jueves, 30 de septiembre de 2004 0 comentarios
"Coste en USA del Phishing"

La nueva amenaza, el phishing o suplantación de un Web ya empieza a generar perdidas económicas. La noticia que hoy referencio habla del orden de 500 millones de dolares.

El ataque.
Como ya he comentado en otros post, la alta tecnología del ataque consiste en copiar la imagen de un web, y enviar correos masivos solicitando a usuarios cualquier cosa que implique autenticarse con una cuenta en el portal. Una vez capturada esta información, los malechores ya pueden hacer lo que quieran.

La defensa.

Contra este tipo de ataque solo hay dos mecanismos eficientes de defensa.
- Informar al usuario de este tipo de amenaza y formarle en qué comprobaciones debe hacer antes de confiar en un correo que le solicite cambiar una contraseña o revelar información confidencial.
-Divulgar lo más rapido posible información sobre los correos de phishing que esten circulando por la red. Para ello, se pueden crear puntos de información de confianza, que esten en manos de instituciones de crédito como puede ser el portal de alerta temprana de Red.es
Dentro de este tipo de iniciativas, ya existe a nivel internacional >Antiphishing.org


La noticia.
Yahoo! News - Phishing Tab To Reach $500 Million
miércoles, 29 de septiembre de 2004 0 comentarios
Noticias en el Web respecto a posibles virus en imagenes JPEG


- JPEG exploit could beat antivirus software | CNET News.com

- JPEG "Virus" Facts

- Chinaview: Hackers target Microsoft's JPEG flaw

-Jpeg Of Death.c v0.5
0 comentarios
Virus para la vulnerabilidad del JPEG

Por desgracia, los pronósticos se cumplen. No hace ni una semana que postee una noticia sobre la ventana de vulnerabilidad y como se acortan los plazos entre la aparición del fallo y el intento de abusar de ellos, cuando recibo la noticia de la aparición de virus que intenta explotar esta vulnerabilidad.

Siguiendo la cronología de eventos, una vez finalizado el ciclo de inseguridad, tenemos las siguientes cifras.
14-septiembre: Microsoft publica el boletin con la vulnerabilidad y el parche.
17-septiembre: Exploit del fallo como prueba de concepto.
29-septiembre: Virus que explota el fallo.

Como vemos, las carreras entre el ratón (usuarios) y el gato (hackers) cada vez tienen tiempos más cortos en perjuicio del más debil, el usuario.

La noticia de la aparición del virus puede leerse en
Wired News: Malicious Code Hides in JPEGs
martes, 28 de septiembre de 2004 0 comentarios
Formación gratuita en seguridad de Microsoft

Del blog Jerry's Security Weblog recojo la información sobre unos cursos de e-learning gratuitos sobre Seguridad en entornos Microsoft.

Como novedad, la existencia de un curso práctico de aplicación de conceptos. La información completa se puede encontrar en la web de Microsoft. El conjunto de cursos disponibles son:


Elearning
- Clinic 2801: Microsoft® Security Guidance Training I

Summary: This online clinic provides students with introductory knowledge and skills essential for the design and implementation of a secure computing environment. It also provides students with prescriptive guidance on security update management and best practices for implementing security on Microsoft Windows® server and client computers.
Audience: IT Pro

- Clinic 2802: Microsoft® Security Guidance Training II

Summary: This online clinic builds on existing knowledge of server and client security and provides students with the knowledge and skills to apply best practices to implement perimeter and network defenses and enhance security for applications and Microsoft® Windows Server System™ components. It also provides students with prescriptive guidance to enhance security for Microsoft Windows® server and client computers and practical strategies for implementing security for wireless networks.
Audience: IT Pro

- Clinic 2806: Microsoft® Security Guidance Training for Developers

Summary: This online clinic provides students with knowledge and skills essential for the creation of applications with enhanced security. Students will learn about the need for implementing security at every stage of the development process and best practices for applying security principles. Students will also learn how to use established threat modeling methodologies and tools with other best practices to minimize vulnerabilities and limit damage from attacks. Finally, students will learn how to implement security features to enhance security for Web applications and Web services that are built by using Microsoft ASP.NET.
Audience: Developer


Hands-On Labs
- Hands-On Lab 2811: Applying Microsoft® Security Guidance Training

Summary:This hands-on lab allows students to apply information and guidance that can help improve security in a network based on Microsoft Windows®. Students can perform tasks related to security update management and implementing security on Microsoft Windows® server and client computers.
Audience: IT Pro


0 comentarios

Hacker vs. Cracker

En el Blog de Microsiervos, encontramos un artículo interesante acerca de la
eterna discusión entre que es un hacker y un cracker y cual es la esencial diferencia entre uno y otro.

En prensa suele asociarse al "delincuente electrónico" con la palabra "hacker" cuando a veces, es más apropiado usar otro término.

Microsiervos: Hacker vs. Cracker
lunes, 27 de septiembre de 2004 0 comentarios
Hace unos días posteaba una noticia que hacía referencia al mal ejemplo que da la contratación del creador del virus Sasser por parte de Securepoint. Las críticas les han llovido a esta compañia por todos lados, alegando que este hecho que puede animar a más "script-kiddies" a probar código vírico dado que posteriormente son recompensados. Como bien publique en su momento, el creador de Sasser no era consciente del daño que iba a producir su programa.

¿Es esto un genio de la programación? ¿Es un experto en seguridad?.

El ensayo y error no es precisamente un metodo adecuado cuando lo que se está probando son "armas de destrucción informática masiva". En cualquier caso, este tipo de desarrollos que tienen consecuencias tan nefastas para la red deben ser penadas judicialmente para evitar la impunidad electrónica de los delitos informáticos, porque los daños económicos no son electrónicos sino tangibles, cuantificables y cuantiosos...

¿Se imaginan a un niño disparando un misil contra las torres gemelas y luego siendo contratado por el propio ejercito americano como si fuera un héroe por haber encontrado el punto vulnerable que con un solo disparo es capaz de tirar toda la infraestructura?

La noticia completa puede verse en News & Technology - CNETAsia
jueves, 23 de septiembre de 2004 0 comentarios
Explotar vulnerabilidades y ventana de exposición

Estamos presenciando fenómenos curiosos que reflejan la vertiginosidad de la seguridad informática. La conexión a Internet favorece la comunicación entre las personas y para bien o para mal, la comunicación de conocimientos. En este caso, el fenómeno curioso que quiero hoy contar es de que forma se está reduciendo la ventana de exposición por parte de los fabricantes y lo rápido que aparecen los exploits para vulnerabilidades.

El día 14, Microsoft publicaba en su boletín de seguridad 28 de este año, la vulnerabilidad relacionada con un problema en la gestión de archivos JPG. El volumen de víctimas es alto dada la cantidad de productos afectados y el uso de este tipo de formato de ficheros y el impacto de la vulnerabilidad es permitir el acceso a archivos del usuario vulnerable.

La publicación del fallo se realizó el dia 14 de septiembre. El día 17 ya aparecían las primeras noticias de exploit que realizaban pruebas de concepto sobre esta vulnerabilidad.

La ventana de exposición es el tiempo transcurrido entre la publicación de la vulnerabilidad y la aplicación del parche. En este caso no debería haber mucho riesgo ya que eso ocurrió el mismo día porque la vulnerabilidad se publico porque ya existía parche, que es la política de Microsoft al respecto.




El problema es cuanto tiempo está abierta esta ventana de exposición en un usuario normal. Ahora, gracias a Windows Update estas tareas son automáticas pero al menos el usuario debe configurar bien las opciones de actualización. Windows XP SP2 incorpora ahora también un panel de seguridad donde avisa al usuario del riesgo que corre si no tiene configurada correctamente la actualización automática. Aun así, seguro que en breve aparece un virus/gusano/troyano que explota este fallo y que contamina a millones de usuarios. Tiempo al tiempo... seguramente lo veremos en pocos meses o días...

Noticias relacionadas:
Microsoft Security Bulletin MS04-028: Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution (833987)

MS04-028 Exploit Code Published!!!
miércoles, 22 de septiembre de 2004 0 comentarios
Diez cosas de seguridad informatica que debe saber todo programador.

En la Web de MSDN de Microsoft,podemos encontrar a modo de resumen diez aspectos de seguridad que todo programador debería plantearse a la hora de diseñar un programa.
Es importante que la seguridad aparezca desde el diseño, porque incorporarla posteriormente puede ser imposible o más complicado. Más vale prevenir que curar, sobre todo con sistemas en producción.

La concienciación en seguridad tanto de usuarios como de administradores y desarrolladores es también una medida de seguridad. Como dice un proverbio ruso "si cada uno barriera delante de su puerta, la ciudad estaría limpia".
El enlace se puede consultar en
Overview: Security Tips: Defend Your Code with Top Ten Security Tips Every Developer Must Know
martes, 21 de septiembre de 2004 0 comentarios
Malos ejemplos

Aparece hoy un titular en el Web que al autor del virus Sasser lo va a contratar la empresa de seguridad Securepoint. Estas no son buenas noticias para la seguridad, porque se alimenta y fomenta la aparición de nuevos chicos intrépidos que intenten imitar a este. Además, tampoco es cierto que un creador de virus sea un experto en seguridad.

Como simil significativo, sería algo como:
Ser capaz de romper una ventana no te hace de la noche a la mañana ser arquitecto.

En fin, lo preocupante es que los responsables de seguridad informática/de la información no estan alineados en una posición y estrategia única. La unión y la coordinación hace la fuerza. Este tipo de noticias hacen mucho más daño del que se cree porque estamos incitando a los aprendices de hacker a buscar un premio, estamos motivando a futuros delincuentes y minimizando este tipo de delitos.

La noticia puede ser leida con detalle en OhmyNews -Using Virus Writing to Find a Job
0 comentarios
Blog de concienciación de usuarios

Empiezo a encontrar más blogs que comparten los mismos objetivos que el mio, la concienciación y formación en materia de seguridad. Seguramente cree una sección dentro de enlaces para tener reunidas todas estas fuentes. Lo interesante sería que nos fueramos entrelazando y los diferentes autores colaborando, ... usar redes sociales.

Security Awareness for Ma, Pa & the Corporate Clueless
lunes, 20 de septiembre de 2004 0 comentarios
Gráfico visual de la historia del spam

A través de un blog de seguridad me llega la noticia de la representación gráfica del spam. Se puede observar como la aplicación de tecnología ha paliado en algo el volumen de spam generado pero no la incidencia del mismo.



El gráfico puede consultarse en en enlace A visual history of spam (and virus) email
jueves, 16 de septiembre de 2004 0 comentarios
Windows XP Service Pack 2 disponible en castellano

Acabo de terminar de instalar el Service Pack 2 en castellano. Que Dios nos pille confesados..

Son casi 108 Mb y tarda un rato en bajar. En el proceso de descarga, seguramente por temas de retardo me ha fallado la instalación y al volver a intentarlo ha seguido por donde se había quedado.

Como novedad aparece en el panel de control el Centro de Seguridad que te indica el estado de tu firewall, tu antivirus comercial y el tipo de configuración para las actualizaciones del sistema.



Ahora, cada vez que un ejecutable no reconocido por el firewall intenta conectar por primera vez a la red, pregunta al usuario si desea bloquear el acceso, desbloquearlo o preguntar más tarde.
Si se opta por desbloquear, el firewall autoriza a ese ejecutable por el puerto que está intentando usar. El puerto estará abierto mientras el programa está en ejecución. Otra opción posible es abrir el puerto sin asociarlo a ningun programa, pero eso conlleva más riesgos.

De la configuración del firewall se hecha alguna cosa de menos. Siempre nos gusta que haya un modo usuario muy avanzado, para poder configurar a nuestro gusto las cosas. En este caso, podrían haber pormenorizado mucho más la configuración permitiendo por cada aplicación la selección de puertos que se autorizan. Tal como está hecho, no hay forma de saber que puertos implican la autorización de un ejecutable.
miércoles, 15 de septiembre de 2004 0 comentarios
Linux vs. Windows en el campo de batalla

La web Zone-H recoge y documenta los webs que han caido en manos de hackers. Dentro de esta curiosa afición de registrar a los "caidos", además tambien estan generando estadísticas sobre el campo de batalla del ciberespacio. En esta dirección se puede ver como la tendencia actual hace Linux se encuentre más atacado con exito que Windows.




¿Cambia esto la sensación de inseguridad que amenaza siempre a la imagen de Windows?

Yo siempre he creido que Windows ha sido más "hackeado" principalmente por ser el sistema operativo con más usuarios. A mayor población de victimas, mayor probabilidad de encontrar a un pobre usuario con el equipo desconfigurado. A ello se suman los graves errores de diseño de las versiones del S.O. Windows NT y sus aplicaciones Internet (IIS sobre todo).

Es complicado hacer deducciones pero se me ocurren muchas reflexiones al respecto de algunos tópicos sobre el tema:

1.- Del dicho "Windows es más inseguro" podemos ver que actualmente Linux está siendo más hackeado. Ello puede deberse a varios factores:
a) Política de Windows Update que cierra la ventana de vulnerabilidad (Tiempo que transcurre entre que se publica el fallo y se publica y aplica el parche).
b) Política de Microsoft para incluir seguridad en el diseño. A ello se suma la aparición cada vez mayor de características de seguridad. Como ultimo ejemplo, el nuevo service pack 2 de XP que incorpora un firewall y una consola general de seguridad que nos informa de forma aproximada del riesgo de nuestro PC.
c) Mayor documentación para bastionar entornos Microsoft y cambio de la política de instalación predeterminada del "todo permitido" al "todo denegado".
d) Actualización a las ultimas versiones más seguras de Windows por parte de los clientes, migrando de Windows 3.11 a Windows XP.
2.- "El software libre es más seguro".
a) Tener acceso al código es una ventaja de cara a "saber" que hace un programa, pero es una desventaja de cara a investigar sobre qué hace un programa para maliciosamente explotar un error de programación.
b) El incremento del uso de software libre lo hace también más interesante para los hackers puesto que aparece más potenciales victimas.
c) El uso de Linux por parte de usuarios novatos y las "configuraciones por defecto" de las distribuciones más asequibles para usuarios sin conocimientos técnicos los situa igual de indefensos que a los usuarios de Windows con su "instala y listo".

Al final, la familia BSD que es un sistema operativo minoritario, libre y robusto es el menos vulnerable. Creo que la inseguridad real de un sistema en producción es más un factor asociado al desconocimiento de la persona que instala y que mantiene el sistema que a la aparición de fallos del sistema operativo. El problema principal es "cómo se gestiona la ventana de vulnerabilidad".

Información detallada de los resultados durante el año 2003-2004 se puede consultar en la dirección Zone-H.org * Windows vs. Linux
martes, 14 de septiembre de 2004 0 comentarios
Software de cifrado gratis

He encontrado un producto de cifrado simetrico con claves de 128 bits y cuyo uso es libre y gratuito sin pérdidas de funcionalidad. Entre las características técnicas del producto se incluyen:

-Crear un contenedor de información seguro en cualquier soporte de información y para cualquier tipo de información.
-Claves de 128 bit. Cifrado fuerte.
- Uso sencillo utilizando pulsar y arrastrar.
- Fácil de usar, dificil de romper.
- Funciona para todas las versiones de Windows.
- Funciona sobre todos los tipos de dispositivos (Disco usb, etc.)
- Envío de correo seguro
- Gratuito

El software se puede descargar en la dirección Cypherix : Cryptainer LE Free Encryption Software
lunes, 13 de septiembre de 2004 0 comentarios
Gusano SDBOT instala un Sniffer en el PC Infectado

Dentro de esta nueva moda de mezclar en un virus/gusano otras herramientas de seguridad, aparece el primer virus que incluye un sniffer que captura el tráfico entrante y saliente del PC infectado, obteniendo solo los paquetes que contienen ciertas palabras "sensibles" de contener información confidencial. Como muestra de las palabras utilizadas para capturar paquetes se encuentran las siguientes:
: auth, : login, :!auth, :!hashin, :!login, :!secure, :!syn, :$auth, :$hashin, :$login, :$syn, :%auth, :%hashin, :%login, :%syn, :&auth, :&login, :*auth, :*login, :,auth, :,login, :.auth, :.hashin, :.login, :.secure, :.syn, :/auth, :/login, :?auth, :?login, :@auth, :@login, :\auth, :\login, :~auth, :~login, :+auth, :+login, :=auth, :=login, :'auth, :-auth, :'login, :-login


Puede leerse más sobre la noticia en:

SANS - Internet Storm Center - Gusano SDBOT

TrendMicro SDBOT.UH
0 comentarios
Gmail phishing

El futuro nuevo servicio de Gmail de Google ya está sufriendo el phishing. Algunos usuarios americanos del nuevo servicio han recibido un correo para incrementar su numero de invitaciones. Esta imagen es una captura del email.




Aqui el que no corre vuela. No lleva ni un mes el servicio funcionando y todavía no ha salido al gran público y ya está siendo atacado de esta forma.
viernes, 10 de septiembre de 2004 0 comentarios
Comprometer máquinas de usuarios ya tiene precio

Aparece en el USA Today de ayer una noticia que aunque curiosa, no deja de ser mas que preocupante. El hackear una máquina para convertirla en un PC Zombi y posteriormente dejarla a libre disposición de quien quiera usarla con los fines ilicitos que le apetezca se ha convertido en un negocio. Tal como aparece en el artículo, la cuantía oscila entorno a los 20.000-30.000$ por 20.000 máquinas comprometidas.
Si hacemos un calculo trivial sale a 1$/€ por máquina... así que señores...vayamos preparandonos porque cada máquina que aparezca conectada en Internet va a querer ser cazada por estos mercenarios que van a ganar dinero una vez que consigan conquistar nuestro PC. Los usos ilícitos por ahora parecen apuntar a la generación de spam.

Con una velocidad de propagación de cualquiera de los ultimos virus (Sasser, Mydoom, Bagle,etc.) que pueden llegar en unas horas a varios millones de ordenadores, el negocio está asegurado.

La noticia original de UsaToday puede leerse en el siguiente enlace: USATODAY.com - Going price for network of zombie PCs: $2,000-$3,000
viernes, 3 de septiembre de 2004 0 comentarios
Pshishing, Scam y herramientas para evitarlo

Tal como comenta el artículo aparecido en el Mouse Digital - Cuidado con el "phishing", se está popularizando un nuevo método de estafa on-line. Aunque en España solo se han visto afectados hasta el momento el Banco Popular y el BBVA, las entidades financieras están planteandose cómo evitarlo.

Pues señores, malas noticias porque ya pudieron en su momento al diseñar las plataformas de banca on-line y no quisieron hacer nada.

Todos hemos comprobado como en una conexión on-line el banco nos presenta un certificado que acredita que la dirección del banco dispone de un certificado digital que autentica que esta url se corresponde con el banco físico al que parece representar.
Eso nos garantiza la identidad del banco y se llama autenticación de servidor.

Lo mismo podría haberse hecho con "los clientes". En el proceso de dar de alta el servicio, los bancos podían haber pensado en un sistema de acceso seguro y autenticado, más robusto que el desfasado mecanismo de "usuario-contraseña", pero claro, por costes no merecía la pena. Tener que entregar a cada cliente un certificado digital para que solo accedieran aquellos que tengan cuenta no les parecía valido...

Y ahora pasa lo que pasa. Si desde el primer momento no se ponen las mejores medidas de seguridad, al final, aparecen problemas.

El problema del scam y el pshishing tiene una solución tecnologíca desde hace años, la "FIRMA DIGITAL". Hemos acostumbrado a la gente a fiarse de la autenticidad de los correos, aunque no existe ninguna prueba "tecnica fiable" del mismo. Llevado al mundo físico, es como si hubieramos permitido entrar a un banco y sacar dinero a cualquier persona sin pedir el DNI en cada operación. Es fiarse sin evidencias, confiar sin pruebas. Y claro, cuando se peca de ingenuo o de bueno, al final hay alguien que quiere aprovecharse y ganar dinero de forma ilicita.
Aunque el artículo del Mouse digital habla de una nueva técnica de hacking, ni es scam es una técnica, ni es nueva. De toda la vida a esto se le ha llamado "Ingeniería Social" y es el método más común de hacking, usado desde los comienzos del mismo. Se trata de obtener información de alguien abusando de su confianza o mediante engaño. Tan solo se envía un correo electrónico haciendose pasar por un banco, y se publica en Internet una web con identica imagen a la del banco suplantado.

El problema es que la solución para todo esto solo pasa por la "FORMACIÓN DEL USUARIO FINAL", algo que hasta ahora ha sido olvidado. Tenemos que plantear ya en serio una educación tecnologica para ciudadanos, dado que parece que el mundo de lo cibernético está siendo invadido por el mundo de la delincuencia.
Ya en un PC tenemos instalado como poco los siguientes elementos:

- Antivirus
- Anti-spyware
- Detectores de intrusos
- Anti-troyanos
- Anti-pshishing

El PC se parece cada vez más a una fortaleza llena de fosos, muros y alarmas, para evitar ser devorados por los lobos del ciberespacio.

Hoy he encontrado una barra para Internet Explorer que evita que dentro de la pagina web se nos reenvíe a otro sitio o que aparezca una url en el navegador y que realmente estemos en otra dirección. Es libre y puede descargarse en EarthLink Toolbar.
0 comentarios
Legislación en materia del derecho tecnológico

No había posteado hasta ahora enlaces o referencias a la legislación que regula el uso de la informática y la protección de la información. Yo siempre he usado para estas cosas la web de Carlos Alméida, un prestigioso abogado que ha defendido los casos más conocidos de hacking en España.

Aunque el tema es espinoso, el mundo digital complica para los juristas bastante la forma de aplicar la legislación. Creo principalmente que esto se produce por varios motivos:
- Legislación con terminología ambigua o imprecisa que permite interpretaciones diferentes debido al desconocimiento del mundo judicial respecto del vocabulario tecnico que exprese con precisión lo regulado.
- Volatilidad de las pruebas, ya que en el mundo electrónico los log's todavía no tienen la consideración o importancia que debieran y los rastros se pierden enseguida.
- Dificultad para garantizar la inmutabilidad de la prueba, ya que los hechos físicos dejan un rastro tangible, mientras que los hechos lógicos sólo lo hacen si se garantizan una serie de requisitos técnicos a la hora de recoger pruebas, o sea, relacionado con lo anterior, la adecuada gestión de los log's.

Partiendo sólo del hecho de que "El tiempo" es un parámetro de configuración del sistema que no se puede objetivar, lo demás parece ya menos importante. Hago referencia al blog de Bufet Almeida en donde se puede encontrar material muy interesante y reflexiones respecto a los casos de delitos informáticos.
Legislacion en Derecho Tecnológico.
jueves, 2 de septiembre de 2004 0 comentarios
Propiedad intelectual en el siglo XXI

En el blog de Carlos Almeida, me encuentro con una referencia a la traducción del libro Free Culture, de Lawrence Lessig. Una obra cuyo título puede traducirse tanto por Cultura Libre como por Liberen la Cultura.

Aunque todavía no tengo una opinión formada al respecto de cómo debe gestionarse los derechos de propiedad intelectual en el siglo XXI, nunca viene mál que expertos del derecho nos ilustren con obras cómo ven ellos el futuro de la propiedad intelectual.

Yo me limito a postear la referencia al artículo que Carlos Almeida ha elaborado en referencia al libro, ya que me parece interesante su visión del derecho tecnológico que puede leerse en República Internet: Liberen la Cultura y la referencia al blog de Antonio Cordoba, la persona que ha traducido el libro de Lawrence Lessing y que puede encontrarse en la dirección
Elastico.net
miércoles, 1 de septiembre de 2004 0 comentarios
Consola de seguridad perimetral

En la web de Activeworx aparece software libre para montar una consola de seguridad perimetral. Este programa proporciona una interfaz gráfica para consolidad eventos y log's de seguridad relacionados con:

-Firewall, Syslog, Sebek y TCPDump.

Proporciona un interfaz facil de instalar y usar y con capacidades de correlación y busqueda de logs, integrado con herramientas IP y la posibilidad de examinar los paquetes IP con TCPDump.




Este programa es libre y puede usarse sobre sistemas Windows.
 
;