jueves, 28 de agosto de 2008

Diez millones de zombies enviando malware


Un informe realizado por Commtouch y PandaLabs durante el segundo trimestre del año detecta un incremento de los ordenadores zombie en todo el mundo.


Botnet


Los ordenadores zombies son máquinas infectadas por “bots” y controladas remotamente por el ciberdelincuente. ‘Bot es el diminutivo de la palabra robot. Son pequeños programas que son introducidos en los ordenadores con la intención de permitir al ciberdelincuente tomar el control remoto de los mismos. Las redes de bots o ‘Botnets’, son grupos de ordenadores infectados por bots unidos para actuar de manera conjunta.


El ciberdelincuente da instrucciones a esos ordenadores para, por ejemplo, descargar una nueva amenaza en el equipo, mostrar publicidad al usuario, lanzar ataques de denegación de servicio o, sobre todo, el envío de spam.


El informe realizado por Commtouch y PandaLabs muestra que durante el segundo trimestre del año Turquía se ha convertido en el país con mayor número de ordenadores zombie del mundo, con un once por ciento del total, seguido de cerca por Brasil, con un 8,4 por ciento y Rusia con un 7,4 por ciento. Estados Unidos, que en el primer trimestre contaban con un cinco por ciento del total de zombies, ha caído hasta la novena plaza, representando sólo el 4,3 por ciento del total.


Este gran número de “zombies” continúa siendo el principal causante de la avalancha de spam vivida por usuarios y empresas; y es que entre abril y junio el 74 por ciento del correo recibido en los buzones de correo era spam.


Luis Corrons, director técnico de PandaLabs ha hecho referencia al estudio de Nucleus Research, una consultora independiente, que ha cifrado en 712 dólares el coste por cada empleado que tras recibir un e-mail lo eliminaba inmediatamente, sin ni siquiera abrirlo.


Fuente:


lunes, 25 de agosto de 2008

Botnets, redes organizadas para el crimen


Explicación sobre el funcionamiento de las botnets o redes zombies y de qué forma son utilizadas para ganar dinero por los creadores de malware.


Autor: Cristian Borghello, Technical & Educational Manager de Eset para Latinoamérica.


El poder de Skynet (la súper computadora de la película Terminator) en el dedo de un terrorista digital. Si quisiéramos exagerar (o quizá no) y ponernos paranoicos al extremo, quizás esa sería la forma de pensar este artículo. ¿Puede una sola persona dominar el poder necesario para hacer caer sitios y redes completas con sólo un clic?


Por otro lado, si se piensa que se envían 100 millones de mensajes de correo al día es sencillo adivinar por qué hay tanta basura virtual dando vueltas.


Y ya que comenzamos con los números, por qué no decir que el 80% (o más) del correo actual es considerado spam y el 80% (o más) del mismo es generado por los mismos usuarios que lo reciben.


¿Cómo? Según algunos expertos [1], los usuarios generamos el poder computacional distribuido suficiente para controlar el 25% de Internet con un clic y además generar el tráfico de spam del que nos quejamos.


¿Cómo? La respuesta es sencilla y sólo requiere de una palabra: botnets. Para no reinventar definiciones ya establecidas según la Wikipedia [2], un zombi es, originalmente, una figura legendaria propia de las regiones donde se practica el culto vudú. Es un muerto resucitado por medios mágicos por un hechicero para convertirlo en su esclavo. Por extensión, ha pasado a la literatura fantástica como sinónimo de muerto viviente y al lenguaje común para designar en sentido figurado a quien hace las cosas mecánicamente como si estuviera privado de voluntad.


Si se toma la última parte de la definición estaremos entrando de lleno en nuestro informe.


Un bot (proveniente de robot) es un programa informático cuya función fundamental es realizar tareas, generalmente repetitivas y automáticas, simulando al ser humano.


Son utilizados por aplicaciones y sistemas tan dispares como pueden ser los canales de Chat, automatización de instalaciones, la misma enciclopedia Wikipedia, juegos en línea, programas de administración remota y tantas otras aplicaciones. Dependiendo del contexto de uso, su nombre puede variar (bot, borg, crpg) pero el concepto de realización de tareas automáticas se mantiene.


El poder de la distribución


SETI@home [3] es un experimento científico de la Universidad de Berkeley que utiliza ordenadores conectados a Internet para la búsqueda de inteligencia extraterrestre. Cualquier usuario puede participar en forma voluntaria instalando un programa en su equipo y “donando” tiempo ocioso del mismo para el cálculo de datos recibidos de los distintos radiotelescopios internacionales.


En forma similar BOINC [4] es un proyecto científico para crear una red distribuida con distintos objetivos benéficos y distributed.net [5] es un proyecto destinado a probar la fortaleza de distintos algoritmos de cifrado actuales.


El poder del cómputo distribuido [6] radica en que pueden utilizarse sistemas heterogéneos (Win*, *nix, BSD, Mac, etc) para atacar problemas complejos que no pueden resolverse en las supercomputadoras actuales en un tiempo razonable.


Sin ir más lejos, este es el principio de las redes P2P [7] en donde no existen servidores, sino que todos los clientes (nodos) tienen el mismo nivel de privilegio dentro de la red. Además, este tipo de cómputo permite que los sistemas sean escalables (la cantidad de nodos es, en teoría, ilimitada) y tolerantes a fallos (si uno de los nodos falla el mismo puede ser inmediatamente reemplazado por otro).


Tal y como distributed.net mismo dice, el poder del cómputo distribuido les ha permitido “llegar a ser el equivalente a más de 160.000 computadoras PII 266 MHz trabajando 24 horas al día, 7 días a la semana, 365 días al año”.


Pero, ¿cuál es el problema complejo a resolver en este caso? Como se menciona al comienzo, el envío de spam y el ataque combinado a sitios webs, generalmente conocido como DDoS [8].


Origen de las botnets


Cuando el negocio del spam y los problemas asociados, como la distribución de malware y phishing, lograron alcanzar niveles de rentabilidad suficiente para los cyber-delicuentes actuales, los mismos tenían un problema importante entre manos.


Los servidores vulnerables secuestrados hasta el momento y aquellos que se descubrían a diario, ya no eran suficientes para los objetivos de estas personas. El problema entonces, radicaba en lograr la distribución de más correos para llegar a más usuarios y así maximizar sus ganancias. La solución llegó de la mano del poder de cómputo distribuido.


Pero, ¿cómo aprovechar el equipo del usuario para que él mismo “done” su sistema con fines delictivos? La solución, al igual que en los casos mencionados SETI y otros proyectos, es instalar un cliente en el equipo del usuario para que el mismo funcione de nexo con el malhechor. La forma de instalar estos programas clientes es crear troyanos/gusanos que infecten al usuario, haciendo que su equipo interactúe en la red que se forma y sin que el usuario se entere de lo sucedido. Así, el equipo infectado se acaba de convertir en un zombi o robot haciendo cosas mecánicamente como si estuviera privado de voluntad.


El conjunto de equipos (usuarios) infectados trabajando en red recibe el nombre de botnet.


Funcionamiento


Como bien indica el gráfico, el primer objetivo es distribuir el malware suficiente para lograr la mayor cantidad de equipos infectados con el troyano -cliente que conecta a los usuarios con el/los botmaster/s responsable/s de la botnet-.


Esta distribución por supuesto se realiza mediante mensajes masivos como los que se pudo ver a mediados de enero y por la cual muchos usuarios son engañados [10]. Títulos como “la muerte de Fidel”, “muertos en una tormenta que arrasa Europa”, “Saddam Hussein vive” lamentablemente llaman suficientemente la atención como para que miles de equipos sean infectados y comiencen a servir de base para nuevas olas de ataques.


Una vez que la red ha sido convenientemente armada (con 10 o miles de equipos), el botmaster (responsable) de la misma puede decidir con total libertad, remotamente y en cualquier parte del mundo qué hacer con la misma pudiendo, por ejemplo:


• Enviar spam

• Realizar ataques de denegación de servicio distribuido

• Construir servidores para alojar software warez, cracks, seriales, etc

• Construir servidores web para alojar material pornográfico y pedofílico

• Construir servidores web para ataques de phishing

• Redes privadas de intercambio de material ilegal

• Sniffing de tráfico web para robo de datos confidenciales

• Distribución e instalación de nuevo malware

• Abuso de publicidad online como adsense

• Manipulación de juegos online


El control de la red puede llevarse a cabo de diversas maneras: puede controlarse la red totalmente o en forma segmentada por canales de IRC, depender de DNS gratuitos que aseguran su movimiento permanente, cifrar el canal para evitar su rastreo, identificación o intromisiones de otras personas ajenas a la red.


La forma más común de llevar este paso es obtener el control de uno o varios servidores IRC para enviar las ordenes de los demás nodos de la red. Este servidor denominado Comando y Control (C&C) es el punto más débil de la red, ya que si el mismo es identificado puede darse de baja, aislando al botmaster de su red.


Para solventar este problema, se han implementado redes P2P que permiten al botmaster cambiar de servidor a gusto, que el rastreo se dificulta e incluso, si la red es descubierta, la misma no podrá ser destruida en su totalidad por la alta redundancia de nodos. Estas redes aún se encuentran en un estadío de estudio y perfeccionamiento, por lo cual aún no son masivamente utilizadas, pero que sin duda marcan el futuro de las botnets.Existen estadísticas en las que puede verse la gran utilización del puerto 6667 comúnmente utilizado para controlar a SDBot, uno de los malware más antiguos (junto a Agobot, Spybot y GTBot) destinado a construir botnets.


Esto demuestra el amplio uso de estas redes y cómo las mismas pueden impactar en el uso globalizado de Internet.


También se ve otra evolución: debido al filtro del protocolo IRC implementado por las organizaciones, el envío de comandos de control se realiza por medio de HTTP o IM (mensajería instantánea), el cual generalmente no es filtrado debido al uso de Internet en esas empresas.

Si se analiza cualquiera del malware actual para la construcción de botnets puede encontrarse comandos como los siguientes [11]:


-mac.login log in del usuario

-ftp.execute actualización del bot a través de dirección ftp...

-http.execute actualización del bot a través de dirección htt

-prsl.logoff log out del usuario

-rsl.shutdown apagar el equipo

-rsl.reboot reiniciar el -equipo

-pctrl.kill terminar un proceso...

-ddos.httpflood ataque de denegación de servicios

-ddos.synflood ataque de denegación de servicios...

-harvest.emailshttp obtiene lista de correos vía htt

-pharvest.emails obtiene lista de correos


Como puede verse la lista de commandos involucra desde el login del botmaster, hasta el apagado del equipo, ataques DDoS, la actualización del bot, el envio de spam o cuanta actividad el creador del bot pueda imaginar.


El dinero (millones) en la red


Una vez que la red está perfectamente construida y controlada, sólo basta alquilarla o venderla al mejor postor. La persona que adquiera el “servicio” podrá utilizar la red para las actividades que desee y que ya se enumeraron.


A modo de ejemplo, un spammer podrá alquilar la red para enviar sus correos, una organización podría realizar publicidad en forma masiva, una empresa podría atacar a su competidor y sacar sus servicios web del aire, un pedófilo podría distribuir su material anónimamente…


Como es fácil adivinar, toda la red de delincuentes involucrados se beneficia de esta red:
• El creador de malware vende su “producto/servicio” al creador de la botnet

• El botmaster alquila/vende la red

• El spammer distribuye más correo con publicidad

• Las empresas venden los productos publicitados

• Cualquiera de ellos distribuye más malware infectando más equipos y retroalimentando el sistema


Otro aspecto que entrega una idea clara de la forma en que estas redes son controladas es observando el tráfico de correos electrónicos generados por los proveedores internacionales [13]. Puede observarse a Telefonica, Telecom, BellSouth y Fibertel en los primeros 50 puestos lo que indica a las claras que gran parte del correo enviado es generado desde los hogares de los usuarios gracias a la utilización de equipos zombies.


Un problema global creado por problemas individuales.


El poder de una red distribuida es proporcional a la cantidad de usuarios conectados a la red y al poder individual que aporte cada nodo.


Así, como se menciona al comienzo del presente, los responsables del spam existente terminamos siendo los usuarios por falta de medidas de prevención adecuadas, que ayudarían a mitigar, en gran escala, este problema mundial de abuso de recursos ajenos.


Las redes descubiertas por los investigadores [14] no hacen más que confirmar el número alarmante que están alcanzando estas redes y sus objetivos delictivos.


La pregunta ¿en qué puede afectar que mi equipo sea infectado? pasó a ser fundamental, porque aquel usuario aislado, que sólo tenía acceso a sus recursos particulares y que no interactuaba con sus pares, está desapareciendo a favor de usuarios altamente conectados que interactúan en forma permanente con otros sistemas y que, como puede verse, es capaz de afectarlos directamente al formar parte de una botnet.


Por eso es fundamental tomar conciencia de este problema, que es global y depende de la educación (de la buena educación) de todos nosotros hacia nuestros pares. La protección y el uso responsable pasaron a ser una parte importante de un sistema informático.


Referencias:

[1] Criminals 'may overwhelm the web'http://news.bbc.co.uk/1/hi/business/6298641.stm



4] BOINC (Berkeley Open Infrastructure for Network Computing)http://boinc.berkeley.edu/[5] Sitio de Distributed.nethttp://distributed.net/


[7] Redes P2P (Peer to Peer – Redes de Pares)http://es.wikipedia.org/wiki/P2p

[8] DDOS (Distributed Denial Of Service Attack - Ataque de Denegación de Servicio Distribuido)http://es.wikipedia.org/wiki/DDoS http://es.wikipedia.org/wiki/DoS



[11] Comandos utilizados en botnetshttp://www.lurhq.com/research_threat.html

[12] Proyecto malware de UNAM-CERT (Universidad Nacional Autónoma de México-Equipo de Respuesta a Incidentes de Seguridad en Cómputo)http://www.malware.unam.mx/ver_reportes2.dsc?idcatalogo=2

[13] Envío de correos por distintos proveedoreshttp://www.senderbase.org/search?page=domains

viernes, 22 de agosto de 2008

Más fraudes online en el primer semetres del 2008 que en todo el 2007


Hace tiempo que terminó la época en la que muchos ataques eran fruto de la curiosidad y de demostrar la valía de ciertos adolescentes.
Hoy existen bandas de crimen organizado que utilizan todos los recursos y tecnologías presentes en Internet para garantizar su anonimato. Así lo refleja el último informe de fraude online publicado ayer por S21sec.

Durante la primera mitad de 2008, la unidad S21sec e-crime detectó y solucionó un total de 1.842 casos de phishing, troyanos, redirectores y otras actividades calificadas de fraude online, 198 más que en todo 2007.
Como se podrá ver esta cifra resulta muy superior a la alcanzada en años anteriores y, la tendencia es la misma de cara a estos últimos meses del año.
El phishing continúa siendo una de las principales preocupaciones ya que supuso el 60% del total de casos en 2008, pero durante este periodo se ha incrementado el número de troyanos detectados llegando a representar un 37% de los casos.
Junio fue el mes en el que más ataques de phishing se registraron de la historia (423), esperemos que esta cifra no siga en aumento pero no podemos predecir nada.

El país de procedencia del mayor número de ataques sigue siendo Estados Unidos y el tiempo medio de cierre de sitios fraudulentos fue de 1,6 días. En el informe se puede encontrar información y estadísticas muy interesantes respecto a la evolución y tendencias del fraude online. Les animo a descargarlo y a profundizar en su lectura.

Maria Asín

Fuente:

jueves, 21 de agosto de 2008

Cambie el logotipo del sistema por una imagen personalizada.



Modificar la pantalla de arranque de Windows.

[ 20-08-2008 ]


Cuando iniciamos el ordenador aparece por defecto una imagen con el típico logotipo de Microsoft Windows, que con el tiempo puede llegar a cansar. Para dotar a nuestro equipo de una apariencia más profesional o simplemente personalizar esta presentación es posible modificar esta imagen de inicio a nuestro gusto.



Bootskin es una aplicación que además de ser gratuita es fácil de utilizar. Con ella se puede modificar la imagen de arranque sin que Windows 2000 o XP corra ningún peligro. Este programa funciona dando una vía alternativa al arranque, es decir, no manipula archivos del sistema sino que lo que hace es agregar una línea más para que el sistema cargue el nuevo arranque.

El uso de esta herramienta de personalización es relativamente sencillo, puesto que lo único que hay que hacer es elegir un nuevo bootskin (imagen de arranque) y cambiarlo a través del programa. Bootskin dispone de cinco temas diferentes para configurar, con la posibilidad de usar un sistema aleatorio con el fín de que el propio programa elija por nosotros.

Para mayor variedad a través de Wincustomize es posible acceder a multitud de arranques ya preconfigurados e incluso poner nuestra propia imagen almacenada en el equipo o creada para la ocasión. Pruebe esta herramienta y adelantese a Windows 7, el sucesor de Vista.

Descarguelo gratis desde:

http://www.stardock.com/products/bootskin/



Fuente: http://www.vnunet.es/

miércoles, 20 de agosto de 2008

Wireless Security


Si estás realizando algún proyecto de investigación sobre seguridad inalámbrica, te recomiendo ampliamente este libro, relata con increible detalle los temas más relevantes acerca de la seguridad en WLan. En el podrás encontrar desde la creación de políticas de seguridad empresarial para un uso racional del espectro inalámbrico en la organización, pasando por la descripción de los 10 principales riesgos y amenazas inalámbricas actuales, hasta la evolución de los sistemas de telefonía celular, CDMA2000, GPRS, GSM, 1xEV-DO, todo desde el punto de vista de la seguridad.


Publicado por: Roiman Valbuena

Hackeando redes WLAN_Parte_I


Como la próxima generación de TI en red, el protocolo inalámbrico 802,11 LAN, representa también las nuevas zonas de juegos para los hackers. La técnicas y algoritmos efectivos de cifrado para autenticación de seguridad en redes LAN inalámbricas aún están en desarrollo, pero los hackers ya poseen herramientas fáciles de utilizar, con las que pueden lanzar ataques cada vez más sofisticados, que ponen su activos de información en situación de riesgo.

Este artículo desea exponer cómo los hackers están explotando las vulnerabilidades 802,11 en redes LAN inalámbricas, y la amplia gama de herramientas de las que disponen. La información aquí presentada es una recopilación de los ya publicados riesgos para redes LAN inalámbricas.

Con el presente artículo también se quiere informar a los administradores de la seguridad informática, a qué se enfrentan, y cómo defenderse. Con el fin de asegurar de manera eficaz sus redes LAN inalámbricas, las empresas deben primero conocer los posibles peligros.

¿Qué está en riesgo?

Las redes Lan inalámbricas encaran todos los problemas de seguridad de presentan las redes de cable, además de los nuevos riesgos que se vislumbran por el medio inalámbrico que conecta a las estaciones y los puntos de acceso a la red cableada.

Uno de los problemas más grandes que presentan las redes Lan inalámbricas es la falta de un método de encriptado robusto y rápido, como todos sabemos las redes inalámbricas utilizan el aire como medio de dispersión de su señal, al utilizar este medio la velocidad de propagación es la misma que la velocidad de la luz en el vacío. Por las Lan inalámbricas podemos transmitir señales de datos, video y sonido, sin olvidar todo el contenido multimedia disponible en Internet en la actualidad.

Para la ejecución de un video por red inalámbrica se necesitan muchos recursos electrónicos, el principal de ellos es un DSP (Digital Signal Processing), o procesador digital de señales, que hace su máximo esfuerzo por lograr una latencia aceptable con calidad de video de tercera generación. Pero si se le añaden a este microcontrolador los algoritmos de encriptación y desencriptación necesarios para garantizar la confidencialidad, integridad y disponibilidad de los datos inalámbricos, su latencia aumentaría y con ello bajaría su QoS.

No quiero ser pesimista en el tema, pero estoy de acuerdo con “Guillaume Lehembre”, que escribe para la publicación Polaca Hakin9, y quien asegura que el problema de seguridad inalámbrica que tenemos hoy en día es producto del fracaso en la arquitectura del protocolo 802.11X y no de los sistemas de encriptación.

Un caso práctico de ello lo representa WEP (Wired Equivalent Privacy) el cual fue el primer protocolo de encriptación introducido en el pri­mer estándar IEEE 802.11 allá por 1999. Está basado en el algoritmo de encriptación RC4, con una clave secreta de 40 o 104 bits, combi­nada con un Vector de Inicialización (IV) de 24 bits para encriptar el mensaje, y que resultó un total fracaso.

Configuraciones de red inseguras:
Muchas organizaciones quieren asegurar sus redes LAN inalámbricas con redes privadas virtuales y, a continuación, erróneamente creen que la red es a prueba de balas. Si bien se necesita una gran sofisticación hacker para romper una VPN, una VPN puede ser como una puerta de hierro en una choza de hierba, si la red no está bien configurada. ¿Por qué un ladrón trataría de romper el bloqueo de la puerta de hierro si podía atravesar fácilmente las paredes delgadas de la cabaña?

La inseguridad en las configuraciones representa un problema importante. Los ajustes predeterminados que incluyen las contraseñas por defecto, un broadcast abierto de SSID, debilidad o no cifrado, y la falta de autenticación puede abrir un punto de acceso a ser una puerta de enlace a la red mayor. Configurado adecuadamente los puntos de acceso puede ser reconfigurado por los empleados que buscan una mayor operabilidad o con frecuencia, se busca restablecer la configuración predeterminada para obtener un aumento de potencia después de un fallo del sistema.

Espionaje:
Dado que la comunicación inalámbrica emite más ondas de radio, los espías que se limitan a escuchar las señales pueden fácilmente recoger los mensajes sin cifrar.

Además, los mensajes cifrados con la Wired Equivalent Privacy (WEP) pueden ser fácilmente descifrados con un poco de tiempo, y hay herramientas de hacking ampliamente disponibles. Estos intrusos pueden poner en peligro a las empresas de exponer a información sensible para espionaje corporativo.

Robo de Identidad:
El robo de identidad de un usuario autorizado plantea una de las mayores amenazas. El Service Set Identifiers (SSID) que actúacomo contraseña original y las direcciones de control de acceso al medio (MAC), que actúan como números de identificación personal comúnmente utilizados para verificar que los clientes son los autorizados a conectarse con su access point. Y debido a que las técnicas de cifrado y las normas no son infalibles, los intrusos pueden brillantemente desde afuera lograr ser autorizado con SSID y direcciones MAC para conectarse a una red inalámbrica LAN como un usuario autorizado con la capacidad de ancho de banda para robar, corromper o descargar archivos, y causar estragos en toda la red.

Evolución de los ataques:

Más ataques sofisticados, como el de denegación de servicio y Man-in-the-Middle ataques, pueden apagar las redes y comprometer la seguridad de las redes privadas virtuales inalámbricas. En próximos artículos se entrará en mayores detalles y la descripción de la forma en que estos ataques se producen: Nuevos Ataques en redes WLAN.
Aquí les dejo una serie de vínculos desde donde podrán bajar diferentes herramientas para el crackeado de redes WLan, tienen desde sencillos programas que permiten desautenticar usuarios, hasta programas que sirven de sondas y buscan redes inalámbricas para proceder a romper su SSID. También tienen programas que transforman una simple estación de trabajo en un access point y son capaces de redirigir sus señales a la máquina señuelo.








Escrito por: Ing. Roiman Valbuena

martes, 19 de agosto de 2008

Seguridad en redes Vlan


Todo buen administrador de redes sabe que seguramente el próximo ataque a sus sistemas provenga de su red. Por malicia o desconocimiento, los usuarios que se encuentran del lado interno tienen mucho más poder destructivo que los externos y eso es así gracias a los administradores confiados.


Hoy en día la gran mayoría de administradores ya tiene esto en cuenta y los usuarios internos están más controlados, aunque sea a nivel de aplicación. Como este blog nace con la idea de ayudar a los que menos experiencia tienen, vamos a explicar un poco por encima lo que podemos hacer para no dejar andar a nuestros usuarios a su antojo por toda nuestra red.


Vamos a empezar por marcarnos un objetivo: Evitar que usuarios no autorizados (llamémosles NA) accedan a máquinas con datos confidenciales (digamos SERVIDOR). Lo típico ¿no?
Una vez tenemos claro el objetivo, vamos a radicalizar nuestra postura y bloquearemos todo acceso del grupo de usuarios NA a SERVIDOR. ¿Cómo? Vamos a tirar por la solución ideal.


1) Lo ideal si nuestra electrónica de red lo permite: Separarlos en 2 VLAN's distintas. Pongamos a NA en la VLAN "Usuarios" (ID 10) y a SERVIDOR en la VLAN "Servidores" (ID 20).
Acabamos de cortar todo acceso entre los puntos de red de los usuarios y los de los servidores. Asegurémonos de no dejar puertos libres en el switch configurados en la VLAN "Servidores", de forma que nadie pueda pinchar una máquina ahí y tardemos en darnos cuenta de la intrusión.


2) Vamos a colocar un firewall dentro de nuestra red:
La idea es tratar la VLAN de usuarios como "zona peligrosa" y la VLAN de servidores como "zona a proteger". Pincharemos el firewall en nuestro switch de la siguiente manera:
El puerto "externo" pinchado en la VLAN de usuarios y el puerto "interno" en la VLAN de servidores.

Una vez pinchado el firewall vamos a ponerle una IP interna, otra IP externa y configuraremos las rutas para que las máquinas de ambas VLAN's puedan intercambiar información. Acto seguido bloquearemos todo el tráfico entre las dos interfaces (VLAN 10 y 20).


3) Ahora toca establecer una tabla donde veamos de un vistazo rápido que máquinas de la VLAN de usuarios necesitan alcanzar ciertos recursos de la VLAN de servidores (y que recursos son estos). Con esta tabla trabajaremos en las políticas del firewall para filtrar todo el tráfico por listas de acceso.


A este nivel tendríamos una seguridad bastante decente para nuestra red interna. Ahora es el turno de los sysadmin para poner un nivel de más de seguridad mediante cuentas de usuario (lo que nos permite discriminar quien accede a qué, independientemente de que máquina use).

Incluso podríamos colaborar con el departamento de sistemas, y que nuestro firewall autorizara el paso a ciertos recursos después de consultar usuario y contraseña contra un servidor RADIUS... O de validar los usuarios remotos (que vengan por una VPN) también contra el RADIUS de los chicos de sistemas.

Fuente: http://www.seguridadinformatica.es/
Colaborador.

CISSP (Profesional de Seguridad Certificado en Sistemas de Información)


¿En qué consiste la certificación CISSP?


Como la primera credencial acreditada por ANSI con ISO 17024:2003 en el campo de la seguridad de la información, la acreditación CISSP (Profesional de Seguridad Certificado en Sistemas de Información) les proporciona a los profesionales de la seguridad de la información no sólo una medida objetiva de competencia sino un estándar de logro reconocido globalmente.

¿Qué conocimientos certifica?


La credencial CISSP es ideal para directores de medio y alto nivel quienes buscan conseguir o mantener sus posiciones como CISOs, CSOs o Ingenieros directivos de Seguridad.
La credencial de CISSP demuestra competencias en los 10 dominios del (ISC) CISSP® CBK®, los cuales son:

· Control de acceso

· Seguridad de aplicación

· Continuidad de negocio y planeación de recuperación de desastres

· Criptografía

· Seguridad de la información y manejo de riesgos

· Jurídico, regulaciones, cumplimiento e investigaciones

· Seguridad de las operaciones

· Seguridad física (del entorno)

· Arquitectura y diseño de seguridad

· Seguridad de las redes y telecomunicaciones

¿Cómo se puede obtener la certificación?


Para ser certificado inicialmente como un CISSP, un candidato debe:
· Tener mínimo de cinco años de experiencia laboral como director de seguridad de tiempo completo en dos o más de los diez dominios de la (ISC)² CISSP® CBK®.
· Pasar el examen con una puntaje de 700 o más.
· Enviar el formulario de aprobación diligenciado apropiada y completamente
· Aceptar el Código de Ética del (ISC)².

¿Qué validez internacional tiene la certificación?


La certificación CISSP® es reconocida y respetada por la industria tecnológica a nivel mundial. El reconocimiento e importancia de la credencial continúa creciendo y sirve como una calificación de excelencia en toda la industria. La CISSP es la primera credencial internacional IT en convertirse en acreditada por ANSI bajo el ISO/IEC 17024.

¿Qué tiempo de validez tiene la certificación?


La credencia de CISSP tiene un ciclo de certificación de 3 años. Para renovar la certificación es necesario: ganar el número mínimo de créditos de Educación Continua Profesional (CPE) requeridos en cada ciclo de tres años o volver a presentar el examen de certificación, pagar la cuota de mantenimiento y acatar el Código de Ética del (ISC)².


Certificaciones en Seguridad Informática (ISSAP)


¿En qué consiste la certificación ISSAP?


Para un profesional certificado en seguridad de sistemas de información, la credencial de arquitecto profesional en seguridad de sistemas de información (conocido como ISSAP por sus siglas en inglés) demuestra que tiene la capacidad y la base común de conocimientos (en inglés CBK o Common Body of Knowledge), para definir requerimientos rigurosos en la arquitectura de seguridad de la información.


¿QUÉ conocimientos CERTIFICA?


Los dominios principales de la base común de conocimientos para aplicar en la definición de la arquitectura de seguridad de sistemas de información cubiertos por la certificación ISSAP, son:


· Metodología y sistemas de control de acceso: detallar los requerimientos críticos para establecer restricciones de control de acceso adecuadas y efectivas en una organización. Control de acceso que protege: sistemas, datos, infraestructura física y personal, con el propósito de mantener su integridad, disponibilidad y confidencialidad.


· Seguridad en redes y telecomunicaciones: trata los problemas de seguridad relacionados con el papel crítico que juegan las telecomunicaciones y redes en los entornos de computación distribuida actuales. El profesional de seguridad comprende los riesgos de las comunicaciones en cuanto a datos, voz y multimedia.

· Criptografía: el profesional de seguridad requiere comprender las metodologías de criptografía y su uso para proteger el almacenamiento de los datos de una organización y las comunicaciones de las vulnerabilidades y el mal uso.


· Análisis de requerimientos, estándares de seguridad, patrones y criterios: proporciona atención y agilidad sobre las directrices de los estándares, el conocimiento de amenazas y la identificación de los riesgos y de los valores de datos.


· Tecnología relacionada con el plan de continuidad de negocio (en inglés BCP o Business Continuity Planning) y el plan de recuperación de desastres (en inglés DRP o Disaster Recovery Planning): involucra la identificación de eventos adversos que podrían amenazar la continuidad de las operaciones normales del negocio. Luego de identificar las amenazas, el profesional de seguridad implementará controles para reducir el riesgo en caso que un incidente ocurra nuevamente.


· Integración de seguridad física: reconoce la importancia de la seguridad física y el control de persona en un modelo completo de seguridad de los sistemas de información.


El nivel de conocimientos y experiencia en seguridad que se requiere para aplicar a esta certificación es avanzado.

Encriptado de conversaciones con Messenger


Una forma de mejorar la seguridad en las charlas con el popular programa de mensajería instantánea.


[ 19-08-2008 ]


Nunca se sabe donde puede aparecer un hacker o una aplicación espía que se haga con nuestros datos personales. Al iniciar el programa de mensajería Windows Live Messenger ya se nos avisa de que “Nunca revele sus contraseñas o números de tarjetas de crédito en una conversación de mensajes instantáneos".


Para evitar que esto ocurra mientras se mantiene una charla y obtener mayor protección, una buena alternativa es encriptar la información. Una opción para hacerlo es el PGP, un sistema de encriptación por llave que sirve para que nadie salvo uno mismo y el destinatario puedan leer los mensajes codificados.


Además, este sistema puede usarse para verificar la autenticidad del emisor, es decir, saber que la otra persona es quien escribe en realidad y no nos están llegando palabras a la pantalla “creadas” por virus o malware.


SPYSHIELD es un accesorio para Messenger compatible con PGP (de momento sólo con la versión 6.5, no con las nuevas).


El funcionamiento es muy sencillo, cada usuario tiene dos llaves: una pública y otra privada. La pública es la que distribuye a la gente y sirve para que ellos puedan enviarle un mensaje codificado que solo él, mediante su llave privada, podrá descifrar.


Igualmente puede servir para firmar un mensaje poniendo una parte de su llave privada (irreconocible claro) en una firma.


Esto es como un certificado de autenticidad, ya que al recibir el mensaje el PGP comprueba la firma y texto y lo compara con la llave pública que tenemos del remitente dando un error si se ha cambiado algo en el texto o la firma no corresponde a la persona que nos envía el mensaje.
Vaya a este link y baje un demo del software Spyshield
Publicado por: Roiman Valbuena.



domingo, 17 de agosto de 2008

Análisis de Amenazas


Si estas realizando algún proyecto de protección a infraestructuras criticas, te recomiendo el capítulo VI de este libro:


Protegiendo infraestructuras criticas: Procesos de control y SCADA.
Detalla paso a paso los procedimientos a seguir, y se realizan entrevistas sobre pruebas de penetración en sistemas de redes SCADA.


Si... esto pasa...


Cosas de Manolo.....

Cree un virus en sólo 3 pasos....


Si deseas aprender a hacer virus sigue los pasos indicados en este link, próximamente haremos virus un poco más complejos.




Ojo: los conocimientos difundidos en este Blog son sólo y únicamente de caracter educativo, en el esquema entendido como Hackeo ético, y es porque para aprender a defendernos debemos saber también cómo piensa el que nos ataca.


Autor: Roiman Valbuena.

Notas sobre Ciberterrorismo I



El ciberterrorismo quizás sea uno de los términos más malentendidos y malempleados en la era de la información. En términos generales, el ciberterrorismo es la ejecución de un ataque sorpresa por parte de un grupo (o persona) terrorista extranjero o subnacional con objetivo político utilizando tecnología informática e Internet para paralizar o desactivar las infraestructuras electrónicas y físicas de una nación, provocando de este modo la pérdida de servicios críticos, como energía eléctrica, sistemas de emergencia telefónica, sistemas bancarios, Internet y muchos otros (Dan Verton, 2004).

La orden ejecutiva 13010, firmada por el presidente Clinton en 1996, definía ocho infraestructuras críticas cuyos servicios eran tan vitales que su incapacidad o destrucción, tendría un impacto devastador en la defensa o en la seguridad económica de los Estados Unidos, o cualquier país que fuese víctima potencial de este tipo de ataques (Incluyendo Venezuela).

Todas estas infraestructuras dependen de computadoras y/o redes informáticas, incluyendo la Internet pública, para su funcionamiento continuo y su gestión diaria. Además muchas infraestructuras no pueden funcionar bajo condiciones de apagones prolongados o fallos en otras infraestructuras. A continuación se las enumero:


* Energía Eléctrica
* Producción, almacenamiento y suministro de gas y petróleo.
* Telecomunicaciones
* Bancos y Finanzas
* Sistemas de suministro de agua.
* Transporte.
* Servicios de emergencia.
* Operaciones gubernamentales.


Véase el siguiente artículo:


Robert Flaim: “El próximo ataque terrorista podría ser cibernético”


http://images.google.co.ve/imgres?imgurl=http://www.funglode.org/v-mundial-di/images/computador2.jpg&imgrefurl=http://www.funglode.org/v-mundial-di/noticias/07ocubre05terrorismo.htm&h=166&w=200&sz=15&hl=es&start=3&tbnid=3yBL75ufk_qdqM:&tbnh=86&tbnw=104&prev=/images%3Fq%3Dciberterrorismo%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DN


Imaginémonos por un momento que nos quedamos sin electricidad en Maracaibo por un mes, si no se ponga las manos en la cabeza y no se ría, un mes. El caos total.. ¿Verdad?. Ahora sumémosle a eso que sin electricidad no hay bancos (o bueno si los hay pero estarán cerrados), si usted no tiene dinero no podrá comprar comida, las bombas que nos surten de agua dejarán de funcionar, los semáforos estarán apagados y por consiguiente las bombas de gasolina.

Tranquilos, no se asusten, esto es sólo un juego imaginativo, todos sabemos que a los maracuchos sólo los afecta la Kriptonita y las balas de plata, y la falta de plata también. Pero vayan a este link y analicen un poco esta realidad, desde el punto de vista de los expertos mundiales.

http://www.youtube.com/watch?v=h4a_QIwbRjE
Publicado por: Roiman Valbuena
Fuente: Black Ice, La Amenaza Invisible del Ciberterrorismo
Auto Dan Verton

Cuál es el virus que te quema el Pc....???



Aunque usted no lo crea, hay gente que piensa que existen virus capaces de quemar o literalmente achicharrar un pc, esas creencias si bien es cierto tienen una fundamentación falsa, existen, incluso ha habido casos en donde se ha querido demandar jurídicamente a una empresa de software por supuestamente haber permitido que entraran virus en las máquinas, y que estos virus originaron incendios premeditados, además de daños al patrimonio del usuario.


Revisen este link, y lean algunas respuestas a esta misma pregunta..


Cuál es el virus que te quema el Pc..???




Publicado por: Roiman Valbuena

Linux también tiene virus


En los últimos años ha crecido el malware diseñado para Linux, infectando gran cantidad de ordenadores y servidores con este sistema operativo.


Por Álvaro Torralbo [31-07-2008]


Aunque Linux es utilizado por una minoría en comparación con el número de usuarios de Windows, al igual que está pasando Mac OS X, ambos sistemas operativos cada vez tienen más popularidad entre los usuarios. Por este motivo, los cibercriminales están creando malware desarrollado para que afecte específicamente a los equipos Apple u ordenadores con Linux.


Como destaca Sophos en su Informe de Seguridad de julio de 2008 sobre cibercrimen, el problema del malware contra Apple es actualmente muy pequeño si se compara con el lanzado contra Windows, pero esto no significa que no haya riesgo. Desde la aparición del primer malware contra Mac OS X a finales de 2007 -generado por motivos económicos- ha habido varias tentativas por parte de los hackers para infectar y robar desde ordenadores Mac.


El mismo informe señala que desde hace 6 años el malware RST-B, diseñado para Linux, ha infectado un gran número de ordenadores y servidores que usan este sistema operativo. Según los datos de SophosLabs, el nivel más alto de infección de Linux/RST-B con ordenadores comprometidos está en EE.UU, seguido de China y Alemania.


Pese a que Linux se presenta en varias distribuciones, el kernel o núcleo sobre el que se desarrollan las diferentes versiones es siempre el mismo, y por esta razón los virus creados para Linux se ejecutan en cualquier distribución pero pueden no tener el mismo efecto.


Publicado por: Roiman Valbuena

sábado, 16 de agosto de 2008

Últimos virus hasta el 13-08-2008


WLMpass: es una herramienta de evaluación de la seguridad que se utiliza para recuperar las contraseñas guardadas para Windows Live Messenger. ültimo Virus descubierto que ataca directamente las contraseñas del msn.

W32.Pavsee.A:

Sistemas Afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP.

Una vez ejecutado, el virus infecta archivos .Exe,. Scr o.Com y archivos en discos fijos y de una unidad asignada % SystemDrive%, las unidades se verán afectadas en orden alfabético.

A continuación, infectará archivos ejecutables al lograr sobrescribir los primeros 32 kilobytes de los mismos. Los iconos de los archivos se mantienen, pero al hacer clic en los ejecutables estos parecen no funcionar.

Trojan.Gernid:

Sistemas Afectados: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000.

El troyano puede llegar como un archivo adjunto de correo electrónico. Cuando se ejecuta, el troyano se reduce el siguiente fichero que es una variante de la familia W32.SillyFDC: % ProgramFiles% \ Microsoft Common \ wuauclt.exe.
El anterior fichero es ejecutado después.



Se recomienda a los administradores de la red lo siguiente:

Apagar o eliminar los servicios innecesarios. Por defecto, muchos sistemas operativos instalan servicios auxiliares que no son críticos, como un servidor de FTP, telnet, y un servidor Web.

Estos servicios son avenidas del ataque. Si se eliminan, las amenazas combinadas tienen menos posibilidades de ataque y tiene menos servicios a mantener a través de las actualizaciones de parches.


Publicado por: Roiman Valbuena




Ataques a usuarios de Internet Explorer 7


Un nuevo mensaje de spam intenta hacer caer en la trampa a los usuarios que utilizan el último navegador de Microsoft.


Por Rosalía Arroyo [12-08-2008]


Los mensajes de spam están titulados simplemente como “Internet Explorer 7” y tienen la apariencia de un servicio de Microsoft. El mensaje no tiene explicación ninguna, salvo un enlace en el que puede leerse, en inglés “download the lastest version!” y un “about this mailing” describiendo el servicio de Microsoft.


Cuando se pincha sobre el enlace, se redirige al usuario a una página falsa que intenta descargar un archivo de 136 KB conocido simplemente como “update.exe”. El archivo ejecutable infecta la máquina del usuario y descarga el malware.


La práctica de hacer parecer el malware como descargas de software legítimas no es nueva. Adobe advirtió a sus usuarios hace una semana de una falsa descarga de su plug-in de Flash para navegadores.


Los que quieran descargar una copia o actualizaciones de Internet Explorer pueden hacerlo desde este enlace ‘oficial’.


Experto en Seguridad....????


Seguridad Lógica



Dentro de la seguridad informática, la Seguridad Lógica hace referencia a la aplicación de mecanismos y barreras para mantener el resguardo y la integridad de la información dentro de un sistema informático. La seguridad lógica contrasta con la seguridad física.
La seguridad lógica de un sistema informático incluye:



- Restringir al acceso a programas y archivos mediante claves y/o encriptación.- Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo.



- Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático.- Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió.



Los controles anteriormente mencionados se pueden hacer a nivel sistema operativo, a nivel aplicación, a nivel base de datos o archivo, o a nivel firmware.

Fuente: http://www.alegsa.com.ar/Dic/seguridad%20logica.php

Los artículos que se publican en este blog harán referencia a la Seguridad Física, a la Seguridad Lógica, o a la difusión de información concerniente a las nuevas tecnologías que de alguna u otra manera puedan tener vinculación directa o indirecta a las mismas.
Autor: Roiman Valbuena

Escanea, Administra y Asegura Redes con Nmap

Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP atribuido a Fyodor. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.

Ha llegado a ser uno de las herramientas imprescindibles para todo administrador de sistema, y es usado para pruebas de penetración y tareas de seguridad informática en general.

Como muchas herramientas usadas en el campo de la seguridad informática, Nmap puede ser utilizado tanto por los administradores de sistema como por crackers o Script Kiddies.

Los administradores de sistema pueden utilizarlo para verificar la presencia de posibles aplicaciones no autorizadas ejecutándose en el servidor, así como los crakers pueden usarlo para descubrir objetivos potenciales.

Nmap permite hacer el inventario y el mantenimiento del inventario de computadores de una red. Se puede usar entonces para auditar la seguridad de una red, mediante la identificación de todo nuevo servidor que se conecte.
Nmap es a menudo confundido con herramientas para verificación de vulnerabilidades como Nessus.

Nmap es difícilmente detectable, ha sido creado para evadir los Sistema de detección de intrusos (IDS) e interfiere lo menos posible con las operaciones normales de las redes y de las computadoras que son analizadas.
Este libro contiene capítulos interesantes que te sumergen en el mundo del escaneo de puertos.

Nmap es un software de libre distribución y puedes bajarlo desde este link:
http://nmap.org/ , si necesitas el libro sólo escríbeme y solicítalo al siguiente correo: roybscomputers@hotmail.com y con gusto te lo enviaré, pesa menos de 6mb.

Escrito por: Roiman Valbuena.

viernes, 15 de agosto de 2008

Bloquee su equipo y eviten que le instalen Softwares innecesarios

Muchas veces, tenemos nuestra máquina en la casa y de pronto cuando llegamos resulta que le instalaron algo sin nuestro consentimiento, la máquina se puso lenta y a veces se reinicia sola.

!Que fastidio verdad! pero es cierto, para evitarnos eso, hagamos lo siguiente:

En la carpeta C:\Windows, tenemos un archivo ejecutable llamado: regedit.exe, este archivo es necesario porque es quien hace que se ejecute el editor del registro de Windows, del cual dependen los nuevos softwares que se van a instalar, allí se escriben ciertas entradas. Pero bueno eso es otra cosa. El archivo pesa menos de un megabyte, cortelo y lleveselo al pen drive.

De esta manera cuando algo necesite ser instalado sencillamente no podrá llevarse a cabo. Y así acaba de proteger su equipo contra instalaciones perjudiciales.

Si quiere haga la prueba, vaya a >Menú>ejecutar y escriba regedit, le presentará un mensaje que dice " Windows no puede encontar el archivo ****** asegure qu la ruta y el nombre del archivo estén escritos correctamente y vuelva a intentarlo". Por cierto, si tiene Windows original y habilitado actualizaciones automáticas, es posible que este procedimiento no funcione porque por más que usted borre el regedit.exe, windows lo volverá a reemplazar de inmediato, microsoft corrigió esta vulnerabilidad. Pero a fin de cuentas lo que estamos es practicando.

Puede hacerlo también en el cyber de su localidad, si se lo permiten claro está. Si el cyber está administrado por un adulto, es muy fácil hacer marañas. Si por el contrario está administrado por un niño de Menos de 8 años será casi imposible, no sé porque pero estos muchachos de ahora nacen aprendidos, nosotros tuvimos que estudiar mucho, pero ellos al nacer ya saben usar Facebook, increible no?.

Escrito por: Roiman Valbuena

Técnicas para la Navegación Invisible y la Compartición de Virus Online

Navegación Invisible:

La navegación invisible no es más que esconder nuestra dirección IP cuando estamos conectados a internet, de manera que aquel que logre conocerla se lleve una falsificación y no la real, muchos de estos softwares también esconden la dirección física (MAC Adress) de la máquina.


NetConceal AntiHistory: es un programa que borra perfectamente historial de tu actividad. Es capaz de borrar las cookies, Temporary Files, información recién escrita, historial de búsqueda.


NetConceal Anonymizer: es un software que esconde tu IP cuando navegas por la red o durante cualquiera actividad tuya en Internet.

Compartición de Virus: así como lo ves, puedes compartir virus con famosos coleccionistas en internet, lo único que necesitas es tener un buen virus para intercambiar, si quieres tambien lo puedes comprar, hay algunos softwares que te permiten coleccionar tus virus y comercializar con ellos en Virus Trading Center, el virus sort 2000 es uno de ellos, excelente por demás, y aquí les dejo un link para que los bajen y se informen mejor.

http://www.infonegocio.com/vbuster/test.htm

Virus SORT 2000: Se trata de una herramienta indispensable para todo aquel coleccionista de virus que desee llevar al día su colección y poder intercambiar virus con otros coleccionistas.


Y por cierto, traten de usar aquellos que funcionan bajo la plataforma ms-dos, ustedes saben, para evitarnos esos molestos antivirus y mensajes de Windows o Linux.

saludos: escrito por: Roiman Valbuena

Seguridad Computacional, Privacidad y Políticas

En este interesante libro usted encontrará información relevante acerca de cuán importante se está convirtiendo la privacidad en las comunicaciones dentro de los entornos empresariales, también nos adentra en las nuevas tecnologías de privacidad, y la creación de políticas cónsonas con los nuevos requerimientos.

Publicado por: Ing. Roiman Valbuena

jueves, 14 de agosto de 2008

Realice un ataque mediante la técnica de seguir el rastro.

¿Qué es seguir el rastro?. Seguir el rastro es el proceso de utilizar los recursos que se encuentran públicamente disponibles para identificar las redes que pertenecen a determinada organización.
Para determinar las redes que se encuentran asignadas a su empresa se puede utilizar el DNS (Sistema de Nombres de Dominio), o las bases de datos de asignación de red (entre otros métodos).
Cualquier atacante puede concentrar sus esfuerzos en las posiciones que se encuentren menos defendidas, tales como: oficinas de ventas, almacenes, sucursales lejanas pero conectadas a la red, entre otros. Aunque muchas empresas empiezan a tomar en serio las estratégias de defensa en profundidad, el primer paso de un ataque consiste en obtener acceso a un sistema y a cualquier recurso públicamente accesible.
Ataque Paso 1.- Utilice técnicas de ingeniería social para hacerse amigo de alguien dentro de la empresa, y que este alguien pueda utilizar el messenger para comunicarse con usted con relativa frecuencia, es muy común hacerse pasar por un cliente inetresado en algun producto, si es así, el departamento de ventas resultará la víctima perfecta. Aunque muchas organizaciones bloquean sus conexiones con cualquier sistema de mensajería instantánea (que es lógico), otras desprevenidas omiten este importante paso, y lo usaremos en su contra.
Ataque paso 2.- Contacte a esa persona por msn, y hágale saber que usted le hará llegar un archivo que es muy interesante, transfieraselo, pero procure que la transferencia pueda durar al menos dos minutos. Mientras el archivo se está enviando, vaya a >Menú>Ejecutar y escriba cdm en la línea de comandos. Luego escriba >netstat para verificar la dirección IP del host receptor, que debe aparecer como establecida y en el campo de destino la dirección IP de la víctima. Si lo consigue, han resultado exitosos los primeros pasos.
Nota: tenga en cuenta que existen direcciones IP estáticas y dinámicas asignadas por DHCP, para este caso imaginemos que la ip es estática, de otro modo deberá proceder rápido antes de que la ip sea reasignada a otro equipo en otra red.
Ataque paso 3.- Ingrese la dirección IP conseguida en el campo Who is de la siguiente dirección Web: www.arin.net , allí puede que sea redirigido a otra localización Web como: Latnic (registro de direcciones para América Latina), la Afrinic u otra. En cualquier caso deberán aparecerle los detalles más importantes de la empresa e incluso en algunos casos, el nombre y la ubicación del servidor central de la misma.
Si ya usted tiene, la Ip de su amigo (o de la máquina víctima), los datos de la empresa, y su ubicación geográfica, es buen comienzo entonces.
Recuerde: cuando se disponga a ejecutar un ataque, sea cual sea, no lo haga desde su máquina, utilice técnicas de invisibilidad para evitar ser detectado o cree redes zombies para que usted realice el ataque, pero otro sea el culpable.
Hasta aquí lo vamos a dejar por el momento, pero lo continuaremos en subsiguientes artículos, donde seguiremos el rastro de nuestra víctima utilizando DNS y transferencias de zonas DNS.
Además de hacer un escaneo de puertos utilizando Nmap, Nessus o algunas versiones de SATAN crakeadas que se pueden encontrar en Internet.
Sitios de consulta Who is:

www.geektools.com

www.samspade.org

www.ripe.net

www.apnic.net

www.latnic.net

Artículo escrito por: Ing. Roiman Valbuena

Aseguramiento de Sistemas de Información Empresarial



Les recomiendo ampliamente este libro sobre cómo debe manejarse, administrarse, auditarse y evaluarse los diferentes entornos de seguridad en las empresas.

Los capítulos recomendados para aquellos que esten elaborando proyectos de investigación referidos a la Seguridad Empresarial son:

Cap. I: Un modelo se Sistema de Seguridad para e-Business.

Cap. II: Manejo de Seguridad en IT y Controles de Seguridad Centralizados.

Cap. IV: Malware y Antivirus. Despliegue para Seguridad Empresarial.

Cap. XI: Ingeniería de Seguridad. Todo sobre controles y aseguramiento de objetivos.

Este libro tiene 423 Páginas, y es abordado por reconocidos expertos en el área de la Seguridad Empresarial. Espero les Sirva de apoyo en sus proyectos.

Publicado por: Ing. Roiman Valbuena.

Computación Forense y Manejo de Evidencias



  1. En este libro:

    Forensic Examination of Digital Evidence, una guía para la aplicación de la ley.

    Usted encontrará información importante para el completo análisis forense de medios digitales.

    Es una guía a seguir, pues es redactado con las normativas del FBI para el procesamiento de pruebas extraidas de computadoras o medios de almacenamiento digital.

    Capítulos:

    1.- Políticas y desarrollos de procedimientos

    2.- Aseguramiento de la evidencia (Escena del crimen)

    3.- Adquisición de la evidencia

    4.- Examinación de la evidencia

    5.- Documentación y reporte de la Evidencia

    6.- Casos de Estudio

    Les recomiendo este libro a todo aquel interesado en esta intrigante ciencia.

    La Computación e Informática Forense.

    Publicado por: Ing. Roiman Valbuena.

Julio, el mes con más malware según Google

Quizá preparando las Olimpiadas o porque nos relajamos en vacaciones, julio ha sido el mes del malware, como las rebajas.

Por Rosalía Arroyo [14-08-2008]

Google ha documentado el 24 de julio como el día de mayor tráfico de Spam del mes, con diez millones de mensajes. La cifra, además, es la más alta de todo el año. Otros meses estudiados por la compañía fueron Abril y Marzo, cuando se contabilizaron ‘sólo’ cuatro millones de mensajes de spam.

Uno de los principales ataques se ha centrado en facturas de la empresa de mensajería UPS. Al usuario se le pedía que descargar malware haciéndole creer que así podría seguir el rastro de un supuesto envío.

El estudio de Google también hace referencia a una oleada de ataques cuyo gancho eran falsas noticias. Los agresores enviaban mensajes de spam con enlaces a supuestos sites de noticias. Cuando el usuario los visitaba e intentaba ver un archivo de vídeo, se instalaba el malware.

Google cree que el flujo del spam seguirá siendo alto en agosto y que los creadores de spam continuarán buscando nuevos métodos para extender el malware.

Publicado por: RoimanValbuena

Fuente :

http://www.vnunet.es/es/vnunet/news/2008/08/14/julio__el_mes_con_mas_malware

Chistes de Computadoras


Chistes sobre Hackers


miércoles, 13 de agosto de 2008

Cómo asegurar la PC del Hogar


Autor: Adolfo Fioranelli

Consultor Independiente de Seguridad Informática, Networking y Tecnología. Adolfo además es uno de los moderadores del Foro de Segu-Info (ForoSI).

¿Cuántas veces queremos que la PC que tenemos en casa sea tan segura como la de la empresa y no sabemos por donde empezar? Muchas veces no solo es utilizada por nosotros, sino también por nuestros hijos pequeños, adolescentes y algún pariente ocasionalmente.

Tenemos guardada en ella fotos familiares, documentos escolares, documentos laborales y un largo etcétera del cual seguramente jamás hicimos un backup!

A lo largo de este artículo intentaremos abarcar los puntos esenciales para tener una PC hogareña un poco más segura.Utilizaremos como plataforma de referencia MS Windows XP Service Pack 2, esperando que los amigos Linuxeros y Mackeros no se lo tomen a mal.

Verificando versión y Service Pack de nuestro Sistema Operativo
Primero verificaremos que la versión del SO (Sistema Operativo) sea la última disponible. En el escritorio hacemos click con el botón derecho del Mouse, elegimos propiedades y verificamos que es Service Pack 2.

Si esto no es así, bajamos el mismo [1] y actualizamos el SO, siempre verificando que el idioma del Service Pack corresponda con el del sistema que tenemos instalado.

Manteniendo actualizado nuestro sistema

Es importante mantener nuestro sistema actualizado, esto nos protegerá de las vulnerabilidades conocidas. Para ello podemos configurar Windows para que busque actualizaciones periódicamente en algún horario en que estemos seguros que la PC estará encendida y con conexión a Internet. Recordemos que Microsoft lanza nuevas actualizaciones el segundo martes de cada mes [2].

Usuarios y Grupos

Tenemos distintos tipos de grupos y usuarios que pertenecen a los mismos.
Nos enfocaremos solo en los siguientes grupos: administradores, invitados y usuarios. El grupo "administradores" posee los máximos privilegios, le siguen "usuarios" y, finalmente los "invitados" son el grupo con menores privilegios.

El usuario administrador tiene el máximo control sobre el sistema por eso debe ser utilizado solamente para realizar tareas administrativas. Nunca debe utilizarse el usuario administrador (ni uno con privilegios de administrador) para navegar por Internet, ya que en caso de un ataque exitoso, quien tome control de nuestra PC tendrá esos privilegios para instalar, borrar, modificar, dar permisos, etc. Este es un error frecuente por el cual nos solemos infectar con virus.

El resto de los usuarios no deberían pertenecer al grupo "administradores", sólo al grupo "usuarios" o "invitados". Es recomendable también, que el usuario con el cual voy a navegar por Internet pertenezca solo al grupo "invitados" para que en caso de un ataque exitoso, el atacante no pueda modificar nuestro sistema. Este atacante por ejemplo podría ser un virus que intente descargarse desde un sitio dañino.

¿Qué usuarios debería deshabilitar?

Es importante deshabilitar los usuarios por defecto del sistema.Estos son: "invitado" (el usuario, no el grupo); "Asistente de ayuda" y "SUPPORT_XXXX" (donde XXXX es un número que varía dependiendo del equipo); como así también toda cuenta que no se utilice.

¿Qué usuarios debería crear?

Lo recomendable es tener tantos usuarios como personas utilicen la PC y que cada uno posea una contraseña y adicionalmente un usuario genérico (con privilegios de invitado) para que todos utilicen Internet con este usuario. Así cada uno puede tener su escritorio, con sus documentos sin interferir con los del otro.

¿Debería utilizar contraseña?

Por supuesto que si! No solo todos los usuarios deben tener una contraseña, sino que es aconsejable que la misma tenga una longitud mínima de 6 (seis) caracteres y estar compuesta por letras (mayúsculas y minúsculas), números y símbolos.Sería bueno leer "¿Por qué caen nuestras passwords?" [3] para conocer como generar una buena clave. Al menos la contraseña del administrador debería tener estas características. Las de los usuarios con menos privilegios es recomendable que combinen dos de estas características como mínimo.

¿Cada cuánto cambio mi contraseña?

Si considero que la misma esta comprometida debería cambiarla de inmediato, sino es una buena costumbre cambiarla cada 45 días. Esta y otras características se pueden forzar por Políticas, pero eso lo veremos en otro ocasión.

Antivirus – Antispyware

Hoy en día, es fundamental elegir un buen antivirus y es deseable que el mismo posea características de heurística y de antispyware. Por razones de ética y para no beneficiar ni perjudicar a nadie, no daré nombres comerciales de estos productos. Simplemente, al momento de elegir, buscar el que mejor se adapte a nuestras necesidades y mantenerlo siempre actualizado.

Firewall de Windows / Personal Firewall

El Firewall de Windows deberá estar activado, pero como lo considero demasiado básico y por esto no brinda una protección adecuada, recomiendo utilizar algún "Personal Firewall", hay muchos y muchos de ellos son Gratuitos. Algunos ejemplos son: el Sygate [4], el Kerio [5] y el Zone Alarm [6].
Navegador de Internet (Browser) y navegación Web
Sea cual sea el navegador que utilicen, siempre utilizar la última versión disponible. Personalmente recomiendo no utilizar Internet Explorer ya que posee algunas vulnerabilidades aun no corregidas. En lo posible utilizar Firefox [7], Opera [8] o el que les resulte más cómodo.

Respecto a la navegación, nunca instalar barras, iconitos o screensavers de los que se ofrecen gratuitamente en Internet ya que estos generalmente poseen spyware o adware responsable de espiar nuestras actividades y ralentizar la navegación.

En caso de acceder a banca electrónica, nunca hacerlo desde una PC pública, siempre verificar el "icono con un candado" certificando que realmente estamos entrando al sitio del banco y con un "doble click" verificar los datos del certificado digital asociado.

No acceder a sitios de warez, hack, crack, porno, etc. ya que los mismos pueden contener virus y scripts maliciosos. Controlar periódicamente los logs del firewall ya que ahí tendremos información tan variada como: donde están navegando nuestros hijos o si hay un troyano intentando conectarse al exterior para enviar nuestros passwords, números de tarjeta de crédito, etc.

Backup (copias de seguridad)

En nuestros discos rígidos tenemos información que en caso de rotura del disco, virus u otra fatalidad nos harían perderla para siempre. El medio magnético (CD, DVD) para realizar un backup sale apenas centavos y la perdida de las fotos familiares o un documento en elque estamos trabajando puede ser invalorable. Dependiendo de la cantidad de información a "backupear" y de la cantidad de nueva información que se genere diariamente, en la mayoría de los casos alcanza con realizar backup completo mensualmente (siempre para usuarios hogareños, no en una empresa!!!).

Se puede utilizar el ntbackup incluído en el SO o de forma mas amigable podemos hacerlo con software de grabación de CD (hay muchos), ya sea utilizando la opción de "Backup" de los mismos o haciendo un "CD de Datos" con los documentos que deseamos guardar.

martes, 12 de agosto de 2008

Ahora las estafas telefónicas tienen origen digital


Varias personas fueron arrestadas por la policía koreana, por estar relacionadas con el robo de información personal, y con una estafa millonaria realizada con esos datos.

El robo de cerca de 9 millones de registros personales y su posterior venta en el mercado negro, permitió a dos delincuentes montar una falsa empresa y engañar a miles de personas.

Las víctimas eran contactadas por teléfono, por una supuesta compañía de préstamos, ofreciéndoles dinero para lo que ellos quisieran. Lo que no mencionaban eran que las facilidades estaban dadas por prestamistas locales de dudosa ética.

De los registros robados habría unos 4,8 millones pertenecientes a bancos, 260 mil a empresas de préstamos, 650 mil a tiendas en línea, 5300 a universidades y 3,2 millones a varios sitios Web.

De acuerdo con las autoridades del país, el responsable habría huido a China al igual que su cómplice, antes de que las agencias de seguridad llegaran a arrestarlos. Al parecer otras seis personas, empleados de la empresa falsa, fueron procesados y tras una investigación liberados.

Por cada transacción realizada se agregaba un porcentaje, y de esta manera los criminales recaudaron 1,7 millones de euros en la estafa.

Esto puede compararse a una campaña de spam electrónico, con la diferencia de utilizar una comunicación telefónica en lugar de un mensaje de correo. Una persona al teléfono, puede resultar más convincente para atraer a las víctimas.

Esto demuestra que no se debe confiar en los correos no solicitados, como tampoco en las ofertas que se reciben por teléfono, por más atractivas que parezcan.

Publicado por: Ing. Roiman Valbuena

Fuente: eset-nod32 España

Nueva forma de amenazar a los usuarios de los móviles



McAfee ha descubierto una nueva amenaza para los usuarios de los teléfonos móviles – SMiShing. El nombre viene de SMS phishing y es un ataque sociotécnico muy parecido a phishing. Consiste en mandar los mensajes cortos cuyo objetivo es hacer que la víctima haga lo que sugiere el SMS.

Las primeras víctimas de SMiShing en Irlanda y Australia recibieron unos mensajes cortos con la confirmación de una supuesta afiliación a un servicio de parejas junto con la información de pago de 2 dólares.

Se podía anular la afiliación en una página Web. En realidad al entrar en esta página Web, se instalaba un troyano que abría la puerta trasera al ordenador.

McAfee recibió una muestra de un gusano más, VBS/Eliles.A, que se dispersa gracias al correo electrónico, abre la puerta trasera, y manda vía Internet mensajes a los números de azar de dos operadoras de móviles españolas.

Aunque es tan solo una 'prueba de ejecución', todo el mundo de los móviles ha recibido una advertencia, dijo Jan Volzke de McAfee.

La amenaza de los mensajes cortos apareció hace unos años, pero esta vez tenemos en cuenta que se traslada con muchísima facilidad del ambiente de ordenadores al ambiente de móviles gracias a los servicios de SMS gratuitos que se encuentran en la red.

Es una advertencia muy seria ya que existe una posibilidad de dispersión masiva de los peligros a través de SMS. El hecho de la fácil disponibilidad del código necesario en Internet hace que la aparición masiva de los ataques graves de SMiShing sea solo cuestión de tiempo.

Publicado por: Ing. Roiman Valbuena
Fuente: Revista Hakin9

Revista Hakin9 en Español



Revista especializada en el campo de la seguridad de la información.

Informe anual de seguridad del FBI/CSI - 21/10/2007

Boletín 98 -

"La gran mayoría de las amenazas que vimos fueron Linux con rootkits, lo que fue sorprendente. Nosotros esperamos PCS con Windows"

1. Artículo del Día: Informe anual de seguridad del FBI/CSI2. Sorteos de entradas a eventos de Seguridad3. Cómo escribir código Inseguro4. Día de la Usabilidad 2007 en Argentina5. Noticias de esta semana6. Desafío de la semana

1. Artículo del Día: Fundamentos sobre Seguridad de la Información

CSI (ya no) dependiente del FBI acaba de publicar (un poco tarde a comparación de otras oportunidades) el 12° informe sobre delitos informáticos y seguridad de la información. Como se sabe este informe es una base importante de información para conocer el estado de arte actual en esta área de trabajo.

El informe se realizó en base a la respuesta de 494 empresas, cubriendo un amplio espectro desde agencias de gobierno, instituciones, universidades y sector tecnológico de EE.UU.
El perfil de las personas que respondieron la encuesta corresponden a CIOs, CEOs, CSOs, CISOs, Oficiales de Seguridad y Administradores de sistemas.

Como primer resultado importante se remarca que el promedio de pérdida anual de 2007 es del doble del año anterior (U$S 350.424 sobre U$S 168.000) y que por primera vez en mucho tiempo el fraude financiero supera a los ataques de malware, que ahora quedan relegados al segundo lugar.

El problema más persistentemente reportado es el abuso de los recursos de la organización por parte de personal interno (insiders). Con respecto al presupuesto invertido en seguridad no deja de llamar la atención que el 61% de los entrevistados ha invertido 5% o menos de su presupuesto en seguridad. Lo que es "alentador" es que este porcentaje es levemente mayor al año anterior (53%) y que según los analistas el mismo seguirá creciendo durante 2008.

El informe remarca que este porcentaje no debería salir totalmente del presupuesto de IT sino de otras áreas debido a que la seguridad involucra a toda la organización.
Otro punto a remarcar (y que preocupa) con respecto al presupuesto es que la mitad (48%) de las empresas dicen invertir menos del 1% de su presupuesto en Awareness (capacitación y entrenamiento).

Desde 2004 se cuestiona a las organizaciones sobre las técnicas utilizadas para analizar el retorno de inversión y cuantificar los costos y beneficios de la aplicación de seguridad a la información.
Casi la mitad (49%) de los encuestados afirma utilizar ROI [1], siendo este el método más comúnmente conocido. Con respecto al outsourcing de la seguridad los porcentajes se mantienen constantes a años anteriores. El 2% de los encuestados dice que delega el 80% o más de los trabajos de seguridad pero la mayoría (61%) decide no delegar nada.

Con respecto a la administración de riesgos a través de empresas aseguradoras, el 29% decide hacerlo, manteniendo los índices de años anteriores. Uno de los puntos más importantes del informe es que el referido a los incidentes reportados durante el año. Al ser consultados sobre si la organización experimentó incidentes de seguridad durante el año, la cantidad de encuestados se iguala al responder que sí un 46% y que no un 45% (el resto no sabe/no contesta). Lo más interesante de estos números es que los incidentes han decrecido considerablemente (el 25%) en los últimos 7 años.

Con respecto a la cantidad de incidentes detectados se nota un índice creciente en la cantidad de encuestados que han sufrido más de 10 ataques (el porcentaje crece de 9% a 26%).
Un 37% dice sufrir un porcentaje de pérdidas dentro de sus organizaciones mayor al 20% a través de la acción de los insiders (de hecho, 5% de ellos dice perder más del 80%). Por otro lado un porcentaje igual (36%) dice no perder nada por acción de los insiders.

En lo que respecta a los tipos de ataques sufridos, los ataques de insiders, el último año crecen de un 42% a un 59% y el robo de laptops también crece en un porcentaje similar (47% a 50%). Esto denota la importancia que debe darse a la información que se maneja dentro de la organización y los lugares en la que la misma se almacena y se realizan copias de seguridad.

Con respecto a las infecciones de malware, como ya se mencionó, el porcentaje decrece de un 65% a un 52% pero se denuncian un decreciente porcentaje de ataques a sitios webs (defacement) en donde un 2% dice sufrir más de 10 de estos ataques anualmente (en 2006 este porcentaje fue del 59%), sin embargo un 56% dice no poder determinar la cantidad de ataques de este tipo.

Los encuestados coinciden que el monto de pérdidas ha decrecido en los últimos 5 años pero no así en el último año ya que un total de 194 personas denunciaron U$S 66.930.950, cuando en el 2006, 313 personas habían sumado U$$ 52.494.290. El promedio de pérdidas entonces ha sido de U$S 345.004, duplicado el año anterior que había sido de U$S 167.713 por organización.
Es notable como la cantidad de personas que responde sobre las pérdidas monetarias decrece año a año debido a lo sensible de esta información.

Sin duda uno de los gráficos más representativos del informe es el que muestra el tipo de ataques por los cuales se producen la mayor cantidad de pérdidas, mostrando que los fraudes informáticos este año se llevan el gran premio con U$S 21.124.750 dejando segundo al malware con U$S 8.391.800. Esto se debe a dos factores principales: los años anteriores el monto por malware había sido elevado debido a gusanos de amplia repercusión. Hay que tener en cuenta que estos montos no significan que la cantidad de infecciones haya decrecido, simplemente los malware actuales son más "silenciosos", complejos y evolucionados que hace años. Este año los fraudes por phishing se han convertido en la estrella, no dejando lugar a dudas que el objetivo de los atacantes es el dinero.

Con respecto a las herramientas utilizadas como siempre el 98% dice utilizar antivirus, y el 97% firewall, manteniendo constantes los índices de los últimos años. Lo mismo sucede con las demás herramientas (antispyware, IDS, cifrado, PKI, dispositivos biométricos, tecnología NAC, etc).
Este año se agregan a la encuesta las siguientes opciones:
* Un 84% dice utilizar VPN en sus organizaciones.
* Un 63% dice utilizar una política de patcheo. ¿Es posible que el 37% restante no considere la actualización como parte fundamental de la seguridad?

Para evaluar y asistir la efectividad de las tecnologías utilizadas en seguridad, las auditorias internas (con 63% y decreciendo 20% con respecto a años anteriores), los Penetration Testing y las auditorias externas (ambas con 53%) y las herramientas automatizadas (con 49%) son las más populares. Este año se considera por primera vez evaluar la efectividad de los programas de awareness dentro de la organización. De aquí se deduce que el 18% de los encuestados ni siquiera usa un programa de educación dentro de la organización, el 35% no mide su efectividad y un porcentaje similar (32%) dice hacerlo a través de distintas pruebas o por el volumen de tickets creados en mesa de ayuda (22%).

Cuestionados sobre la importancia del programa de educación dentro de la organización, el 78% coincide en dar capacitación a los administradores de red y el 73% a las áreas de management y un porcentaje similar (71%) dice que las políticas de seguridad son importantes.

Otra de las preguntas hace referencia a la importancia de compartir la información de ataques con distintos organismos para prevenir los mismos. Un importante 73% coincide en compartir esta información. Con respecto a las acciones tomadas luego de detectar un incidente, el 61% dice intentar identificar al atacante y más de la mitad dice mejorar su política de patcheo e instalar software/hardware adicional de seguridad, mientras que un tercio dice denunciar los casos a las fuerzas del orden.

Con respecto al motivo de porque no denunciar los casos a la ley, un tercio coincide en que esto puede ser publicidad negativa para la organización o que puede ser una ventaja para la competencia. El 22% dice que la ley no puede ayudar en estos casos.
Consultados sobre los efectos de la aplicación de Sarbanes–Oxley (SOX) el 25% dice estar totalmente en desacuerdo y el porcentaje restante tiene distintos niveles de acuerdo con la misma.

Este año se agregó una pregunta libre sobre la consideración de cuales serán los mayores tipos de crímenes informáticos en los próximos 2 años. La mitad de los encuestados (49%) coincide en mencionar la protección de la información personal y los temas legales como mayores tópicos a tener en cuenta.

Para finalizar el informe, CSI remarca los cambios vividos en la tecnología en los últimos años, haciendo clara referencia a la forma en como el mercado se mueve de ofrecer productos a servicios (por ejemplo en la Web 2.0).

También se hace referencia a "nuevos" tipos de ataques como los perpetrados por el malware en el robo de información sensible para luego ser utilizado como base para otros ataques a la identidad de los usuarios, por ejemplo en el reciente caso de Monster [2].

Publicado por: Ing. Roiman Valbuena, Universidad Rafael Belloso Chacín, Maracaibo - Venezuela y con referencia a diferentes autores.