Alerta: Ataques de Pharming

Los usuarios de Internet tienen un motivo más para estar alertas. Mientras en los últimos seis meses de 2004 crecieron de manera exponencial los ataques de “phishing”, una técnica para robar datos confidenciales de la PC, las compañías internacionales de seguridad informática han revelado una amenaza hasta ahora desconocida: el pharming [1].

Por “phishing” se conoce a las acciones fraudulentas online, empleadas para obtener información privada, usualmente a través del envío de un correo electrónico falso que remite al usuario a una página Web también fraudulenta, donde se pide por ejemplo actualizar claves bancarias o información financiera confidencial.

Con esos datos, los ladrones informáticos realizan estafas en nombre de la víctima. Symantec, fabricante de Norton Antivirus [2], informó que mientras a mediados de julio de 2004 sus filtros antifraude bloqueaban 9 millones de ataques “phishing” por semana, a fines de diciembre de ese año, el número había aumentado a más de 33 millones: un incremento de 266 por ciento.

¿Qué es “pharming”?

El “pharming” es una nueva amenaza, más sofisticada y peligrosa, que consiste en manipular las direcciones DNS (Domain Name Server) que utiliza el usuario. Los servidores DNS son los encargados de conducir a los usuarios a la página que desean ver. Pero a través de esta acción, los ladrones de datos consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas para recabar datos confidenciales, sobre todo relacionadas con la banca online.

¿Qué es un DNS?

El Domain Name System (DNS) es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Para hacerlo mas sencillo, cuando buscamos alguna página en Internet (por ejemplo: http://www.google.com/ ) esta página tiene asociada una dirección IP, que es el lenguaje con el que se entienden los diferentes dispositivos que hacen posible que Internet funcione.

Ahora bien, para nosotros es más fácil recordar un nombre que recordar un número, o cada número asociado a todas y cada una de las páginas que queramos visitar (desde el punto de vista lógico sería imposible).

Hagamos un ensayo: escriba en su navegador Web la dirección IP: 157.166.255.18, le aparecerá la página Web de noticias de CNN internacional en Inglés. ¿Qué le parece más fácil, escribir http://www.cnn.com/ , o escribir el número asociado a la página? Si, estoy de acuerdo con usted, escribir la dirección de la página.

Además de ser más fácil de recordar, el nombre es más fiable. La dirección numérica podría cambiar por muchas razones, sin que tenga que cambiar el nombre.

La delincuencia organizada está utilizando esta nueva técnica para hacer creer al usuario que está conectado a la página de su banco, cuando la realidad es otra, de esta manera logran acceder a las claves de las tarjetas de crédito o debito después de varios intentos fallidos por parte del usuario al tratar de hacer sus transacciones diarias.

Recomendaciones de Seguridad:

Por su seguridad, es importante que al ingresar a la página de su banco tome en cuenta las siguientes recomendaciones:

· Una forma sencilla de validar que se encuentra en la pagina de su banco es ingresando a la información de cualquier producto y que se muestre correctamente; en los sitios falsos se muestra una página de error.

· No instale software desconocido o de procedencia dudosa en tu PC.

· Actualice de manera frecuente su software antivirus.

· Elimine inmediatamente todos aquellos correos de dudosa procedencia.

· Nunca ingrese a ligas enviadas por un correo electrónico si éste no es conocido, no está personalizado con su nombre y con el nombre de la persona que lo envía.

Referencias:

[1] Pharming
http://www.belt.es/noticias/2005/abril/01/pahrming.htm

[2] Para mayor información
http://www.symantec.com/es/mx/norton/cybercrime/pharming.jsp

Autor: Roiman Valbuena

Seguridad, asignatura pendiente de las pymes españolas

Symantec presenta un estudio que pone de manifiesto el grado de preparación de las pequeñas y medianas empresas en materia de seguridad.

Por Rosalía Arroyo [11-09-2008]

El estudio de Symantec, basado en una encuesta realizada a 874 empresas europeas y 105 españolas no ha revelado ninguna sorpresa puesto que los resultados demuestran que la mayoría, a pesar de conocer las amenazas más comunes y haber sufrido ataques el año pasado con resultado de pérdida de datos, no tienen herramientas para la recuperación de los datos ni cuentan con un director de TI especializado.

La mayoría sitúan al dinero y a la falta de tiempo y de conocimientos como las principales barreras en materia de seguridad.

John Brigdem, vicepresidente senior de Symantec, y Carlos Muñoz, director de venta de Symatec, han sido los encargados de presentar los resultados del estudio ofreciendo datos de las pymes europeas y españolas respectivamente.

Ambos expertos en seguridad han coincido en afirmar que aunque los programas antivirus y firewalls “son los recursos de seguridad básicos, no son suficientes para garantizar la protección adecuada y por tanto, la continuidad del negocio”.

Los datos del estudio muestran un mayor conocimiento de las amenazas más comunes, con un 85 por ciento de los encuestados europeos afirmándolo frente al 63 por ciento de los europeos. La brecha es diferente en lo que se refiere a las amenazas más recientes (botnets, pharming, whaling o minorring), no teniendo conocimiento de ellas un 58 por ciento en el caso de las pymes europeas y un 33 por ciento de las españolas.

Similar es el porcentaje de pymes que no cuentan, uno de cada tres, con un sistema para copias de seguridad y recuperación de datos. La mayor parte de los encuestados (45 por ciento) dicen actualizar los sistemas de seguridad en sus organizaciones diariamente.

Los efectos de la falta de seguridad se dejaron notar el año pasado pues casi una cuarta parte de las pymes europeas sufrieron ataques el año pasado, en España el porcentaje fue de una quinta parte. La mayoría de las pymes españolas ha coincidido en que como consecuencia a dichos ataques sus organizaciones sufrieron caídas del sistema (85 por ciento) y Pérdidas de Información (50 por ciento).

El principal obstáculo a la hora de implementar una política de seguridad en las pymes es el dinero (un 19 por ciento en España y un 22 por ciento en Europa), además de la falta de tiempo y de conocimientos.

Fuente: www.venunet.es

McAffe reinventa la seguridad informática

La compañía anuncia una nueva tecnología que redefine la forma en que los ordenadores se enfrentan a virus, gusanos, troyanos y otros programas maliciosos.

Por Rosalía Arroyo [09-09-2008]

McAfee Artemis Technology utiliza un nuevo servicio de Internet desarrollado por McAfee Avert Labs para proporcionar una protección activa e inmediata cuando un ordenador es atacado por un código informático malicioso y sin necesidad de instalar en el equipo las tradicionales actualizaciones.

Los creadores de malware están desarrollando técnicas cada vez más sofisticadas y centradas, en 8 de cada diez veces, en el lucro económico. El FBI estima que el coste medio de cada ataque es de 1.200 dólares en el caso de los consumidores y más de 350.000 dólares en el caso de las empresas.

Tradicionalmente, la detección de malware se ha fundamentado en bases de datos de amenazas existentes en el ordenador del usuario. Este enfoque necesita que la base de datos de amenazas en cada ordenador se actualice con nuevas firmas para cada nueva amenaza detectada. El resultado conlleva un retraso desde que la amenaza es identificada hasta que la protección se activa en todos los ordenadores.

McAfee Artemis elimina virtualmente la brecha en la protección, proporcionando una rápida reacción ante las amenazas cuya firma aún tiene que ser publicada. Cuando se detecta un archivo sospechoso en un ordenador protegido por una solución McAfee con Artemis, esta tecnología se conecta a los servidores de McAfee en tiempo real para determinar si el archivo es malicioso o no. Una comprobación que, según McAfee ocurre en cuestión de segundos y sin consecuencias para el usuario.

McAfee Artemis está disponible sin cargo como parte de McAfee Total Protection Service para la pequeña y mediana empresa. También estará disponible a lo largo de este mes para McAfee VirusScan Enterprise. Así mismo, McAfee Artemis estará disponible en los productos de consumo, donde la funcionalidad se denomina “Active Protection”.

Fuente: http://www.vnunet.es/

Emergencia: Ataque masivo a cuentas de Hotmail

04-09-2008

Se acaba de detectar un ataque masivo donde se utilizan varios servidores web fraudulentos que simulan ser el portal de correo electrónico Hotmail.

http://guesstbookhotmail.blogger.ba/

http://onlinemessenger.blogger.ba/

http://guesstbookhotmail.blogger.ba/

http://hotmailive.blogger.ba/

http://onmessenger.extra.hu/

Haga la prueba copie y pegue cualquiera de estos en el URL de su navegador y observará que aparece una Web muy parecida a la vieja versión de Hotmail, posterior a ello, las personas incautas procederán a colocar su usuario y clave. Que a la final nunca le van a dar acceso a su correo.

Esto es lo que se conoce en seguridad informática como pishing, que no es más que el tratar de duplicar una página Web y con ello obtener datos de sus cuentas.

¿Por qué lo hacen?

El principal objetivo de esto es poder acceder a sus claves, que por lo general son las mismas que se utilizan para las tarjetas de crédito, para otros correos, porque hay encuestas recientes que afirman que más del 50% de las personas utilizan la misma clave para todo.

http://www.technow.com.ar/?notid=60

Pude hacer la prueba con el primer link, prueben ustedes si quieren pero con una clave errada, y al introducirla enseguida se cierra.

Procedí a realizar un tracert (un seguimiento de la ubicación del sitio donde esta alojada esta página Web), la dirección IP resultante fué: 67.228.135.98, una dirección clase A, a primera vista cualquiera que sepa algo sobre direccionamiento sabe que estas direcciones estan asignadas a estados unidos.

Luego de hacer una busqueda exaustiva encontré que la empresa que está estafando se encuentra en el estado de Texas, especificamente en la ciudad de Dallas.

Y se llama SoftLayer Technologies Inc. Ojo a primera vista si se examina la dirección el sitio hace referencia a un blog, esto podría excluir de delitos a la empresa, pero ¿porque la misma no ha tomado cartas en el asunto y cerrado el sitio antes de qu les llegue la gente de la NSA (National Security Agency)?, Me parece muy raro, si van a probar haganlo hoy, para mañana debiese estar cerrado, recuerden poner User Name y Password falsos.

Los pasos para llegar a esta conclusion se publicará con más detalle en el sitio:

http://seguridaddigitalvenezuela.blogspot.com/

A partir de hoy (Viernes 5 de Sept. de 2008) en horas de la noche.. Saludos a todos....

La amenaza invisible de la tecnología Botnet

INTRODUCCIÓN: El tema al cual se hace referencia en el presente artículo versa sobre muchos de los aspectos a considerar en el desarrollo de la tecnología botnet, cómo trabajan, breve descripción de su evolución, casos y sentencias penales reales. Al final se hace una evaluación de las leyes internacionales con respecto a la seguridad de los datos y se exponen algunos criterios del porqué esta tecnología se ha desarrollado tanto, prácticamente sólo conseguimos defendernos de ella, pero no hay vestigios de que podamos derrotarla.

AUTOR: Ing. Roiman Valbuena
Universidad Rafael Belloso Chacín, Maracaibo. Venezuela
http://www.urbe.edu/
Universidad del Zulia, Maracaibo. Venezuela

Universidad Nacional Experimental de la Fuerza Armada. UNEFA.
http://www.luz.edu.ve/
roybscomputers@yahoo.com
roybscomputers@hotmail.com

La amenaza invisible de la tecnología Botnet.

A lo largo del 2006, en diversas conferencias sobre técnicas de seguridad se discutieron las últimas "killer Web app", o aplicaciones Web. Y nos preguntaremos ¿pero que son estas cosas?, bueno, en definitivo, en la ingeniería software se denomina aplicación Web a aquellas aplicaciones que los usuarios pueden utilizar accediendo a un servidor Web a través de Internet o de una intranet mediante un navegador.

En el mismo orden de ideas, es una aplicación software que se codifica en un lenguaje soportado por los navegadores Web (HTML, JavaScript, Java, etc.) en la que se confía la ejecución al navegador. En el caso de las killer Web App, utilizan este navegador para detener ciertas aplicaciones que le sean adversas al creador del malware, y en su mayoría se basan en programas o software (pero podrían ser algo más) que son tremendamente exitosos.

Dicho de otra manera, es cualquier programa que ejecuta una solicitud en un computador, en la generalidad de los casos solicitudes manejadas remotamente, y que están diseñados para detener aplicaciones específicas, siendo su principal objetivo el software antivirus o los firewall [1]. Pero entonces nos preguntamos, ¿existen tales cosas?

Sí, existen, pero son pocas y dispersas. Todos los días, cientos si no miles de programadores, innovadores, empresarios, inventores y charlatanes trabajar duro para crear la próxima killer app.

Lamentablemente, esta tecnología Web, trabaja para los chicos malos, con financiamiento de la delincuencia organizada y los señores del spam [2], una generación de talentosos hackers sin moral que han creado un devastador arsenal de mortales juguetes, en forma de botnets.

Norman Elton y Matt Keel del William & Mary College [3], en 2005 en la presentación de su ponencia; Who Owns Your Network?, ¿Quién es el propietario de su red?" Redes llamadas Botnets, expresaron que estas son: "la mayor amenaza que enfrenta la humanidad."

Esto puede ser una exageración, pero las redes botnets son sin duda la mayor amenaza con la que la comunidad de Internet se ha enfrentado.

John Canavan [4], en su artículo titulado “The Evolution of Malicious IRC Bots”, enuncia que las botnets son "La más peligrosa y extendida amenaza viral Win32" Y concuerda mucho con la portada de la revista eWEEK de 16 de octubre de 2006, "Perdiendo la guerra botnet” [5].

El artículo de Ryan Naraine [6] titulado"¿Está la batalla botnet ya perdida?” [6], Describe el estado actual del medio ambiente de las botnet.

Las botnets son la clave central de los anillos de la delincuencia organizada en todo el mundo, pasan del robo de ancho de banda de redes zombies a ganar dinero infame de la actividad delincuencial en la Internet.

Un vendedor (en ebay.com de tecnología botnet y ataques de DDoS) dijo [7], que la calidad de su producto depende de la calidad de sus fuentes de inteligencia y, a continuación, pasó a decir que no podían suministrar ninguna información que pudiese responder por la calidad de sus fuentes de inteligencia. Siendo estas fuentes de inteligencia, los propios encargados de la seguridad dentro de las empresas que compran sus productos. Pero las botnets también pueden causar daños no intencionados [8].

A ver si nos entendemos, las redes botnet son el mayor peligro con los que se ha enfrentado la comunidad de Internet, como se dijo en párrafos anteriores, pero hay empresas que están desarrollando tecnologías para organizaciones delictivas [9], por el simple hecho de que es más productivo venderle a un delincuente, que venderle a un usuario particular, pero mejor que todo ello es, venderles a ambos.

Estas empresas tienen un negocio bien redondo, por un lado hacen creer a sus clientes que les están vendiendo lo último para protegerse, y al delincuente le transfieren las vulnerabilidades que previamente fueron dejadas intencionalmente abiertas por ellos mismos, a la final si no se comprueba que hubo delito en la venta, el cliente incauto volverá a comprar más Tecnología a la misma empresa que previamente los estafó, y el ciclo nefasto se repetirá.

Defendiéndonos de las Botnets

Nuestras primeras armas contra las botnets deben consistir en eliminar el servidor bot, esta estrategia se conoce como "Eliminar la cabeza de la serpiente." Artículos recientes sobre el estado de la seguridad de las redes han lamentado el descubrimiento de que no estamos luchando contra una serpiente, sino por el contrario, un dragón de muchas cabezas, tal como en el Apocalipsis [10].

Se ha hablado mucho de la pérdida de esta arma por la prensa. En varios artículos se ha expresado que profesionales de la seguridad están admitiendo que esta batalla se está perdiendo [5]. En la guerra real, los generales deben dar batalla al enemigo, y no menos importante, deben luchar contra la pérdida de la moral. Muchos de los profesionales de la seguridad, que fueron pioneros en la lucha contra botnets, se han desmoralizado por la toma de conciencia de que el Mando y Control (C & C) del servidor ya no es tan eficaz como lo era antes.

Imagine como el primer ejército invasor que ha tropezado con un castillo debió sentirse. Imagine la reacción del propietario del castillo cunado se inventó la torre de asedio, o catapulta. Después de los años siguientes a la presentación de estas armas, el castillo pudo haber cambiado de diseño. Una sola pared que rodeaba el castillo se convirtió en una serie de torres. El castillo de forma rectangular, dio paso a formas irregulares destinadas a desviar en lugar de detener las armas del enemigo. La pérdida de una de las principales armas no significa la pérdida de la guerra a menos que el general permita que la moral se disuelva, y no evoluciona para satisfacer el nuevo entorno.

Como trabaja el Asesino Web App..?

¿Cómo hacer de una botnet un "killer app Web?" El software que crea y gestiona una botnet hace que esta amenaza sea mucho mayor que la anterior generación de código malicioso. No se trata simplemente de un virus, sino que es un virus de virus, o para simplificar un “Megavirus”.

Una botnet es modular y un módulo explota las vulnerabilidades que encuentran para hacerse con el control sobre su destino. A continuación, se descarga otro módulo que protege al anterior, este es un nuevo robot que se encarga de detener el software antivirus y firewalls, el tercer módulo puede comenzar el escaneo de otros sistemas vulnerables [11].

Una botnet es adaptable, puede ser diseñado para descargar diferentes módulos, que a su vez explotan cosas específicas que encuentra en una víctima.

Por otro lado, nuevos xploits se pueden añadir tal cual son descubiertos. Ellos hacen el trabajo del antivirus mucho más complejo.

Encontrar un componente de una botnet no implica el carácter de cualquiera de los otros componentes debido a que el primer componente puede elegir para su descarga desde cualquier número de módulos para llevar a cabo la funcionalidad de cada una de las fases del ciclo de vida de una botnet.

Así mismo también arroja dudas sobre la capacidad de un software antivirus al afirmar que un sistema está limpio, cuando encuentra limpio uno de los múltiples componentes de un bot. Pero no es capaz de limpiarlos todos.

Debido a que cada componente se descarga cuando es necesario después de la infección inicial, las posibilidades de un sistema para obtener un xploit cero días es mayor.

Hay que hacer notar que si usted se encuentra administrando la seguridad del servidor de una empresa, esta tomando el riesgo de poner un bot de nuevo en circulación si los esfuerzos para limpiar el código malicioso no son exhaustivos. En lugar de tomar ese riesgo, muchos departamentos de TI optan por volver a la imagen de un sistema conocido como imagen limpia, y créanme, esa no es la solución.

En efecto, los ataques botnet son directos. Es decir, el hacker puede orientar su ataque a una empresa o un sector de la misma. Aunque las botnets pueden ser aleatorias, también pueden ser personalizadas para un determinado conjunto de posibles anfitriones.

El botherder (el bot principal) puede configurar los bot clientes para limitar el direccionamiento IP de un conjunto predefinido de sus anfitriones. Con esta capacidad de orientación viene la capacidad de personalizar los ataques al mercado.

La capacidad de adaptación de los ataques de botnets es realmente buena. El bot cliente puede comprobar la acogida de los nuevos infectados, y de allí comenzará a hacer las solicitudes para explotar el sistema.

Cuando se determina que el anfitrión es propietario de un cliente, por ejemplo, una cuenta e-gold, el cliente puede descargar un componente que llevará en sus hombros durante las próximas conexiones a esa cuenta e-gold que el mismo realizará.

Lo más importante, si bien el titular de acogida está conectado a su cuenta e-gold, en el trasfondo se explotan los fondos de la cuenta mediante la presentación de una transferencia electrónica.

En un informe de amenazas de Internet (Septiembre 2006) [12], publicado por Symantec, el mismo afirma que durante los seis meses del período comprendido entre enero y junio de 2006, Symantec observó 57,717 redes bot activas por día. Symantec también observó que más de 4,5 millones de distintas redes de ordenadores podrían ser posibles redes bots de computadores, próximas a activarse.

Todo esto contrasta con un artículo publicado por este mismo autor en http://seguridaddigitalvenezuela.blogspot.com/2008/08/ms-fraudes-online-en-el-primer-semetres.html , y obtenido de http://blog.s21sec.com, que hace referencia al aumento de los fraudes online durante el primer semestre del 2008. Si bien se están haciendo grandes esfuerzos en controlar la expansión de las botnets, la realidad es que estamos muy lejos de eso.

Y podríamos perder la guerra si no tomamos conciencia de ello y nos preparamos para contraatacar.

Evolución de las redes botnets: Diferentes Arquitecturas

La historia de las redes-zombi empezó en los años 1998-1999, cuando aparecieron los primeros programas que actuaban como Backdoor, así tenemos al conocido NetBus y BackOrifice 2000, a los puede llamar “pruebas de concepto”, es decir, programas en los que se usaban soluciones tecnológicas nuevas.

NetBus y BackOrifice 2000 fueron los primeros en tener una serie de funciones para el control a distancia del ordenador infectado, lo que permitía a los malhechores trabajar con los archivos en un ordenador a distancia y poner en funcionamiento nuevos programas, realizar capturas de pantalla, abrir y cerrar el dispositivo CD, etc.

Después, a alguno de los malhechores se le ocurrió hacer que las máquinas infectadas por los backdoors se conectaran por sí mismas y entonces se las podía ver siempre en línea (la única condición era que estuvieran encendidas y funcionando). Lo más seguro es que haya sido idea de algún hacker, ya que los programas zombi (bots) de la última generación usaban el canal de conexión que tradicionalmente usan los hackers – IRC (Internet Relay Chat).

La botnet Pretty Park:

En mayo de 1999, fue descubierto Pretty Park, un bot cliente escrito en Delphi, de acuerdo con "The Evolution of Malicious IRC Bots", escrito por John Canavan de Symantec [4]. Este bot ya manejaba varias funciones y conceptos muy comunes en los robots de hoy, algunos son:

· La capacidad para recuperar el nombre del ordenador, versión del sistema operativo, información de los usuarios, y el sistema básico de información.
· La capacidad para buscar y recuperar las direcciones de correo electrónico y nombres de acceso ICQ
· La capacidad para recuperar los nombres de usuario, contraseñas, y dial-up de configuración de red
· La capacidad de auto-actualizarse
· La capacidad de carga / descarga de archivos
· La capacidad para poner en marcha una serie de ataques de DoS

SubSeven Trojan/Bot

En Junio, 1999, la versión 2.1 del troyano SubSeven fue liberada [13]. Esta versión fue significativa, ya que permitía que un servidor SubSeven pudiese ser controlado a distancia por un bot conectado a un IRC servidor.

Esto creó las condiciones para todos los botnets maliciosos que estaban por venir. SubSeven es un control remoto Trojan, también escrito en Delphi, promocionado por su autor como una herramienta de administración remota.

Su conjunto de herramientas, sin embargo, incluye herramientas que un verdadero administrador podría no usar, como la capacidad para robar contraseñas, registro de las pulsaciones de teclado, y ocultar su identidad. SubSeven dio control total a los bots operadores sobre los sistemas infectados.

GT Bot

Global Threat (GT), es una botnet cliente basada en mIRC [14], apareció en 2000. Fue escrito por Sony, MSG, y DeadKode. mIRC es un paquete software de IRC. mIRC tiene dos características importantes para la construcción de una botnet: Puede ejecutar scripts en respuesta a los acontecimientos en el servidor IRC, y soporta conexiones TCP y UDP.
Gt Bot posee las siguientes características:

· Escaneo de puertos en busca de formas de acceso
· Flooding: para conducir ataques de DDoS
· Cloning: la clonación es cualquier conexión a un servidor IRC, por encima de la primera conexión.
· BNC (Bounce): es un método de anonimato Bot para el acceso de los clientes a un servidor.

Hoy en día, todas las variantes de la tecnología bot que se basan en mIRC, se dice que son miembros de la familia GT Bot. Estos bot clientes no incluyen un mecanismo de propagación propia directamente. En lugar de ello, se utilizan variaciones en tácticas de ingeniería social.

SDBot

A principios del 2002, apareció sdbot. Fue escrito por un programador ruso conocido como sd. Sdbot representó un paso importante en la cadena evolutiva de estos robots. Fue escrito en C++, posterior a ello el autor libera el código fuente y lo publica en una página Web, además de eso provee su email y su ICQ para información de contacto. Esto lo hizo accesible a muchos hackers y se hizo mucho más fácil de modificar y mantener.
Como resultado de esto, subsecuentes bots clientes incluían códigos o conceptos de sdbot. SdBot generaba un pequeño archivo binario de sólo 40kb. La mayor característica de la familia sdbot, fue la inclusión del uso de control remoto para backdoors. Varios años después, algunas de sus variantes todavía siguen causando daños [15].

Los siguientes backdoors son explotados por sdbot:
· Optix backdoor (puerto 3140)
· Bagle backdoor (puerto 2745)
· Kuang backdoor (puerto 17300)
· Mydoom backdoor (puerto 3127)
· NetDevil backdoor (puerto 903)
· SubSeven backdoor (puerto 27347)

En caso de que un exploit logre ser exitoso, el gusano crea y ejecuta un script que descarga sdbot en la nueva víctima y lo ejecuta. Una vez ejecutado, la nueva víctima es infectada. Ahora bien, Tengamos en cuenta que muchos de estos ataques se siguen utilizando hoy día, sobre todo el de la fuerza bruta, y el tratar de adivinar las contraseñas con ataques dirigidos a los puertos 139, 445, y 1433.

La mayor amenaza proviene de las fallas en las legislaciones internacionales.

El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha establecido la necesidad de regulación por parte del derecho.

En nuestro caso Venezuela, existe la “Ley Especial Contra los Delitos Informáticos” [16], de fecha 30 de Octubre de 2001, la cual sólo contiene 33 artículos (deja por cierto una brecha muy grande para la impunidad de los hackers) estableciendo una prisión máxima de 2 a 6 años cuando se cometan delitos tipificados en ella. Pero en esta delincuencia se trata con especialistas capaces de efectuar el crimen y borrar toda huella de los hechos, resultando, muchas veces, imposible de deducir cómo se realizó dicho delito.

La Informática reúne características que la convierten en un medio idóneo para la comisión de nuevos tipos de delitos que en gran parte del mundo ni siquiera han podido ser catalogados.

La legislación sobre sistemas informáticos debería perseguir acercarse lo más posible a los distintos medios de protección ya existentes, pero creando una nueva regulación basada en los aspectos del objeto a proteger: la información.

En este punto debe hacerse énfasis y anotar lo siguiente:

*No es la computadora la que atenta contra el hombre, es el hombre el que encontró una nueva herramienta, quizás la más poderosa hasta el momento, para delinquir.
*No es la computadora la que afecta nuestra vida privada, sino el aprovechamiento que hacen ciertos individuos de los datos que ellas contienen.
*La humanidad no está frente al peligro de la informática sino frente a individuos sin escrúpulos con aspiraciones de obtener el poder que significa el conocimiento.
*Por eso la amenaza futura será directamente proporcional a los adelantos de las tecnologías informáticas.

Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y, todo lo contrario, lograr una protección global desde los distintos sectores para alcanzar cierta eficiencia en la defensa de estos sistemas informáticos.

Leyes Penales en Estados Unidos:

El derecho penal en Estados Unidos de Norteamérica conforma el fundamento para las investigaciones de delitos por computadoras llevadas a cabo por las autoridades federales (principalmente el FBI y el Servicio Secreto). Mientras que el 18 US Code 1030 es el decreto o ley principal contra los delitos computacionales [17].

Abuso y Fraude por Computadora: la sección a-) de la ley define el delito como el acceso intencional a una computadora sin la autorización para hacerlo. Por cierto que esta misma ley deja entrever que no se prohíbe específicamente obtener acceso a una computadora si el daño que se le hace no excede los 5.000 dólares. Sí así como está pensando, un intruso puede obtener acceso a las computadoras que quiera siempre que los daños que cause no sobrepasen esta suma (Eric Maiwald, 2003).

Fraude con Tarjetas de Crédito: El (18 US Code 1029), esta ley considera un delito apoderarse de 15 o más tarjetas de crédito falsificadas. Un ataque a un sistema de cómputo que permite que el intruso obtenga acceso a una gran cantidad de números de tarjetas de crédito para lo cual no tiene acceso autorizado es una violación a esta ley. Podría entenderse que cualquiera que se apodere de 10 tarjetas de crédito falsificadas no estaría cometiendo delito alguno, según esta ley.

Intercepción (18 Code 2511): El 18 US Code 2511 es una ley contra la intervención de las comunicaciones: Esta ley prohíbe la intercepción de llamadas telefónicas y otros tipos de comunicación electrónica, y evita que los agentes de la ley hagan uso de la intervención sin una orden judicial. No obstante, un intruso en un sistema de cómputo que coloca un “rastreador” en el sistema, probablemente este violando esta ley.

La lectura de esta ley también puede indicar que ciertos tipos de seguimientos realizados por las organizaciones puedan ser ilegales. Por ejemplo, si una organización coloca equipo de seguimiento o monitoreo en su red para examinar el correo electrónico o para vigilar los intentos de intrusión, ¿Constituye esto una violación a esta Ley?
Brasil: Tiene identificados dos delitos: la introducción de datos falsos en el sistema de información y la modificación o alteración no autorizadas de un sistema de información. Ambos están dirigidos a los empleados de organizaciones que hacen mal uso de su acceso para cometer un delito [17].

India: La manipulación de sistemas computacionales ajenos (“hacking”) con un sistema de cómputo esta tipificado como un delito en la India.
Para ser culpable de este delito un individuo debe estar involucrado en la destrucción, eliminación o alteración de información en un sistema de cómputo de manera que reduzca su valor. El individuo también debe haber hecho el intento de causar daño, o debe saber que probablemente se iba a provocar un daño.

República Popular de China: El decreto número 147 del Consejo Estatal de la República Popular de China, del 18 de febrero de 1994, define dos delitos computacionales. El primero es la introducción deliberada de un virus de computadora en un sistema de cómputo. El segundo es la venta de productos especiales de protección de seguridad de computadoras sin permiso [17].

Conclusión: De la evaluación de estas leyes, y por todo lo anteriormente planteado surge la incógnita, ¿Cómo combatir el delito informático en este mundo globalizado, cuando lo que es delito en un país no lo es en otro?

¿cómo unificar criterios y hacer frente a las nuevas formas de fraudes informáticos cuando son las mismas empresas que generan y diseñan estas tecnologías las más sospechosas?

Indudablemente estamos ante amenazas de proporciones bíblicas, si se logra cerrar un agujero digital inmediatamente se abre uno más, y más complejo que su predecesor.

Este artículo se redactó con el fin de hacer referencia a la amenaza invisible que representa la tecnología botnet, y créanme, no hay nada más peligroso que luchar contra algo que no se ve.

REFERENCIAS:

Aparece también publicado en: http://foro.hackhispano.com/showthread.php?t=31617

[1] Virus para detener Antivirus y Firewalls
http://www.enciclopediavirus.com/virus/vervirus.php?id=3762

[2] Arrestados tres controladores de botnets
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=822
[3] Ponencia: Who Owns Your Network?
http://www.osc.edu/oarnet/oartech/meeting_min/it_william_mary.ppt
[4] Autor de varios libros de Seguridad en redes
Fundamentals of Network Security John E. Canavan, 319 pages, Boston, London: Artech House 2001, ISBN 1-58053-176-8
[4] John E. Canavan
http://www.symantec.com/avcenter/reference/the.evolution.of.malicious.irc.bots.pdf
[5] Artículo: Loosing the botnet war
http://www.securitypronews.com/news/securitynews/spn-45-20061024LosingTheBotnetWar.html
[6] Artículos escritos por: Ryan Naraine
http://www.eweek.com/cp/bio/Ryan-Naraine/
[6] Artículo: Está la batalla botnet ya perdida?
http://www.eweek.com/c/a/Security/Is-the-Botnet-Battle-Already-Lost/
[7] Anthony Scott Clark encontrado culpable de vender su tecnología
http://www.usdoj.gov/criminal/cybercrime/clarkPlea.htm
[7] Cae el supuesto cabecilla de catastrófica red zombi
http://www.viruslist.com/sp/news?id=208274109
[8] Caso Christopher Maxwell
http://www.usdoj.gov/criminal/cybercrime/maxwellPlea.htm
[9] Caso Napster
http://www.usdoj.gov/criminal/cybercrime/napsterbr.htm
[10] White Papers Killing Botnets McAfee
http://whitepapers.silicon.com/0,39024759,60285515p,00.htm
[11] Para más información sobre el funcionamiento léase el artículo de Cristian Borghello: “Botnets, redes organizadas para el crimen“
http://www.eset-la.com/threat-center/1573-botnets-redes-organizadas-crimen
[12] Informe de Amenazas de Internet Symantec 2006
http://www.symantec.com/es/es/business/library/article.jsp?aid=latest_threat_findings
[13] Versión nueva del troyano Subseven
http://www.vsantivirus.com/sub722.htm
[14] programa para IRC Internet Relay Chat
http://www.mirces.com/
[15] "sdbot.apa"
http://www.laflecha.net/canales/seguridad/noticias/200503183
[16] Ley Especial contra delitos informáticos en Venezuela
http://www.tsj.gov.ve/legislacion/ledi.htm
[17]
Maiwald, Eric. Fundamentos de seguridad de redes. Segunda Edición. México, D.F. McGraw Hill. 2005. 473 p. ISBN: 9701046242.

Diez millones de zombies enviando malware

Un informe realizado por Commtouch y PandaLabs durante el segundo trimestre del año detecta un incremento de los ordenadores zombie en todo el mundo.

Botnet

Los ordenadores zombies son máquinas infectadas por “bots” y controladas remotamente por el ciberdelincuente. ‘Bot es el diminutivo de la palabra robot. Son pequeños programas que son introducidos en los ordenadores con la intención de permitir al ciberdelincuente tomar el control remoto de los mismos. Las redes de bots o ‘Botnets’, son grupos de ordenadores infectados por bots unidos para actuar de manera conjunta.

El ciberdelincuente da instrucciones a esos ordenadores para, por ejemplo, descargar una nueva amenaza en el equipo, mostrar publicidad al usuario, lanzar ataques de denegación de servicio o, sobre todo, el envío de spam.

El informe realizado por Commtouch y PandaLabs muestra que durante el segundo trimestre del año Turquía se ha convertido en el país con mayor número de ordenadores zombie del mundo, con un once por ciento del total, seguido de cerca por Brasil, con un 8,4 por ciento y Rusia con un 7,4 por ciento. Estados Unidos, que en el primer trimestre contaban con un cinco por ciento del total de zombies, ha caído hasta la novena plaza, representando sólo el 4,3 por ciento del total.

Este gran número de “zombies” continúa siendo el principal causante de la avalancha de spam vivida por usuarios y empresas; y es que entre abril y junio el 74 por ciento del correo recibido en los buzones de correo era spam.

Luis Corrons, director técnico de PandaLabs ha hecho referencia al estudio de Nucleus Research, una consultora independiente, que ha cifrado en 712 dólares el coste por cada empleado que tras recibir un e-mail lo eliminaba inmediatamente, sin ni siquiera abrirlo.

Fuente:

http://www.vnunet.es/es/report/2008/08/19/diez_millones_de_zombies_enviando_malware_

Botnets, redes organizadas para el crimen

Explicación sobre el funcionamiento de las botnets o redes zombies y de qué forma son utilizadas para ganar dinero por los creadores de malware.

Autor: Cristian Borghello, Technical & Educational Manager de Eset para Latinoamérica.

El poder de Skynet (la súper computadora de la película Terminator) en el dedo de un terrorista digital. Si quisiéramos exagerar (o quizá no) y ponernos paranoicos al extremo, quizás esa sería la forma de pensar este artículo. ¿Puede una sola persona dominar el poder necesario para hacer caer sitios y redes completas con sólo un clic?

Por otro lado, si se piensa que se envían 100 millones de mensajes de correo al día es sencillo adivinar por qué hay tanta basura virtual dando vueltas.

Y ya que comenzamos con los números, por qué no decir que el 80% (o más) del correo actual es considerado spam y el 80% (o más) del mismo es generado por los mismos usuarios que lo reciben.

¿Cómo? Según algunos expertos [1], los usuarios generamos el poder computacional distribuido suficiente para controlar el 25% de Internet con un clic y además generar el tráfico de spam del que nos quejamos.

¿Cómo? La respuesta es sencilla y sólo requiere de una palabra: botnets. Para no reinventar definiciones ya establecidas según la Wikipedia [2], un zombi es, originalmente, una figura legendaria propia de las regiones donde se practica el culto vudú. Es un muerto resucitado por medios mágicos por un hechicero para convertirlo en su esclavo. Por extensión, ha pasado a la literatura fantástica como sinónimo de muerto viviente y al lenguaje común para designar en sentido figurado a quien hace las cosas mecánicamente como si estuviera privado de voluntad.

Si se toma la última parte de la definición estaremos entrando de lleno en nuestro informe.

Un bot (proveniente de robot) es un programa informático cuya función fundamental es realizar tareas, generalmente repetitivas y automáticas, simulando al ser humano.

Son utilizados por aplicaciones y sistemas tan dispares como pueden ser los canales de Chat, automatización de instalaciones, la misma enciclopedia Wikipedia, juegos en línea, programas de administración remota y tantas otras aplicaciones. Dependiendo del contexto de uso, su nombre puede variar (bot, borg, crpg) pero el concepto de realización de tareas automáticas se mantiene.

El poder de la distribución

SETI@home [3] es un experimento científico de la Universidad de Berkeley que utiliza ordenadores conectados a Internet para la búsqueda de inteligencia extraterrestre. Cualquier usuario puede participar en forma voluntaria instalando un programa en su equipo y “donando” tiempo ocioso del mismo para el cálculo de datos recibidos de los distintos radiotelescopios internacionales.

En forma similar BOINC [4] es un proyecto científico para crear una red distribuida con distintos objetivos benéficos y distributed.net [5] es un proyecto destinado a probar la fortaleza de distintos algoritmos de cifrado actuales.

El poder del cómputo distribuido [6] radica en que pueden utilizarse sistemas heterogéneos (Win*, *nix, BSD, Mac, etc) para atacar problemas complejos que no pueden resolverse en las supercomputadoras actuales en un tiempo razonable.

Sin ir más lejos, este es el principio de las redes P2P [7] en donde no existen servidores, sino que todos los clientes (nodos) tienen el mismo nivel de privilegio dentro de la red. Además, este tipo de cómputo permite que los sistemas sean escalables (la cantidad de nodos es, en teoría, ilimitada) y tolerantes a fallos (si uno de los nodos falla el mismo puede ser inmediatamente reemplazado por otro).

Tal y como distributed.net mismo dice, el poder del cómputo distribuido les ha permitido “llegar a ser el equivalente a más de 160.000 computadoras PII 266 MHz trabajando 24 horas al día, 7 días a la semana, 365 días al año”.

Pero, ¿cuál es el problema complejo a resolver en este caso? Como se menciona al comienzo, el envío de spam y el ataque combinado a sitios webs, generalmente conocido como DDoS [8].

Origen de las botnets

Cuando el negocio del spam y los problemas asociados, como la distribución de malware y phishing, lograron alcanzar niveles de rentabilidad suficiente para los cyber-delicuentes actuales, los mismos tenían un problema importante entre manos.

Los servidores vulnerables secuestrados hasta el momento y aquellos que se descubrían a diario, ya no eran suficientes para los objetivos de estas personas. El problema entonces, radicaba en lograr la distribución de más correos para llegar a más usuarios y así maximizar sus ganancias. La solución llegó de la mano del poder de cómputo distribuido.

Pero, ¿cómo aprovechar el equipo del usuario para que él mismo “done” su sistema con fines delictivos? La solución, al igual que en los casos mencionados SETI y otros proyectos, es instalar un cliente en el equipo del usuario para que el mismo funcione de nexo con el malhechor. La forma de instalar estos programas clientes es crear troyanos/gusanos que infecten al usuario, haciendo que su equipo interactúe en la red que se forma y sin que el usuario se entere de lo sucedido. Así, el equipo infectado se acaba de convertir en un zombi o robot haciendo cosas mecánicamente como si estuviera privado de voluntad.

El conjunto de equipos (usuarios) infectados trabajando en red recibe el nombre de botnet.

Funcionamiento

Como bien indica el gráfico, el primer objetivo es distribuir el malware suficiente para lograr la mayor cantidad de equipos infectados con el troyano -cliente que conecta a los usuarios con el/los botmaster/s responsable/s de la botnet-.

Esta distribución por supuesto se realiza mediante mensajes masivos como los que se pudo ver a mediados de enero y por la cual muchos usuarios son engañados [10]. Títulos como “la muerte de Fidel”, “muertos en una tormenta que arrasa Europa”, “Saddam Hussein vive” lamentablemente llaman suficientemente la atención como para que miles de equipos sean infectados y comiencen a servir de base para nuevas olas de ataques.

Una vez que la red ha sido convenientemente armada (con 10 o miles de equipos), el botmaster (responsable) de la misma puede decidir con total libertad, remotamente y en cualquier parte del mundo qué hacer con la misma pudiendo, por ejemplo:

• Enviar spam

• Realizar ataques de denegación de servicio distribuido

• Construir servidores para alojar software warez, cracks, seriales, etc

• Construir servidores web para alojar material pornográfico y pedofílico

• Construir servidores web para ataques de phishing

• Redes privadas de intercambio de material ilegal

• Sniffing de tráfico web para robo de datos confidenciales

• Distribución e instalación de nuevo malware

• Abuso de publicidad online como adsense

• Manipulación de juegos online

El control de la red puede llevarse a cabo de diversas maneras: puede controlarse la red totalmente o en forma segmentada por canales de IRC, depender de DNS gratuitos que aseguran su movimiento permanente, cifrar el canal para evitar su rastreo, identificación o intromisiones de otras personas ajenas a la red.

La forma más común de llevar este paso es obtener el control de uno o varios servidores IRC para enviar las ordenes de los demás nodos de la red. Este servidor denominado Comando y Control (C&C) es el punto más débil de la red, ya que si el mismo es identificado puede darse de baja, aislando al botmaster de su red.

Para solventar este problema, se han implementado redes P2P que permiten al botmaster cambiar de servidor a gusto, que el rastreo se dificulta e incluso, si la red es descubierta, la misma no podrá ser destruida en su totalidad por la alta redundancia de nodos. Estas redes aún se encuentran en un estadío de estudio y perfeccionamiento, por lo cual aún no son masivamente utilizadas, pero que sin duda marcan el futuro de las botnets.Existen estadísticas en las que puede verse la gran utilización del puerto 6667 comúnmente utilizado para controlar a SDBot, uno de los malware más antiguos (junto a Agobot, Spybot y GTBot) destinado a construir botnets.

Esto demuestra el amplio uso de estas redes y cómo las mismas pueden impactar en el uso globalizado de Internet.

También se ve otra evolución: debido al filtro del protocolo IRC implementado por las organizaciones, el envío de comandos de control se realiza por medio de HTTP o IM (mensajería instantánea), el cual generalmente no es filtrado debido al uso de Internet en esas empresas.

Si se analiza cualquiera del malware actual para la construcción de botnets puede encontrarse comandos como los siguientes [11]:

-mac.login log in del usuario

-ftp.execute actualización del bot a través de dirección ftp...

-http.execute actualización del bot a través de dirección htt

-prsl.logoff log out del usuario

-rsl.shutdown apagar el equipo

-rsl.reboot reiniciar el -equipo

-pctrl.kill terminar un proceso...

-ddos.httpflood ataque de denegación de servicios

-ddos.synflood ataque de denegación de servicios...

-harvest.emailshttp obtiene lista de correos vía htt

-pharvest.emails obtiene lista de correos

Como puede verse la lista de commandos involucra desde el login del botmaster, hasta el apagado del equipo, ataques DDoS, la actualización del bot, el envio de spam o cuanta actividad el creador del bot pueda imaginar.

El dinero (millones) en la red

Una vez que la red está perfectamente construida y controlada, sólo basta alquilarla o venderla al mejor postor. La persona que adquiera el “servicio” podrá utilizar la red para las actividades que desee y que ya se enumeraron.

A modo de ejemplo, un spammer podrá alquilar la red para enviar sus correos, una organización podría realizar publicidad en forma masiva, una empresa podría atacar a su competidor y sacar sus servicios web del aire, un pedófilo podría distribuir su material anónimamente…

Como es fácil adivinar, toda la red de delincuentes involucrados se beneficia de esta red:
• El creador de malware vende su “producto/servicio” al creador de la botnet

• El botmaster alquila/vende la red

• El spammer distribuye más correo con publicidad

• Las empresas venden los productos publicitados

• Cualquiera de ellos distribuye más malware infectando más equipos y retroalimentando el sistema

Otro aspecto que entrega una idea clara de la forma en que estas redes son controladas es observando el tráfico de correos electrónicos generados por los proveedores internacionales [13]. Puede observarse a Telefonica, Telecom, BellSouth y Fibertel en los primeros 50 puestos lo que indica a las claras que gran parte del correo enviado es generado desde los hogares de los usuarios gracias a la utilización de equipos zombies.

Un problema global creado por problemas individuales.

El poder de una red distribuida es proporcional a la cantidad de usuarios conectados a la red y al poder individual que aporte cada nodo.

Así, como se menciona al comienzo del presente, los responsables del spam existente terminamos siendo los usuarios por falta de medidas de prevención adecuadas, que ayudarían a mitigar, en gran escala, este problema mundial de abuso de recursos ajenos.

Las redes descubiertas por los investigadores [14] no hacen más que confirmar el número alarmante que están alcanzando estas redes y sus objetivos delictivos.

La pregunta ¿en qué puede afectar que mi equipo sea infectado? pasó a ser fundamental, porque aquel usuario aislado, que sólo tenía acceso a sus recursos particulares y que no interactuaba con sus pares, está desapareciendo a favor de usuarios altamente conectados que interactúan en forma permanente con otros sistemas y que, como puede verse, es capaz de afectarlos directamente al formar parte de una botnet.

Por eso es fundamental tomar conciencia de este problema, que es global y depende de la educación (de la buena educación) de todos nosotros hacia nuestros pares. La protección y el uso responsable pasaron a ser una parte importante de un sistema informático.

Referencias:

[1] Criminals 'may overwhelm the web'http://news.bbc.co.uk/1/hi/business/6298641.stm

[2] Zombiehttp://es.wikipedia.org/wiki/Zombie

[3] Sitio de SETI@homehttp://setiathome.berkeley.edu/index.php

4] BOINC (Berkeley Open Infrastructure for Network Computing)http://boinc.berkeley.edu/[5] Sitio de Distributed.nethttp://distributed.net/

[6] Computación distribuidahttp://es.wikipedia.org/wiki/Computación_distribuida

[7] Redes P2P (Peer to Peer – Redes de Pares)http://es.wikipedia.org/wiki/P2p

[8] DDOS (Distributed Denial Of Service Attack - Ataque de Denegación de Servicio Distribuido)http://es.wikipedia.org/wiki/DDoS http://es.wikipedia.org/wiki/DoS

[9] Botnetshttp://es.wikipedia.org/wiki/Botnet http://es.wikipedia.org/wiki/Botnet http://es.wikipedia.org/wiki/Bot http://es.wikipedia.org/wiki/Borg

[10] El troyano “tormenta”http://www.hispasec.com/unaaldia/3012/mediatico-troyano-tormenta-las-lecciones-aprend

[11] Comandos utilizados en botnetshttp://www.lurhq.com/research_threat.html

[12] Proyecto malware de UNAM-CERT (Universidad Nacional Autónoma de México-Equipo de Respuesta a Incidentes de Seguridad en Cómputo)http://www.malware.unam.mx/ver_reportes2.dsc?idcatalogo=2

[13] Envío de correos por distintos proveedoreshttp://www.senderbase.org/search?page=domains

[14] Estudio de botneshttp://news.netcraft.com/archives/2004/09/08/botnet_with_10000_machines_shut_downhttp://www.technewsworld.com/story/48174.htmlhttp://www.honeynet.org/papers/bots/ http://www.cs.wisc.edu/~vinod/botnets.pdf

Más fraudes online en el primer semetres del 2008 que en todo el 2007

Hace tiempo que terminó la época en la que muchos ataques eran fruto de la curiosidad y de demostrar la valía de ciertos adolescentes.

Hoy existen bandas de crimen organizado que utilizan todos los recursos y tecnologías presentes en Internet para garantizar su anonimato. Así lo refleja el último informe de fraude online publicado ayer por S21sec.

Durante la primera mitad de 2008, la unidad S21sec e-crime detectó y solucionó un total de 1.842 casos de phishing, troyanos, redirectores y otras actividades calificadas de fraude online, 198 más que en todo 2007.

Como se podrá ver esta cifra resulta muy superior a la alcanzada en años anteriores y, la tendencia es la misma de cara a estos últimos meses del año.

El phishing continúa siendo una de las principales preocupaciones ya que supuso el 60% del total de casos en 2008, pero durante este periodo se ha incrementado el número de troyanos detectados llegando a representar un 37% de los casos.

Junio fue el mes en el que más ataques de phishing se registraron de la historia (423), esperemos que esta cifra no siga en aumento pero no podemos predecir nada.

El país de procedencia del mayor número de ataques sigue siendo Estados Unidos y el tiempo medio de cierre de sitios fraudulentos fue de 1,6 días. En el informe se puede encontrar información y estadísticas muy interesantes respecto a la evolución y tendencias del fraude online. Les animo a descargarlo y a profundizar en su lectura.

Maria Asín

Fuente:

http://blog.s21sec.com

Cambie el logotipo del sistema por una imagen personalizada.

Modificar la pantalla de arranque de Windows.

[ 20-08-2008 ]

Cuando iniciamos el ordenador aparece por defecto una imagen con el típico logotipo de Microsoft Windows, que con el tiempo puede llegar a cansar. Para dotar a nuestro equipo de una apariencia más profesional o simplemente personalizar esta presentación es posible modificar esta imagen de inicio a nuestro gusto.

Bootskin es una aplicación que además de ser gratuita es fácil de utilizar. Con ella se puede modificar la imagen de arranque sin que Windows 2000 o XP corra ningún peligro. Este programa funciona dando una vía alternativa al arranque, es decir, no manipula archivos del sistema sino que lo que hace es agregar una línea más para que el sistema cargue el nuevo arranque.

El uso de esta herramienta de personalización es relativamente sencillo, puesto que lo único que hay que hacer es elegir un nuevo bootskin (imagen de arranque) y cambiarlo a través del programa. Bootskin dispone de cinco temas diferentes para configurar, con la posibilidad de usar un sistema aleatorio con el fín de que el propio programa elija por nosotros.

Para mayor variedad a través de Wincustomize es posible acceder a multitud de arranques ya preconfigurados e incluso poner nuestra propia imagen almacenada en el equipo o creada para la ocasión. Pruebe esta herramienta y adelantese a Windows 7, el sucesor de Vista.

Descarguelo gratis desde:

http://www.stardock.com/products/bootskin/

Fuente: http://www.vnunet.es/

Wireless Security

Si estás realizando algún proyecto de investigación sobre seguridad inalámbrica, te recomiendo ampliamente este libro, relata con increible detalle los temas más relevantes acerca de la seguridad en WLan. En el podrás encontrar desde la creación de políticas de seguridad empresarial para un uso racional del espectro inalámbrico en la organización, pasando por la descripción de los 10 principales riesgos y amenazas inalámbricas actuales, hasta la evolución de los sistemas de telefonía celular, CDMA2000, GPRS, GSM, 1xEV-DO, todo desde el punto de vista de la seguridad.

Publicado por: Roiman Valbuena

Hackeando redes WLAN_Parte_I

Como la próxima generación de TI en red, el protocolo inalámbrico 802,11 LAN, representa también las nuevas zonas de juegos para los hackers. La técnicas y algoritmos efectivos de cifrado para autenticación de seguridad en redes LAN inalámbricas aún están en desarrollo, pero los hackers ya poseen herramientas fáciles de utilizar, con las que pueden lanzar ataques cada vez más sofisticados, que ponen su activos de información en situación de riesgo.

Este artículo desea exponer cómo los hackers están explotando las vulnerabilidades 802,11 en redes LAN inalámbricas, y la amplia gama de herramientas de las que disponen. La información aquí presentada es una recopilación de los ya publicados riesgos para redes LAN inalámbricas.

Con el presente artículo también se quiere informar a los administradores de la seguridad informática, a qué se enfrentan, y cómo defenderse. Con el fin de asegurar de manera eficaz sus redes LAN inalámbricas, las empresas deben primero conocer los posibles peligros.

¿Qué está en riesgo?

Las redes Lan inalámbricas encaran todos los problemas de seguridad de presentan las redes de cable, además de los nuevos riesgos que se vislumbran por el medio inalámbrico que conecta a las estaciones y los puntos de acceso a la red cableada.

Uno de los problemas más grandes que presentan las redes Lan inalámbricas es la falta de un método de encriptado robusto y rápido, como todos sabemos las redes inalámbricas utilizan el aire como medio de dispersión de su señal, al utilizar este medio la velocidad de propagación es la misma que la velocidad de la luz en el vacío. Por las Lan inalámbricas podemos transmitir señales de datos, video y sonido, sin olvidar todo el contenido multimedia disponible en Internet en la actualidad.

Para la ejecución de un video por red inalámbrica se necesitan muchos recursos electrónicos, el principal de ellos es un DSP (Digital Signal Processing), o procesador digital de señales, que hace su máximo esfuerzo por lograr una latencia aceptable con calidad de video de tercera generación. Pero si se le añaden a este microcontrolador los algoritmos de encriptación y desencriptación necesarios para garantizar la confidencialidad, integridad y disponibilidad de los datos inalámbricos, su latencia aumentaría y con ello bajaría su QoS.

No quiero ser pesimista en el tema, pero estoy de acuerdo con “Guillaume Lehembre”, que escribe para la publicación Polaca Hakin9, y quien asegura que el problema de seguridad inalámbrica que tenemos hoy en día es producto del fracaso en la arquitectura del protocolo 802.11X y no de los sistemas de encriptación.

Un caso práctico de ello lo representa WEP (Wired Equivalent Privacy) el cual fue el primer protocolo de encriptación introducido en el pri­mer estándar IEEE 802.11 allá por 1999. Está basado en el algoritmo de encriptación RC4, con una clave secreta de 40 o 104 bits, combi­nada con un Vector de Inicialización (IV) de 24 bits para encriptar el mensaje, y que resultó un total fracaso.

Configuraciones de red inseguras:

Muchas organizaciones quieren asegurar sus redes LAN inalámbricas con redes privadas virtuales y, a continuación, erróneamente creen que la red es a prueba de balas. Si bien se necesita una gran sofisticación hacker para romper una VPN, una VPN puede ser como una puerta de hierro en una choza de hierba, si la red no está bien configurada. ¿Por qué un ladrón trataría de romper el bloqueo de la puerta de hierro si podía atravesar fácilmente las paredes delgadas de la cabaña?

La inseguridad en las configuraciones representa un problema importante. Los ajustes predeterminados que incluyen las contraseñas por defecto, un broadcast abierto de SSID, debilidad o no cifrado, y la falta de autenticación puede abrir un punto de acceso a ser una puerta de enlace a la red mayor. Configurado adecuadamente los puntos de acceso puede ser reconfigurado por los empleados que buscan una mayor operabilidad o con frecuencia, se busca restablecer la configuración predeterminada para obtener un aumento de potencia después de un fallo del sistema.

Espionaje:

Dado que la comunicación inalámbrica emite más ondas de radio, los espías que se limitan a escuchar las señales pueden fácilmente recoger los mensajes sin cifrar.

Además, los mensajes cifrados con la Wired Equivalent Privacy (WEP) pueden ser fácilmente descifrados con un poco de tiempo, y hay herramientas de hacking ampliamente disponibles. Estos intrusos pueden poner en peligro a las empresas de exponer a información sensible para espionaje corporativo.

Robo de Identidad:

El robo de identidad de un usuario autorizado plantea una de las mayores amenazas. El Service Set Identifiers (SSID) que actúacomo contraseña original y las direcciones de control de acceso al medio (MAC), que actúan como números de identificación personal comúnmente utilizados para verificar que los clientes son los autorizados a conectarse con su access point. Y debido a que las técnicas de cifrado y las normas no son infalibles, los intrusos pueden brillantemente desde afuera lograr ser autorizado con SSID y direcciones MAC para conectarse a una red inalámbrica LAN como un usuario autorizado con la capacidad de ancho de banda para robar, corromper o descargar archivos, y causar estragos en toda la red.

Evolución de los ataques:

Más ataques sofisticados, como el de denegación de servicio y Man-in-the-Middle ataques, pueden apagar las redes y comprometer la seguridad de las redes privadas virtuales inalámbricas. En próximos artículos se entrará en mayores detalles y la descripción de la forma en que estos ataques se producen: Nuevos Ataques en redes WLAN.

Aquí les dejo una serie de vínculos desde donde podrán bajar diferentes herramientas para el crackeado de redes WLan, tienen desde sencillos programas que permiten desautenticar usuarios, hasta programas que sirven de sondas y buscan redes inalámbricas para proceder a romper su SSID. También tienen programas que transforman una simple estación de trabajo en un access point y son capaces de redirigir sus señales a la máquina señuelo.

NetStumbler: http://www.netstumbler.com/

Kismet: http://www.kismetwireless.net/

Wellenreiter: http://packetstormsecurity.nl/

THC-RUT: http://www.thehackerschoice.com/

Ethereal: http://www.ethereal.com/

HostAP: http://hostap.epitest.fi/

AirSnort: http://airsnort.shmoo.com/

WEPCrack: http://sourceforge.net/projects/wepcrack/

Escrito por: Ing. Roiman Valbuena

Seguridad en redes Vlan

Todo buen administrador de redes sabe que seguramente el próximo ataque a sus sistemas provenga de su red. Por malicia o desconocimiento, los usuarios que se encuentran del lado interno tienen mucho más poder destructivo que los externos y eso es así gracias a los administradores confiados.

Hoy en día la gran mayoría de administradores ya tiene esto en cuenta y los usuarios internos están más controlados, aunque sea a nivel de aplicación. Como este blog nace con la idea de ayudar a los que menos experiencia tienen, vamos a explicar un poco por encima lo que podemos hacer para no dejar andar a nuestros usuarios a su antojo por toda nuestra red.

Vamos a empezar por marcarnos un objetivo: Evitar que usuarios no autorizados (llamémosles NA) accedan a máquinas con datos confidenciales (digamos SERVIDOR). Lo típico ¿no?
Una vez tenemos claro el objetivo, vamos a radicalizar nuestra postura y bloquearemos todo acceso del grupo de usuarios NA a SERVIDOR. ¿Cómo? Vamos a tirar por la solución ideal.

1) Lo ideal si nuestra electrónica de red lo permite: Separarlos en 2 VLAN's distintas. Pongamos a NA en la VLAN "Usuarios" (ID 10) y a SERVIDOR en la VLAN "Servidores" (ID 20).
Acabamos de cortar todo acceso entre los puntos de red de los usuarios y los de los servidores. Asegurémonos de no dejar puertos libres en el switch configurados en la VLAN "Servidores", de forma que nadie pueda pinchar una máquina ahí y tardemos en darnos cuenta de la intrusión.

2) Vamos a colocar un firewall dentro de nuestra red:
La idea es tratar la VLAN de usuarios como "zona peligrosa" y la VLAN de servidores como "zona a proteger". Pincharemos el firewall en nuestro switch de la siguiente manera:
El puerto "externo" pinchado en la VLAN de usuarios y el puerto "interno" en la VLAN de servidores.

Una vez pinchado el firewall vamos a ponerle una IP interna, otra IP externa y configuraremos las rutas para que las máquinas de ambas VLAN's puedan intercambiar información. Acto seguido bloquearemos todo el tráfico entre las dos interfaces (VLAN 10 y 20).

3) Ahora toca establecer una tabla donde veamos de un vistazo rápido que máquinas de la VLAN de usuarios necesitan alcanzar ciertos recursos de la VLAN de servidores (y que recursos son estos). Con esta tabla trabajaremos en las políticas del firewall para filtrar todo el tráfico por listas de acceso.

A este nivel tendríamos una seguridad bastante decente para nuestra red interna. Ahora es el turno de los sysadmin para poner un nivel de más de seguridad mediante cuentas de usuario (lo que nos permite discriminar quien accede a qué, independientemente de que máquina use).

Incluso podríamos colaborar con el departamento de sistemas, y que nuestro firewall autorizara el paso a ciertos recursos después de consultar usuario y contraseña contra un servidor RADIUS... O de validar los usuarios remotos (que vengan por una VPN) también contra el RADIUS de los chicos de sistemas.

Fuente: http://www.seguridadinformatica.es/

Colaborador.

CISSP (Profesional de Seguridad Certificado en Sistemas de Información)

¿En qué consiste la certificación CISSP?

Como la primera credencial acreditada por ANSI con ISO 17024:2003 en el campo de la seguridad de la información, la acreditación CISSP (Profesional de Seguridad Certificado en Sistemas de Información) les proporciona a los profesionales de la seguridad de la información no sólo una medida objetiva de competencia sino un estándar de logro reconocido globalmente.

¿Qué conocimientos certifica?

La credencial CISSP es ideal para directores de medio y alto nivel quienes buscan conseguir o mantener sus posiciones como CISOs, CSOs o Ingenieros directivos de Seguridad.
La credencial de CISSP demuestra competencias en los 10 dominios del (ISC) CISSP® CBK®, los cuales son:

· Control de acceso

· Seguridad de aplicación

· Continuidad de negocio y planeación de recuperación de desastres

· Criptografía

· Seguridad de la información y manejo de riesgos

· Jurídico, regulaciones, cumplimiento e investigaciones

· Seguridad de las operaciones

· Seguridad física (del entorno)

· Arquitectura y diseño de seguridad

· Seguridad de las redes y telecomunicaciones

¿Cómo se puede obtener la certificación?

Para ser certificado inicialmente como un CISSP, un candidato debe:
· Tener mínimo de cinco años de experiencia laboral como director de seguridad de tiempo completo en dos o más de los diez dominios de la (ISC)² CISSP® CBK®.
· Pasar el examen con una puntaje de 700 o más.
· Enviar el formulario de aprobación diligenciado apropiada y completamente
· Aceptar el Código de Ética del (ISC)².

¿Qué validez internacional tiene la certificación?

La certificación CISSP® es reconocida y respetada por la industria tecnológica a nivel mundial. El reconocimiento e importancia de la credencial continúa creciendo y sirve como una calificación de excelencia en toda la industria. La CISSP es la primera credencial internacional IT en convertirse en acreditada por ANSI bajo el ISO/IEC 17024.

¿Qué tiempo de validez tiene la certificación?

La credencia de CISSP tiene un ciclo de certificación de 3 años. Para renovar la certificación es necesario: ganar el número mínimo de créditos de Educación Continua Profesional (CPE) requeridos en cada ciclo de tres años o volver a presentar el examen de certificación, pagar la cuota de mantenimiento y acatar el Código de Ética del (ISC)².

Pagina Web: https://www.isc2.org/

Certificaciones en Seguridad Informática (ISSAP)

¿En qué consiste la certificación ISSAP?

Para un profesional certificado en seguridad de sistemas de información, la credencial de arquitecto profesional en seguridad de sistemas de información (conocido como ISSAP por sus siglas en inglés) demuestra que tiene la capacidad y la base común de conocimientos (en inglés CBK o Common Body of Knowledge), para definir requerimientos rigurosos en la arquitectura de seguridad de la información.

¿QUÉ conocimientos CERTIFICA?

Los dominios principales de la base común de conocimientos para aplicar en la definición de la arquitectura de seguridad de sistemas de información cubiertos por la certificación ISSAP, son:

· Metodología y sistemas de control de acceso: detallar los requerimientos críticos para establecer restricciones de control de acceso adecuadas y efectivas en una organización. Control de acceso que protege: sistemas, datos, infraestructura física y personal, con el propósito de mantener su integridad, disponibilidad y confidencialidad.

· Seguridad en redes y telecomunicaciones: trata los problemas de seguridad relacionados con el papel crítico que juegan las telecomunicaciones y redes en los entornos de computación distribuida actuales. El profesional de seguridad comprende los riesgos de las comunicaciones en cuanto a datos, voz y multimedia.

· Criptografía: el profesional de seguridad requiere comprender las metodologías de criptografía y su uso para proteger el almacenamiento de los datos de una organización y las comunicaciones de las vulnerabilidades y el mal uso.

· Análisis de requerimientos, estándares de seguridad, patrones y criterios: proporciona atención y agilidad sobre las directrices de los estándares, el conocimiento de amenazas y la identificación de los riesgos y de los valores de datos.

· Tecnología relacionada con el plan de continuidad de negocio (en inglés BCP o Business Continuity Planning) y el plan de recuperación de desastres (en inglés DRP o Disaster Recovery Planning): involucra la identificación de eventos adversos que podrían amenazar la continuidad de las operaciones normales del negocio. Luego de identificar las amenazas, el profesional de seguridad implementará controles para reducir el riesgo en caso que un incidente ocurra nuevamente.

· Integración de seguridad física: reconoce la importancia de la seguridad física y el control de persona en un modelo completo de seguridad de los sistemas de información.

El nivel de conocimientos y experiencia en seguridad que se requiere para aplicar a esta certificación es avanzado.

Pagina Web: https://www.isc2.org/

Encriptado de conversaciones con Messenger

Una forma de mejorar la seguridad en las charlas con el popular programa de mensajería instantánea.

[ 19-08-2008 ]

Nunca se sabe donde puede aparecer un hacker o una aplicación espía que se haga con nuestros datos personales. Al iniciar el programa de mensajería Windows Live Messenger ya se nos avisa de que “Nunca revele sus contraseñas o números de tarjetas de crédito en una conversación de mensajes instantáneos".

Para evitar que esto ocurra mientras se mantiene una charla y obtener mayor protección, una buena alternativa es encriptar la información. Una opción para hacerlo es el PGP, un sistema de encriptación por llave que sirve para que nadie salvo uno mismo y el destinatario puedan leer los mensajes codificados.

Además, este sistema puede usarse para verificar la autenticidad del emisor, es decir, saber que la otra persona es quien escribe en realidad y no nos están llegando palabras a la pantalla “creadas” por virus o malware.

SPYSHIELD es un accesorio para Messenger compatible con PGP (de momento sólo con la versión 6.5, no con las nuevas).

El funcionamiento es muy sencillo, cada usuario tiene dos llaves: una pública y otra privada. La pública es la que distribuye a la gente y sirve para que ellos puedan enviarle un mensaje codificado que solo él, mediante su llave privada, podrá descifrar.

Igualmente puede servir para firmar un mensaje poniendo una parte de su llave privada (irreconocible claro) en una firma.

Esto es como un certificado de autenticidad, ya que al recibir el mensaje el PGP comprueba la firma y texto y lo compara con la llave pública que tenemos del remitente dando un error si se ha cambiado algo en el texto o la firma no corresponde a la persona que nos envía el mensaje.

Vaya a este link y baje un demo del software Spyshield

http://spyshield.org/scan.html

Publicado por: Roiman Valbuena.

Fuente: http://www.vnunet.es/

Análisis de Amenazas

Si estas realizando algún proyecto de protección a infraestructuras criticas, te recomiendo el capítulo VI de este libro:

Protegiendo infraestructuras criticas: Procesos de control y SCADA.

Detalla paso a paso los procedimientos a seguir, y se realizan entrevistas sobre pruebas de penetración en sistemas de redes SCADA.

Si... esto pasa...

Cosas de Manolo.....

Cree un virus en sólo 3 pasos....

Si deseas aprender a hacer virus sigue los pasos indicados en este link, próximamente haremos virus un poco más complejos.

http://www.youtube.com/watch?v=tm_w79W-ppg&feature=related

Ojo: los conocimientos difundidos en este Blog son sólo y únicamente de caracter educativo, en el esquema entendido como Hackeo ético, y es porque para aprender a defendernos debemos saber también cómo piensa el que nos ataca.

Autor: Roiman Valbuena.

Notas sobre Ciberterrorismo I

El ciberterrorismo quizás sea uno de los términos más malentendidos y malempleados en la era de la información. En términos generales, el ciberterrorismo es la ejecución de un ataque sorpresa por parte de un grupo (o persona) terrorista extranjero o subnacional con objetivo político utilizando tecnología informática e Internet para paralizar o desactivar las infraestructuras electrónicas y físicas de una nación, provocando de este modo la pérdida de servicios críticos, como energía eléctrica, sistemas de emergencia telefónica, sistemas bancarios, Internet y muchos otros (Dan Verton, 2004).

La orden ejecutiva 13010, firmada por el presidente Clinton en 1996, definía ocho infraestructuras críticas cuyos servicios eran tan vitales que su incapacidad o destrucción, tendría un impacto devastador en la defensa o en la seguridad económica de los Estados Unidos, o cualquier país que fuese víctima potencial de este tipo de ataques (Incluyendo Venezuela).

Todas estas infraestructuras dependen de computadoras y/o redes informáticas, incluyendo la Internet pública, para su funcionamiento continuo y su gestión diaria. Además muchas infraestructuras no pueden funcionar bajo condiciones de apagones prolongados o fallos en otras infraestructuras. A continuación se las enumero:

* Energía Eléctrica
* Producción, almacenamiento y suministro de gas y petróleo.
* Telecomunicaciones
* Bancos y Finanzas
* Sistemas de suministro de agua.
* Transporte.
* Servicios de emergencia.
* Operaciones gubernamentales.

Véase el siguiente artículo:

Robert Flaim: “El próximo ataque terrorista podría ser cibernético”

http://images.google.co.ve/imgres?imgurl=http://www.funglode.org/v-mundial-di/images/computador2.jpg&imgrefurl=http://www.funglode.org/v-mundial-di/noticias/07ocubre05terrorismo.htm&h=166&w=200&sz=15&hl=es&start=3&tbnid=3yBL75ufk_qdqM:&tbnh=86&tbnw=104&prev=/images%3Fq%3Dciberterrorismo%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DN


Imaginémonos por un momento que nos quedamos sin electricidad en Maracaibo por un mes, si no se ponga las manos en la cabeza y no se ría, un mes. El caos total.. ¿Verdad?. Ahora sumémosle a eso que sin electricidad no hay bancos (o bueno si los hay pero estarán cerrados), si usted no tiene dinero no podrá comprar comida, las bombas que nos surten de agua dejarán de funcionar, los semáforos estarán apagados y por consiguiente las bombas de gasolina.

Tranquilos, no se asusten, esto es sólo un juego imaginativo, todos sabemos que a los maracuchos sólo los afecta la Kriptonita y las balas de plata, y la falta de plata también. Pero vayan a este link y analicen un poco esta realidad, desde el punto de vista de los expertos mundiales.

http://www.youtube.com/watch?v=h4a_QIwbRjE
Publicado por: Roiman Valbuena
Fuente: Black Ice, La Amenaza Invisible del Ciberterrorismo
Auto Dan Verton