S21sec Blog. Seguridad digital.: agosto 2009

EL ESLABÓN

Durante estas vacaciones de verano, en comidas, cenas y demás actividades gastronómicas con amigos, familiares y ex compañeros de trabajo, uno de los temas comunes de discusión en los que todos coincidían era INTERNET.

Quizás por la media de edad, por el tipo de trabajos que hemos desempeñado y porque la mayoría por las razones que fueren no hemos crecido en un entorno digamos “computerizado”, la sensación que tuve es que a la gran mayoría era totalmente inconscientes sobre los peligros que corrían, por ejemplo por descargarse cualquier tipo de contenido desde cualquier sitio, por la falta de parches y actualizaciones de seguridad del sistema operativo, que todos coincidían en usar, y del resto de programas instalados, así como por antivirus desactualizados y así un largo etcétera .

Por el tipo de usuario que he descrito la gran mayoría era reacia a instalarse y probar otro sistema operativo de libre distribución como alternativa a ese S.O. que todos coincidían en usar, así como a implementar ciertas políticas de seguridad en sus hábitos diarios.

Así que me propuse el intentar que por lo menos estuvieran algo más seguros y ya de paso que no ayuden a expandir malware, virus etc. por la red, intentando concienciarles un poquito aunque sea, en lo que a seguridad se refiere y recomendándoles algunos programas gratuitos, en mi opinión bastante buenos y útiles.

En primer lugar voy a recomendar la versión gratuita de Avira Antivirus , en mi opinión un antivirus gratuito muy eficaz, con un análisis heurístico muy bueno según los entendidos.

Como firewall gratuito, uno que está bastante bien es el Comodo, pero a veces es un poco tostón y mucha gente se agobia, por lo que sí es el caso, por lo menos tener siempre el firewall del S.O habilitado y si se utiliza solo para navegación marcar la pestaña de: – no permitir excepciones.

Para asegurarse que el S.O. está totalmente parcheado y actualizado tenemos una herramienta la cual nos ayudará en el trabajo, Microsoft baseline Analyzer.

La aplicación es muy intuitiva y fácil de manejar, pero añado algunas imágenes de la aplicación después de haber sido instalada para hacerlo aún más fácil xD.

Nuestra maquina aparecerá en el campo computer name.

Después de escanear la maquina nos mostrará el resultado.

Si clickamos Result details nos dará la opción de descargar el parche que nos falte.

Una vez tengamos el equipo totalmente parcheado y actualizado, intentaremos tener lo mas actualizadas posibles todas las aplicaciones que tengamos instaladas en nuestra maquina.

Una herramienta que facilita mucho este trabajo es Secunia Personal Software Inspector (PSI) una aplicación gratuita para uso personal exclusivamente.

Una vez instalado, pondremos el modo de interfaz en Avanzado y desmarcaremos la casilla:
Mostrar solo programas de "Actualización-Fácil"

Tras realizar un análisis, la aplicación nos dará el resultado sobre el estado de actualización de las aplicaciones que tengamos instaladas según su base de datos, el tipo de vulnerabilidad que afecta a la aplicación y nos facilitará un enlace para la descarga de una actualización si la hubiere. Es posible que haya programas que tengamos instalados, que no estén listados (se les puede enviar desde la propia aplicación).

Creo que hay un eslabón muy débil entre los usuarios actuales de Internet, y aunque este post para la mayoría sea muy obvio, puede ser de ayuda para mostrar a ese eslabón que se puede estar algo más protegido de una forma bastante sencilla.

Josu Tamayo

S21sec e-crime

No todo es verdad.

“La mujer de Fulanito de tal ha engañado a su marido con un joven desconocido muy atractivo”. Este titular sin demasiado contenido hace que mucha gente se pare frente al televisor a esperar ver las imágenes de “tan escandaloso” acontecimiento. A los diez minutos se empieza a hablar de ello en las redes sociales. Un poco más tarde la noticia ya está en alguna web de una revista del corazón. Al cabo de tres cuartos de hora, y después de escuchar 10 veces promesas de que en ‘breves instantes’ se verán las imágenes en exclusiva, llega el momento… Entrada de un conocido y céntrico restaurante, quince personas entrando al mismo y, entre ellas, la mujer de Fulanito y el joven desconocido. ¿Quién será? ¿Desde cuando se ven? Así durante dos semanas en la tele, en la web, en las revistas… y entonces, zas! el joven desconocido es sobrino de la esposa de Fulano y en aquella ‘sospechosa cena’ celebraban el cumpleaños de la mamá del chaval.

El poder de los rumores es innegable y por todos conocido: desde los niños que inocentemente juegan al teléfono estropeado hasta las pseudo-periodistas que fomentan el morbo creando falsas noticias a los ‘sociólogos’, que las analizan con la excusa de estudiar nuestro cotilla y gremial comportamiento. Inventan noticias por el placer de observar cómo las creemos, las divulgamos y transformamos a nuestro antojo.

Actualmente Internet (web y redes sociales) soporta igualmente todo lo que se quiera escribir, sean verdades, medias verdades o mentiras. Pero, por mucho que esto sea una comprobada realidad, la letra impresa en cualquier soporte da credibilidad a las ideas. Así de ingenuos somos la mayoría. De manera que todo, o casi todo, lo que vemos y leemos por Internet lo damos por cierto.
Un claro ejemplo de este extendido modo de actuar es la noticia por la que un conocido equipo de fútbol inglés fichó a un jugador serbio de gran proyección. Esta información fue colgada en primer lugar en un blog, después se mandó la información por e-mail a un periódico local y de allá salto a Yahoo e incluso a Eurosport. Hasta se podía consultar su trayectoria en la Wikipedia. Al final, el equipo en cuestión debió desmentir la información: no solo no existía tal fichaje sino ni tan siquiera el jugador. Todo era pura invención de un electricista sociólogo de 23 años, aficionado al deporte Rey y con un curioso sentido del humor. La noticia pasa de ser el ‘fichaje estrella’ del Middlesbrough al ‘fichaje fantasma’ en elmundo.es.

Visto lo fácil que resulta extender un rumor por la red y hacerlo oficial, hay empresas que empiezan a vigilar la veracidad de la información que publican sobre ellas y webs que se aseguran de sus contenidos, comprobando que se ajustan a la verdad, como es el caso de la Wikipedia.

Ante estas situaciones es preciso tomar dos medidas:
- En primer lugar, los periodistas deben ser cautos antes de dar por ciertas las informaciones. Cualquier persona puede colgar contenidos en Internet, y es tan probable que estos datos sean falsos como verdaderos. Ahí entra la labor de investigación, que debe saber discernir la verdad objetiva de las mentiras y las opiniones que, cada día en mayor medida, copan la red.
- En segundo lugar, es preciso que todos nosotros dejemos de ser ingenuos ante lo que vemos y oímos en Internet, y comencemos a dar por ciertas sólo aquellas informaciones que vengan respaldadas por datos reales y comprobados.

Otros post de este blog relacionados:

Redes sociales e información pública
Las Redes Sociales ¿Cómo gestionan la privacidad de los usuarios?

Amaia Urtasun
S21sec e-crime

Audits de Nessus

Bandolier es un proyecto de investigación de Digital Bond que documenta las configuraciones óptimas de seguridad para los componentes de aplicación del sistema de control, y tras ello programa estas configuraciones en "audits" que se pueden usar por herramientas de seguridad como por ejemplo Nessus, que es un programa de escaneo de vulnerabilidades en diversos sistemas operativos.

El proyecto Bandolier básicamente permite verificar que el sistema tiene una configuración de seguridad óptima tanto para el sistema operativo como para la configuración de seguridad de las aplicaciones. Tenable Network Security con organizaciones como el NIST y el centro para la seguridad en internet (CIS) ha desarrollado los mejores "compliance checks" (cumplimiento de verificaciones) para distintos sistemas operativos (Windows 2003 y XP, Linux, Unix, Red Hat, Solaris...) y aplicaciones IT como bases de datos (SQL server 2005, MySQL, Oracle 9-10) y servidores web (recomendaciones OWASP para PHP). Bandolier utiliza el mismo concepto para desarrollar archivos, salvo que lo hace especialmente para aplicaciones (configuración de firewall), del sistema de control, que residen en plataformas *nix y Windows.

No debemos confundirnos entre los compliance checks y los escáneres de vulnerabilidades, para Nessus hay una diferencia importante entre ambas. Los escáneres de vulnerabilidades se basan en un conjunto de firmas de "sucesos malos" que hacen que cualquier equipo sea vulnerable a algún suceso, en cambio los "compliance checks" comparan un sistema con "sucesos buenos"
para que la configuración sea más segura. Un ejemplo de dicha diferencia es el método de determninar que servicios están en funcionamiento en un equipo de trabajo o servidor. El escaner de vulnerabilidades manda un paquete a cada puerto TCP y UDP y evalúa la respuesta para determinar que puerto está abierto. Este simple escaner de los puertos ha causado que numerosas aplicaciones del sistema de control fallen. El compliance check se conecta al equipo o servidor como administrador autenticado, logra un lista de servicios en funcionamiento y devuelve la información via la conexión de administrador. De esta manera no "cruje" la aplicación.

A continuación se muestran varios ejemplos de audits:

custom_item>
type: SERVICE_POLICY
description: "Verify that the SCADA Control service is set to automatic"
value_type: SERVICE_SET
value_data: "Automatic"
service_name: "SCADAControlService"
/item>

Este audit verifica si un servicio de control SCADA está configurado en automático. El siguiente audit chequea que la longitud mínima de una contraseña sea de 8 caracteres.

item>
name: "Minimum password length"
value: [8..MAX]
/item>

Existen varios tipos de audits, acabamos de ver dos ejemplos, pero hay muchísimos más como por ejemplo saber si un antivirus está instalado o no, comprobación de contraseñas y logs, comprobar historiales de los navegadores, documentos clasificados, audits basados en las plantillas de seguridad de Microsoft...
Estos audits para Nessus pueden ser muy útiles para nuestro laboratorio SCADA, como por ejemplo la comprobación de contraseñas y logs. Conociendo el lenguaje para programarlos podemos pensar en eventos que puedan ser interesantes para el estudio en nuestro laboratorio SCADA, desarrollarlos y ponerlos en prueba.

Además de todo ello, Digital Bond desarrolla constantemente para Tenable nuevos plugins y soporte que nos pueden ayudar en nuestra tarea.

Iker Berriozabal
S21Sec labs

"El almacenamiento digital acabará con tu libertad" [1968]

Esto es lo que en junio de 1968 vaticinó Jack Star en la revista Look en base al boom que se estaba produciendo al ganar protagonismo los sistemas de información para el manejo de grandes cantidades de datos.

El artículo es excelente, y viene a resumir una problemática que hemos arrastrado a lo largo de los años: la protección de datos personales y ausencia de legislación al respecto. Eso sí, visto desde otro punto de vista pero con muchos paralelismos con lo que ahora se considera un riesgo.

Almacenamiento masivo de información con datos personales en soporte informático en vez de en papel
Disponibilidad cada vez mayor de los sistemas de información para los usuarios -legítimos o no-
Acceso remotos a los datos
Seguimiento de los gustos de las personas, información correlable que permite obtener un perfil bastante completo de alguien

Efectivamente, ahora contamos con leyes que buscan la protección de nuestros datos personales, pero paradojicamente ahora necesitamos leyes que nos protejan de nuestras propias debilidades.

Álvaro Ramón
S21sec labs

Detectando troyanos bancarios a ojímetro

Los troyanos bancarios pueden trabajar de muchas maneras, y una de ellas consiste en superponer una imagen propia sobre el navegador, una vez que se detecta que el sitio web visitado es la entidad bancaria atacada.

Estos troyanos, dependiendo de la pericia del programador, pueden pasar más o menos desapercibidos, y generalmente se basan en capturas de pantalla de la propia página, pero pueden ser detectados por el cliente atento.

Vamos a ver algunas maneras de detectar estos tipos de troyanos a "ojímetro".

Tiempo de carga: Los troyanos superponen la imagen cuando observan la URL atacada, ya sea en la barra de direcciones o en el título y, al ser un simple programa mostrando una imagen, son muy rápidos y la carga es instantánea y uniforme. No habrá partes de la página cargadas al instante y partes que se cargan más tarde.

Clic derecho: Al hacer clic con el ratón, realmente lo hacemos sobre la imagen superpuesta, por lo que el clic derecho no suele funcionar, mientras que en la página legítima sí que lo hace.

Enlaces: Por el mismo motivo que en el punto anterior, los enlaces no pueden ser visitados, ya que se trata de una imagen estática. Aunque transmita el clic a la página, si no se retira la imagen superpuesta, no se podrá seguir un enlace. Ni siquiera el ratón nos indicará la presencia de un enlace al poner el puntero sobre el mismo.

Enlaces visitados: Las imágenes que coloca el troyano, pertenecientes a capturas de pantalla del programador, pueden llegar a tener marcados algunos enlaces como visitados, y otros como nunca visitados. Deberíamos saber qué hemos visitado y qué no en la página de nuestro banco.

Redimensionar la página: Al redimensionar una página web, puede ser que aparezcan barras de scroll, ya sea horizontal o vertical, pero en el caso de un troyano de este tipo, es muy probable que no lo haga.

Escribir nueva URL: Algunos troyanos están diseñado pensando en suplantar una página y no rompen su ciclo de actuación hasta el envío de datos. En estos casos, una vez dentro de la entidad bancaria, si escribimos otra dirección en la barra de direcciones y pulsamos intro, se cargará la página, pero seguiremos viendo la imagen que nos solicita credenciales bancarias.

Calidad de las imágenes: Si las imágenes vienen comprimidas, por ejemplo en jpg, puede que la definición no sea la misma, por lo que se puede apreciar una falta de calidad.

Scroll: Si el troyano es muy chapucero y la página tiene scroll, al descender por la misma, por ejemplo, con la rueda del ratón, se pueden llegar a ver dos peticiones de credenciales.

Como ejemplo, en la imagen superior se puede ver una captura de este tipo de troyanos. Abriendo la misma página, mientras que en Mozilla Firefox (derecha) se visualiza correctamente, sobre Internet Explorer (izquierda) se superpone una imagen y el scroll no se visualiza.

Como conclusión, y aunque parezca evidente, es recomendable que conozcamos en detalle las páginas de nuestra entidad bancaria, para de esta manera percatarnos de la más mínima anomalía.

Mikel Gastesi
S21se e-crime

Internet Background Noise

Si con un sistema cualquiera de recepción de paquetes (por ejemplo, conectados a Internet de forma "directa", sin un router que efectue NAT, o conectándolo de forma "promiscua" para que actúe como un hub en vez de como un router, recibiendo paquetes directamente del ISP sin que nuestro router filtre por dirección de envío) recibiremos de vez en cuando paquetes de red de muchos tipos y protocolos distintos. Esto se llama el Ruido de Fondo de Internet ("Internet Background Noise", o IBN), y es como ponerse a escuchar las interferencias de radio: de vez en cuando se percibe algo.

Estos paquetes del IBN suelen ser de worms o personas realizando escaneos de puertos en su mayoría, pero también de otros ordenadores intentando comunicarse con rangos de IPs antiguos o routers mal configurados que envían sus paquetes a IPs que no corresponden, e incluso paquetes mal compuestos que han mezclado datos en los campos para la IP destino y que, por casualidad, esos datos han coincidido con nuestro número de IP (por ejemplo, un dato de texto "MNOP" mal puesto en la zona de cabecera del paquete en vez de en la de datos, o como coincidencia si se envía un conjunto de datos como si fuera un paquete de red ya formado, en el DWORD correspondiente a la IP destino, enviaría ese paquete a la IP 77.78.79.80). Estos paquetes pueden ser tanto TCP, como UDP o ICMP (pings mayormente), aunque también podemos encontrar protocolos propietarios o no existentes (por el mismo caso del dato de text como IP, al ser puesto un dato cualquiera en el campo de la cabecera IP correspondiente al protocolo).

El IBN se puede usar como una forma de medir la incidencia de ataques de worms todavía in the wild, o ataques a rangos de IP en busca de vulnerabilidades, o hardware dejado de la mano de Dios. Esto no representa un problema excepto si nuestros sistemas no están protegidos contra una vulnerabilidad que explote ese paquete, como pudiera ser el caso del CodeRed en su día (que funcionaba mediante un “buffer overflow” contra los puertos de los IIS que pudiera encontrar). Podemos usar también el IBN como medición de sistemas que todavía siguen funcionando en organizaciones empresariales cuya actualización de redes internas ha sido "acumulativa" (añadiendo equipos, parches y nueva infraestructura manteniendo la antigua) o bien donde no se han jubilado equipos y routers antiguos.

Este último caso es el que los hackers maliciosos pueden aprovechar. El análisis de esos paquetes puede revelar en qué IP existe todavía un sistema operativo antiguo, un hardware con configuración obsoleta (y en el 99% de los casos no parcheada con actualizaciones) que no ha sido supervisado en bastante tiempo, o un sistema infectado con un backdoor cualquiera que se esté dando a conocer. Esos paquetes lanzados a la red serían como un gran letrero indicando dónde existen un sistema vulnerable o susceptible de ser atacado y zombificado.

Como muestra, tenemos una serie de gráficos de sensores en la web http://www.switch.ch/security/IBN. Podemos comprobar mediante esas gráficas que el IBN no es precisamente leve. Las gráficas muestran este tráfico "extra" en miles de paquetes cada 5 minutos a lo largo de 24 horas, rozando en casos los doscientos mil). Como se ha comentado, un análisis exhaustivo del origen de los paquetes en este tráfico puede proporcionar resultados muy interesantes, o peligrosos para ciertas compañías, si alguien que sabe utilizar esta información la utiliza para fines que no sean únicamente los de crear estadísticas.

Aleixandre Guzmán
S21Sec e-crime

Usos alternativos de las redes sociales

Anteriormente ya hemos hablado en este blog sobre redes sociales, principalmente tratando el tema de la privacidad de las personas. Pero de lo que no se ha hablado hasta ahora es de los posibles usos "alternativos" que se le pueden dar a este tipo de herramientas.

Principalmente se usan para estar en contacto con amigos y conocidos y, a su vez hacer nuevas amistades. Algunas personas pueden usar estas herramientas para recabar información, pero, vamos, no deja de ser otra manera mas de compartir información personal. La novedad surge cuando a alguien se le ocurre utilizar Twitter para controlar una "botnet".

En este caso en cuestión, los bots usan el "feed RSS" de una cuenta de Twiter para recibir instrucciones. Lo llamativo de hacer las cosas de esta manera es que las acciones que van a realizar los "bots" son de dominio público, es decir, "facilita" el análisis de lo que hacen los "bots". Aunque por otro lado, podría dificultar la detección de los equipos infectados (si alguien se apoderase de una cuenta de Twitter y entremezclase las instrucciones con mensajes reales, sería muy difícil detectar que equipos son bots y cuales son humanos a través de las suscripciones a ese Twitter). En este post podréis encontrar un breve análisis de una de las instrucciones "posteadas" en Twitter y un análisis más profundo sobre la noticia.

La cuenta de Twitter en cuestión pertenece al usuario "upd4t3", y si intentáis ver algo, os encontrareis con esto, vamos, que el equipo de Twitter ya la ha suspendido:

Se han encontrado cuentas similares a la de Twitter en los sitios web Jaiku y Tumblr, y por lo que se sabe hasta ahora, la mayoría de los equipos que han sido infectados a través de esta "botnet" se encuentran en Brasil.

Asier Marruedo
S21sec e-crime

El Sistema SCADA más grande del mundo

El mayor SCADA del mundo se encuentra en nuestras antípodas, situado al sur de Australia en una mina de cobre. Concretamente en la mina Olympic Dam. Aquellos que quieran conocer detalles sobre los componentes del proyecto pueden hacerlo en el libro Sistemas SCADA o en la propia Web del proyecto.

La mina Olympic Dam es una de las cinco más grandes del mundo, y como tal el volumen de componentes a controlar es muy elevado. Esto llevó a los propietarios a invertir en un sistema de control que fuese capaz de garantizar el funcionamiento de la mina incluso en circunstancias desfavorables. Con el objetivo de modernizar el sistema de control, se definieron una serie de características, entre ellas que el sistema tendría que ser abierto, para poder facilitar las tareas de mantenimiento y soportar un elevado grado de escalabilidad dadas las posibles ampliaciones que podrían realizarse en un futuro.

Un sistema tan grande y con tantos componentes también es objetivo de un gran número de ataques, por lo que la seguridad en este tipo de SCADA debe ser unos de los parámetros más importantes a la hora de su desarrollo. En la fase inicial de su diseño, se redactaron una serie de políticas que se cumplieron durante los 18 meses que duró el despliegue del sistema.

Cuando todo el sistema de control está interconectado y los empleados pueden controlar cualquier elemento desde cualquier terminal de operador, es muy importante que éstos estén realmente concienciados (podemos encontrar algunas políticas de seguridad aquí) acerca de las implicaciones de seguridad de sus acciones. Todos los accesos a través de los terminales están securizados mediante credenciales y niveles de privilegios de los empleados, aunque esto no evita los riesgos debido a la consecución de errores humanos, hoy en día, uno de los principales problemas de seguridad producidos por los propios empleados.

Aparte de la concienciación de los empleados también es importante el diseño de la red así como las protecciones aplicadas con el fin de evitar y prevenir los ataques externos. Por este motivo todos los activos importantes (entre ellos: servidores ficheros y bases de datos) están replicados. Asimismo también existe redundancia en la red Ethernet debido a la gran cantidad de información que transita, principalmente desde los servidores de entrada/salida. Todos los sistemas de respaldo responden automáticamente cuando el principal falla. Desde que el sistema se puso en funcionamiento en 1.999 siempre ha tenido un 100% de disponibilidad.

La realización de auditorías permite comprobar la seguridad de cualquier sistema. La propia realización de algunas de las pruebas de una auditoría puede, en ocasiones, conllevar una sobrecarga temporal en los sistemas, llegando incluso al punto en que alguno deje de responder durante un cierto periodo de tiempo. En Olympic Dam la disponibilidad de los sistemas es muy importante, pues se controlan casi 450.000 variables en tiempo real, por lo que un simple segundo de inactividad puede significar la perdida de mucha cantidad de información si tenemos en cuenta que durante las pruebas se controlaron 3 millones de señales digitales en una hora, generando 14 Gb de información total al finalizar las mismas.

El sistema SCADA controla todos los aspectos de la mina por lo que la gestión de sus riesgos debe ser exhaustiva, sin olvidar las amenazas tecnológicas de cualquier entorno IT, incluyendo las llamadas “ciberriesgos” y “ciberamenazas”, como el espionaje, Hackers, Malware, etc.… De la correcta gestión del riesgo no solo depende el funcionamiento de la mina (es decir, su rentabilidad), que no se produzca la pérdida de vidas humanas o desastres medioambientales son otros de los objetivos principales. De ahí la preocupación de los gobiernos en aprobar regulaciones que obliguen a los propietarios de estas infraestructuras a cumplir con unos criterios mínimos de ciberseguridad.

Un sistema SCADA puede ser tan grande como uno pueda imaginar, o tan pequeño que no controle más que una variable a través de un PLC, pero la seguridad del mismo siempre es un punto muy importante que no se debe descuidar.

Jairo Alonso
S21sec Labs

MAFIA 3G

Mafia, es el nombre dado a una asociación de bandas criminales, unidas en ocasiones por pactos de sangre y juramentos secretos. La creencia popular sitúa su origen en la época feudal, para proteger los intereses de los nobles y campesinos Sicilianos ante la ocupación Francesa, oficialmente nace en el siglo XIX como una red de clanes criminales que dominaban la vida rural y política siciliana.

La Mafia no contaba con una organización centralizada ni con una jerarquía, estaba formada por pequeños grupos que operaban independientemente. A comienzos del siglo XX, muchos de los miembros de estas bandas emigraron a los EEUU, la prohibición del alcohol y el juego fue el caldo de cultivo para el desarrollo de estas organizaciones, que vivían del contrabando y llegaron a tener un control político-social casi total.

La evolución de la mafia (Mafia 2G), llegaría en los años 30, cuando el famoso gangster Charles "Lucky" Luciano , acabo con los jefes de la generación anterior,“los hombres del mostacho” y creo la comisión, un consejo organizativo y normativo del que formaban parte los jefes de las principales bandas. El consejo organizaba sus actividades e imponía una jerarquía y una serie de normas, con lo que se paso de muchos grupos pequeños a una sola organización inmensa y perfectamente coordinada. Esta fue la época del trafico de drogas a gran escala y la ciudad de Las Vegas, la época dorada de la mafia cinematográfica.Después de la segunda guerra mundial, el mundo empezó a funcionar bajo un nuevo sistema político, económico y social: La Globalización, aunque esta no llegara a su máximo esplendor hasta unas décadas mas tarde (80-90) y a pesar del duro golpe que los gobiernos dieron a las organizaciones mafiosas, no pudieron evitar la aparición de una tercera generación mafiosa (Mafia 3G).Estas organizaciones se aprovechan de las ventajas geoestrategicas, y entran en muchas otras actividades como describe el periodista Roberto Saviano (amenazado y perseguido por la camorra napolitana) en su libro: Gomorra, donde aparte de los tradicionales negocios de drogas, extorsión, prostitución, trafico de personas y asesinato, también se dedican a la moda, falsificaciones, a la importación de todo tipo de productos desde China, al tratamiento de residuos o a la construcción y no solo en Italia sino en cualquier lugar del mundo.

Una de las herramientas mas importantes para esta nueva mafia es Internet, donde también han extendido sus garras y donde cada día tienen mas actividad. El gobierno de los Estados Unidos estimo el beneficio procedente de los diversos fraudes por Internet el año pasado solo en EEUU en mas de 20 mil millones de dolares. Entre las actividades mas comunes se encuentran:

Robos de identidad y datos. El robo de datos e identidad ha llegado hasta el punto en el que existen listas de precios estandarizadas por los diferentes datos del usuario. $0.25 por tu nombre, $2 por un numero de teléfono, de $150 a $500 por números de tarjetas de crédito y de $50 a $400 por el nombre de usuario y clave del banco. Si hablamos de información corporativa estas cifras se disparan. Para conseguir estos datos se utilizan técnicas de Phising, Malware o Ingeniería social.

Extorsión y chantaje, con los datos obtenidos en el apartado anterior, y con el uso de grandes redes de ordenadores controlados por los cibercriminales (Botnets) para atacar servicios en Internet. Las mafias pueden amenazar a empresas con denegaciones de servicio si no cumplen con el pago solicitado, o con información comprometida que han robado a la propia empresa.

Fraudes. Desde robar el dinero de las cuentas o emitir tarjetas clonadas para usar por todo el globo, hasta realizar campañas de promoción de acciones del mercado de valores previamente compradas a bajo precio, para obtener beneficio al revenderlas. Además se está poniendo de moda la venta de productos a bajo precio por Internet que nunca llegan a su destino.

Blanqueo de capitales. Este campo ha sido uno de los pilares de las organizaciones criminales, pues las ingentes cantidades de dinero generadas ilegalmente deben ser “limpiadas” antes de poder ser utilizadas para su beneficio, diversos mecanismos financieros y jugos de azar a través de Internet han colaborado a refinar y ocultar esta practica

Pornografía y prostitución Pese a que se pudiera pensar que la pornografía en Internet es inocua, un elevado numero de canales de video-chat pornográfico son realizados por mujeres que son explotadas sexualmente contra su voluntad, como si no fuera suficiente ademas de ser obligadas a realizar estos actos, normalmente también se hacen cargo del mantenimiento y creación de los propios sitios web.

Vivimos en un mundo donde es posible modularizar las tareas de la organización para dificultar su captura o interrupción, aprovechando los “bugs” del sistema legislativo internacional. El servidor fraudulento de recolección de datos personales se halla en una pequeño país en vías de desarrollo donde nadie vigila ni impide la actividad criminal o donde el grupo criminal tiene mas dinero y poder que el propio estado. Estos sistemas son creados y controlados desde países como EEUU, Rusia, India, Brasil y China, que cuentan con un elevado numero de expertos en “inseguridad” informática, el beneficio se acumula en paraísos fiscales caribeños o asiáticos que finalmente blanquearan el dinero en Europa y EEUU, impulsando otros negocios de índole “aparentemente” legal que se comportan como empresas respetables y proveen de pingües beneficios a los lideres mafiosos.

La empresa Finjan Software Inc proveedor de soluciones de seguridad web, publicó un informe en julio del pasado año 2008, tratando el tema de la evolución y el modelo de negocio del crimen electrónico, la similitud organizativa entre los grupos de ciberdelincuentes con las estructuras mafiosas clásicas e incluso contactó y reproduce conversaciones con uno de estos grupos en un canal de chat. El informe esta en inglés y no tiene desperdicio, muestra claramente como el romántico modelo de hacker con afán de conocimiento y autosuperación ha sido sustituido por esbirros de una organización mafiosa especializados en sistemas informáticos en lugar de robo de coches, apuestas ilegales, prostitución o extorsión.

Es importante tener claro el peligro de vivir en un mundo sin reglas globales, sin legislación internacional propiamente dicha, pero de libre mercado y movimiento de capitales. Si los estados no reaccionan a tiempo se encontrarán con que la globalización se ha convertido en una nueva “ley seca” que solo sirve para ayudar a los amigos de lo ilegal a hacernos “ofertas que no podremos rechazar”.

Ignacio Rodriguez

S21Sec e-crime

Seguridad, abierto por vacaciones

Un año más, con la llegada del verano llegan también las vacaciones y con ellas un paréntesis en las rutinas habituales. Algunos de estos cambios tienen que ver con el uso de los equipos informáticos, especialmente como herramientas de acceso a Internet. Nuevos entornos de acceso a la red (el cibercafé del hotel o el bar que tiene Wifi) se hacen un hueco entre los que son habituales durante el resto del año (lugar de trabajo, domicilio, etc).

Este cambio en la forma de acceso a la red hace también que sea recomendable tomar algunas precauciones en materia de seguridad distintas a las que se toman normalmente. La lista puede ser extensa y existen una gran variedad de situaciones, pero como casi siempre, el sentido común y la prudencia son suficientes en la mayoría de los casos. Ahí van algunas recomendaciones generales que pueden evitar algún que otro sobresalto:

Los equipos portátiles son valiosos. Normalmente son caros y además, pueden almacenar información importante, así que puede ser buena idea guardarlos en una caja fuerte de la misma forma que se hace con la documentación, el dinero u otros objetos de valor.

Evitar el uso de redes wifi abiertas que no utilizan algún método de cifrado. O al menos, evitar el acceso a información sensible desde estos puntos (la página del banco, el correo electrónico, etc).

Proteger el inicio de sesión con una contraseña y evitar utilizar las opciones típicas de “recordar contraseña” de los navegadores pueden “limitar los daños” en caso de robo o pérdida.

Si se utilizan equipos “públicos” (cibercafés o instalaciones similares), cerrar sesión siempre al terminar (banco, correo) y eliminar los “rastros” de la navegación si es posible. Para este último propósito, se puede usar el atajo ‘Ctrl+Shift+Supr’ para Firefox u ‘Opciones de Internet -> Pestaña General -> Eliminar…’ para Internet Explorer (más información)

Para usuarios más avanzados o cuyos equipos contengan información confidencial, también puede ser interesante:

Cifrar el disco duro: de esta forma, en caso de pérdida se evita el riesgo de que alguien pueda acceder a los documentos almacenados en el equipo. Hay numerosas herramientas adecuadas para este propósito (TrueCrypt, Open Source).

Proteger la configuración de la BIOS con contraseña: puede evitar el arranque con un Live CD.

¡Felices vacaciones!

Alberto Yoldi
S21Sec e-crime

IOActive, blackhat, smart meters y Worm, todo junto.

Desde hace días se seguía con interés uno de los eventos SCADA más significativos en cuanto a seguridad. El 28 de Julio, IOActive anunciaba que Mike Davis iba a presentar un gusano para Smart Grid en los briefings de la BlackHat en Las Vegas. Desarrollado sobre el firmware de un contador eléctrico (smart meter) conectado a una red de este tipo, la charla incluía una simulación de su capacidad de dispersión. Por si no había llamado suficiente la atención, Travis Goodspeed, otro experto en seguridad en sistemas empotrados y microcontroladores referenciaba la charla de Davis en su presentación.

La charla completa resume que es un Grid, habla de los diferentes componentes y viene a decir que la facilidad de propagación del gusano radica en la falta de comprobaciones de confianza, de tal modo que un dispositivo es incapaz actualmente de detectar si su vecino en el Grid es quién dice ser. Esta ausencia en la autenticación y la poca robustez del cifrado permiten la comprensión de las comunicaciones así como la manipulación del firmware.

A pesar del fatalismo, Davis supo gestionar la situación de que la mayoría de asistentes a su charla solamente querían saber si el smart meter utilizado era el suyo. Realizó una presentación en general optimista, aunque no se separó en ningún momento de la línea alarmista, afirmando por ejemplo que habían encontrado varios smart meters en los que podían manipular el firmware. Las Utilities, así como los proveedores de dispositivos smart fueron los que se mostraron más receptivos a las advertencias de Davis, aunque en más de una ocasión hizo referencia a que pudiera llegarse a comprometer la central generadora (o la distribuidora) utilizando el smart meter. Si bien puede ser cierto, no es ni el único ni el más importante vector de ataque, ya que hasta ahora, se han reportado otro tipo de incidentes en estos centros debido a la existencia de vulnerabilidades en el software que utilizan.

Ahora bien, como ejemplo de consecuencia, en un grado de dispersión suficiente, si alguien inutilizase de golpe los dispositivos smart afectados por el gusano realizando un corte de suministro eléctrico en todos ellos podría ocasionar grandes daños (no solo económicos) en los dispositivos distribuidores de energía, dejando la red de distribución totalmente desbalanceada o todo el grid en una situación inestable, pudiendo ocasionar grandes picos de tensión y energía difícilmente asimilable por la red actual. No debemos olvidar que esta situación puede ocurrir de forma controlada por una persona, o por la consecución de un error de software en el propio gusano.

Al final, las compañías del sector eléctrico ven el resultado de la investigación de Davis con malos ojos, sobre todo los proveedores de dispositivos smart. La prensa obtenida por su atrevimiento también está dividida. En mi opinión Davis ha conseguido su propósito, que es despertar el diálogo entre los diferentes actores que intervienen en la película de smart grids, sobre todo los que tienen que decir algo respecto a la seguridad de los dispositivos. Lo extraño es, que en el año 2009, todavía es necesario generar cierto alarmismo para que las cosas se dejen de empezar a construir por el tejado, ya que parece ser que hasta que no se ven las consecuencias aunque sea en una simulación, la teoría (será que no hay prosa sobre seguridad en internet) no sirve para nada. Intertextualizando, incluyo una cita suya que comparto: “Every time we redesign a new technology like this, we're doomed to relive the '80s and '90s all over again and the same vulnerabilities”

Aunque son muchas más las posibles consecuencias que puede acarrear “jugar” con este tipo de dispositivos, de forma manual o automática. Otros ejemplos podrían ser, un sencillo fallo en el software de gestión de General Electric dejó sin electricidad a 50 millones de personas (estadounidenses) en 8 estados y una provincia de Canada. En Enero de 2003, el gusano Slammer dejó desactivo durante casi 5 horas un sistema de monitorización de seguridad en la planta de generación nuclear Davis-Besse de Ohio. Pero me voy a quedar con uno más fatídico. Olympic Pipeline CO., 10 de junio de 1999, una ruptura en una tubería de gas acaba matando a dos niños de 10 años y otro de 18, además de dejar otras 8 personas heridas. Las causas del accidente aún del todo sin aclarar, incluyen el hecho de que un error de software unos 30 minutos antes de la ruptura, impidió el acceso de los operarios a la sala de control para liberar presión de la tubería.

Conclusión, jugar con tecnología que se desconoce, o que no se controla puede llegar a ser divertido. En entornos SCADA o de control crítico, puede llegar a serlo, en el mejor de los casos.

Iñaki López
S21sec labs

Series Temporales

Las series temporales son muy interesantes en muchos campos de la vida cotidiana. Como no podía ser menos, también lo son desde el punto de vista de la seguridad informática. Tal y como nos adelantó un compañero recientemente, este tipo de series pueden ser utilizadas, por ejemplo, para salvaguardar la imagen corporativa, para obtener patrones de comportamiento, etc.
Las series de tiempo quedan definidas como un conjunto de observaciones uniformemente ordenadas en el tiempo. Una de las múltiples formas de categorizar este tipo de series es en el número de variables aleatorias utilizadas para la construcción del modelo, quedando las series en:

Univariantes: Son aquellos modelos cuyo comportamiento queda descrito por una única variable aleatoria (p.ej. La evolución de la gasolina a lo largo del tiempo).
Multivariantes: Son aquellos modelos cuyo comportamiento queda descrito por más de una variable aleatoria (p.ej. Creación de dióxido de carbono (CO2) centrada en la concentración de carbono y oxigeno a lo largo del tiempo).

Por otro lado, toda serie temporal consta de los siguiente elementos:

Tendencia: Es una componente de la serie temporal que refleja la dirección hacia la que tiende la serie a largo plazo.
Variables estacionales o Ciclicas: Es una componente de la serie que recoge las oscilaciones que se producen alrededor de la tendencia, de forma repetitiva y en periodos a corto plazo.
Otras Fluctuaciones: Componente de la serie que toma los valores residuales de esta, que no son explicados ni por la tendencia ni por las variaciones estacionales. Esta componente puede o no tener un comportamiento aleatorio.

Pero lo realmente interesante del análisis y predicción de las series de tiempo radica en predecir acciones futuras o anomalías basándonos en el comportamiento pasado del caso de estudio. Dentro de las series temporales nos podemos encontrar con algoritmos muy variados, desde las regresiones pasando por el algoritmo de Holt-Winters (predicción de la serie de tiempo centrada en la descomposición de la serie) o la metodología de Box-Jenkins.

En la actualidad los estudios de las series de tiempo pueden ser solucionados mediante otras técnicas como el uso de wavelets, la segmentación basada en patrones para predecir series de tiempo caóticas, o la identificación de anomalías en series de tiempo basadas en las diferencias de la dimensión fractal de la serie, es decir, identificación de anomalías calculando la distrubución de la serie sobre el espacio (junto con sus microfluctuaciones), dimensión Minkowski–Bouligand, comparandola con los nuevos datos de la serie, algoritmo Grassberger-Procaccia. Esta última técnica basada, fundamentalmente en la Teoría del Caos, deriva de la física, que se encuentra en continua evolución.

Aitor Corchero Rodríguez
S21sec labs

MEBROOT Parte I : Apertura

Desde la primera variante del rootkit mebroot( rootkit de MBR ) que se detectó en 2007 hasta ahora, este rootkit ha traído de cabeza a los investigadores debido a su continua evolución. kimmo kasslin y Elia Florio publicaron un artículo en 2008 sobre la evolución y origen de este rootkit: Your Computer is Now Stoned (...Again!).

El mebroot, desde que apareció en escena hasta hoy, lleva jugando una partida de ajedrez con las herramientas anti-rookits. Cada movimiento que da uno es contrarrestado por el otro. En esta serie de artículos veremos parte de esa partida de ajedrez que aún no ha acabado. En este caso la fase inicial que si seguimos con el símil del ajedrez llamaremos Apertura.

Básicamente el rootkit te cambia el MBR de tu máquina por su código. Este código además de arrancar el sistema operativo, instala y ejecuta el rootkit. La forma en que este rootkit se oculta en el sistema es escondiendo el "MBR infectado", de modo que si alguien intenta leer el MBR del sistema, el rootkit devolverá el "MBR original" y parecerá que todo es correcto.

La forma que tienen los anti-rootkits de detectar que un sistema esta infectado con el Mebroot en mediante una lógica diferencial:

-Se lee el MBR en ring 3, es decir, al mas alto nivel posible.
-Se lee el MBR a bajo nivel, en ring 0.

Al leer el MBR al más alto nivel posible, estamos intentando que el contenido de esta lectura contenga lo que el rootkit quiere que veamos. En este caso veremos el MBR original de la máquina que estamos ejecutando.

Por el contrario, al leer al nivel más bajo posible, las herramientas anti-rootkit tienen que baypasear los hooks que este tiene para ocultarse e intentar leer el contenido real del MBR.

Para ver si estamos infectados, lo que hacemos es comparar las dos lecturas anteriores, comprobando antes de que cada lectura contiene un MBR válido( por ejemplo mediante la firma del MBR 0xAA55 ). Si el contenido de estos buffers es diferente podemos asegurar que estamos infectados.

Las primeras variantes del rootkit hookeaban las dispatch routine de disk.sys y cdrom.sys para esconderse en el sistema. Las dispatch routine de disk.sys originalmente son:

[03] IRP_MJ_READ    f9a8bd9b    CLASSPNP!ClassReadWrite
[04] IRP_MJ_WRITE   f9a8bd9b    CLASSPNP!ClassReadWrite

Cualquier petición de lectura/escritura en disco acabará en CLASSPNP!ClassReadWrite.

Una vez ejecutado el mebroot vemos como cambia la dirección donde se hace la lectura/escritura.

[03] IRP_MJ_READ    8124e1ac    +0x8124e1ac
[04] IRP_MJ_WRITE   8124e1ac    +0x8124e1ac

El mebroot lo que trata de ocultar es el MBR que es donde esta su código de infección. Pone un hook a las dispatch de lectura/escritura con la finalidad de poder examinar todas las peticiones de lectura de disco. Cuando se produce una petición de lectura/escritura esta llega a la dispatch routine de disk.sys que al estar modificada salta al código del rootkit y es evaluada por este. Las lecturas del disco que no sean intentos de leer el mbr( 512 bytes del sector 0 ) llamarán a la dirección de memoria original CLASSPNP!ClassReadWrite que el rootkit guarda antes de poner el hook y se resolverá la operación. Si por el contrario le llega una petición de leer el MBR, el malware devolverá el MBR original( guardado previamente en disco ) y así permanecerá oculto en el sistema. Es decir, los buffers de ring3 y ring0 serán iguales.

La solución por la que optaron la mayoría de las herramientas anti-rootkit fue intentar recuperar la dirección de memoria de CLASSPNP!ClassReadWrite para poder llamar a esta dirección de memoria directamente y baypasear el hook del mebroot.

CLASSPNP!ClassReadWrite no está exportada por classpnp.sys por lo que llamarla directamente estaba descartado. Haciendo un estudio del driver classpnp.sys se pudo ver que la función CLASSPNP!ClassReadWrite se llama desde CLASSPNP!Initialize que si esta exportada. Bien ahí estuvo la solución teórica. Vemos CLASSPNP!Initialize:

xor     edi,edi
mov     eax,offset CLASSPNP!ClassCreateClose (f9a91c30)
mov     dword ptr [ebx+38h],eax
mov     dword ptr [ebx+40h],eax
mov     eax,offset CLASSPNP!ClassReadWrite (f9a8bd9b)
mov     dword ptr [ebx+44h],eax
mov     dword ptr [ebx+48h],eax

CLASSPNP!ClassReadWrite (f9a8bd9b) dirección de memoria que
queremos recuperar.

Para poder optar por esta solución los anti-rootkit debían añadir a su engine un desensamblador lo cual es bastante engorroso y lleva banstante tiempo hacerlo.

Una vez detectado el mebroot, los desarrolladores del malware responden con una nueva versión en que parchean CLASSPNP!ClassReadWrite en CLASSPNP!Initialize:

xor     edi,edi
mov     eax,81252756h-->Modificado
mov     dword ptr [ebx+38h],eax
mov     dword ptr [ebx+40h],eax
mov     eax,8124E1ACh
mov     dword ptr [ebx+44h],eax
mov     dword ptr [ebx+48h],eax
mov     eax,81252768h

En esta nueva versión no solo se modifica el CLASSPNP!Initialize sino que también se hookean mas direcciones de memoria en la dispatch routine de disk.sys y cdrom.sys:

[00] IRP_MJ_CREATE                      81252756    +0x81252756
[02] IRP_MJ_CLOSE                       81252756    +0x81252756
[03] IRP_MJ_READ                        8124e1ac    +0x8124e1ac
[04] IRP_MJ_WRITE                       8124e1ac    +0x8124e1ac
[09] IRP_MJ_FLUSH_BUFFERS               81252768    +0x81252768
[0e] IRP_MJ_DEVICE_CONTROL              81252762    +0x81252762
[0f] IRP_MJ_INTERNAL_DEVICE_CONTROL     8125275c    +0x8125275c
[10] IRP_MJ_SHUTDOWN                    81252768    +0x81252768
[16] IRP_MJ_POWER                       81252774    +0x81252774
[17] IRP_MJ_SYSTEM_CONTROL              8125277a    +0x8125277a
[1b] IRP_MJ_PNP                         8125276e    +0x8125276e

Bien la guerra por buscar CLASSPNP!ClassReadWrite ha terminado, esta dirección esta parcheada en todo el sistema y las herramientas anti-rookits
tendrán que buscar otras vías para la detección del nuevo sample.

Alonso Candado Sánchez
S21Sec e-crime

HQL Injection

Durante los últimos años dentro del lenguaje de programación orientado a objetos se han puesto de moda los ORM (Object-Relational Mapping). Estas herramientas nos permiten virtualizar el contenido de base de datos relacionales en forma de objetos. Hay pros y contras en su uso, defensores y detractores de este tipo de soluciones, pero si se decide utilizar una de ellas debemos conocer como su uso, debido a la existencia de amenazas de tipo SQL Injection , puede llegar a comprometer la seguridad de nuestras aplicaciones.

Comúnmente se piensa que por el hecho de utilizar un ORM nuestras aplicaciones ya son inmunes, y desde luego no es así. En muchas ocasiones está en manos del programador el que se pueda evitar declarar alguna jornada de puertas abiertas.

¿Qué es HQL? Existe un ORM en concreto compatible con leguajes Java y .Net llamado Hibernate. Esta herramienta dispone de un lenguaje de consulta HQL que acepta sentencias sql nativas con prácticamente todas sus clausulas (DELETE ,DROP….), así como otros elementos específicos del lenguaje, lo que hace que hibernate sea susceptible de sufrir ataques que podríamos denominar “HQL Injection”.

Una de las recomendaciones más importantes a la hora de evitar este tipo de ataque es el uso de "Prepared Statements", sentencias parametrizadas que permiten que en el paso de parámetros estos no sean interpretados. Hibernate por defecto en la mayoría de los casos utiliza este tipo de sentencias, pero ¿quiere eso decir que ya no nos debemos preocupar? La respuesta obviamente es no. Veamos un ejemplo.

Un error muy típico es construir consultas concatenando los parámetros directamente en la sentencia HQL .

String queryString ="from com.s21sec.model.Website as site 
where site= ('"+url+"', '"+mime+"')";
Session session = factory.openSession();
//Opcion 1
List resultadosOp1 = session.find(queryString);
//Opcion2
Query q = session.createQuery(queryString);
List resultadosOp2 = q.list();

Las dos opciones expuestas son un claro ejemplo de malas prácticas ya que la variable “url”, si no ha sido filtrada previamente, puede contener caracteres no deseados que se interpretaran, arriesgándonos a sufrir efectos inesperados en nuestra aplicación, provocar fugas de información etc...

Existen diversas alternativas para hacer algo equivalente de manera correcta, todas desembocan en el uso de prepared statements.

String queryString ="from rom.s21sec.model.Website as site where
site.url=(:urlparam, :mimeparam)";
Session session = factory.openSession();
Query q = getSession().createQuery(queryStr);
q.setParameter("urlparam",url);
q.setParameter("mimeparam",mime);
List resultados = q.list();

Esta es una buena práctica para el uso de Hibernate haciendo a nuestra aplicación un poquito menos vulnerable a este tipo de ataques. Además tampoco deberíamos descuidar otras medidas.

1. Asegurarnos que los parámetros que llegan a las sentencias no son las que el usuario ha introducido directamente.
2. Muchas veces es inevitable que se del punto anterior. En ese caso habría que llevar a cabo algún filtrado, introducir una capa de control que reduzca el riesgo.
3. El uso de procedimientos almacenados, al igual que los prepared statements, también nos hace menos vulnerables, pero con ellos perdemos una de las principales ventajas del uso de ORM’s, la portabilidad entre diferentes tipos de bases de datos.
4. Auditar nuestras aplicaciones periódicamente.

Raúl Martínez
S21Sec e-crime - Vigilancia Digital

Teclados: pasado y presente

En la DEFCON de este año se ha descubierto una fallo que afecta a los teclados de Apple. Mediante la instalación de un update del firmware se puede conseguir registrar las pulsaciones. En el siguiente vídeo se hace una demostración.

Hablando sobre la manera de conseguir información de los teclados, el clásico es el keylogger. En este post, Raul comenta diferentes formas de protegerse de ellos. Existen keyloggers hardaware que no instalan software, lo que les hace "indectectables" a primera vista, ya que normalmente son visibles. El problema en este caso es que nadie suele mirar los puertos USB/PS2 de su ordenador para comprobar estos casos, y normalmente nadie instala un keylogger mediante hardware en casa ajena, ya que la información normalmente hay que conseguirla extrayendo el keylogger, aunque también se puede conseguir inalámbricamente. Se suele utilizar en oficinas y no se suele utilizar en portátiles, ya que son difíciles de instalar sin ser vistos, y no se puede recoger la información siempre que se desee.

Otro modo de conseguir la información de teclados es mediante la captación de los pulsos electromagnéticos que estos emiten mediante las pulsaciones, como ya se explicó en este post. Como Josu indica, un atenuador de emisiones podría evitar en parte la fuga de información a terceras personas.

Las empresas, sobre todo entidades bancarias, han utilizado mecanismos virtuales para el acceso a información confidencial. Desde hace años ya se conocen mecanismos de detección de las pulsaciones en los teclados virtuales mediante la captura de pantallas con cada click, como se realiza actualmente mediante troyanos bancarios, aun cuando los teclados virtuales realizan desplazamientos en la ventana.

El método usado hasta ahora por los troyanos para infección y recolección de información era mediante el COM model (BHO), para así poder realizar capturas estáticas. Las empresas respondieron realizando movimientos del teclado virtual (teclado entero o solamente los caractéres), evitando las capturas dado que el momento en el que se realiza la captura, esta aparece alterada. Sin embargo, algunos troyanos que usan el API de Windows para realizar las capturas permiten que estas sean realizadas antes de que se produzca el cambio del teclado en pantalla, y de este modo consiguen los datos de acceso.

Cualquier método es válido para las personas que intentan conseguir la información, y la interacción del usuario y la máquina se produce mediante el teclado, lo que hace que sea un punto de interés a la hora de capturar dicha información.

Miguel López-Negrete
S21sec labs

Por el mismo precio, me llevo una más

Hablamos de credenciales. Todos lo sabemos y es la mayor preocupación de mucha gente. los troyanos roban credenciales. Pero, ¿qué roban? ¿solamente credenciales?

La respuesta no es simple, puesto que cada troyano tiene sus objetivos concretos y su propio programador con su visión de lo que necesita, pero está claro que los nombres de usuario y contraseñas son su bien más preciado. De esta manera, el robo directo de credenciales mientras las tecleamos es lo más evidente, pero no es el único tipo de datos robados.

Es muy común encontrarnos con troyanos que realizan capturas de pantalla para, por ejemplo, almacenar una pequeña área de la misma centrada en el punto en que hemos hecho clic, pudiendo robar las contraseñas introducidas mediante teclados virtuales.

Pero hay más. Disponiendo del control absoluto de la máquina, ¿qué más puede resultar interesante? Si tengo credenciales bancarias de mucha gente, estaría bien saber el saldo disponible en cada cuenta, por lo que puedo bien capturar la pantalla o grabar el texto de la página en el momento de mostrarlo... Los troyanos lo hacen.

También es habitual que las credenciales robadas no sean solamente referentes a las entidades/aplicaciones directamente atacadas, ya que las mismas pueden ser vendidas al peso o, igualmente peligroso, reutilizadas para los servicios que se pretenden atacar. El inconveniente de esto es que se requiere un testing (manual o no) para comprobar si realmente se está utilizando la misma contraseña para diferentes servicios.

En el caso de la venta de credenciales de correo, antes de venderlas, siempre se puede realizar una búsqueda dentro de la misma, ya que es muy habitual almacenar correos con credenciales para todo tipo de servicios.

Relacionado con esto, tenemos otra práctica muy común de los usuarios (noveles o no), que consiste en utilizar un esquema o plantilla para la generación de contraseñas. Por ejemplo, podemos tener diferentes cuentas de correo y que nuestras contraseñas sean del tipo p4ssword-super#seguradegmail, p4ssword-super@seguradehotmail, y queramos la contraseña de este usuario para su cuenta en yahoo, ¿cuál probamos? Esto se utiliza menos en el robo indiscriminado de credenciales, ya que requiere trabajo manual, pero quién sabe si en época de vacas flacas no se le dedica un tiempo a este tema...

Por último, también se pueden encontrar troyanos que monitorizan las preguntas secretas utilizadas para recuperar contraseñas. Por supuesto, si la gente reutiliza contraseñas, cómo no va a reutilizar preguntas secretas...

Ya sabemos: contraseñas fuertes, cuidado con las preguntas secretas, y cuidado con las plantillas para las contraseñas.

Mikel Gastesi
S21sec e-crime

Drive-by Downloads

Hace tiempo ya se comento el tema de los Drive-by downloads en este blog haciendo referencia a si un sistema era más o menos seguro en función de los privilegios que contaba un usuario.

Hoy vamos a comentar como funciona este tema de las descargas inadvertidas que tanto se popularizo en 2008 y que ha puesto en pie de guerra a los administradores de sitios Web haciendo que cada vez estén más atentos e informados en amenazas de seguridad, aunque la lucha es dura, los cibercriminales andan siempre un paso por delante dado que siempre están buscando nuevas técnicas para garantizar la supervivencia de su negocio.

Y, ahora nos preguntamos: “Como puede un cibercriminal inyectar malware en mi sitio Web?”, curiosa pregunta que se hacen los administradores de sites, pues bien, una de las respuestas más sencillas es, cómo no, Google.

Gracias al buscador, podemos identificar cuáles son los sitios Web más populares y, una vez recopilada una lista bastante amplia, buscar vulnerabilidades dentro de ellos, aquellas que las tengan más críticas son verdaderos jardines de scripts modificados del propio site (se considera mucho más útil modificar un script que agregar código en forma de nuevos archivos o de usar código ofuscado).

En el momento en el que se detecta una vulnerabilidad en una Web, se introducen nuevos parámetros en los que se incluye la función --referer=http://www.google.com/. Una vez que se accede a la pagina, la función completa revisa de dónde viene el visitante del sitio infectado, y, si había usado un enlace de Google, entonces se lo redirige a varios sitios nocivos que no tienen nada que ver con el que el usuario quería visitar. ¿El resultado? Un equipo infectado.

Este ejemplo de Google también es aplicable a otros buscadores como Yahoo!, Astalavista, Alltheweb, AOL, msn…

El funcionamiento de este tipo de malware normalmente se basa en la apertura de otras páginas en el navegador Web de las víctimas, que los redirige a un servidor Web malicioso que intenta instalar código en el equipo.

En algunos casos, el malware no se instala directamente si no que se realiza junto con una utilidad solicitada, por ejemplo, un archivo compartido puede incluir malware que rastrea la información del usuario y la envía para fines de bombardeo de marketing en forma de pop-ups generados. Y en muchos casos, este tipo de infecciones lo que hacen es conectar con botnets, convirtiendo los equipos en zombies que pueden ser usados para enviar spam o realizar ataques DDoS.

Ejemplo de codigo inyectado

A pesar de lo que contrariamente se piensa, un estudio del director de investigación de seguridad para Grisoft, demuestra que el dejar de visitar sitios de contenido para adultos disminuye ligeramente el peligro a ser expuesto por este tipo de malware, aunque realmente no existe una gran diferencia, y ahí podemos ver el caso de que en el 2008 se comprometieron sitios como el de Al Gore, los Miami Dolphin, y hace apenas un mes, los ojos se han centrado en los sites en los que se rendía tributo a Michael Jackson, con lo que, este tipo de ataques hacen que sitios aparentemente inofensivos, acaben formando parte de las listas negras de los productos de seguridad.

También es cierto que no solo las webs con mayor número de visitas son víctimas de estos ataques, sino que también se están dirigiendo a sitios de productos de seguridad, como por ejemplo, el popular XP Antivirus 2008, en el que, el propio servidor de esta página, ejecutara el programa Antivirus 2010 en el equipo, basándose en la confianza de los usuarios por paginas que estima seguras y haciendo que se comprometa totalmente el equipo.

La técnica de los cibercriminales se basa principalmente en la ingeniería social, puesto que se apoyan en el comportamiento humano normal de apresurarse a pinchar en los enlaces Web para acceder a la información lo más rápido posible, este deseo de rápido conocimiento es lo que realmente pone en peligro la seguridad del usuario.

Una navegación más consciente, probablemente reduciría en gran medida este problema que invade nuestra vida en la red.

Elvira Rodríguez de la Hera
S21sec e-crime

remplaza_fecha('31 agosto 2009');

remplaza_fecha('28 agosto 2009');

remplaza_fecha('27 agosto 2009');

remplaza_fecha('25 agosto 2009');

remplaza_fecha('24 agosto 2009');

remplaza_fecha('21 agosto 2009');

remplaza_fecha('20 agosto 2009');

remplaza_fecha('17 agosto 2009');

remplaza_fecha('14 agosto 2009');

remplaza_fecha('13 agosto 2009');

remplaza_fecha('12 agosto 2009');

remplaza_fecha('10 agosto 2009');

remplaza_fecha('07 agosto 2009');

remplaza_fecha('05 agosto 2009');

remplaza_fecha('04 agosto 2009');

remplaza_fecha('03 agosto 2009');