herramienta para reconstruir los ataques que no dejan rastro en los discos duros

Existen determinados ataques que no dejan rastro alguno sobre los discos duros de los ordenadores, pero que ahora pueden ser descubiertos utilizando una nueva herramienta de la que se realizarán demostraciones en la conferencia Black Hat, que se celebrará la próxima semana en Las Vegas.

Los investigadores de Mandiant presentarán una manera de descubrir aquellas actividades maliciosas que puedan haber sido realizadas por los atacantes corriendo sólo en la memoria de los sistemas, y que, en consecuencia, evaden los métodos forenses basados en al análisis de discos tradicionales.

En concreto, la herramienta forense basada en memoria que presentarán los investigadores de Mandiant permite encontrar los rastros dejados en la memoria por aquellas actividades que puedan haber sido realizadas mediante Meterpreter, un módulo software para el sistema de código abierto de pruebas sobre penetración Metasploit.

Meterpreter puede ser inyectado en un proceso legítimo que se esté corriendo sobre el ordenador de la víctima y así evitar los sistemas de detección basados en software host IDS/IPS. Meterprefer puede ser después utilizados como plataforma para realizar ataques posteriores, según han explicado los investigadores de Mandiant.

Este escenario de ataque resulta efectivo para conseguir acceso a los procesos clave que se estén corriendo sobre la máquina de las víctimas, según explica, Steve Davis, uno de los investigadores. “Es un gran método para lograr este fin, y resulta difícil de detectar en el sistema”. A través de Meterprefer, los atacantes pueden registrar las pulsaciones del usuario sobre el teclado, procesos finales, cargar y descargar archivos y otros medios de comprometer los equipos.

Sistema basado en Memoryze

En este contexto, Mandiant ha utilizado una versión de su software forense comercial basado en memoria Memoryze para analizar los archivos Virtual Address Descriptor en Windows. La herramienta estudia la estructura de paquete que utiliza Meterpreter para comunicarse con su servidor. Basándose en los fragmentos de comunicación recuperados, los analistas pueden inferir qué ataques se han producido.

Dada la naturaleza volátil de los datos, la herramienta no puede recuperar el 100% de la actividad de Meterprefer, pero representa una prueba de concepto que podría ir mejorando con el futuro, según Mandiant.

La utilidad particular de la nueva herramienta reside en que los ataques tradicionales insertan procesos maliciosos sobre los discos de los ordenadores, siendo detectables por los sistemas forenses tradicionales, que funcionan analizando el disco, pero estos sistemas no revelan los ataques diseñados para evitar el uso de espacio de disco.

La Oficina de Seguridad del Internauta empieza a funcionar

La Oficina de Seguridad del Internauta (OSI) es un servicio que aprobó el Consejo de Ministros a finales de 2007 y que ahora inicia su andadura de la mano de INTECO, el MITYC y la SETSI.

Su objetivo es ofrecer información sobre seguridad en Internet de forma gratuita y accesible a cualquier usuario, con independencia de sus conocimientos. Actualmente la OSI ofrece tres servicios:

• Conceptos y amenazas de seguridad: el usuario puede evaluar su nivel de conocimiento sobre la seguridad en la red, se ofrece un ABC sobre los principales problemas y amenazas en Internet.
• Recomendaciones y herramientas: consejos y software para proteger el correo electrónico, la navegación, el ordenador y la conexión a Internet.
• Ayuda ante dudas y problemas: la Oficina de Seguridad del Internauta pone a la disposición del usuario un número de teléfono (901 111 121), un foro y un asistente de seguridad online a través del que el usuario puede ponerse en contacto con el equipo de soporte especializado.

Kaspersky Laboratorio alerta ante las nuevas variantes del gusano Koobface

El famoso gusano que está causando estragos entre los usuarios de redes sociales, especialmente de Facebook, Koobface, sigue expandiéndose por la Red. Según la firma de seguridad Kaspersky Lab, sólo durante el mes de junio se han detectado casi 600 nuevas variantes de Koobface.

Aunque hace más de un año que se detectó la presencia de Koobface, con el nombre de Net-Worm.Win32.Koobface, este gusano empezó a adquirir protagonismo hace menos de un año cuando empezó a atacar las cuentas de redes sociales tan populares como Facebook y MySpace. Y es que, la creciente popularidad de estas redes ha llevado a que el número de ataques que se dirigen a ellas vaya en aumento, lo que ha impulsado la propagación de Koobface.

De este modo, los analistas de Kaspersky Lab han detectado que sólo durante el pasado mes de junio, Koobface ha tenido casi 600 nuevas variantes. Esto duplica las cifras existentes hasta el momento ya que, a finales del mes de mayo, las variantes detectadas de este gusano ascendieron a 324, lo que eleva la peligrosidad de Koobface, que sigue atacando sitios Web, y especialmente redes sociales como, además de las ya mencionadas, otras como Hi5, Bebo, Tagged, Netlog y Twitter. Tal y como señala el investigador de malware en Kaspersky Lab, Stefan Tanase, “esta muestra del crecimiento de la actividad cibercriminal en las redes sociales durante el pasado mes demuestra que las estrategias que utilizan los cibercriminales para infectar a los usuarios son mucho más eficientes cuando añaden el contexto social a sus ataques”.

Y es que, para este responsable, la evolución de Koobface “está marcando un hito en la evolución del malware en las redes sociales”.

Atendiendo al hecho de que este gusano se propaga a través de la cuenta de los usuarios invitando a sus contactos a acceder, mediante un enlace a un sitio falso de YouTube, a descargarse una nueva versión de Flash Player, cuando en realidad se descarga el gusano en el equipo, desde Kaspersky Lab hacen una serie de recomendaciones para protegerse.

Como siempre, asegurarse de que el enlace que ha a abrir es realmente del remitente que dice ser o si es conocido. Además, en este caso, si el usuario utiliza Internet Explorer 7 oFirefox, conviene instalar la opción NoScript y, como siempre, es básico mantener el antivirus actualizado para prevenir que las nuevas versiones de malware puedan acceder a los equipos.

‘Crackers’ chinos atacan la web del Festival de Cine de Melbourne

Piratas informáticos chinos han atacado durante el fin de semana la página del Festival de Cine de Melbourne en Australia para protestar contra la proyección de ‘Ten Conditions of Love’, un documental sobre la vida de Rebiya Kadeer, una activista uigur.

La cinta del director australiano Jeff Daniels, cuenta la vida de Rebiya Kadeer, empresaria y activista política señalada por el Gobierno chino como la instigadora de las últimas revueltas en la región de Xinjiang.

Pese a que el estreno del documental estaba previsto para el próximo 8 de agosto, el festival decidió realizar una proyección extraordinaria anoche, y las entradas se agotaron rápidamente

Las 20 amenazas informáticas más comunes de Internet

La empresa de seguridad informática Kaspersky Lab publicó recientemente su listado de las 20 amenazas por Internet más comunes y persistentes que circulan actualmente por la red.

Se trata de dos informes que identifican ataques por correo electrónico y aquellos detectados por el escáner online de la compañía, respectivamente.

De acuerdo con el primer informe, los códigos maliciosos en el tráfico de correo experimentaron cambios notables en abril. Net-Womr.Win32.Mytob.t y Email-Worm.Win32.Mydoom.m, que habían estado a punto de ingresar en las primeras posiciones y subieron diez lugares en marzo, parecen haber perdido impulso. Así, mientras que uno cayó en la clasificación, el otro desapareció de la tabla.

Al mismo tiempo, aparecieron nuevos programas maliciosos en el Top 20, algo que no había ocurrido en marzo. Los gusanos siguen vigentes mientras que los veteranos Zhelatin y Warezov continúan desaparecidos. Este mes las estadísticas también confirmaron que los programas nuevos no se están enviando por correo electrónico; rara vez se ven programas del tipo Trojan-Downloader en el correo y suelen ser sólo el envío masivo inicial de usuarios maliciosos que están ingresando en este campo.

Los más recientes envíos masivos del troyano Diehard se efectuaron en febrero y al parecer los autores se han tomado un descanso en su trabajo de expandir su creación.

Por su parte, una vez más, son gusanos que han estado plenamente vigentes: una serie de modificaciones del gusano Email-Worm.Win32.Netsky se han adueñado de siete de los veinte lugares en la clasificación. Esto podría interpretarse en cierta medida como un éxito para los autores de virus, especialmente si se toma en cuenta que estas modificaciones constituyen casi el 64% de todo el tráfico de correo infectado en abril.

A su vez, en el segundo informe sí se observan cambios en los primeros puestos con respecto al mes anterior. Mientras que en marzo los primeros puestos estuvieron dominados por un programa publicitario (Adware), un gusano y un troyano, en abril una variante del veterano gusano Brontok, que había sido desplazado a principios de 2008, ascendió súbitamente al primer lugar.

El virus para ficheros Virus.Win32.Virut.n, que apareció en el octavo lugar de la lista en enero de 2008, sigue escalando posiciones. Mientras que en febrero cayó un poco, en marzo ascendió 10 colocaciones y, finalmente, en abril llegó al cuarto lugar de la estadística. Es probable que los autores de virus hayan seguido perfeccionando este programa nocivo y no es complicado explicar por qué, según Kaspersky.

Es que Virus.Win32.Virut.n no es sólo un programa escrito para satisfacer la vanidad de un autor de virus. Ante todo, es un componente para la construcción de redes zombi, que ahora son un negocio muy lucrativo y popular entre los delincuentes cibernéticos. Además, en la estadística de abril hay dos virus de esta familia y ambos están uno detrás de otro, en los lugares 4 y 5.

Finalmente, entre las amenazas recién llegadas, el informe destaca a Backdoor.Win32.Hupigon.vnd y al troyano Trojan-PSW.Win32.OnLineGames.isb, que se especializa en robar cuentas de juegos como World Of Warcraft, Lineage etc.

Fuente:
InfoBAE Profesional
www.infobaeprofesional.com

Ataques XSS RedBanc

Sitios Chilenos con graves fallas , obviamente no con el afán de hacer daño ni mucho menos de perjudicar a los sitios nacionales. Sino alertar a estos mismos y a los usuarios que visitan dichas paginas los cuales pueden ser victimas incluso de Phishing.

En esta ocasión nos encontramos con un sitio que indirectamente se ve involucrado con las transacciones electrónicas del país, RedBanc.

Esta pagina contiene (entre otras vulnerabilidades) una muy conocida en estos días, el XSS. Al no validar bien las sentencias se puede llegar a obtener esto:

>Ejemplo.

Esperamos que la gente de RedBanc solucione el problema después de ser avisados acerca de esta vulnerabilidad.

Disponibles en Internet los datos personales de 6 millones de chilenos

una y otra ves se repite la historia:

Los datos personales de más de 6 millones de chilenos continúan hoy disponibles en Internet, después de que fueran robados de varios sitios y publicados este pasado fin de semana en la Red.

Enlaces para descargar los datos fueron inicialmente publicados en los foros de dos sitios chilenos (Fayer Wayer y El Antro), de donde fueron retirados después por los administradores para tratar de evitar su difusión.

Las autoridades chilenas investigan el grave asunto, que el autor de las intrusiones ha tratado de justificar en base a que el acto constituiría una especie de denuncia de la falta de seguridad de los servidores chilenos. Esta “explicación” resulta cuando menos chocante, puesto que parece cuando menos paradójico difundir los datos de filiación, académicos y sociales de millones de personas precisamente para denunciar su falta de protección.

Y desde luego lo que resulta incomprensible e injustificable es que en el mismo momento de escribir esta nota esté disponible al menos un sitio destinado exclusivamente a proporcionar enlaces para que la gente pueda seguir descargando esos datos, como este editor ha podido comprobar…

• ALERTA: Se filtran datos personales de 6 millones de chilenos vía Internet [Fayer Wayer]
• Cibercrimen investiga filtración de bases de datos personales de seis millones de chilenos [ Mercurio]

Nuevos contenidos en la Red Temática CriptoRed (abril de 2008)

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED Y CÁTEDRA UPM APPLUS+

* Implementación de una herramienta SIM (Security Information Management) en la red de la Universidad Técnica Particular de Loja (María Paula Espinoza Vélez, artículo pdf, 10 páginas, Ecuador)
http://www.criptored.upm.es/guiateoria/gt_m538a.htm

* Proceso de implementación de una Infraestructura de Clave Pública PKI (María Paula Espinoza Vélez, artículo pdf, 11 páginas, Ecuador)
http://www.criptored.upm.es/guiateoria/gt_m538b.htm

* Seguridad para la red inalámbrica de un campus universitario (María Paula Espinoza Vélez, artículo pdf, 12 páginas, Ecuador)
http://www.criptored.upm.es/guiateoria/gt_m538c.htm

* Introducción a la criptografía cuántica: alternativas y retos actuales (Fernando Acero Martín, presentación pdf, 31 diapositivas, España)
http://www.lpsi.eui.upm.es/GANLESI/2007_2008/gconferencia_fa.htm

* Hackers y Crackers vs Certificaciones (Roberto Gómez Cárdenas, presentación pdf, 49 diapositivas, México)
http://www.criptored.upm.es/guiateoria/gt_m626k.htm

* Amenazas y defensas de seguridad en las redes de próxima generación (Walter Baluja García, artículo pdf, 10 páginas, Cuba)
http://www.criptored.upm.es/guiateoria/gt_m189f.htm

* Un modelo simplificado para la atención de incidentes de seguridad informática: PTIARA (Jeimy Cano Martínez, artículo pdf, 7 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142d1.htm

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Marzo de 2008 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200803.pdf

* Cuarta edición del Libro Electrónico Criptografía y Seguridad en Computadores de Manuel Lucena López (España)
http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto

* 10 Presentaciones del VI Foro de Seguridad de RedIRIS para Libre Descarga (España)
http://www.rediris.es/cert/doc/reuniones/fs2008/archivo.es.html

* Documentos de la primera Sesión Abierta de la Agencia Española de Protección de Datos (España)
https://www.agpd.es/index.php?idSeccion=673

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Mayo 8 al 9 de 2008: II Congreso Internacional de Seguridad de la Información CISI 2008 (Cartagena de Indias – Colombia)
http://www.tecnoeventos.com.co/info.php?id=15

* Mayo 13 al 16 de 2008: Workshop in Information Security Theory and Practices WISTP 2008 (Sevilla – España)
http://wistp2008.xlim.fr/

* Mayo 26 al 30 de 2008: Tercer Evento de Seguridad en Redes de América Latina y el Caribe LACNIC (Salvador/Bahía – Brasil)
http://lacnic.net/sp/eventos/lacnicxi/seguridad_en_redes.html

* Junio 12 al 13 de 2008: 6th International Workshop on Security In Information Systems WOSIS 2008 (Barcelona – España)
http://www.iceis.org/workshops/wosis/wosis2008-cfp.html

* Junio 18 al 20 de 2008: VIII Jornada Nacional de Seguridad Informática ACIS 2008 (Bogotá – Colombia)
http://www.acis.org.co/index.php?id=1066

* Junio 19 al 21 de 2008: III Conferencia Ibérica de Sistemas y Tecnologías de la Información CISTI 2008 (Ourense – España)
http://cisti2008.uvigo.es/

* Junio 23 al 25 de 2008: The 5th International Conference on Autonomic and Trusted Computing (Oslo – Noruega)
http://www.ux.uis.no/atc08/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Communications and eCommerce Technology and Research CollECTeR Iberoamérica 2008 (Madrid – España)
http://www.collecter.euitt.upm.es/

* Julio 9 al 11 de 2008: XIV Jornadas de Enseñanza Universitaria de la Informática (Granada – España)
http://jenui2008.ugr.es/

* Septiembre 2 al 5 de 2008: X Reunión Española de Criptología y Seguridad de la Información RECSI 2008 (Salamanca – España)
http://www.usal.es/~xrecsi/

* Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracajú – Brasil)
http://eatis.org/eatis2008/

* Septiembre 15 al 19 de 2008: 2nd International Castle Meeting on Coding Theory and Applications (Medina del Campo – Valladolid – España)
http://wmatem.eis.uva.es/2icmcta/

* Septiembre 22 al 24 de 2008: XXIII Simposio Nacional de la Unión Científica Internacional de Radio (Madrid – España)
http://gass.ucm.es/URSI2008/

* Octubre 6 al 8 de 2008: 13th European Symposium on Research in Computer Security ESORICS 2008 (Málaga – España)
http://www.isac.uma.es/esorics08/

* Octubre 6 al 10 de 2008: XV Congreso CCBol 2008 (Sucre – Bolivia)
http://www.usfx.edu.bo/WebCCbol2008/

* Octubre 18 al 19 de 2008: NSS 2008 IFIP International Workshop on Network and System Security (Shanghai- China)
http://nss.cqu.edu.au/

* Octubre 22 al 25 de 2008: Second Workshop on Mathematical Cryptology en UNICAN (Santander – España)
http://grupos.unican.es/amac/wmc-2008/index.html

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE ABRIL DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#abr08

* Primera Sesión Anual Abierta de la Agencia Española de Protección de
Datos (España)
https://www.agpd.es/index.php?idSeccion=673

* EIG Security Summit 2008 Bogotá: Cibercrimen y Ciberterrorismo (Colombia)
http://www.esteganos.com/programa.html

* Beca Doctoral en el Campo Sistemas de Detección de Intrusos (Noruega)
Contacto Prof. Slobodan Petronic: slobodanp@hig.no

* Trabajos Recibidos y Charlas Programadas en la VIII Jornada de ACIS (Colombia)
http://www.acis.org.co/index.php?id=1066

* CFP para NSS 2008 IFIP International Workshop on Network and System Security (China)
http://nss.cqu.edu.au/

* Recibidos 83 Trabajos para la X Reunión Española RECSI 2008 y Ponentes Invitados (España)
http://www.usal.es/~xrecsi/conferenciantes.htm

* Jornadas sobre Criptología para la Defensa y la Seguridad en el CSIC (España)
http://www.fundacioncirculo.es/docagenda/criptologia.pdf

* 56 Trabajos Aceptados de Autores de 21 Países en el Congreso Collecter 2008 (España)
http://www.collecter.euitt.upm.es/joomla/index.php?option=com_content&view=article&id=58:papers-accepted&catid=36:novedades&Itemid=84

* Call For Participation Second Workshop on Mathematical Cryptology en UNICAN (España)
http://grupos.unican.es/amac/wmc-2008/index.html

* XV Congreso CCBol 2008 en Sucre Dedicado Exclusivamente a la Seguridad (Bolivia)
http://www.usfx.edu.bo/WebCCbol2008/

* Ampliado al 11 de Mayo Plazo del CFP a XXIII Simposio URSI 2008 en la UCM (España)
http://gass.ucm.es/URSI2008/simposium/fechas.html

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 700
(192 universidades; 262 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 45.937 visitas, con 118.210 páginas solicitadas y 55.52
GigaBytes servidos en abril de 2008.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

Mas info en: http://www.criptored.upm.es/paginas/historico2008.htm#abr08

Las páginas de error DNS causan un grave problema de seguridad

Algunos de los proveedores en los EEUU se quieren aprovechar de los errores al intentar ir a una página; en vez de presentar el típico error DNS y acabar en la nada, los ISPs capturan sugerencias de lo que estás intentando buscar, y ponen anuncios para generar dinero. El investigador de seguridad Dan Kaminsky ahora descubre un grave problema de seguridad en el sistema, sobretodo en las páginas de errores DNS de Earthlink suministradas por Barefruit. El problema comienza cuando un error ocurre dentro de un subdominio DNS, como male.google.com en vez de mail.google.com. Earthlink dispone también una página de error DNS a través de barefruit, peo debido a la pobre construcción de las páginas de dicho proveedor, es fácil de crear un vínculo en el que el dominio legal aparece como legítimo. La panacea para el hacker es que cualquier dominio se encuentra a su disposición – Paypal, Google, incluso tu propio banco. Claro que Earthlink obligó que Barefruit cerrara el agujero, pero este tipo de práctica se encuentra muy bien difundida entre varios proveedores, por lo que el riesgo continua. La única protección es que si tu proveedor se dedica a este tipo de mala práctica, cambia tu DNS a otro, como el de OpenDNS que no se dedica a este tipo de problemas.

Spammers asaltan Blogger con bots

Spammers han creado un método automático para crear páginas falsas en el servicio de Google Blogger, según la empresa Websense. Utilizando la red de botnet, las PCs mandan instrucciones para crear una cuenta falsa en Blogger, incluso con un lector de Captcha. La PC manda un mensaje a un servidor para resolver el Captcha, con un 13% de éxito. No se sabe exactamente cómo han logrado resolver el Captcha, la teoría es que personas bajo contrato reciben comisión por cada resuelto, aunque cabe la posibilidad de que hayan descubierto un método automático. Se cree que los spammers quieren utilizar el “buen nombre” de Google para dirigirlos a páginas de spam, y así no ser bloqueados.