Se han encontrado múltiples vulnerabilidades en RealPlayer, RealOne y HelixPlayer que podrían ser explotadas por un atacante remoto para comprometer un sistema vulnerable.
Las vulnerabilidades están causadas por errores de límite al procesar archivos de diversos formatos: mp3, rm, SMIL, swf, ram y pls. Esto podría ser explotado por un atacante remoto para causar desbordamientos de buffer por medio de archivos especialmente manipulados.
Una o varias vulnerabilidades están confirmadas para las versiones y productos:
RealPlayer 10.x
RealOne Player v2
RealOne Player v1
RealPlayer 8
RealPlayer Enterprise
Mac RealPlayer 10.x
Mac RealOne Player
Linux RealPlayer 10.x
Helix Player 10.x
Se recomienda actualizar a las últimas versiones de cada producto, disponibles desde el siguiente enlace:
http://service.real.com/realplayer/security/10252007_player/en/
Fuente:
www.hispasec.com
28 de octubre de 2007
26 de octubre de 2007
Aumentan los ataques de smishing a móviles ó celulares
El phishing en telefonía celular no es nuevo. Ya hace mucho tiempo se han detectado casos que se valen de la voz sobre IP para cometer estafas. A eso se lo llama "vishing". Otra modalidad similar que utiliza mensajes SMS para captar la atención de la víctima, es denominada "smishing".
www.vsantivirus.com
Por 10 dolares se puede suplantar la identidad
El submundo de Internet se ha convertido en una industria multimillonaria, en que delincuentes compran a hackers informaciones robadas por fuertes sumas de dinero. La situación es analizada por la compañía de seguridad informática Symantec en un reciente informe.
La venta de códigos para virus, números de tarjetas de crédito y direcciones de correo electrónico alcanzan niveles multimillonarios. Cada vez es más fácil comprar información ilegal en Internet. El informe de Symantec indica además que grupos de delincuentes organizados destinan grandes recursos para conseguir que expertos en informática participen en la ciberdelincuencia y el robo de identidades.
Por una suma inferior a los 80 dólares es posible comprar un programa completo para realizar ataques de phishing, que contiene todas las funciones necesarias para falsificar sitios de Internet y enviar correo phishing instalando además virus en el sistema del destinatario.
El informe incluye una lista de los tipos de malware que pueden ser comprados en sitios de receptación en Internet.
En primer lugar se sitúan las tarjetas de crédito, que se venden por grupos de 10 a 20 unidades por un precio que bordea los 50 centavos de dólar. Les siguen los números de cuentas bancarias, cuyo valor llega a los 30 y los 500 dólares dependiendo de su potencial. Las contraseñas para correo electrónico pueden ser adquiridas por sólo un dólar, en tanto que los programas de tipo "mailers" (programas que distribuyen correo no solicitado) tienen un precio de 8 a 10 dólares.
Por solo 10 dólares es posible comprar una identidad completa en Internet, indica Symantec en su informe.
www.symantec.com
La venta de códigos para virus, números de tarjetas de crédito y direcciones de correo electrónico alcanzan niveles multimillonarios. Cada vez es más fácil comprar información ilegal en Internet. El informe de Symantec indica además que grupos de delincuentes organizados destinan grandes recursos para conseguir que expertos en informática participen en la ciberdelincuencia y el robo de identidades.
Por una suma inferior a los 80 dólares es posible comprar un programa completo para realizar ataques de phishing, que contiene todas las funciones necesarias para falsificar sitios de Internet y enviar correo phishing instalando además virus en el sistema del destinatario.
El informe incluye una lista de los tipos de malware que pueden ser comprados en sitios de receptación en Internet.
En primer lugar se sitúan las tarjetas de crédito, que se venden por grupos de 10 a 20 unidades por un precio que bordea los 50 centavos de dólar. Les siguen los números de cuentas bancarias, cuyo valor llega a los 30 y los 500 dólares dependiendo de su potencial. Las contraseñas para correo electrónico pueden ser adquiridas por sólo un dólar, en tanto que los programas de tipo "mailers" (programas que distribuyen correo no solicitado) tienen un precio de 8 a 10 dólares.
Por solo 10 dólares es posible comprar una identidad completa en Internet, indica Symantec en su informe.
www.symantec.com
Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas
Una vulnerabilidad en Adobe Reader (compartida en realidad con Microsoft Windows) está siendo aprovechada para ejecutar código con sólo abrir un archivo en PDF. Si bien se conoce esta vulnerabilidad desde hace algunas semanas, no ha sido hasta el día 22 de octubre que se han observado correos intentando explotar el fallo descargando e instalando malware alojado como no, en la siempre presente Russian Bussines Network.
En junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha. Entonces avisábamos de que, al menos, este spam no intentaba aprovechar ninguna vulnerabilidad en el lector más popular Adobe Reader y que si el correo era abierto sólo se perdería el tiempo. Hasta ahora... pues se ha descubierto que se están enviando archivos PDF que si son abiertos en un Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de descargar y ejecutar código.
www.hispasec.com
En junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha. Entonces avisábamos de que, al menos, este spam no intentaba aprovechar ninguna vulnerabilidad en el lector más popular Adobe Reader y que si el correo era abierto sólo se perdería el tiempo. Hasta ahora... pues se ha descubierto que se están enviando archivos PDF que si son abiertos en un Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de descargar y ejecutar código.
www.hispasec.com
19 de octubre de 2007
Cyberdelincuentes: ahora usan skype para el robo de identidad
Una oleada de correos electrónicos falsos está llegando. Por estos días, los correos se utilizan para robar nombres de usuario y contraseñas a través del popular programa Skype, que utiliza para sus comunicaciones la tecnología conocida como “voz sobre IP” (VOIP).
El ISC (Internet Storm Center) acaba de dar a conocer un informe en el cual se consigna este nuevo fenómeno, que podría asimilarse a algo así como “phishing vía Skype”.
Así como se busca robar nombres de usuario y contraseñas para acceder al sistema bancario mediante el phishing tradicional, -técnica utilizada para obtener información confidencial mediante la suplantación de una persona o institución legítima generalmente por medio de un "scam" o estafa, mensaje electrónico fraudulento, o falsificación de página Web-, en esta nueva modalidad de fraude se intenta conseguir credenciales de acceso al sistema de Skype.
Para qué robar las cuentas en un servicio de VOIP? La teoría del ISC, es que con el uso de la voz, podrían mejorarse otras técnicas utilizadas para delinquir, y llevar a cabo ataques de phishing más elaborados.
Y, ¿por qué robar cuentas y no crearlas con nombres falsos? Muy simple la respuesta: Skype es bueno bloqueando la creación de cuentas de forma automática. No acepta el uso de robots para su creación. Puede resultar mucho más fácil utilizar la clásica ingeniería social para que el propio usuario sea quien termine proporcionando sus datos al atacante.
Otro de los puntos importantes al conseguir el dato de usuario y contraseña en un servicio aparentemente inofensivo como Skype, es que muchos usuarios utilizan la misma contraseña en varios sistemas. Lo cual podría hacer que los hackers probaran esta combinación de usuario y contraseña en sistemas más redituables, como la banca online o de manejos financieros.
Fuente: minutouno.com
El ISC (Internet Storm Center) acaba de dar a conocer un informe en el cual se consigna este nuevo fenómeno, que podría asimilarse a algo así como “phishing vía Skype”.
Así como se busca robar nombres de usuario y contraseñas para acceder al sistema bancario mediante el phishing tradicional, -técnica utilizada para obtener información confidencial mediante la suplantación de una persona o institución legítima generalmente por medio de un "scam" o estafa, mensaje electrónico fraudulento, o falsificación de página Web-, en esta nueva modalidad de fraude se intenta conseguir credenciales de acceso al sistema de Skype.
Para qué robar las cuentas en un servicio de VOIP? La teoría del ISC, es que con el uso de la voz, podrían mejorarse otras técnicas utilizadas para delinquir, y llevar a cabo ataques de phishing más elaborados.
Y, ¿por qué robar cuentas y no crearlas con nombres falsos? Muy simple la respuesta: Skype es bueno bloqueando la creación de cuentas de forma automática. No acepta el uso de robots para su creación. Puede resultar mucho más fácil utilizar la clásica ingeniería social para que el propio usuario sea quien termine proporcionando sus datos al atacante.
Otro de los puntos importantes al conseguir el dato de usuario y contraseña en un servicio aparentemente inofensivo como Skype, es que muchos usuarios utilizan la misma contraseña en varios sistemas. Lo cual podría hacer que los hackers probaran esta combinación de usuario y contraseña en sistemas más redituables, como la banca online o de manejos financieros.
Fuente: minutouno.com
18 de octubre de 2007
Russian Business Network ¿centro de operaciones mundial de los ataques de Virus?
Brian Krebs publica una serie de interesantes artículos sobre la Russian Business Network (más conocida como la RBN), una compañía que supuestamente proporciona alojamiento e infraestructura web a la creciente industria del malware, convirtiéndose así en una especie de centro de operaciones mundial desde donde se descargan los troyanos y hacia donde viaja la información robada.
La RBN se encuentra en St. Petersburg y proporciona alojamiento web. Su actividad parece estar íntimamente relacionada con la industria del malware, hasta el punto de que muchos han decidido bloquear directamente toda conexión con direcciones pertenecientes a esta red. Y no sólo malware. Se dice que la mitad del phishing mundial está alojado impunemente en alguno de sus servidores.
Pero no ha servido de mucho. Han aprendido a enrutar las conexiones a través de otras webs comprometidas en Estados Unidos y Europa de forma que, aunque sea dando un rodeo a través de otras IPs (habitualmente usuarios residenciales troyanizados o webs atacadas), siguen operando de forma normal. Por ejemplo, en el reciente ataque al Banco de la India, al seguir el rastro del malware que se intentaba instalar en los sistemas Windows que visitaban la web, se observó que tras pasar la información a través de varios servidores, finalmente acababa en un servidor de la RBN.
La RBN se encuentra en St. Petersburg y proporciona alojamiento web. Su actividad parece estar íntimamente relacionada con la industria del malware, hasta el punto de que muchos han decidido bloquear directamente toda conexión con direcciones pertenecientes a esta red. Y no sólo malware. Se dice que la mitad del phishing mundial está alojado impunemente en alguno de sus servidores.
Pero no ha servido de mucho. Han aprendido a enrutar las conexiones a través de otras webs comprometidas en Estados Unidos y Europa de forma que, aunque sea dando un rodeo a través de otras IPs (habitualmente usuarios residenciales troyanizados o webs atacadas), siguen operando de forma normal. Por ejemplo, en el reciente ataque al Banco de la India, al seguir el rastro del malware que se intentaba instalar en los sistemas Windows que visitaban la web, se observó que tras pasar la información a través de varios servidores, finalmente acababa en un servidor de la RBN.
13 de octubre de 2007
SEGURIDAD Y PRIVACIDAD EN REDES INALAMBRICAS
RIESGOS POTENCIALES
- Virus.- Los virus no solo pueden infectar a los ordenadores (computadores ) si no que también pueden atacar a los telefonos móviles y PDA, borrando o copiando su información así como a las redes inalámbricas bloquandolas por saturación.
- Piratas de teléfonos móviles.- Delicuentes que espían las llamadas telefónicas, por supuesto sin orden judicial, invadiendo la privacidad de la gente.
- Clonadores de teléfonos móviles.- Delincuentes que roban la identidad de los propietarios de los teléfonos móviles, para después realizar llamadas suplantando su identidad y cargarles los costes de las mismas.
- Piratas de redes inalámbricas.- Delicuentes que espían los datos que viajan por la red inalámbrica, pudiendo robar información, borrar archivos y programas. También pueden robar datos de los mismos teléfonos móviles.
- Gamberros inalámbricos.- Este tipo de delicuentes pueden bloquear las redes inalámbricas, saturándolas de información y/o mensajes falsos, para que dichas redes no puedan controlar el tráfico.
12 de octubre de 2007
Virus en teléfonos móviles , celulares y PDA
- Los teléfonos móviles pueden verse infectados por virus de la misma forma en la que pueden infectarse los ordenadores. Existen distintos tipos de virus que entran en los teléfonos de formas distintas.
- En uno de los tipos de ataques, las capacidades de Bluetooth del teléfono se utilizan para extender un virus. El virus Cabir es un ejemplo de un virus que se propaga a través del Bluetooth. Se aprovecha del hecho de que Bluetooth envía de forma constante señales buscando dispositivos Bluetooth cercanos con los que conectar. Cuando los dispositivos Bluetooth se conectan pueden intercambiar información.
- Un teléfono móvil con Bluetooth envía constantemente señales en busca de un dispositivo Bluetooth cercano. Cuando un teléfono infectado con un virus encuentra otro teléfono Bluetooth, se conecta a él, y le envía el virus. El nuevo teléfono buscará constantemente otros teléfonos con lo que conectarse, e infectará a todos aquellos que se crucen en su camino
- Otro tipo de ataque utiliza la "red social" para propagarse. Utiliza el servicio de mensajes cortos (SMS) o el servicio de mensajes multimedia (MMS) para expandirse. Cuando un teléfono infectado con el virus recibe un SMS o un MMS de alguien, se envía en forma de mensaje MMS, haciéndose pasar por la respuesta, aunque en realidad lo hace es infectar el teléfono. El virus Mabir.A pertenece a este tipo.
- Otro tipo de virus, en este caso un Trojan Horse, se expande cuando la gente utiliza los teléfonos móviles para compartir archivos entre sí, a través de redes para compartir archivos o del protocolo de mensajes IRC que permite también compartir archivos. Un Trojan Horse finge ser un juego, un tipo de letra u otra parte útil de código, por lo que alguien lo descarga y lo instala. Sin embargo, cuando está instalado, resulta muy dañino.
- El virus Fontal.A Trojan es de este tipo. Una vez instalado, ataca al gestor de aplicación del teléfono y no permite que se instalen nuevos programas. Además, evitará que se desinstale el Trojan. La única solución en formatear el teléfono, lo que hace que pierda todos sus datos.
24 de agosto de 2007
¿HAY VIRUS EN LINUX? (1)
¿ PORQUE EN LINUX NO HAY APENAS VIRUS ?
Los virus son la pesadilla de los administradores, cada mes aparecen mas de 30 mil y es un hecho que las actualizaciones mensuales de los antivirus no los incluyen a todos. Para los usuarios no expertos también son una molestia, los antivirus pueden hacer que una computadora pierda hasta el 30% de su veocidad. Cada año cientos de millones de dólares se pierden en horas/hombre (y horas/mujer ;-) ) por los virus en todo el mundo.
Para que un programa sea considerado como un virus debe cumplir dos requisitos:
1) Que se copie a sí mismo
2) Que se propague de manera "natural" entre los sistemas
Los gusanos son programas que aprovechan un exploit (error en el código de un programa) para infiltrarse en un sistema. Los troyanos son gusanos que abren un puerto trasero para permitir que una persona ajena entre al sistema. La diferencia principal entre los virus y los gusanos radica en que los virus se propagan sólos por la red, mientras que alguien (un hacker) debe realizar acciones especificas para implantar un gusano. Por cada máquina atacada por un gusano existen miles (quizás millones) de equipos infectados por virus. En GNU/Linux hay gusanos y troyanos, pero no virus.
Con frecuencia he escuchado la opinion de "expertos" que argumentan que en Linux no hay virus porque hay pocos equipos con este sistema operativo, pero que en cuanto se vuelva más popular los virus aparecerán. Obviando el hecho de que Unix/Linux poseen el 40% del mercado de servidores, esta opinión revela las pobres expectativas que Microsoft le ha impuesto al usuario común, pues según éste, es normal que todos los sistemas operativos sean afectados por los virus. Pero en realidad, solo Windows padece de los virus. No todo es culpa de Microsoft, no ha sido fácil llevar a un sistema operativo tan deficiente como Windows95 al exigente mundo de los servidores: en busca de un buen desempeño, se ha debido de pagar un precio en la seguridad de Windows XP y Windows 2003, quizás un precio demasiado alto.
El hecho, sin embargo, es que en Linux no hay ni habrá virus, (la verdad es que en ningún sistema operativo deberían de existir los virus), la razón radica en la gestión de memoria y la asignacion de permisos por omisión, los cuales hacen imposible que un programa no autorizado se ejecute y propague. Varias consultoras reportan que los servidores mas atacados en Internet son los basados en Linux, y la gran mayoria sale victorioso de la prueba. Sin embargo, esto no significa que este sistema operativo sea invulnerable: los programas y el mismo kernel poseen fallas que al ser explotadas permiten que, en casos extremos, un extraño tome control del equipo. La mejor manera de prepararse para un ataque es siendo uno mismo un hacker, escaneando los puerto de nuestro server, inyectando SQL en nuestras paginas web y tratando de ejecutar codigo malicioso. Lo más importante es frecuentar sitios que informen sobre fallos de seguridad, como linuxtoday.com∞ y buscar actualizaciones para nuestro sistema cada siete dias. Existen muchas soluciones que automatizan este proceso.
Los virus son la pesadilla de los administradores, cada mes aparecen mas de 30 mil y es un hecho que las actualizaciones mensuales de los antivirus no los incluyen a todos. Para los usuarios no expertos también son una molestia, los antivirus pueden hacer que una computadora pierda hasta el 30% de su veocidad. Cada año cientos de millones de dólares se pierden en horas/hombre (y horas/mujer ;-) ) por los virus en todo el mundo.
Para que un programa sea considerado como un virus debe cumplir dos requisitos:
1) Que se copie a sí mismo
2) Que se propague de manera "natural" entre los sistemas
Los gusanos son programas que aprovechan un exploit (error en el código de un programa) para infiltrarse en un sistema. Los troyanos son gusanos que abren un puerto trasero para permitir que una persona ajena entre al sistema. La diferencia principal entre los virus y los gusanos radica en que los virus se propagan sólos por la red, mientras que alguien (un hacker) debe realizar acciones especificas para implantar un gusano. Por cada máquina atacada por un gusano existen miles (quizás millones) de equipos infectados por virus. En GNU/Linux hay gusanos y troyanos, pero no virus.
Con frecuencia he escuchado la opinion de "expertos" que argumentan que en Linux no hay virus porque hay pocos equipos con este sistema operativo, pero que en cuanto se vuelva más popular los virus aparecerán. Obviando el hecho de que Unix/Linux poseen el 40% del mercado de servidores, esta opinión revela las pobres expectativas que Microsoft le ha impuesto al usuario común, pues según éste, es normal que todos los sistemas operativos sean afectados por los virus. Pero en realidad, solo Windows padece de los virus. No todo es culpa de Microsoft, no ha sido fácil llevar a un sistema operativo tan deficiente como Windows95 al exigente mundo de los servidores: en busca de un buen desempeño, se ha debido de pagar un precio en la seguridad de Windows XP y Windows 2003, quizás un precio demasiado alto.
El hecho, sin embargo, es que en Linux no hay ni habrá virus, (la verdad es que en ningún sistema operativo deberían de existir los virus), la razón radica en la gestión de memoria y la asignacion de permisos por omisión, los cuales hacen imposible que un programa no autorizado se ejecute y propague. Varias consultoras reportan que los servidores mas atacados en Internet son los basados en Linux, y la gran mayoria sale victorioso de la prueba. Sin embargo, esto no significa que este sistema operativo sea invulnerable: los programas y el mismo kernel poseen fallas que al ser explotadas permiten que, en casos extremos, un extraño tome control del equipo. La mejor manera de prepararse para un ataque es siendo uno mismo un hacker, escaneando los puerto de nuestro server, inyectando SQL en nuestras paginas web y tratando de ejecutar codigo malicioso. Lo más importante es frecuentar sitios que informen sobre fallos de seguridad, como linuxtoday.com∞ y buscar actualizaciones para nuestro sistema cada siete dias. Existen muchas soluciones que automatizan este proceso.
10 de agosto de 2007
¿ANTIVIRUS SEGUROS? (2)
Demostrar que una tecnología antivirus ofrece mejor protección que otra es complicado. Desde el punto de vista de marketing el usuario está cansado, al fin y al cabo todos los antivirus afirman ser los mejores, y se deja llevar por la propia experiencia o por terceros confiables creadores de opinión.
La experiencia del usuario tiene una visibilidad muy parcial, no puede saber que grado de protección real le ofrece un producto. Se dejará llevar por indicadores tales como la no inteferencia con su trabajo y el rendimiento del sistema. El usuario no sabe si está infectado o no, pero si sabe si el antivirus le molesta.
Los terceros confiables no son confiables. La dificultad que el usuario tiene para evaluar el grado de protección de un antivirus también se traslada a los creadores de opinión, desde foros de Internet pasando por revistas de informática y comparativas que tampoco están diseñadas para evaluar las nuevas tecnologías. También tienen la resposabilidad de explicar cual es la situación actual y las diferencias entre tecnologías, hay que formar a los usuarios.
Los evaluadores de antivirus deben evolucionar a nuevas metodologías, siguen (seguimos) tilizando tests de los años 90 dando resultados adulterados y penalizando a las nuevas tecnologías. Son las fuentes de la que beben los terceros confiables, "culpables" también de la formación en nuevas tecnologías que requieren traducir su eficacia real en indicadores que a día de hoy simplemente no se miden.
Los desarrolladores antivirus deben reinventarse y no perder el foco sobre el usuario. Hay productos que están incorporando tecnología sobre tecnología en su búsqueda de minimizar la ventana de riesgo de infección, pero convirtiéndose en un software complejo, poco optimizado, que consume muchos recursos, y que ofrece una pobre experiencia al usuario.
Hay que evolucionar, pero no a cualquier precio. A veces tendemos a ofuscarnos con soluciones técnicas y olvidamos que al final un usuario, que no es informático ni tiene nociones de seguridad, tendrá que convivir con esas soluciones en su día a día en un PC normal, no sobrado de recursos, que ejecuta otras aplicaciones que son realmente las importantes para él.
Fuente: portal hispasec
¿ANTIVIRUS SEGUROS? (1)
Antivirus: rendimiento vs. protección
El mundo de los antivirus está en crisis técnica, que no comercial, sigue siendo un buen negocio. Pero a estas alturas a nadie escapa que los antivirus a duras penas logran tapar parte de la ventana de riesgo de infección a la que todo usuario de Windows se expone en Internet.
Ante este panorama cabría pensar que están triunfando los antivirus que mayor protección ofrecen, si bien la realidad es distinta.
La gran proliferación y diversificación del malware ha puesto en jaque a un esquema basado en tener fichados a los malos: firmas para identificar al malware conocido, firmas genéricas para identificar variantes de una misma familia, y heurísticas basadas en la detección de código sospechoso.
Los malos han ganado la partida en este juego. Modifican una y otra vez el código para que las firmas y heurísticas existentes no puedan detectarlos, cambian la cara de sus especímenes para evitar ser reconocidos aunque en el fondo siguen haciendo el mismo daño. Lo hacen de forma tan masiva que los antivirus a duras penas pueden seguir el ritmo para actualizarse, no dan a basto, están saturados. Es una carrera sin final y nos llevan mucha ventaja.
Hay que cambiar de estrategia. Visto que actualizar firmas de forma constante no es suficiente, los antivirus han optado por implementar nuevas tecnologías que les permita más proactividad. El fin es poder detectar el malware nuevo, desconocido o variante. No depender de una firma reactiva , ser más genéricos y proactivos en la protección.
Son varias las empresas antivirus que han arriesgado en ese campo, incorporando nuevas tecnologías y capas de seguridad al motor antivirus tradicional, que dotan a la solución de un mayor poder de protección. Pero no todos son ventajas a la vista del usuario, la
incorporación de este tipo de tecnologías adicionales suele conllevar también un software más "pesado", que consume más recursos, enlentece el sistema, tiende a dar más falsos positivos y/o termina haciendo preguntas incomodas al usuario:
"El proceso svchost.exe intenta conectar a Internet.
¿Permitir o denegar?"
¿No se supone que el antivirus debe saber si es algo peligroso o no?, ¿por qué me pregunta a mí?. Después de una serie de pensamientos similares, el usuario acabará por tomar alguna decisión del tipo:
- Intentará averiguar en google que es "svchost.exe" (no llegará a ninguna conclusión, y a la segunda o tercera pregunta sobre otros procesos desistirá en la búsqueda de la verdad)
- Permitir Todo (tarde o temprano terminará infectándose)
- Denegar Todo (dejará de funcionarle algún software legítimo)
- Desinstalar el antivirus e instalar otro que no le haga perder tiempo con ventanitas emergentes y preguntas que no sabe contestar (sin excluir las decisiones anteriores, el usuario suele terminar desembocando en este punto y cambiando de antivirus)
Fuente: portal hispasec
28 de junio de 2007
27 de junio de 2007
SPAM EN FORMATO PDF
Si en su cliente de correo tiene una carpeta donde almacena el spam, haga una búsqueda por archivos adjuntos con extensión “.PDF”, a buen seguro encontrará unos cuantos ejemplos. Es la penúltima moda para intentar evitar los filtros antispam, si durante los últimos meses la avalancha de mensajes no deseados llegaba con imágenes, ahora le toca el turno al formato PDF.
Las soluciones antispam suelen combinar diferentes técnicas para poder determinar si un mensaje es spam o no. Pueden analizar ciertas cabeceras del mensaje, realizar diversas comprobaciones sobre el servidor que realiza el envío, compararlo con listas negras, utilizar firmas basadas en patrones estáticos y dinámicos, aplicar filtros bayesianos, etc.
Este mismo arsenal de técnicas está a disposición de los spammers, van probando contra ellas diferentes estrategias para buscar eludir este tipo de barreras y conseguir que el mensaje no deseado llegue sí o sí a nuestros buzones.
Por ejemplo, una de las técnicas más explotadas para evitar la detección basándose en el análisis del texto consiste en enviar el mismo mensaje pero "dibujado" en una imagen adjunta. De esta forma, aparte de poder dibujarle la pastillita azul junto con sus propiedades, precios, etc, lo que buscan es que el nombre de la pastillita no aparezca escrito en texto plano en el cuerpo del mensaje y pueda hacer sospechar al filtro antispam.
Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto que era dibujado en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir "ruido" en las imágenes para dificultar el reconocimiento automático por este tipo de software.
Esa es la razón por la que en ocasiones las imágenes con texto que nos llegan por spam estén distorsionadas, con caracteres multicolor, parezcan mal enfocadas, o tengan líneas por encima del texto. No es que los spammers sean muy malos diseñadores o tengan muy mal gusto, la explicación es que quieren dificultar la labor a los filtros antispam.
Aprovechando que la inmensa mayoría de los ordenadores de hoy día cuentan con un visualizador de archivos PDF, que se ha convertido en un formato universal y que goza de buena "reputación" (suele utilizarse para compartir documentación), los spammers han decidido que también puede ser una buena vía para sus objetivos.
Como el texto de los archivos PDF es interpretable, puede llegar a ser procesado por motores antispam, ellos también demuestran que saben combinar técnicas y han decido utilizar las imágenes con el mensaje distorsionado incrustadas en el PDF.
21 de junio de 2007
CONTRASEÑAS DE USUARIOS
Se supone que la mayoría de los usuarios seleccionan sus contraseñas para acceder a las máquinas y a la red de forma bastante aleatoria, pero estudios recientes demuestran que en realidad la mayor parte siguen patrones bastante definidos, que facilitan a hackers e intrusos el introducirse en redes corporativas, empresariales y académicas.
Para determinar la frecuencia de repetición de las contraseñas y obtener alguna luz sobre como se escogen por operadores, ejecutivos, empleados y usuarios en general, la entidad británica Pentasafe Security Technologies encuestó más de 15 mil personas en 600 organizaciones de Estados Unidos y Europa, y sus resultados afirman que varias no toman las medidas adecuadas para proteger bien las informaciones confidenciales, ya sean propias o de la empresa.
Según el sondeo anónimo, el 60% de los empleados sabía muy poco sobre las medidas de seguridad que debía tomar, y el 90% por ciento admitió haber abierto o ejecutado por lo menos un archivo “peligroso” en computadoras de la compañía.
Asimismo, el 25% eligió como contraseña una palabra tan simple como “Banana”, a pesar de que un pirata informático apenas tardaría segundos en descifrarla y entrar en las bases de datos de una empresa. ENTRENAMIENTO Por otro lado casi un 50% de los encuestados dijo no haber recibido entrenamiento sobre las medidas de seguridad mínimas, mientras que un tercio de las organizaciones no exige a sus trabajadores leer sus políticas de seguridad. Esto concuerda con los resultados de otra encuesta realizada entre gerentes de seguridad, en la cual el 66% creen que el nivel de conocimiento promedio de los empleados sobre la seguridad del sistema es insuficiente, cuando no peligrosamente insuficiente. Curiosamente, de los sectores entrevistados, el de las comunicaciones ofreció los peores resultados, sin embargo, las instituciones financieras, empresas de salud y organizaciones del sector público se desempeñaron un poco mejor. Según expertos, esto se debe a que en las entidades informáticas y de comunicación, las computadoras e Internet son moneda corriente diaria, y en la confianza excesiva está el peligro.
FRAUDE INFORMÁTICO Otro problema que producen las contraseñas mal escogidas es la proliferación del fraude informático, que puede ir desde robar tiempo de conexión en Internet a usuarios legítimos, hasta el de las compras con tarjeta de crédito, cuentas bancarias e información confidencial.
TRIVIALIDAD DE LOS “PASSWORDS” Otros estudios demuestran que muchos usuarios casi nunca cambian sus contraseñas, suelen apegarse a determinados tipos, o simplemente tienen el hábito de escribirlas en papeles pegados al interior de las gavetas, debajo de los teclados de las máquinas, y aún en los monitores, para horror de los agentes de seguridad informática, demostrando una vez más que el mayor riesgo de seguridad en un sistema son sus propios usuarios.
En pruebas realizadas durante auditorías de seguridad informática en el Reino Unido, se aplicó el tipo de ataque denominado “fuerza bruta”, con programas que prueban en pocos minutos todas las combinaciones de contraseñas con seis o siete caracteres, experimentando también con listados de nombres, equipos deportivos, caracteres de ficción y personalidades de la vida real.
Como ejemplo, podemos citar que en una gran empresa europea, una auditoría informática detectó que casi un 50% de las compañías que utilizaban Windows, un 30-40% de todas las contraseñas de Windows, fueron determinadas en los primeros 20 minutos y el resto de ellas en 5-8 horas.
SECRETOS En contraste, las organizaciones militares, tan apegadas al tema de los secretos, suelen tener políticas más elaboradas para el caso. Por ejemplo, la guía para crear contraseñas del Departamento de Defensa de Estados Unidos tiene 30 páginas de extensión.... y aún así han sido atacados.
Entre las empresas y corporaciones se registran otros fenómenos, pues con el incremento de sitios WEB, muchas personas tienden a utilizar la misma una y otra vez para diferentes servicios de pago, facilitando la tarea al hacker. Estudios de la facultad de computación de
En fin, que si las contraseñas son el “Abrete Sésamo” de esta era de la informática, si no se escogen y protegen con cuidado, también pueden abrir la puerta a ladrones, saboteadores e intrusos de todo tipo.
20 de junio de 2007
Informe Oficial de Seguridad Informática en los hogares españoles
El Instituto Nacional de Tecnologías de
Así, el 90 por ciento de los hogares participantes en el estudio accede a la red a través de la banda ancha. Además, el 78 por ciento de los encuestados asegura que se conecta a internet desde su casa, el 76 por ciento desde un PC de sobremesa, un 22 por ciento desde un portátil y el 2 por ciento restante desde otros dispositivos.
El perfil de los encuestados es el de usuarios tecnológicamente avanzados, que pasan más de 5 horas diarias conectados a internet. Asimismo, el 65,4 por ciento afirmó que su relación con la red comenzó hace más de cinco años.
Si nos centramos en las medidas de seguridad, la mayoría de los encuestados utiliza aplicaciones no automatizadas. De éstas, son los antivirus los programas más generalizados ya que están instalados y en activo en el 87 por ciento de los hogares. La segunda de las medidas más utilizadas son los cortafuegos.
Cabe señalar que, aunque sólo un 9 por ciento de los encuestados aseguró que no utiliza ninguna medida de seguridad, son los que “se encargan” de expandir las amenazas. Las razones esgrimidas para no utilizar ninguna protección se centran en el desconocimiento o la percepción de que son innecesarias. Además, también hay que destacar el hecho de que un gran porcentaje de estos alega no hacerlo porque entorpece el uso del ordenador y la navegación por internet.
En cuanto a las incidencias de seguridad, el informe de INTECO asegura que el 72 por ciento de los ordenadores domésticos presentan algún tipo de código malicioso o malware, detectándose malware con riesgo alto en más del 50 por ciento de los equipos analizados. Así, el 50 por ciento de los PC analizados tienen troyanos, el 40 por ciento adware publicitario, un 25 por ciento herramientas de intrusión, un 10 por ciento programas espía y otro 10 por ciento algún tipo de virus.
La parte positiva es que la mayoría de los encuestados aseguró que las incidencias de seguridad no provocan el abandono de los servicios ni tampoco implica que vayan a dejar de conectarse a internet. Eso sí, casi la mitad afirma que utilizaría más servicios si supiera la manera de reducir el riesgo.
Desde INTECO se asegura “si bien es cierto que existe un efecto de retraso en la incorporación a
19 de junio de 2007
Ataque a gran escala contra webs europeas
No consiste en una simple acumulación de webs atacadas, sino que en ellas, manteniendo su aspecto original, han conseguido encajar código de forma que los usuarios vulnerables que las visiten serán infectados. El malware, una vez instalado en sus sistemas les robará (cómo no) sus credenciales bancarias.
Habitualmente, los atacantes que consiguen acceso a una web "popular", roban datos y causan un "deface" (cambio de su página índice para que todo el mundo sepa que ha sido atacada). Por el contrario en este caso, han incrustado IFRAMEs "invisibles" en esas 11.000 páginas. Una de las que más visitas está recibiendo (y por tanto a más víctimas está infectando) resulta ser la página oficial de una popular y atractiva presentadora española.
También se valen de fallos en los plugins Windows Media y QuickTime de Firefox y Opera. A pesar del uso minoritario de este último, no han querido dejar escapar ni una sola oportunidad de infección.
Otro dato interesante es el porcentaje de eficacia de los exploits utilizados en este ataque. En el caso de España, el 6,04% de los usuarios que visitan alguna de las 11.179 webs comprometidas resulta infectado (porque no mantiene su sistema actualizado). A excepción de Italia con un 13,7%, el resto de países europeos se sitúan por debajo de España.
18 de junio de 2007
SEGURIDAD INFORMATICA POR AUTONOMIAS
Los virus y sistemas espía, los grandes problemas de la pyme
Los canarios, los que más importancia dan a la seguridad informática
Canarias es la Comunidad Autónoma en la que la empresa da más importancia a la seguridad informática, con un 75% de las pymes encuestadas, y La Rioja la que menos, con un 50%, según un estudio realizado por la empresa de seguridad Panda Software con Fundetec.
El informe, que se llevó a cabo entre 3.000 empresas de 14 países de la Unión Europea y otras 3.000 de España, revela que las pymes españolas son las que más se preocupan de la UE por la seguridad informática, detrás de Finlandia, con un 61% de los encuestados, mientras que Austria es la menos interesada, con un 25%.
Por Comunidades Autónomas, detrás de Canarias figura Extremadura con un 69%; Extremadura (68%), Castilla La Mancha (67%), Andalucía (65%), Valencia (62%), Andalucía y Galicia (61%) y Madrid (60%).
Esta preocupación hace que casi todas las pymes analizadas en España tengan al menos una persona que se dedica al mantenimiento de los sistemas informáticos, aunque no en exclusiva, ya que sólo el 55% cuenta con este puesto, lo que supone posibles riesgos, según el informe.
En el resto de los países europeos analizados, la tendencia general es dedicar un mayor número de recursos a la administración y gestión de la seguridad que en España, siendo Alemania la más preparada, ya que el 75% de sus pymes encuestadas cuentan con un especialista dedicado a la seguridad.
En España, Extremadura es la Comunidad Autónoma más preparada, ya que el 63% de sus pymes cuentan con una persona dedicada a la seguridad.
En el informe, los autores hacen hincapié en la importancia que tiene destinar personas en exclusiva a la seguridad informática y lo califican como uno de los aspectos en los que España debe mejorar.
El 93% de las empresas encuestadas en los 15 países, cuentan ya con algún tipo de sistema de seguridad informática para hacer frente a cualquier amenaza o incidencia y al buen desarrollo de la actividad empresarial, aunque esto no supone, dice el documento, que la pyme tenga un completo plan de seguridad adaptado a sus riesgos y necesidades.
Los virus y los sistemas espía son los grandes problemas de la pyme, seguido del correo basura (spam) y los contenidos inapropiados.
En las conclusiones del estudio se resalta que a pesar de las amenazas, sólo un 10% de las empresas consultadas llega a superar los mil euros de inversión en esta materia al año, aunque la tenencia es a aumentar.
FALLOS DE SEGURIDAD DE LA WEB DEL CONGRESO
- La Asociación de Internautas asegura que cualquiera puede acceder a directorios privados desde su casa.
La Asociación de Internautas ha anunciado fallos de seguridad en la nueva página web del Congreso presentada el pasado miércoles por el presidente de la Cámara Baja, Manuel Marín.
La Comisión de Seguridad en la Red de la Asociación de Internautas asegura que cualquier ciudadano puede acceder libremente a "directorios ocultos" de la página desde su casa, así como a diferentes carpetas privadas a las que, en teoría, sólo tienen permitida la entrada los programadores del Congreso de los Diputados.
15 de junio de 2007
Ataques phishing
Ataques phishing contra MySpace (teorías)
MySpace se ha convertido desde hace algunas semanas, en el objetivo primordial de ataques phishing perpetrados por la banda bautizada como Rock Phish, una de las más eficaces que utiliza las técnicas más sofisticadas.¿Por qué robar credenciales de MySpace que en principio no aportan beneficio económico directo? Lanzamos algunas teorías.
Un usuario de MySpace se da de alta y puede construir su propia página donde alojar su perfil. Otros usuarios lo enlazarán como amigos creando una densa red de contactos.
Las avalancha de URL fraudulentas detectadas, donde se alojan las páginas falsas de MySpace, mantienen un estilo inconfundible que las delata como creaciones de la banda Rock Phish. Hablamos de cientos de nuevas páginas falsas de MySpace creadas cada día por estos profesionales del phishing.
Rock Phish, es una de las bandas más peligrosas y efectivas a la hora de crear ataques fraudulentos de robo de credenciales.
Han desarrollado metodologías muy avanzadas para evitar que los medios técnicos disponibles impidan su difusión.
Tienen la capacidad de crear múltiples y únicas URL para cada ataque, muy complejas (es una de sus señas de identidad) que limitan de forma muy eficaz la labor de las barras antiphishing basadas en listas negras. ¿Qué gana este grupo tomando como objetivo MySpace? ¿Qué beneficio les reporta? Las teorías son varias.
La primera es obvia, muchos usuarios utilizan la misma contraseña para varios servicios. También, el obtener contraseñas de perfiles "privados" les permite acceso a información "sensible" de usuarios (fecha y lugar de nacimiento, por ejemplo) para realizar ataques más específicos y selectivos en el futuro.
Otras teorías son más interesantes. En la página del perfil del usuario al que se le ha robado la contraseña, es trivial introducir código CSS en algunos campos. Al ser interpretado en el navegador, cuando alguien que visite la página haga click en un campo, será redirigido a alguna web donde intentará ser infectado por malware o engañado de alguna forma. Este problema se ha vuelto tan común, que MySpace ha desarrollado un script para limpiar este tipo de enlaces fraudulentos. Pero parece que se han olvidado de limpiar ciertos campos, y todavía es posible inyectarlos en algunos otros.
Otra teoría que revaloriza las credenciales de MySpace, es el uso de las páginas de perfiles robados para de alguna forma, hacer aparecer ventanas emergentes a quien las visite. Se han observado en los últimos días en muchos perfiles un popup muy conseguido que simula ser la ventana de administración de actualizaciones de Windows. Si el usuario acepta la supuesta "actualización", se descargará un programa. Una vez ejecutado en el equipo, simulará un icono en la barra de tareas e intentará descargar ficheros que un falso escaneo antispyware de la máquina intentará solucionar. Una forma rebuscada (descargando ficheros supuestamente infectados) de que el usuario instale el spyware.
3 de junio de 2007
SPAMMER ENCARCELADO
UN SPAMMER A
Robert Alan Soloway, un importante spammer de 27 años responsable de una buena parte del correo basura mundial, ha sido sentenciado por un juzgado de Seattle y se enfrenta a una pena de hasta 65 años de cárcel por fraude, robo de credenciales y blanqueo de dinero. Aunque se supone una buena noticia, ni experiencias previas ni el estado actual de la industria del malware hacen pensar que la situación para los que sufren el spam vaya a cambiar demasiado.
Soloway parece que va a recibir por fin su merecido. Lleva varios años siendo responsable del correo basura que llega a los buzones. Ha sido perseguido durante mucho tiempo por distintas empresas y organizaciones, y no es la primera vez que es citado ante un juez. Hasta ahora, había conseguido escapar de (o incluso ignorar) la justicia.
El método de Soloway es el habitual de un spammer de hoy en día. Trabaja codo con codo con creadores de malware para que sean las máquinas "zombie" infectadas las que envían el correo basura. Una vez conseguida una masa crítica de máquinas infectadas a través de varios métodos, éstas son las que prestan su ancho de banda y recursos para enviar la basura, además de nuevas réplicas de estos virus que permiten reclutar más máquinas y mantener (o comenzar así de nuevo) el ciclo. De esta forma, aunque el responsable lógico en primera instancia sea Robert Soloway, muchos sistemas inseguros se convierten en cierta manera en cómplices de este delincuente.
Aunque la sentencia sea aleccionadora y pretenda, más que nada, un efecto disuasorio en el resto de spammers "importantes", la situación no cambiará demasiado. Seguiremos recibiendo la misma cantidad de basura en el buzón. Las razones son varias.
Ya se han detenido en el pasado a varios cabecillas responsables del spam, sin el más mínimo efecto. Jeremy Jaynes a finales de 2004, calificado como el octavo spammer más prolífico. "Buffalo Spammer" a mediados de ese mismo año... Los responsables de las detenciones y sanciones se enorgullecieron en su momento de conseguir cazarlos, pero el tiempo ha demostrado que ni su detención directa ni la advertencia implícita difundida con su encierro han disuadido a otros responsables.
Sin ir más lejos, en febrero de 2007 conocimos un informe de Marshal's Threat Research, en el que se indicaba que el correo basura alcanzaba el 85% del total, con un incremento del 280% desde octubre de 2006. Un aumento sin precedentes.
El problema de base está en la infección masiva de máquinas zombies, que consiguen integrar botnets cada vez más numerosos y son responsables en su mayoría del correo basura recibido. El hecho de detener al que contrata al creador del troyano que envía spam o al controlador del botnet que lo distribuye, no detiene a este tipo de mafias. Sólo una concienciación masiva sobre la necesidad de asegurar bien una máquina para que no se convierta en esclava de un botnet puede ser efectiva y atacar el problema de raíz.
El spam es todavía uno de los pilares de la industria del malware. Además de su objetivo primario como spam en sí (ventas y estafas) que todavía lo hace rentable, gracias a él se distribuye una buena parte de virus y troyanos, además de servir para reclutar muleros para las estafas bancarias. Es uno de los métodos favoritos del crimen organizado, y el hecho de que uno de sus múltiples responsables vaya a la cárcel no hará que se reduzca el nivel de basura en los buzones ni (y esto es lo peor) amedrentará al resto de organizaciones dedicadas a la industria del malware. Más bien les animará a ocupar su "vacante". Porque como en
Más información:
Spam reaches an all-time high
http://www.networkworld.com/news/2007/022207-spam-reaches-an-all-time.html
http://uk.theinquirer.net/?article=39975
Spammer Sentenced to Nine Years in Jail
http://www.pcworld.com/article/id,118493-page,1/article.html
'
http://www.wired.com/science/discoveries/news/2004/05/63640
Suscribirse a:
Entradas (Atom)