Las 20 amenazas informáticas más comunes de Internet

La empresa de seguridad informática Kaspersky Lab publicó recientemente su listado de las 20 amenazas por Internet más comunes y persistentes que circulan actualmente por la red.

Se trata de dos informes que identifican ataques por correo electrónico y aquellos detectados por el escáner online de la compañía, respectivamente.

De acuerdo con el primer informe, los códigos maliciosos en el tráfico de correo experimentaron cambios notables en abril. Net-Womr.Win32.Mytob.t y Email-Worm.Win32.Mydoom.m, que habían estado a punto de ingresar en las primeras posiciones y subieron diez lugares en marzo, parecen haber perdido impulso. Así, mientras que uno cayó en la clasificación, el otro desapareció de la tabla.

Al mismo tiempo, aparecieron nuevos programas maliciosos en el Top 20, algo que no había ocurrido en marzo. Los gusanos siguen vigentes mientras que los veteranos Zhelatin y Warezov continúan desaparecidos. Este mes las estadísticas también confirmaron que los programas nuevos no se están enviando por correo electrónico; rara vez se ven programas del tipo Trojan-Downloader en el correo y suelen ser sólo el envío masivo inicial de usuarios maliciosos que están ingresando en este campo.

Los más recientes envíos masivos del troyano Diehard se efectuaron en febrero y al parecer los autores se han tomado un descanso en su trabajo de expandir su creación.

Por su parte, una vez más, son gusanos que han estado plenamente vigentes: una serie de modificaciones del gusano Email-Worm.Win32.Netsky se han adueñado de siete de los veinte lugares en la clasificación. Esto podría interpretarse en cierta medida como un éxito para los autores de virus, especialmente si se toma en cuenta que estas modificaciones constituyen casi el 64% de todo el tráfico de correo infectado en abril.

A su vez, en el segundo informe sí se observan cambios en los primeros puestos con respecto al mes anterior. Mientras que en marzo los primeros puestos estuvieron dominados por un programa publicitario (Adware), un gusano y un troyano, en abril una variante del veterano gusano Brontok, que había sido desplazado a principios de 2008, ascendió súbitamente al primer lugar.

El virus para ficheros Virus.Win32.Virut.n, que apareció en el octavo lugar de la lista en enero de 2008, sigue escalando posiciones. Mientras que en febrero cayó un poco, en marzo ascendió 10 colocaciones y, finalmente, en abril llegó al cuarto lugar de la estadística. Es probable que los autores de virus hayan seguido perfeccionando este programa nocivo y no es complicado explicar por qué, según Kaspersky.

Es que Virus.Win32.Virut.n no es sólo un programa escrito para satisfacer la vanidad de un autor de virus. Ante todo, es un componente para la construcción de redes zombi, que ahora son un negocio muy lucrativo y popular entre los delincuentes cibernéticos. Además, en la estadística de abril hay dos virus de esta familia y ambos están uno detrás de otro, en los lugares 4 y 5.

Finalmente, entre las amenazas recién llegadas, el informe destaca a Backdoor.Win32.Hupigon.vnd y al troyano Trojan-PSW.Win32.OnLineGames.isb, que se especializa en robar cuentas de juegos como World Of Warcraft, Lineage etc.

Fuente:
InfoBAE Profesional
www.infobaeprofesional.com

Ataques XSS RedBanc

Sitios Chilenos con graves fallas , obviamente no con el afán de hacer daño ni mucho menos de perjudicar a los sitios nacionales. Sino alertar a estos mismos y a los usuarios que visitan dichas paginas los cuales pueden ser victimas incluso de Phishing.

En esta ocasión nos encontramos con un sitio que indirectamente se ve involucrado con las transacciones electrónicas del país, RedBanc.

Esta pagina contiene (entre otras vulnerabilidades) una muy conocida en estos días, el XSS. Al no validar bien las sentencias se puede llegar a obtener esto:

>Ejemplo.

Esperamos que la gente de RedBanc solucione el problema después de ser avisados acerca de esta vulnerabilidad.

Disponibles en Internet los datos personales de 6 millones de chilenos

una y otra ves se repite la historia:

Los datos personales de más de 6 millones de chilenos continúan hoy disponibles en Internet, después de que fueran robados de varios sitios y publicados este pasado fin de semana en la Red.

Enlaces para descargar los datos fueron inicialmente publicados en los foros de dos sitios chilenos (Fayer Wayer y El Antro), de donde fueron retirados después por los administradores para tratar de evitar su difusión.

Las autoridades chilenas investigan el grave asunto, que el autor de las intrusiones ha tratado de justificar en base a que el acto constituiría una especie de denuncia de la falta de seguridad de los servidores chilenos. Esta “explicación” resulta cuando menos chocante, puesto que parece cuando menos paradójico difundir los datos de filiación, académicos y sociales de millones de personas precisamente para denunciar su falta de protección.

Y desde luego lo que resulta incomprensible e injustificable es que en el mismo momento de escribir esta nota esté disponible al menos un sitio destinado exclusivamente a proporcionar enlaces para que la gente pueda seguir descargando esos datos, como este editor ha podido comprobar…

• ALERTA: Se filtran datos personales de 6 millones de chilenos vía Internet [Fayer Wayer]
• Cibercrimen investiga filtración de bases de datos personales de seis millones de chilenos [ Mercurio]

“Verb for Shoe”, el zapato computarizado

La tecnología pronto se extenderá a todos los ámbitos de nuestra vida, y la ropa tecnológica es una realidad. Muestra de esto son los zapatos “Verb for Shoe”, desarrollados por Ronald Demon, y una empresa que alguna vez fue parte del MIT, (Massachusetts Institute of Technology), VectraSense.

Es prácticamente como tener un computador por zapato. El sitio especializado “Engadget” explica que de hecho tiene un computador incorporado que “ajusta el zapato automáticamente al pie, se sincroniza con el PC y se comunica con otros zapatos para intercambiar información de contacto”, todo de manera inalámbrica.

Para ello, es necesario contar con Windows en el computador (Vista o XP) y un adaptador que se conecta con el PC. Éste capta la señal del zapato cuando se pone en posición vertical.

Según se explica en la página oficial de este particular calzado, efectivamente el computador incorporado modifica la forma del zapato según el pie de su dueño y cómo lo esté utilizando.

Tiene dos “cojines de aire” para dar soporte al pie, y es el computador el encargado de regular su tensión de acuerdo a los movimientos que perciba.

Ya está a la venta a través de Internet, y por solo 700 dólares puede obtener su par, que serán fabricados de manera personalizada.

Asegurando un servidor con PHP

1. Introducción.

Hay muchas personas y administradores que dejan la instalación PHP por default, es decir, no tocan nada de php.ini, cosa que compromete de una manera grave la seguridad, tanto del servidor en sí, como de los usuarios y obviamente, la información que se trate.

Y viendolo desde el lado del prestigio del servidor puede acarrear problemas, tanto con otros servidores como con la misma blacklist*. Pues programar una herramienta que verifique puertos abiertos, cheque la versión del httpd server y sus extenciones, hasta la compilación de un exploit no es dificil pues hay funciones que practicamente nos dan una shell aunque no se tenga acceso por ssh o telnet.

Como debes saber, lo que aquí explicaré aplica para la mayoría (si no es que todas) las plataformas en las que PHP esta, hasta la fecha, portado. Y sólo como referencia les menciono las condiciones del equipo en las que se trabajó:

Sistema Operativo: OpenBSD 3.2
Versión de Apache: 1.3.29
Versión de PHP: 4.0.5

Mi servidor vecino más pronto en el que apliqué también estas opciones de configuración cuenta con estas caracterizticas:

Sistema Operativo: Microsoft Windows ME
Versión de Apache: 1.3.14
Versión de PHP: 4.0.5

Sin duda grandes diferencias, pero lo cierto es que los importante aquí no es la estructura y componenete en sí del servidor, si no de php y la manera en la que este configurado.

En algunas plataformas se corren mas riesgos que en otras, por ejemplo, en Windows, es mas peligroso ejecutar un ‘del’ que un ‘rm’ en unix.

2. Scripts mal intensionados.

Una mala configuración de PHP puede, como ya comente, significar una grave falla de seguridad en nuestro sistema, ya que cualquier persona con acceso y permiso para escribir o subir aplicaciones dentro del servidor puede jugar de muchas maneras con la información y comprometer al sistema.

Veamos un caso típico de una función peligrosa.

comandos.php
<?php

system(“ls -l”);

?>

Como podras imaginar, la función system(); ejecutar una orden en el sistema, o sea, un comando. En el ejemplo se listaría el directorío en el que se esta ejecutando el programa. Por que no probamos listar otro directorio, /homa, por ejemplo.

comandos.php

<?php

system(“ls /home”);

?>

Eso nos daría, literalmente, los nombres de todos los usuarios existentes en el sistema (que tengan su directorio en /home, claro). Y ya tendras la idea de lo que pasaría si se lanza un ‘del’ en un sistema Windows.

Existe otra forma de conseguir acceso al interprete de comandos

Puede estar desactivada/bloqueada la función system();, pero aún quedan las comillas invertidas.

comandos.php

<?php

$comando=`ls /home`;

echo $comando;

?>

Eso, si system(); llegará a fallar, también lanza la orden al shell.

Lo anterior expone la integridad del servidor, ahora veamos como se puede comprometer un sistema de manera ‘etica’, es decir, ejecutando acciones hacia otras maquinas en internet que se puedan mal interpretar, y claro, puedan ser mal intensionadas.

puertos.php

<?php
$puerto=25;
$sock=fsockopen(“www.otro-servidor.com”, $puerto, $errno, $errstr, 5);

if ($sock) {
echo “El puerto esta abierto”;
} else {
echo “El puerto esta cerrado”;
}
?>

Un escaner de puertos, esa función tomaría el script anterior. Y como se lee se ejecuta hacia otro servidor. Pero esto es un ejemplo nada mas, con un poco de dedicación se pueden hacer más cosas.

Existe otra falla de seguridad común en aplicaciónes PHP, esto quizá no sea una tarea propia de nosotros como administradores, pero proveeriamos a nuestros usuarios de seguridad extra para sus aplicaciones, y les vendría muy bien si se tratara de usuarios/programadores iniciados ó no con mucha experiencia.

Hablo de \ (caracter de escape) en variables pasadas por GET, POST y Cookies,que puede ser agregado a “, ‘ y \ automaticamente.

Veamos un ejemplo de “Inyección SQL” que nosotros mismo como administradores podemos evitar.

<?php

$sentencia_sql=”SELECT * FROM nombres WHERE id=$id”;
$cnx= mysql_connect (“localhost”, “pam25″, “ilovemygeek”);
mysql_db_query(“nominas”, $sentencia_sql);
mysql_close ($cnx);

?>

Supongamos que el codigo mostrado anteriormente es el ‘target’ de un formulario que permite a los visitantes ver los datos o el perfil de los trabajadores de la empresa.

Ahora, supongamos que un vistante ‘malvado’ en lugar de ingresar un ID, manda algo como: xx; DELETE FROM nominas. La variavle $sentencia_sql tomaría un aspecto así:

$sentencia_sql=”SELECT * FROM nombres WHERE id=xx; DELETE FROM nominas”;

¡Vaya!, borro todos los datos de “nonimas”.

3. Asegurando PHP.

Para asegurar PHP en nuestro sistema, como era de esperarse, debemos tener muy bien configurado el archivo php.ini.

Abrirmos con cualquier editor de textos el archivo php.ini y:

Empezemos deshabilitando funciones que no querramos que sean ejecutadas en nuestro servidor, como system(), shell_exec(), fsockopen(), etc…

disable_functions=system,fsockopen,shell_exec ; This directive allows you to disable certain
; functions for security reasons. It receives
; a comma separated list of function names.

La función mail() puede implicar problema si se trata de un servidor publico, pues es muy fácil enviar ‘fake mails’ (claro, con todos los datos de nuestro servidor).

Ahora, PHP permite conexiones mediante FTP. Eso también podemos evitarlo, pues no queremos que si el usuarios usa indebidamente recursos de otros servidores, nos vayan a culpar, entonces también beriamos incluir en esa lista la función ftp_connect().

NOTA: Las funciones FTP sólo estarán disponibles si se compiló PHP con –enable-ftp ó
–with-ftp (en PHP3).

Buscamos la directiva magic_quotes_gpc, que quizá este en Off, pues la activamos con On. Esto hace la adición automática del caracter de escape “\” en variables tomadas de GET, POST y Cookies.

magic_quotes_gpc = On ; magic quotes for incoming GET/POST/Cookie data

Para evitar que en lugar de enviar cadenas mal intencionadas, sean almacenadas en bases de datos o archivos de texto. Debemos activar magic_quotes_runtime.

magic_quotes_runtime = Off ; magic quotes for runtime-generated data.

Se podría decir que hasta ahí tenemos mas o menos asegurado PHP. ¿Fácil, no?.

Bueno esto fue un docus corto de como asegurar php en sismples pasos en diferentes plataformas, si tienes mas tips o formas me las puedes hacer llegar mediante mensaje en este mismo apartado y vamos colocando ende vayan llegando mas sugerencias.

Nuevos contenidos en la Red Temática CriptoRed (abril de 2008)

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED Y CÁTEDRA UPM APPLUS+

* Implementación de una herramienta SIM (Security Information Management) en la red de la Universidad Técnica Particular de Loja (María Paula Espinoza Vélez, artículo pdf, 10 páginas, Ecuador)
http://www.criptored.upm.es/guiateoria/gt_m538a.htm

* Proceso de implementación de una Infraestructura de Clave Pública PKI (María Paula Espinoza Vélez, artículo pdf, 11 páginas, Ecuador)
http://www.criptored.upm.es/guiateoria/gt_m538b.htm

* Seguridad para la red inalámbrica de un campus universitario (María Paula Espinoza Vélez, artículo pdf, 12 páginas, Ecuador)
http://www.criptored.upm.es/guiateoria/gt_m538c.htm

* Introducción a la criptografía cuántica: alternativas y retos actuales (Fernando Acero Martín, presentación pdf, 31 diapositivas, España)
http://www.lpsi.eui.upm.es/GANLESI/2007_2008/gconferencia_fa.htm

* Hackers y Crackers vs Certificaciones (Roberto Gómez Cárdenas, presentación pdf, 49 diapositivas, México)
http://www.criptored.upm.es/guiateoria/gt_m626k.htm

* Amenazas y defensas de seguridad en las redes de próxima generación (Walter Baluja García, artículo pdf, 10 páginas, Cuba)
http://www.criptored.upm.es/guiateoria/gt_m189f.htm

* Un modelo simplificado para la atención de incidentes de seguridad informática: PTIARA (Jeimy Cano Martínez, artículo pdf, 7 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142d1.htm

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Marzo de 2008 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200803.pdf

* Cuarta edición del Libro Electrónico Criptografía y Seguridad en Computadores de Manuel Lucena López (España)
http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto

* 10 Presentaciones del VI Foro de Seguridad de RedIRIS para Libre Descarga (España)
http://www.rediris.es/cert/doc/reuniones/fs2008/archivo.es.html

* Documentos de la primera Sesión Abierta de la Agencia Española de Protección de Datos (España)
https://www.agpd.es/index.php?idSeccion=673

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Mayo 8 al 9 de 2008: II Congreso Internacional de Seguridad de la Información CISI 2008 (Cartagena de Indias – Colombia)
http://www.tecnoeventos.com.co/info.php?id=15

* Mayo 13 al 16 de 2008: Workshop in Information Security Theory and Practices WISTP 2008 (Sevilla – España)
http://wistp2008.xlim.fr/

* Mayo 26 al 30 de 2008: Tercer Evento de Seguridad en Redes de América Latina y el Caribe LACNIC (Salvador/Bahía – Brasil)
http://lacnic.net/sp/eventos/lacnicxi/seguridad_en_redes.html

* Junio 12 al 13 de 2008: 6th International Workshop on Security In Information Systems WOSIS 2008 (Barcelona – España)
http://www.iceis.org/workshops/wosis/wosis2008-cfp.html

* Junio 18 al 20 de 2008: VIII Jornada Nacional de Seguridad Informática ACIS 2008 (Bogotá – Colombia)
http://www.acis.org.co/index.php?id=1066

* Junio 19 al 21 de 2008: III Conferencia Ibérica de Sistemas y Tecnologías de la Información CISTI 2008 (Ourense – España)
http://cisti2008.uvigo.es/

* Junio 23 al 25 de 2008: The 5th International Conference on Autonomic and Trusted Computing (Oslo – Noruega)
http://www.ux.uis.no/atc08/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Communications and eCommerce Technology and Research CollECTeR Iberoamérica 2008 (Madrid – España)
http://www.collecter.euitt.upm.es/

* Julio 9 al 11 de 2008: XIV Jornadas de Enseñanza Universitaria de la Informática (Granada – España)
http://jenui2008.ugr.es/

* Septiembre 2 al 5 de 2008: X Reunión Española de Criptología y Seguridad de la Información RECSI 2008 (Salamanca – España)
http://www.usal.es/~xrecsi/

* Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracajú – Brasil)
http://eatis.org/eatis2008/

* Septiembre 15 al 19 de 2008: 2nd International Castle Meeting on Coding Theory and Applications (Medina del Campo – Valladolid – España)
http://wmatem.eis.uva.es/2icmcta/

* Septiembre 22 al 24 de 2008: XXIII Simposio Nacional de la Unión Científica Internacional de Radio (Madrid – España)
http://gass.ucm.es/URSI2008/

* Octubre 6 al 8 de 2008: 13th European Symposium on Research in Computer Security ESORICS 2008 (Málaga – España)
http://www.isac.uma.es/esorics08/

* Octubre 6 al 10 de 2008: XV Congreso CCBol 2008 (Sucre – Bolivia)
http://www.usfx.edu.bo/WebCCbol2008/

* Octubre 18 al 19 de 2008: NSS 2008 IFIP International Workshop on Network and System Security (Shanghai- China)
http://nss.cqu.edu.au/

* Octubre 22 al 25 de 2008: Second Workshop on Mathematical Cryptology en UNICAN (Santander – España)
http://grupos.unican.es/amac/wmc-2008/index.html

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE ABRIL DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#abr08

* Primera Sesión Anual Abierta de la Agencia Española de Protección de
Datos (España)
https://www.agpd.es/index.php?idSeccion=673

* EIG Security Summit 2008 Bogotá: Cibercrimen y Ciberterrorismo (Colombia)
http://www.esteganos.com/programa.html

* Beca Doctoral en el Campo Sistemas de Detección de Intrusos (Noruega)
Contacto Prof. Slobodan Petronic: slobodanp@hig.no

* Trabajos Recibidos y Charlas Programadas en la VIII Jornada de ACIS (Colombia)
http://www.acis.org.co/index.php?id=1066

* CFP para NSS 2008 IFIP International Workshop on Network and System Security (China)
http://nss.cqu.edu.au/

* Recibidos 83 Trabajos para la X Reunión Española RECSI 2008 y Ponentes Invitados (España)
http://www.usal.es/~xrecsi/conferenciantes.htm

* Jornadas sobre Criptología para la Defensa y la Seguridad en el CSIC (España)
http://www.fundacioncirculo.es/docagenda/criptologia.pdf

* 56 Trabajos Aceptados de Autores de 21 Países en el Congreso Collecter 2008 (España)
http://www.collecter.euitt.upm.es/joomla/index.php?option=com_content&view=article&id=58:papers-accepted&catid=36:novedades&Itemid=84

* Call For Participation Second Workshop on Mathematical Cryptology en UNICAN (España)
http://grupos.unican.es/amac/wmc-2008/index.html

* XV Congreso CCBol 2008 en Sucre Dedicado Exclusivamente a la Seguridad (Bolivia)
http://www.usfx.edu.bo/WebCCbol2008/

* Ampliado al 11 de Mayo Plazo del CFP a XXIII Simposio URSI 2008 en la UCM (España)
http://gass.ucm.es/URSI2008/simposium/fechas.html

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 700
(192 universidades; 262 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 45.937 visitas, con 118.210 páginas solicitadas y 55.52
GigaBytes servidos en abril de 2008.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

Mas info en: http://www.criptored.upm.es/paginas/historico2008.htm#abr08