martes, 28 de octubre de 2008

Hoax: ATENCIÓN QUITAN.. EL MESSENGER!!!

 

Un hoax es un mansaje que por su contenido puede parecer posible y real pero que finalmente es una mentira. Hoaxes hay muchos como los que te dicen que se borrará tu disco duro si no haces “x” o “y”. ¿La finalidad? No la sé muy bien, pero creo que va en el sentido de que el creador se siente satisfecho con que su creación ande circulando por todos lados.

 

Un hoax no es malicioso, no instala nada ni intenta hacer daño alguno. Es simplemente un correo basura que explota la incredulidad de las personas, quienes ante la duda reenvían este tipo de mensajes “por si a caso es verdad”.

 

¿Qué hacer? Ignorarlos y no reenviarlos. A continuación presento un hoax de Hotmail. Si lo leen con detenimiento, verán que no tiene el menor sentido.

¿Quién diablos es John Henerd?

¿Microsoft cerrará Hotmail? No lo creo.

¿Qué es Microsoft Internet Services? Al parecer una invención cuyo nombre juega con el nombre de la aplicación Internet Information Services  de Microsoft, sin embargo no tienen otro tipo de relación.

Y así podríamos seguir haciendo preguntas una y otra vez.

 

Se los dejo para su análisis:

= = = =

A T E N C I Ó N

ATENCIÓN QUITAN.. EL MESSENGER!!!

PASALO A TODOS TUS CONTACTOS QUE TENGAN CUENTA EN HOTMAIL:

Querido Usuario del Hotmail,

Debido a las repentinas acometidas de la gente que firmaba en Hotmail,
ha venido a nuestra atención que estamos ejecutando una saturación de
recursos. Así pues, dentro del tiempo de un mes, se suprimirá a
cualquier persona que no reciba este e-mail con el título sujeto
exacto de nuestro servidor. Por favor, haga seguir este email de modo
que sepamos que usted todavía está utilizando esta cuenta.

ALERTA AMONESTADORA:

Hotmail está sobrecargado y necesitamos conseguir librados a algunas
personas y deseamos descubrir que los utilizadores realmente están
utilizando sus cuentas de Hotmail. De modo que si usted está
utilizando su cuenta, PASE POR FAVOR ESTE E-MAIL a cada utilizador de
Hotmail que usted pueda, y si usted no pasa esta carta a cualquier
persona nosotros suprimiremos su cuenta !!!

Mr.John Henerd.

Hotmail Admin. Departament.

PÁSALO A TODOS TUS CONTACTOS POR QUE AHORA SI ES DEFINITIVO
 Hotmail se Cierra
Si usas Hotmail manda este mensaje a todos los que sepas que lo usan,
de lo contrario el dueño de Hotmail (Jon Henerd) borrará tu mail de
aquí­. Hotmail se esta sobrecargando y necesitamos librarnos  de gente
y queremos saber cuales son los actuales usuarios que estan usando sus
cuentas de Hotmail. Así­ que si tu eres  un usuario, por favor manda
este e-mail a todos los que puedas, pero si no lo pasas a nadie se
borrará tu cuenta de hotmail. Gracias por tu cooperación Mr. Jon
Henerd Departamento de administración de Hotmail .

Estimado usuario. Debido a la saturacion que hemos tenido por la
aparicion del MSN y sus derivados, estamos sufriendo una saturacion en
el sistema en la creacion de cuentas de email. Las consecuancias
sufridas son:
1). No más espacio de 1 MB de espacio en el disco duro.
2). No más de 20 usuarios en tu libro de contactos.
3). Tendras que reenviar por lo menos una copia de este email al menos
a 10 personas para que el sistema pueda comprobar tu existencia y tu
participacion en este.

Microsoft Internet Services a puesto un pequeño dispositivo al mensage
que al reenviarlo quedaras en la lista de usuarios activos de hotmail.
Si no haces los requisitos pedidos en menos de 7 dias tu cuenta sera
Clausurada y eliminada definitivamente del systema.
Disculpas por las molestias.

Atentamente: Hotmail Staff' b.. Edwar John – Henerd

 

Sube la Bolsa Mexicana 10.46%

 

Esto sí es volatilidad. Hace un par de días bajó 4.61% y hoy sube 10.46%. “¡¡Vende, vende, vende!!”…”¡¡Compra, compra, compra!!”. Todo un mundo el de los economistas…

 

Twitter podría ser usado por terroristas: US Army.

 

Me encuentro una noticia sobre un reporte del ejército de los EUA donde se establece que los terroristas pueden usar potencialmente Twitter como una más de sus herramientas de comunicación. Twitter es uno de los sitios más famosos de micro-blogging. Desde mi punto de vista, potencialmente los terroristas pueden usar una gran variedad de herramientas de Internet para sus fines y eso no significa que dichas herramientas sean "malignas".

Hacer un reporte donde me digan que Twitter o el GPS (Global Positioning Systems) pueden ser herramientas usadas por terroristas me deja con una sensación de "sí...y?". Espero que el reporte completo interno contenga muchos más datos interesantes e inclusive con alguna que otra evidencia; sin embargo lo que salió a la luz pública realmente no genera valor. Los terroristas pueden usar (y seguramente lo hacen) celulares, teléfonos e Internet para comunicarse al igual que el resto de nosotros.

No hay que satanizar a Twitter u otras herramientas de Internet similares porque al ser herramientas de comunicación populares y accesibles al público en general, son potencialmente usadas por todo tipo de personas. ¿Vamos a prohibir cualquier herramienta de comunicación social porque tiene el "potencial" de ser usada por los "bad guys"? No lo creo.

En lugar de tratar de satanizar las herramientas que gente poco ética puede llegar a usar, mejor habría que preguntarse si las corporaciones están sacando provecho de esas mismas herramientas. ¿Los terroristas twittean entre sí y tienen una ventaja competitiva? Entonces también las corporaciones de seguridad están explotando el poder de la tecnología para comunicarse, cierto? Seguro que sí (?).  Finalmente no entiendo muy bien el objetivo de lanzar una noticia como esta (¿pretexto para husmear en Twitter? ¿Crear FUD: Fear, Uncertainty, Doubt?) Tal vez simplemente sea una noticia y ya.

Relacionado con este tema, la tecnología, como la pólvora, tiene al menos dos características:

1.- Tenemos que saber cómo manipularla/manejarla. De otro modo puede conllevar un riesgo (dejar abierto tu perfil de Hi5, por ejemplo).
2.- Tenemos la decisión de usarla para fines malos o buenos. ¿Pólvora para juegos artificiales o para bombas?

 

domingo, 26 de octubre de 2008

Arrestan a jóven por robar datos de escuela

En una escuela de EUA arrestaron a un jóven por extraer la base de datos de los empleados de su escuela. Por la descripción (que efectivamente no es muy completa), presumo que la base de datos estaba accesible, porque el jóven usó su contraseña para accederla. Le mandó a su director un correo diciendo que la base era accesible con contraseñas y que había copiado la base de datos.

Ok, mal por el jóven que entró y copió la base de datos. ¿Y dónde quedan los encargados de TI de la escuela? Tener una base de datos accesible con una contraseña de usuario común no es lo más inteligente. Robar no es correcto, pero por Dios, tampoco hay que dejar un fajo de dinero en la calle.

Nota: el director de la escuela se escuda diciendo que quien robó la base de datos era un chico experto en computación. ¿En serio? Si pudo entrar con su contraseña de estudiante y extraerla no se me hace que sea un "hacker" o "experto". Es una escusa para no quedar tan mal ante el hecho de que un adolescente de quince años puedo robar esa base de datos de la manera más fácil posible.

Twitter podría ser usado por terroristas: US Army.

Me encuentro una noticia sobre un reporte del ejército de los EUA donde se establece que los terroristas pueden usar potencialmente Twitter como una más de sus herramientas. Twitter es uno de los sitios más famosos de micro-blogging (mi ID es faustocg). Desde mi punto de vista, potencialmente los terroristas pueden usar una gran variedad de herramientas de Internet para sus fines y eso no significa que dichas herramientas sean "malignas".

Hacer un reporte donde me digan que Twitter o el GPS (Global Positioning Systems) pueden ser herramientas usadas por terroristas me deja con una sensación de "sí...y?". Espero que el reporte completo contenga muchos más datos interesantes e inclusive con alguna que otra evidencia; sin embargo lo que salió a la luz pública realmente no genera valor. Los terroristas pueden usar (y seguramente lo hacen) celulares, teléfonos e Internet.

No hay que satanizar a Twitter u otras herramientas de Internet similares porque al ser herramientas de comunicación populares y accesibles al público en general, son potencialmente usadas por todo tipo de personas. ¿Vamos a prohibir cualquier herramienta de comunicación social porque tiene el "potencial" de ser usada por los "bad guys"? No lo creo.

En lugar de tratar de satanizar las herramientas que gente poco ética puede llegar a usar, mejor habría que preguntarse si las corporaciones están sacando provecho de las mismas. ¿Los terroristas twittean entre sí y tienen de esta manera una ventaja competitiva? Entonces también las corporaciones de seguridad están explotando el poder de la tecnología para comunicarse, cierto? (?)

Relacionado con este tema, la tecnología, como la pólvora, tiene dos caractersíticas:

1.- Tenemos que saber cómo manipularla/manejarla. De otro modo puede conllevar un riesgo (dejar abierto tu perfil de Hi5, por ejemplo).
2.- Tenemos la decisión de usarla para fines malos o buenos. ¿Pólvora para juegos artificiales o para bombas?

El redondeo...un fraude?

Cuando van a hacer el súper, en algunos establecimientos les piden redondear para donar a "X" causa, por lo general son algunos centavos. ¿Sabían que cuando hacen una donación les deben de dar comprobante para que USTEDES lo puedan deducir de SUS impuestos?

Es lo que mucha gente hace: donar para así deducir impuestos. Pero un momento, si yo dono unos centavos para la causa "X", dónde queda el comprobante? No se lo dan a uno, total, son "unos centavos". Lo que pasa es que el súper junta "Y" cantidad de dinero donada por nosotros y ellos lo deducen como si fuera su dinero, y el súper es quien recibe la deducción de impuestos. ¿Será así? Lo dejo a su mejor criterio.

Si desean leer más de este asunto, vayan a este sitio.

sábado, 25 de octubre de 2008

Cross-Site Request Forgery.


A nuestro usuario Pepito le gusta comprar en Amazon y adquiere un par de libros de cuando en cuando. Un día recibe un correo confirmando una compra que no hizo; por otro lado también tiene listado como favorito un video de YouTube que nunca enlistó y su sitio favorito de correo web ya no lo reconoce. ¿Una maldición? No tanto así, sólo fue víctima del Cross-Site Request Forgery.

¿Esto del cross-site request forgery no es lo mismo que el cross-site scripting? No, son ataques diferentes. Antes de adentrarnos en los detalles explico brevemente lo que es: cuando una víctima visita un sitio malicioso (o abriendo un correo HTML maligno), un atacante puede capturar la información almacenada en la computadora (cookies) de una sesión previamente establecida y reenviarla (junto con ciertas instrucciones adicionales) a un sitio en mi nombre pero sin mi conocimiento o permiso. Bueno, es una explicación muy resumida, vayamos a lo detalles (pueden saltárselos y pasar a la última parte para prevenir este ataque).

Empecemos. Primero vamos a hablar de los métodos POST y GET para luego pasar al tema de las cookies; ambos son los pilares para este ataque. Bien, para recibir información de un servidor (por ejemplo cuando queremos visitar www.google.com), un navegador usa el protocolo HTTP para pedir esa página en particular. Y para lograrlo, usa los métodos GET o POST. Estos métodos los ve uno en un sniffer cuando un navegador pide una página. Es simplemente un navegador diciendo a Google, "hey!, dame tu página principal" o "hey! dame la página www.google.com/policies". Por ejemplo, en un sniffer el método GET o POST se vería así:

207.218.76.48 -> www.google.com GET /agenhtml/agenmc/icons/balls/red.gif HTTP/1.0

Ahora bien, algunas páginas tienen formularios que piden enviar datos como mi nombre o edad, y dichos formularios aprovechan el método GET y usan un signo de interrogación "?" indicando que lo que viene después son los datos que inserta el usuario; por ejemplo buscando la palabra jabón en google:

www.google.com.mx/search?hl=es&q=jabón&btnG=Buscar+con+Google&meta=


Por otro lado, POST enviaría esos mismos datos como mi nombre o edad pero encapsulando los datos en los paquetes HTTP. Lo importante de recordar es que cuando visito una página o recibo un mail, hay varios métodos GET que por ejemplo le traen una imagen a mi navegador. Concretamente, recibo un mail en Outlook y al abrirlo contiene HTML e imágenes; lo que hace en ese momento Outlook (usndo IE) es ir al sitio web por las imágenes con un método GET (o POST) y traerlas para que las pueda ver. En fin, para más información de estos métodos, pueden googlear POST GET, o visitar esta página o esta otra.

Una vez comentado lo anterior de POST y GET, expliquemos un segundo elemento en el cross site request forgery que son las cookies. Sabrán que las "galletas" son archivos que se almacenan en sus computadoras para evitar que un usuario se esté constantemente autenticando en un sitio. Por ejemplo, me meto a www.amazon.com y la siguiente vez que voy al sitio, "mágicamente" despúes de teclear el sitio en mi navegador ya el sitio me reconoce e ingreso directamente a mi cuenta...cómo lo logró? Porque las cookies se encargaron de eso y me evitaron la molestia; son cookies persistentes. De hecho las cookies se usan para mantenerme validado/autenticado con Amazon mientras navego en sus diferentes páginas, de otro modo no me recordaría entre una y otra página.

Bueno, ahora viene el ataque (por fin). Ejemplifiquemos con Amazon. Recibo un correo HTML que tiene una referencia a una imagen para que Outlook la busque en "X" sitio. Pero esa referencia realmente no trae una imagen, es un GET a Amazon que pide comprar un artículo. Recordemos que Amazon tiene una característica de one-click para que si un usuario ve un artíiculo en su página lo pueda comprar de inmediato y sin pasar por todo el proceso de compra con este botón one-click.

Pues bien, sin yo estar necesariamente en Amazon, este GET malicioso pide primero a Amazon desplegar un producto (yo no veo nada de esto ya que sucede de forma "subterránea" para un usuario normal), y luego el GET pedirá comprarlo con el one-click. Esto para el servidor de Amazon es perfectamente normal y de hecho es lo que un usuario normal haría: encontraría un artículo y luego lo compraría con el one-click; no hay manera de que Amazon sepa si soy yo realmente o es un GET que a mi nombre está haciendo todo esto.

El cross-site request forgery es una realidad y aunque usé a Amazon como un ejemplo, hay casos reales documentados y un muy buen paper del tema creado por William Zeller y Edward Felten que está con muchos más detalles que mi modesta explicación (lo recomiendo ampliamente). Los casos documentados son de sitios afectados por este tipo de ataque (ING, YouTube, New York Times):

www.ingdirect.com/
www.youtube.com/
www.nytimes.com/

Algunos sitios han solucionado esto.

¿Medidas preventivas?
1.- Darle "logout" a todas las páginas correspondientes cuando acabemos de visitar el sitio (con esto inhabilitamos a la cookie correspondiente).
2.- Usar en todo caso la administración de contraseñas del propio navegador (lo que hace el pre-llenado de campos en una página); al menos es inmune a este cross site request forgery.
3.- Borrar el historial del navegador periódicamente (Opciones->General->Historial de Exploración->Eliminar->Eliminar todo); esto borrará las cookies.
4.- Usar un plug in (sólo para Firefox) que se encuentra aquí.
5.- Leer correo en texto plano (plain text) y no en HTML (ya lo había comentado anteriormente).

Habrá que estar atentos a este tipo de ataques.

Hackers' mind-set


Cracker vs hacker vs cibercriminal. Les dejo un buen artículo de ABCNews que trata el tema. Está un poco largo (pudieron decirlo en menos páginas), pero trata de explicar la mentalidad de quienes se dedican al hackeo: creen que es algo bueno? ¿Saben que están haciendo un mal?  Abordan el tema a través de historias de crackers.

Para mi, una cosa es ser un investigados de seguridad, exponer debilidades de manera responsable y no sacar provecho de las debilidades de los sistemas e Internet. Otra cosa es usar el conocimiento para causar daño, robar o estafar. En todo esto no hay que hacerse "pato", bien sabemos lo que es bueno o ético y lo que no. Luego hay gente que se mete a la red interna de una empresa para demostrar qué tan débil es y luego pedir que lo contraten para solucionar el problema. ¿Nos gustaría que un fulano se meta a nuestra casa, husmee por ahí y luego nos diga que le paguemos para instalar una puerta más segura? No lo creo.

Aquí no encontrarán datos para recuperar su Gmail hackeado

Me encuentro un página titulada "how to get back your hacked GMail email accounts". Imaginé que iba a ser algo interesante y no, lo único que ofrece es tratar con la opción de "recuperar mi contraseña" o de plano pedirle a google que nos regrese el control de la misma. Eso lo pude haber averiguado por mi mismo.

Actualización del MS08-067 al día 24 de octubre.


Viernes 24 de octubre de 2008
.
Ayer comenté de la publicación fuera del ciclo normal de parchado del MS08-067. ¿Qué ha pasado al día de hoy? Pues han surgido nombres como Blaster o Code Red, tal cual fueran zombies de un pasado no tan lejano donde reinaba la era de los gusanos de propagación masiva-destructiva. Y el temor ha vuelto a apoderarse de las mentes de algunos administradores de sistemas y de seguridad que cuentan sus historias de "dónde me encontraba ese día" y cómo llegaron las primeras noticias de infección. Esos años maravillosos. Esta nueva debilidad nos recuerda a esos RPC-gusanos que llegaron a los titulares en su momento.

En fin, después de verme poético con este asunto de los gusanos vamos a los detalles realmente importantes. Los señores de Immunity al parecer ya han creado código de explotación tan sólo dos horas después de la publicación del parche. Este código sólo está disponible para sus clientes pero demuestra que es posible sacar provecho de la debilidad. De hecho ya existe un gusano llamado Gimmiv.A de severidad baja que explota puntualmente esta debilidad.

ThreatExpert da varios detalles de este gusano llamado Gimmiv.A: crea varios archivos winbase.dll, basesvc.dll y syicon.dll y levanta un proceso llamado BaseSvc. El gusano intenta robar contraseñas del equipo local y de Outlook Express y manda estos datos vía Internet cifrándolos con AES. Es de resaltar que el gusano manda peticiones especialmente diseñadas tipo RPC a otros equipos (¿les parece conocido?).

Es de resaltar que Gimmiv manda esta petición tipo GET: test1.php?abc=2?def=2. Noten la palabra "test"...será que el creador está probando sus habilidades con el fin último de crear un gusano más potente y/o eficiente? Hay rumores de que este Gimmiv no es nuevo y que es una variante de uno que ha estado un par de semanas haciendo de las suyas.

Por otro lado, es conocida la ubicación del código de concepto alojado en el popular milwOrm. Un investigador llamado Stephen Lawler fue el creador y explica en su blog cómo bajó el parche, le hizo un análisis binario diferencial automatizado (se puede usar la herramienta de eEye) con el fin de analizar su estructura interna y logró después de meterse un poco con las rutinas propias del lenguaje ensamblador crear un programa en C funcional. Vale la pena visitar su blog, explica con lujo de detalle lo que acabo de decir.

Los señores de Immunity comentan que es poco probable que un gusano masivo haga daño entrando por el perímetro ya que normalmente está bien protegido; sin embargo otra historia es si logra entrar a la red interna de las corporaciones. La debilidad severa que representa RPC, los gusanos de antaño, los rumores de la existencia del gusano hace semanas, la palabra "test" en el gusano Gimmiv y el código de explotación dan, en efecto, todos los elementos para crear un caldo de cultivo esperando sólo que alguien se anime a perfeccionar un gusano de propagación masiva.

Ya para acabar, Ed Skoudis (¿alguien compró su Hack-Counter-Hack al igual que yo?) del SANS nos explica: "This is big, guys... really big. Enterprise folks should get the patch, test it quickly to make sure it doesn't blow up your environment, and then push it to their production systems".

viernes, 24 de octubre de 2008

Dommo al aire.


Javier Matuk y Ricardo Zamora, los dos grandes de las tecnologías de información para "el resto de nosotros" han vuelto al aire. Esta vez no es a través de una estación de radio ni en televisión sino en podcast. Pueden visitar su sitio www.dommo.net o también www.matuk.com/dommo.

Hace ya casi un año Netmedia anunciaba el fin (temporal) de dommo, uno (¿o el único?) de los programas de la radio más escuchados en México por los interesados en las tecnologías. Muchos nos molestamos porque esta transmisión llegaba a su fin, yo al menos los escuchaba de regreso a casa. Siempre dejaron entrever que regresarían y aunque Javier Matuk inició un programa en la tele llamado Plug (en Proyecto 40), realmente se me dificultaba ver el programa (principalmente por cuestiones de horario) y bueno, nunca me coordinaba para verlo por InternetTV.

Como ya dije, ahora regresan simplemente en podcast con algunos patrocinadores y los veo más relajados porque no están en una estación de radio (o tele) donde no se puede hablar tan abiertamente o usar dos que tres palabras "altisonantes". Es la magia del Internet: poder hacer un programa sin usar algún medio tradicional de transmisión. No hay horarios, no hay reglas, no hay jefes y lo importante es el contenido para tener muchos "podescuchas" lo cual atraerá patrocinadores. Enhorabuena por Javier y Ricardo, les recomiendo ampliamente escucharlos (están en iTunes para usarlo con el iPod) semana a semana en esta nueva etapa de Dommo 2.0.

jueves, 23 de octubre de 2008

Piggibacking

Piggibacking: se refiere a las personas no autorizadas que siguen a una persona autorizada para entrar a un área restringida (física o virtualmente).

 

¿Cuántas veces le permitimos a un extraño pasar junto con nosotros a una sección donde se requiere credencial? Preferimos ser amables que mantener un ambiente seguro. Nadie se resiste a la petición de "Dispárame la entrada, no?", aunque sea un extraño.

 

Política de Seguridad Informática de la CNBV

 

Me encontré con esta Política de Seguridad de la CNBV que está accesible desde Internet. Es del año 2005.

 

Parche de severidad alta: MS08-067

 

Hoy 23 de octubre el tema en los foros de seguridad es un parche de Microsoft publicado fuera del ciclo normal de parchado debido a su severidad y se trata del MS08-067. Ya existe código de explotación y también algunos códigos maliciosos que se aprovechan de la vulnerabilidad (ej: TrojanSpy:Win32/Gimmiv.A).

 

La debilidad afecta a RPC, que fue en su momento explotada también por el famoso gusano Blaster. En el blog de Microsoft se comenta que la debilidad es “wormable” y que se aplique el parche “as soon as possible”. La debilidad se descubrió hace un par de semanas, decidiendo hacer el parche y no esperar al segundo martes de noviembre.

 

Los códigos maliciosos actualmente son troyanos y su impacto es limitado. Y a pesar de que no hemos visto en los últimos años poderosos gusanos distribuyéndose masivamente, no está de más evaluar este parche y si es el caso acelerar el proceso de distribución del mismo. Y si ya existen troyanos, habrá más en las próximas semanas que traten de aprovechar al máximo esta debilidad.

 

miércoles, 22 de octubre de 2008

Lista de Bancos Centrales del mundo

 

Para no andar en Google buscando los sitios web de los Bancos Centrales alrededor del mundo, está esta liga que concentra a todos.

 

Pregunta para examen CISA.

 

Este es el tipo de preguntas que se podrán esperar en el examen CISA, qué seleccionarían como respuesta correcta?

 

Which of the following is the most effective type of antivirus software?

a).- Scanners.

b).- Active Monitors.

c).- Integrity checkers.

d).- Vaccines.

 

Según ISACA, la respuesta correcta es “C”. No estoy de acuerdo. Justifica ISACA que un verificador de integridad saca los hashes de los programas válidos de un sistema y en base a ello decide si es malicioso o no. Me explico. Obviamente un virus no hará match con ningún hash de una aplicación válida y así se detecta la presencia de un virus. Un programa válido tendrá un hash válido y se le permitirá ejecutarse. Ciertamente es una medida preventiva muy eficaz.

 

Pues bien, esto realmente para mi describe la funcionalidad de un firewall personal, no de un antivirus que por sí mismo no tiene esta funcionalidad; por eso no estoy de acuerdo en la respuesta “oficial”. Los antivirus en la realidad no obtienen hashes de las aplicaciones para permitir o no la ejecución, el que lo hace es un firewall personal.

 

En fin, en el examen tendré que contestar que un antivirus tipo "integrity checker" es el antivirus más eficiente, aunque en la realidad pienso que no es la respuesta correcta (si existe un antivirus con esta funcionalidad significa que tiene agregada la funcionalidad de un firewall personal).

 

martes, 21 de octubre de 2008

SANS Computer Forensics, Investigation and Response en noviembre

 

La reconocida SANS ofrece el curso de Forensia de Datos el siguiente mes.

 

No he tenido la oportunidad de ir a uno de estos cursos; si alguien ya ha ido, compartan su experiencia.

 

SANS is bringing Security 508: Computer Forensics, Investigation, and

Response to your local community in our popular Mentor hands-on format!

Beginning on November 18, SANS Mentor Murena Myrope Lavin Martinez will

be leading this class in Mexico City.  For complete course details,

please click on http://www.sans.org/info/31804.

 

Guía del NIST para endurecer XP

 

En 2005, el NIST (National Institute of Standards and Technology) publicó un documento que pretendía ser una guía para fortalecer Windows XP desde el punto de vista de seguridad. Este octubre el NIST lo ha actualizado.

Desde mi punto de vista, es una guía útil para aquellos administradores de sistemas (y por qué no, usuarios caseros tal vez) que desean endurecer sus sistemas XP y protegerlos ante eventuales peligros. La guía inicia con una revisión de las funcionalidades de seguridad de XP y ya de entrada esta parte es valiosa dado que nos explica de manera general cómo operan varios de los componentes enfocados en seguridad.

Luego ya viene la parte del paso-a-paso que inicia desde la instalación del sistema. Aquí sí pienso que le faltó a la guía más consejos o tips para empezar a instalar un sistema con la seguridad en mente. Se pudo mencionar tal vez la desactivación de servicios y aplicaciones necesarias, por ejemplo.

El documento continúa con recomendaciones de seguridad al describir el uso de templates de seguridad, de las políticas locales, del event viewer y cuestiones a considerar del registro, entre otros temas (seguridad en el sistema de archivos, auditoría, etc).

La mayoría de las veces se requiere endurecer un servidor con Windows 2003 ó 2008, pero hay ocasiones en las que por extraño que parezca, un XP funge como servidor (todos lo hemos visto, cierto?). También se pueden tomar ideas de esta guía para seleccionar aquellas partes que consideremos pertinentes aplicar a computadoras de usuarios de una organización. Ya los más radicales podrán usar esta guía en las XP de casa.

 

lunes, 20 de octubre de 2008

Phising de American Express.



Otro correo fraudulento que aparenta venir de American Express (lo pueden ver al final de este mensaje). Es un ejemplo de los cientos que llegan diario a los buzones de correo de los usuarios.

La liga no lleva al sitio real de American Express (www.americanexpress.com ) sino a uno fraudulento (www.americanexpress.com.fmode.tk) ubicado en un país llamado Tokelau (cerca de Nueva Zelanda).

Obviamente hay que ignorar este tipo de mensajes que como ven en la imagen, hasta pone su "candadito" en la página para aparentar que está protegido por SSL.

Mensaje phising:

Reference Number: XXXXXXXXXXXXX
Dear American Express Card holder:
As part of the new security measures, all American Express Card holders are required to complete American Express Customer Form. Please complete the form as soon as possible.
To access the form please click on the following link:
http://www.americanexpress.com/myca/form/serverstack/action?request_type=69389110339218076976261999071333200294514329567057616496230
Thank you for using your American Express Card.

Sincerely,
American Express Customer Service
Please do not reply to this e-mail. This Customer service e-mail was sent to you by American Express. You may receive customer service e-mails even if you have unsubscribed from marketing e-mails from American Express.
© 2008 American Express Company. All rights reserved.

domingo, 19 de octubre de 2008

Hackean cuenta bancaria de Nicolas Sarkozy


Varios sitios reportan que la cuenta bancaria del presidente francés Nicolas Sarkozy ha sido hackeada accediendo a la misma por Internet y robando dinero. El presidente francés reportó esta intrusión el mes pasado y se está llevando una investigación para detener a los responsables de esta intrusión y deslindar responsabilidades.

Fuera de la noticia chusca que es hackear la cuenta bancaria personal del propio presidente francés, esto debería de alertarnos ciertas cuestiones:

No se sabe si fue un ataque dirigido al señor Sarkozy, pero demuestra que al menos el banco francés del señor no ofrece un sistema de autenticación robusto. La mejor muestra es que un intruso pudo entrar a la cuenta bancaria; de que es posible, es posible.

Podemos decir que el señor pudo tener la culpa por haber caído en un ataque de phising o por haber tirado sus estados de cuenta, facilitando así la intrusión? Esto me hace pensar: qué tanto es responsable el banco por un robo de esta naturaleza y qué tanta responsabilidad tiene el usuario? ¿Si hago click en una liga y me lleva a un sitio falso donde proporciono mis contraseñas y luego saquean mi cuenta, soy yo el culpable legalmente? ¿Me devolverían mi dinero? Y me refiero a la práctica (no en un mundo teórico-legal).

En el caso del presidente francés quiero suponer dos cosas: una, que atraparán a los responsables; dos, que le devolverán su dinero robado. La gran pregunta es: harían lo mismo con un simple ciudadano? Ahora traslado la pregunta a México: atraparían al culpable y se devolvería el dinero a la víctima tratándose de un ciudadano "común"?

En fin, espero que el presidente francés no sólo vea esta situación como un inconveniente más y sea capaz de revisar las responsabilidades de sus ciudadanos e instituciones para el uso de la banca en línea y si es el caso, tomar alguna acción. Algunas veces sólo se aprende de la manera difícil.

GTISC: Emerging Cyber Threats Report for 2009


Un centro de estudios llamado Georgia Tech Information Security Center (GTISC) publicó un reporte llamado "Emerging Cyber Threats Report for 2009" donde predicen las amenazas que "nacerán o evolucionarán" en el 2009. Realmente es un reporte que no reporta casi nada nuevo/revelador.


Bueno, ellos (GTISC) predicen que en el 2009 las preocupaciones de seguridad serán: malware, botnets, guerra cibernética, amenazas a la VoIP y dispositivos móviles, así como la llamada economía ciber-criminal. Analicemos lo que dicen.

 

* Amenaza de malware: no se requiere de un estudio para predecir que esto será lo "in" en 2009; hace años que está entre nosotros. Recientemente como sabemos ha evolucionado para sacar un provecho económico y seguirá esta tendencia.


* Amenaza de botnets: nada nuevo. Los botnets ya son algo cotidiano.

 

* Amenaza de guerra cibernética: pregúntenle a Estonia si es de preocuparse. Seguro dirán que sí (desde el 2007).

 

* Amenaza VoIP: ok, esto sí es interesante. Cada vez más compañías adoptan esta tecnología y al usar TCP/IP, habrá más gente interesada en explotar sus debilidades o sin ir más lejos, la VoIP podría ser susceptible a las debilidades de TCP/IP (aunque específicamente no se intente atacar VoIP).

 

* Amenaza de dispositivos móviles: sí, Android, iPhone  y Blackberry son algunos nombres que me hacen pensar en teléfonos inteligentes con poder de cómputo. Combinémoslos con m-banking u otras cuestiones que tengan que ver con transacciones financieras  (o técnicas de obtención de dinero "fácil") y tendremos una posible amenaza a ser explotada. Es de suponerse.

 

* Amenaza de una emergente economía basada en el ciber-crimen: hace ya un tiempo que tenemos una ¿pequeña? economía basada en el ciber-crimen para robar dinero usando medios tecnológicos (Internet, PC, etc.). De nuevo, nada nuevo, ya lo vivimos actualmente y sobre todo en Rusia saben de lo que hablo. Lo que sí es que esta economía ciber-criminal seguirá creciendo y fortaleciéndose, expandiéndose a otros países.

 

En conclusión, creo que este reporte no fue tan revelador. Pero contiene algunas cifras, citas y otros datos que pueden resultar como una recopilación de información concentrada en este reporte. Si tienen un tiempo de sobra, salten entre sus hojas y decidan por ustedes mismos.


sábado, 18 de octubre de 2008

Investigación sobre hardware malicioso.


En junio de este año había comentado de ruteadores Cisco "piratas" provenientes de China y que hasta se llegó a pensar que venían "cargados", es decir, que el hardware o software estaba especialmente diseñado para hacer alguna acción maliciosa. Al final, no hubo evidencia y quedó como un caso más de "simple" piratería.

Hoy les comento sobre un trabajo de investigación tipo paper titulado "Diseñando e Implementando Hardware Malicoso", donde los autores exploran seriamente el hecho de poder diseñar hardware malicoso. El potencial no es cosa menor, ya que sobre el hardware se monta el software, y siendo el hardware una capa inferior en un sistema (computadora, ruteador, switch), realmente es el que tiene el control y vaya que puede intentar burlar controles de seguridad del software.

El trabajo me gustó, no está nada mal y abordan el tema de una manera ni tan superficial ni tan técnica. Ofrecen una buena idea de cómo se podría diseñar e implementar hardware malicioso e inclusive ponen un par de ejemplos aterrizados (que sería la implementación del hardware malicioso)  para que el lector se de una mejor idea de lo que hablan (y lo hacen con un procesador SPARC).

¿Es el hardware malicioso una realidad? Depende a quién le pregunten. Para un usuario en su casa, no creo que sea una preocupación. Pero si hablamos de un sistema ubicado en una agencia de inteligencia nacional, sí es algo de considerar. Si lograron llegar ruteadores Cisco
piratas a organizaciones gubernamentales de EUA "sin querer queriendo", ahora ya con toda la intención, se podría seguir ignorando esta amenaza? Cuando de robar información se trata, los límites se estiran hasta posiciones insospechadas.

miércoles, 15 de octubre de 2008

Blog Action Day 2008.


Existe una iniciativa en Internet llamada Blog Action Day 2008. La idea es que los que mantenemos un blog escribamos sobre el tema de la pobreza. La intención es levantar la voz y sacar al tema del cajón.

En principio, la iniciativa me parece de lo más humana, pero realmente no sé si ayude en algo que muchos blogs hablen de este tema...habrá un cambio realmente? Tal vez no, pero aún así me uno a la iniciativa de Blog Action Day 2008.

¿Cómo erradicar la pobreza? Para mi es con gobiernos honestos, inteligentes y eficientes, así como con educación. Esa es mi fórmula. Aunque lo más importante no es comentar la fórmula de cada uno (sería interminable), sino más bien qué podemos hacer desde nuestras "trincheras" para erradicar la pobreza o ayudar a erradicarla.

¿Qué hacemos o qué haríamos para tratar de erradicar la pobreza desde nuestro círculo de influencia?


Los antivirus no protegen realmente contra todo el código malicioso (según Secunia).

 

“Mi antivirus me protege contra código malicioso, o al menos es lo que dice la publicidad”, eso es lo que podemos pensar ante la interrogante de si recibimos una protección adecuada por parte de nuestro antivirus. Y Secunia dice en un análisis (Internet Security Suite test October 2008) que tal vez no sea el caso de que estemos protegidos “contra todo el código malicioso”.

 

Secunia es una empresa que se dedica principalmente a ofrecer servicios de avisos “personalizados” de vulnerabilidades y está orientado a organizaciones. Un administrador ingresa las marcas y versiones de su infraestructura (Windows XP SP2, Office XP, etc.) y Secunia únicamente enviará avisos de debilidades para esa infraestructura, eliminando tiempo valioso que se tendría que invertir para revisar diariamente cuáles son las que afectan de las decenas que salen cada día.

 

Pues bien, esta empresa se dio a la tarea de probar varios productos de seguridad y ver qué tan bien detectaban archivos que pretendían explotar vulnerabilidades conocidas. Este estudio se sale de los estudios convencionales que prueban qué tan bien se detectan troyanos, virus, gusanos y tal vez spyware. Aquí lo que hizo Secunia es crear archivos con extensiones xls, ppt, pdf y páginas html; todos ellos diseñados específicamente con el propósito de explotar una debilidad conocida y documentada. Los resultados son decepcionantes (el más alto que fue Norton que detectó sólo el 21% de todos los archivos maliciosos, TrendMicro y McAfee el 2%, F-Secure el 1% , etc.)

 

Algo queda claro: los antivirus por sí solos no han evolucionado y siguen enfocados en las viejas amenazas como son virus, troyanos y gusanos; y en cierta medida al spyware. Lo interesante (y que comento más adelante) es que algunos de los productos se promocionan como “Suite de Seguridad en Internet” o “Suite de Seguridad”, y según arroja el estudio de Secunia esto podría no ser realmente del todo cierto. ¿Por qué? Pues porque los archivos que un usuario recibe vía Internet (html, pdf, etc.) y que intentan explotar una debilidad de una aplicación son una amenaza que puede llevar a diversas consecuencias no deseadas y/o maliciosas. Si navego con Opera y el sitio intenta explotar una debilidad en este navegador, quisiera que mi antivirus esté enterado y lo detenga? Si bajo un archivo pdf para abrirlo con el Adobde Reader o bajo un archivo doc para abrirlo con Word, me gustaría que mi antivirus detuviera un intento de explotar una debilidad de estas aplicaciones?

 

Tal vez las compañías antivirus digan: “bueno, estamos en el entendido de que detectaremos virus, gusanos, troyanos y spyware, además de que la Suite de Seguridad ofrece un firewall personal y otros módulos de seguridad”. Y si la suite tiene en efecto un firewall personal, es cierto que los riesgos se deben de reduir pero pensemos que las debilidades se pueden explotar de diversas formas, donde por ejemplo podrían explotar una debilidad de Firefox para extraer información vía http y como se está usando una aplicación válida (Firefox) para el firewall y además se están usando los puertos de http correctos, el tráfico podría pasar inadvertidamente. En efecto se requiere que el atacante cree un ataque sofisticado.

 

Y aquí viene lo importante (¿o engañoso?): el estudio de Secunia NO menciona cómo un firewall personal (que pensaría está presente en todas las Suites probadas) reduce o compensa el riesgo de que el antivirus no detecte un exploit en un archivo. Porque es importante decir que Secunia dice que probó “Suites” y no sólo un antivirus stand-alone. El estudio se limita a decir que las firmas de los antivirus no detectan a estos archivos maliciosos, pero no dicen el papel que un firewall (u otros módulos de la Suite) realiza para reducir (o mantener) el nivel de riesgo producido por un antivirus que no hace una detección correcta. Las Suites están compuestas por varios módulos como un antivirus, antispyware, firewall, antirootkit, protección del navegador y otros componentes que en su conjunto ofrecen seguridad; Secunia no dice cómo el conjunto de protecciones actúan y compensan la no detección de exploits de uno de los módulos (antivirus).

 

Conclusión: es revelador que los antivirus por sí solos no detecten ni medianamente bien a los exploits incrustados en los archivos, pero queda la duda de la amenaza real que esto representa para una Suite de un usuario conformada por no sólo un antivirus sino por otros módulos de protección. Por otro lado, está claro que un usuario que no use una Suite sino únicamente un antivirus estará expuesto definitivamente, y esto último sí es serio.

 

lunes, 13 de octubre de 2008

Direcciones de correo con imágenes.



No es nueva la técnica para intentar evitar a los spammers y que se trata de publicar en la web direcciones de correo por medio de imágenes. Las "arañas" de los spammers buscan en Internet las direcciones de correo que puedan encontrar con el fin de agregarlas a las listas de spam y esto podría evitarse (aún) con la técnica mencionada. Intenten (a modo de ejemplo) buscar en Google o Yahoo su dirección de correo electrónico y si aparece, seguro también está ya listado con los spammers y esto se debió probablemente a que la cuenta de correo está “en claro” en alguna página web (claro, los spammers usan también otras técnicas para cazar cuentas de correo y no sólo con las “arañas”).


¿Cómo “pasamos” nuestras cuentas de correo a imágenes? Pues una opción es usar una herramienta de edición de imágenes. Otra es usar diversos sitios que gratuitamente nos ofrecen "traducir" nuestras direcciones de correo a imágenes, como por ejemplo SafeMail o email2image, por mencionar unos cuantos. Así el resultado puede salir más profesional y más rápido que usando, por ejemplo, Paintbrush.


La idea es publicar en la web cuentas de correo usando imágenes para los que mantenemos una página web (o un blog en línea), ya sea que usemos software o algún sitio de los ya mencionados.

domingo, 12 de octubre de 2008

Spammers se aprovechan de crisis financiera.


"Su Banco X ha sido adquirido por el Banco Z. Siga el vínculo (link) para renovar su cuenta en línea". Ahora con la crisis financiera mundial, parece que algunos están sacando provecho y que en lugar de salir perjudicados por la crisis, salen beneficiados. Este es el caso de algunos spammers.

Están circulando correos tipo spam donde se intenta que la víctima (para variar) siga un link hacia un sitio fraudulento donde le pedirán sus datos de acceso para banca en línea. Aprovechando el clima de inestabilidad financiera, al parecer los spammers apuestan a que muchas personas caigan en esta trampa.


También crean spam haciendo referencia a hipotecas y préstamos, siempre con el fin de que la víctima siga el vínculo. A continuación pongo algunos ejemplos extraídos del sitio del Federal Trade Comission. Estos spams están en inglés pero me pregunto si también saldrán versiones en español haciendo referencia a instituciones nacionales. Espero que no, pero de todas maneras debemos estar alertas.


Ejemplos del spam:


"We recently purchased ABC Bank. Due to concerns for the safety and integrity of our new online banking customers, we have issued this warning message... Please follow the link below to renew your account information."


"We recently acquired the mortgage on your home and are in the process of validating account information. Please click here to update and verify your information."


"During our acquisition of XYZ Savings & Loan, we experienced a data breach. We suspect an unauthorized transaction on your account. To ensure that your account is not compromised, please click the link below to confirm your identity."


sábado, 11 de octubre de 2008

Video que explica la crisis financiera con un toque de humor.


Esta vez no voy a tratar un tema de seguridad sino de la crisis financiera mundial en la que estamos hundidos. Y como no soy experto en cuestiones económicas, les dejo un video muy ilustrativo que explica la actual crisis de la mejor manera: con un toque de humor. Los autores son John Bird y John Fortune; desconozco si son sus verdaderos nombres ya que es de un show de Inglaterra. El video tiene subtítulos.

En fin, véanlo y seguro lo disfrutarán tanto como yo.El video lo detecté gracias al blog de Eduardo.

viernes, 10 de octubre de 2008

Las siete perdiciones.

 

Me encontré un sitio con una lista de siete errores "fatales" que un usuario en Internet podría cometer y así verse afectado. Algunas de ellas son interesantes, veámoslas.

 

1.- Asumir que nuestro software de seguridad nos está protegiendo.

Se refiere a pensar que con instalar un antivirus o un antispyware estamos más que protegidos. Hay que recordar que si un software de seguridad no se actualiza, de poco va a servir (hablando de los que bajan firmas). Y no sólo se deben actualizar las firmas, sino la versión. Por ejemplo, un firewall personal no baja firmas de Internet, pero sí cambia de versión arreglando problemas de seguridad. Lección: no sólo hay que instalar software de seguridad, sino vigilar que opere adecuadamente. Si no lo hacemos notros, nadie más lo hará.

 

2.- Ingresar a un sitio que nos llegó por correo.

No hay mucho qué decir. Esta técnica es usada para los ataques de phising y está por demás decir que nunca hay que hacer click a ninguna liga que nos llegue por correo, siempre es preferible teclear nosotros el sitio en el navegador.

 

3.- Usar una sola contraseña para todas las cuentas.

Vaya, qué puedo decir? Por un lado lo mejor es usar una contraseña diferente para cada sitio de Internet (Facebook, Hi5, GMail, YahooMail, Digg, Twitter, Hotmail, etc.). Pero por otro lado es una verdadera hazaña recordar las numerosas cuentas de Internet que pueden fácilmente llegar a más de 10. Tampoco debemos escribirlas. Y para muchos resulta poco práctico almacenarlas en una aplicación que guarde las contraseñas (como PasswordSafe) porque tendríamos que tenerla instalada en cada una de las computadoras que usamos. ¿Entonces? Una recomendación es usar una estrategia que por ejemplo combine ciertos caracteres que serán "fijos", más el nombre del sitio a donde ingresamos. Por ejemplo: F#a#U#5#t0fcbook para Facebook, F#a#U#5#t0hi5 para Hi5, F#a#U#5#t0yahoo para Yahoo. Es sólo un ejemplo, y lo importante a resaltar es que siempre hay una parte fija y otra "dinámica". El chiste es crear una estrategia (cualquier que ésta sea) que nos permita crear contraseñas fáciles de recordar pero difíciles de adivinar.

 

4.- Bajar software libre.

Bueno, el sitio sugiere no bajar y usar software libre. Creo que es exagerado, el software libre como tal NO es mal intencionado. Más bien debemos estar al pendiente de que no estemos bajando software gratuito con spyware o troyanos; mucho dependerá del sitio de donde lo bajemos y cómo dimos con dicho sitio (¿spam?). También nuestra intuición cuenta al observar de dónde lo obtenemos. No olvidar pasarle una revisada con nuestro antivirus.

 

5.- Pensar que una Mac nos protege de todos los riesgos.

Con la popularidad del iPod y del iPhone, la plataforma Mac es más atacada que antaño. Tener una Mac no es sinónimo de seguridad ya que también debemos estar protegidos. Ciertamente los riesgos no son iguales que al usar un Windows, pero tampoco estamos blindados. Recordemos que si de plataformas “relativamente seguras” (o relativamente menos atacadas desde el punto de vista de un usuario final) hablamos, también tenemos a Linux y que yo personalmente uso (ya han probado Ubuntu? Está de lujo).

 

6.- Hacer click en un pop-up que muestra un mensaje.

Los pop-ups que salen al navegar no sólo son molestos, sino que pueden tener mensajes engañosos (“tu PC está infectada, baja este software para protegerte”). Ignorar mensajes que infundan miedo y que aconsejen hacer click en una liga o recomienden un producto es lo mejor: Windows no va a recomendar comprar un producto o hacer click en una liga por medio de sus notificaciones internas. 

 

7.- Comprar en línea como lo hace uno en el mundo físico.

No siempre se puede confiar en el sitio que estamos ingresando y dar nuestro número de tarjeta de crédito. Hace unos días hice algunas recomendaciones antes de "entregar" nuestro número de tarjeta de crédito.

 

jueves, 9 de octubre de 2008

Guía para desarrollar software seguro de SAFECode.

SAFECode (Software Assurance Forum for Excellence in Code) ha puesto a disposición de la comunidad una guía para desarrollar software seguro. Uno de los autores es un reconocido investigador de seguridad en Microsoft: Michael Howard. Vale la pena al menos hojearlo para ver si les es de utilidad.

 

El contenido trata de: Requerimientos, Diseño, Programación, Pruebas, Manejo de Integridad en el Código y Documentación. Adentrándome en el contenido, no es sólo una guía superficial sino que sí se mete realmente a cuestiones de codificación, pero sin ser técnico. También ofrece referencias útiles a libros y ligas de Internet para aquellos que deseen ahondar en un tema en particular.

 

En las Universidades no nos enseñan a programar con seguridad, sólo se ve la funcionalidad de los programas. Es tiempo de empezar a preocuparse por escribir software seguro y ya que en México no abundan cursos de codificación segura, al menos podemos revisar este tipo de documentos que por cierto no tiene costo.

 

Podcast de la SC con Robert Lee (Sockstress)

Siguiendo con el tema del sockstress que comenté el pasado miércoles 8, ahora les aviso de un podcast que la Security Magazine le hizo a Robert Lee el pasado lunes. Vale la pena para enterarse de viva voz del problema. Ahora no tengo tiempo para comentarlo, así que lo dejo para otra ocasión y mientras tanto ahí está la entrevista.

 

No es software de instalación de Cisco, es música de "El Compa"!

Nota curiosa. Un administrador que deseaba configurar una VPN (Red Privada Virtual) insertó el disco de instalación de Cisco, para descubrir que no había ningún "setup" sino diversos corridos norteños mexicanos.

 

Entre la música de corridos, se encontraba Diego "El Compa" Rivas y otros grupos del norte de nuestro país. Menuda sorpresa se habrá llevado el administrador de redes al no poder instalar su VPN y en cambio encontrar diversos MP3. En fin, se quedó sin VPN pero al menos pudo pasar un rato agradable al son de la música.

 

Por cierto, no está claro cómo llegaron esos MP3 a los discos de instalación del fabricante Cisco. Tal vez se trate de una promoción estilo "obtenga sus discos Cisco y le regalamos música mexicana (no incluye software de instalación)".

 

miércoles, 8 de octubre de 2008

Sockstress: DoS encontrado en la pila de TCP/IP.

 

Dos investigadores (Jack C. Louis y Robert E. Lee) han expuesto la posible existencia de una debilidad en la pila TCP/IP de todos los sistemas operativos e inclusive de dispositivos como los ruteadores que podría generar una negación de servicio tirando a los sistemas que cuenten con una pila TCP/IP. Tenemos un problema serio.

 

Aún no hay mucha información detallada al respecto, pero la debilidad parece grave por el potencial que tiene y que es similar a la seriedad que en su momento representó el ataque SYN Flood. Este nuevo ataque, conocido popularmente como  Sockstress (el término no es realmente nuevo), lo que hace básicamente es consumir los recursos de un sistema provocando diversos efectos como paralización del sistema operativo o pérdida total de comunicación vía red, entre otros.

 

Recapitulemos. La semana pasada, el blog de Robert Lee informó que había disponible un podcast donde se describía esta debilidad en las pilas de TCP/IP. En mi opinión, fue un anuncio irresponsable ya que los investigadores no dieron un aviso previo a los fabricantes para publicar una solución y lo que hicieron fue simplemente anunciar su descubrimiento a la comunidad, lo que produce que ahora tengamos un ataque de día cero.

 

En fin, realizando un pentest, estos dos investigadores se percataron de que al hacer sus pruebas varios equipos “escaneados” se encontraron en una situación de negación de servicio, es decir, no respondían. Investigando, se dieron cuenta de que al programar su propia versión de la pila TCP/IP que hicieron para el pentest, establecían una sesión TCP (después de haber realizado el TCP handshake) y lo que hacían después (por error) era enviar a los equipos el mensaje de “no tengo espacio en el buffer, espera un momento” y así mantuvieron los mensajes hasta agotar los recursos de los equipos; su error dio pie al descubrimiento de la debilidad. Me explico.

 

Mi equipo “atacante” desea afectar al servidor web “víctima” que escucha peticiones por el puerto 80. “Atacante” tiene una pila TCP/IP especialmente implementada para llevar a cabo el ataque Sockstress y contacta exitosamente a “víctima”, terminando sin problemas el TCP handshake. Aquí viene lo interesante. Ahora “víctima” tiene apartados recursos para seguir hablando con “atacante” y está esperando paquetes de “atacante” para continuar con la comunicación. Pero “atacante” le dice a “víctima” que sus buffers están llenos y que no puede enviar nada; es entonces que “víctima” se queda esperando con recursos ya apartados. Si esto sucede con una conexión, no hay problema. Pero si “atacante” empieza a hacer n peticiones, esto causará que “víctima” empiece a agotar sus recursos porque mantiene n peticiones en espera con recursos apartados que no son liberados porque estarán esperando comunicación de “atacante” que nunca llegará ya que siempre responderá que “mis buffers están llenos, por favor espera”; obviamente los buffers de “atacante” no están llenos pero eso es lo que la pila TCP/IP especialmente diseñada continúa diciendo, es decir, miente. Entonces tenemos a “víctima” con n peticiones en espera y en aumento que consumen recursos y por su lado “atacante” no debe de mantener las n peticiones (porque tiene su respuesta predeterminada de “buffers llenos”); esto impide que al propio “atacante” se le agoten sus recursos haciéndose a sí mismo el ataque de negación de servicio.

 

Los ataques de antaño (SYN Flood) también consumían recursos de la víctima pero durante el TCP handshake (en su momento se le dio una solución, si bien no perfecta, aceptable y funcional); y este nuevo ataque sucede después del TCP handshake.

 

Este ataque de Sockstress afecta principalmente a servidores, porque están dando un servicio vía red, escuchando peticiones de potenciales atacantes; sin embargo recordemos que todos los sistemas operativos (incluyendo los de los ruteadores) tienen una pila TCP/IP y bastaría con que escucharan en un puerto para poder ser afectados...al menos en teoría.

 

Podemos decir que una manera de defendernos de este ataque es identificar la dirección IP del atacante y bloquearla. ¿Solucionado? Tal vez no; lo que se teme es que un atacante pueda crear un botnet (varios sistemas comprometidos a la orden del atacante), y que el servidor “víctima” esté recibiendo estos ataques de Sockstress no de uno, sino de muchos equipos…qué hacer? ¿Bloquear a todas esas IP y seguir bloqueando las nuevas IP que estén atacándonos? Impráctico tal vez.

 

¿Soluciones? Por el momento ninguna funcional y realmente efectiva; esperemos que los fabricantes emitan algún tipo de parche que lo neutralice al igual que se hizo en su momento con el viejo ataque de Syn Flood. Tal vez los IDS (Snort) o IPS puedan ayudarnos, pero habría que probarlo. Hay varias referencias a este ataque como las de Slashdot y el SANS. Los investigadores darán mayor explicación de este ataque en una conferencia en Finlandia. Por cierto, he leído en foros de usuarios que la pila TCP/IP del sistema operativo OpenBSD no es vulnerable a este ataque; no lo puedo confirmar.

 

Conclusión. Este ataque tiene el potencial de hacer una negación de servicio. Actualmente los atacantes no están interesados en tirar servicios sino en conseguir dinero fácil con troyanos o phising, por ejemplo. A menos que encuentren la manera de hacer dinero con este Sockstress (extorsión: dame dinero o te tiro tu servicio), tal vez sólo debamos preocuparnos por los crackers que deseen demostrar que “ellos saben cómo hacerlo” y lo hagan por orgullo, como antaño. Hasta le fecha (08/10/2008), no he visto noticias que indiquen un posible ataque presente o en el futuro cercano. Pero debemos estar atentos.

 

lunes, 6 de octubre de 2008

Resultados de VirusBulletin para Server 2008

 

VirusBulletin ya sacó (septiembre 2008) sus evaluaciones de antivirus para Windows Server 2008. Hubo afortunados y no tan afortunados.

 

Entre los no agraciados: Avira AntiVir, F-Secure, Kaspersky, MWTI eScan Internet Security, Quick Heal AntiVirus, Arcabit ArcaVir, CA eTrust, y Redstone Redprotect.

 

Ya hay al menos una compañía antivirus que pone en entre dicho a los resultados de VirusBulletin que porque “se basa en criterios limitados” y que “no reflejan el estado actual del malware”. ¿Será una declaración porque no fueron galardonados? Cada quien habla de acuerdo a como le va en la feria.

 

¿Aprenderá campaña de McCain lección de seguridad?

 

Leo con interés que robaron una laptop de los cuarteles centrales del candidato McCain. La laptop era de un empleado que labora en la organización de la campaña de este candidato norteamericano y se dice que contenía información "estratégica".

 

Lo extraño es que la nota dice que los ladrones dejaron atrás otro equipo de cómputo por lo que podría tratarse de un robo nada casual. Las teorías de conspiración no se harán esperar y aunque podemos pasar horas discutiendo si fue o no fue un robo "dedicado" y qué se hará con la información ahí contenida, creo que la pregunta que yo haría es: si era una laptop con información "estratégica", verdad que estaba cifrada y hasta con contraseña de boot? Sí, algunas veces sólo se aprende de la manera difícil.

 

Tal vez no tenían presupuesto para conseguirse una herramienta de cifrado...esperen! Hay productos gratuitos. Mmhh. Entonces lo que resta es que simplemente no les importó.

Y mientras tanto yo me mantengo a la espera de la próxima laptop robada…la pregunta no es si habrá otro robo, sino cuándo será.

 

NIST propone guía de seguridad para Bluetooth.

 

El documento SP800-121 (Guide to Bluetooth Security) publicado en septiembre por el NIST trata de ser una guía de la tecnología de Bluetooth y ofrece recomendaciones en cuestiones de su seguridad.

 

Leyendo el documento, en efecto sí tiene una buena introducción de cómo funciona Bluetooth en términos generales, para después describir algunas de las características que uno debería buscar en cuestiones de seguridad y finalmente provee información de debilidades, amenazas y medidas a tomar en torno a esta tecnología inalámbrica.

 

Para los que deseemos saber más de la seguridad en Bluetooth para cuestiones laborales o académicas, este documento es una buena opción.

 

 

jueves, 2 de octubre de 2008

Añadan otro término al vocabulario: scareware.

 

No es muy común encontrarse con el término de "scareware" y por eso atraigo su atención con el afán de incrementar el vocabulario de términos de seguridad informática. Este concepto se refiere a inducir miedo/preocupación a un usuario sustentándose en un problema/error inexistente.

En muchos casos, el scareware se usa para asustar e inducir al usuario a comprar un producto que soluciona un problema inexistente. Por ejemplo, hace un par de semanas, en EUA hubo un caso donde se demandó penalmente a una persona que bombardeaba a miles de usuarios con mensajes que aparecían en la pantalla de la computadora y que pretendían venir de "Local System"; dichos mensajes aseguraban que había un error crítico en el registro del sistema. En algunos casos, estos molestos avisos aparecían decenas de veces, saliéndose de control.

"Afortunadamente", en el mensaje de error se recomendaba comprar el "Registry Cleaner XP" del sitio registrycleanerxp.com, que por la módica cantidad de cuarenta dólares arreglaría el "problema". Cabe mencionar que el mensaje de error provenía realmente de Internet y no de "Local System". Un ejemplo claro de scareware.

Así es que si les aparece en alguna ocasión un mensaje de este estilo o reciben un correo con este tipo de “avisos”, no hay necesidad de asustarse ya que no estarán siendo afectados por malware, adware ni spyware, sino por scareware! Por cierto, el término existe en Wikipedia.

 

miércoles, 1 de octubre de 2008

Sitio de concientización para la seguridad de la información.

 

La concientización de la seguridad (security awareness) para mantener la información protegida es una tarea que debemos de tomar en cuenta. Recordemos que el eslabón más débil es muchas veces el humano. En esta ocasión, los invito a visitar el sitio de la ISC2 dedicado a este importante tema de la concientización, donde podrán bajar material de manera gratuita.

 

Sobre todo hay información para posters y lo más valioso: ideas para nuestro propio proyecto de concientización. No hay "n" sitios sobre este tema por lo cual es un granito de arena que vale la pena al menos visitar.

 

Tarjeta de crédito en línea: pagos seguros en Internet.

 

Los que compramos productos (o hasta servicios) en línea nos enfrentamos a un dilema: cómo sé que al proporcionar mi tarjeta de crédito no voy a ser víctima de un fraude? ¿Qué tal que quiero comprar un "audio-libro" para mi iPod  y encuentro un sitio en línea que me pide mi número de tarjeta de crédito para hacer la compra? ¿La proporciono?

 

Es normal tener dudas antes de proporcionar estos datos en los infinitos sitios de comercio electrónico que existen en Internet. Lo "malo" de la red de redes es que a diferencia del mundo físico, en el mundo virtual no existen los elementos de confianza que estamos acostumbrados a "ver"; por ejemplo no hay establecimientos a dónde entrar caminando para tener un "feeling" o percepción de la reputación de dicho establecimiento e inclusive publicidad en tele o periódicos que me digan "puedo confiar en este comercio". Sabemos que hay personas fraudulentas deseosas de conocer nuestros 16 dígitos de la tarjeta y la fecha de expiración para venderlos al mejor postor...y harán cualquier cosa con tal de obtener estos datos como crear sitios que se ven profesionales pero que son fraudulentos, entre muchas otras técnicas.

 

Redacté un pequeño documento sobre el mejor uso seguro de la tarjeta de crédito en línea y lo pueden bajar si desean; a continuación algunos extractos:

 

Antecedentes.

El objetivo principal del defraudador que usa Internet como medio de ataque es tener acceso a las cuentas bancarias o números de tarjetas de crédito de la víctima.

Lo anterior permite transferir dinero o hacer cargos de forma ilícita.

El atacante tiene básicamente tres opciones de ataque:

a).- Comprometer los datos en tránsito.

b).- Comprometer los servidores de la tienda en línea.

c).- Comprometer los datos en el equipo del cliente.

 

I. Medidas antes de efectuar el pago.

a).- Reputación. De ser posible, se debe verificar la "honorabilidad" del sitio en línea la primera vez que compramos en la tienda en línea.

b).- Políticas. Se deben verificar las políticas que publica el sitio como las de no divulgación de información personal con fines de lucro.

c).- Navegador. Se debe  teclear  correctamente el nombre del sitio en el navegador (no copiar-pegar; no dar click en ninguna liga de correo); en pocas palabras, debemos nosotros mismos teclear el nombre del sitio. 

d).- Medidas generales. Se debe de verificar que el sitio publique una dirección física y un teléfono; debemos evitar a toda costa comprar en sitios que se anuncien por medio del spam, (…).

e).- Seguridad del equipo: lo hemos dicho y lo seguiremos diciendo: un antivirus y un firewall personal son ya imprescindibles tanto a nivel usuario final como a nivel corporativo.

 

II. Medias durante el proceso de pago.

a).- Navegador. Debemos usar un navegador actualizado.

b).- Políticas de entrega. El sitio debe informar el monto total que se cargará a la tarjeta.

 

III. Medidas después de efectuar el pago.

a).- Navegador. Cerrar la sesión del navegador es una buena práctica para no permitir a nadie más usarla.

b).- Medidas generales. Imprimir el comprobante de pago o guardarlo electrónicamente; revisar periódicamente los estados de cuenta bancarios, (…).

 

Nadie está exento de un fraude en línea, pero podemos seguir estas y otras medidas para mitigar los riesgos (muchos bancos en sus sitios tienen ligas con recomendaciones).