‘ Seguridad ’ category archive

Comprueba en 3 segundos si estás infectado por el rootkit de Sony

Noviembre 22, 05 by admin

Después de lanoticia sobre el rootkit de Sony, tenemos un método para testear si nuestro PC está infectado de una forma muy simple:

Debido a que el rootkit esconde todos los archivos que empiecen por la cadena : $sys$ ; tan solo tendremos que crear un archivo de texto en el escritorio y llamarlo $sys$loquesea.txt y si al guardarlo desaparece del escritorio, estaremos infectados.

Rootkit Detector 2.0 Beta

Noviembre 14, 05 by admin

rootkitDespues de unos meses de espera, ha sido publicada por Andrés Tarascó una beta del motor de Rkdetector V2.0. Este software de detección de rootkits incluye funcionalidades parecidas a la herramienta Rootkit Revealer de Sysinternals y permite además de la detección de rootkits, la recuperacion de datos, escaner de ads y borrado seguro de datos. Sin duda una herramienta muy interesante para tener en tu sistema, especialmente tras casos tan recientes como el de Sony y su rootkit.

Hemos habilitado una categoría en el foro para dar soporte a los usuarios, tanto en inglés como en español. El proyecto aún se encuentra en su fase de pruebas, por lo que sería interesante que los usuarios lo testaran y reportaran todas las indicencias que encuentren.

También podéis encontrar esta utilidad y más información en nuestra sección de descargas

Sony usa rootkits en sus sistemas anticopia

Noviembre 03, 05 by admin

Sysinternals ha publicado un artículo en el que se revela que la empresa multinacional Sony utiliza rootkits en algunos de sus sistemas anticopia. Recordamos que un rootkit es un programa que modifica algunas API’s de windows con el
fin de ocultarse en el sistema, haciendola indetectable para cualquier tipo de malware (y cualquier otro software) y dando acceso a un atacante de forma remota.

Este rootkit, conocido como Extended Copy Protection (XCP) y que también usan algunas otras compañías, se instala conjuntamente con el reproductor multimedia del CD/DVD al que acompañan. La función del rootkit en sí, es evitar la copia y cualquier otra manipulación de los datos del soporte multimedia, y además oculta por defecto todas
las entradas del registro, carpetas y archivos cuyo nombre comiencen
por “$sys$”. Como cualquier otro rootkit, puede poner en un grave compromiso de seguridad el equipo en el que se instala, y podría permitir el desarrollo de otras vulnerabilidades.

Sony se ha visto obligada a hacer público una aplicación para eliminar este rootkit. Sin duda, Sony ha cometido un gravísimo error, y este tipo de conductas debe ser penalizadas. Una cosa es que se intente combatir la piratería, y otra muy distinta “tomarse la justicia por su mano“. Además, con este tipo de sistemas, se restringe el derecho a la copia privada por parte de los propios usuarios.

Script en VBScript para SecureCRT

Octubre 27, 05 by admin

Laura Celdran nos envía un artíclo en el que nos habla sobre la herramienta SecureCRT, y nos comenta un script para la aplicación y sus experiencias: SecureCRT es una herramienta como otras tantas que permite la conexión remota a equipos. La verdad es que no deja de ser una buena herramienta si se le saca su partido. En este caso lo que expongo es como hacer un script en VBScriptpara que corra en esta herramienta y nos facilite tareas rutinarias, como lo son, hacer backup de las configuraciones de los router remotos o incluso aplicar configuraciones. Estas tareas cuando empezamos a hablar de más de 300 router pueden tener sentido automatizarlas… je

La estructura de un script en “.vbs” para que sea interpretable por la herramienta:

#$language = “VBScript”
#$interface = “1.0″
Sub main
tarea1
tarea2
End Sub

La declaración de tareas en esta herramienta suele ser muy fácil, así por ejemplo tenemos:

crt.Screen.Send “telnet 10.166.4.58″ & VbCr
crt.Screen.WaitForString “assword:”

la primera indica que envíe al promp la secuencia de conexión vía telnet a un equipo con IP 10.166.4.58 y que envíe una pulsación de “Intro”

La segunda línea indica que espere a que en pantalla aparezca una secuencia que contiene “assword:

Un ejemplo de script que nos permitiría conectarnos a un router Cisco mediante telnet y descargarnos de este la configuración sería la siguiente:

#$language = “VBScript”
#$interface = “1.0″
Sub main
crt.Screen.Send “telnet 10.166.17.134″ & VbCr
crt.Screen.WaitForString “assword:”
crt.Screen.Send “estaeslapassw” & VbCr
crt.Screen.WaitForString “>”
crt.Screen.Send “ena” & VbCr
crt.Screen.WaitForString “assword:”
crt.Screen.Send “passdeenable” & VbCr
crt.Screen.WaitForString “#”
crt.Screen.Send “terminal length 0″ & VbCr
crt.Screen.WaitForString “#”
crt.Screen.Send “show running-config” & VbCr
crt.Screen.WaitForString “#”
crt.Screen.Send “exit” & VbCr
End Sub

Si antes de ejecutar este script se indica en el menú Archivo que guarde log de la sesión todo lo que salga por pantalla lo irá guardando en un fichero .log

Y ahora lo interesante… ¿entonces para 300 centros hay que escribir esto 300 veces entre la sentencia “Sub main” y “End Sub”? Pues bien como yo soy bastante vaguilla en ese sentido pues me hice un script en perl que hacía esto por mí…je aunque tb se puede hacer con “VBScript”

Lo que hacía el script es leer de un archivo las 300 IP con las claves y tratando esto como variables pues me conformaba el archivo final.

Incremento de ataques usando rootkits

Octubre 18, 05 by admin

Según eweek, se están reproduciendo cada vez con más intensidad ataques basados en rootkits, usados por los creadores de gusanos y otros códigos maliciosos, para que una vez conseguida la primera parte del ataque o intrusión, poder mantener un acceso al equipo atacado usando éstos rootkits. Ésto hace que el equipo atacado quede totalmente expuesto, ya que muchas veces no sólo es este atacante el que puede acceder a dicho equipo, sino que se deja vía libre para que cualquier otro intruso pueda tener acceso a esta máquina.

La tendencia es que el uso de este tipo de herramientas crezca aún más entre los gusanos y códigos maliciosos, ya que los antivirus y otros programas de seguridad no suelen detectarlas. Para comprobar si existe algún rootkit en equipos Windows, os recordamos que en nuestra sección de descargas tenéis disponible una versión gratuita de RootKit Detector.

Google soluciona una grave vulnerabilidad de seguridad en sus cuentas

Octubre 13, 05 by admin

La compañía de seguridad informática “Finjan Software” ha descubierto una vulnerabilidad de Google Accounts que hubiese permitido que un usuario malintencionado pueda hacerse con el control de sus cuentas. La compañía afirma que Google disponía de páginas web con varios formularios para insertar datos por el usuario, cuyos contenidos no eran validados. Esto permitía que el atacante pudiese ‘inyectar’ scripts que le facilitasen la labor robar la ‘cookie’ de las cuentas de los usuarios y hacerse pasar por ellos. Los atacantes habrían podido explotar el defecto para secuestrar las cuentas de Google, para lanzar scams phishing o para descargar código malicioso sobre los equipos de los usuarios.

Google fue notificada a finales de septiembre, con detalles de la vulnerabilidad, y se afirma que fue solucionado en 30 horas. Esta no es el primer problema relacionado con los ataques XSS que sufre la compañía. Hace casi un año se detectó un caso similar en Gmail, y en enero se detectó otro relacionado con las cuentas de AdSense. Google confirmó que fue alertado, el problema fué solucionado en pocas horas y no se comprometió ninguno dato de ningún usuario.

En cualquier caso se trata de hechos habituales, y que afortunadamente en Google no suelen ocurrir con excesiva frecuencia. Haberlos corregido con celeridad, es otro punto a favor.

Más información en CNET y en Dirson

Comprometidas las 16.000 direcciones de email del dominio andorra.ad

Octubre 07, 05 by admin

Es ciertamente preocupante una noticia aparecida hoy, sobre una herramienta que permite consultar las direcciones, contraseñas y otra información confidencial de los emails del dominio “andorra.ad, especialmente por contener no sólo direcciones de usuarios privados, sino también de la fiscalía y policía entre otros:

“Un denunciante alertó ayer por la tarde a la Agencia de Protección de Datos (AGPD) que a través de un programa de uso doméstico había conseguido una lista con las direcciones electrónicas de todos los usuarios de esa dirección junto con el código teóricamente secreto que permite acceder a ellas.

El programa permitía consultar las informaciones teóricamente privadas que se enviaban o se recibían desde todas las direcciones con el dominio ‘andorra.ad’, suministrado por el Servicio de Telecomunicaciones (STA). Y no sólo eso, sino que también se habría podido enviar cualquier clase de información desde una dirección concreta como si del mismo usuario se tratase.

Entre los casi 16.000 correos electrónicos, aparecen direcciones de la Batllia, de la fiscalía y de la policía, además de direcciones de diversas notarías y de unas cuantas decenas de despachos de abogados. Tampoco faltan las direcciones de los ayuntamientos, de varios departamentos gubernamentales, de la embajada francesa y del consulado español. Cadenas hoteleras, farmacias y empresas de varios sectores y dimensiones así como multitud de organizaciones sociales y económicas también forman parte de esta relación.

Fuentes: Telépolis, Diario de Andorra

Apple corrige 10 vulnerabilidades críticas

Septiembre 28, 05 by admin

Apple ha detectado vulnerabilidades en MacOS X 10.4.2 en ImageIO, LibSystem, Mail, QuickDraw, Ruby, SecurityAgent y Securityd. Tambiém ha detectado vulnerabilidades en MacOS X 10.3.9 en LibSystem, LoginWindow, Mail, QuickDraw, QuickTimeJava, Safari, SecurityAgent y SecurityServer.

Según publica en su web para solucionar este problema ha publicado dos paquetes de parches, uno paraMacOS X 10.4.2 y otro para 10.3.9

Más información y descargas

Jornada en Madrid sobre Análisis Forense

Septiembre 14, 05 by admin

El día 22 de Septiembre se celebra en Madrid una jornada de análisis forense organizada por Red.es y RedIRIS, evento enmarcado dentro de una serie de eventos celebrados con motivo de los 10 años de la formación de los primeros grupos de respuesta a incidentes informáticos (CERT) en España

Programa provisional:

09:00-09:30 -Recepción y acreditación de los asistentes.
09:30-09:45 -Inauguración de la Jornada
09:45-10:45 -Experiencias de análisis forense en México. Juan Carlos Guel (UNAM)

10:45-11:30 -II Reto de análisis forense. Víctor Barahona (UAM)
11:30-12:00 -Pausa Café
12:00-12.45 -La investigación y el análisis forense en la Guardia Civil.
12:45-13:30 -Análisis forense en la investigación privada. Matías Bevilacqua (CYBEX)
13:30-16:00 -Pausa comida.
16:00-17:00 -Automatización del análisis forense. Jess García (SANS)
17:00-18:30 -Panel de preguntas: Análisis forense, realiad o mito.

Inscripciones.
Más información.

Los ciberladrones no han estado de vacaciones en agosto

Septiembre 01, 05 by admin

Cuidado con los correos electrónicos a la vuelta de vacaciones “ataques de phising”. Según ha publicado la Asociación de Internautas los fraudes a través de Internet se han seguido produciendo durante el mes de agosto en forma de correos electrónicos masivos “phising” a clientes de entidades bancarias, cartas nigerianas, falsas webs de recarga de moviles y el gusano Zotob, para conseguir datos personales de sus victimas, producir daños en los equipos y sustracción de dinero.

Durante el mes de agosto los bancos hispanos han sufrido una oleada de ataques, centrándose en el BBVA, BSCH, Caja Madrid, Caixa y Banesto. La A.I. recomienda extremar las precauciones en septiembre si hemos recibido correos o buscamos información de estos bancos, si recibimos información sobre recarga de móviles o recibimos cartas anunciándonos  que nos han tocado premios o que les facilitemos información personal. Se aconseja no contestar a este tipo de correos, no hacer clic en ellos y eliminarlos lo antes posible. Si se hace clic en este tipo de correos nos lleva a Web falsas que ignora el usuario, y al introducir los datos de acceso y/o datos personales le estamos facilitando al atacante una información valiosa que utilizara para sustraernos el dinero.

Diversidad de Fraudes. Respecto al fraude bancario el cliente puede comprobar de forma sencilla que está conectado con el servidor seguro de la entidad. Hay que examinar el campo de dirección que aparece en el navegador URL completa, dominio y precedido por la indicación https://, así como el candado de seguridad que aparece en la barra de estado y que el usuario puede comprobar haciendo doble clic para visualizar información detallada del certificado de seguridad. Respecto a los premios de lotería, los atacantes envían correos electrónicos en los que “se ofertan premios millonarios vinculados con la lotería y que requieren de una aportación previa de dinero para hacerse efectivos”. Normalmente el texto es en Ingles y contiene nombres y direcciones falsas y dan un plazo para hacerse efectivos. En este caso desconfiar del correo, no hacer clic, y eliminarlo lo antes posible. Respecto a la recarga de móviles, el fraude no consistía en enviar correos electrónicos, sino en situar ciertas Webs falsas, en lugares estratégicos de buscadores como Google, para que el usuario entrara directamente en el fraude. Una vez allí le solicitaban los datos bancarios, PIN , números de tarjeta, y claves de acceso.

Por último la A.I. afirma que ha surgido un “gusano” que a atacado los sistemas de Cartepillar, New Cork Time, CNN entre otros y numerosas empresas españolas. Recomienda  tener actualizados algunos sistemas como Windows 2.000.  La A.I. recuerda que dispone de un servicio para aquellos internautas que aporten información de los fraudes realizados por medio de “phising” y en el cual  estudian cada caso y lo denuncia ante la autoridades judiciales.