5ª edición de la Navarparty

Desde el día 20 al 23 de septiembre se celebrará a 5ª edición de la Navarparty, “fiesta de la informática” que se viene organizando periódicamente en los últimos cinco años en Navarra. Los 512 entusiastas de la informática allí reunidos día y noche, trasladarán sus teclados, pantallas y ratones al pabellón de la UPNA, donde la organización ha puesto a su disposición una potente red de conexión que les permitirá compartir sus conocimientos, datos y afición por la informática.

Como punto de encuentro, durante estos cuatro días los participantes, además de reunirse con los ya habituales al evento, pueden asistir a un conjunto de talleres prácticos y conferencias impartidas por expertos. Estas últimas abiertas también al público general.

Además de ponente, S21sec estará presente como patrocinador del Hackit!, un clásico de la Navarparty que lleva realizándose de manera sucesiva desde su primera edición. El Hackit! consiste en una serie de pruebas relacionadas con la seguridad informática, en las que se presentan varios retos de dificultad creciente. El objetivo de cada reto es obtener la contraseña que da acceso al siguiente nivel. Para conseguirlo hay que enfrentarse con problemas de criptografía, esteganografía o ingeniería inversa entre otros.

Otras actividades que se llevan a cabo son los concursos sobre conocimientos informáticos y las competiciones oficiales. Campeonatos de juegos de acción, de deportes y de estrategia en los que, según el juego, se puede participar de manera individual o por equipos, junto con las competiciones de distintas disciplinas creativas, como composición musical, retoque fotográfico o fast 2D son las que año tras año consiguen congregar a un mayor número de participantes.

¡Esperamos veros por allí!

Auge de los dispositivos de huella dactilar

En los últimos tiempos y sobre todo después del 11S los dispositivos biométricos han dejado de ser una tecnología de ciencia ficción. En particular los dispositivos de huella dactilar han destacado sobre otras alternativas ya que, por un lado proporcionan un nivel de seguridad razonable, mientras que por otro tienen una alta aceptación social al ser poco intrusivos. Otras tecnologías, como los dispositivos de reconocimiento de voz o de geometría de la mano, proporcionan un nivel se seguridad más bajo, mientras que el reconocimiento de iris o de geometría de la cara, aun a pesar de proporcionar un nivel de seguridad similar, resultan más intrusivos. No resulta agradable presentar el ojo ante un dispositivo que te apunta con una luz. Por otro lado, la detección del patrón de venas se presenta como una alternativa más que razonable a los dispositivos de huella. Sin embargo, por su novedad todavía está en fase de comercialización embrionaria.

El auge de los sistemas de huella es claro. En los últimos tiempos surgen continuamente noticias sobre la implantación de sistemas de detección de huella en diversos ámbitos. A continuación se recogen algunos ejemplos:

• Una empresa americana ya ha puesto en marcha, en un aeropuerto de tamaño mediano y también americano, un sistema de identificación de pasajeros basado en dispositivos de huella dactilar (véase http://www.greenwichtime.com/news/local/scn-gt-a1irisfridayaug17,0,1647921.story?coll=green-news-local-headlines). Éste va a permitir agilizar el trámite de verificación del pasaporte y del billete de los pasajeros que vuelan por asuntos de trabajo. Esta solución está siendo valorada también por otros aeropuertos de la talla del JFK o La Guardia.
• Un colegio de California ofrece la posibilidad de que sus alumnos puedan pagar en la cafetería sin más que presentar su dedo. La extracción de la huella dactilar permite la identificación de una cuenta asociada en la que previamente se han depositado los fondos. Así, los alumnos más pequeños no tendrán que recordar un número PIN o llevar las típicas tarjetas de comidas (véase http://www.emediawire.com/releases/2007/8/emw546973.htm).
• El Reino Unido va a exigir a aquellas personas que soliciten un visado que sus huellas sean escaneadas digitalmente en los puntos apropiados. La medida surge como reacción al incremento a nivel internacional del fraude y robo de identidad (véase http://news.xinhuanet.com/english/2007-08/22/content_6582198.htm).
• Recientemente se ha presentado un dispositivo de huella para coches. Éste permite bloquear el mismo si una vez se haga contacto el conductor no se identifica correctamente con su dedo (véase http://www.pistonheads.com/news/default.asp?storyId=16674).

El uso de la tecnología de reconocimiento de huella en el día a día es cada vez más evidente. Sin embargo, cabe interrogarnos acerca de si este sistema de identificación es seguro para todas las situaciones para las que se plantea su aplicación. A este respecto, existen grandes diferencias entre las distintas soluciones disponibles comercialmente. De hecho, S21sec ha conseguido burlar la seguridad de más de un dispositivo de este tipo.

S21sec posee una dilatada experiencia en el campo de la biometría. Esto nos permite proporcionar a nuestros clientes el conocimiento necesario para decidir sobre la solución mas adecuada a sus requerimientos de seguridad.

La necesidad agudiza el ingenio

Un reciente artículo publica cómo un joven de 16 años en sólo 30 minutos fue capaz de “reventar” un sistema de protección de contenidos del gobierno australiano. Este filtro se encargaba de filtrar contenidos pornográficos.

Esto nos muestra que si se crea la necesidad se destinarán los recursos necesarios para solventarla. La necesidad, la posibilidad de acceder a contenidos pornográficos, los recursos, el ingenio y el ¿tiempo? (sólo 30 minutos) de un astuto adolescente.

Al igual que ha sucedido en este caso, es necesario destacar y concienciar a la sociedad en general y a las empresas y organismos públicos en particular de que si existe una necesidad se destinarán recursos para conseguirla.

Una necesidad puede ser desde acceder a una determina empresa, recopilar datos de interés o simplemente por el hecho de tratar de romper las medidas de seguridad de un organismo público.

Como conclusión destacar que es necesario no bajar la guardia y extremar las medidas de seguridad máxime si el contenido que haya detrás es sensible.

YABCC: Yet Another Botnet Command&Control Panel

Imaginemos la siguiente situación: tenemos el control de miles de máquinas en Internet porque de alguna forma u otra hemos conseguido ejecutar algún tipo de código malicioso en ellas. ¿Cómo podemos manejar tantos activos? Pues como cualquier producto de software, mediante una consola.

Así es, cada persona o grupo detrás de botnets utilizan sus propias consolas para poder monitorizar el estado de sus bots, o mandar órdenes y que les obedezcan. Todas ellas suelen coincidir en la tecnología utilizada: PHP, Mysql, Apache y Linux. Algunas van un paso más alla, por ejemplo utilizando la tecnología Zend con doble motivo: eficiencia y dificultar el análisis, pero todas ellas tienen funciones similares. Por lo menos:

Realizar ataques de Denegación de Servicio Distribuida (DDoS):

Enviar ordenes a toda la botnet:

Y por supuesto, funciones típicas como son las estadísticas por países, listado de máquinas que hacen de proxy o de socks, etc.

Desde el SOC de S21sec cada cierto tiempo encontramos nuevos paneles de control, casi siempre orientados a una de las tres mayores razones para tener una botnet: el envío de SPAM, el fraude, o la realización de DDoS. En este caso el encontrado hoy es uno de los últimos, y realmente, bastante sencillo.

Metagoofil: Herramienta para obtener información de documentos públicos

Hoy en día cuando realizamos los test de intrusion, encontramos que los servicios que hay accesibles de cara a Internet son muy pocos, y todos ellos requieren autenticación.

Por lo tanto una tarea importante es encontrar u obtener una lista de usuarios válidos en esos sistemas, para poder realizar ataques de fuerza bruta sobre los servicios disponibles (FTP,
VPN, Aplicaciones Web, POP3).

Esta tarea no siempre es fácil, y es por ello que Christian Martorella del departamento de Auditorias ha creado diversas herramientas para ayudar en esta etapa; en esta ocasión
hablaremos de Metagoofil.

Metagoofil es una herramienta que se encarga de extraer Meta-Data (Datos sobre los Datos), de ciertos ficheros accesibles en los websites de nuestro "objetivo".
Los ficheros que utiliza son los clásicos utilizados en ofimática PDF,PPT,DOC,XLS y MDB; del Meta-Data obtenido nos interesa sólo ciertos campos como pueden ser:

• "Author"
  
• "Last Saved by"

¿Por qué estos campos? Porque en estos campos se almacena el nombre de usuario de la máquina o con el cual se registró la suite ofimática. Estos nombres de usuarios pueden coincidir con nombres de usuarios del dominio Windows, o con la nomenclatura común utilizada por la compañia para sus diversos sistemas.

Una vez obtenidos estos nombres, es cuestión de generar un diccionario de posibles nombres de usuarios, alimentar nuestra herramienta preferida de fuerza bruta y esperar que haya suerte.

La manera de operar de la herramienta se basa en realizar busquedas en Google (Google-Hacking) dentro del dominio del objetivo, y sólo de los ficheros con los formatos comentados anteriormente.
Una vez identificados los ficheros, se bajan de la web a nuestra máquina donde Metagoofil, extraerá la información interesante, y por último se generará un HTML con los
resultados.

De esta forma tenemos una fuente más de donde extraer usuarios potenciales de los sistemas objetivos, y otro punto más que proteger por parte de los responsables de seguridad.

Descarga: metagoofil-1.2.tar

Estadísticas de PE packers

La imagen que aparece es una estadística de la utilización de packers en los últimos 5000 binarios PE ejecutados por nuestro servicio de análisis automático de código malicioso. La utilización de packers es bastante común en el código malicioso, principalmente con dos objetivos: intentar pasar desapercibidos, y ofuscar su contenido, dificultando el análisis del analista.

Como se aprecia en la imagen, el packer más utilizado es UPX, de libre distribución, y aunque existen multitud de variantes modificadas de UPX, el más usado es el UPX normal. ¿Qué razón puede tener esta elección, puesto que existen multitud de packers tanto libres o comerciales?

Creemos que no es por que sea libre/gratuito, puesto que es posible bajarse de las redes P2P fácilmente un packer comercial (aunque muchas veces son a su vez malware), sino para intentar pasar desapercibidos, puesto que si se usa un packer menos utilizado, es muy fácil para los antivirus, antimalware o similares detectar un binario con ese packer extraño.

De todas maneras, es una suposición, así que cualquier otra idea que tengáis, no dudéis en comentarla. 

Analizando Javascript ofuscado

Durante el transcurso de los análisis de los exploits generalmente de navegadores, nos encontramos que el código Javascript donde se encuentra el exploit está ofuscado, principalmente para dificultar el trabajo de las personas que nos dedicamos a analizar con detalle qué es lo que se esconde detrás de ese pequeño código.

Un ejemplo es el siguiente:

$sOut="document.write(unescape('%0A%3C%73%63%72%69%70%74%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E')); dF('".encodezTxt($SPL)."');";

Como se puede observar, la interpretación del código es bastante complicada (aunque si participa en el Concurso Internacional de Código C ofuscado seguro que enseguida adivina su función). ¿Qué podemos hacer en estos casos? Tenemos varias opciones:

1. La que hemos hecho todos la primera vez: sustituir los document.write por alert, pero generalmente se ofusca varias veces seguidas y al final se convierte en un trabajo manual interminable.
2. Utilizar el intérprete de javascript SpiderMonkey: una solución más elegante pero que require un trabajo anterior. Nuestros compañeros de websense hicieron un par de scripts bastante útiles que pueden ayudarnos a la hora de hacer los nuestros.
3. Otra opción interesante es hookear la llamada document.write, aunque podemos volver a tener los problemas de tener que realizar luego manualmente un montón de cambios. Un ejemplo de está técnica la podemos encontrar aquí.

Al final, como en todo, no hay ninguna técnica 100% eficaz, e intentamos aunar las ventajas de cada una de ellas para crearnos nuestra propia herramienta, pero que se parece más a la segunda opción que a las otras (aunque todas son parecidas).

MPack 0.99

Hace ya más de un mes que tuvimos un webinar donde estuvimos explicando las diferentes versiones existentes de MPack, los exploits incluidos en cada una de ellas, e incluso hicimos una demostración de cómo funciona el kit (si está interesado en la información comentada en el webminar, por favor contacte con info@s21sec.com). En aquel momento la última versión era la 0.94.

Recientemente, gracias al servicio antifraude de S21sec, hemos conseguido tener acceso a la última versión del kit, en este caso la 0.99. Esta nueva versión tiene ligeras modificaciones, como por ejemplo algunos cambios en el CSS, o la adicción de la siguiente sentencia:

(c) 2007 DreamCoders
MPack software is created solely for test purposes. You are prohibited to use it in conditions violating local or international laws. Authors hold no responsibility for any damage, direct or indirect, caused by usage of this software

El funcionamiento del kit sigue siendo igual, aunque ahora se ha añadido un nuevo exploit relacionado con una vulnerabilidad en los archivos PNG. A continuación mostramos un pantallazo del panel de control de esta nueva versión (en la que no hay usuarios españoles afectados, casi todos son de Estados Unidos):

Proteja sus redes WIFI

Desde hace ya unos días tenemos en S21sec labs una nueva incorporación de hardware que nos permite mejorar en varios proyectos: una antena de 24dBi o más concretamente '2.4 GHz 24dBi High Performance Die Cast Reflector Grid Wireless LAN Antenna'.

Principalmente estamos utilizando la antena para nuestro proyecto de Detección y Localización de Intrusos en redes WIFI, para comprobar todos los posibles escenarios de un atacante remoto accediendo de forma ilegal a una red WIFI, tanto para detectarle como para localizarle físicamente. Con esta antena, un intruso puede ser capaz de conectarse a una red WIFI desde más de 10km de distancia a una velocidad de 1Mb/s.

También hemos ido realizando algunas pruebas de detección de redes WIFI  con la antena desde la azotea de nuestro edificio de S21sec labs, aunque todavía queda por hacer la prueba de fuego de subir al Monte San Cristóbal de Pamplona  (al Fuerte de San Cristóbal) y conectarnos a nuestra red WIFI interna, pero debido a las incidencias climatológicas de este extraño verano, tendremos que dejarlo para más adelante.

Verano de vulnerabilidades

Durante el último trimestre, en S21sec hemos descubierto varias vulnerabilidades que todavía están sin parche oficial por parte del fabricante. Siguiendo una política de disclosure coherente, estamos esperando a que los fabricantes puedan corregir estas vulnerabilidades y notificar a todos sus clientes, antes de publicar nuestro advisory.

Estas vulnerabilidades afectan a diversos productos, y con diferentes repercusiones, desde Denegaciones de Servicio (DoS) a ejecución remota de código. Los productos afectados son los siguientes:

• Internet Explorer
• Safari
• MacOSX
• Weblogic
• Ekiga
• Alcatel Omnivista

La relación con los fabricantes a la hora de notificar vulnerabilidades siempre es una tarea delicada, pero en este caso hemos de decir que en todas ellas hemos tenido siempre una relación totalmente profesional.

PD: En la página de S21sec podéis consultar el listado completo de advisories descubierto por S21sec.

Sobre la información robada en Monster

Es ya público el robo de información en las páginas de Monster.com (original en Symantec, pero también comentado en otros medios como 20 Minutos, o la BBC). En realidad no se trata de una incursión en los servidores de Monster.com, sino de un troyano que captura las credenciales de acceso de los departamentos de RRHH a la hora de buscar candidatos en Monster.com.

Una vez conseguido el acceso, el troyano automáticamente es capaz de realizar búsquedas en el portal buscando cierto tipo de candidatos (por país o por tipo de trabajo), y guardar toda la información confidencial de los candidatos (como por ejemplo dirección de correo, teléfono, país, ...)

Un ejemplo de la información que captura es la siguiente (algunos datos han sido ocultados):

Michael XXX|45 Bell Road|Templeton, Massachusetts 01468|US|m.xxx@yahoo.com|Work Phone: 555-363-1267

¿Para qué utiliza estos datos? La respuesta es simple: para enviar SPAM. Con estos datos es capaz de enviar SPAM personalizado para hacerlo más creíble. El asunto del correo puede ser uno de los siguientes:

%realname%, Monster.com have the new job for you
Monster.com have the new job for You, %realname%
%realname%, Monster.com suggests You the new job for you
Monster.com suggests You the new job for you, %realname%

donde sustituye %realname% por el nombre real del candidato.

Como curiosidad, todos los datos robados son de candidatos residentes en Estados Unidos (US), siendo casi 2.5 millones de usuarios los afectados.

Información pública en Internet

Hace algún tiempo veíamos cómo se hacía pública en un foro, una lista con teléfonos de personajes chilenos famosos, ahora nos enteramos que han detenido en EE.UU. a 5 personas cuyo objetivo eran los integrantes de la lista Forbes de las 400 personas más ricas. No es nada nuevo, todos podemos ver cuanta información está disponible a través de las redes de contactos en Internet o de simple artículos de prensa, portales de empleo o blogs personales.

Tampoco es nuevo, el hecho de que la información disponible públicamente puede ser utilizada para múltiples finalidades. Desde los primeros tiempos, los hackers más famosos como Kevin Mitnick, han sido conscientes de esa circunstancia y ha realizado muchos de sus ataques haciendo uso exclusivamente de este tipo de información, al igual que múltiples tests de intrusión realizados por compañías de seguridad como nosotros mismos, hemos empleado información pública de IP's, consultas de administradores poco precabidos, etc...

El caso es que, si bien la información que se buscaba antes era más "técnica", hoy en día, la proliferación de posibilidades de uso de Internet y su difusión hacen que otro tipo de información sea igual o más valiosa (direcciones, teléfonos, hobbies, hijos y un amplio etcétera) para su utilización fraudulenta. Y ahora, a diferencia de la búsqueda en cubos de basura y similares (como hiciera en 1992, Robert Redford en Sneakers - Los fisgones, en España), solo hace falta 'googlear' un poco para encontrar verdaderos "tesoros".

En definitiva, si manejamos información confidencial (¿quién no?), si tenemos una imagen pública, un prestigio que nos interesa mantener (ya sea personal o de compañía), si hacemos negocios en Internet o estamos preocupados por la opinión pública... es interesante realizar una vigilancia digital que nos permita conocer los riesgos existentes y nos alerte ante los nuevos incidentes de manera continua.

S21sec patrocina "Respuestas SIC"

El próximo día 16 de Octubre patrocinamos junto con Verisign el evento de "Respuestas SIC". La sesión estará dedicada a la seguridad gestionada por terceros en red (servicios desde SOC).

La jornada se dividirá en tres bloques: en el primero se tratará de realizar una taxonomía de lo que hoy se entiende por servicios de seguridad prestados por terceros en red.

En el segundo, se expondrán sintéticamente las características más relevantes de la oferta del mercado y se pondrán algunos ejemplos de acuerdos vigentes en España. En esta parte del evento Alfonso del Castillo (Director de operaciones de S21sec) presentará los Servicios de Seguridad Gestionada de S21sec.

Finalmente, el tercer y último bloque lo conformará una mesa redonda en la que profesionales de organizaciones usuarias –en esta ocasión expertos en seguridad de Cepsa, Ministerio de Defensa y Vodafone– brindarán su opinión profesional acerca del asunto propuesto.

La inscripción es gratuita vía Web y podéis hacerla directamente aquí.

Esperamos veros por allí.

Código malicioso con sentimientos

En uno de los códigos maliciosos analizados durante el día de hoy por nuestro motor de análisis automático de malware, encontramos en la memoria del proceso una dirección URL que nos pareció extraña. El troyano en cuestión es detectado desde hace unas horas como Trojan-Downloader.Win32.Banload.clb, y realmente su función es descargar otro código malicioso de más de 3Mb para el robo de información y envío de SPAM. 

Hasta aquí nada nuevo, pero navegando a la dirección que aparece en la memoria, resulta ser un fotolog brasileño, más concretamente de una chica de Brasil. La imagen que tiene desde el 07/08/07 es la siguiente:

En traducción pseudoliteral: 'Si recibe una carta que le dirige a mi flog, no soy yo la que lo está mandando. Estoy intentando resolver este problema, disculpe por ello, gracias. Yo no sé lo que está pasando'.

¿Ganas de fastidiar involucrando a una persona inocente? ¿un amor despechado?

El emperador WEP no tiene capa (“cloak”)

En abril 2007 la compañía Airdefense anunciaba la introducción de un módulo de software que podía ser añadido a sus sondas de protección Wireless para mejorar la seguridad de los sistemas y redes WLAN que aún utilizasen el protocolo de cifrado WEP. La tecnología ha sido llamada “WEP cloaking ™”, y consiste en ocultar (Eng.“to cloak”) la clave de cifrado WEP usada para codificar los paquetes.
Los ataques conocidos al protocolo WEP se basan en análisis estadísticos de multitud de paquetes cifrados por medio de programas de software específicos como AirSnort o WEPcrack. Este proceso puede durar menos de 10 minutos.
El modulo de AirDefense crea tráfico de datos “dummy” que usa claves WEP diferentes que la usada por la red WLAN y puntos de acceso que se desean proteger. La herramienta usada por el intruso cree que estos paquetes son reales, y éstos estropean el análisis estadístico del intruso. Según AirDefense, “el intruso no puede distinguir las tramas de la WLAN bajo ataque y las tramas “trampa” introducidas por el software de AirDefense.
Esta técnica ya se conocía teóricamente como chaffing, y consiste en enviar una secuencia de paquetes sin cifrar en los cuales sólo uno es auténtico y los otros son descartados por el receptor.
La gran ventaja de poder securizar el WEP y evitar el cambio de Hardware de miles de dispositivos antiguos sin posibilidad de usar WPA o WPA2, hizo que los medios se fijaran en el anuncio de esta tecnología realizado por esta compañía
Sin embargo, la tentación de crackear el protocolo WEP es demasiado grande pese a las protecciones, ya que sus vulnerabilidades son ampliamente conocidas desde que se publicara la primera en 2001 al poco de haberse lanzado comercialmente.
Así, en la última Defcon 2007 celebrado en las Vegas, investigadores de la compañía AirTight realizaron una presentación en directo de cómo el protocolo WEP podía romperse pese al uso de la tecnología “WEP cloaking ™”. Irónicamente, el paper se llamaba: “The Emperor Has No Cloak - WEP Cloaking Exponed” en relación a la fábula de Andersen “El traje nuevo del emperador” (“The emperor new clothes”).
El propio investigador de AirTight ya ha anunciado la inclusión de un módulo en el popular programa Aircrack para que, según sus propias palabras: “crackear WEP siga siendo la sencilla tarea que siempre ha sido”. Parece que ya están en ello y que la próxima versión del programa será capaz de evitar esta técnica de WEP cloaking.Desde S21sec nuestra opinión continúa siendo la misma respecto al WEP: Ha sido, es y será un protocolo de encriptación cifrado INSEGURO y es absolutamente NO RECOMENDABLE

Vulnerabilidad RSS

Recientemente Microsoft ha desarrollado un parche para la resolución de una vulnerabilidad detectada en el lector de feeds RSS que incorpora Windows Vista.

Esta vulnerabilidad permitía la ejecución de código malicioso con los mismos privilegios que el usuario con el que se estaba ejecutando el sistema.

Aparte del hecho de que se haya descubierto y resuelto el problema, lo más relevante son la apertura de nuevas vías de ataque . En este caso han sido feeds RSS, después….

Como conclusión siempre extremar las precauciones, estar actualizado y configurar correctamente los equipos para evitar posibles puertas traseras a usuarios maliciosos.

490 casos de fraude on line en el primer semestre de 2007

Los servicios antifraude de S21sec detectaron 490 nuevos casos de actividades calificadas de fraude on line a entidades financieras españolas en el primer semestre de 2007. Como podéis observar en el informe que realizamos de fraude de 2006 esto representa casi la misma cantidad de casos detectados en el mismo período del año anterior (489). Los sitios de alojamiento de estos casos y los troyanos fueron cerrados o desactivados en una media de 2.56 días, cifra muy por debajo de los datos proporcionados por el Antiphishing Working Group, que sitúan la media de cierre global en 4,8 días. De estos 490 casos, el 80% se abría por primera vez (casos base) mientras que el 20% corresponde a la reaperturas o reactivaciones de algunos casos anteriores.

Del total de los casos detectados y solucionados, el 86% correspondía a casos de phishing, mientras que los casos a través de troyanos representan el 14%. El phishing continúa constituyendo la principal preocupación, en tanto que los casos a través de troyanos siguen creciendo progresivamente. El año pasado los troyanos representaron el 15% del total de casos detectados.

Podéis ver más datos estadísticas sobre los casos de fraude en el primer semestre en la noticia que hemos publicado recientemente.

Cada vez es más evidente que los troyanos han ganado en complejidad y que cada vez utilizan técnicas más sofisticadas para lograr el robo efectivo de información crítica. Recientemente, se ha detectado un nuevo uso de la información recogida destinada al control de dominios de Internet. Mediante esta nueva práctica, pueden llegar a transferir el dominio de una empresa a otra o redirigir el tráfico de correo a otro servidor, afectando directamente a su imagen, credibilidad y privacidad. Otro dato relevante es la detección de un aumento en el número de ataques a las empresas de hosting con el objetivo de comprometer todos los portales web alojados en la misma máquina.

En este escenario, ha proliferado además la utilización de kits de exploits, como los conocidos WebAttacker, MPack o IcePack muy accesibles y de bajo coste. Estas aplicaciones, que se comercializan como software profesional por el precio de 700 dólares, permiten infectar ordenadores valiéndose de diversas vulnerabilidades y han incidido directamente en la diversificación de ataques.

Con estas herramientas y otras que permiten la creación de troyanos automáticamente, la multiplicación del cibercrimen ha llegado a un nivel de profesionalización muy significativo. Ante esta situación, las organizaciones y usuarios no deberían alarmarse, sino trabajar para aumentar las medidas de prevención e impulsar la adopción de prácticas seguras.

Drivers que cargan Drivers

Cada día es más común observar como virus, troyanos y todo tipo de especímenes utilizan técnicas de ocultación más sofisticadas. La mayoría de dichas técnicas consisten en insertar código en ring0, generalmente un driver común, que se encarga de ocultar procesos de usuario, conexiones de red, etc.

Cuando la utilización de un driver se combina con técnicas de infección, se pueden conseguir resultados más satisfactorios.

Un ejemplo de este tipo de malware es el gusano Win32.Zhelatin (es el 'famoso' binario que estamos recibiendo diariamente con el mensaje de que has recibido una postal virutal (ecard.exe)); una de sus variantes contiene un driver llamado spooldr.sys que se carga durante el inicio del sistema y es utilizado para ocultar algunas operaciones, así como para detectar la presencia de AVs y AntiRootkits.

La carga de spooldr.sys no se realiza inmediatamente, sino que se utiliza otro driver, tcpip.sys, el cual se infecta con un pequeño trozo de código. Este código es una especie de pre-cargador qeu se ejecuta cada vez que se inicia el sistema, busca una rutina no exportada de ntoskrnl.exe, MmLoadSystemImage(), y la usa para cargar spooldr.sys.

Para los más interesados, el código cargador con algunas pistas.

Actualización (15/08/2007): otra variante de Zhelatin en el blog de F-Secure

Robo de datos (esta vez, en Noruega)

Según informa el diario El Mundo, personas desconocidas "roban a través de la red, datos personales de 60.000 noruegos".


Al parecer todo se debe a un fallo de seguridad del operador de telecomunicaciones, Tele2. La información robada parece ser que incluye, el denominado "número de identidad personal" que consta de un total de 11 dígitos y que gestiona el Registro de Población Nacional noruego (Folkeregisteret), lo que parece un equivalente a nuestro documento nacional de identidad.

También en España hemos vivido un episodio así hace poco tiempo (tan solo unos meses). Al final, estos incidentes ponen de manifiesto lo que algunos llevamos comentado desde hace algún tiempo: La importancia que juegan los ISPs en es asunto de la seguridad de la información.

En la revolución industrial, uno de los grandes pasos que se dió fue pasar de la autogeneración de energía a considerarla como otro suministro más. En este paso, jugaron un papel crucial las garantías que proporcionaran las empresas suministradoras. En este momento, vivimos un momento equiparable: Si alguien nos proporciona un servicio tecnológico, ese servicio debe ser seguro. En todas sus dimensiones (no solo disponibilidad, también confidencialidad e integridad) y, con independencia del tipo de servicio, no solo el hosting / housing, no podemos olvidar la propia seguridad gestionada o algo tan tradicional como los desarrollos o, de lo que hablamos en este caso, los servicios de telecomunicaciones.

SCAM en el desarrollo de aplicaciones

Ya desde hace muchos años nos fuimos acostumbrando a recibir en nuestro correo mensajes que nos pedían adelantar una pequeña suma de dinero para posteriormente recibir un porcentaje de una suma mucho mayor.

Paulatinamente fueron apareciendo diversas variantes al mítico SCAM 419, desde premios de lotería, secuestros, problemas al salir del país, etc pero lo que nunca habíamos visto son supuestas empresas de desarrollo de software teniendo problemas para recibir sus honorarios de sus partners de NorteAmérica y Europa:

Hello Sir/Madam,

I am Victor XXX, owner XXX-soft Co, we specializing in enterprise application development, system integration,corporate networks and other software solutions for business, finance, and for various types of problems.

My company based in Ukraine. We've earned ourselves a reputation of a reliable and trustworthy partner working successfully with a number of West European and North American companies and providing them with reliable software development services in financial and media sectors.
Unfortunately we are currently facing some difficulties with receiving payments for our services. It usually takes us 10-30 days to receive a payment and clearing from your country and such delays are harmful to our business. We do not have so much time to accept every wire transfer.
That's why we are currently looking for partners in your country to help us accept and process these payments faster. If you are looking for a chance to make an additional profit you can become our representative in your country. As our representative you will receive 8% of every deal we conduct. Your job will be accepting funds in the form of wire transfers and check payments and forwarding them to us. It is not a full-time job, but rather a very convenient and fast way to receive additional income. We also consider opening an office in your country in the nearest future and you will then have certain privileges should you decide to apply for a full-time job. Please if you are interested in transacting business with us we will be very glad. Please contact me for more information via korssoftua@aim.com and send us the following information about yourself:

1. Your Full Name as it appears on your resume.
2. Education.
3. Your Contact Address.
4. Telephone/Fax number.
5. Your present Occupation and Position currently held.
6. Your Age

Please respond and we will provide you with additional details on how you can become our representative. Joining us and starting business today will cost you nothing and you will be able to earn a bit of extra money fast and easy.
Should you have any questions, please feel free to contact us with all your questions.

Sincerely, Victor XXX,
Director of XXX-soft Co
XXX@aim.com

Queda bien patente que las diferentes variantes de este tipo de fraude seguirán creciendo.

Tomando el escritorio

Giorgio Maone, creador de utilidades como NoScript y Flashgot, ha publicado dos ejemplos de como es posible que alguien pueda malintencionadamente ocupar todo el escritorio de modo que, aplicado al phising, pueda simular una página web completa o incluso un escritorio.

Un ejemplo hace uso de un applet de Java , mientras que el otro hace uso de unas pocas líneas de Javascript.

En ambos ejemplos se ve como el atacante puede controlar toda la pantalla, sin quedar rastro de título ni botones. Esta pantalla no se puede minimizar y, si la apariencia es ciertamente lograda, puede engañar fácilmente a un usuario no experimentado. Es de esperar que en los proximos días aparezcan diversos applet similares al del ejemplo que interactuen con el usuario, pudiendo convertirse en una potente herramienta para robar información.

Hay quien opinará que no es una vulnerabilidad del producto de Sun, sino que una característica de java, y quien opinará que desde un navegador no se debería abarcar más espacio que el destinado a mostrar la página web, pero no se puede negar que esta “característica” puede resultar peligrosa.

Para evitar este tipo de engaños, se deberá deshabilitar la visualización de applets de java y/o la ejecución de código javascript en el navegador, o limitar la ejecución de los mismos a dominios de confianza con añadidos como el antes mencionado NoScript (para navegadores basados en mozilla).

Se puede acceder al post original aquí.

Proyecto CENIT “Segur@”

El proyecto SEGUR@ -Seguridad y Confianza en la Sociedad de la Información- ha sido seleccionado por el Centro para el Desarrollo Tecnológico Industrial (CDTI), perteneciente al Ministerio de Industria y se encuentra incluido dentro del programa de investigación nacional CENIT con un presupuesto de más de 31 millones de euros. En el mismo colabora S21sec junto con un consorcio de empresas.

Con una duración de tres años y medio y a través de la combinación de investigación y herramientas basadas en la biometría, algoritmos criptográficos y algoritmos avanzados de detección de intrusiones, SEGUR@ pretende generar un marco de confianza y seguridad para el uso de las TIC en la e-Sociedad. Estas técnicas se complementarán con la definición de arquitecturas y protocolos que permitan aplicar estas tecnologías básicas a la consecución del objetivo del proyecto. S21sec participará en concreto en los proyectos de tecnologías de seguridad en redes inalámbricas y de VoIP, en nuevas tecnologías de detección proactiva del fraude y en nuevas arquitecturas cooperativas de seguridad.

Con el fin de extender la experiencia y fomentar la creación de estándares, se participará en foros nacionales e internacionales con el objetivo de consolidar la posición del consorcio, así como se realizarán proyectos líderes de seguridad en el VII Programa Marco Europeo de Investigación.

El programa ha implicado a 12 empresas, 15 universidades y diversos centros de investigación, repartidos por 6 comunidades del Estado.

Junto a S21sec, el resto de compañías participantes han sido Telefónica I+D - quien lidera el proyecto-, Alcatel Lucent España, ATOS Origin, CAN (Caja de Ahorros y Monte de Piedad de Navarra), Ericsson España, ISDEFE (Ingeniería de Sistemas para la Defensa de España), J&A Garrigues, Panda Software International, Safelayer Secure Communications, Secuware y SERMEPA (Servicios para Medios de Pago).

Por otro lado, los organismos públicos colaboradores serán: el Consejo Superior de Investigaciones Científicas (CSIC), la Universidad Politécnica de Madrid, Universidad Carlos III de Madrid, Universitat Politècnica de Catalunya, Universitat Pompeu Fabra, Universidad de Murcia, Universidad Pública de Navarra, Universidad de Navarra, Universidad de Deusto, Universidad de Málaga, CEMITEC (Fundación CETENA), VICOMTech (Asociación Centro de Tecnologias de Interaccion Visual y Comunicaciones), Fundacio I2CAT (Internet i Innovacio Digital a Catalunya), Fundacion ROBOTIKER y CVC (Centro de Visión por Computador).

BHO, Extensiones, Plugins, Addons, ...

Afortunademente es cada vez más común dentro de una organización cumplir con una politíca de gestión de actualizaciones de software robusta, eliminando casi totalmente la ventana de exposición a ser comprometidos debido a un fallo de seguridad en el software. A este hecho han contribuido notablemente la utilización de actualizaciones automáticas como Windows Update o similares.

Pero desgraciadamente, estas herramientas no son capaces de actualizar programas de terceros que están directamente relacionados con ellos, como por ejemplo los plugins que se instalan en los navegadores (BHO en Internet Explorer, Extensiones en Firefox, Plugins en Safari, ...). 

Un ejemplo bien claro es una vulnerabilidad existente en el plugin de Flash de estos navegadores. La vulnerabilidad, conocida y con un parche disponible desde ya hace tiempo, afecta a diversos navegadores y sistemas operativos: desde Windows a Linux pasando por MacOSX, y desde Internet Explorer a Konqueror pasando por Firefox. De hecho, tambien el navegador Opera disponible en la consola Nintendo Wii fue también vulnerable.

Una rápida comprobación en los ordenadores (y consolas) de varias personas con diferentes sistemas operativos, demostró que 7 de las 8 personas eran vulnerables puesto que tenían los navegadores actualizados, pero no habían actualizado sus plugins. 

En definitiva, no hay que olvidar todas aquellas aplicaciones, extensiones o librerias que tenemos instalados en nuestros ordenadores, puesto que ellas también necesitan ser actualizadas cada vez que existe un problema de seguridad.

El outsourcing de la seguridad, también una solución a problemas organizativos

Cerramos la semana presentando las conclusiones de una auditoría de cumplimiento con el estándar PCI-DSS en un buen cliente (y, sin embargo, amigos). La idea era, más bien, como enfocar un plan de acción orientado a solventar los incumplimientos que habíamos detectado durante la auditoría.


El asunto es que, después de una hora de reunión (más o menos), empezaron a aflorar cuestiones que ponían de manifiesto las causas de muchos de dichos incumplimientos. Como si hubiéramos realizado un árbol de la realidad actual guiados por el mismísimo Goldratt, llegamos a dos situaciones que se insinuaban como causas origen de la situación. En concreto, me gustaría centrarme en una de ellas: la inadecuada definición de la función de seguridad que provocaba que los roles y responsabilidades en esta materia, impidieran una adecuada gestión e implantación de las medidas de seguridad necesarias.

Analizando posibles vías de solución a esta situación llegamos a la conclusión de que, una de las posibilidades, era el outsourcing de algunas funciones del área de seguridad. Efectivamente, aunque normalmente consideramos solo temas económicos y propios de la seguridad para apoyar la idea del outsourcing, tomar la decisión de dejar en manos de un tercero la gestión de todos o de parte de los procesos de seguridad puede ayudar a solucionar problemas originados por una inadecuada organización interna.

En conclusión: Si su área de seguridad de la información está muy encajada en el área de sistemas (o la que sea) y le resulta difícil, por no decir, imposible acceder a otras áreas (tesorería, recursos humanos, asesoría jurídica, da igual cuál...) porque no se hayan establecido responsabilidades a nivel global de la compañía, el outsourcing es una alternativa a modificar la organización y "herir" susceptibilidades. ¿Por qué? Muy sencillo, una de las primeras tareas a realizar cuando decidimos abordar un proyecto de outsourcing es la definición de roles y responsabilidades... y asignárselas a ese tercero, puede ser una vía de escape muy valiosa.

Cazador cazado

De todos es sabido que hay multitud de herramientas, algunas de ellas de suma utilidad para poder escanear y tratar de averiguar toda la información posible de un equipo remoto. Una de ellas y muy conocida es Nessus.

Nessus es escaneador de puertos de equipos remotos, que actualmente tiene versiones para Windows y Linux. Pero ¿qué es lo peor que le puede pasar a un usuario que intente entrar en un equipo remoto?, que el propio equipo remoto sea capaz de entrar en su propio equipo. Esa vulnerabilidad ha sido descubierta en todas las versiones de Nessus anteriores a 3.0.6 (incluida), por lo que se hace imprescindible actualizarla a la versión 3.0.6.1.

Esta vulnerabilidad ha sido descubierta por el polaco Krystian Kloskowski que a su vez ha publicado dos exploits muy sencillos.

La noticia original puede ser consultada pinchando en este enlace.