¿Qué es una Firma Electrónica?

Todo sobre la firma electrónica y la factura telemática para su empresa.

Por: Jordi Albareda, de Tradise, para COELCO.

Aspectos básicos de la firma electrónica.

El objetivo básico de la firma electrónica es aportar al mundo de los documentos electrónicos la misma funcionalidad que aporta la firma manuscrita a un documento impreso, es decir, identificar al autor del mismo y, en el caso de documentos compartidos entre diferentes entidades o personas, fijar el contenido del documento mediante el cruce de copias firmadas por todas las partes implicadas.

A diferencia de las prácticas que nos son habituales en el mundo físico, como por ejemplo, concertar una reunión para firmar las copias, la firma electrónica debe además satisfacer la necesidad de firmar un documento por parte de personas que pueden encontrarse a miles de kilómetros y que realizarán la firma sin coincidir en el tiempo.

Los retos que debe atender la firma electrónica son garantizar la identidad del firmante y garantizar que el documento no ha sido modificado tras ser firmado. El concepto de identidad debe ser complementado con el de no repudio que describiremos con detalle más adelante.

Para garantizar la identidad del firmante se emplea la tecnología de par de claves vinculada a los datos identificativos del titular del certificado. De este modo, cuando se firma un documento se emplea un número único que sólo pertenece al firmante. El receptor del documento verifica la firma con la parte pública de la clave, de este modo, si el proceso de validación es positivo, debe concluirse que el firmante del documento es el titular del certificado.

La integridad del documento no se refiere al hecho de validar el contenido, sino de garantizar que el documento no ha sido modificado tras su firma. Para garantizar esto no es necesario que un tercero custodie una copia del documento sino que se realiza generando un código único del documento a partir de su estructura interna en el momento de ser firmado. Cualquier alteración del contenido del documento provocará que al aplicar de nuevo la función de generación de código único sea imposible reproducir el original, por tanto, quedará rota la integridad del contenido.

Hemos comentado anteriormente que la firma electrónica avanzada demandaba la propiedad de no repudio, que jurídicamente implica que el firmante no pueda negar haber firmado. Entre otros, los elementos que garantizan el no repudio son los siguientes:

a. La clave privada vinculada al certificado y que confiere unicidad a los documentos firmados sólo esté en posesión del firmante desde el mismo momento de generar dichas claves y vincularlas a sus datos identificativos.

b. El certificado y los dispositivos de firma empleados deben basarse en tecnologías y procesos seguros que eviten el uso o sustracción de la clave por parte de terceros y que se encuentren homologados por la Autoridad de Certificación emisora del certificado empleado.

c. Que el certificado esté activo en el momento de ser empleado. Esto equivale al estado de las tarjetas de crédito que también pueden ser revocadas por el interesado y caducar con el tiempo.

d. Que los receptores de documentos firmados dispongan de un instrumento de verificación seguro que no permita suplantar identidades del firmante o de la Autoridad de Certificación que realiza la validación.

En este artículo nos hemos centrado en los conceptos básicos de la firma electrónica, sin embargo, sin olvidar estos, lo que realmente determina que un sistema de firma electrónica sea empleado con éxito es que los aspectos de seguridad se combinen con ventajas ciertas para el usuario y el cuidado de los aspectos funcionales para evitar costes innecesarios e incidencias. En futuros artículos se comentarán con detalle este tipo de cuestiones.

Evolución de la firma electrónica en la empresa

La aprobación de la segunda ley de firma electrónica en España y el establecimiento de un nuevo marco fiscal para la factura telemática han reabierto el debate sobre las ventajas y retos que plantea el uso de documentos electrónicos como soporte definitivo de las relaciones entre empresas y también entre éstas y los ciudadanos con la administración.

Sobre el papel, las ventajas son evidentes, pero si de algo ha servido la experiencia acumulada hasta la fecha es para tomar conciencia de que hace falta algo más que una normativa para que las empresas y los ciudadanos utilicen la firma electrónica y se beneficien al hacerlo.

Las Autoridades de Certificación deben prestar servicios más orientados a la realidad de las empresas. Si desean permanecer en el mercado deberán ofrecer sus certificados en dispositivos económicos y que puedan ser empleados en cualquier ordenador sin necesidad de realizar instalaciones y sin renunciar a la máxima seguridad.

Adicionalmente, deben complementar el proceso de emisión de certificados con servicios de validación en origen para que el receptor de un documento firmado electrónicamente no deba incrementar la complejidad y coste de sus procesos administrativos.

En este escenario la evolución que realizaron los sistemas de tarjetas de crédito, validando las transacciones en origen, resulta suficientemente ejemplarizante.

Los profesionales dedicados a prestar servicios de asesoramiento a las PYMES y autónomos, entre los que destacan los gestores administrativos y empresas proveedoras de soluciones informáticas, deberán asumir la responsabilidad de atender las necesidades de estos colectivos a la hora de activar y emplear soluciones de firma electrónica ya que se combinan los aspectos fiscales y legales con las necesidades tecnológicas.

En el ámbito de las empresas tecnológicas será necesario un esfuerzo para que sus equipos de desarrollo se formen en el uso integrado de la firma electrónica en sus aplicaciones comerciales con el objeto de evitar costosos proyectos personalizados al cliente final que difuminan las ventajas y ahorros de la firma electrónica.

No se puede pretender que el empresario centrado en su día a día procese toda la información sobre los aspectos fiscales, legales, funcionales y tecnológicos y desarrolle una solución asumiendo la inversión, dedicación y riesgos que esto supone.

El nuevo marco fiscal sobre la factura telemática potenciará sin duda la información e interés sobre el uso de la firma electrónica, pero los perfiles profesionales más cercanos a la empresa deben analizar las posibles líneas de servicio que, facilitando la labor al usuario final, les permitan generar una nueva línea de negocio.

La factura telemática en la PYME

La factura telemática es el primer documento mercantil de uso masivo que se beneficiará de la definición de un marco fiscal y legal sobre su desmaterialización.

Gracias al reconocimiento de la firma electrónica avanzada como un instrumento capaz de acreditar la identidad del emisor y la integridad, es decir, no modificación posterior, del documento firmado, actualmente es posible emitir y recibir facturas únicamente en soporte electrónico.

Durante los últimos meses se ha escrito mucho sobre las ventajas y ahorros de la factura telemática para las empresas, sin embargo, para que su implantación no sea un generador de coste e incidencias tanto técnicas como administrativas, deben contemplarse los siguientes factores:

Disponibilidad de soluciones que garanticen el ahorro inmediato.

La premisa básica de la factura telemática es el ahorro de costes y el incremento de la eficacia. Para que este objetivo sea cierto en todos los perfiles de empresa, deben emplearse soluciones que garanticen dicho ahorro desde la primera factura emitida o recibida y sin requerir inversiones iniciales. Actualmente existen soluciones que permiten incluso contratar el servicio de emisión con todas las garantías legales y fiscales para emisor y receptor mediante el envío de un mensaje SMS.

Uso de soluciones integradas en las aplicaciones de gestión.

El usuario final, y más teniendo en cuenta la proporción de PYMES de nuestro país, debe encontrar las soluciones de factura telemática integradas en su aplicación de gestión, contemplando así un modelo que integre los aspectos fiscales, funcionales y tecnológicos. Alternativamente, podrán emplearse soluciones de edición de facturas interoperables que permitan el pago por uso, garantizando el ahorro desde la primera factura.

Uso de estándares internacionales.

Para que la factura telemática aporte ventajas tanto en origen como en destino resulta imprescindible que el documento con los datos de la factura se base en estándares internacionales, de este modo, el sistema de gestión del receptor podrá automatizar el proceso de introducción de los datos en su sistema de información y beneficiarse de la recepción de facturas en formato electrónico más allá del ahorro en el almacenamiento.

Uso de modelos de firma intervenida.

El uso de la factura como un documento justificativo de deducción fiscal recae en el receptor de la misma, por tanto, éstos se inclinarán por soluciones que permitan la emisión de factura previa comprobación del estado del certificado, de este modo, se garantiza la validez de la firma electrónica vinculada al documento.

Modelos asimétricos emisor-receptor. El nuevo marco fiscal establecido para la factura telemática permite que el receptor del documento pueda beneficiarse de las ventajas que aporta sin necesidad de realizar ninguna inversión.

Del mismo modo, en el caso de que sea el cliente quien desea recibir la factura pueden plantearse escenarios gratuitos para el pequeño proveedor que no puede asumir la inversión. Esta capacidad de focalizar el proyecto únicamente en una de las partes implicadas, emisor o receptor según sea el perfil de la empresa motivada por la obtención de ahorro, permite garantizar el éxito de la factura telemática tanto en la gran empresa como en la PYME e incluso en cliente residencial.

Recursos de formación y difusión positiva. Resulta obvio que todas las partes implicadas, autoridades de certificación, empresas titulares de aplicaciones de gestión, perfiles profesionales responsables de asesorar fiscalmente a las empresas,… deberán potenciar el desarrollo y difusión de recursos informativos y formativos que faciliten una decisión acertada por parte de las empresas interesadas en emitir o recibir factura telemática.

Publicado por: Roiman Valbuena.


Documento Original:

http://www.microsoft.com/spain/empresas/tecnologia/firma_electronica.mspx?gclid=CILI9qeT-ZgCFR8hnAodU0zNlg

Keylogger Inalámbrico

A continuación se les presenta la definición que asigna Wikipedia a lo que es un keylogger. Léanlo con detenimiento y al final presionen el link para que observen el funcionamiento real de un keylogger inalámbrico, e imaginense lo que puede pasar si estamos en el MSN con nuestra portátil…

Un keylogger (registrador de teclas) es una herramienta de diagnóstico utilizada en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet.

El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario lo revisa) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos).

Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón.

Sin embargo, la aplicaciones más nuevas también registran pantallazos que anulan la seguridad de esta medida.Cabe decir que esto podría ser falso ya que los eventos de mensajes del teclado deben ser enviados al programa externo para que se escriba el texto, por lo que cualquier keylogger podría registrar el texto escrito mediante un teclado virtual.

El registro de las pulsaciones del teclado se puede alcanzar por medio de hardware y de software:
Keylogger por hardware, son dispositivos disponibles en el mercado que vienen con adaptadores en línea que se intercalan en la conexión del teclado, tienen la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser eventualmente inadvertidos se detectan fácilmente con una revisión visual detallada.

Dispositivos que se pueden instalar dentro de los teclados estándares, requiere de habilidad para soldar y de tener acceso al teclado que se modificará. No son detectables a menos que se abra el cuerpo del teclado. Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a menos que se les busque específicamente.

Keylogger por software. Contrariamente a las creencias comunes, un keylogger por software es simple de escribir, con un conocimiento de trabajo de C o de C++ y un conocimiento de los API proporcionados por el sistema operativo del objetivo. Los keyloggers del software bajan en las categorías siguientes:

Basado en núcleo: Este método es el más difícil de escribir, y combatir. Tales keyloggers residen en el nivel del núcleo y son así prácticamente invisibles.

Derriban el núcleo del OS y tienen casi siempre el acceso autorizado al hardware que los hace de gran alcance. Un keylogger que usa este método puede actuar como conductor del teclado por ejemplo, y accede así a cualquier información mecanografiada en el teclado mientras que va al sistema operativo.

Enganchados: Tales keyloggers enganchan el teclado con las funciones proporcionadas por el sistema operativo. El sistema operativo los activa en cualquier momento en que se presiona una tecla y realiza el registro.

Métodos creativos: Aquí el programador utiliza funciones como GetAsyncKeyState, GetForegroundWindow, etc. Éstos son los más fáciles de escribir, pero como requieren la revisión el estado de cada tecla varias veces por segundo, pueden causar un aumento sensible en uso de la CPU y pueden ocasionalmente dejar escapar algunas pulsaciones de teclas.

Recordemos que Banesco y el BOD aquí en Venezuela, nos obligan a ingresar los password de las tarjetas por teclado, lo cual está prohibido, pero sin más a que hacer referencia, Vean el funcionamiento de uno inalámbrico ahora:

http://lasecwww.epfl.ch/keyboard/

Escrito por: Roiman Valbuena.

Alerta: Ataques de Pharming

Los usuarios de Internet tienen un motivo más para estar alertas. Mientras en los últimos seis meses de 2004 crecieron de manera exponencial los ataques de “phishing”, una técnica para robar datos confidenciales de la PC, las compañías internacionales de seguridad informática han revelado una amenaza hasta ahora desconocida: el pharming [1].

Por “phishing” se conoce a las acciones fraudulentas online, empleadas para obtener información privada, usualmente a través del envío de un correo electrónico falso que remite al usuario a una página Web también fraudulenta, donde se pide por ejemplo actualizar claves bancarias o información financiera confidencial.

Con esos datos, los ladrones informáticos realizan estafas en nombre de la víctima. Symantec, fabricante de Norton Antivirus [2], informó que mientras a mediados de julio de 2004 sus filtros antifraude bloqueaban 9 millones de ataques “phishing” por semana, a fines de diciembre de ese año, el número había aumentado a más de 33 millones: un incremento de 266 por ciento.

¿Qué es “pharming”?

El “pharming” es una nueva amenaza, más sofisticada y peligrosa, que consiste en manipular las direcciones DNS (Domain Name Server) que utiliza el usuario. Los servidores DNS son los encargados de conducir a los usuarios a la página que desean ver. Pero a través de esta acción, los ladrones de datos consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas para recabar datos confidenciales, sobre todo relacionadas con la banca online.

¿Qué es un DNS?

El Domain Name System (DNS) es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Para hacerlo mas sencillo, cuando buscamos alguna página en Internet (por ejemplo: http://www.google.com/ ) esta página tiene asociada una dirección IP, que es el lenguaje con el que se entienden los diferentes dispositivos que hacen posible que Internet funcione.

Ahora bien, para nosotros es más fácil recordar un nombre que recordar un número, o cada número asociado a todas y cada una de las páginas que queramos visitar (desde el punto de vista lógico sería imposible).

Hagamos un ensayo: escriba en su navegador Web la dirección IP: 157.166.255.18, le aparecerá la página Web de noticias de CNN internacional en Inglés. ¿Qué le parece más fácil, escribir http://www.cnn.com/ , o escribir el número asociado a la página? Si, estoy de acuerdo con usted, escribir la dirección de la página.

Además de ser más fácil de recordar, el nombre es más fiable. La dirección numérica podría cambiar por muchas razones, sin que tenga que cambiar el nombre.

La delincuencia organizada está utilizando esta nueva técnica para hacer creer al usuario que está conectado a la página de su banco, cuando la realidad es otra, de esta manera logran acceder a las claves de las tarjetas de crédito o debito después de varios intentos fallidos por parte del usuario al tratar de hacer sus transacciones diarias.

Recomendaciones de Seguridad:

Por su seguridad, es importante que al ingresar a la página de su banco tome en cuenta las siguientes recomendaciones:

· Una forma sencilla de validar que se encuentra en la pagina de su banco es ingresando a la información de cualquier producto y que se muestre correctamente; en los sitios falsos se muestra una página de error.

· No instale software desconocido o de procedencia dudosa en tu PC.

· Actualice de manera frecuente su software antivirus.

· Elimine inmediatamente todos aquellos correos de dudosa procedencia.

· Nunca ingrese a ligas enviadas por un correo electrónico si éste no es conocido, no está personalizado con su nombre y con el nombre de la persona que lo envía.

Referencias:

[1] Pharming
http://www.belt.es/noticias/2005/abril/01/pahrming.htm

[2] Para mayor información
http://www.symantec.com/es/mx/norton/cybercrime/pharming.jsp

Autor: Roiman Valbuena

Seguridad, asignatura pendiente de las pymes españolas

Symantec presenta un estudio que pone de manifiesto el grado de preparación de las pequeñas y medianas empresas en materia de seguridad.

Por Rosalía Arroyo [11-09-2008]

El estudio de Symantec, basado en una encuesta realizada a 874 empresas europeas y 105 españolas no ha revelado ninguna sorpresa puesto que los resultados demuestran que la mayoría, a pesar de conocer las amenazas más comunes y haber sufrido ataques el año pasado con resultado de pérdida de datos, no tienen herramientas para la recuperación de los datos ni cuentan con un director de TI especializado.

La mayoría sitúan al dinero y a la falta de tiempo y de conocimientos como las principales barreras en materia de seguridad.

John Brigdem, vicepresidente senior de Symantec, y Carlos Muñoz, director de venta de Symatec, han sido los encargados de presentar los resultados del estudio ofreciendo datos de las pymes europeas y españolas respectivamente.

Ambos expertos en seguridad han coincido en afirmar que aunque los programas antivirus y firewalls “son los recursos de seguridad básicos, no son suficientes para garantizar la protección adecuada y por tanto, la continuidad del negocio”.

Los datos del estudio muestran un mayor conocimiento de las amenazas más comunes, con un 85 por ciento de los encuestados europeos afirmándolo frente al 63 por ciento de los europeos. La brecha es diferente en lo que se refiere a las amenazas más recientes (botnets, pharming, whaling o minorring), no teniendo conocimiento de ellas un 58 por ciento en el caso de las pymes europeas y un 33 por ciento de las españolas.

Similar es el porcentaje de pymes que no cuentan, uno de cada tres, con un sistema para copias de seguridad y recuperación de datos. La mayor parte de los encuestados (45 por ciento) dicen actualizar los sistemas de seguridad en sus organizaciones diariamente.

Los efectos de la falta de seguridad se dejaron notar el año pasado pues casi una cuarta parte de las pymes europeas sufrieron ataques el año pasado, en España el porcentaje fue de una quinta parte. La mayoría de las pymes españolas ha coincidido en que como consecuencia a dichos ataques sus organizaciones sufrieron caídas del sistema (85 por ciento) y Pérdidas de Información (50 por ciento).

El principal obstáculo a la hora de implementar una política de seguridad en las pymes es el dinero (un 19 por ciento en España y un 22 por ciento en Europa), además de la falta de tiempo y de conocimientos.

Fuente: www.venunet.es

McAffe reinventa la seguridad informática

La compañía anuncia una nueva tecnología que redefine la forma en que los ordenadores se enfrentan a virus, gusanos, troyanos y otros programas maliciosos.

Por Rosalía Arroyo [09-09-2008]

McAfee Artemis Technology utiliza un nuevo servicio de Internet desarrollado por McAfee Avert Labs para proporcionar una protección activa e inmediata cuando un ordenador es atacado por un código informático malicioso y sin necesidad de instalar en el equipo las tradicionales actualizaciones.

Los creadores de malware están desarrollando técnicas cada vez más sofisticadas y centradas, en 8 de cada diez veces, en el lucro económico. El FBI estima que el coste medio de cada ataque es de 1.200 dólares en el caso de los consumidores y más de 350.000 dólares en el caso de las empresas.

Tradicionalmente, la detección de malware se ha fundamentado en bases de datos de amenazas existentes en el ordenador del usuario. Este enfoque necesita que la base de datos de amenazas en cada ordenador se actualice con nuevas firmas para cada nueva amenaza detectada. El resultado conlleva un retraso desde que la amenaza es identificada hasta que la protección se activa en todos los ordenadores.

McAfee Artemis elimina virtualmente la brecha en la protección, proporcionando una rápida reacción ante las amenazas cuya firma aún tiene que ser publicada. Cuando se detecta un archivo sospechoso en un ordenador protegido por una solución McAfee con Artemis, esta tecnología se conecta a los servidores de McAfee en tiempo real para determinar si el archivo es malicioso o no. Una comprobación que, según McAfee ocurre en cuestión de segundos y sin consecuencias para el usuario.

McAfee Artemis está disponible sin cargo como parte de McAfee Total Protection Service para la pequeña y mediana empresa. También estará disponible a lo largo de este mes para McAfee VirusScan Enterprise. Así mismo, McAfee Artemis estará disponible en los productos de consumo, donde la funcionalidad se denomina “Active Protection”.

Fuente: http://www.vnunet.es/

Emergencia: Ataque masivo a cuentas de Hotmail

04-09-2008

Se acaba de detectar un ataque masivo donde se utilizan varios servidores web fraudulentos que simulan ser el portal de correo electrónico Hotmail.

http://guesstbookhotmail.blogger.ba/

http://onlinemessenger.blogger.ba/

http://guesstbookhotmail.blogger.ba/

http://hotmailive.blogger.ba/

http://onmessenger.extra.hu/

Haga la prueba copie y pegue cualquiera de estos en el URL de su navegador y observará que aparece una Web muy parecida a la vieja versión de Hotmail, posterior a ello, las personas incautas procederán a colocar su usuario y clave. Que a la final nunca le van a dar acceso a su correo.

Esto es lo que se conoce en seguridad informática como pishing, que no es más que el tratar de duplicar una página Web y con ello obtener datos de sus cuentas.

¿Por qué lo hacen?

El principal objetivo de esto es poder acceder a sus claves, que por lo general son las mismas que se utilizan para las tarjetas de crédito, para otros correos, porque hay encuestas recientes que afirman que más del 50% de las personas utilizan la misma clave para todo.

http://www.technow.com.ar/?notid=60

Pude hacer la prueba con el primer link, prueben ustedes si quieren pero con una clave errada, y al introducirla enseguida se cierra.

Procedí a realizar un tracert (un seguimiento de la ubicación del sitio donde esta alojada esta página Web), la dirección IP resultante fué: 67.228.135.98, una dirección clase A, a primera vista cualquiera que sepa algo sobre direccionamiento sabe que estas direcciones estan asignadas a estados unidos.

Luego de hacer una busqueda exaustiva encontré que la empresa que está estafando se encuentra en el estado de Texas, especificamente en la ciudad de Dallas.

Y se llama SoftLayer Technologies Inc. Ojo a primera vista si se examina la dirección el sitio hace referencia a un blog, esto podría excluir de delitos a la empresa, pero ¿porque la misma no ha tomado cartas en el asunto y cerrado el sitio antes de qu les llegue la gente de la NSA (National Security Agency)?, Me parece muy raro, si van a probar haganlo hoy, para mañana debiese estar cerrado, recuerden poner User Name y Password falsos.

Los pasos para llegar a esta conclusion se publicará con más detalle en el sitio:

http://seguridaddigitalvenezuela.blogspot.com/

A partir de hoy (Viernes 5 de Sept. de 2008) en horas de la noche.. Saludos a todos....

La amenaza invisible de la tecnología Botnet

INTRODUCCIÓN: El tema al cual se hace referencia en el presente artículo versa sobre muchos de los aspectos a considerar en el desarrollo de la tecnología botnet, cómo trabajan, breve descripción de su evolución, casos y sentencias penales reales. Al final se hace una evaluación de las leyes internacionales con respecto a la seguridad de los datos y se exponen algunos criterios del porqué esta tecnología se ha desarrollado tanto, prácticamente sólo conseguimos defendernos de ella, pero no hay vestigios de que podamos derrotarla.

AUTOR: Ing. Roiman Valbuena
Universidad Rafael Belloso Chacín, Maracaibo. Venezuela
http://www.urbe.edu/
Universidad del Zulia, Maracaibo. Venezuela

Universidad Nacional Experimental de la Fuerza Armada. UNEFA.
http://www.luz.edu.ve/
roybscomputers@yahoo.com
roybscomputers@hotmail.com

La amenaza invisible de la tecnología Botnet.

A lo largo del 2006, en diversas conferencias sobre técnicas de seguridad se discutieron las últimas "killer Web app", o aplicaciones Web. Y nos preguntaremos ¿pero que son estas cosas?, bueno, en definitivo, en la ingeniería software se denomina aplicación Web a aquellas aplicaciones que los usuarios pueden utilizar accediendo a un servidor Web a través de Internet o de una intranet mediante un navegador.

En el mismo orden de ideas, es una aplicación software que se codifica en un lenguaje soportado por los navegadores Web (HTML, JavaScript, Java, etc.) en la que se confía la ejecución al navegador. En el caso de las killer Web App, utilizan este navegador para detener ciertas aplicaciones que le sean adversas al creador del malware, y en su mayoría se basan en programas o software (pero podrían ser algo más) que son tremendamente exitosos.

Dicho de otra manera, es cualquier programa que ejecuta una solicitud en un computador, en la generalidad de los casos solicitudes manejadas remotamente, y que están diseñados para detener aplicaciones específicas, siendo su principal objetivo el software antivirus o los firewall [1]. Pero entonces nos preguntamos, ¿existen tales cosas?

Sí, existen, pero son pocas y dispersas. Todos los días, cientos si no miles de programadores, innovadores, empresarios, inventores y charlatanes trabajar duro para crear la próxima killer app.

Lamentablemente, esta tecnología Web, trabaja para los chicos malos, con financiamiento de la delincuencia organizada y los señores del spam [2], una generación de talentosos hackers sin moral que han creado un devastador arsenal de mortales juguetes, en forma de botnets.

Norman Elton y Matt Keel del William & Mary College [3], en 2005 en la presentación de su ponencia; Who Owns Your Network?, ¿Quién es el propietario de su red?" Redes llamadas Botnets, expresaron que estas son: "la mayor amenaza que enfrenta la humanidad."

Esto puede ser una exageración, pero las redes botnets son sin duda la mayor amenaza con la que la comunidad de Internet se ha enfrentado.

John Canavan [4], en su artículo titulado “The Evolution of Malicious IRC Bots”, enuncia que las botnets son "La más peligrosa y extendida amenaza viral Win32" Y concuerda mucho con la portada de la revista eWEEK de 16 de octubre de 2006, "Perdiendo la guerra botnet” [5].

El artículo de Ryan Naraine [6] titulado"¿Está la batalla botnet ya perdida?” [6], Describe el estado actual del medio ambiente de las botnet.

Las botnets son la clave central de los anillos de la delincuencia organizada en todo el mundo, pasan del robo de ancho de banda de redes zombies a ganar dinero infame de la actividad delincuencial en la Internet.

Un vendedor (en ebay.com de tecnología botnet y ataques de DDoS) dijo [7], que la calidad de su producto depende de la calidad de sus fuentes de inteligencia y, a continuación, pasó a decir que no podían suministrar ninguna información que pudiese responder por la calidad de sus fuentes de inteligencia. Siendo estas fuentes de inteligencia, los propios encargados de la seguridad dentro de las empresas que compran sus productos. Pero las botnets también pueden causar daños no intencionados [8].

A ver si nos entendemos, las redes botnet son el mayor peligro con los que se ha enfrentado la comunidad de Internet, como se dijo en párrafos anteriores, pero hay empresas que están desarrollando tecnologías para organizaciones delictivas [9], por el simple hecho de que es más productivo venderle a un delincuente, que venderle a un usuario particular, pero mejor que todo ello es, venderles a ambos.

Estas empresas tienen un negocio bien redondo, por un lado hacen creer a sus clientes que les están vendiendo lo último para protegerse, y al delincuente le transfieren las vulnerabilidades que previamente fueron dejadas intencionalmente abiertas por ellos mismos, a la final si no se comprueba que hubo delito en la venta, el cliente incauto volverá a comprar más Tecnología a la misma empresa que previamente los estafó, y el ciclo nefasto se repetirá.

Defendiéndonos de las Botnets

Nuestras primeras armas contra las botnets deben consistir en eliminar el servidor bot, esta estrategia se conoce como "Eliminar la cabeza de la serpiente." Artículos recientes sobre el estado de la seguridad de las redes han lamentado el descubrimiento de que no estamos luchando contra una serpiente, sino por el contrario, un dragón de muchas cabezas, tal como en el Apocalipsis [10].

Se ha hablado mucho de la pérdida de esta arma por la prensa. En varios artículos se ha expresado que profesionales de la seguridad están admitiendo que esta batalla se está perdiendo [5]. En la guerra real, los generales deben dar batalla al enemigo, y no menos importante, deben luchar contra la pérdida de la moral. Muchos de los profesionales de la seguridad, que fueron pioneros en la lucha contra botnets, se han desmoralizado por la toma de conciencia de que el Mando y Control (C & C) del servidor ya no es tan eficaz como lo era antes.

Imagine como el primer ejército invasor que ha tropezado con un castillo debió sentirse. Imagine la reacción del propietario del castillo cunado se inventó la torre de asedio, o catapulta. Después de los años siguientes a la presentación de estas armas, el castillo pudo haber cambiado de diseño. Una sola pared que rodeaba el castillo se convirtió en una serie de torres. El castillo de forma rectangular, dio paso a formas irregulares destinadas a desviar en lugar de detener las armas del enemigo. La pérdida de una de las principales armas no significa la pérdida de la guerra a menos que el general permita que la moral se disuelva, y no evoluciona para satisfacer el nuevo entorno.

Como trabaja el Asesino Web App..?

¿Cómo hacer de una botnet un "killer app Web?" El software que crea y gestiona una botnet hace que esta amenaza sea mucho mayor que la anterior generación de código malicioso. No se trata simplemente de un virus, sino que es un virus de virus, o para simplificar un “Megavirus”.

Una botnet es modular y un módulo explota las vulnerabilidades que encuentran para hacerse con el control sobre su destino. A continuación, se descarga otro módulo que protege al anterior, este es un nuevo robot que se encarga de detener el software antivirus y firewalls, el tercer módulo puede comenzar el escaneo de otros sistemas vulnerables [11].

Una botnet es adaptable, puede ser diseñado para descargar diferentes módulos, que a su vez explotan cosas específicas que encuentra en una víctima.

Por otro lado, nuevos xploits se pueden añadir tal cual son descubiertos. Ellos hacen el trabajo del antivirus mucho más complejo.

Encontrar un componente de una botnet no implica el carácter de cualquiera de los otros componentes debido a que el primer componente puede elegir para su descarga desde cualquier número de módulos para llevar a cabo la funcionalidad de cada una de las fases del ciclo de vida de una botnet.

Así mismo también arroja dudas sobre la capacidad de un software antivirus al afirmar que un sistema está limpio, cuando encuentra limpio uno de los múltiples componentes de un bot. Pero no es capaz de limpiarlos todos.

Debido a que cada componente se descarga cuando es necesario después de la infección inicial, las posibilidades de un sistema para obtener un xploit cero días es mayor.

Hay que hacer notar que si usted se encuentra administrando la seguridad del servidor de una empresa, esta tomando el riesgo de poner un bot de nuevo en circulación si los esfuerzos para limpiar el código malicioso no son exhaustivos. En lugar de tomar ese riesgo, muchos departamentos de TI optan por volver a la imagen de un sistema conocido como imagen limpia, y créanme, esa no es la solución.

En efecto, los ataques botnet son directos. Es decir, el hacker puede orientar su ataque a una empresa o un sector de la misma. Aunque las botnets pueden ser aleatorias, también pueden ser personalizadas para un determinado conjunto de posibles anfitriones.

El botherder (el bot principal) puede configurar los bot clientes para limitar el direccionamiento IP de un conjunto predefinido de sus anfitriones. Con esta capacidad de orientación viene la capacidad de personalizar los ataques al mercado.

La capacidad de adaptación de los ataques de botnets es realmente buena. El bot cliente puede comprobar la acogida de los nuevos infectados, y de allí comenzará a hacer las solicitudes para explotar el sistema.

Cuando se determina que el anfitrión es propietario de un cliente, por ejemplo, una cuenta e-gold, el cliente puede descargar un componente que llevará en sus hombros durante las próximas conexiones a esa cuenta e-gold que el mismo realizará.

Lo más importante, si bien el titular de acogida está conectado a su cuenta e-gold, en el trasfondo se explotan los fondos de la cuenta mediante la presentación de una transferencia electrónica.

En un informe de amenazas de Internet (Septiembre 2006) [12], publicado por Symantec, el mismo afirma que durante los seis meses del período comprendido entre enero y junio de 2006, Symantec observó 57,717 redes bot activas por día. Symantec también observó que más de 4,5 millones de distintas redes de ordenadores podrían ser posibles redes bots de computadores, próximas a activarse.

Todo esto contrasta con un artículo publicado por este mismo autor en http://seguridaddigitalvenezuela.blogspot.com/2008/08/ms-fraudes-online-en-el-primer-semetres.html , y obtenido de http://blog.s21sec.com, que hace referencia al aumento de los fraudes online durante el primer semestre del 2008. Si bien se están haciendo grandes esfuerzos en controlar la expansión de las botnets, la realidad es que estamos muy lejos de eso.

Y podríamos perder la guerra si no tomamos conciencia de ello y nos preparamos para contraatacar.

Evolución de las redes botnets: Diferentes Arquitecturas

La historia de las redes-zombi empezó en los años 1998-1999, cuando aparecieron los primeros programas que actuaban como Backdoor, así tenemos al conocido NetBus y BackOrifice 2000, a los puede llamar “pruebas de concepto”, es decir, programas en los que se usaban soluciones tecnológicas nuevas.

NetBus y BackOrifice 2000 fueron los primeros en tener una serie de funciones para el control a distancia del ordenador infectado, lo que permitía a los malhechores trabajar con los archivos en un ordenador a distancia y poner en funcionamiento nuevos programas, realizar capturas de pantalla, abrir y cerrar el dispositivo CD, etc.

Después, a alguno de los malhechores se le ocurrió hacer que las máquinas infectadas por los backdoors se conectaran por sí mismas y entonces se las podía ver siempre en línea (la única condición era que estuvieran encendidas y funcionando). Lo más seguro es que haya sido idea de algún hacker, ya que los programas zombi (bots) de la última generación usaban el canal de conexión que tradicionalmente usan los hackers – IRC (Internet Relay Chat).

La botnet Pretty Park:

En mayo de 1999, fue descubierto Pretty Park, un bot cliente escrito en Delphi, de acuerdo con "The Evolution of Malicious IRC Bots", escrito por John Canavan de Symantec [4]. Este bot ya manejaba varias funciones y conceptos muy comunes en los robots de hoy, algunos son:

· La capacidad para recuperar el nombre del ordenador, versión del sistema operativo, información de los usuarios, y el sistema básico de información.
· La capacidad para buscar y recuperar las direcciones de correo electrónico y nombres de acceso ICQ
· La capacidad para recuperar los nombres de usuario, contraseñas, y dial-up de configuración de red
· La capacidad de auto-actualizarse
· La capacidad de carga / descarga de archivos
· La capacidad para poner en marcha una serie de ataques de DoS

SubSeven Trojan/Bot

En Junio, 1999, la versión 2.1 del troyano SubSeven fue liberada [13]. Esta versión fue significativa, ya que permitía que un servidor SubSeven pudiese ser controlado a distancia por un bot conectado a un IRC servidor.

Esto creó las condiciones para todos los botnets maliciosos que estaban por venir. SubSeven es un control remoto Trojan, también escrito en Delphi, promocionado por su autor como una herramienta de administración remota.

Su conjunto de herramientas, sin embargo, incluye herramientas que un verdadero administrador podría no usar, como la capacidad para robar contraseñas, registro de las pulsaciones de teclado, y ocultar su identidad. SubSeven dio control total a los bots operadores sobre los sistemas infectados.

GT Bot

Global Threat (GT), es una botnet cliente basada en mIRC [14], apareció en 2000. Fue escrito por Sony, MSG, y DeadKode. mIRC es un paquete software de IRC. mIRC tiene dos características importantes para la construcción de una botnet: Puede ejecutar scripts en respuesta a los acontecimientos en el servidor IRC, y soporta conexiones TCP y UDP.
Gt Bot posee las siguientes características:

· Escaneo de puertos en busca de formas de acceso
· Flooding: para conducir ataques de DDoS
· Cloning: la clonación es cualquier conexión a un servidor IRC, por encima de la primera conexión.
· BNC (Bounce): es un método de anonimato Bot para el acceso de los clientes a un servidor.

Hoy en día, todas las variantes de la tecnología bot que se basan en mIRC, se dice que son miembros de la familia GT Bot. Estos bot clientes no incluyen un mecanismo de propagación propia directamente. En lugar de ello, se utilizan variaciones en tácticas de ingeniería social.

SDBot

A principios del 2002, apareció sdbot. Fue escrito por un programador ruso conocido como sd. Sdbot representó un paso importante en la cadena evolutiva de estos robots. Fue escrito en C++, posterior a ello el autor libera el código fuente y lo publica en una página Web, además de eso provee su email y su ICQ para información de contacto. Esto lo hizo accesible a muchos hackers y se hizo mucho más fácil de modificar y mantener.
Como resultado de esto, subsecuentes bots clientes incluían códigos o conceptos de sdbot. SdBot generaba un pequeño archivo binario de sólo 40kb. La mayor característica de la familia sdbot, fue la inclusión del uso de control remoto para backdoors. Varios años después, algunas de sus variantes todavía siguen causando daños [15].

Los siguientes backdoors son explotados por sdbot:
· Optix backdoor (puerto 3140)
· Bagle backdoor (puerto 2745)
· Kuang backdoor (puerto 17300)
· Mydoom backdoor (puerto 3127)
· NetDevil backdoor (puerto 903)
· SubSeven backdoor (puerto 27347)

En caso de que un exploit logre ser exitoso, el gusano crea y ejecuta un script que descarga sdbot en la nueva víctima y lo ejecuta. Una vez ejecutado, la nueva víctima es infectada. Ahora bien, Tengamos en cuenta que muchos de estos ataques se siguen utilizando hoy día, sobre todo el de la fuerza bruta, y el tratar de adivinar las contraseñas con ataques dirigidos a los puertos 139, 445, y 1433.

La mayor amenaza proviene de las fallas en las legislaciones internacionales.

El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha establecido la necesidad de regulación por parte del derecho.

En nuestro caso Venezuela, existe la “Ley Especial Contra los Delitos Informáticos” [16], de fecha 30 de Octubre de 2001, la cual sólo contiene 33 artículos (deja por cierto una brecha muy grande para la impunidad de los hackers) estableciendo una prisión máxima de 2 a 6 años cuando se cometan delitos tipificados en ella. Pero en esta delincuencia se trata con especialistas capaces de efectuar el crimen y borrar toda huella de los hechos, resultando, muchas veces, imposible de deducir cómo se realizó dicho delito.

La Informática reúne características que la convierten en un medio idóneo para la comisión de nuevos tipos de delitos que en gran parte del mundo ni siquiera han podido ser catalogados.

La legislación sobre sistemas informáticos debería perseguir acercarse lo más posible a los distintos medios de protección ya existentes, pero creando una nueva regulación basada en los aspectos del objeto a proteger: la información.

En este punto debe hacerse énfasis y anotar lo siguiente:

*No es la computadora la que atenta contra el hombre, es el hombre el que encontró una nueva herramienta, quizás la más poderosa hasta el momento, para delinquir.
*No es la computadora la que afecta nuestra vida privada, sino el aprovechamiento que hacen ciertos individuos de los datos que ellas contienen.
*La humanidad no está frente al peligro de la informática sino frente a individuos sin escrúpulos con aspiraciones de obtener el poder que significa el conocimiento.
*Por eso la amenaza futura será directamente proporcional a los adelantos de las tecnologías informáticas.

Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y, todo lo contrario, lograr una protección global desde los distintos sectores para alcanzar cierta eficiencia en la defensa de estos sistemas informáticos.

Leyes Penales en Estados Unidos:

El derecho penal en Estados Unidos de Norteamérica conforma el fundamento para las investigaciones de delitos por computadoras llevadas a cabo por las autoridades federales (principalmente el FBI y el Servicio Secreto). Mientras que el 18 US Code 1030 es el decreto o ley principal contra los delitos computacionales [17].

Abuso y Fraude por Computadora: la sección a-) de la ley define el delito como el acceso intencional a una computadora sin la autorización para hacerlo. Por cierto que esta misma ley deja entrever que no se prohíbe específicamente obtener acceso a una computadora si el daño que se le hace no excede los 5.000 dólares. Sí así como está pensando, un intruso puede obtener acceso a las computadoras que quiera siempre que los daños que cause no sobrepasen esta suma (Eric Maiwald, 2003).

Fraude con Tarjetas de Crédito: El (18 US Code 1029), esta ley considera un delito apoderarse de 15 o más tarjetas de crédito falsificadas. Un ataque a un sistema de cómputo que permite que el intruso obtenga acceso a una gran cantidad de números de tarjetas de crédito para lo cual no tiene acceso autorizado es una violación a esta ley. Podría entenderse que cualquiera que se apodere de 10 tarjetas de crédito falsificadas no estaría cometiendo delito alguno, según esta ley.

Intercepción (18 Code 2511): El 18 US Code 2511 es una ley contra la intervención de las comunicaciones: Esta ley prohíbe la intercepción de llamadas telefónicas y otros tipos de comunicación electrónica, y evita que los agentes de la ley hagan uso de la intervención sin una orden judicial. No obstante, un intruso en un sistema de cómputo que coloca un “rastreador” en el sistema, probablemente este violando esta ley.

La lectura de esta ley también puede indicar que ciertos tipos de seguimientos realizados por las organizaciones puedan ser ilegales. Por ejemplo, si una organización coloca equipo de seguimiento o monitoreo en su red para examinar el correo electrónico o para vigilar los intentos de intrusión, ¿Constituye esto una violación a esta Ley?
Brasil: Tiene identificados dos delitos: la introducción de datos falsos en el sistema de información y la modificación o alteración no autorizadas de un sistema de información. Ambos están dirigidos a los empleados de organizaciones que hacen mal uso de su acceso para cometer un delito [17].

India: La manipulación de sistemas computacionales ajenos (“hacking”) con un sistema de cómputo esta tipificado como un delito en la India.
Para ser culpable de este delito un individuo debe estar involucrado en la destrucción, eliminación o alteración de información en un sistema de cómputo de manera que reduzca su valor. El individuo también debe haber hecho el intento de causar daño, o debe saber que probablemente se iba a provocar un daño.

República Popular de China: El decreto número 147 del Consejo Estatal de la República Popular de China, del 18 de febrero de 1994, define dos delitos computacionales. El primero es la introducción deliberada de un virus de computadora en un sistema de cómputo. El segundo es la venta de productos especiales de protección de seguridad de computadoras sin permiso [17].

Conclusión: De la evaluación de estas leyes, y por todo lo anteriormente planteado surge la incógnita, ¿Cómo combatir el delito informático en este mundo globalizado, cuando lo que es delito en un país no lo es en otro?

¿cómo unificar criterios y hacer frente a las nuevas formas de fraudes informáticos cuando son las mismas empresas que generan y diseñan estas tecnologías las más sospechosas?

Indudablemente estamos ante amenazas de proporciones bíblicas, si se logra cerrar un agujero digital inmediatamente se abre uno más, y más complejo que su predecesor.

Este artículo se redactó con el fin de hacer referencia a la amenaza invisible que representa la tecnología botnet, y créanme, no hay nada más peligroso que luchar contra algo que no se ve.

REFERENCIAS:

Aparece también publicado en: http://foro.hackhispano.com/showthread.php?t=31617

[1] Virus para detener Antivirus y Firewalls
http://www.enciclopediavirus.com/virus/vervirus.php?id=3762

[2] Arrestados tres controladores de botnets
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=822
[3] Ponencia: Who Owns Your Network?
http://www.osc.edu/oarnet/oartech/meeting_min/it_william_mary.ppt
[4] Autor de varios libros de Seguridad en redes
Fundamentals of Network Security John E. Canavan, 319 pages, Boston, London: Artech House 2001, ISBN 1-58053-176-8
[4] John E. Canavan
http://www.symantec.com/avcenter/reference/the.evolution.of.malicious.irc.bots.pdf
[5] Artículo: Loosing the botnet war
http://www.securitypronews.com/news/securitynews/spn-45-20061024LosingTheBotnetWar.html
[6] Artículos escritos por: Ryan Naraine
http://www.eweek.com/cp/bio/Ryan-Naraine/
[6] Artículo: Está la batalla botnet ya perdida?
http://www.eweek.com/c/a/Security/Is-the-Botnet-Battle-Already-Lost/
[7] Anthony Scott Clark encontrado culpable de vender su tecnología
http://www.usdoj.gov/criminal/cybercrime/clarkPlea.htm
[7] Cae el supuesto cabecilla de catastrófica red zombi
http://www.viruslist.com/sp/news?id=208274109
[8] Caso Christopher Maxwell
http://www.usdoj.gov/criminal/cybercrime/maxwellPlea.htm
[9] Caso Napster
http://www.usdoj.gov/criminal/cybercrime/napsterbr.htm
[10] White Papers Killing Botnets McAfee
http://whitepapers.silicon.com/0,39024759,60285515p,00.htm
[11] Para más información sobre el funcionamiento léase el artículo de Cristian Borghello: “Botnets, redes organizadas para el crimen“
http://www.eset-la.com/threat-center/1573-botnets-redes-organizadas-crimen
[12] Informe de Amenazas de Internet Symantec 2006
http://www.symantec.com/es/es/business/library/article.jsp?aid=latest_threat_findings
[13] Versión nueva del troyano Subseven
http://www.vsantivirus.com/sub722.htm
[14] programa para IRC Internet Relay Chat
http://www.mirces.com/
[15] "sdbot.apa"
http://www.laflecha.net/canales/seguridad/noticias/200503183
[16] Ley Especial contra delitos informáticos en Venezuela
http://www.tsj.gov.ve/legislacion/ledi.htm
[17]
Maiwald, Eric. Fundamentos de seguridad de redes. Segunda Edición. México, D.F. McGraw Hill. 2005. 473 p. ISBN: 9701046242.

Diez millones de zombies enviando malware

Un informe realizado por Commtouch y PandaLabs durante el segundo trimestre del año detecta un incremento de los ordenadores zombie en todo el mundo.

Botnet

Los ordenadores zombies son máquinas infectadas por “bots” y controladas remotamente por el ciberdelincuente. ‘Bot es el diminutivo de la palabra robot. Son pequeños programas que son introducidos en los ordenadores con la intención de permitir al ciberdelincuente tomar el control remoto de los mismos. Las redes de bots o ‘Botnets’, son grupos de ordenadores infectados por bots unidos para actuar de manera conjunta.

El ciberdelincuente da instrucciones a esos ordenadores para, por ejemplo, descargar una nueva amenaza en el equipo, mostrar publicidad al usuario, lanzar ataques de denegación de servicio o, sobre todo, el envío de spam.

El informe realizado por Commtouch y PandaLabs muestra que durante el segundo trimestre del año Turquía se ha convertido en el país con mayor número de ordenadores zombie del mundo, con un once por ciento del total, seguido de cerca por Brasil, con un 8,4 por ciento y Rusia con un 7,4 por ciento. Estados Unidos, que en el primer trimestre contaban con un cinco por ciento del total de zombies, ha caído hasta la novena plaza, representando sólo el 4,3 por ciento del total.

Este gran número de “zombies” continúa siendo el principal causante de la avalancha de spam vivida por usuarios y empresas; y es que entre abril y junio el 74 por ciento del correo recibido en los buzones de correo era spam.

Luis Corrons, director técnico de PandaLabs ha hecho referencia al estudio de Nucleus Research, una consultora independiente, que ha cifrado en 712 dólares el coste por cada empleado que tras recibir un e-mail lo eliminaba inmediatamente, sin ni siquiera abrirlo.

Fuente:

http://www.vnunet.es/es/report/2008/08/19/diez_millones_de_zombies_enviando_malware_

Botnets, redes organizadas para el crimen

Explicación sobre el funcionamiento de las botnets o redes zombies y de qué forma son utilizadas para ganar dinero por los creadores de malware.

Autor: Cristian Borghello, Technical & Educational Manager de Eset para Latinoamérica.

El poder de Skynet (la súper computadora de la película Terminator) en el dedo de un terrorista digital. Si quisiéramos exagerar (o quizá no) y ponernos paranoicos al extremo, quizás esa sería la forma de pensar este artículo. ¿Puede una sola persona dominar el poder necesario para hacer caer sitios y redes completas con sólo un clic?

Por otro lado, si se piensa que se envían 100 millones de mensajes de correo al día es sencillo adivinar por qué hay tanta basura virtual dando vueltas.

Y ya que comenzamos con los números, por qué no decir que el 80% (o más) del correo actual es considerado spam y el 80% (o más) del mismo es generado por los mismos usuarios que lo reciben.

¿Cómo? Según algunos expertos [1], los usuarios generamos el poder computacional distribuido suficiente para controlar el 25% de Internet con un clic y además generar el tráfico de spam del que nos quejamos.

¿Cómo? La respuesta es sencilla y sólo requiere de una palabra: botnets. Para no reinventar definiciones ya establecidas según la Wikipedia [2], un zombi es, originalmente, una figura legendaria propia de las regiones donde se practica el culto vudú. Es un muerto resucitado por medios mágicos por un hechicero para convertirlo en su esclavo. Por extensión, ha pasado a la literatura fantástica como sinónimo de muerto viviente y al lenguaje común para designar en sentido figurado a quien hace las cosas mecánicamente como si estuviera privado de voluntad.

Si se toma la última parte de la definición estaremos entrando de lleno en nuestro informe.

Un bot (proveniente de robot) es un programa informático cuya función fundamental es realizar tareas, generalmente repetitivas y automáticas, simulando al ser humano.

Son utilizados por aplicaciones y sistemas tan dispares como pueden ser los canales de Chat, automatización de instalaciones, la misma enciclopedia Wikipedia, juegos en línea, programas de administración remota y tantas otras aplicaciones. Dependiendo del contexto de uso, su nombre puede variar (bot, borg, crpg) pero el concepto de realización de tareas automáticas se mantiene.

El poder de la distribución

SETI@home [3] es un experimento científico de la Universidad de Berkeley que utiliza ordenadores conectados a Internet para la búsqueda de inteligencia extraterrestre. Cualquier usuario puede participar en forma voluntaria instalando un programa en su equipo y “donando” tiempo ocioso del mismo para el cálculo de datos recibidos de los distintos radiotelescopios internacionales.

En forma similar BOINC [4] es un proyecto científico para crear una red distribuida con distintos objetivos benéficos y distributed.net [5] es un proyecto destinado a probar la fortaleza de distintos algoritmos de cifrado actuales.

El poder del cómputo distribuido [6] radica en que pueden utilizarse sistemas heterogéneos (Win*, *nix, BSD, Mac, etc) para atacar problemas complejos que no pueden resolverse en las supercomputadoras actuales en un tiempo razonable.

Sin ir más lejos, este es el principio de las redes P2P [7] en donde no existen servidores, sino que todos los clientes (nodos) tienen el mismo nivel de privilegio dentro de la red. Además, este tipo de cómputo permite que los sistemas sean escalables (la cantidad de nodos es, en teoría, ilimitada) y tolerantes a fallos (si uno de los nodos falla el mismo puede ser inmediatamente reemplazado por otro).

Tal y como distributed.net mismo dice, el poder del cómputo distribuido les ha permitido “llegar a ser el equivalente a más de 160.000 computadoras PII 266 MHz trabajando 24 horas al día, 7 días a la semana, 365 días al año”.

Pero, ¿cuál es el problema complejo a resolver en este caso? Como se menciona al comienzo, el envío de spam y el ataque combinado a sitios webs, generalmente conocido como DDoS [8].

Origen de las botnets

Cuando el negocio del spam y los problemas asociados, como la distribución de malware y phishing, lograron alcanzar niveles de rentabilidad suficiente para los cyber-delicuentes actuales, los mismos tenían un problema importante entre manos.

Los servidores vulnerables secuestrados hasta el momento y aquellos que se descubrían a diario, ya no eran suficientes para los objetivos de estas personas. El problema entonces, radicaba en lograr la distribución de más correos para llegar a más usuarios y así maximizar sus ganancias. La solución llegó de la mano del poder de cómputo distribuido.

Pero, ¿cómo aprovechar el equipo del usuario para que él mismo “done” su sistema con fines delictivos? La solución, al igual que en los casos mencionados SETI y otros proyectos, es instalar un cliente en el equipo del usuario para que el mismo funcione de nexo con el malhechor. La forma de instalar estos programas clientes es crear troyanos/gusanos que infecten al usuario, haciendo que su equipo interactúe en la red que se forma y sin que el usuario se entere de lo sucedido. Así, el equipo infectado se acaba de convertir en un zombi o robot haciendo cosas mecánicamente como si estuviera privado de voluntad.

El conjunto de equipos (usuarios) infectados trabajando en red recibe el nombre de botnet.

Funcionamiento

Como bien indica el gráfico, el primer objetivo es distribuir el malware suficiente para lograr la mayor cantidad de equipos infectados con el troyano -cliente que conecta a los usuarios con el/los botmaster/s responsable/s de la botnet-.

Esta distribución por supuesto se realiza mediante mensajes masivos como los que se pudo ver a mediados de enero y por la cual muchos usuarios son engañados [10]. Títulos como “la muerte de Fidel”, “muertos en una tormenta que arrasa Europa”, “Saddam Hussein vive” lamentablemente llaman suficientemente la atención como para que miles de equipos sean infectados y comiencen a servir de base para nuevas olas de ataques.

Una vez que la red ha sido convenientemente armada (con 10 o miles de equipos), el botmaster (responsable) de la misma puede decidir con total libertad, remotamente y en cualquier parte del mundo qué hacer con la misma pudiendo, por ejemplo:

• Enviar spam

• Realizar ataques de denegación de servicio distribuido

• Construir servidores para alojar software warez, cracks, seriales, etc

• Construir servidores web para alojar material pornográfico y pedofílico

• Construir servidores web para ataques de phishing

• Redes privadas de intercambio de material ilegal

• Sniffing de tráfico web para robo de datos confidenciales

• Distribución e instalación de nuevo malware

• Abuso de publicidad online como adsense

• Manipulación de juegos online

El control de la red puede llevarse a cabo de diversas maneras: puede controlarse la red totalmente o en forma segmentada por canales de IRC, depender de DNS gratuitos que aseguran su movimiento permanente, cifrar el canal para evitar su rastreo, identificación o intromisiones de otras personas ajenas a la red.

La forma más común de llevar este paso es obtener el control de uno o varios servidores IRC para enviar las ordenes de los demás nodos de la red. Este servidor denominado Comando y Control (C&C) es el punto más débil de la red, ya que si el mismo es identificado puede darse de baja, aislando al botmaster de su red.

Para solventar este problema, se han implementado redes P2P que permiten al botmaster cambiar de servidor a gusto, que el rastreo se dificulta e incluso, si la red es descubierta, la misma no podrá ser destruida en su totalidad por la alta redundancia de nodos. Estas redes aún se encuentran en un estadío de estudio y perfeccionamiento, por lo cual aún no son masivamente utilizadas, pero que sin duda marcan el futuro de las botnets.Existen estadísticas en las que puede verse la gran utilización del puerto 6667 comúnmente utilizado para controlar a SDBot, uno de los malware más antiguos (junto a Agobot, Spybot y GTBot) destinado a construir botnets.

Esto demuestra el amplio uso de estas redes y cómo las mismas pueden impactar en el uso globalizado de Internet.

También se ve otra evolución: debido al filtro del protocolo IRC implementado por las organizaciones, el envío de comandos de control se realiza por medio de HTTP o IM (mensajería instantánea), el cual generalmente no es filtrado debido al uso de Internet en esas empresas.

Si se analiza cualquiera del malware actual para la construcción de botnets puede encontrarse comandos como los siguientes [11]:

-mac.login log in del usuario

-ftp.execute actualización del bot a través de dirección ftp...

-http.execute actualización del bot a través de dirección htt

-prsl.logoff log out del usuario

-rsl.shutdown apagar el equipo

-rsl.reboot reiniciar el -equipo

-pctrl.kill terminar un proceso...

-ddos.httpflood ataque de denegación de servicios

-ddos.synflood ataque de denegación de servicios...

-harvest.emailshttp obtiene lista de correos vía htt

-pharvest.emails obtiene lista de correos

Como puede verse la lista de commandos involucra desde el login del botmaster, hasta el apagado del equipo, ataques DDoS, la actualización del bot, el envio de spam o cuanta actividad el creador del bot pueda imaginar.

El dinero (millones) en la red

Una vez que la red está perfectamente construida y controlada, sólo basta alquilarla o venderla al mejor postor. La persona que adquiera el “servicio” podrá utilizar la red para las actividades que desee y que ya se enumeraron.

A modo de ejemplo, un spammer podrá alquilar la red para enviar sus correos, una organización podría realizar publicidad en forma masiva, una empresa podría atacar a su competidor y sacar sus servicios web del aire, un pedófilo podría distribuir su material anónimamente…

Como es fácil adivinar, toda la red de delincuentes involucrados se beneficia de esta red:
• El creador de malware vende su “producto/servicio” al creador de la botnet

• El botmaster alquila/vende la red

• El spammer distribuye más correo con publicidad

• Las empresas venden los productos publicitados

• Cualquiera de ellos distribuye más malware infectando más equipos y retroalimentando el sistema

Otro aspecto que entrega una idea clara de la forma en que estas redes son controladas es observando el tráfico de correos electrónicos generados por los proveedores internacionales [13]. Puede observarse a Telefonica, Telecom, BellSouth y Fibertel en los primeros 50 puestos lo que indica a las claras que gran parte del correo enviado es generado desde los hogares de los usuarios gracias a la utilización de equipos zombies.

Un problema global creado por problemas individuales.

El poder de una red distribuida es proporcional a la cantidad de usuarios conectados a la red y al poder individual que aporte cada nodo.

Así, como se menciona al comienzo del presente, los responsables del spam existente terminamos siendo los usuarios por falta de medidas de prevención adecuadas, que ayudarían a mitigar, en gran escala, este problema mundial de abuso de recursos ajenos.

Las redes descubiertas por los investigadores [14] no hacen más que confirmar el número alarmante que están alcanzando estas redes y sus objetivos delictivos.

La pregunta ¿en qué puede afectar que mi equipo sea infectado? pasó a ser fundamental, porque aquel usuario aislado, que sólo tenía acceso a sus recursos particulares y que no interactuaba con sus pares, está desapareciendo a favor de usuarios altamente conectados que interactúan en forma permanente con otros sistemas y que, como puede verse, es capaz de afectarlos directamente al formar parte de una botnet.

Por eso es fundamental tomar conciencia de este problema, que es global y depende de la educación (de la buena educación) de todos nosotros hacia nuestros pares. La protección y el uso responsable pasaron a ser una parte importante de un sistema informático.

Referencias:

[1] Criminals 'may overwhelm the web'http://news.bbc.co.uk/1/hi/business/6298641.stm

[2] Zombiehttp://es.wikipedia.org/wiki/Zombie

[3] Sitio de SETI@homehttp://setiathome.berkeley.edu/index.php

4] BOINC (Berkeley Open Infrastructure for Network Computing)http://boinc.berkeley.edu/[5] Sitio de Distributed.nethttp://distributed.net/

[6] Computación distribuidahttp://es.wikipedia.org/wiki/Computación_distribuida

[7] Redes P2P (Peer to Peer – Redes de Pares)http://es.wikipedia.org/wiki/P2p

[8] DDOS (Distributed Denial Of Service Attack - Ataque de Denegación de Servicio Distribuido)http://es.wikipedia.org/wiki/DDoS http://es.wikipedia.org/wiki/DoS

[9] Botnetshttp://es.wikipedia.org/wiki/Botnet http://es.wikipedia.org/wiki/Botnet http://es.wikipedia.org/wiki/Bot http://es.wikipedia.org/wiki/Borg

[10] El troyano “tormenta”http://www.hispasec.com/unaaldia/3012/mediatico-troyano-tormenta-las-lecciones-aprend

[11] Comandos utilizados en botnetshttp://www.lurhq.com/research_threat.html

[12] Proyecto malware de UNAM-CERT (Universidad Nacional Autónoma de México-Equipo de Respuesta a Incidentes de Seguridad en Cómputo)http://www.malware.unam.mx/ver_reportes2.dsc?idcatalogo=2

[13] Envío de correos por distintos proveedoreshttp://www.senderbase.org/search?page=domains

[14] Estudio de botneshttp://news.netcraft.com/archives/2004/09/08/botnet_with_10000_machines_shut_downhttp://www.technewsworld.com/story/48174.htmlhttp://www.honeynet.org/papers/bots/ http://www.cs.wisc.edu/~vinod/botnets.pdf

Más fraudes online en el primer semetres del 2008 que en todo el 2007

Hace tiempo que terminó la época en la que muchos ataques eran fruto de la curiosidad y de demostrar la valía de ciertos adolescentes.

Hoy existen bandas de crimen organizado que utilizan todos los recursos y tecnologías presentes en Internet para garantizar su anonimato. Así lo refleja el último informe de fraude online publicado ayer por S21sec.

Durante la primera mitad de 2008, la unidad S21sec e-crime detectó y solucionó un total de 1.842 casos de phishing, troyanos, redirectores y otras actividades calificadas de fraude online, 198 más que en todo 2007.

Como se podrá ver esta cifra resulta muy superior a la alcanzada en años anteriores y, la tendencia es la misma de cara a estos últimos meses del año.

El phishing continúa siendo una de las principales preocupaciones ya que supuso el 60% del total de casos en 2008, pero durante este periodo se ha incrementado el número de troyanos detectados llegando a representar un 37% de los casos.

Junio fue el mes en el que más ataques de phishing se registraron de la historia (423), esperemos que esta cifra no siga en aumento pero no podemos predecir nada.

El país de procedencia del mayor número de ataques sigue siendo Estados Unidos y el tiempo medio de cierre de sitios fraudulentos fue de 1,6 días. En el informe se puede encontrar información y estadísticas muy interesantes respecto a la evolución y tendencias del fraude online. Les animo a descargarlo y a profundizar en su lectura.

Maria Asín

Fuente:

http://blog.s21sec.com

Cambie el logotipo del sistema por una imagen personalizada.

Modificar la pantalla de arranque de Windows.

[ 20-08-2008 ]

Cuando iniciamos el ordenador aparece por defecto una imagen con el típico logotipo de Microsoft Windows, que con el tiempo puede llegar a cansar. Para dotar a nuestro equipo de una apariencia más profesional o simplemente personalizar esta presentación es posible modificar esta imagen de inicio a nuestro gusto.

Bootskin es una aplicación que además de ser gratuita es fácil de utilizar. Con ella se puede modificar la imagen de arranque sin que Windows 2000 o XP corra ningún peligro. Este programa funciona dando una vía alternativa al arranque, es decir, no manipula archivos del sistema sino que lo que hace es agregar una línea más para que el sistema cargue el nuevo arranque.

El uso de esta herramienta de personalización es relativamente sencillo, puesto que lo único que hay que hacer es elegir un nuevo bootskin (imagen de arranque) y cambiarlo a través del programa. Bootskin dispone de cinco temas diferentes para configurar, con la posibilidad de usar un sistema aleatorio con el fín de que el propio programa elija por nosotros.

Para mayor variedad a través de Wincustomize es posible acceder a multitud de arranques ya preconfigurados e incluso poner nuestra propia imagen almacenada en el equipo o creada para la ocasión. Pruebe esta herramienta y adelantese a Windows 7, el sucesor de Vista.

Descarguelo gratis desde:

http://www.stardock.com/products/bootskin/

Fuente: http://www.vnunet.es/

Wireless Security

Si estás realizando algún proyecto de investigación sobre seguridad inalámbrica, te recomiendo ampliamente este libro, relata con increible detalle los temas más relevantes acerca de la seguridad en WLan. En el podrás encontrar desde la creación de políticas de seguridad empresarial para un uso racional del espectro inalámbrico en la organización, pasando por la descripción de los 10 principales riesgos y amenazas inalámbricas actuales, hasta la evolución de los sistemas de telefonía celular, CDMA2000, GPRS, GSM, 1xEV-DO, todo desde el punto de vista de la seguridad.

Publicado por: Roiman Valbuena

Hackeando redes WLAN_Parte_I

Como la próxima generación de TI en red, el protocolo inalámbrico 802,11 LAN, representa también las nuevas zonas de juegos para los hackers. La técnicas y algoritmos efectivos de cifrado para autenticación de seguridad en redes LAN inalámbricas aún están en desarrollo, pero los hackers ya poseen herramientas fáciles de utilizar, con las que pueden lanzar ataques cada vez más sofisticados, que ponen su activos de información en situación de riesgo.

Este artículo desea exponer cómo los hackers están explotando las vulnerabilidades 802,11 en redes LAN inalámbricas, y la amplia gama de herramientas de las que disponen. La información aquí presentada es una recopilación de los ya publicados riesgos para redes LAN inalámbricas.

Con el presente artículo también se quiere informar a los administradores de la seguridad informática, a qué se enfrentan, y cómo defenderse. Con el fin de asegurar de manera eficaz sus redes LAN inalámbricas, las empresas deben primero conocer los posibles peligros.

¿Qué está en riesgo?

Las redes Lan inalámbricas encaran todos los problemas de seguridad de presentan las redes de cable, además de los nuevos riesgos que se vislumbran por el medio inalámbrico que conecta a las estaciones y los puntos de acceso a la red cableada.

Uno de los problemas más grandes que presentan las redes Lan inalámbricas es la falta de un método de encriptado robusto y rápido, como todos sabemos las redes inalámbricas utilizan el aire como medio de dispersión de su señal, al utilizar este medio la velocidad de propagación es la misma que la velocidad de la luz en el vacío. Por las Lan inalámbricas podemos transmitir señales de datos, video y sonido, sin olvidar todo el contenido multimedia disponible en Internet en la actualidad.

Para la ejecución de un video por red inalámbrica se necesitan muchos recursos electrónicos, el principal de ellos es un DSP (Digital Signal Processing), o procesador digital de señales, que hace su máximo esfuerzo por lograr una latencia aceptable con calidad de video de tercera generación. Pero si se le añaden a este microcontrolador los algoritmos de encriptación y desencriptación necesarios para garantizar la confidencialidad, integridad y disponibilidad de los datos inalámbricos, su latencia aumentaría y con ello bajaría su QoS.

No quiero ser pesimista en el tema, pero estoy de acuerdo con “Guillaume Lehembre”, que escribe para la publicación Polaca Hakin9, y quien asegura que el problema de seguridad inalámbrica que tenemos hoy en día es producto del fracaso en la arquitectura del protocolo 802.11X y no de los sistemas de encriptación.

Un caso práctico de ello lo representa WEP (Wired Equivalent Privacy) el cual fue el primer protocolo de encriptación introducido en el pri­mer estándar IEEE 802.11 allá por 1999. Está basado en el algoritmo de encriptación RC4, con una clave secreta de 40 o 104 bits, combi­nada con un Vector de Inicialización (IV) de 24 bits para encriptar el mensaje, y que resultó un total fracaso.

Configuraciones de red inseguras:

Muchas organizaciones quieren asegurar sus redes LAN inalámbricas con redes privadas virtuales y, a continuación, erróneamente creen que la red es a prueba de balas. Si bien se necesita una gran sofisticación hacker para romper una VPN, una VPN puede ser como una puerta de hierro en una choza de hierba, si la red no está bien configurada. ¿Por qué un ladrón trataría de romper el bloqueo de la puerta de hierro si podía atravesar fácilmente las paredes delgadas de la cabaña?

La inseguridad en las configuraciones representa un problema importante. Los ajustes predeterminados que incluyen las contraseñas por defecto, un broadcast abierto de SSID, debilidad o no cifrado, y la falta de autenticación puede abrir un punto de acceso a ser una puerta de enlace a la red mayor. Configurado adecuadamente los puntos de acceso puede ser reconfigurado por los empleados que buscan una mayor operabilidad o con frecuencia, se busca restablecer la configuración predeterminada para obtener un aumento de potencia después de un fallo del sistema.

Espionaje:

Dado que la comunicación inalámbrica emite más ondas de radio, los espías que se limitan a escuchar las señales pueden fácilmente recoger los mensajes sin cifrar.

Además, los mensajes cifrados con la Wired Equivalent Privacy (WEP) pueden ser fácilmente descifrados con un poco de tiempo, y hay herramientas de hacking ampliamente disponibles. Estos intrusos pueden poner en peligro a las empresas de exponer a información sensible para espionaje corporativo.

Robo de Identidad:

El robo de identidad de un usuario autorizado plantea una de las mayores amenazas. El Service Set Identifiers (SSID) que actúacomo contraseña original y las direcciones de control de acceso al medio (MAC), que actúan como números de identificación personal comúnmente utilizados para verificar que los clientes son los autorizados a conectarse con su access point. Y debido a que las técnicas de cifrado y las normas no son infalibles, los intrusos pueden brillantemente desde afuera lograr ser autorizado con SSID y direcciones MAC para conectarse a una red inalámbrica LAN como un usuario autorizado con la capacidad de ancho de banda para robar, corromper o descargar archivos, y causar estragos en toda la red.

Evolución de los ataques:

Más ataques sofisticados, como el de denegación de servicio y Man-in-the-Middle ataques, pueden apagar las redes y comprometer la seguridad de las redes privadas virtuales inalámbricas. En próximos artículos se entrará en mayores detalles y la descripción de la forma en que estos ataques se producen: Nuevos Ataques en redes WLAN.

Aquí les dejo una serie de vínculos desde donde podrán bajar diferentes herramientas para el crackeado de redes WLan, tienen desde sencillos programas que permiten desautenticar usuarios, hasta programas que sirven de sondas y buscan redes inalámbricas para proceder a romper su SSID. También tienen programas que transforman una simple estación de trabajo en un access point y son capaces de redirigir sus señales a la máquina señuelo.

NetStumbler: http://www.netstumbler.com/

Kismet: http://www.kismetwireless.net/

Wellenreiter: http://packetstormsecurity.nl/

THC-RUT: http://www.thehackerschoice.com/

Ethereal: http://www.ethereal.com/

HostAP: http://hostap.epitest.fi/

AirSnort: http://airsnort.shmoo.com/

WEPCrack: http://sourceforge.net/projects/wepcrack/

Escrito por: Ing. Roiman Valbuena

Seguridad en redes Vlan

Todo buen administrador de redes sabe que seguramente el próximo ataque a sus sistemas provenga de su red. Por malicia o desconocimiento, los usuarios que se encuentran del lado interno tienen mucho más poder destructivo que los externos y eso es así gracias a los administradores confiados.

Hoy en día la gran mayoría de administradores ya tiene esto en cuenta y los usuarios internos están más controlados, aunque sea a nivel de aplicación. Como este blog nace con la idea de ayudar a los que menos experiencia tienen, vamos a explicar un poco por encima lo que podemos hacer para no dejar andar a nuestros usuarios a su antojo por toda nuestra red.

Vamos a empezar por marcarnos un objetivo: Evitar que usuarios no autorizados (llamémosles NA) accedan a máquinas con datos confidenciales (digamos SERVIDOR). Lo típico ¿no?
Una vez tenemos claro el objetivo, vamos a radicalizar nuestra postura y bloquearemos todo acceso del grupo de usuarios NA a SERVIDOR. ¿Cómo? Vamos a tirar por la solución ideal.

1) Lo ideal si nuestra electrónica de red lo permite: Separarlos en 2 VLAN's distintas. Pongamos a NA en la VLAN "Usuarios" (ID 10) y a SERVIDOR en la VLAN "Servidores" (ID 20).
Acabamos de cortar todo acceso entre los puntos de red de los usuarios y los de los servidores. Asegurémonos de no dejar puertos libres en el switch configurados en la VLAN "Servidores", de forma que nadie pueda pinchar una máquina ahí y tardemos en darnos cuenta de la intrusión.

2) Vamos a colocar un firewall dentro de nuestra red:
La idea es tratar la VLAN de usuarios como "zona peligrosa" y la VLAN de servidores como "zona a proteger". Pincharemos el firewall en nuestro switch de la siguiente manera:
El puerto "externo" pinchado en la VLAN de usuarios y el puerto "interno" en la VLAN de servidores.

Una vez pinchado el firewall vamos a ponerle una IP interna, otra IP externa y configuraremos las rutas para que las máquinas de ambas VLAN's puedan intercambiar información. Acto seguido bloquearemos todo el tráfico entre las dos interfaces (VLAN 10 y 20).

3) Ahora toca establecer una tabla donde veamos de un vistazo rápido que máquinas de la VLAN de usuarios necesitan alcanzar ciertos recursos de la VLAN de servidores (y que recursos son estos). Con esta tabla trabajaremos en las políticas del firewall para filtrar todo el tráfico por listas de acceso.

A este nivel tendríamos una seguridad bastante decente para nuestra red interna. Ahora es el turno de los sysadmin para poner un nivel de más de seguridad mediante cuentas de usuario (lo que nos permite discriminar quien accede a qué, independientemente de que máquina use).

Incluso podríamos colaborar con el departamento de sistemas, y que nuestro firewall autorizara el paso a ciertos recursos después de consultar usuario y contraseña contra un servidor RADIUS... O de validar los usuarios remotos (que vengan por una VPN) también contra el RADIUS de los chicos de sistemas.

Fuente: http://www.seguridadinformatica.es/

Colaborador.