Microsoft lanza hoy Security Essentials

septiembre 30, 2009 § Deja un comentario

Microsoft ha anunciado que será hoy mismo cuando lance su suite de seguridad antivirus gratuita Security Essentials. La nueva solución podrá descargarse desde el sitio Web de Microsoft.

El lanzamiento hoy de Microsoft Security Essentials (MSE), también conocida con el nombre en código de Morro, vendrá a reemplazar su solución de seguridad seguridad Windows Live OneCare, lanzado hace tres años.

Desde Microsoft han confirmado que esta nueva propuesta gratuita de seguridad consume pocos recursos de memoria y de espacio en la CPU y no interfiere en las tareas que ejecute el equipo. Con Security Essentials, Microsoft ofrece protección contra malware en tiempo real y, gracias a la incorporación del nuevo servicio Dynamic Signature Service, proporciona a los usuarios seguridad contra los últimos virus, adelantándose así a los boletines mensuales de seguridad de la propia Microsoft.

Los requisitos mínimos para poder ejecutar Microsoft Security Essentials es disponer de sistema operativo Windows XP SP2, o versiones superiores, como Vista y el próximo Windows 7. Asimismo, desde Microsoft ya han adelantado que este antivirus, disponible para su descarga gratuita desde la página de descargas de Microsoft, no funcionará en las copias no legales de Windows.

Fuente: IDG

Troyano bancario falsea el balance de las cuentas robadas para evitar ser detectado

septiembre 30, 2009 § Deja un comentario

Se ha detectado una familia de troyanos que,además de todas las técnicas habituales que usa el malware 2.0 parapasar desapercibido, falsea el balance del usuario víctima una vez hasido robado. Así, el afectado no puede detectar la falta de dinero ensu cuenta a menos que analice un extracto por algún otro medio que nosea su propio ordenador, o le sea devuelto algún recibo.

Es comúnhoy en día que los troyanos inyecten campos adicionales en las páginasde los bancos para “capturar” la tarjeta de coordenadas o lascontraseñas secundarias que permiten el movimiento del dinero. Es comúnque se salten restricciones de todo tipo impuestas por los bancos(teclados virtuales, ofuscación, OTP…), destinadas a detener suavance. Casi todos tienen técnicas de ocultación sofisticadas que hacenque a pesar de los esfuerzos de las casas antivirus, no sean detectadosen su mayor parte. La mayoría también ofusca su código para dificultarel análisis de los investigadores… Lo que no es tan común es que lostroyanos, al robar, falseen el balance de las cuentas del usuario, paraque el usuario no detecte que el dinero ha sido traspasado a otro lugar.

Latécnica que utiliza esta muestra observada es la misma que se sueleusar para monitorizar qué página está siendo visitada e inyectar loscampos. Esto habitualmente se realiza a través de BHO (Browser HelperObjects) en Internet Explorer. Los BHO, al tener completo control sobreel DOM (Document Object Model) de la página, pueden eludir entre otrasrestricciones el cifrado, e inyectar en las páginas los campos queestimen oportuno. Ocurre de forma totalmente transparente y sobre lapágina real al ser visitada por un sistema troyanizado. Este mismométodo se utiliza para falsear el balance real de la cuenta. Así, elusuario no percibe que está siendo robado. El troyano también se cuidade no dejar la cuenta en números rojos, para evitar igualmente serdetectado.

Cuanto más tiempo pase desapercibido el robo para lavíctima, más veces podrá transferir pequeñas cantidades y pasar asítambién desapercibido para el banco. Los bancos, hoy en día, tienensistemas de alerta que avisan al usuario cuando se detectan movimientosque se salen del patrón habitual de su usuario. Esto empezaba a ser unproblema para ciertos troyanos que realizaban grandes transferencias,pues los bancos advertían al usuario víctima de una posible estafa. Conestos métodos consiguen no hacer sonar ninguna alarma ni en el usuarioni en su banco.

Se ha informado de la difusión de este malware entoda Europa. Algunos lo han llamado URLZone, aunque parece una variantede SilentBanker. El método de infección (esto sí es habitual) suele serla visita a páginas web legítimas infectadas, que intentan aprovechardiferentes vulnerabilidades del navegador o del sistema operativoWindows para ejecutar código y realizar su función.

Más Información:
New Malware Re-Writes Online Bank Statements to Cover Fraud
http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/

Autor: Sergio de los Santos
Fuente: Hispasec

¿Nube o humo?

septiembre 30, 2009 § Deja un comentario

El juego de palabras surgió de una conferencia que presencié recientemente en Virus Bulletin 2009 y se refiere a las confusiones que surgen cuando se habla de la nube o, el mismo término más aceptado en inglés, Cloud Computing.
En primera instancia, la detección de malware por firmas siempre ha tenido dos puntos importantes a considerar:

  • El tamaño de la base de datos de firmas de malware detectado aumenta con cada actualización, y esos archivos se encuentran almacenado en el sistema del usuario (visión del cliente), lo cual representa un problema de rendimiento y de consumo de recursos para algunos antivirus.
  • Miles de nuevos malware deben ser analizados cada día, lo cual no puede ser llevado adelante por analistas humanos y se necesitan procesos automáticos e inteligentes que los realicen.

Estos puntos mencionados son los más importantes a resolver a corto y mediano plazo en lo que respecta a detección y rendimiento, motivos por los cuales algunas compañías han decidido comenzar a mudar estos servicios a la nube, manteniendo sus bases de datos en línea y analizando los archivos en un servidor, en vez de utilizar el sistema cliente.
Pero, esta “solución” presenta en sí misma algunos riesgos y preguntas tales como:

  • El objeto a analizar es enviado a la nube para ser analizado y si bien en la mayoría de los casos sólo se enviará información relativa al mismo (hash, tamaño, cabeceras, estructuras, etc.), podría ser necesario enviar en archivo completo. Esto puede representar una seria vulnerabilidad respecto a la confidencialidad del objeto.
  • La base de datos en la nube debe seguir siendo actualizada ¿a cuánto tiempo se puede bajar la actualización? Aunque la respuesta sea a décimas de segundo, el método sigue siendo reactivo.
  • El análisis en la nube sigue siendo estático y la detección, por el punto anterior, es más reactiva que proactiva en la mayoría de los casos por lo que si el objeto es analizado en la nube y no es detectado, aún será considerado no dañino (falso negativo) para el usuario.
  • Las bases de datos siguen creciendo (ahora en el servidor) y en base al crecimiento de malware detectado, que es mayor a lo que dice la Ley de Moore, ¿hasta cuando será posible seguir ampliando estos archivos?
  • Si la conexión a la nube (Internet) no se encuentra activa, el análisis no puede ser llevado a cabo. Este problema de disponibilidad del servicio puede presentarse fácilmente en malware que bloquean el acceso a la red o el acceso a los sitios de las empresas antivirus o, incluso en conexiones lentas por módem, por ejemplo.
  • Podrían presentarse problemas de performance referidos a lo que sucede con el objeto analizado mientras se espera respuesta del servicio en línea.
  • Sería posible realizar ataques de DDoS a los servidores en la nube, incluso de manera no intencional, debido a la cantidad de requerimientos de los usuarios.
  • Dependiendo del país y de que existen diferentes legislaciones en cada uno, ¿qué datos es posible enviar a la nube y cuales no? ¿qué sucede con los que no se puede enviar para realizar el análisis?
  • ¿Las botnets pueden manipular un sistema de reputación de una base datos en línea enviando requerimientos falsos?

Sin dudas la nube es una buena alternativa para propagar malware y los atacantes la utilizan a diario. Pero de lo anterior se puede concluir que los servicios de detección en la nube que han comenzado a promocionarse aún necesitan investigación y mucho trabajo para ser perfeccionados.
Hay que tener en cuenta que la seguridad en la nube no es el santo grial y a veces suele ser sólo humo. Este es el motivo por el cual ESET sigue mejorando y perfeccionando su detección heurística para que la misma sea más inteligente y su base de datos muy pequeña, permitiendo los mejores índices de detección avalados por las certificaciones antivirus.

Fuente: Laboratorio ESET

¿PC infectado? Fuera de la red en Australia

septiembre 30, 2009 § Deja un comentario

La Internet Industry Association australiana ha propuesto un nuevo código de conducta que solicita a los proveedores de acceso que tomen acción sobre aquellos usuarios cuyos PC sean identificados como infectados y difusores de malware, pudiendo llegar incluso a la desconexión del servicio (vía Slashdot).

La asociación sugiere una aproximación al tema en cuatro pasos: identificación de los usuarios afectados, contacto con los mismos, provisión de información y consejo para la solución del problema, y reporte de las amenazas importantes.En los casos en que los avisos no fuesen atendidos y la amenaza persistiese, el proveedor de servicio podría llegar a desconectar al usuario de la red.
Los proveedores de acceso han reaccionado con precaución: por un lado, reconocen la necesidad de controlar a los usuarios que ponen en peligro a otros de una manera parecida a como se hace en las carreteras, pero por otro, exigen alternativas para convertir este servicio en algo que no suponga un coste por usuario o sea susceptible incluso de generar un beneficio.

La propuesta plantea importantes dudas: por un lado, aunque es posible identificar un ordenador infectado estudiando sus patrones de uso de la red o su interacción con otros componentes de la misma, el control supone, en cierta medida, una pérdida de privacidad de los usuarios. Por otro, incide en un tema importante: un usuario debe tener un cierto nivel de responsabilidad no solo de su propia seguridad, sino también de la inseguridad que introduce sobre el conjunto del sistema, y trata de repartir dicha responsabilidad entre usuarios y proveedores de servicio. Sin duda, un tema que va a generar reacciones.

Otra opinión al respecto en un Mundo Binario.

Fuente: Enrique Dans

Curso de Metasploit online gratuito

septiembre 29, 2009 § Deja un comentario

Los creadores Backtrack, han liberado totalmente gratis un manual de metasploit framework.

La guía cubre desde los aspectos mas básicos que debes tener en cuenta a la hora de ejecutar Metasploit, como los requerimientos de tu maquina, pasando por su instalación, hasta tocar temas como la interacción con la herramienta, como programar sobre ella y como ejecutar tu propio exploit programado con este framework.

Para acceder a este curso de Metasploit Framework, solo es necesario contar con un navegador, internet y leer un poco de ingles técnico.

Fuente: elcodigoK

E-Pasaporte (mitos y leyendas)

septiembre 29, 2009 § Deja un comentario

Una de las cosas que mas profundamente me molesta es leer o escuchar a gente criticar cosas de las que en realidad sabe poco, y cuya única fuente de información son documentos de corte sensacionalista que únicamente contienen titulares al estilo ‘El Pasaporte electrónico es inseguro’ o ‘RFID es una tecnología insegura’

Como ejercicio didáctico propongo que cualquiera que escuche un comentario así, acto seguido pregunte: ‘¿Cuando hablas de RFID, podrías decirme a que frecuencias te refieres?’ y ‘¿Perdona, me podrías indicar al menos 3 protocolos RFID que conozcas?’ Si el interlocutor duda en las respuestas, estamos ante otro caso de ‘yo es que leí en nosedonde que …’

Conste que yo no estoy defendiendo nada, de hecho me he propuesto escribir este post basado en certezas y pruebas sobre MI pasaporte, las conclusiones las dejo para cada cual.

Para realizar este pequeño estudio utilicé un lector RFID de la marca Omnikey Cardman y me valí de las estupendas librerías / herramientas de RFIDIOT, que, por cierto, es una pena que el autor haya elegido tan desafortunado nombre ya que son, en mi opinión, las librerías mas completas, mas fiables y útiles para trabajar con RFID y creo que el nombre puede dar lugar a equívocos.

Voy a obviar en este post los datos mas academicistas sobre las implementaciones ICAO del pasaporte electrónico, ¿por que? básicamente porque pretendo que resulte ameno y creo que el artículo de la Wikipedia es lo suficientemente avanzado para el que quiera meterse en nomenclaturas e ir a la parte low-level.

Contenido completo en Security by Default

Ataques masivos de malware por correo electrónico

septiembre 29, 2009 § Deja un comentario

Hemos tenido acceso al detalle de algunos ataques por correo electrónico que sucedieron ayer, en el que se adjunta un archivo con un Troyano.

Estos correos son enviados masivamente, cientos en el término de pocas horas. Con el objeto de intentar eludir filtros antispam la direccion del remitente es la misma o del mismo dominio que la del destinatario.

El correo (en inglés), con el pretexto de una supuesta compra de unacomputadora, dice incluir documentación del envio adjunta. Pero eladjunto, un archivo de nombre open.zip, es un troyano identificado como Trojan.Fakeavalert el cual muestra falsos alertas de virus y cambia la configuraciones de seguridad del equipo infectado. Entre los cambios que realiza este troyano, impide acceder a sitios de fabricantes de antivirus y otros proveedores de seguridad.

Como se puede observar, en las últimas dos semanas ha aumentado la tendencia de mensajes de correo con malware adjunto.

Recordamos tener la precaución de no abrir adjuntos ni enlaces de correos cuando no se los espera y menos cuando son de alguien desconocido.

Raúl de la Redacción de Segu-info en base a información propia.

¿Dónde estoy?

Actualmente estás viendo los archivos para septiembre, 2009 en Seguridad Informática.