Ya cerca de dar comienzo a la Gira Antivirus 2010 (estén atentos, en los próximos días habrá novedades),  nos pareció oportuno aprovechar para compartir con los lectores algunos datos sobre la Gira Antivirus 2009, en la que hemos brindado más de 70 charlas en más de 25 ciudades en 13 países distintos de la región. Como muchos de los asistentes sabrán, en aquellos seminarios que brindamos en Universidades de todo América Latina, los asistentes tienen la oportunidad de llenar una encuesta que nos permite conocer más al estudiante.

Luego de recopilar y analizar la información de más de 2.500 alumnos durante los seminarios el año anterior, compartimos con ustedes algunas de las respuestas de los jóvenes de la región.

Un primer dato interesante respecto a los asistentes a los seminarios, es que el 45,75% de estos manifestó trabajar en tareas relacionadas a sistemas o afines, mientras que sólo un 11,39% de los asistentes a los seminarios posee trabajos no relacionados a sus estudios. El resto de los estudiantes aún no trabaja.

Principales preocupaciones en la materia

Ante la consulta sobre cuáles consideraban las principales preocupaciones en materia de seguridad informática, se muestra a continuación el porcentaje de alumnos que seleccionó cada una de las alternativas:

¿Cuáles considera las principales preocupaciones en materia de Seguridad de la Información?

• Pérdida de Datos / Fuga de Información: 76,85%
• Fraudes y/o Estafas: 73,72%
• Malware: 64,10%
• Vulnerabilidades de software y sistemas: 52,21
• Concientización de usuarios: 24,72%
• Software no licenciado: 17.45%
• Otro: 0,64%

Como se puede observar, los fraudes y estafas y la pérdida de datos o fuga de información son los temas manifestados de mayor gravedad por los estudiantes, siendo seleccionados por más del 70% de estos. Posteriormente se ubican los códigos maliciosos (64,10%) y las vulnerabilidades de software y sistemas (52,21%), ambas problemáticas relacionadas a los sistemas informáticos y computadoras en forma directa.

Educación en seguridad

Seis de cada diez usuarios manifestaron que la educación en seguridad informática es esencial, siendo inferior al 5% aquellos que la consideraron de media, baja o nula importancia.

Respecto a la propia capacitación de los estudiantes, casi la mitad de ellos (45,40%) manifestaron informarse en la materia sólo esporádicamente, siendo sólo uno de cada diez los universitarios que mencionaron leer información relacionada a la seguridad diariamente.

Uso y mal uso del sistema operativo

Sin grandes sorpresas, las tasas de uso de los sistemas operativos es la siguiente (los datos superan el 100% porque hay estudiantes que utilizan más de un sistema operativo):

• Windows: 97,01%
• Linux: 21,73%
• MAC OS: 0,86%

Es interesante destacar que claramente el público universitario no representa los mismos porcentajes de uso que el mercado global. A pesar de que Microsoft Windows es claramente el dominador del mercado, los estudiantes poseen una tasa de uso de Linux mayor a la de MAC OS, en contrario con lo que indican los estudios globales de mercado, como NetMarketShare (ubicando por encima del 5% a MAC OS y cercano al 1% a Linux) o los variados estudios que se citan en la Wikipedia (con valores similares a los anteriores).

Sin embargo, y lamentablemente, los estudiantes sí se parecen al resto de los usuarios en cómo utilizan el sistema operativo. Ante la consulta de cada cúanto actualizan sus sistemas operativos y actualizaciones, podemos observar que casi un 15% de los usuarios no actualiza nunca su software (¿será el mismo porcentaje de usuarios que sigue infectado con Conficker?):

¿Cada cuánto actualiza su Sistema Operativo?

• Semanalmente: 23,00%
• Mensualmente: 21,07%
• Cuando se lanzan: 40,04%
• Nunca: 15,89%

Consultando a este selecto grupo sobre cuál es el motivo por el que no se aplican los parches de seguridad, las respuestas son variadas (y algunas preocupantes). Casi uno de cada diez usuarios manifestó que “las actualizaciones no brindan ninguna ventaja“. Un 22% de los usuarios indicó que no actualiza el sistema operativo por no contar con las licencias correspondientes, y el 32,37% indicó que “desconoce” qué son las actualizaciones. Este último dato refuerza la importancia de la concientización en seguridad, ya que un usuario educado sabrá mejor cómo proteger sus sistemas.

En resumen, esperamos que la información haya sido de interés. Como les mencionaba al comenzar, en las próximas semanas estaremos dando comienzo a la Gira Antivirus 2010 (estén atentos los de más al norte), y esperamos poder encontarnos con ustedes en los distintos países que vayamos visitando, y continuar con el compromiso con la educación en seguridad.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación, Estadísticas
3 Comments »

Como mencionábamos en ¿Qué es Heurística?, los algoritmos heurísticos son distintas metodologías de análisis proactivo de amenazas.

Existen tres variantes que son las más comunes en lo que respecta a métodos de análisis, y que son utilizadas en este tipo de detecciones heurísticas. Estas son:

• Heurística genérica: se analiza cuán similar es un objeto a otro, que ya se conoce como malicioso. Si un archivo es lo suficientemente similar a un código malicioso previamente identificado, este será detectado como “una variante de…”.
• Heurística pasiva: se explora el archivo tratando de determinar qué es lo que el programa intentará hacer. Si se observan acciones sospechosas, éste se detecta como malicioso.
• Heurística activa: se trata de crear un entorno seguro y ejecutar el código de forma tal que se pueda conocer cuál es el comportamiento del código. Otros nombres para la misma técnica son “sandbox”, “virtualización” o “emulación”.

En función de las consultas de algunos usuarios y lectores, cabe destacar que estos son los métodos clásicos de detección, que no se relacionan (en forma directa y explícita) con los dos tipos de heurística que pueden observar nuestros usuarios en la configuración de ESET NOD32:

La heurística avanzada son aquellos algoritmos heurísticos que poseen funcionalidades más complejas de detección proactiva, y que por lo general son más específicos y consumen más recursos del sistema. Cabe destacar que, por tal motivo, por defecto la heurística avanzada viene deshabilitada en la configuración de ESET NOD32 Antivirus.

Aquellos usuarios que posean equipos modernos, no se verán afectados por habilitar esta opción y es recomendable hacerlo, para así contar con una mejor protección en materia de códigos maliciosos.

Quienes estén en entornos empresariales y deseen aplicar el cambio, no desesperen, no es necesario hacerlo en cada uno de los equipos, sino que pueden modificar la configuración de todos los equipos de la red directamente desde ESET Remote Administrator.

Recuerden que para aprender más sobre heurística, pueden descargar el informe Heurística Antivirus: detección proactiva de malware.

Sebastián Bortnik
Analista de Seguridad

Categories: Heurística, Informes
2 Comments »

Luego de las 13 actualizaciones de sistema operativo de Microsoft del pasado martes, algunos usuarios en diferentes lugares del mundo han reportado una BSoD (Blue Screen of Death) en sus Windows XP, con el mensaje “PAGE_FAULT_IN_NONPAGED_AREA” y que obliga a reiniciar el sistema una y otra vez.

Inicialmente se pensó que este comportamiento era causado por el parche MS10-015, hubo cientos de noticias y comentarios en diversos medios y se generó mucha confusión al respecto. Microsoft también investigó el problema debido a la posibilidad de millones de clientes potencialmente afectados y dejó de ofrecer la actualización a través de Windows Update. Debido a que el problema sólo afecta a usuarios hogareños, las empresas pueden seguir aplicando la actualización a través de herramientas como WSUS o SMS.

Posteriormente se conoció que en la mayoría de los sistemas afectados involucraban al archivo atapi.sys (hubo otros), el cual no había sido modificado por la actualización mencionda. Reemplazando el archivo afectado el problema se solucionaba y por eso se publicó un procedimiento temporal para solucionar el inconveniente.

Luego de reunir suficientes casos de estudio y de la investigación apropiada se llegó a la conclusión de que en realidad los Windows XP afectados eran aquellos que previamente habían sido infectados con una variante del rootkit Olmarik el cual intenta acceder a una posición de memoria determinada y, luego de la actualización del kernel del sistema operativo, esta dirección causa el error de paginado mencionado.

Destaco también que los usuarios de ESET NOD32 siempre estuvieron protegidos debido a la detección proactiva de las distintas variantes de Olmarik. Para aquellos usuarios que no utilizan ESET NOD32, también contamos con una herramienta de limpieza de dicho rootkit.

Como conclusión, es sabido que la infección con malware puede hacer que el sistema operativo funcione erráticamente y este sin dudas es un caso extremo. Esta lección debe enseñarnos la importancia del uso de herramientas de protección proactivas que aseguren el entorno informático ante cualquier tipo de aplicación creada con la intención de modificar el sistema y esto incluye al malware y también a los patch (como también pasó hace poco) cracks, warez, y otros tantos software creados por delincuentes.

Cristian Borghello
Director de Educación

Categories: Educación
3 Comments »

Una vez más, tenemos el agrado de anunciar la apertura del Premio ESET 2010. Por quinta vez, estaremos premiando a un estudiante universitario o terciario con un viaje a una conferencia en seguridad y, en esta oportunidad, agregando otro premio.

En esta oportunidad, ESET Latinoamérica seleccionará un estudiante para participar de la Edición 2010 de Virus Bulletin, la conferencia más importante en lo que respecta a seguridad antivirus. La misma se realizará en la ciudad de Vancouver, Canadá, entre el 29 de septiembre y el 1 de octubre de 2010.

Para nosotros es muy gratificante realizar este concurso, a fin de motivar la investigación en Seguridad de la Información en estudiantes universitarios y terciarios, y reconocer el trabajo y dedicación de quienes comparten con nosotros la creencia en la importancia de la investigación en la materia.

Para conocer más sobre el concurso, pueden acceder al sitio web del Premio ESET 2010, donde podrán encontrar las bases del concurso.

Este año, tenemos como novedad que además del primer premio con el viaje a Canadá, se otorgará a un segundo estudiante la oportunidad de asistir a un curso de Seguridad Antimalware brindado en forma exclusiva por ESET Latinoamérica en Buenos Aires, Argentina.

Tienen tiempo para inscribirse hasta el 9 de mayo, y esperamos que puedan aprovechar esta oportunidad de complementar los estudios superiores con la participación en un concurso internacional, y un posible viaje que será una experiencia fascinante para el ganador (incluso el ganador del año pasado fue reconocido por el presidente de su país, Colombia).

Así que ya sabes: si eres estudiante universitario de alguna carrera relacionada a la informática, y tienes ganas de ganarte un viaje… ¿qué estás esperando?

Sebastián Bortnik
Analista de Seguridad

Categories: Educación
2 Comments »

El siguiente código fuente del noveno desafío demuestra la condición que se debía saltar para averiguar el valor de la variable tipo integer referenciada como number.

#include “stdio.h”

void main()
{
int number = 0;
printf(“\nPiensa un numero del 1 al 10000: “);
scanf(“%d”,&number);

if (number == 1337)
printf(“Ganaste!! Ingresa el código para reclamar tu premio.\n”, number);
}

En la siguiente imagen podemos observar al programa siendo desensamblado (se puede utilizar OllyDbg, IDA Pro, GDB, WinDbg, etc.) y la sección en la que se compara los datos: cmp [ebp+var_4] , 539h

En este caso 539h en hexadecimal corresponde a 1337 en decimal, siendo este el valor buscado. Por lo tanto, el ganador en este caso es Karcrack quien dió la respuesta y la justificación. Dentro de poco tiempo estarás recibiendo tu licencia.

¡Esperamos hallan disfrutado del desafío tanto como nosotros haciéndolo!

Juan Sacco
Analista de Malware

Categories: Desafío
No Comments »