Ofrecen herramientas para esconder malware en .Net

Net-sploit puede esconder rootkits en un marco de trabajo, intocable por el software de seguridad pero desde donde puede afectar a la mayoría de las aplicaciones.

Por Rosalía Arroyo [20-04-2009]

Según recoge Infoworld, unos investigadores ha lanzado una herramienta actualizada que puede simplificar la localización, difícil de detectar, de un software malicioso en Microsoft .Net de los ordenadores basados en Windows.

La herramienta, llamada .Net-sploit 1.0, permite hacer modificaciones en .Net, una pieza de software instalada en la mayoría de las máquinas Windows que permite a los ordenadores ejecutar ciertos tipos de aplicaciones. Microsoft tiene una suite de herramientas de desarrollo para que los programadores puedan escribir aplicaciones compatibles con el marco de trabajo .Net.

Estas herramientas les ofrece la ventaja de escribir programas en varios lenguajes de programación de diferentes niveles que funcionarán en un ordenador.

Los que hace .Net-Sploit, es permitir a un hacker modificar el marco de trabajo .Net e insertar un software malicioso del tipo rootkit en un lugar intocable por el software de seguridad y donde muy pocos pensarían en mirar, ha dicho Erez Metula, un ingeniero de seguridad de software.

Un rootkit es “una herramienta, o grupo de herramientas, cuya finalidad es la de esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro y puertos que permiten al intruso mantener el acceso a un sistema”, según definen en Wikipedia.

Esencialmente .Net-Sploit permite a un atacante reemplazar una pieza legítima de código dentro de .Net por otra maliciosa. Ya que hay algunas aplicaciones que dependen de partes de .Net para poder funcionar, significa que el malware puede afectar a la función de muchas aplicaciones.

Por ejemplo, una aplicación que tiene un mecanismo de autenticación podría ser atacada si el .Net manipulado intercepta el nombre de usuario y contraseñas y las envía a un servidor remoto.

La ventaja de corromper el marco de trabajo .Net es que un atacante podrían mantener el controla de la máquina clandestinamente durante largo tiempo.
Según recogen en Infoworld, a Microsoft Security Response Center se le notificó este tema en septiembre de 2008. La posición de la compañía es que no hay ninguna vulnerabilidad en .Net.

Cree su propia Super Password.

El sitio donde usted vive tiene puertas y ventanas, y quizás la mayoría del tiempo encuentren cerradas. Por cada cerradura que posea se tiene una llave, y lógicamente, sabe que todas las llaves son diferentes.

También sabe que no debe compartir sus llaves con desconocidos, y probablemente no con la mayoría de sus amigos o conocidos. Tampoco debe ocurrírsele esconderlas en el matero ni debajo de la alfombra del porche.

Los password de computadoras funcionan de manera muy parecida, por cada computadora y servicio que use (como las compras en línea, por ejemplo), usted debe tener un password.

Cada password debe ser única y no debe estar relacionada con ninguna de las otras, no debe dejar registro escrito de ellas, y mucho menos, compartirlas con su mejor amigo.

Tómese un momento y observe la cerradura de su puerta principal, internamente tiene muchos agujeros y surcos, ¿luce complicada verdad?, pero las cerraduras tienen variaciones, y si no tuviesen esas variaciones un ladrón podría hacer una llave para cada posible combinación y al final lograría entrar a su casa por cualquiera de las puertas.

A este método de prueba y error que utiliza el ladrón hasta lograr abrir alguna puerta, en sistemas informáticos se le conoce como Ataque de Fuerza Bruta. Este sistema le será efectivo de alguna u otra forma, la pregunta es ¿cuánto tardará? Sin embargo, no importa cuán complicado le resulte, si el ladrón logra apoderarse de sus llaves, el o ella le sacará copias y las usará para abrir sus puertas, y este método le será más expedito que el otro.

Una clave o password fuerte puede también ser complicada, muchos esquemas le permiten elegir entre una combinación de letras mayúsculas y minúsculas, igualmente consiguen agregárseles números y signos de puntuación intercalados, de esta manera se les hace fuerte, tanto para el intruso como para el propio usuario.

Usted puede crear una password tan sólida como lo considere, pero todo girará en cuán fácil sea recordarla cuando la necesite, sin presiones, y sin tener que escribirla en papel.

Como un ladrón en su puerta, los intrusos cibernéticos usan el ensayo y error o las técnicas de fuerza bruta para descubrir las claves. Mediante un bombardeo a los esquemas de claves y utilizando todas las palabras de un diccionario, (Aunque parezca irónico, estos ataques son bastante sencillos usando software especializado) se puede descifrar el password y desbloquearla.

Si el intruso conoce algo sobre usted, tal como el nombre de su esposo/a, el tipo de vehículo que conduce, fechas de nacimiento o aniversarios, el amplio abanico de posibilidades puede reducirse a sólo un estrecho camino.

Tal como la llave de su puerta principal, esta puede ser copiada e incluso reusada, suponga que a usted le toma algo de tiempo crear su propia password fuerte, una que contenga al menos 14 caracteres, seis de ellos letras, 4 números y los restantes son signos de puntuación, todos en orden aleatorio. Al conectarse a Internet cualquier intruso listo estará habilitado para; verla, salvarla, y usarla. A este tipo de intrusión se le conoce con el nombre de Sniffing y es una práctica de intrusión muy común de los hackers avanzados.

El punto es que usted necesita seguir la práctica de crear un password fuerte para cada cuenta de usuario que tenga, a continuación se le presenta una serie de pasos que debe tomar en cuenta a la hora de crear una clave para cada cuenta, hágale las siguientes preguntas:

· El test fuerte, si el password es fuerte, ¿sigue las reglas anteriores?
· El test único, si el password es único, ¿esta correlacionado a algún otro password?
· El test práctico, ¿puede recordar la clave sin escribirla?
· El test reciente, ¿la ha cambiado recientemente, es una clave repetida?
· Y por supuesto, el test de supresión, debe estar consiente de que el Sniffing sucede, incluso la mejor de los password puede ser capturada y usada por intrusos, usted debe estar dispuesto a borrar y crear una clave nueva tan rápido como pueda para con ello dificultarle el trabajo a los intrusos.

Muchas palabras utilizadas por los usuarios son fácilmente reconocibles, por lo que los computadores se han vuelto vulnerables a los ataques con solo conocer algo de la psicología del dueño.

Los piratas informáticos disfrutan cada vez que un desprevenido navegante asigna a su correo electrónico y demás servicios en la Web contraseñas fáciles de vulnerar como el nombre del usuario en diminutivo, secuencias sencillas de números o fechas obvias como la de su nacimiento.

Los dolores de cabeza llegan cuando la persona quiere entrar a sus cuentas y la clave de siempre no funciona, con tristes consecuencias como la pérdida de información y que los contactos ya no encuentren su rastro en la Red.

Cuándo cambiar la contraseña

Cuando no cumple con los criterios explicados en las técnicas mencionadas.
Cuando tiene más de 6 meses en uso.
Cuando el usuario le ha dado su contraseña a otras personas.
Cuando ha ingresado su contraseña en equipos que no son de su propiedad.

Pasos para crear las claves

· Frases de cuentos para niños como 'Mambrú se fue a la Guerra'.
Contraseña: msfalAguer

· Trabalenguas
· 3 tristes tigres fueron a comer trigo en 3 tristes trastos

Contraseña: 3ttFacen3tt

· Expresiones inspiradas en el nombre de una ciudadExpresión: Colombia tierra querida himno de fe y alegría

Contraseña: CtqHdefyA

· Comidas aborrecidas durante su infanciaCebolla, ajos y pimienta

Contraseña: Ceb&ajo&Pim

· Dichos y refranesDicho: Averígüelo, Vargas

Contraseña: ave%Var

· Técnica: Transliteración Expresión: Fotográfica

Contraseña: pHot-o-Grafik

· Técnica: SinónimosExpresión: Está lloviendo

Contraseña: Ke-H2o

· Técnica: AntónimosExpresión: chica rubia

Contraseña: moreNo%eL

Cuáles son las malas contraseñas

Palabras que aparezcan en un diccionario.

Palabras en idiomas extranjeros: today, happy, obrigado.

Transformaciones simples de palabras: Venezuela2009, maria2005, amor!.

Nombres propios, nombres de ciudades e iníciales: juanpablo, mariapaola, alvaroandrade.

Palabras solo en mayúsculas o solo en minúsculas.

Secuencias alfabéticas o de teclado: qwerty, 12345.

Contraseñas de menos de 4 caracteres.

Contraseñas que incluyan números telefónicos, números de identificación del usuario, nombre de los hijos, de su mascota o de su madre, nombre de su cantante o grupo musical favorito, nombre o sobrenombre de su pareja, fecha de nacimiento y nombres de productos.

Según Manuel Francisco Bustos, director general de la compañía de seguridad Etek, elegir una contraseña es un ejercicio de psicología y, según estudios, la palabra elegida para la clave en la mayoría de los casos revela ciertos aspectos de la personalidad del usuario.


Escrito por: Ing.Roiman Valbuena.

Primer Extranjero Condenado por Phishing en EE.UU.

Ovidiu-Ionut Nicola-Roman, ciudadano de nacionalidad rumana, fue sentenciado el lunes a cuatro años y dos meses de prisión por un tribunal estadounidense tras considerarse demostrada su participación en una operación de Phishing internacional.

La parte acusadora ha demostrado la implicación del acusado en la creación de sitios Web de banca ficticios y enviar después decenas de miles de mensajes de spam fraudulentos con el fin de engañar a las víctimas para que facilitaran información sobre sus cuentas bancarias.

Nicola-Roman fue arrestado en Bulgaria y extraditado a Estados Unidos en noviembre de 2007. Se le declaró culpable el pasado julio de fraude y se ha enfrentado a una posible pena de cinco años de prisión.

Algunos cargos adicionales contra él han sido finalmente retirados por no estar incluidos en el documento de solicitud de extradición original.

Su acusación formaba parte de un proceso de mayor alcance relacionado con prácticas de Phishing en el que también se nombraba a otras seis personas de nacionalidad rumana, ninguna de las cuales ha sido arrestada hasta el momento.

Los expertos en seguridad aseguran que países como Rumanía, Rusia y Ucrania se han convertido en fértiles cunas de la ciberdelincuencia, en parte debido a la lentitud de los gobiernos locales para perseguir a los autores de fraudes por Internet que roban el dinero de víctimas de otros países, como Estados Unidos.

El FBI presentó precisamente el lunes algunos datos según los cuales las denuncias por fraudes vía Internet han aumentado un 33% en 2008 respecto al año anterior.

01/04/2009 Marta Cabanillas

Conficker causa pocos incidentes en el mundo

Hoy, 1 de abril, estaba marcado en el calendario como el Día D para el gusano Conficker.

Sin embargo, y peses a que, tal y como se esperaba, se ha registrado la activación del virus, lo cierto es que los incidentes que está causando son, por el momento, escasos. Algo que, no obstante, no debería hacer bajar la guardia, según los expertos en seguridad.

Conficker se ha activado a las 00.00 horas del 1 de abril, tal y como estaba previsto, aunque lo cierto es que en estas horas los incidentes registrados no son, afortunadamente, ni numerosos ni graves, según algunos expertos de seguridad.

“Sus creadores no querían tirar abajo las infraestructuras, porque eso les distanciaría de sus victimas”, opina Paul Ferguson, de Trend Micro.

Cabe recordar que esta versión del gusano estaba programada para establecer un enlace desde los ordenadores infectados con los servidores controlados a partir de medianoche del 1 de abril. Para controlar esos servidores, Conficker genera una lista de 50.000 nombres de dominios y selecciona los 500 con los que contactar. Un proceso que ya ha comenzado, según los expertos de seguridad.

No se sabe con seguridad cuántos ordenadores están infectados por esta versión de Conficker, pero se calcula que, en total, podríamos estar hablando de unos 10 millones de máquinas, lo que le permitiría crear una de las mayores red zombi conocidas hasta la fecha.

Pese a que los PC infectados han empezado a comunicarse con los servidores controlados por Conficker, lo cierto es que tampoco se ha registrado ningún incidente excepcional.

“Hemos observado que Conficker se está activando, pero ninguno de sus servidores está intentando propagar ningún tipo de malware”, sentencia Toralv Dirro, de McAfee.

Y es ahí donde puede radicar otro de sus peligros, pues este comportamiento podría conllevar que se está esperando a que los administradores de sistemas, usuarios y fabricantes de antivirus se relajen, pensando que el peligro ya ha pasado, para iniciar su ataque.

“Sería un poco estúpido por parte de los creadores de Conficker utilizar esta primera oportunidad, cuando todo el mundo está alerta y vigilando”, explica Dirro. “Si tiene que pasar algo, seguramente ocurrirá dentro de un par de días”, vaticina este experto.

Por tanto, estas mismas fuentes recomiendan tener tanto el sistema operativo Windows como el antivirus completamente actualizado y revisar, con cualquiera de las herramientas gratuitas, que no hay rastro de Conficker en nuestro ordenador.

01/04/2009 Arantxa Herranz

Los expertos informáticos se preparan contra el virus Conficker

BOSTON 01 de abril 2009. - -

Un virus informático que ha infectado a millones de ordenadores podría entrar el miércoles en una fase más amenazadora, desde un ataque inmediato a una mutación silenciosa para extenderse más.

Los expertos en seguridad informática que han analizado el código del "gusano" Conficker creen que está diseñado para comenzar una nueva fase el 1 de abril, y aunque no está claro si desatará daños o si seguirá durmiente, su presencia contumaz está llevando a que las empresas gasten presupuestos multimillonarios para combatir el ciberdelito.

Conficker, que se cree que está en entre 2 y 12 millones de ordenadores en todo el mundo, está diseñado para convertir un ordenador infectado en un esclavo que responda a las órdenes enviadas desde un servidor remoto que controla un ejército de ordenadores esclavos, unas redes conocidas como 'botnets'.

"Puede usarse para atacar, además de para espiar. Puede destruir archivos, puede conectarse a direcciones en Internet y puede reenviar tus correos electrónicos", dijo Gadi Evron, experto en 'botnets' y que ayuda a los gobiernos a protegerse contra el ciberdelito.

Pero como muchos expertos en seguridad, duda de que el miércoles se produzca un ataque masivo.

El virus ha sido lo suficientemente potente para atacar a ordenadores infectados durante meses explotando los puntos débiles del sistema operativo Windows de Microsoft. Evron y otros varios analistas dijeron que el cambio del miércoles simplemente daría a Conficker una operatividad mejorada, posiblemente haciéndolo más peligroso.

"Es el equivalente electrónico de que te digan que hay una tormenta importante que tiene una posibilidad de producirse del 20 por ciento", dijo Mark Rasch, ejecutivo de Secure IT Experts, que pasó 25 años tratando delitos informáticos en el Departamento de Justicia de Estados Unidos.

"No es momento de esconderse en el búnker. Pero puede ser prudente mirar por la ventana", añadió.

En febrero, Microsoft anunció que iba a ofrecer una recompensa de 250.000 dólares por información que condujera al arresto y procesamiento del responsable de crear Conficker, alegando que el gusano constituía un "ataque delictivo".

MIEDO AL ROBO DE IDENTIDADES

Las 'botnets' o redes de computadoras conectadas a Internet y controladas a distancia por piratas informáticos son motivo de preocupación porque pueden robar subrepticiamente identidades, información corporativa delicada, números de tarjetas de crédito, contraseñas bancarias online y otros datos del ordenador infectado.La información es a menudo vendida en círculos delictivos.

"La mayoría de los programas malignos que vemos estos días están muy relacionados con el robo de información y con hacer dinero", dijo Dave Marcus, investigador de la firma de seguridad de software Avert Labs, de McAfee.

Los expertos creen que los autores de Conficker pueden cambiar gradualmente la forma en que se comunica para evitar llamar la atención e impedir que las compañías pongan en práctica salvaguardas como las usadas para combatir el gusano desde que surgió el año pasado.

La firma de investigación tecnológica Gartner estima que las empresas gastarán 13.600 millones de dólares (unos 10.300 millones de euros) en software de seguridad este año, excluyendo los costes laborales, de servicios y hardware relacionados. Aunque algunos software antivirus están disponibles de forma gratuita, otros cuestan hasta 80 dólares.

Los expertos en seguridad creen que el Conficker se originó en Ucrania, en función de su código. El FBI está trabajando en ello pero un portavoz no quiso dar detalles sobre la investigación.

Firmas independientes de seguridad como McAfee, Symantec y Trend Micro dicen que seguirán de cerca el ciberespacio el miércoles para ver si el gusano muta, pero también lo vigilarán en las próximas semanas cuando la alerta se esfume."No espero que ocurra mucho el 1 de abril.

Es el día 1 y no pasará. Es el día que todo el mundo está mirando a que surja algo", dijo Joe Stewart, director de investigación de programas malignos en SecureWorks. "Es otro paso pequeño en lo que sea que vaya a ser el fin de juego", añadió.

Fuente:Reuters