¿Actualizó su antivirus? no la firmas, el programa

junio 30, 2009 § Deja un comentario

De tanto repetirlo todos los que nos dedicamos a la seguridad, hemos logrado que hasta nuestra abuelita sepa que hay que mantener actualizadas las firmas/definiciones del antivirus en nuestros equipos. Otra cosa distinta es que lo hagan, pero ya conseguimos algo. 🙂

Pero lo que no todos tenemos tan claro, y me refiero a los que nos dedicamos a la seguridad, es que los motores antivirus también tienen actualizaciones de seguridad pues pueden sufrir de fallas de seguridad, como cualquier programa.

En particular hay un tipo de fallas denominadas de evasión. Estas fallas consisten en que una vez halladas, un atacante podría explotarla de forma tal que logra evitar que el motor del antivirus sea capaz de examinar algún archivo particular que contenga una carga maliciosa.

Muchos productos de distintas marcas padecen y solucionan este tipo de fallas que investigadores como Thierry Zoller descubren y reportan para su solución. Y como pasa con los distintos fabricantes de software, no todos reaccionan velozmente prestando la debida atención a estos temas.

Una de las últimas fallas de evasión halladas por Zoller fue en el motor de todos los productos de Kaspersky y consiste en una forma de evadir al motor de escaneo de forma que un archivo PDF especialmente preparado, puede alojar un código malicioso y el motor heurístico no lo examinará ni lo hallará problemático dejándolo pasar.

Sorprende leer que una empresa como Kaspersky, después de un intento silencioso, aun no logró solucionarlo y también que no establece una buena comunicación con este investigador que les señala un problema en sus productos.

He observado cuantas instalaciones antivirus con sus licencias pagas al día siguen utilizando versiones de uno o más años de antigüedad. Evidentemente no se ha prestado atención a actualizar el programa, un aspecto de importancia tal como el actualizar las firmas.

Por eso es recomendable que los administradores además de las firmas verifiquen tener la última versión del motor/programa antivirus; sobre todo en los equipos servidores que analizan el ingreso de correo y sus adjuntos tanto como los que analizan archivos descargados o transferidos desde Internet. Sin entrar en mayores detalles, es en este tipo de equipos donde las fallas que permiten la evasión al escaneo afectan más.

Si quiere leer sobre la fallas descripta de Kaspersky puede verlo aquí. Y para conocer sobre las fallas de evasión en general vea esta nota en el blog de Zoller, es un trabajo corto y muy comprensible, para técnicos. (en inglés)

Algo que nos quedó claro después de revisar los reportes de fallas que hizo Zoller a distintos fabricantes de programas antivirus, es que no todas las empresas reaccionan igual cuando les informan de una falla en su producto.

De los reportes de fallas halladas por Zoller de este año, uno o dos por fabricante, se ve que fueron rápidos, colaboradores y de buena respuesta para solucionarla empresas como: AVG, Avira, BitDefender, Eset, McAfee, Comod y ClamAV.

En tanto otros ignoran, se demoran o no reaccionan con parches a las fallas reportadas, tales son los casos de F-Prot, Kaspersky, TrendMicro, Aladin, Avast, Fortinet, IBMProventia.

En una próxima nota examinaremos el impacto de estas falla de evasión en los motores Antivirus.

Basado en información del: blog de Thierry Zoller

Raúl de la redacción de Segu-info

¿Actualizó su antivirus? no la firmas, el programa

junio 30, 2009 § 6 comentarios

De tanto repetirlo todos los que nos dedicamos a la seguridad, hemos logrado que hasta nuestra abuelita sepa que hay que mantener actualizadas las firmas/definiciones del antivirus en nuestros equipos. Otra cosa distinta es que lo hagan, pero ya conseguimos algo. 🙂

Pero lo que no todos tenemos tan claro, y me refiero a los que nos dedicamos a la seguridad, es que los motores antivirus también tienen actualizaciones de seguridad pues pueden sufrir de fallas de seguridad, como cualquier programa.

En particular hay un tipo de fallas denominadas de evasión. Estas fallas consisten en que una vez halladas, un atacante podría explotarla de forma tal que logra evitar que el motor del antivirus sea capaz de examinar algún archivo particular que contenga una carga maliciosa.

Muchos productos de distintas marcas padecen y solucionan este tipo de fallas que investigadores como Thierry Zoller descubren y reportan para su solución. Y como pasa con los distintos fabricantes de software, no todos reaccionan velozmente prestando la debida atención a estos temas.

Una de las últimas fallas de evasión halladas por Zoller fue en el motor de todos los productos de Kaspersky y consiste en una forma de evadir al motor de escaneo de forma que un archivo PDF especialmente preparado, puede alojar un código malicioso y el motor heurístico no lo examinará ni lo hallará problemático dejándolo pasar.

Sorprende leer que una empresa como Kaspersky, después de un intento silencioso, aun no logró solucionarlo y también que no establece una buena comunicación con este investigador que les señala un problema en sus productos.

He observado cuantas instalaciones antivirus con sus licencias pagas al día siguen utilizando versiones de uno o más años de antigüedad. Evidentemente no se ha prestado atención a actualizar el programa, un aspecto de importancia tal como el actualizar las firmas.

Por eso es recomendable que los administradores además de las firmas verifiquen tener la última versión del motor/programa antivirus; sobre todo en los equipos servidores que analizan el ingreso de correo y sus adjuntos tanto como los que analizan archivos descargados o transferidos desde Internet. Sin entrar en mayores detalles, es en este tipo de equipos donde las fallas que permiten la evasión al escaneo afectan más.

Si quiere leer sobre la fallas descripta de Kaspersky puede verlo aquí. Y para conocer sobre las fallas de evasión en general vea esta nota en el blog de Zoller, es un trabajo corto y muy comprensible, para técnicos. (en inglés)

Algo que nos quedó claro después de revisar los reportes de fallas que hizo Zoller a distintos fabricantes de programas antivirus, es que no todas las empresas reaccionan igual cuando les informan de una falla en su producto.

De los reportes de fallas halladas por Zoller de este año, uno o dos por fabricante, se ve que fueron rápidos, colaboradores y de buena respuesta para solucionarla empresas como: AVG, Avira, BitDefender, Eset, McAfee, Comod y ClamAV.

En tanto otros ignoran, se demoran o no reaccionan con parches a las fallas reportadas, tales son los casos de F-Prot, Kaspersky, TrendMicro, Aladin, Avast, Fortinet, IBMProventia.

En una próxima nota examinaremos el impacto de estas falla de evasión en los motores Antivirus.

Basado en información del: blog de Thierry Zoller

Raúl de la redacción de Segu-info

Wikipedia censura artículo para salvar a periodista

junio 30, 2009 § Deja un comentario

La censura en Wikipedia es un tema delicado, pues si bien varios de nosotros tomamos una postura del estilo “todo, absolutamente todo se debe conocer”, la verdad es que en muchas ocasiones la decisión no es tan directa, y este fue justamente el caso que se dió sobre el artículo de David Rohde, periodista del New York Times que trabajaba en Afghanistan cuando fue capturado el 10 de noviembre pasado por el Talibán.

El Times, sabiendo que la notoriedad pública sólo aumentaba el riesgo que Rohde fuera ejecutado, decidió contactar a todos los medios tradicionales para evitar que la noticia fuera conocida por el público, algo que no es especialmente difícil al tener que lidiar sólo con los editores en jefe de cada publicación, pero el caso de Wikipedia fue mucho más complejo, pues la enciclopedia virtual no tiene “un puñado” de editores, sino más bien miles.

Como solución a este problema, el periódico decidió trabajar en conjunto con Jimmy Wales (co-fundador de Wikipedia) y algunos de los administradores del sitio, para que un grupo del Times se dedicara a mantener el artículo de Rohde libre de la mención de su captura por meses, librando las llamadas “edit wars” (Guerras de edición) entre lo usuarios que de una u otra forma habían escuchado de la noticia de Rohde (agregando la información al artículo) y aquellos que conocían las intenciones del Times (revirtiéndolo a su estado anterior), resultando en más de una discusión y dedos apuntándose.

Finalmente la historia tuvo un final feliz, pues este mes Rohde logró escapar del Talibán, con lo que el plan de censura pudo ser desarticulado, e incluso expuesto por el propio Times, pero a algunos aún les queda un sabor algo amargo, ¿acaso esto se podría repetir con fines menos benevolentes?.

Fuente: Fayerwayer

Wikipedia censura artículo para salvar a periodista

junio 30, 2009 § Deja un comentario

La censura en Wikipedia es un tema delicado, pues si bien varios de nosotros tomamos una postura del estilo “todo, absolutamente todo se debe conocer”, la verdad es que en muchas ocasiones la decisión no es tan directa, y este fue justamente el caso que se dió sobre el artículo de David Rohde, periodista del New York Times que trabajaba en Afghanistan cuando fue capturado el 10 de noviembre pasado por el Talibán.

El Times, sabiendo que la notoriedad pública sólo aumentaba el riesgo que Rohde fuera ejecutado, decidió contactar a todos los medios tradicionales para evitar que la noticia fuera conocida por el público, algo que no es especialmente difícil al tener que lidiar sólo con los editores en jefe de cada publicación, pero el caso de Wikipedia fue mucho más complejo, pues la enciclopedia virtual no tiene “un puñado” de editores, sino más bien miles.

Como solución a este problema, el periódico decidió trabajar en conjunto con Jimmy Wales (co-fundador de Wikipedia) y algunos de los administradores del sitio, para que un grupo del Times se dedicara a mantener el artículo de Rohde libre de la mención de su captura por meses, librando las llamadas “edit wars” (Guerras de edición) entre lo usuarios que de una u otra forma habían escuchado de la noticia de Rohde (agregando la información al artículo) y aquellos que conocían las intenciones del Times (revirtiéndolo a su estado anterior), resultando en más de una discusión y dedos apuntándose.

Finalmente la historia tuvo un final feliz, pues este mes Rohde logró escapar del Talibán, con lo que el plan de censura pudo ser desarticulado, e incluso expuesto por el propio Times, pero a algunos aún les queda un sabor algo amargo, ¿acaso esto se podría repetir con fines menos benevolentes?.

Fuente: Fayerwayer

¿Actualizó su antivirus? no la firmas, el programa

junio 30, 2009 § Deja un comentario

De tanto repetirlo todos los que nos dedicamos a la seguridad, hemos logrado que hasta nuestra abuelita sepa que hay que mantener actualizadas las firmas/definiciones del antivirus en nuestros equipos. Otra cosa distinta es que lo hagan, pero ya conseguimos algo. 🙂

Pero lo que no todos tenemos tan claro, y me refiero a los que nos dedicamos a la seguridad, es que los motores antivirus también tienen actualizaciones de seguridad pues pueden sufrir de fallas de seguridad, como cualquier programa.

En particular hay un tipo de fallas denominadas de evasión. Estas fallas consisten en que una vez halladas, un atacante podría explotarla de forma tal que logra evitar que el motor del antivirus sea capaz de examinar algún archivo particular que contenga una carga maliciosa.

Muchos productos de distintas marcas padecen y solucionan este tipo de fallas que investigadores como Thierry Zoller descubren y reportan para su solución. Y como pasa con los distintos fabricantes de software, no todos reaccionan velozmente prestando la debida atención a estos temas.

Una de las últimas fallas de evasión halladas por Zoller fue en el motor de todos los productos de Kaspersky y consiste en una forma de evadir al motor de escaneo de forma que un archivo PDF especialmente preparado, puede alojar un código malicioso y el motor heurístico no lo examinará ni lo hallará problemático dejándolo pasar.

Sorprende leer que una empresa como Kaspersky, después de un intento silencioso, aun no logró solucionarlo y también que no establece una buena comunicación con este investigador que les señala un problema en sus productos.

He observado cuantas instalaciones antivirus con sus licencias pagas al día siguen utilizando versiones de uno o más años de antigüedad. Evidentemente no se ha prestado atención a actualizar el programa, un aspecto de importancia tal como el actualizar las firmas.

Por eso es recomendable que los administradores además de las firmas verifiquen tener la última versión del motor/programa antivirus; sobre todo en los equipos servidores que analizan el ingreso de correo y sus adjuntos tanto como los que analizan archivos descargados o transferidos desde Internet. Sin entrar en mayores detalles, es en este tipo de equipos donde las fallas que permiten la evasión al escaneo afectan más.

Si quiere leer sobre la fallas descripta de Kaspersky puede verlo aquí. Y para conocer sobre las fallas de evasión en general vea esta nota en el blog de Zoller, es un trabajo corto y muy comprensible, para técnicos. (en inglés)

Algo que nos quedó claro después de revisar los reportes de fallas que hizo Zoller a distintos fabricantes de programas antivirus, es que no todas las empresas reaccionan igual cuando les informan de una falla en su producto.

De los reportes de fallas halladas por Zoller de este año, uno o dos por fabricante, se ve que fueron rápidos, colaboradores y de buena respuesta para solucionarla empresas como: AVG, Avira, BitDefender, Eset, McAfee, Comod y ClamAV.

En tanto otros ignoran, se demoran o no reaccionan con parches a las fallas reportadas, tales son los casos de F-Prot, Kaspersky, TrendMicro, Aladin, Avast, Fortinet, IBMProventia.

En una próxima nota examinaremos el impacto de estas falla de evasión en los motores Antivirus.

Basado en información del: blog de Thierry Zoller

Raúl de la redacción de Segu-info

Buscadores: arma de doble filo

junio 30, 2009 § Deja un comentario

Los buscadores son los servicios más usados en Internet con diferencia y en la actualidad podemos afirmar que se han hecho totalmente imprescindibles dada la necesidad que tenemos de procesar la ingente cantidad de datos que encontramos en la red. No obstante y desde hace algún tiempo, han pasado a ser el objetivo de atacantes para usarlos con fines bien distintos.

Ya hablamos de técnicas como el malvertising, consistente en insertar anuncios maliciosos dentro de las redes de publicidad que se muestran en distintas webs, con el fin de infectar el equipo que visualiza el anuncio. Este tipo de técnicas amenazan el principal negocio de los buscadores, que es la publicidad, por lo que empresas como Google ya están empezando a ofrecer soluciones a este problema.
Otro de los problemas a los que se enfrentan en la actualidad los buscadores es el BlackHat SEO (Search Engine Optimization). Este término hace referencia a posicionar términos comunes asociados a URLs maliciosas en los principales buscadores, de modo que cuando accedamos a los resultados pensando que se trata de una URL legítima, se infecte nuestro equipo. Básicamente es usar las mismas técnicas que usa cualquier empresa para posicionarse en buscadores, pero con fines maliciosos y usando técnicas ilegales, como inyectar miles de URLs en páginas legítimas mediante alguna vulnerabilidad, SPAM en servicios como Twitter, etc.
No obstante el post de hoy habla de una de las técnicas más antiguas, el Google-hacking, que parece vivir una segunda juventud. Google-hacking consiste en la búsqueda de ciertos términos en cualquier buscador (son extrapolables dependiendo de la funcionalidad que ofrece cada uno de ellos) con la finalidad de detectar versiones de software vulnerables o vulnerabilidades en sí. De este modo, la búsqueda de una cadena que sepamos aparece cuando hay un error de SQL en un conocido CMS nos retornará miles de potenciales objetivos a explotar.
Tuvo un gran impacto en su momento para quedar en la actualidad en un segundo plano. No obstante está volviendo a ser una técnica muy usada para la realización de ataques masivos en campañas de infección masivas, inyectando en URLs vulnerables iframes que redirijan a sitios maliciosos, o buscando objetivos para campañas de BHSEO.
Finalmente, y en lo referente al mercado más under, estas técnicas siguen siendo explotadas, en esta ocasión para obtener números de tarjetas de crédito. En la actualidad este tipo de bienes tiene un valor muy bajo en el mercado, que maltrata el bien al revenderlo en multitud de ocasiones y debido al alto grado de fraude entre los mismos delincuentes. Es por ello que hay distintos niveles de calidad, siendo circulos cada vez más cerrados los que ofrecen material de primera mano. En los circulos más bajos, y dada la dificultad a acceder a dicho material, se buscan alternativas a la compras de dumps (conjuntos de números de tarjetas de crédito) que posiblemente son inusables a estas alturas. Una de las alternativas es volver a las técnicas
de Google-hacking.
La popularización de todo tipo de herramientas para la creación de tiendas on-line crea un mercado potencial muy amplio para la búsqueda de vulnerabilidades que puedan llevarnos a encontrar datos relacionados con la compra, esto es, tarjetas de crédito. A continuación se muestran algunas de las técnicas usadas para localizar los mismos:
Por supuesto recomendamos comprobar que ninguno de nuestros sitios sea vulnerable a los problemas relacionados con las búsquedas, así como mantenerse atento a cualquier nueva vulnerabilidad y a las técnicas utilizadas para su detección.

Fuente: S21Sec

Buscadores: arma de doble filo

junio 30, 2009 § Deja un comentario

Los buscadores son los servicios más usados en Internet con diferencia y en la actualidad podemos afirmar que se han hecho totalmente imprescindibles dada la necesidad que tenemos de procesar la ingente cantidad de datos que encontramos en la red. No obstante y desde hace algún tiempo, han pasado a ser el objetivo de atacantes para usarlos con fines bien distintos.

Ya hablamos de técnicas como el malvertising, consistente en insertar anuncios maliciosos dentro de las redes de publicidad que se muestran en distintas webs, con el fin de infectar el equipo que visualiza el anuncio. Este tipo de técnicas amenazan el principal negocio de los buscadores, que es la publicidad, por lo que empresas como Google ya están empezando a ofrecer soluciones a este problema.
Otro de los problemas a los que se enfrentan en la actualidad los buscadores es el BlackHat SEO (Search Engine Optimization). Este término hace referencia a posicionar términos comunes asociados a URLs maliciosas en los principales buscadores, de modo que cuando accedamos a los resultados pensando que se trata de una URL legítima, se infecte nuestro equipo. Básicamente es usar las mismas técnicas que usa cualquier empresa para posicionarse en buscadores, pero con fines maliciosos y usando técnicas ilegales, como inyectar miles de URLs en páginas legítimas mediante alguna vulnerabilidad, SPAM en servicios como Twitter, etc.
No obstante el post de hoy habla de una de las técnicas más antiguas, el Google-hacking, que parece vivir una segunda juventud. Google-hacking consiste en la búsqueda de ciertos términos en cualquier buscador (son extrapolables dependiendo de la funcionalidad que ofrece cada uno de ellos) con la finalidad de detectar versiones de software vulnerables o vulnerabilidades en sí. De este modo, la búsqueda de una cadena que sepamos aparece cuando hay un error de SQL en un conocido CMS nos retornará miles de potenciales objetivos a explotar.
Tuvo un gran impacto en su momento para quedar en la actualidad en un segundo plano. No obstante está volviendo a ser una técnica muy usada para la realización de ataques masivos en campañas de infección masivas, inyectando en URLs vulnerables iframes que redirijan a sitios maliciosos, o buscando objetivos para campañas de BHSEO.
Finalmente, y en lo referente al mercado más under, estas técnicas siguen siendo explotadas, en esta ocasión para obtener números de tarjetas de crédito. En la actualidad este tipo de bienes tiene un valor muy bajo en el mercado, que maltrata el bien al revenderlo en multitud de ocasiones y debido al alto grado de fraude entre los mismos delincuentes. Es por ello que hay distintos niveles de calidad, siendo circulos cada vez más cerrados los que ofrecen material de primera mano. En los circulos más bajos, y dada la dificultad a acceder a dicho material, se buscan alternativas a la compras de dumps (conjuntos de números de tarjetas de crédito) que posiblemente son inusables a estas alturas. Una de las alternativas es volver a las técnicas
de Google-hacking.
La popularización de todo tipo de herramientas para la creación de tiendas on-line crea un mercado potencial muy amplio para la búsqueda de vulnerabilidades que puedan llevarnos a encontrar datos relacionados con la compra, esto es, tarjetas de crédito. A continuación se muestran algunas de las técnicas usadas para localizar los mismos:
Por supuesto recomendamos comprobar que ninguno de nuestros sitios sea vulnerable a los problemas relacionados con las búsquedas, así como mantenerse atento a cualquier nueva vulnerabilidad y a las técnicas utilizadas para su detección.

Fuente: S21Sec

¿Dónde estoy?

Actualmente estás viendo los archivos para junio, 2009 en Seguridad Informática.