Seguridad en Redes de Telecomunicaciones e Informática: septiembre 2008

lunes, 15 de septiembre de 2008

Alerta: Ataques de Pharming

Los usuarios de Internet tienen un motivo más para estar alertas. Mientras en los últimos seis meses de 2004 crecieron de manera exponencial los ataques de “phishing”, una técnica para robar datos confidenciales de la PC, las compañías internacionales de seguridad informática han revelado una amenaza hasta ahora desconocida: el pharming [1].

Por “phishing” se conoce a las acciones fraudulentas online, empleadas para obtener información privada, usualmente a través del envío de un correo electrónico falso que remite al usuario a una página Web también fraudulenta, donde se pide por ejemplo actualizar claves bancarias o información financiera confidencial.

Con esos datos, los ladrones informáticos realizan estafas en nombre de la víctima. Symantec, fabricante de Norton Antivirus [2], informó que mientras a mediados de julio de 2004 sus filtros antifraude bloqueaban 9 millones de ataques “phishing” por semana, a fines de diciembre de ese año, el número había aumentado a más de 33 millones: un incremento de 266 por ciento.

¿Qué es “pharming”?

El “pharming” es una nueva amenaza, más sofisticada y peligrosa, que consiste en manipular las direcciones DNS (Domain Name Server) que utiliza el usuario. Los servidores DNS son los encargados de conducir a los usuarios a la página que desean ver. Pero a través de esta acción, los ladrones de datos consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas para recabar datos confidenciales, sobre todo relacionadas con la banca online.

¿Qué es un DNS?

El Domain Name System (DNS) es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Para hacerlo mas sencillo, cuando buscamos alguna página en Internet (por ejemplo: http://www.google.com/ ) esta página tiene asociada una dirección IP, que es el lenguaje con el que se entienden los diferentes dispositivos que hacen posible que Internet funcione.

Ahora bien, para nosotros es más fácil recordar un nombre que recordar un número, o cada número asociado a todas y cada una de las páginas que queramos visitar (desde el punto de vista lógico sería imposible).

Hagamos un ensayo: escriba en su navegador Web la dirección IP: 157.166.255.18, le aparecerá la página Web de noticias de CNN internacional en Inglés. ¿Qué le parece más fácil, escribir http://www.cnn.com/ , o escribir el número asociado a la página? Si, estoy de acuerdo con usted, escribir la dirección de la página.

Además de ser más fácil de recordar, el nombre es más fiable. La dirección numérica podría cambiar por muchas razones, sin que tenga que cambiar el nombre.

La delincuencia organizada está utilizando esta nueva técnica para hacer creer al usuario que está conectado a la página de su banco, cuando la realidad es otra, de esta manera logran acceder a las claves de las tarjetas de crédito o debito después de varios intentos fallidos por parte del usuario al tratar de hacer sus transacciones diarias.

Recomendaciones de Seguridad:

Por su seguridad, es importante que al ingresar a la página de su banco tome en cuenta las siguientes recomendaciones:

· Una forma sencilla de validar que se encuentra en la pagina de su banco es ingresando a la información de cualquier producto y que se muestre correctamente; en los sitios falsos se muestra una página de error.

· No instale software desconocido o de procedencia dudosa en tu PC.

· Actualice de manera frecuente su software antivirus.

· Elimine inmediatamente todos aquellos correos de dudosa procedencia.

· Nunca ingrese a ligas enviadas por un correo electrónico si éste no es conocido, no está personalizado con su nombre y con el nombre de la persona que lo envía.

Referencias:

[1] Pharming
http://www.belt.es/noticias/2005/abril/01/pahrming.htm

[2] Para mayor información
http://www.symantec.com/es/mx/norton/cybercrime/pharming.jsp

Autor: Roiman Valbuena

Seguridad, asignatura pendiente de las pymes españolas

Symantec presenta un estudio que pone de manifiesto el grado de preparación de las pequeñas y medianas empresas en materia de seguridad.

Por Rosalía Arroyo [11-09-2008]

El estudio de Symantec, basado en una encuesta realizada a 874 empresas europeas y 105 españolas no ha revelado ninguna sorpresa puesto que los resultados demuestran que la mayoría, a pesar de conocer las amenazas más comunes y haber sufrido ataques el año pasado con resultado de pérdida de datos, no tienen herramientas para la recuperación de los datos ni cuentan con un director de TI especializado.

La mayoría sitúan al dinero y a la falta de tiempo y de conocimientos como las principales barreras en materia de seguridad.

John Brigdem, vicepresidente senior de Symantec, y Carlos Muñoz, director de venta de Symatec, han sido los encargados de presentar los resultados del estudio ofreciendo datos de las pymes europeas y españolas respectivamente.

Ambos expertos en seguridad han coincido en afirmar que aunque los programas antivirus y firewalls “son los recursos de seguridad básicos, no son suficientes para garantizar la protección adecuada y por tanto, la continuidad del negocio”.

Los datos del estudio muestran un mayor conocimiento de las amenazas más comunes, con un 85 por ciento de los encuestados europeos afirmándolo frente al 63 por ciento de los europeos. La brecha es diferente en lo que se refiere a las amenazas más recientes (botnets, pharming, whaling o minorring), no teniendo conocimiento de ellas un 58 por ciento en el caso de las pymes europeas y un 33 por ciento de las españolas.

Similar es el porcentaje de pymes que no cuentan, uno de cada tres, con un sistema para copias de seguridad y recuperación de datos. La mayor parte de los encuestados (45 por ciento) dicen actualizar los sistemas de seguridad en sus organizaciones diariamente.

Los efectos de la falta de seguridad se dejaron notar el año pasado pues casi una cuarta parte de las pymes europeas sufrieron ataques el año pasado, en España el porcentaje fue de una quinta parte. La mayoría de las pymes españolas ha coincidido en que como consecuencia a dichos ataques sus organizaciones sufrieron caídas del sistema (85 por ciento) y Pérdidas de Información (50 por ciento).

El principal obstáculo a la hora de implementar una política de seguridad en las pymes es el dinero (un 19 por ciento en España y un 22 por ciento en Europa), además de la falta de tiempo y de conocimientos.

Fuente: www.venunet.es

martes, 9 de septiembre de 2008

McAffe reinventa la seguridad informática

La compañía anuncia una nueva tecnología que redefine la forma en que los ordenadores se enfrentan a virus, gusanos, troyanos y otros programas maliciosos.

Por Rosalía Arroyo [09-09-2008]

McAfee Artemis Technology utiliza un nuevo servicio de Internet desarrollado por McAfee Avert Labs para proporcionar una protección activa e inmediata cuando un ordenador es atacado por un código informático malicioso y sin necesidad de instalar en el equipo las tradicionales actualizaciones.

Los creadores de malware están desarrollando técnicas cada vez más sofisticadas y centradas, en 8 de cada diez veces, en el lucro económico. El FBI estima que el coste medio de cada ataque es de 1.200 dólares en el caso de los consumidores y más de 350.000 dólares en el caso de las empresas.

Tradicionalmente, la detección de malware se ha fundamentado en bases de datos de amenazas existentes en el ordenador del usuario. Este enfoque necesita que la base de datos de amenazas en cada ordenador se actualice con nuevas firmas para cada nueva amenaza detectada. El resultado conlleva un retraso desde que la amenaza es identificada hasta que la protección se activa en todos los ordenadores.

McAfee Artemis elimina virtualmente la brecha en la protección, proporcionando una rápida reacción ante las amenazas cuya firma aún tiene que ser publicada. Cuando se detecta un archivo sospechoso en un ordenador protegido por una solución McAfee con Artemis, esta tecnología se conecta a los servidores de McAfee en tiempo real para determinar si el archivo es malicioso o no. Una comprobación que, según McAfee ocurre en cuestión de segundos y sin consecuencias para el usuario.

McAfee Artemis está disponible sin cargo como parte de McAfee Total Protection Service para la pequeña y mediana empresa. También estará disponible a lo largo de este mes para McAfee VirusScan Enterprise. Así mismo, McAfee Artemis estará disponible en los productos de consumo, donde la funcionalidad se denomina “Active Protection”.

Fuente: http://www.vnunet.es/

viernes, 5 de septiembre de 2008

Emergencia: Ataque masivo a cuentas de Hotmail

04-09-2008

Se acaba de detectar un ataque masivo donde se utilizan varios servidores web fraudulentos que simulan ser el portal de correo electrónico Hotmail.

http://guesstbookhotmail.blogger.ba/

http://onlinemessenger.blogger.ba/

http://guesstbookhotmail.blogger.ba/

http://hotmailive.blogger.ba/

http://onmessenger.extra.hu/

Haga la prueba copie y pegue cualquiera de estos en el URL de su navegador y observará que aparece una Web muy parecida a la vieja versión de Hotmail, posterior a ello, las personas incautas procederán a colocar su usuario y clave. Que a la final nunca le van a dar acceso a su correo.

Esto es lo que se conoce en seguridad informática como pishing, que no es más que el tratar de duplicar una página Web y con ello obtener datos de sus cuentas.

¿Por qué lo hacen?

El principal objetivo de esto es poder acceder a sus claves, que por lo general son las mismas que se utilizan para las tarjetas de crédito, para otros correos, porque hay encuestas recientes que afirman que más del 50% de las personas utilizan la misma clave para todo.

http://www.technow.com.ar/?notid=60

Pude hacer la prueba con el primer link, prueben ustedes si quieren pero con una clave errada, y al introducirla enseguida se cierra.

Procedí a realizar un tracert (un seguimiento de la ubicación del sitio donde esta alojada esta página Web), la dirección IP resultante fué: 67.228.135.98, una dirección clase A, a primera vista cualquiera que sepa algo sobre direccionamiento sabe que estas direcciones estan asignadas a estados unidos.

Luego de hacer una busqueda exaustiva encontré que la empresa que está estafando se encuentra en el estado de Texas, especificamente en la ciudad de Dallas.

Y se llama SoftLayer Technologies Inc. Ojo a primera vista si se examina la dirección el sitio hace referencia a un blog, esto podría excluir de delitos a la empresa, pero ¿porque la misma no ha tomado cartas en el asunto y cerrado el sitio antes de qu les llegue la gente de la NSA (National Security Agency)?, Me parece muy raro, si van a probar haganlo hoy, para mañana debiese estar cerrado, recuerden poner User Name y Password falsos.

Los pasos para llegar a esta conclusion se publicará con más detalle en el sitio:

http://seguridaddigitalvenezuela.blogspot.com/

A partir de hoy (Viernes 5 de Sept. de 2008) en horas de la noche.. Saludos a todos....

jueves, 4 de septiembre de 2008

La amenaza invisible de la tecnología Botnet

INTRODUCCIÓN: El tema al cual se hace referencia en el presente artículo versa sobre muchos de los aspectos a considerar en el desarrollo de la tecnología botnet, cómo trabajan, breve descripción de su evolución, casos y sentencias penales reales. Al final se hace una evaluación de las leyes internacionales con respecto a la seguridad de los datos y se exponen algunos criterios del porqué esta tecnología se ha desarrollado tanto, prácticamente sólo conseguimos defendernos de ella, pero no hay vestigios de que podamos derrotarla.

AUTOR: Ing. Roiman Valbuena
Universidad Rafael Belloso Chacín, Maracaibo. Venezuela
http://www.urbe.edu/
Universidad del Zulia, Maracaibo. Venezuela

Universidad Nacional Experimental de la Fuerza Armada. UNEFA.
http://www.luz.edu.ve/
roybscomputers@yahoo.com
roybscomputers@hotmail.com

La amenaza invisible de la tecnología Botnet.

A lo largo del 2006, en diversas conferencias sobre técnicas de seguridad se discutieron las últimas "killer Web app", o aplicaciones Web. Y nos preguntaremos ¿pero que son estas cosas?, bueno, en definitivo, en la ingeniería software se denomina aplicación Web a aquellas aplicaciones que los usuarios pueden utilizar accediendo a un servidor Web a través de Internet o de una intranet mediante un navegador.

En el mismo orden de ideas, es una aplicación software que se codifica en un lenguaje soportado por los navegadores Web (HTML, JavaScript, Java, etc.) en la que se confía la ejecución al navegador. En el caso de las killer Web App, utilizan este navegador para detener ciertas aplicaciones que le sean adversas al creador del malware, y en su mayoría se basan en programas o software (pero podrían ser algo más) que son tremendamente exitosos.

Dicho de otra manera, es cualquier programa que ejecuta una solicitud en un computador, en la generalidad de los casos solicitudes manejadas remotamente, y que están diseñados para detener aplicaciones específicas, siendo su principal objetivo el software antivirus o los firewall [1]. Pero entonces nos preguntamos, ¿existen tales cosas?

Sí, existen, pero son pocas y dispersas. Todos los días, cientos si no miles de programadores, innovadores, empresarios, inventores y charlatanes trabajar duro para crear la próxima killer app.

Lamentablemente, esta tecnología Web, trabaja para los chicos malos, con financiamiento de la delincuencia organizada y los señores del spam [2], una generación de talentosos hackers sin moral que han creado un devastador arsenal de mortales juguetes, en forma de botnets.

Norman Elton y Matt Keel del William & Mary College [3], en 2005 en la presentación de su ponencia; Who Owns Your Network?, ¿Quién es el propietario de su red?" Redes llamadas Botnets, expresaron que estas son: "la mayor amenaza que enfrenta la humanidad."

Esto puede ser una exageración, pero las redes botnets son sin duda la mayor amenaza con la que la comunidad de Internet se ha enfrentado.

John Canavan [4], en su artículo titulado “The Evolution of Malicious IRC Bots”, enuncia que las botnets son "La más peligrosa y extendida amenaza viral Win32" Y concuerda mucho con la portada de la revista eWEEK de 16 de octubre de 2006, "Perdiendo la guerra botnet” [5].

El artículo de Ryan Naraine [6] titulado"¿Está la batalla botnet ya perdida?” [6], Describe el estado actual del medio ambiente de las botnet.

Las botnets son la clave central de los anillos de la delincuencia organizada en todo el mundo, pasan del robo de ancho de banda de redes zombies a ganar dinero infame de la actividad delincuencial en la Internet.

Un vendedor (en ebay.com de tecnología botnet y ataques de DDoS) dijo [7], que la calidad de su producto depende de la calidad de sus fuentes de inteligencia y, a continuación, pasó a decir que no podían suministrar ninguna información que pudiese responder por la calidad de sus fuentes de inteligencia. Siendo estas fuentes de inteligencia, los propios encargados de la seguridad dentro de las empresas que compran sus productos. Pero las botnets también pueden causar daños no intencionados [8].

A ver si nos entendemos, las redes botnet son el mayor peligro con los que se ha enfrentado la comunidad de Internet, como se dijo en párrafos anteriores, pero hay empresas que están desarrollando tecnologías para organizaciones delictivas [9], por el simple hecho de que es más productivo venderle a un delincuente, que venderle a un usuario particular, pero mejor que todo ello es, venderles a ambos.

Estas empresas tienen un negocio bien redondo, por un lado hacen creer a sus clientes que les están vendiendo lo último para protegerse, y al delincuente le transfieren las vulnerabilidades que previamente fueron dejadas intencionalmente abiertas por ellos mismos, a la final si no se comprueba que hubo delito en la venta, el cliente incauto volverá a comprar más Tecnología a la misma empresa que previamente los estafó, y el ciclo nefasto se repetirá.

Defendiéndonos de las Botnets

Nuestras primeras armas contra las botnets deben consistir en eliminar el servidor bot, esta estrategia se conoce como "Eliminar la cabeza de la serpiente." Artículos recientes sobre el estado de la seguridad de las redes han lamentado el descubrimiento de que no estamos luchando contra una serpiente, sino por el contrario, un dragón de muchas cabezas, tal como en el Apocalipsis [10].

Se ha hablado mucho de la pérdida de esta arma por la prensa. En varios artículos se ha expresado que profesionales de la seguridad están admitiendo que esta batalla se está perdiendo [5]. En la guerra real, los generales deben dar batalla al enemigo, y no menos importante, deben luchar contra la pérdida de la moral. Muchos de los profesionales de la seguridad, que fueron pioneros en la lucha contra botnets, se han desmoralizado por la toma de conciencia de que el Mando y Control (C & C) del servidor ya no es tan eficaz como lo era antes.

Imagine como el primer ejército invasor que ha tropezado con un castillo debió sentirse. Imagine la reacción del propietario del castillo cunado se inventó la torre de asedio, o catapulta. Después de los años siguientes a la presentación de estas armas, el castillo pudo haber cambiado de diseño. Una sola pared que rodeaba el castillo se convirtió en una serie de torres. El castillo de forma rectangular, dio paso a formas irregulares destinadas a desviar en lugar de detener las armas del enemigo. La pérdida de una de las principales armas no significa la pérdida de la guerra a menos que el general permita que la moral se disuelva, y no evoluciona para satisfacer el nuevo entorno.

Como trabaja el Asesino Web App..?

¿Cómo hacer de una botnet un "killer app Web?" El software que crea y gestiona una botnet hace que esta amenaza sea mucho mayor que la anterior generación de código malicioso. No se trata simplemente de un virus, sino que es un virus de virus, o para simplificar un “Megavirus”.

Una botnet es modular y un módulo explota las vulnerabilidades que encuentran para hacerse con el control sobre su destino. A continuación, se descarga otro módulo que protege al anterior, este es un nuevo robot que se encarga de detener el software antivirus y firewalls, el tercer módulo puede comenzar el escaneo de otros sistemas vulnerables [11].

Una botnet es adaptable, puede ser diseñado para descargar diferentes módulos, que a su vez explotan cosas específicas que encuentra en una víctima.

Por otro lado, nuevos xploits se pueden añadir tal cual son descubiertos. Ellos hacen el trabajo del antivirus mucho más complejo.

Encontrar un componente de una botnet no implica el carácter de cualquiera de los otros componentes debido a que el primer componente puede elegir para su descarga desde cualquier número de módulos para llevar a cabo la funcionalidad de cada una de las fases del ciclo de vida de una botnet.

Así mismo también arroja dudas sobre la capacidad de un software antivirus al afirmar que un sistema está limpio, cuando encuentra limpio uno de los múltiples componentes de un bot. Pero no es capaz de limpiarlos todos.

Debido a que cada componente se descarga cuando es necesario después de la infección inicial, las posibilidades de un sistema para obtener un xploit cero días es mayor.

Hay que hacer notar que si usted se encuentra administrando la seguridad del servidor de una empresa, esta tomando el riesgo de poner un bot de nuevo en circulación si los esfuerzos para limpiar el código malicioso no son exhaustivos. En lugar de tomar ese riesgo, muchos departamentos de TI optan por volver a la imagen de un sistema conocido como imagen limpia, y créanme, esa no es la solución.

En efecto, los ataques botnet son directos. Es decir, el hacker puede orientar su ataque a una empresa o un sector de la misma. Aunque las botnets pueden ser aleatorias, también pueden ser personalizadas para un determinado conjunto de posibles anfitriones.

El botherder (el bot principal) puede configurar los bot clientes para limitar el direccionamiento IP de un conjunto predefinido de sus anfitriones. Con esta capacidad de orientación viene la capacidad de personalizar los ataques al mercado.

La capacidad de adaptación de los ataques de botnets es realmente buena. El bot cliente puede comprobar la acogida de los nuevos infectados, y de allí comenzará a hacer las solicitudes para explotar el sistema.

Cuando se determina que el anfitrión es propietario de un cliente, por ejemplo, una cuenta e-gold, el cliente puede descargar un componente que llevará en sus hombros durante las próximas conexiones a esa cuenta e-gold que el mismo realizará.

Lo más importante, si bien el titular de acogida está conectado a su cuenta e-gold, en el trasfondo se explotan los fondos de la cuenta mediante la presentación de una transferencia electrónica.

En un informe de amenazas de Internet (Septiembre 2006) [12], publicado por Symantec, el mismo afirma que durante los seis meses del período comprendido entre enero y junio de 2006, Symantec observó 57,717 redes bot activas por día. Symantec también observó que más de 4,5 millones de distintas redes de ordenadores podrían ser posibles redes bots de computadores, próximas a activarse.

Todo esto contrasta con un artículo publicado por este mismo autor en http://seguridaddigitalvenezuela.blogspot.com/2008/08/ms-fraudes-online-en-el-primer-semetres.html , y obtenido de http://blog.s21sec.com, que hace referencia al aumento de los fraudes online durante el primer semestre del 2008. Si bien se están haciendo grandes esfuerzos en controlar la expansión de las botnets, la realidad es que estamos muy lejos de eso.

Y podríamos perder la guerra si no tomamos conciencia de ello y nos preparamos para contraatacar.

Evolución de las redes botnets: Diferentes Arquitecturas

La historia de las redes-zombi empezó en los años 1998-1999, cuando aparecieron los primeros programas que actuaban como Backdoor, así tenemos al conocido NetBus y BackOrifice 2000, a los puede llamar “pruebas de concepto”, es decir, programas en los que se usaban soluciones tecnológicas nuevas.

NetBus y BackOrifice 2000 fueron los primeros en tener una serie de funciones para el control a distancia del ordenador infectado, lo que permitía a los malhechores trabajar con los archivos en un ordenador a distancia y poner en funcionamiento nuevos programas, realizar capturas de pantalla, abrir y cerrar el dispositivo CD, etc.

Después, a alguno de los malhechores se le ocurrió hacer que las máquinas infectadas por los backdoors se conectaran por sí mismas y entonces se las podía ver siempre en línea (la única condición era que estuvieran encendidas y funcionando). Lo más seguro es que haya sido idea de algún hacker, ya que los programas zombi (bots) de la última generación usaban el canal de conexión que tradicionalmente usan los hackers – IRC (Internet Relay Chat).

La botnet Pretty Park:

En mayo de 1999, fue descubierto Pretty Park, un bot cliente escrito en Delphi, de acuerdo con "The Evolution of Malicious IRC Bots", escrito por John Canavan de Symantec [4]. Este bot ya manejaba varias funciones y conceptos muy comunes en los robots de hoy, algunos son:

· La capacidad para recuperar el nombre del ordenador, versión del sistema operativo, información de los usuarios, y el sistema básico de información.
· La capacidad para buscar y recuperar las direcciones de correo electrónico y nombres de acceso ICQ
· La capacidad para recuperar los nombres de usuario, contraseñas, y dial-up de configuración de red
· La capacidad de auto-actualizarse
· La capacidad de carga / descarga de archivos
· La capacidad para poner en marcha una serie de ataques de DoS

SubSeven Trojan/Bot

En Junio, 1999, la versión 2.1 del troyano SubSeven fue liberada [13]. Esta versión fue significativa, ya que permitía que un servidor SubSeven pudiese ser controlado a distancia por un bot conectado a un IRC servidor.

Esto creó las condiciones para todos los botnets maliciosos que estaban por venir. SubSeven es un control remoto Trojan, también escrito en Delphi, promocionado por su autor como una herramienta de administración remota.

Su conjunto de herramientas, sin embargo, incluye herramientas que un verdadero administrador podría no usar, como la capacidad para robar contraseñas, registro de las pulsaciones de teclado, y ocultar su identidad. SubSeven dio control total a los bots operadores sobre los sistemas infectados.

GT Bot

Global Threat (GT), es una botnet cliente basada en mIRC [14], apareció en 2000. Fue escrito por Sony, MSG, y DeadKode. mIRC es un paquete software de IRC. mIRC tiene dos características importantes para la construcción de una botnet: Puede ejecutar scripts en respuesta a los acontecimientos en el servidor IRC, y soporta conexiones TCP y UDP.
Gt Bot posee las siguientes características:

· Escaneo de puertos en busca de formas de acceso
· Flooding: para conducir ataques de DDoS
· Cloning: la clonación es cualquier conexión a un servidor IRC, por encima de la primera conexión.
· BNC (Bounce): es un método de anonimato Bot para el acceso de los clientes a un servidor.

Hoy en día, todas las variantes de la tecnología bot que se basan en mIRC, se dice que son miembros de la familia GT Bot. Estos bot clientes no incluyen un mecanismo de propagación propia directamente. En lugar de ello, se utilizan variaciones en tácticas de ingeniería social.

SDBot

A principios del 2002, apareció sdbot. Fue escrito por un programador ruso conocido como sd. Sdbot representó un paso importante en la cadena evolutiva de estos robots. Fue escrito en C++, posterior a ello el autor libera el código fuente y lo publica en una página Web, además de eso provee su email y su ICQ para información de contacto. Esto lo hizo accesible a muchos hackers y se hizo mucho más fácil de modificar y mantener.
Como resultado de esto, subsecuentes bots clientes incluían códigos o conceptos de sdbot. SdBot generaba un pequeño archivo binario de sólo 40kb. La mayor característica de la familia sdbot, fue la inclusión del uso de control remoto para backdoors. Varios años después, algunas de sus variantes todavía siguen causando daños [15].

Los siguientes backdoors son explotados por sdbot:
· Optix backdoor (puerto 3140)
· Bagle backdoor (puerto 2745)
· Kuang backdoor (puerto 17300)
· Mydoom backdoor (puerto 3127)
· NetDevil backdoor (puerto 903)
· SubSeven backdoor (puerto 27347)

En caso de que un exploit logre ser exitoso, el gusano crea y ejecuta un script que descarga sdbot en la nueva víctima y lo ejecuta. Una vez ejecutado, la nueva víctima es infectada. Ahora bien, Tengamos en cuenta que muchos de estos ataques se siguen utilizando hoy día, sobre todo el de la fuerza bruta, y el tratar de adivinar las contraseñas con ataques dirigidos a los puertos 139, 445, y 1433.

La mayor amenaza proviene de las fallas en las legislaciones internacionales.

El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha establecido la necesidad de regulación por parte del derecho.

En nuestro caso Venezuela, existe la “Ley Especial Contra los Delitos Informáticos” [16], de fecha 30 de Octubre de 2001, la cual sólo contiene 33 artículos (deja por cierto una brecha muy grande para la impunidad de los hackers) estableciendo una prisión máxima de 2 a 6 años cuando se cometan delitos tipificados en ella. Pero en esta delincuencia se trata con especialistas capaces de efectuar el crimen y borrar toda huella de los hechos, resultando, muchas veces, imposible de deducir cómo se realizó dicho delito.

La Informática reúne características que la convierten en un medio idóneo para la comisión de nuevos tipos de delitos que en gran parte del mundo ni siquiera han podido ser catalogados.

La legislación sobre sistemas informáticos debería perseguir acercarse lo más posible a los distintos medios de protección ya existentes, pero creando una nueva regulación basada en los aspectos del objeto a proteger: la información.

En este punto debe hacerse énfasis y anotar lo siguiente:

*No es la computadora la que atenta contra el hombre, es el hombre el que encontró una nueva herramienta, quizás la más poderosa hasta el momento, para delinquir.
*No es la computadora la que afecta nuestra vida privada, sino el aprovechamiento que hacen ciertos individuos de los datos que ellas contienen.
*La humanidad no está frente al peligro de la informática sino frente a individuos sin escrúpulos con aspiraciones de obtener el poder que significa el conocimiento.
*Por eso la amenaza futura será directamente proporcional a los adelantos de las tecnologías informáticas.

Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y, todo lo contrario, lograr una protección global desde los distintos sectores para alcanzar cierta eficiencia en la defensa de estos sistemas informáticos.

Leyes Penales en Estados Unidos:

El derecho penal en Estados Unidos de Norteamérica conforma el fundamento para las investigaciones de delitos por computadoras llevadas a cabo por las autoridades federales (principalmente el FBI y el Servicio Secreto). Mientras que el 18 US Code 1030 es el decreto o ley principal contra los delitos computacionales [17].

Abuso y Fraude por Computadora: la sección a-) de la ley define el delito como el acceso intencional a una computadora sin la autorización para hacerlo. Por cierto que esta misma ley deja entrever que no se prohíbe específicamente obtener acceso a una computadora si el daño que se le hace no excede los 5.000 dólares. Sí así como está pensando, un intruso puede obtener acceso a las computadoras que quiera siempre que los daños que cause no sobrepasen esta suma (Eric Maiwald, 2003).

Fraude con Tarjetas de Crédito: El (18 US Code 1029), esta ley considera un delito apoderarse de 15 o más tarjetas de crédito falsificadas. Un ataque a un sistema de cómputo que permite que el intruso obtenga acceso a una gran cantidad de números de tarjetas de crédito para lo cual no tiene acceso autorizado es una violación a esta ley. Podría entenderse que cualquiera que se apodere de 10 tarjetas de crédito falsificadas no estaría cometiendo delito alguno, según esta ley.

Intercepción (18 Code 2511): El 18 US Code 2511 es una ley contra la intervención de las comunicaciones: Esta ley prohíbe la intercepción de llamadas telefónicas y otros tipos de comunicación electrónica, y evita que los agentes de la ley hagan uso de la intervención sin una orden judicial. No obstante, un intruso en un sistema de cómputo que coloca un “rastreador” en el sistema, probablemente este violando esta ley.

La lectura de esta ley también puede indicar que ciertos tipos de seguimientos realizados por las organizaciones puedan ser ilegales. Por ejemplo, si una organización coloca equipo de seguimiento o monitoreo en su red para examinar el correo electrónico o para vigilar los intentos de intrusión, ¿Constituye esto una violación a esta Ley?
Brasil: Tiene identificados dos delitos: la introducción de datos falsos en el sistema de información y la modificación o alteración no autorizadas de un sistema de información. Ambos están dirigidos a los empleados de organizaciones que hacen mal uso de su acceso para cometer un delito [17].

India: La manipulación de sistemas computacionales ajenos (“hacking”) con un sistema de cómputo esta tipificado como un delito en la India.
Para ser culpable de este delito un individuo debe estar involucrado en la destrucción, eliminación o alteración de información en un sistema de cómputo de manera que reduzca su valor. El individuo también debe haber hecho el intento de causar daño, o debe saber que probablemente se iba a provocar un daño.

República Popular de China: El decreto número 147 del Consejo Estatal de la República Popular de China, del 18 de febrero de 1994, define dos delitos computacionales. El primero es la introducción deliberada de un virus de computadora en un sistema de cómputo. El segundo es la venta de productos especiales de protección de seguridad de computadoras sin permiso [17].

Conclusión: De la evaluación de estas leyes, y por todo lo anteriormente planteado surge la incógnita, ¿Cómo combatir el delito informático en este mundo globalizado, cuando lo que es delito en un país no lo es en otro?

¿cómo unificar criterios y hacer frente a las nuevas formas de fraudes informáticos cuando son las mismas empresas que generan y diseñan estas tecnologías las más sospechosas?

Indudablemente estamos ante amenazas de proporciones bíblicas, si se logra cerrar un agujero digital inmediatamente se abre uno más, y más complejo que su predecesor.

Este artículo se redactó con el fin de hacer referencia a la amenaza invisible que representa la tecnología botnet, y créanme, no hay nada más peligroso que luchar contra algo que no se ve.

REFERENCIAS:

Aparece también publicado en: http://foro.hackhispano.com/showthread.php?t=31617

[1] Virus para detener Antivirus y Firewalls
http://www.enciclopediavirus.com/virus/vervirus.php?id=3762

[2] Arrestados tres controladores de botnets
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=822
[3] Ponencia: Who Owns Your Network?
http://www.osc.edu/oarnet/oartech/meeting_min/it_william_mary.ppt
[4] Autor de varios libros de Seguridad en redes
Fundamentals of Network Security John E. Canavan, 319 pages, Boston, London: Artech House 2001, ISBN 1-58053-176-8
[4] John E. Canavan
http://www.symantec.com/avcenter/reference/the.evolution.of.malicious.irc.bots.pdf
[5] Artículo: Loosing the botnet war
http://www.securitypronews.com/news/securitynews/spn-45-20061024LosingTheBotnetWar.html
[6] Artículos escritos por: Ryan Naraine
http://www.eweek.com/cp/bio/Ryan-Naraine/
[6] Artículo: Está la batalla botnet ya perdida?
http://www.eweek.com/c/a/Security/Is-the-Botnet-Battle-Already-Lost/
[7] Anthony Scott Clark encontrado culpable de vender su tecnología
http://www.usdoj.gov/criminal/cybercrime/clarkPlea.htm
[7] Cae el supuesto cabecilla de catastrófica red zombi
http://www.viruslist.com/sp/news?id=208274109
[8] Caso Christopher Maxwell
http://www.usdoj.gov/criminal/cybercrime/maxwellPlea.htm
[9] Caso Napster
http://www.usdoj.gov/criminal/cybercrime/napsterbr.htm
[10] White Papers Killing Botnets McAfee
http://whitepapers.silicon.com/0,39024759,60285515p,00.htm
[11] Para más información sobre el funcionamiento léase el artículo de Cristian Borghello: “Botnets, redes organizadas para el crimen“
http://www.eset-la.com/threat-center/1573-botnets-redes-organizadas-crimen
[12] Informe de Amenazas de Internet Symantec 2006
http://www.symantec.com/es/es/business/library/article.jsp?aid=latest_threat_findings
[13] Versión nueva del troyano Subseven
http://www.vsantivirus.com/sub722.htm
[14] programa para IRC Internet Relay Chat
http://www.mirces.com/
[15] "sdbot.apa"
http://www.laflecha.net/canales/seguridad/noticias/200503183
[16] Ley Especial contra delitos informáticos en Venezuela
http://www.tsj.gov.ve/legislacion/ledi.htm
[17]
Maiwald, Eric. Fundamentos de seguridad de redes. Segunda Edición. México, D.F. McGraw Hill. 2005. 473 p. ISBN: 9701046242.

Hola, Bienvenidos al Blog: Seguridad de Redes de Telecomunicaciones e Informática.

Este Blog es escrito por el Ingeniero Roiman Valbuena para la difusión de información científica y artículos relacionados a la seguridad de redes e informática.

Si tienes algún artículo interesante sobre seguridad que quieras compartir, sólo escribeme a los siguientes correos:

roiman.valbuena@gmail.com
roiman_valbuena@hotmail.com y con gusto lo revisaré.

El artículo que envíes saldrá publicado con tu nombre (Propiedad Intelectual), y debe cumplir con las políticas del sitio ... Gracias...

Unam - Cert. Centro de Seguridad de Cómputo. Universidad Nacional Autónoma de México.

El UNAM-CERT(Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de profesionales en seguridad en cómputo.

Está localizado en el Departamento de Seguridad en Cómputo (DSC) de la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.

El UNAM-CERT se encarga de proveer el servicio de respuesta a incidentes de seguridad en cómputo a sitios que han sido víctimas de algún "ataque", así como de publicar información respecto a vulnerabilidades de seguridad, alertas de la misma índole y realizar investigaciones de la amplia área del cómputo y así ayudar a mejorar la seguridad de los sitios.

Mantengase Informado de los Últimos Boletines de Seguridad.

http://www.cert.org.mx/index.html