Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

El FBI ha detenido en Los Ángeles (Estados Unidos) a un hacker (¿o cracker?) de 20 años acusado de conspiración, intento de transmisión de códigos a ordenadores del gobierno de los EEUU, acceso a ordenadores protegidos para cometer fraude y blanqueo de aproximadamente 50.000 euros. El hacker había manipulado ordenadores instalándoles un código que los convertía en bots dispuestos a ejecutar las ordenes recibidas en una red a gran escala dentro de una red botnet.

Un bot es un programa que actúa en respuesta a unos comandos introducidos en el ordenador. Un bot no es un programa ilegal en la mayoría de los casos, pero si un bots se instala en un ordenador de un usuario que no ha dado su consentimiento y se utiliza para conseguir el control del ordenador infectado se denomina un ordenador zombi y por tanto es una actividad ilegal.

Cuando un programa bot se expande por muchos ordenadores se crea una red “botnet” con un enorme potencial para procesar datos o producir efectos dañinos en servidores si se dirigen contra ellos.

Un bot se puede controlar a través de los canales de IRC cerrando estos puertos en el cortafuegos, sin embargo se están desarrollando y en la actualidad se pueden manipular por ejemplo redes peer-to-peer o redes de mensajería instantánea.

Esta actividad se esta desarrollando enormemente y la cantidad de sistemas infectados con estos programas se está triplicando siendo el principal objetivo el conseguir dinero y el servir de lanzadera hacia los servidores emisores de spam.

Las siglas “AXE” se corresponden con “Assured Execution Environment o Entorno de Ejecución Asegurada”. Este sistema simplifica el arranque del ordenador y bloquea todo el software no permitido como spyware o virus. Al arrancar el ordenador carga en memoria el sistema AXE y este software fiscaliza que sólo se ejecuten los códigos previamente autorizados, mediante una “lista blanca” que especifica cuáles son los códigos válidos. Esta es una diferencia con los antivirus, ya que mientras estos detienen el funcionamiento de un código por su peligrosidad, el sistema AXE bloquea la ejecución de cualquier software que no haya sido previamente autorizado. Esté sistema además tiene una gran variedad de técnicas como el encriptado para permitir que ningún código malicioso puede ejecutarse y producir daños irreparables en los ordenadores.

También tiene sus inconvenientes los cuales están siendo subsanados para permitir su comercialización, entre los cuales está la excesiva rigidez a la hora de instalar algún software no permitido. La solución incorporada a este sistema es el de permitir la instalación de aplicaciones desconocidas por el AXE siempre que sean autorizadas por los usuarios.

IBM espera lanzar esta aplicación al mercado para el año 2006. Más información en Computerworld

SecurityTracker ha publicado una vulnerabilidad que afecta a Macromedia Flash (versión 7.0.19.0 y anteriores), que puede ser aprovechada por un atacante para ejecutar remotamente código arbitrario. Para ello, el atacante debe crear un fichero SWF especialmente modificado y hacer que la víctima lo abra (por ejemplo, creando una ficticia página web y haciendo que dicha víctima acceda a ella). Esto provocará un error en memoria que permitirá la ejecución de código.

El problema se encuentra localizado en el fichero “Flash.ocx”, y para solucionar se recomienda actualizar a las versiones 8.0.22.0, 7.0.61.0, o 7.0.60.0

Dos nuevas variantes de la familia Bagle han comenzado a detectarse en la red de forma masiva. Estas nuevas versiones han sido detectadas bajo los nombres Win32/Bagle.DC y Win32/Bagle.DD. Bagle es un gusano con características de troyano, que se ha propagado en forma de envío masivo a través de spam. El troyano intenta descargar otros archivos de Internet.

Los mensajes detectados, suelen llegar sin asunto, y como texto solo la palabra “texte” o “info”. También contienen tres posibles archivos adjuntos con extensión .ZIP y uno de estos nombres: “sms_text.zip”, “Business_dealing.zip” o “Info_prices.zip”. Dentro de estos archivos comprimidos se puede encontrar el Bagle propiamente dicho con los nombres de “t_535475.exe” (Bagle.DC), o “Loader.exe” (Bagle.DD).

Los usuarios tienen que estar muy atentos para no abrir los adjuntos de estos mensajes de correo no solicitados, ya que es una practica habitual entre los creadores de virus. Estas nuevas versiones de Bagle son capaces de detener procesos de varios antivirus una vez ha infectado el equipo. Además, trata de evitar el acceso de los usuarios a sitios especializados en seguridad informática.

La familia de gusanos Bagle se ha caracterizado por ser una de las de mayor propagación en los últimos tiempos, junto a otros gusanos como los Sober, Zafi, MyDoom y Netsky. Por este motivo, es importante que los usuarios conozcan de la aparición de dos nuevas versiones, no abran archivos adjuntos a mensajes de correo electrónico no solicitados y mantengan su antivirus actualizado.

Ya se contabilizan más de 6 mil detecciones en menos de cuatro horas entre ambas amenazas, pero se especula que el número de apariciones seguirá aumentado.

Un usuario inseguro nos envía el siguiente artículo sobre el problema de seguridad en Gmail que dejaba al descubierto cualquier cuenta de correo de los usuarios:

Por fin se
hace público el documento en que se explica paso a paso la vulnerabilidad ya
corregida de las cuentas de correo de gmail. Dicha vulnerabilidad permitía en unos sencillos pasos acceder a cualquier cuenta gmail sin conocer la contraseña. A diferencia de anteriores bugs de gmail no se necesitaba conocer/robar la cookie con lo que la peligrosidad del agujero era inmensa.

Se decidió no publicar este documento mientras el fallo continuara activo. Los motivos son más que obvios puesto que TODAS las cuentas de gmail quedaban al descubierto. En un artículo de ElHacker.net explican toda la vulnerabilidad, la cual ya ha sido corregida por Google.

Sysinternals ha publicado un artículo en el que se revela que la empresa multinacional Sony utiliza rootkits en algunos de sus sistemas anticopia. Recordamos que un rootkit es un programa que modifica algunas API’s de windows con el
fin de ocultarse en el sistema, haciendola indetectable para cualquier tipo de malware (y cualquier otro software) y dando acceso a un atacante de forma remota.

Este rootkit, conocido como Extended Copy Protection (XCP) y que también usan algunas otras compañías, se instala conjuntamente con el reproductor multimedia del CD/DVD al que acompañan. La función del rootkit en sí, es evitar la copia y cualquier otra manipulación de los datos del soporte multimedia, y además oculta por defecto todas
las entradas del registro, carpetas y archivos cuyo nombre comiencen
por “$sys$”. Como cualquier otro rootkit, puede poner en un grave compromiso de seguridad el equipo en el que se instala, y podría permitir el desarrollo de otras vulnerabilidades.

Sony se ha visto obligada a hacer público una aplicación para eliminar este rootkit. Sin duda, Sony ha cometido un gravísimo error, y este tipo de conductas debe ser penalizadas. Una cosa es que se intente combatir la piratería, y otra muy distinta “tomarse la justicia por su mano“. Además, con este tipo de sistemas, se restringe el derecho a la copia privada por parte de los propios usuarios.

Durante las últimas semanas se ha estado realizando una especie de “campaña” contra la piratería. Algo que está bien, es totalmente injusto que ciertas personas se lucren con el trabajo de otros. Pero el problema está, cuando se mete en el mismo saco la piratería con la descarga de ficheros de la red. Llegados a este punto, hay que distinguir dos supuestos: Por un lado la descarga de software no libre, y por otro la descarga de material audiovisual, como la descarga de música, películas o videojuegos.

La Ley de Propiedad Intelectual en vigor establece que la legalidad “depende del contenido concreto del fichero y depende del ánimo perseguido al realizar esa descarga. Lo que está penado es realizar esa actividad con ánimo de lucro.” La distribución del software propietario no es libre ni ha sido autorizada por su autor.

Las normas y definiciones sobre el software son distintas a las que regulan la copia de material audiovisual. Ambas están claramente diferenciadas en la citada ley que establece que la descarga de software no está amparada por la copia privada (que permite la reproducción de obras ya divulgadas para uso privado del copista) al necesitar autorización del autor o distribuidor del software. Por tanto la descarga de software sin autorización del autor o distribuidor es ilegal.

Por lo que respecta a la descarga de material audiovisual, música, películas, etc… sí esta actividad se realiza con ánimo de lucro es ilegal. Sin embargo la norma establece que si está descargas se realiza sin ánimo de lucro y para uso privado, no es delito. La copia de material audiovisual protegido sin permiso de su autor  si hay difusión pública pero no hay ánimo de lucro no es posible de  hablar de delito penal.

En la última semana se han surgido las noticias relacionadas con este tema, concretamente en los informativos de varias cadenas de televisión se ha publicado manifestaciones sesgadas e interesadas que asimilan la descarga de software con la descarga de material audiovisual y tratan a ambas actividades como delictivas. Éstas entidades no deberían desinformar y sí que deberían tratar el tema con profesionalidad que se supone la tienen.

Enlaces de interés:

Los servicios informativos de Antena 3 calumnian a los internautas

Antena3 borra “la noticia” donde acusaba de piratería a los internautas

Otra crítica más a la piratería musical en televisión

La piratería y las descargas de archivos en España: no es lo mismo

La copia de videojuegos y películas sin ánimo de lucro no es delito

Los hechos se produjeron en la tarde del pasado domingo, cuando durante unos minutos un intruso cambió los titulares de la web del Real Madrid por otros falsos del estilo de “última prueba a ver si Dios quiere”, “está es solo en español del momentooo.” O lo más grave, una noticia que aparecía en el píe de página que literalmente decía, ” V curso de mono de Roberto Carlos” “Aprende a saltar desde lianas, subir a los árboles y hacer el mono.”

Durante unos minutos estuvo la web falsa en Internet, hasta que los responsables de la web oficial se dieron cuenta y la desactivaron durante unas 6 horas. Telefónica-Terra abrió una investigación para esclarecer los hechos y determinaron que el sabotaje provino de un empleado del propio Terra en protesta por un expediente de regulación de empleo que afectaba a Terra. Vemos en esta noticia un nuevo caso de uno de los problemas de seguridad que pueden afectar gravemente a las medianas y grandes empresas: los empleados descontentos.

Como suele ser habitual, Virus Radar reporta un ranking de las 10 mayores amenazas víricas durante este mes de Octubre de 2.005 ya finalizado. Siempre nos llama la atención el hecho de clasificar el “phishing” como un virus:

El phishing sigue siendo la mayor amenaza en la red para los usuarios, ocupando el primer puesto del ranking de las diez amenazas informáticas de mayor propagación del mes de Octubre, según las detecciones realizadas por el servicio VirusRadar.com de la empresa Eset. Este es el sexto mes consecutivo en que el phishing es el principal malware detectado en los correos electrónicos y además, considerándolo con el mes pasado, tuvo un leve descenso en la cantidad de apariciones.

El phishing son mensajes de correo electrónico falsificados con la intención de engañar a usuarios crédulos, para que revelen sus números de tarjetas de crédito, den información de sus depósitos de cuentas bancarias y todo tipo de detalles personales. Por este motivo, los usuarios que caen en esta trampa pueden recibir daños muchos mayores a inconvenientes con el ordenador, como es la pérdida total o parcial de su dinero en la cuenta bancaria o la tarjeta de crédito.

En Octubre se percibió un leve descenso en las detecciones con respecto al mes pasado, debido a que no hubo grandes propagaciones de nuevos virus o malware masivo. Al igual que el anterior mes, en la segunda posición se encuentra el Win32/Nestky.Q con más de 450 mil muestras detectadas.  El Netsky.Q es un gusano capaz de reproducirse por correo electrónico. Además, puede utilizar aplicaciones de intercambio de archivos (P2P) y recursos compartidos del ordenador afectado.

Desde la tercera posición hasta la quinta, se encuentran otros gusano de la familia del Netsky, el D, Z y B. De esta forma, la constante que se viene manteniendo durante el 2005 de la alta propagación de esta familia de gusanos, sigue estando firme durante el mes de Octubre. Además, octavo está el Netsky.C. En el sexto lugar, se encuentra el Win32/Mytob.D, que escaló mucho con respecto al mes pasado que se encontraba último.

Win32/Zafi.B, el cual fue el malware de mayor propagación del 2004, ocupa la séptima posición y pelea por no perder su lugar dentro del ranking estadístico de VirusRadar. Los dos últimos lugares son ocupados por dos integrantes de la familia Mytob, el Win32/Mytob.LH y Win32/Mytob.DJ, respectivamente. La versión .LH surgió el 17 de Octubre, y presenta una gran cantidad de detecciones desde su lanzamiento, con su pico máximo en el 18 de este mes.

Día a día son innumerables los distintos tipos de malware que se generan e intentan engañar a los usuarios. Por este motivo, es conveniente tener un antivirus instalado que detecte la mayor cantidad de amenazas posible, para tener una herramienta de protección contra esta amenaza.

La forma de propagación más utilizada en la actualidad por los virus es el correo electrónico, confirmado esto por el hecho de que nueve de los diez ocupantes del ranking son gusanos que se distribuyen de dicha manera. Esto es una constante que se mantiene en los últimos meses.

Por esto, es primordial que los usuarios se mantengan atentos a los mensajes de correo electrónico no solicitados que reciben, así como no abran sus archivos adjuntos y utilicen un antivirus actualizados con capacidades de detección heurística que le permitan contar con una mejor protección.