martes, 31 de mayo de 2005 0 comentarios

Malware diseñado para el espionaje industrial

Leo vía Una al día - Noticias Hispasec que en Israel han detenido a 18 personas, entre ellas ejecutivos de empresas por realizar espionaje industrial mediante el uso de troyanos. Estos directivos han estado accediendo a imagenes y documentos de la competencia durante más de un año. El seguimiento de la competencia es necesario en un entorno tan competitivo pero el uso de medios informáticos para hacerlo de una forma poco lícita puede que ahora sea una práctica común.

Aunque esto es sólo un hecho puntual y conocido porque ha salido a la luz, muchas veces como consultor de seguridad uno se siente mirado como un bicho raro cuando comenta cosas y casos como este. Damos la sensación de ser un poco paranóicos y aunque nuestra intención no es generar inquitud ni miedo, si algo de concienciación y de descubrir la necesidad de empezar a tomar cartas en el asunto respecto a la seguridad de la información. Va ya para siete años que estoy en estos temas y los sucesos que este año he posteado en este blog son cada vez más preocupantes. De repente se ha destapado la caja de pandora de la seguridad de la información como una forma de ganar dinero fácil y de robar impunemente por parte del crimen organizado. Y aunque llevamos los del gremio de la seguridad advirtiendo de estos hechos desde hace mucho tiempo, siempre se ha echo oidos sordos al tema porque se mira la seguridad como un gasto y no como una inversión en la protección del patrimonio. En fin, llegan ahora las tormentas que venimos anunciando desde hace tiempo... en fin,cuando el incidente haya sucedido, solo podremos llorar al lado del afectado.

Un blog tambien sirve de bitácora de auditoria y viendo hoy el estado de mis pronósticos para este año, casi la mitad ya están sucediendo.

Ya hemos presenciado el incremento en las oleadas de phishing en España, han aparecido los primeros virus que secuestran datos, intentos de robo de dinero electrónico y hoy se publica la detención de directivos por espionaje indistrial telemático mediante troyanos informáticos.

Como dice Bernardo Quintero en la noticia de una-al-día "Todos estamos de acuerdo en que en este ámbito no se puede hablar de seguridad al 100%, si bien también hemos de destacar que a día de hoy las empresas no son conscientes del riesgo real al que están expuestas. Vivimos bajo una falsa sensación de seguridad. "
lunes, 23 de mayo de 2005 0 comentarios

Evolución del malware

Muchas veces en este Web han aparecido referencias a Sun Tzu y "El arte de la guerra". Una de sus enseñanzas es tratar de esforzarse en conocer al enemigo, para estar preparados a sus posibles ataques.

El documento que hoy referencio me parece una interesante reflexión entorno al mundo del malware y su evolución. De este estudio podemos deducir cuales son las tendencias entre los que generan código malicioso y debería servir para prepararnos hacia lo que puede venir.

Como hechos significativos a destacar del documento, apunto las siguientes reflexiones:
1.- En los primeros momentos del malware, la obsesión era obtener una rápida difusión y contaminación de equipos. Una vez que estos objetivos se han cumplido, ahora se persiguen objetivos más ambiciosos y útiles para sus finalidades.

2.- Los esfuerzos se orientan cada vez más a obtener el control remoto de las máquinas atacadas. Esta tendencia lleva a tratar de reclutar por parte de los atacantes, un ejercito de "cibersoldados-zombies" que puedan usar a su antojo.

3.- Los atacantes conocen las debilidades de la protección perimentral y están usando técnicas que las hacen inefectivas. Para ello, el contagio y la infección de la máquina lo realizan a través de puertos de conexión del exterior que normalmente autorizados por los firewalls (web, smtp,pop3,etc.). Una vez contaminado el equipo, el zombie se conecta a redes desde donde es controlado mediante protocolos como el irc.

4.- La principal motivación empieza a ser el "ánimo de lucro", o sea, se empiezan a alinear los intereses de los atacantes cualificados técnicamente en la generación de código malicioso con los delincuentes del crimen organizado que ven un nuevo filón para ganar dinero fácilmente.


El informe completo puede leerse en "Evolution of malware"

También quier destacar del Blog de "Dana Epp's ramblings at the Santuary" un comentario sobre estudios del SANS Institute sobre el cambio de objetivo de los piratas informáticos. Empiezan a no dirigir sus objetivos contra Microsoft y a centrarse en otros productos de amplia difusión. Ente ellos, está el propio software de seguridad informática y los programas de ocio introducidos en terminales móviles, iPod's, etc. Mas información en Hackers aren't just picking on Microsoft
viernes, 20 de mayo de 2005 0 comentarios

Reglas sencillas para conseguir contraseñas mas robustas

Las constraseñas son a día de hoy la principal medida de seguridad aplicada en la mayoría de los entornos y sistemas. Aunque ya en este blog han sido cuestionadas como mecanismo de autenticación, la realidad nos empuja a tener que seguir utilizándolas. Asi que dado que no hay alternativas, al menos, si merece la pena intentar hacerlas mucho más robustas frente a los ataques por fuerza bruta.

El Sans Institute publica hoy un documento sobre "Simple Formulas for Strong Passwords".

El texto documenta unas sencillas y prácticas reglas para transformar una mala contraseña en otra mucho más robusta y eficiente.

Como ejemplo práctico de alguna de estas reglas vamos a ver una de sus conversiones.
-Mala contraseña: perro, gato,

- Regla de conversión: unir e intercalar palabras y fechas que por sí solas son malas contraseñas.

- Nueva buena contraseña: 18-perro-05-1975
martes, 17 de mayo de 2005 0 comentarios

Assimilator, monitorización de procesos en ejecución.

Un elemento interesante respecto la detección de software malicioso sería la correcta monitorización de procesos. La herramienta que he encontrado hoy permite crear un catálogo de procesos que normalmente se encuentran en ejecución en nuestro pc. Esta lista sería una declaración de los procesos autorizados y que damos por supuesto que son licitos que se encuentren en ejecución. El programa assimilator, que se queda residente, advertirá al usuario respecto de cualquier otro proceso que intente ejecutarse y no se encuentre en la lista de procesos declarados, permitiendo incluirlo en la lista de procesos válidos, investigar sobre el proceso nuevo detectado o terminar su ejecución. Para equipos servidores con pocos procesos lanzados por usuarios, puede ser una opción interesante de cara a monitorizar la ejecución del sistema.

El documento sobre qué es y qué hace assimilator puede consultarse aquí.
lunes, 16 de mayo de 2005 0 comentarios

Microsoft Onecare Live: ayuda en linea en seguridad para usuarios inexpertos

Microsoft va a lanzar pronto un nuevo servicio de ayuda on-line para apoyar a aquellas personas que no saben o no tienen tiempo en hacer las labores básicas de mantenimiento tanto del rendimiento como de la seguridad de su PC.

Será un soporte mayor que Windows Update y seguramente más dirigido al usuario. No es tan solo actualizar el equipo sino garantizar que está lo suficientemente protegido. Será un servicio integrado que contemplará la revisión de antivirus, firewall, la monitorización de log del equipo y la gestión de las copias de seguridad. En fin, todos los aspectos que llevan a un mantenimiento preventivo adecuado.

A ver que tal les sale el producto a los chicos de Microsoft. De nuevo, otro punto en su favor y en el de la seguridad en general.
Enlace: ONECARE de Microsoft.
sábado, 14 de mayo de 2005 0 comentarios

Gestión de logs en Windows

La gestión de log's tanto en su revisión como en su correcto almacenamiento es un aspecto importante que a menudo se descuida. En el mundo Windows, se dispone del Event Log. La herramienta que hoy comento, log parser, permite una consulta sencilla de los logs en modo SQL, pudiendo introducir los resultados obtenidos en tablas. Además, es capaz de generar estadísticas con los eventos, lo que transforma los datos recogidos en el event log en una fuente de indicadores de gestión. El que queremos mirar ya es cuestión de nuestras necesidades de vigilancia.
Como siempre, herramientas existen, lo que nadie define es que necesita "monitorizar".
Fuente: href="http://www.microsoft.com/technet/scriptcenter/tools/logparser/default.mspx">
lunes, 9 de mayo de 2005 0 comentarios

Uso de Visio y Microsoft Baseline Security Analyzer

La gestión de parches es una tarea imprescindible hoy en día para una adecuada gestión de la seguridad. También es recomendable el tener las redes documentadas. La url que hoy proporciono facilita mucho la revisión del estado de las máquinas, puesto que lleva a Visio los resultados obtenidos del escaner de seguridad de Microsoft MBSA.

Url:Visio Connector for Microsoft Baseline Security Analyzer (MBSA)

Este complemento permite ejecutar desde Visio el MBSA y colorear el gráfico de red en función de los resultados obtenidos por cada uno de los equipos, asociando el color rojo, naranja o verde a los diferentes niveles de vulnerabilidad encontrados. Es una forma cómoda de ir revisando periodicamente el estado de la red y de tener documentado el mismo.

¡Bien hecho por los chicos de Microsoft!
miércoles, 4 de mayo de 2005 0 comentarios

¿Que hace este proceso?

A menudo ocurre que utilizando el administrador de tareas, vemos procesos en ejecución que no identificamos con alguna de las cosas que estamos haciendo. Con una herramienta más avanzada como Process Explorer de Sysinternals ya podemos ver la ruta en el sistema del proceso, las claves de registro que utiliza y las dlls que carga. Con toda esta información ya podemos diagnosticar si ese proceso es lícito o bien se trata de algun especimen de código malicioso. Otra forma rápida de averiguar que hace un determinado proceso puede ser la web que hoy referencio. Es un listado de procesos y su utilidad. Una alternativa a buscar directamente en Google esta información.
Se puede consultar en What process?
 
;