herramienta para reconstruir los ataques que no dejan rastro en los discos duros

Existen determinados ataques que no dejan rastro alguno sobre los discos duros de los ordenadores, pero que ahora pueden ser descubiertos utilizando una nueva herramienta de la que se realizarán demostraciones en la conferencia Black Hat, que se celebrará la próxima semana en Las Vegas.

Los investigadores de Mandiant presentarán una manera de descubrir aquellas actividades maliciosas que puedan haber sido realizadas por los atacantes corriendo sólo en la memoria de los sistemas, y que, en consecuencia, evaden los métodos forenses basados en al análisis de discos tradicionales.

En concreto, la herramienta forense basada en memoria que presentarán los investigadores de Mandiant permite encontrar los rastros dejados en la memoria por aquellas actividades que puedan haber sido realizadas mediante Meterpreter, un módulo software para el sistema de código abierto de pruebas sobre penetración Metasploit.

Meterpreter puede ser inyectado en un proceso legítimo que se esté corriendo sobre el ordenador de la víctima y así evitar los sistemas de detección basados en software host IDS/IPS. Meterprefer puede ser después utilizados como plataforma para realizar ataques posteriores, según han explicado los investigadores de Mandiant.

Este escenario de ataque resulta efectivo para conseguir acceso a los procesos clave que se estén corriendo sobre la máquina de las víctimas, según explica, Steve Davis, uno de los investigadores. “Es un gran método para lograr este fin, y resulta difícil de detectar en el sistema”. A través de Meterprefer, los atacantes pueden registrar las pulsaciones del usuario sobre el teclado, procesos finales, cargar y descargar archivos y otros medios de comprometer los equipos.

Sistema basado en Memoryze

En este contexto, Mandiant ha utilizado una versión de su software forense comercial basado en memoria Memoryze para analizar los archivos Virtual Address Descriptor en Windows. La herramienta estudia la estructura de paquete que utiliza Meterpreter para comunicarse con su servidor. Basándose en los fragmentos de comunicación recuperados, los analistas pueden inferir qué ataques se han producido.

Dada la naturaleza volátil de los datos, la herramienta no puede recuperar el 100% de la actividad de Meterprefer, pero representa una prueba de concepto que podría ir mejorando con el futuro, según Mandiant.

La utilidad particular de la nueva herramienta reside en que los ataques tradicionales insertan procesos maliciosos sobre los discos de los ordenadores, siendo detectables por los sistemas forenses tradicionales, que funcionan analizando el disco, pero estos sistemas no revelan los ataques diseñados para evitar el uso de espacio de disco.

Black Hat mostrará lo último en ataques Informaticos

 
La conferencia Black Hat de Las Vegas incluye en su agenda la divulgación de información sobre exploits tan variados como las escuchas en los enchufes eléctricos, la captura de la señales de los teclados o la seguridad del protocolo que protege las transacciones bancarias. También se hablará del uso de láseres y software de análisis para averiguar qué se está tecleando en los portátiles, y cómo detectar el daño provocado por los ataques que no dejan huella en los discos duros de los ordenadores.

Black Hat USA 2009 está considerado como el principal evento mundial de la seguridad, en el que se dan a a conocer los nuevos exploits y la forma de neutralizarlos, y se espera que atraiga a miles de visitantes a las charlas de académicos, fabricantes y crackers privados.

Por ejemplo, en una charla se demostrará que si los atacantes pueden conectarse a un enchufe eléctrico situado cerca de un ordenador o apuntar hacia él con un láser podrán robar cualquier cosa que se esté tecleando en él. Los investigadores Andrea Barisani y Daniele Bianco de la firma Inverse Path demostrarán cómo hacerlo. Como el cable de datos interno del teclado no está apantallado las señales los flujos de bits que indican qué teclas se están pulsando, generan fluctuaciones de voltaje que quedan expuestas.

Este método no funciona si se desenchufa el ordenador, o si se trata de un portátil. En ese caso los atacantes pueden usar un láser para apuntar hacia alguna parte brillante del portátil, o incluso de un objeto que esté en la misma mesa que el portátil. Se coloca un receptor alineado para capturar el flujo de luz reflejado y las modulaciones provocadas por las vibraciones que provocan las teclas al ser pulsadas. Si se analizan las secuencias de cada tecla y el espaciado entre palabras, el atacante puede llegar a descubrir el mensaje que se ha tecleado. Conocer el idioma en el que se está tecleando ayudará, claro está, según estos investigadores.

Otra presentación mostrará que las conexiones online bancarias realizadas desde redes wi-fil públicas son vulnerables a los ataques pese a la seguridad existente. Esto significa que los atacantes pueden acceder a las conexiones que las víctimas creen protegidas por SSL y coger las contraseñas y otra información para posteriormente robar dinero o datos confidenciales, según Mike Zusman, consultor de Intrepidus.

La Oficina de Seguridad del Internauta empieza a funcionar

La Oficina de Seguridad del Internauta (OSI) es un servicio que aprobó el Consejo de Ministros a finales de 2007 y que ahora inicia su andadura de la mano de INTECO, el MITYC y la SETSI.

Su objetivo es ofrecer información sobre seguridad en Internet de forma gratuita y accesible a cualquier usuario, con independencia de sus conocimientos. Actualmente la OSI ofrece tres servicios:

• Conceptos y amenazas de seguridad: el usuario puede evaluar su nivel de conocimiento sobre la seguridad en la red, se ofrece un ABC sobre los principales problemas y amenazas en Internet.
• Recomendaciones y herramientas: consejos y software para proteger el correo electrónico, la navegación, el ordenador y la conexión a Internet.
• Ayuda ante dudas y problemas: la Oficina de Seguridad del Internauta pone a la disposición del usuario un número de teléfono (901 111 121), un foro y un asistente de seguridad online a través del que el usuario puede ponerse en contacto con el equipo de soporte especializado.

E-Zine(s) De la vieja escuela

Aca les dejo un Link con E-Zine(s) de la vieja escuela incluida algunas de nuestro pais chilito como Cdlr, Electron Security Team, Cultura Digital Team, Etc

http://www.elhacker.net/e-zines/

Que Tiempos aquellos…

Kaspersky Laboratorio alerta ante las nuevas variantes del gusano Koobface

El famoso gusano que está causando estragos entre los usuarios de redes sociales, especialmente de Facebook, Koobface, sigue expandiéndose por la Red. Según la firma de seguridad Kaspersky Lab, sólo durante el mes de junio se han detectado casi 600 nuevas variantes de Koobface.

Aunque hace más de un año que se detectó la presencia de Koobface, con el nombre de Net-Worm.Win32.Koobface, este gusano empezó a adquirir protagonismo hace menos de un año cuando empezó a atacar las cuentas de redes sociales tan populares como Facebook y MySpace. Y es que, la creciente popularidad de estas redes ha llevado a que el número de ataques que se dirigen a ellas vaya en aumento, lo que ha impulsado la propagación de Koobface.

De este modo, los analistas de Kaspersky Lab han detectado que sólo durante el pasado mes de junio, Koobface ha tenido casi 600 nuevas variantes. Esto duplica las cifras existentes hasta el momento ya que, a finales del mes de mayo, las variantes detectadas de este gusano ascendieron a 324, lo que eleva la peligrosidad de Koobface, que sigue atacando sitios Web, y especialmente redes sociales como, además de las ya mencionadas, otras como Hi5, Bebo, Tagged, Netlog y Twitter. Tal y como señala el investigador de malware en Kaspersky Lab, Stefan Tanase, “esta muestra del crecimiento de la actividad cibercriminal en las redes sociales durante el pasado mes demuestra que las estrategias que utilizan los cibercriminales para infectar a los usuarios son mucho más eficientes cuando añaden el contexto social a sus ataques”.

Y es que, para este responsable, la evolución de Koobface “está marcando un hito en la evolución del malware en las redes sociales”.

Atendiendo al hecho de que este gusano se propaga a través de la cuenta de los usuarios invitando a sus contactos a acceder, mediante un enlace a un sitio falso de YouTube, a descargarse una nueva versión de Flash Player, cuando en realidad se descarga el gusano en el equipo, desde Kaspersky Lab hacen una serie de recomendaciones para protegerse.

Como siempre, asegurarse de que el enlace que ha a abrir es realmente del remitente que dice ser o si es conocido. Además, en este caso, si el usuario utiliza Internet Explorer 7 oFirefox, conviene instalar la opción NoScript y, como siempre, es básico mantener el antivirus actualizado para prevenir que las nuevas versiones de malware puedan acceder a los equipos.

‘Crackers’ chinos atacan la web del Festival de Cine de Melbourne

Piratas informáticos chinos han atacado durante el fin de semana la página del Festival de Cine de Melbourne en Australia para protestar contra la proyección de ‘Ten Conditions of Love’, un documental sobre la vida de Rebiya Kadeer, una activista uigur.

La cinta del director australiano Jeff Daniels, cuenta la vida de Rebiya Kadeer, empresaria y activista política señalada por el Gobierno chino como la instigadora de las últimas revueltas en la región de Xinjiang.

Pese a que el estreno del documental estaba previsto para el próximo 8 de agosto, el festival decidió realizar una proyección extraordinaria anoche, y las entradas se agotaron rápidamente

Las 20 amenazas informáticas más comunes de Internet

La empresa de seguridad informática Kaspersky Lab publicó recientemente su listado de las 20 amenazas por Internet más comunes y persistentes que circulan actualmente por la red.

Se trata de dos informes que identifican ataques por correo electrónico y aquellos detectados por el escáner online de la compañía, respectivamente.

De acuerdo con el primer informe, los códigos maliciosos en el tráfico de correo experimentaron cambios notables en abril. Net-Womr.Win32.Mytob.t y Email-Worm.Win32.Mydoom.m, que habían estado a punto de ingresar en las primeras posiciones y subieron diez lugares en marzo, parecen haber perdido impulso. Así, mientras que uno cayó en la clasificación, el otro desapareció de la tabla.

Al mismo tiempo, aparecieron nuevos programas maliciosos en el Top 20, algo que no había ocurrido en marzo. Los gusanos siguen vigentes mientras que los veteranos Zhelatin y Warezov continúan desaparecidos. Este mes las estadísticas también confirmaron que los programas nuevos no se están enviando por correo electrónico; rara vez se ven programas del tipo Trojan-Downloader en el correo y suelen ser sólo el envío masivo inicial de usuarios maliciosos que están ingresando en este campo.

Los más recientes envíos masivos del troyano Diehard se efectuaron en febrero y al parecer los autores se han tomado un descanso en su trabajo de expandir su creación.

Por su parte, una vez más, son gusanos que han estado plenamente vigentes: una serie de modificaciones del gusano Email-Worm.Win32.Netsky se han adueñado de siete de los veinte lugares en la clasificación. Esto podría interpretarse en cierta medida como un éxito para los autores de virus, especialmente si se toma en cuenta que estas modificaciones constituyen casi el 64% de todo el tráfico de correo infectado en abril.

A su vez, en el segundo informe sí se observan cambios en los primeros puestos con respecto al mes anterior. Mientras que en marzo los primeros puestos estuvieron dominados por un programa publicitario (Adware), un gusano y un troyano, en abril una variante del veterano gusano Brontok, que había sido desplazado a principios de 2008, ascendió súbitamente al primer lugar.

El virus para ficheros Virus.Win32.Virut.n, que apareció en el octavo lugar de la lista en enero de 2008, sigue escalando posiciones. Mientras que en febrero cayó un poco, en marzo ascendió 10 colocaciones y, finalmente, en abril llegó al cuarto lugar de la estadística. Es probable que los autores de virus hayan seguido perfeccionando este programa nocivo y no es complicado explicar por qué, según Kaspersky.

Es que Virus.Win32.Virut.n no es sólo un programa escrito para satisfacer la vanidad de un autor de virus. Ante todo, es un componente para la construcción de redes zombi, que ahora son un negocio muy lucrativo y popular entre los delincuentes cibernéticos. Además, en la estadística de abril hay dos virus de esta familia y ambos están uno detrás de otro, en los lugares 4 y 5.

Finalmente, entre las amenazas recién llegadas, el informe destaca a Backdoor.Win32.Hupigon.vnd y al troyano Trojan-PSW.Win32.OnLineGames.isb, que se especializa en robar cuentas de juegos como World Of Warcraft, Lineage etc.

Fuente:
InfoBAE Profesional
www.infobaeprofesional.com

Ataques XSS RedBanc

Sitios Chilenos con graves fallas , obviamente no con el afán de hacer daño ni mucho menos de perjudicar a los sitios nacionales. Sino alertar a estos mismos y a los usuarios que visitan dichas paginas los cuales pueden ser victimas incluso de Phishing.

En esta ocasión nos encontramos con un sitio que indirectamente se ve involucrado con las transacciones electrónicas del país, RedBanc.

Esta pagina contiene (entre otras vulnerabilidades) una muy conocida en estos días, el XSS. Al no validar bien las sentencias se puede llegar a obtener esto:

>Ejemplo.

Esperamos que la gente de RedBanc solucione el problema después de ser avisados acerca de esta vulnerabilidad.

Disponibles en Internet los datos personales de 6 millones de chilenos

una y otra ves se repite la historia:

Los datos personales de más de 6 millones de chilenos continúan hoy disponibles en Internet, después de que fueran robados de varios sitios y publicados este pasado fin de semana en la Red.

Enlaces para descargar los datos fueron inicialmente publicados en los foros de dos sitios chilenos (Fayer Wayer y El Antro), de donde fueron retirados después por los administradores para tratar de evitar su difusión.

Las autoridades chilenas investigan el grave asunto, que el autor de las intrusiones ha tratado de justificar en base a que el acto constituiría una especie de denuncia de la falta de seguridad de los servidores chilenos. Esta “explicación” resulta cuando menos chocante, puesto que parece cuando menos paradójico difundir los datos de filiación, académicos y sociales de millones de personas precisamente para denunciar su falta de protección.

Y desde luego lo que resulta incomprensible e injustificable es que en el mismo momento de escribir esta nota esté disponible al menos un sitio destinado exclusivamente a proporcionar enlaces para que la gente pueda seguir descargando esos datos, como este editor ha podido comprobar…

• ALERTA: Se filtran datos personales de 6 millones de chilenos vía Internet [Fayer Wayer]
• Cibercrimen investiga filtración de bases de datos personales de seis millones de chilenos [ Mercurio]

“Verb for Shoe”, el zapato computarizado

La tecnología pronto se extenderá a todos los ámbitos de nuestra vida, y la ropa tecnológica es una realidad. Muestra de esto son los zapatos “Verb for Shoe”, desarrollados por Ronald Demon, y una empresa que alguna vez fue parte del MIT, (Massachusetts Institute of Technology), VectraSense.

Es prácticamente como tener un computador por zapato. El sitio especializado “Engadget” explica que de hecho tiene un computador incorporado que “ajusta el zapato automáticamente al pie, se sincroniza con el PC y se comunica con otros zapatos para intercambiar información de contacto”, todo de manera inalámbrica.

Para ello, es necesario contar con Windows en el computador (Vista o XP) y un adaptador que se conecta con el PC. Éste capta la señal del zapato cuando se pone en posición vertical.

Según se explica en la página oficial de este particular calzado, efectivamente el computador incorporado modifica la forma del zapato según el pie de su dueño y cómo lo esté utilizando.

Tiene dos “cojines de aire” para dar soporte al pie, y es el computador el encargado de regular su tensión de acuerdo a los movimientos que perciba.

Ya está a la venta a través de Internet, y por solo 700 dólares puede obtener su par, que serán fabricados de manera personalizada.