Después de lanoticia sobre el rootkit de Sony, tenemos un método para testear si nuestro PC está infectado de una forma muy simple:
Debido a que el rootkit esconde todos los archivos que empiecen por la cadena : $sys$ ; tan solo tendremos que crear un archivo de texto en el escritorio y llamarlo $sys$loquesea.txt y si al guardarlo desaparece del escritorio, estaremos infectados.
Despues de unos meses de espera, ha sido publicada por Andrés Tarascó una beta del motor de Rkdetector V2.0. Este software de detección de rootkits incluye funcionalidades parecidas a la herramienta Rootkit Revealer de Sysinternals y permite además de la detección de rootkits, la recuperacion de datos, escaner de ads y borrado seguro de datos. Sin duda una herramienta muy interesante para tener en tu sistema, especialmente tras casos tan recientes como el de Sony y su rootkit.
Hemos habilitado una categorÃa en el foro para dar soporte a los usuarios, tanto en inglés como en español. El proyecto aún se encuentra en su fase de pruebas, por lo que serÃa interesante que los usuarios lo testaran y reportaran todas las indicencias que encuentren.
También podéis encontrar esta utilidad y más información en nuestra sección de descargas
Sysinternals ha publicado un artÃculo en el que se revela que la empresa multinacional Sony utiliza rootkits en algunos de sus sistemas anticopia. Recordamos que un rootkit es un programa que modifica algunas API’s de windows con el
fin de ocultarse en el sistema, haciendola indetectable para cualquier tipo de malware (y cualquier otro software) y dando acceso a un atacante de forma remota.
Este rootkit, conocido como Extended Copy Protection (XCP) y que también usan algunas otras compañÃas, se instala conjuntamente con el reproductor multimedia del CD/DVD al que acompañan. La función del rootkit en sÃ, es evitar la copia y cualquier otra manipulación de los datos del soporte multimedia, y además oculta por defecto todas
las entradas del registro, carpetas y archivos cuyo nombre comiencen
por “$sys$”. Como cualquier otro rootkit, puede poner en un grave compromiso de seguridad el equipo en el que se instala, y podrÃa permitir el desarrollo de otras vulnerabilidades.
Sony se ha visto obligada a hacer público una aplicación para eliminar este rootkit. Sin duda, Sony ha cometido un gravÃsimo error, y este tipo de conductas debe ser penalizadas. Una cosa es que se intente combatir la piraterÃa, y otra muy distinta “tomarse la justicia por su mano“. Además, con este tipo de sistemas, se restringe el derecho a la copia privada por parte de los propios usuarios.
Laura Celdran nos envÃa un artÃclo en el que nos habla sobre la herramienta SecureCRT, y nos comenta un script para la aplicación y sus experiencias: SecureCRT es una herramienta como otras tantas que permite la conexión remota a equipos. La verdad es que no deja de ser una buena herramienta si se le saca su partido. En este caso lo que expongo es como hacer un script en VBScriptpara que corra en esta herramienta y nos facilite tareas rutinarias, como lo son, hacer backup de las configuraciones de los router remotos o incluso aplicar configuraciones. Estas tareas cuando empezamos a hablar de más de 300 router pueden tener sentido automatizarlas… je
La estructura de un script en “.vbs” para que sea interpretable por la herramienta:
#$language = “VBScript”
#$interface = “1.0″
Sub main
tarea1
tarea2
End Sub
La declaración de tareas en esta herramienta suele ser muy fácil, asà por ejemplo tenemos:
crt.Screen.Send “telnet 10.166.4.58″ & VbCr
crt.Screen.WaitForString “assword:”
la primera indica que envÃe al promp la secuencia de conexión vÃa telnet a un equipo con IP 10.166.4.58 y que envÃe una pulsación de “Intro”
La segunda lÃnea indica que espere a que en pantalla aparezca una secuencia que contiene “assword:
Un ejemplo de script que nos permitirÃa conectarnos a un router Cisco mediante telnet y descargarnos de este la configuración serÃa la siguiente:
#$language = “VBScript”
#$interface = “1.0″
Sub main
crt.Screen.Send “telnet 10.166.17.134″ & VbCr
crt.Screen.WaitForString “assword:”
crt.Screen.Send “estaeslapassw” & VbCr
crt.Screen.WaitForString “>”
crt.Screen.Send “ena” & VbCr
crt.Screen.WaitForString “assword:”
crt.Screen.Send “passdeenable” & VbCr
crt.Screen.WaitForString “#”
crt.Screen.Send “terminal length 0″ & VbCr
crt.Screen.WaitForString “#”
crt.Screen.Send “show running-config” & VbCr
crt.Screen.WaitForString “#”
crt.Screen.Send “exit” & VbCr
End Sub
Si antes de ejecutar este script se indica en el menú Archivo que guarde log de la sesión todo lo que salga por pantalla lo irá guardando en un fichero .log
Y ahora lo interesante… ¿entonces para 300 centros hay que escribir esto 300 veces entre la sentencia “Sub main” y “End Sub”? Pues bien como yo soy bastante vaguilla en ese sentido pues me hice un script en perl que hacÃa esto por mÃ…je aunque tb se puede hacer con “VBScript”
Lo que hacÃa el script es leer de un archivo las 300 IP con las claves y tratando esto como variables pues me conformaba el archivo final.
Según eweek, se están reproduciendo cada vez con más intensidad ataques basados en rootkits, usados por los creadores de gusanos y otros códigos maliciosos, para que una vez conseguida la primera parte del ataque o intrusión, poder mantener un acceso al equipo atacado usando éstos rootkits. Ésto hace que el equipo atacado quede totalmente expuesto, ya que muchas veces no sólo es este atacante el que puede acceder a dicho equipo, sino que se deja vÃa libre para que cualquier otro intruso pueda tener acceso a esta máquina.
La tendencia es que el uso de este tipo de herramientas crezca aún más entre los gusanos y códigos maliciosos, ya que los antivirus y otros programas de seguridad no suelen detectarlas. Para comprobar si existe algún rootkit en equipos Windows, os recordamos que en nuestra sección de descargas tenéis disponible una versión gratuita de RootKit Detector.
La compañÃa de seguridad informática “Finjan Software” ha descubierto una vulnerabilidad de Google Accounts que hubiese permitido que un usuario malintencionado pueda hacerse con el control de sus cuentas. La compañÃa afirma que Google disponÃa de páginas web con varios formularios para insertar datos por el usuario, cuyos contenidos no eran validados. Esto permitÃa que el atacante pudiese ‘inyectar’ scripts que le facilitasen la labor robar la ‘cookie’ de las cuentas de los usuarios y hacerse pasar por ellos. Los atacantes habrÃan podido explotar el defecto para secuestrar las cuentas de Google, para lanzar scams phishing o para descargar código malicioso sobre los equipos de los usuarios.
Google fue notificada a finales de septiembre, con detalles de la vulnerabilidad, y se afirma que fue solucionado en 30 horas. Esta no es el primer problema relacionado con los ataques XSS que sufre la compañÃa. Hace casi un año se detectó un caso similar en Gmail, y en enero se detectó otro relacionado con las cuentas de AdSense. Google confirmó que fue alertado, el problema fué solucionado en pocas horas y no se comprometió ninguno dato de ningún usuario.
En cualquier caso se trata de hechos habituales, y que afortunadamente en Google no suelen ocurrir con excesiva frecuencia. Haberlos corregido con celeridad, es otro punto a favor.
Es ciertamente preocupante una noticia aparecida hoy, sobre una herramienta que permite consultar las direcciones, contraseñas y otra información confidencial de los emails del dominio “andorra.ad“, especialmente por contener no sólo direcciones de usuarios privados, sino también de la fiscalÃa y policÃa entre otros:
“Un denunciante alertó ayer por la tarde a la Agencia de Protección de Datos (AGPD) que a través de un programa de uso doméstico habÃa conseguido una lista con las direcciones electrónicas de todos los usuarios de esa dirección junto con el código teóricamente secreto que permite acceder a ellas.
El programa permitÃa consultar las informaciones teóricamente privadas que se enviaban o se recibÃan desde todas las direcciones con el dominio ‘andorra.ad’, suministrado por el Servicio de Telecomunicaciones (STA). Y no sólo eso, sino que también se habrÃa podido enviar cualquier clase de información desde una dirección concreta como si del mismo usuario se tratase.
Entre los casi 16.000 correos electrónicos, aparecen direcciones de la Batllia, de la fiscalÃa y de la policÃa, además de direcciones de diversas notarÃas y de unas cuantas decenas de despachos de abogados. Tampoco faltan las direcciones de los ayuntamientos, de varios departamentos gubernamentales, de la embajada francesa y del consulado español. Cadenas hoteleras, farmacias y empresas de varios sectores y dimensiones asà como multitud de organizaciones sociales y económicas también forman parte de esta relación.“
Fuentes: Telépolis, Diario de Andorra
Apple ha detectado vulnerabilidades en MacOS X 10.4.2 en ImageIO, LibSystem, Mail, QuickDraw, Ruby, SecurityAgent y Securityd. Tambiém ha detectado vulnerabilidades en MacOS X 10.3.9 en LibSystem, LoginWindow, Mail, QuickDraw, QuickTimeJava, Safari, SecurityAgent y SecurityServer.
Según publica en su web para solucionar este problema ha publicado dos paquetes de parches, uno paraMacOS X 10.4.2 y otro para 10.3.9
El dÃa 22 de Septiembre se celebra en Madrid una jornada de análisis forense organizada por Red.es y RedIRIS, evento enmarcado dentro de una serie de eventos celebrados con motivo de los 10 años de la formación de los primeros grupos de respuesta a incidentes informáticos (CERT) en España
Programa provisional:
09:00-09:30 -Recepción y acreditación de los asistentes.
09:30-09:45 -Inauguración de la Jornada
09:45-10:45 -Experiencias de análisis forense en México. Juan Carlos Guel (UNAM)
10:45-11:30 -II Reto de análisis forense. VÃctor Barahona (UAM)
11:30-12:00 -Pausa Café
12:00-12.45 -La investigación y el análisis forense en la Guardia Civil.
12:45-13:30 -Análisis forense en la investigación privada. MatÃas Bevilacqua (CYBEX)
13:30-16:00 -Pausa comida.
16:00-17:00 -Automatización del análisis forense. Jess GarcÃa (SANS)
17:00-18:30 -Panel de preguntas: Análisis forense, realiad o mito.
Cuidado con los correos electrónicos a la vuelta de vacaciones “ataques de phising”. Según ha publicado la Asociación de Internautas los fraudes a través de Internet se han seguido produciendo durante el mes de agosto en forma de correos electrónicos masivos “phising” a clientes de entidades bancarias, cartas nigerianas, falsas webs de recarga de moviles y el gusano Zotob, para conseguir datos personales de sus victimas, producir daños en los equipos y sustracción de dinero.
Durante el mes de agosto los bancos hispanos han sufrido una oleada de ataques, centrándose en el BBVA, BSCH, Caja Madrid, Caixa y Banesto. La A.I. recomienda extremar las precauciones en septiembre si hemos recibido correos o buscamos información de estos bancos, si recibimos información sobre recarga de móviles o recibimos cartas anunciándonos que nos han tocado premios o que les facilitemos información personal. Se aconseja no contestar a este tipo de correos, no hacer clic en ellos y eliminarlos lo antes posible. Si se hace clic en este tipo de correos nos lleva a Web falsas que ignora el usuario, y al introducir los datos de acceso y/o datos personales le estamos facilitando al atacante una información valiosa que utilizara para sustraernos el dinero.
Diversidad de Fraudes. Respecto al fraude bancario el cliente puede comprobar de forma sencilla que está conectado con el servidor seguro de la entidad. Hay que examinar el campo de dirección que aparece en el navegador URL completa, dominio y precedido por la indicación https://, asà como el candado de seguridad que aparece en la barra de estado y que el usuario puede comprobar haciendo doble clic para visualizar información detallada del certificado de seguridad. Respecto a los premios de loterÃa, los atacantes envÃan correos electrónicos en los que “se ofertan premios millonarios vinculados con la loterÃa y que requieren de una aportación previa de dinero para hacerse efectivos”. Normalmente el texto es en Ingles y contiene nombres y direcciones falsas y dan un plazo para hacerse efectivos. En este caso desconfiar del correo, no hacer clic, y eliminarlo lo antes posible. Respecto a la recarga de móviles, el fraude no consistÃa en enviar correos electrónicos, sino en situar ciertas Webs falsas, en lugares estratégicos de buscadores como Google, para que el usuario entrara directamente en el fraude. Una vez allà le solicitaban los datos bancarios, PIN , números de tarjeta, y claves de acceso.
Por último la A.I. afirma que ha surgido un “gusano” que a atacado los sistemas de Cartepillar, New Cork Time, CNN entre otros y numerosas empresas españolas. Recomienda tener actualizados algunos sistemas como Windows 2.000. La A.I. recuerda que dispone de un servicio para aquellos internautas que aporten información de los fraudes realizados por medio de “phising” y en el cual estudian cada caso y lo denuncia ante la autoridades judiciales.
Shell Security (también conocido como 'Shellsec') es un portal de actualidad especializado en seguridad informática y temática de Ãndole tecnológica en la que todos los usuarios pueden participar activamente a través de comentarios o mediante nuestro foro
 |
 |
Shell Security está dirigido y gestionado por Inforalia, SL
