Keyloggers

Hace poco un compañero comentaba en un post la comercialización por internet de USB’s infectados con malware. La realidad es que no paran de surgir nuevas posibilidades de infecciones virus, troyanos, etc.

Dentro de todo este maremágnum de software malicioso, me voy a centrar en los keyloggers, ya que parece que está bastante de moda el uso de los mismos.

Como podemos comprobar ya no sólo son los troyanos los que capturan pulsaciones de teclado con el fin de robar credenciales y cometer fraude posteriormente con los mismos, como es el caso del Mebroot. Troyano que vemos que evoluciona constantemente variando de manera que resulta cada vez más difícil la detección del mismo.

Existe también multitud de Spyware (programas espía) que monitorizan toda la actividad que tenemos en nuestro ordenador, y por supuesto, también capturan las pulsaciones dando varias posibilidades, crear archivos de logs con las pulsaciones, enviarlas a un servidor ftp, enviarlas a una cuenta de correo, etc.

Lo cierto es que hemos analizado una gran cantidad de keylogers que incluyen este tipo de programas espía, los que aparecen en este link y otros tantos más.

Utilizando tanto aplicaciones del mercado, como aplicaciones propias hemos visto que la técnica que más predomina en este tipo de malware son los hooks SetWindowsHookEx. En RING 3 (espacio de usuario) en torno al 80% de las aplicaciones analizadas utiliza ésta técnica SetWindowsHookEx. En RING 0 (espacio del kernel) normalmente acceden a los datos del dispositivo de teclado correspondiente (USB, PS/2). Parece obvio que el porcentaje de keyloggers en RING 0 sea bastante menor pues la programación a este nivel es mucho más compleja.

Es evidente que debemos protegernos de este tipo de malware, para ello tenemos varias opciones:

• Programas Antivirus. Normalmente detectan este tipo de malware o bien por firmas o por técnicas heurísticas. Algunos de los programas de monitorización aseguran en sus web que son indetectables con este tipo de programas.
  


• Programas Anti-Keyloggers o Antiespía. La mayoría son similares a los antivirus, es decir necesitamos firmas, y por tanto tener actualizado el programa para detectar los últimos keyloggers.
  


• Programas especializados en la detección de rootkits. Programas que no suelen utilizar firmas, sino que basan su análisis en las estructuras internas del sistema operativo (procesos, drivers, IDT, SDT, etc.) para detectar modificaciones sospechosas, por ejemplo GMER, Rootkit Unhooker, etc.
  

Lo cierto es que en nuestras pruebas hemos podido constatar que aunque la eficacia de detección en cualquiera de los tipos de programas anteriormente mencionados es alta, no llega a ser del 100%, cosa que es lógica dada la constante evolución del malware.

No debemos olvidar que, a pesar que tengamos actualizados nuestros antivirus, anti-spyware y usemos varias herramientas de detección, la mejor forma de evitar este tipo de infecciones es usar el sentido común.


Raúl García
S21sec e-crime

Correo Electrónico y Colisión de Derechos Fundamentales

En jerga legal, se entiende por colisión de derechos fundamentales el hecho de que existan dos normativas jurídicas que posean un contenido incompatible entre sí.

En el mundo tecnológico uno de los ejemplos más claros de colisión normativa se da en el contexto del uso del correo electrónico corporativo u otros medios de comunicación telemática como la mensajería instantánea por parte de los empleados de una organización.

¿Hasta qué punto puede un empresario controlar que no se haga un mal uso del correo electrónico u otros sistemas de comunicación que la organización ponga a disposición de sus empleados?

Si analizamos el marco jurídico español nos encontraremos con que en el artículo 20 del Estatuto de los Trabajadores se reconoce el derecho del empresario a adoptar las medidas de vigilancia y control que estime más oportunas para verificar el cumplimiento por parte del trabajador de sus obligaciones y deberes laborales, lo que parece legitimizar la vigilancia sobre el contenido de las comunicaciones electrónicas de los empleados para garantizar que no se realiza un mal uso de las mismas.

Por otro lado, en el artículo 18.3 de la Constitución Española se garantiza el secreto de las comunicaciones salvo resolución judicial. Por lo tanto, este derecho sería vulnerado en caso de que un empresario ejerciera el derecho anteriormente mencionado.

Claramente se está produciendo una colisión entre ambos derechos fundamentales. La única herramienta para dilucidar qué derecho debe prevalecer es revisar la jurisprudencia existente, es decir, lo que los jueces están dictaminando en los casos en los que estos derechos están colisionando.

En este sentido, nos encontramos con sentencias favorables tanto al trabajador como al empresario en casos de inspección no consentida del correo electrónico de trabajadores cuando se sospechaba, que estaban haciendo un uso indebido del mismo, por lo que resultaba complicado tener claro cómo se debía actuar.

No obstante, en los últimos años, las sentencias dictaminadas por el Tribunal Supremo sobre el control empresarial y el uso del correo electrónico han permitido unificar la postura del poder judicial a este respecto, fallando a favor de los empleados, y haciendo prevalecer el derecho a la intimidad sobre el derecho de la empresa a controlar y vigilar un recurso de su propia organización como es el correo electrónico.

¿Entonces, qué pueden o deben hacer las empresas para evitar, en la medida de lo posible, que sus empleados hagan mal uso del correo electrónico corporativo?

En primer lugar, la empresa debería informar siempre al trabajador sobre las políticas de uso de los recursos que ponga a su disposición, así como de cualquier control o vigilancia que pudiera establecer para garantizar su cumplimiento.

Además, cualquier acción o control que la empresa desee realizar sobre los instrumentos telemáticos que pone a disposición de sus empleados deberá ser siempre proporcionada.

Finalmente, las empresas no deberán en ningún caso, inspeccionar el contenido de los correos electrónicos o cualquier otra documentación personal de los empleados que pudiera estar alojada en los ordenadores de la empresa sin contar con el consentimiento explícito del empleado afectado o salvo resolución judicial previa.

Los servicios de Asesoramiento Jurídico en Nuevas Tecnologías pueden ayudar a las organizaciones a adaptar sus procesos a las normativas vigentes.

Además, los especialistas en auditorías informáticas cuentan con la formación y la experiencia necesarias para ejercer como peritos de parte o expertos independientes en investigaciones de informática forense.

Omar Benjumea
Consultor S21sec

Te vigilo.

Ayer tuvimos noticia de un hecho preocupante, un chalet con “máxima seguridad” (cámaras, servicio de vigilancia,..) fue asaltado con sus dueños dentro. Se les agredió y robó sin que nada pudieran hacer. Las cámaras de vigilancia fueron testigos mudos ya que no se sabe todavía muy bien como fueron inutilizadas.


Parece ser que sintonizando la frecuencia en la que emiten las cámaras inalámbricas la señal es interceptada y manipulada si se encuentra sin cifrar. Este lamentable hecho que se supone realizado por mafias organizadas, desgraciadamente no es tan difícil de llevar a cabo. Las cámaras de vigilancia inalámbricas que desde diferentes establecimientos nos vigilan son igualmente fáciles de manipular.
La señal que emiten las cámaras que están sin proteger se intercepta con un aparato muy común y cualquiera puede ver lo que sucede en tiempo real en el local desde la calle (recogida de caja, escondite de la recaudación, horario de apertura y cierre, …) de esta manera la seguridad queda en entredicho y es que el mundo de la seguridad no se libra del intrusismo.
Debemos ser conscientes de que ciertos trabajos necesitan realizarse por especialistas preparados que garanticen un servicio eficiente y eficaz. Para poder asegurarse que la empresa que se contrata para la instalación de su sistema de vigilancia es realmente la adecuada debe cerciorarse que está acreditada ante el Ministerio de Interior y cumple el Real decreto 2364/1994, del 9 de diciembre, que aprueba el reglamento de seguridad privada. Además estas instalaciones tienen que estar registradas en la Agencia de Protección de Datos y en la Policía. Aunque en muchos casos poseen un cartel que informa a sus clientes que están siendo grabados, la instalación debe garantizar su seguridad e impedir que terceros no autorizados accedan a esos datos (LOPD). El no cumplimiento de estos requisitos conllevan unas multas que van desde los 600 hasta los 60.000 euros.

Existe en la sociedad el debate sobre la conveniencia o no de instalación de cámaras de vigilancia en la vía pública, ¿servirán realmente para su cometido? ¿Estaremos así más seguros?

Amaia Urtasun
S21sec - e-crime

Nociones Básicas

Las grandes empresas de todo el mundo tienen todas sus aplicaciones e información interna bien protegidas en la red interna de la empresa y separándola lo máximo posible de ese gran mundo conocido como Internet para mantener su información protegida, gastando al año grandes cantidades de dinero en dicha seguridad. Estas mismas empresas controlas sus procesos productivos e infraestructuras de fabricación y/o distribución a través de sistemas SCADA, que suelen ser sistemas antiguos y con muchas deficiencias a nivel de seguridad. Con el auge de Internet y la intercomunicación los sistemas SCADA se han “enchufado” a Internet, haciendo que las redes de las empresas se vuelvan inseguras debido a sus debilidades.

Para poder subsanar los errores y conseguir asegurar y proteger toda la red hemos de tener en cuenta que además de invertir en la propia red de la empresa también se ha de revisar toda la infraestructura SCADA.

Vamos a comentar algunos de los puntos más importantes y sencillos de controlar para poder llegar a tener una red SCADA segura y eficiente.

Lo primero a realizar es iniciar un estudio de las conexiones que presenta la red SCADA, indicando el motivo por el que existe cada conexión, para poder eliminar todas aquellas conexiones que no sean necesarias para el propio funcionamiento de la red SCADA, es decir, eliminaremos todas aquellas conexiones que se han realizado para favorecer el control de la red o para simplificar su administración.

Todas las conexiones que nos queden después del estudio serán las que tengamos que proteger de la mejor manera posible y con todos los medios de los que se pueda disponer. Para ello hemos de colocar firewall, IDS e IPS para controlar el acceso a la red. Tampoco es una mala práctica crear una DMZ para separar las redes de control.

Además, uno de los errores más comunes en las redes SCADA es la falta de seguridad en la aplicación y los datos, por no tener contraseñas de acceso a las mismas, o ser demasiado simples y no tener las comunicaciones de datos cifradas. Las contraseñas de las aplicaciones nos permitirán protegerlas de posibles ataques, además de limitar los privilegios de las personas que acceden a las mismas.

Muchos de los componentes que forman parte de una red SCADA han de estar conectados a la red del fabricante para poder así tener actualizaciones y obtener mejoras de los mismos, estas conexiones suelen ser directas vía MODEM o mediante VPN. Por este motivo hay que controlar los accesos que realiza el fabricante sobre los equipos, porque puede que el ataque venga desde la red del fabricante y no desde nuestra propia red.

Pero todos estos controles y medidas que hemos realizado y tomado no son de gran ayuda si no presentan una buena configuración todos los elementos de la red, desde las contraseñas de los elementos finales a las especificaciones en los firewall para que solo se pueda acceder desde un rango de red concreto o los multiplexores y acopladores que presenta toda la infraestructura hasta llegar a la empresa. Tampoco son muy útiles si una vez que tenemos todos los componentes protegidos no se realiza un proceso de monitorización de la red. La monitorización consistirá en revisar los logs de los terminales remotos para observar si las conexiones se han realizado correctamente por personal autorizado o si lo ha intentado un intruso, monitorizaremos la red para comprobar el tráfico, etc., como se indica en el siguiente enlace.

Jairo Alonso
S21sec Labs

Green Dam

Hoy día 1 de Julio se cumplía el plazo impuesto por el Gobierno Chino para que los vendedores de ordenadores en China empezaran a incluir en sus equipos el programa conocido como Green Dam Youth Escort. Se trata de un filtro de contenidos desarrollado por la empresa china Jinhui Computer System Engineering Co. y que se ha publicitado como la solución impuesta por el Gobierno Chino para proteger a los menores de acceder a sitios de internet con contenidos pornográficos. No obstante, desde el primer momento, este anuncio ha estado sembrado de controversia ya que el filtro está controlado por el Gobierno Chino y no sólo establece filtros de contenidos pornográficos sino también censura ciertos contenidos según su caracter político y también es capaz de recoger y enviar información privada sobre el uso del equipo. Esta medida se suma a todas las que el Gobierno China ha implantado para controlar y censurar el aceso a internet [1, 2].

Las quejas sobre el software han llegado de todas partes:

• Se ha acusado al Gobierno Chino de vulnerar el copyrigth del filtro CyberSitter desarrollado por la empresa Solid Oak Software así como de eliminar la licencia BSD de la librería OpenCV que parece ser utilizada para el reconocimiento de imágenes que incluye Green Dam [3].
  

• Análisis realizados a algunas versiones del software han revelado que tiene graves problemas de seguridad que pueden permitir tomar el control del ordenador de forma remota.
  

• Activistas Chinos han denunciado la censura que sufren en internet por parte de su gobierno y han propuesto el día 1 de Julio como el día off-line, en el que los chinos no se conecten a internet en señal de protesta.

Quizá todas estas quejas hayan hecho que el Gobierno Chino replantee sus propositos iniciales y retrase la implantación del Software sin establecer una fecha determinada. ¿Será esta una retirada de la política de imposición del filtro de contenidos, o volverán a la carga con fuerzas renovadas?

Guzmán Santafé
S21sec labs

Las Redes Sociales ¿Cómo gestionan la privacidad de sus usuarios? ?

Es importante tener en cuenta que las redes sociales se nutren exclusivamente de datos de carácter personal de sus usuarios, y en muchas ocasiones, sin que éstos conozcan y controlen los posibles accesos y el uso que terceros pueden hacer de los mismos.

Como bien es sabido, la finalidad prioritaria de las redes sociales es interrelacionar a personas, por lo tanto como punto de partida, los datos de contacto (por lo menos nombre, apellido y nacionalidad) están accesibles a todo el mundo con el objeto de facilitar la localización de amigos o conocidos. El problema surge cuando el usuario, que se registra en una red social, no es informado de manera clara y sencilla del tratamiento que se puede realizar sobre sus datos.

Las redes sociales, están basando la confidencialidad / privacidad de los datos de sus usuarios en la autorregulación que los usuarios realizan sobre los mismos. Esta técnica es válida e incluso recomendable, pero, para que de verdad los usuarios la usen de forma correcta, los portales deben informar de las diferentes reglas de confidencialidad de manera clara, fácil y sencilla, consiguiéndose así que cada usuario sea el que autorice o posibilite la publicación o no de sus datos personales, fotos privadas, videos, etc. En caso contrario estarían incumpliendo las normativas europeas en la materia de protección de datos, ya que desde la directiva Europea se establece que “los interesados a los que se soliciten datos personales deberán ser previamente informados de modos expreso, precioso e inequívoco (…)”.

Otro aspecto controvertido es la indexación de los datos identificativos en buscadores como google, yahoo, live.com, etc. Esta indexación supone una cesión de los datos identificativos de los usuarios a nivel mundial sin que el usuario tenga la más mínima posibilidad de impedir que este paso se lleve a cabo, ya que nadie le solicita su previa autorización. El portal informa acerca de dicha indexación, pero en ningún momento facilita al usuario la posibilidad de negarse a dicha indexación.

Desde las principales redes sociales se destaca la importancia que juega el papel del usuario, en definitiva cada usuario es responsable de gestionar su propia privacidad. Además de centrar la importancia en el usuario también destaca la formación de padres y usuarios de las redes sociales, la colaboración con las Administraciones Públicas y las ‘medidas de seguridad especiales’ para los menores de edad. Como por ejemplo, los usuarios de entre 13 y 16 años no pueden recibir ninguna comunicación de un mayor que no éste en su lista de contactos.

En conclusión y tras este pequeño análisis de los tratamientos de datos que se realizan en las redes sociales, es recomendable que el usuario analice con detenimiento las opciones de privacidad que el portal pone a su disposición con objeto de administrar su privacidad y que tenga en cuenta el riesgo que corren sus datos por el mero hecho de publicarlos en Internet. Hace un tiempo publicamos unos consejos para proteger tu intimidad en redes sociales, echarle un vistazo.

Koldo Peciña Txintxurreta
Consultor Senior S21sec.

Buscadores: arma de doble filo

Los buscadores son los servicios más usados en Internet con diferencia y en la actualidad podemos afirmar que se han hecho totalmente imprescindibles dada la necesidad que tenemos de procesar la ingente cantidad de datos que encontramos en la red. No obstante y desde hace algún tiempo, han pasado a ser el objetivo de atacantes para usarlos con fines bien distintos.

Ya hablamos de técnicas como el malvertising, consistente en insertar anuncios maliciosos dentro de las redes de publicidad que se muestran en distintas webs, con el fin de infectar el equipo que visualiza el anuncio. Este tipo de técnicas amenazan el principal negocio de los buscadores, que es la publicidad, por lo que empresas como Google ya están empezando a ofrecer soluciones a este problema.

Otro de los problemas a los que se enfrentan en la actualidad los buscadores es el BlackHat SEO (Search Engine Optimization). Este término hace referencia a posicionar términos comunes asociados a URLs maliciosas en los principales buscadores, de modo que cuando accedamos a los resultados pensando que se trata de una URL legítima, se infecte nuestro equipo. Básicamente es usar las mismas técnicas que usa cualquier empresa para posicionarse en buscadores, pero con fines maliciosos y usando técnicas ilegales, como inyectar miles de URLs en páginas legítimas mediante alguna vulnerabilidad, SPAM en servicios como Twitter, etc.

No obstante el post de hoy habla de una de las técnicas más antiguas, el Google-hacking, que parece vivir una segunda juventud. Google-hacking consiste en la búsqueda de ciertos términos en cualquier buscador (son extrapolables dependiendo de la funcionalidad que ofrece cada uno de ellos) con la finalidad de detectar versiones de software vulnerables o vulnerabilidades en sí. De este modo, la búsqueda de una cadena que sepamos aparece cuando hay un error de SQL en un conocido CMS nos retornará miles de potenciales objetivos a explotar.

Tuvo un gran impacto en su momento para quedar en la actualidad en un segundo plano. No obstante está volviendo a ser una técnica muy usada para la realización de ataques masivos en campañas de infección masivas, inyectando en URLs vulnerables iframes que redirijan a sitios maliciosos, o buscando objetivos para campañas de BHSEO.

Finalmente, y en lo referente al mercado más under, estas técnicas siguen siendo explotadas, en esta ocasión para obtener números de tarjetas de crédito. En la actualidad este tipo de bienes tiene un valor muy bajo en el mercado, que maltrata el bien al revenderlo en multitud de ocasiones y debido al alto grado de fraude entre los mismos delincuentes. Es por ello que hay distintos niveles de calidad, siendo circulos cada vez más cerrados los que ofrecen material de primera mano. En los circulos más bajos, y dada la dificultad a acceder a dicho material, se buscan alternativas a la compras de dumps (conjuntos de números de tarjetas de crédito) que posiblemente son inusables a estas alturas. Una de las alternativas es volver a las técnicas

de Google-hacking.

La popularización de todo tipo de herramientas para la creación de tiendas on-line crea un mercado potencial muy amplio para la búsqueda de vulnerabilidades que puedan llevarnos a encontrar datos relacionados con la compra, esto es, tarjetas de crédito. A continuación se muestran algunas de las técnicas usadas para localizar los mismos:

Por supuesto recomendamos comprobar que ninguno de nuestros sitios sea vulnerable a los problemas relacionados con las búsquedas, así como mantenerse atento a cualquier nueva vulnerabilidad y a las técnicas utilizadas para su detección.

Vicente Díaz
S21sec e-crime