% de las empresas consultadas llega a superar los mil euros de inversión en esta materia al año, aunque la tenencia es a aumentar.

FALLOS DE SEGURIDAD DE LA WEB DEL CONGRESO

  • La Asociación de Internautas asegura que cualquiera puede acceder a directorios privados desde su casa.

La Asociación de Internautas ha anunciado fallos de seguridad en la nueva página web del Congreso presentada el pasado miércoles por el presidente de la Cámara Baja, Manuel Marín.

La Comisión de Seguridad en la Red de la Asociación de Internautas asegura que cualquier ciudadano puede acceder libremente a "directorios ocultos" de la página desde su casa, así como a diferentes carpetas privadas a las que, en teoría, sólo tienen permitida la entrada los programadores del Congreso de los Diputados.


15 de junio de 2007

Ataques phishing

Ataques phishing contra MySpace (teorías)

MySpace se ha convertido desde hace algunas semanas, en el objetivo primordial de ataques phishing perpetrados por la banda bautizada como Rock Phish, una de las más eficaces que utiliza las técnicas más sofisticadas.¿Por qué robar credenciales de MySpace que en principio no aportan beneficio económico directo? Lanzamos algunas teorías.

El Laboratorio Hispasec ha detectado en los últimos días un súbito y descomunal aumento de ataques phishing perpetrados contra MySpace, la red social de moda que aloja millones de páginas de usuarios.

Un usuario de MySpace se da de alta y puede construir su propia página donde alojar su perfil. Otros usuarios lo enlazarán como amigos creando una densa red de contactos.

Las avalancha de URL fraudulentas detectadas, donde se alojan las páginas falsas de MySpace, mantienen un estilo inconfundible que las delata como creaciones de la banda Rock Phish. Hablamos de cientos de nuevas páginas falsas de MySpace creadas cada día por estos profesionales del phishing.


Rock Phish, es una de las bandas más peligrosas y efectivas a la hora de crear ataques fraudulentos de robo de credenciales.

Han desarrollado metodologías muy avanzadas para evitar que los medios técnicos disponibles impidan su difusión.

Tienen la capacidad de crear múltiples y únicas URL para cada ataque, muy complejas (es una de sus señas de identidad) que limitan de forma muy eficaz la labor de las barras antiphishing basadas en listas negras. ¿Qué gana este grupo tomando como objetivo MySpace? ¿Qué beneficio les reporta? Las teorías son varias.


La primera es obvia, muchos usuarios utilizan la misma contraseña para varios servicios. También, el obtener contraseñas de perfiles "privados" les permite acceso a información "sensible" de usuarios (fecha y lugar de nacimiento, por ejemplo) para realizar ataques más específicos y selectivos en el futuro.


Otras teorías son más interesantes. En la página del perfil del usuario al que se le ha robado la contraseña, es trivial introducir código CSS en algunos campos. Al ser interpretado en el navegador, cuando alguien que visite la página haga click en un campo, será redirigido a alguna web donde intentará ser infectado por malware o engañado de alguna forma. Este problema se ha vuelto tan común, que MySpace ha desarrollado un script para limpiar este tipo de enlaces fraudulentos. Pero parece que se han olvidado de limpiar ciertos campos, y todavía es posible inyectarlos en algunos otros.


Otra teoría que revaloriza las credenciales de MySpace, es el uso de las páginas de perfiles robados para de alguna forma, hacer aparecer ventanas emergentes a quien las visite. Se han observado en los últimos días en muchos perfiles un popup muy conseguido que simula ser la ventana de administración de actualizaciones de Windows. Si el usuario acepta la supuesta "actualización", se descargará un programa. Una vez ejecutado en el equipo, simulará un icono en la barra de tareas e intentará descargar ficheros que un falso escaneo antispyware de la máquina intentará solucionar. Una forma rebuscada (descargando ficheros supuestamente infectados) de que el usuario instale el spyware.

3 de junio de 2007

SPAMMER ENCARCELADO

UN SPAMMER A LA CÁRCEL

Robert Alan Soloway, un importante spammer de 27 años responsable de una buena parte del correo basura mundial, ha sido sentenciado por un juzgado de Seattle y se enfrenta a una pena de hasta 65 años de cárcel por fraude, robo de credenciales y blanqueo de dinero. Aunque se supone una buena noticia, ni experiencias previas ni el estado actual de la industria del malware hacen pensar que la situación para los que sufren el spam vaya a cambiar demasiado.

Soloway parece que va a recibir por fin su merecido. Lleva varios años siendo responsable del correo basura que llega a los buzones. Ha sido perseguido durante mucho tiempo por distintas empresas y organizaciones, y no es la primera vez que es citado ante un juez. Hasta ahora, había conseguido escapar de (o incluso ignorar) la justicia.

El método de Soloway es el habitual de un spammer de hoy en día. Trabaja codo con codo con creadores de malware para que sean las máquinas "zombie" infectadas las que envían el correo basura. Una vez conseguida una masa crítica de máquinas infectadas a través de varios métodos, éstas son las que prestan su ancho de banda y recursos para enviar la basura, además de nuevas réplicas de estos virus que permiten reclutar más máquinas y mantener (o comenzar así de nuevo) el ciclo. De esta forma, aunque el responsable lógico en primera instancia sea Robert Soloway, muchos sistemas inseguros se convierten en cierta manera en cómplices de este delincuente.

Aunque la sentencia sea aleccionadora y pretenda, más que nada, un efecto disuasorio en el resto de spammers "importantes", la situación no cambiará demasiado. Seguiremos recibiendo la misma cantidad de basura en el buzón. Las razones son varias.

Ya se han detenido en el pasado a varios cabecillas responsables del spam, sin el más mínimo efecto. Jeremy Jaynes a finales de 2004, calificado como el octavo spammer más prolífico. "Buffalo Spammer" a mediados de ese mismo año... Los responsables de las detenciones y sanciones se enorgullecieron en su momento de conseguir cazarlos, pero el tiempo ha demostrado que ni su detención directa ni la advertencia implícita difundida con su encierro han disuadido a otros responsables.

Sin ir más lejos, en febrero de 2007 conocimos un informe de Marshal's Threat Research, en el que se indicaba que el correo basura alcanzaba el 85% del total, con un incremento del 280% desde octubre de 2006. Un aumento sin precedentes.

El problema de base está en la infección masiva de máquinas zombies, que consiguen integrar botnets cada vez más numerosos y son responsables en su mayoría del correo basura recibido. El hecho de detener al que contrata al creador del troyano que envía spam o al controlador del botnet que lo distribuye, no detiene a este tipo de mafias. Sólo una concienciación masiva sobre la necesidad de asegurar bien una máquina para que no se convierta en esclava de un botnet puede ser efectiva y atacar el problema de raíz.

El spam es todavía uno de los pilares de la industria del malware. Además de su objetivo primario como spam en sí (ventas y estafas) que todavía lo hace rentable, gracias a él se distribuye una buena parte de virus y troyanos, además de servir para reclutar muleros para las estafas bancarias. Es uno de los métodos favoritos del crimen organizado, y el hecho de que uno de sus múltiples responsables vaya a la cárcel no hará que se reduzca el nivel de basura en los buzones ni (y esto es lo peor) amedrentará al resto de organizaciones dedicadas a la industria del malware. Más bien les animará a ocupar su "vacante". Porque como en la Naturaleza, en cuanto un nicho queda vacío, alguien al acecho no tarda en ocuparlo. Ley de la jungla en Internet.

Más información:

Spam reaches an all-time high

http://www.networkworld.com/news/2007/022207-spam-reaches-an-all-time.html

US spam king faces up to 65 years in clink

http://uk.theinquirer.net/?article=39975

Spammer Sentenced to Nine Years in Jail

http://www.pcworld.com/article/id,118493-page,1/article.html

'Buffalo Spammer' Sent to Slammer

http://www.wired.com/science/discoveries/news/2004/05/63640

APORTACIONES PERSONALES

  • Si usted desea realizar alguna aportación personal basada bien en conocimientos tecnológicos o bien en experiencias personales , y desea compartirlos con toda la comunidad puede hacerlo de alguno de estos modos:
  1. Registrándose y obteniendo una cuenta en google o en blogger para después introducir el o los comentarios justamente debajo del artículo objeto de su interés.(alta en google)
  2. También es posible realizarlo haciendo click en el enlace al wiki siguiente, http://cursosinformatica.wikispaces.com/ (cuya autoría es la misma que la de este blog) y después de registrarse en dicho sitio (pulsando en la opción "Join" en la parte superior de la ventana) , seleccionar el curso "Seguridad Informática" e introduzca sus comentarios pulsando antes en la pestaña "Discursión".

1 de junio de 2007

PHISHING (2)

El grupo Rock Phish dispara el número de ataques phishing en el mundo

Las técnicas phishing evolucionan a medida que los usuarios toman conciencia del perjuicio que les puede provocar y aprenden a evitarlo. Rock Phish, grupo pionero en ataques phishing en el mundo y responsable de la mayoría de ellos, dispara el número de ataques eludiendo leyes y contramedidas técnicas.

Según algunas fuentes Rock Phish no es más que un kit de desarrollo de phishing rápido para inexpertos. Sin embargo Rock Phish, para los que lidiamos con este tipo de asuntos antiphishing, es también una de las bandas más peligrosas y efectivas a la hora de crear ataques fraudulentos de robo de credenciales. Han desarrollado metodologías muy avanzadas para evitar que los medios técnicos disponibles impidan su difusión. Por ejemplo, tienen la capacidad de crear múltiples y únicas URL para cada ataque, muy complejas (es una de sus señas de identidad) que limitan de forma muy eficaz la labor de las barras antiphishing basadas en listas negras. Además, actúan a lo grande, pues son responsables de aproximadamente, más de la mitad de todo el phishing creado en el mundo en estos momentos. Buscan países exóticos con leyes difusas para alojar sus páginas o lo hacen dinámicamente para complicar la labor de rastreo y cancelación del sitio fraudulento.

Nadie sabe quién integra o de dónde viene esta banda, sólo que se mueven entre la élite del crimen organizado y que su actividad debe ser tremendamente rentable a juzgar por la virulencia, constancia y alto nivel técnico de sus ataques.

APWG (Anti-Phishing Working Group) ha declarado en uno de sus informes que el número de sitios phishing detectados en abril se ha disparado hasta 55.000. En su anterior medición, en octubre de 2006, se contabilizaron poco más de 35.000 sitios documentados por ellos ese mes. Phishtank.com, un repositorio público de sitios phishing, también registró pico histórico en abril con 77.700 páginas sospechosas.

Según Brian Krebs, Rock Phish es el gran responsable de estas cifras. No contentos con esta abrumadora posición dominante, el grupo busca el beneficio todavía en mayores cantidades. Se ha detectado un considerable aumento de ataques a bancos comerciales. Estos suelen ser bancos (o divisiones de los bancos tradicionales) destinadas a dar servicios de préstamos y depósitos a grandes empresas (no tanto a usuarios de a pie) que mueven importantes capitales. Sus "umbrales de detección de fraude" son mucho más altos y por tanto los robos pueden ser más abultados y pasar en cierta manera, más desapercibidos.

Si hasta el "simple" phishing tradicional sigue siendo efectivo para ciertos grupos más "modestos", imaginamos que el nivel de sofisticación alcanzado en Rock Phish debe proporcionar beneficios tan suculentos que seguro no están dispuestos a dejarlos escapar. Como toda organización, buscarán optimizar recursos y es más que probable que evolucionen para que su "cuenta de resultados" aumente. Solo nos queda estar preparados.

Más información:

Phishing Attacks Soar as Scammer Nets Widen

http://blog.washingtonpost.com/securityfix/2007/05/phishing_attacks_soar_nets_wid_1.html

What Is 'Rock Phish' and Why Should You Care?

http://www.pcworld.com/article/id,128175-pg,1/article.html

'Rock Phish' blamed for surge in attacks

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9005958

Anti-Phishing Working Group

http://www.antiphishing.org/reports/apwg_report_april_2007.pdf

Phishtank Stats April 2007

http://www.phishtank.com/stats/2007/04/

30 de mayo de 2007

NAVEGADOR

RIESGOS POTENCIALES PARA LA SEGURIDAD DEL NAVEGADOR

  • El servidor Web puede no ser seguro: a) ofrecer información falsa a los usuarios, b) facilitar la descarga de software malicioso, etc..
  • El navegador puede ejecutar códigos (programitas) dañinos; applets Java maliciosos, “plugins”, o Controles ActiveX
  • Un atacante puede interceptar la información intercambiada entre el navegador y el servidor Web, sobretodo si no se utiliza una conexión protegida por técnicas criptográficas, (visualización del icono del candado)
  • Otros tipos de ataques contra el servicio WEB:
  1. Secuestro de sesiones (“hijacking”)
  2. Ataques de repetición (replay attacks”)
  3. Ataques de intermediario(del tipo “man-in-the-middle”)
  4. Acceso a información sensible o modificación del contenido del servidor Web

RECOMENDACIONES DE SEGURIDAD

Configuración adecuada del equipo informático: servicios instalados, cuentas y grupos de usuarios, contraseñas por defecto, permisos de acceso a los recursos y los ficheros, etc..

Revisión y actualización con los últimos parches de seguridad publicados por el fabricante del software instalado.

Configuración a nivel de seguridad en función de la zona de trabajo del usuario.-En Internet Explorer se accede desde el menú (Herramientas / Opciones de Internet / Seguridad) y se distinguen las siguientes zonas:

  1. Zona “Internet” se aplica el Nivel de Seguridad Medio.
  2. Zona “Intranet local”, se recomienda Nivel de Seguridad Medio-Bajo.
  3. Zona de “Sitios de confianza”. Se aplica Nivel de Seguridad Bajo.
  4. Zona de “Sitios restringidos”.- Se recomienda Nivel de Seguridad Alto.

Control de la utilización de “cookies”.- Debemos saber lo siguiente:

  • Son pequeños ficheros de textos que se guardan en el ordenador del usuario y que graban los gustos y preferencias de del usuario en la navegación por Internet.
  • La desactivación de las mismas puede traer como consecuencia que algunos servicios o páginas de Internet no funcionen bien.
  • Lo recomendable es que cada cierto tiempo (a diario si es posible) se eliminen estos archivos de nuestro ordenador por medio

Cuidado con la descarga de software de Internet. Hemos de tener en cuenta lo siguiente:

  • Escanear cualquier programa o archivo descargado de Internet con un buen antivirus para comprobar la inexistencia de virus.
  • Verificar la autenticidad del sitio Web mediante la comprobación del certificado digital
  • Preferiblemente descargar software solo de los sitios Web de los fabricantes de software.

Evitar la navegación por sitios o páginas web de dudosa reputación.- Porque podrían contener virus.

No fiarse de enlaces incluidos en correos electrónicos.- Porque podrían engañarnos redireccionando la página a un sitio web diferente del indicado.

Control del contenido activo de las páginas web.- Exigiendo “pedir datos” antes de permitir la ejecución de este código .

En Intenet Explorer (Herramientas / Opciones de Internet / Seguridad / Nivel personalizado )

Configuración de la función autocompletar.-

  • Desactivar todas las opciones de Autocompletar y en especial las de recordar nombres de usuarios y contraseñas.
  • En Intenet Explorer (Herramientas / Opciones de Internet / Contenido / Autocompletar )

Conexión a servidores Web seguros mediante protocolos criptográficos (codificados).-

  • Para el intercambio de datos importantes (personales o bancarios ) , la comunicación debe estar encriptada (codificada)
  • El navegador abrirá una sesión http (sesión web normal), sobre un canal SSL (sesión web encriptada), y lo comprobaremos porque al comienzo de la dirección de la página en el navegador en lugar de aparecer “hhtp:// ” veremos “https:// “
  • También podemos comprobar que estamos en modo seguro porque aparece un candado en el borde inferior o superior del navegador según versión y fabricante.

Control de certificados y autoridades de certificación..- Para comprobar la validez del certificado digital se puede hacer realizando una doble pulsación del botón izquierdo del ratón sobre el candado que nos aparece en le marco del navegador y en la ventana subsiguiente que aparece deberemos examinar:

  1. Si está firmado por una autoridad de certificación reconocida.
  2. Si no ha expirado su periodo de validez
  3. Si el nombre registrado en el certificado coincide con el nombre del dominio del servidor, etc.

Control de contenidos que se pueden visualizar.- Desde el Asesor de contenidos, (Herramientas / Opciones de Internet / Contenido ) podemos restringir al acceso a páginas de contenidos desagradables atendiendo a la clasificación de la ICRA http://www.icra.org/ (Asociación para la clasificación de contenidos ) que serían: desnudez, lenguaje, sexo y violencia

Opciones avanzadas de Seguridad en Internet Explorer.- Entre las opciones avanzadas destacables en Internet Explorer accesibles desde (Herramientas / Opciones de Internet / Opciones avanzadas) en el apartado Seguridad tenemos:

  • Informar al usuario del envio de datos en formularios no seguros.
  • No guardar en disco páginas encriptadas.
  • Comprobación de la revocación de certificados digitales
  • Borrar la carpeta de archivos temporales de Internet
  • Advertir del cambio entre modalidad segura e insegura.

Otras recomendaciones de Seguridad.- Recomendaciones de seguridad añadidas.

Borrar por medio de ( Herramientas / Opciones de Internet / General ).

  1. Eliminar Cookies
  2. Eliminar Archivos Temporales de Internet.
  3. Borrar Historial.

-Utilizar conexiones seguras (SSL ó TLS) siempre que sea posible.

-Emplear un servidor Proxy como equipo intermediario con otras conexiones con otros servidores de Internet, porque podemos modificar la configuración para que filtre y surpervise las conexiones desde el equipo . De esta manera vigila y filtra los contenidos con código peligroso. (applets, Controles ActiveX )

ENLACES DE INTERES

  • Seguridad en la PYME

http://www.seguridadpymes.es/

  • Alerta-antivirus

http://alerta-antivirus.red.es/portada/

  • Seguridad en la Red:

http://www.seguridadenlared.org/

EMAIL

PROBLEMAS CON EL CORREO ELECTRONICO

Propagación de código peligroso ( virus y troyanos) por distintos medios:

  1. Mediante correo adjunto en ficheros ejecutables.
  2. Por medio de la inserción del virus dentro del propio cuerpo del mensaje.
  3. Intercepción de mensajes enviados por Internet “man-in-the-middle”.- El usuario malicioso se sitúa entre el servidor de correo y el usuario emisor del mensaje interceptando el mensaje, para posteriormente reenviarle seguramente con virus.
  4. Usurpación del remitente (“soofing”).- Para generar mensajes falsos en nombre de un usuario u organización.
  5. Ataques de repetición (“replay attacks”), que consisten en el reenvio de mensaje interceptados por un usuario malicioso.
  6. Spam o correo no solicitado ( correo basura)
  7. Ataques de “mail bombing”, que son un tipo de ataque de Denegación de Servicios (DoS), contra servidores de correo electrónico.
  8. Interceptación de contraseñas de usuarios que acceden a sus buzones de correo como POP, que no encriptan (codifican) dichas contraseñas antes de transmitirlas por Internet.
  9. Revelación a terceros del contenido de un mensaje de correo electrónico, sin tener la autorización del creador, con lo cual podría reenviar dicho mensaje sin autorización igualmente del remitente.

RECOMENDACIONES DE SEGURIDAD DEL CORREO ELECTRONICO.

  • Evitar la ejecución de código dañino asociado al correo electrónico.
  • Desactivación de la vista previa de los mensajes del programa lector del correo, con lo cual evitaremos que se ejecute el código HTML del correo electrónico.
  • No se debe ejecutar los archivos adjuntos asociados a los correos electrónicos sin escanearlos previamente con un buen antivirus.
  • Desconfiar en general de los correos que desconozcamos su remitente.
  • Verificar las extensiones de los archivos de los correos adjuntos porque en ocasiones se dan casos de engaños del tipo “txt.exe”, “txt.doc”, “txt.xls”, “txt.vbs”, etc.
  • Instalar un buen antivirus que nos proteja del correo electrónico con virus.
  • Garantizar la confidencialidad, integridad y autenticidad de los mensajes y de los usuarios.
  • Utilización de protocolos seguros para el acceso a los buzones de correo electrónico como APOT en lugar del clásico POP3 que envia nuestras contraseñas sin encriptar ( sin codificar) y son legibles para cualquier pirata informático.

Alternativas para lograr la autencidad de los mensajes:

  1. Sender ID Framework (SIDF): sistema que incluye un identificador del remitente en los correos electrónicos (www.microsoft.com/senderid )
  2. Sender Policy Framework (SPF).- Sistema propuesto para definir una lista permitida de dominios desde los que se permite enviar correo electrónico utilizando servidores de la oranización.
  3. Utilización de la firma electrónica en los correos.
  4. Configuración más segura de la red de la organización para el servicio de correo electrónico.
  5. Intalar antivirus, antiespias y cortafuegos.
  6. Instalar un servidor Proxy “mail Proxy” par filtrados de código peligroso
  7. Utilización de servidores de correo seguro (SSL) o incluso túneles (SSH).

ENLACES DE INTERES

EchoMail: http://www.echomail.com/

MessageTag: http://www.messagetag.com/home/

Kana: http://www.kana.com/