Seguridad: mitos de ayer, excusas de hoy

Actualmente, no hay semana que pase en la que no veamos una noticia relacionada con nuevas amenazas web, malware, phishing, perdidas de datos, usuarios descuidados, revelaciones de datos confidenciales etc.

Por ello, aunque a modo general, parece que el concepto de seguridad está empezando a tomarse en serio por el usuario medio, lo cierto es que aún, una vasta mayoría, todavía subestima la importancia de estas medidas o tienen ideas equivocadas.

Actualmente, el grado de sofisticación de los ataques en Internet o directamente a los usuarios, roza ya lo irreal. Y esto, es algo que no va a parar de crecer, mientras exista detrás todo un mercado negro con una gran infraestructura establecida.


Los usuarios deben ser conscientes de ello, pero haría falta mucha educación y sensibilización, cosa que no siempre está al alcance de todos, o no se está por la labor. Tambien observamos cómo los usuarios creen que estan a salvo y fuera de peligro porque creen en mitos que ya no son ciertos actualmente y los ponen como excusas poniendo en peligro su seguridad por el desconocimiento ¿de qué mitos hablamos?:

1. No tengo nada importante en mi equipo.
   
   • Cuestión: No se trata de lo que tengas o no tengas en tu equipo. Se trata de lo que pueden hacer a través de él.
     
   • Solución: No digas "me da igual".
2. Utilizamos scp para transferir ficheros en la red.
   
   • Cuestion: Aunque se usen algoritmos de cifrado y una longitud de clave apropiada, sólo estas seguro seguro desde un punto al otro.
   • Solución: ¿dónde se transmiten los ficheros? ¿quién tiene acceso? ¿se realiza backup de esos ficheros? ¿es necesario? ¿cual es la política de backup?. En cuantos más sitios residan los datos, más difícil es protegerlos.
3. Estamos detrás del Firewall de nuestra empresa o casa.
   • Cuestión: Esta puede ser la excusa más típica, los usuarios se sienten a salvo trás esa "máquina" que les protege. Con las amenazas actuales, los firewall de red e IDS no son suficientes.
   • Solución: La seguridad necesita combatirse a varios niveles. El firewall de red es simplemente uno de esos níveles. El usuario necesita herramientas de seguridad en su propio equipo que le avisen cuando algo ocurre, y explorar la red con navegadores fiables y seguros.
4. Para las transacciones online sólo me fío de los sitios con https.
   
   • Cuestión: Ya hablamos de esa falsa sensación de seguridad.
   • Solución: Concienciación del usuario, experiencia y un sexto sentido.
5. Utilizo un sistema operativo que no necesita antivirus.
   • Cuestión: Cual, ¿Mac?, ¿GNU/Linux?, ¿Windows?.. Los mayores peligros hoy día son multiplataforma, no importa qué SO utilicemos. ¿Se os ocurre cómo un simple rootkit podría introducirse en usuarios de Windows/Linux y MacOS?. Sí ampliamos el concepto de rootkit que tenemos hoy día para ir más alla del S.O como objetivo de éste, podremos verlo en una extensión de firefox por ejemplo.
   • Solución: Muchos abogan por tener un navegador para el ocio y otro para realizar transacciones en Internet, pero no resultaría algo cómodo para el usuario. Hay que buscar nuevas soluciones para las nuevas amenazas.
     

Recuerda, la seguridad es el proceso de mantener un nivel aceptable del riesgo que se percibe, no hay que vivir en un constante estado de paranoia, pero tampoco debemos poner como excusas de nuestra seguridad mitos de ayer que no valen hoy. Al final, todo es cuestión de confianza.

Emilio Casbas
S21sec labs

MBR Issues

El MBR o Master Boot Record es el primer sector de un dispositivo de almacenamiento de datos, aunque generalmente es usado como el sector de arranque. Pues bien, hace un tiempo se descubrió un virus que utilizando técnicas de rootkit conseguía salir “ileso” de las protecciones de Vista y de los antivirus. Aunque se sospechaba que ya estaba solucionado, se ha descubierto una nueva oleada de equipos infectados a finales del pasado año 2007.

El problema consiste en que en los sistemas Windows NT (incluidos XP y Vista) el usuario es capaz de modificar el MBR del disco. Esto implica una serie de ventajas:
• Control total del sistema de arranque de la máquina anterior a que el propio sistema operativo arranque.
• El rootkit no necesita un fichero, está almacenado en algunos sectores del propio disco y no puede ser borrado como un fichero convencional.
• El rootkit no necesita ninguna entrada en el registro del sistema operativo, ya que es ejecutado por el MBR loader.
• Para ocultarse solo necesita unos pocos sectores del disco.

Se puede consultar más información de la página del GMER, en la cuál se comentan las virtudes y el funcionamiento más detallado de este tipo de ataques.

Aunque se ha utilizado para atacar sistemas Windows también podría explotar vulnerabilidades en otros sistemas operativos.

José María Arce Guillén
S21sec labs

New Pharming?

Está claro que cada día los usuarios e instituciones tratan de protegerse más ante posibles ataques de personas maliciosas. Pero a la vez que mejoran las medidas de protección también lo hace la agudeza del atacante.

¿Cómo podemos hacer un caso de phising sin inyectar nada en el ordenador del atacado y que sea efectivo? La respuesta a continuación.

La detección de cualquier archivo subido para su ejecución maliciosa dentro de un ordenador atacado será cuestión de tiempo que sea detectado por programas antivirus, firewalls de aplicación, etc. Entonces surge la necesidad de conseguir redirigir el tráfico del usuario en vez de a sitios seguros a sitios fraudulentos. Una opción sería el conocido como “pharming” que sería modificar las tablas de un DNS de Internet y cambiar el mapeo entre url e Ip. Así cualquier usuario que hiciera una consulta a dicho DNS comprometido obtendría una dirección IP fraudulenta. El problema consiste en que dichos DNS suelen estar bien protegidos, por lo que ya no podría darse este ataque. ¿Cómo solventamos el problema?

Fácil en vez de atacar servidores en Internet debidamente protegidos, ataquemos los “vulnerables” pequeños routers que tienen los usuarios finales en sus casas. Así aprovechándose de una vulnerabilidad en dichos dispositivos se consiguen manipular las entradas de DNS y se consigue la redirección deseada. Este ataque ha sido descubierto en postales Flash que aunque aparentemente son inofensivas, en background están intentando conectarse con las direcciones más típicas de estos routers para realizar un “pharming” en sus tablas DNS.

Moraleja, no te fíes de postales Spam y mantén siempre la alerta.

José María Arce Guillén
S21sec Labs

El declive de los sistemas antivirus, ¿o no?

Hace tiempo que se viene diciendo que los sistemas antivirus tradicionales tienen los días contados. La base de esta afirmación es la dificultad que las casas antivirus están encontrando para mantener al día sus bases de datos de firmas, y además el hecho de que los creadores de virus comprueban que sus "criaturas" no son detectada por éstas antes de soltarlas.

Las nuevas tendencias incorporan técnicas que se basan en el análisis del comportamiento de los programas en ejecución. Este sistema trata de identificar aquellas aplicaciones cuya ejecución puede suponer una amenaza para el sistema y las bloquea.

No obstante, hay gente que va más allá al considerar que esta forma de combatir el malware no es sostenible. Argumentan un error de concepto, ya que intentar identificar todas aquellas potenciales amenazas, ya sea mediante técnicas de firmas, por análisis de comportamiento o por otras viejas conocidas como el análisis heurístico o los sandboxes, son ejemplos del popular refrán de la "pescadilla que se muerde la cola". Los "buenos" tratan de identificar al "malo" y éste busca nuevas técnicas de camuflaje para no ser descubierto.

Así, se propone una nueva aproximación basada en las conocidas "listas blancas". Esta técnica permitiría únicamente la ejecución de aplicaciones que previamente hayan sido identificadas como confiables por parte del administrador. Esto evitaría tener que mantener al día las firmas de virus y otra información propia de las técnicas tradicionales.

El problema de este punto de vista es que depende de la habilidad del administrador para determinar si una aplicación es confiable o no. Bien es cierto, que esto podría automatizarse y perfeccionarse creándose bases de datos centralizadas y mantenidas por las actuales casas antivirus. De hecho, este servicio ya está siendo ofrecido por algunas compañías del sector.

Actualmente existe una tendencia clara que confirma la adopción por parte del sector de esta técnica como base para combatir el problema de los virus. Sin embargo, mi opinión es que ésta no será la solución definitiva, ya que cabe esperar que los creadores de virus focalicen sus esfuerzos en que éstos sean capaces de hacerse pasar por aplicaciones válidas o en ocultar de cara al sistema su propia ejecución, y así evitar el bloqueo del sistema de whitelists.