Para los que aún no se hayan enterado, hoy 30 de noviembre es lo que se ha acordado mundialmente como el Día Internacional de la Seguridad Informática, una fecha diseñada exclusivamente para realizar diversas acciones de concientización. Desde ESET Latinoamérica hemos decidido aprovechar la fecha para comenzar a presentarles el resumen de los acontecimientos más importantes del año en materia de seguridad informática, que hemos realizado y presentamos previo a las tendencias para el próximo año, que serán publicadas en las próximas semanas.

El presente es un resumen de los hechos más relevantes en materia de códigos maliciosos durante el año 2010. Considerando los incidentes más importantes relacionados al malware durante el año, podrían considerarse diversos hechos agrupados en tres categorías: ataques dirigidos, redes botnet y ataques regionales en Latinoamérica. A continuación serán detallados los aspectos más importantes de cada uno de los ataques que se destacaron durante el año, ya sea por su magnitud, su innovación o el impacto causado en usuarios y organizaciones en todo el mundo, o la región latinoamericana.

Ataques dirigidos

Curiosamente hubo dos grandes hechos relacionados a los ataques dirigidos durante el año 2010: uno apenas comenzado el año, y otro que se hizo notorio más bien culminándolo.

En primer lugar, apenas pasaron unos pocos días del año nuevo, se hizo conocido un ataque informático a grandes empresas tecnológicas, que se dio a conocer como Operación Aurora. Se trató de un ataque motivado con el ánimo de robar información de propiedad intelectual a grandes compañías, entre las que estuvo incluida Google, quién hizo público el ataque (otra suposición indica que su objetivo principal fue la intención de robar cuentas de Gmail de activista de derechos humanos en China). El ataque consistió en el envío de correos electrónicos maliciosos dirigidos, especialmente enviados a personas con altos cargos dentro de las compañías afectadas. Durante el proceso de infección se intentaba explotar en el sistema de la víctima una vulnerabilidad del tipo 0-day en Internet Explorer, a través de técnicas de Drive-by-Download. A pesar de ser un ataque dirigido, unos pocos días después el mismo se había masificado, convirtiendo a Operación Aurora en el ataque masivo más notorio del comienzo de año. Según los análisis del Laboratorio de ESET, se detectaron en el mes de enero más de 650 versiones del código del exploit, todos ellos detectados por ESET NOD32 como Trojan.JS/Exploit.CVE-2010-0249. También fueron identificados más de 220 puntos de distribución únicos de la amenaza, en su mayoría localizados en Asia (todos los indicios apuntan a que el ataque fue de origen chino). Además, en las pruebas de laboratorio, un equipo infectado con estas amenazas finalizaba en un corto tiempo infectado por ocho códigos maliciosos distintos.

Ver m�s… »

Categories: Informes, Malware
5 Comments »

Fueron varias las ocasiones en las que hablamos acerca de las plataformas móviles, tanto acerca de vulnerabilidades como de diferentes vectores de ataque. Hoy hacemos mención a una nueva vulnerabilidad en Android, la plataforma móvil de Google, que fue publicada esta semana. La misma permite que se pueda sustraer información o archivos sin el consentimiento del usuario mediante una falla de seguridad en el navegador.

La situación se puede tornar bastante delicada, sobre todo porque existe la posibilidad de que un atacante tenga acceso a ciertos archivos existentes en el dispositivo, sumado a que la resolución del problema amerita tener que actualizar el sistema operativo a una nueva versión (todavía no disponible en el mercado). Para los usuarios de Android esto es un detalle más que importante debido a que la disponibilidad de las actualizaciones del sistema operativo pueden o no estar ser liberadas dependiendo del modelo del dispositivo.

En lo referente a los aspectos técnicos de la vulnerabilidad esta se centra en que el navegador no solicita autorización del usuario para realizar una descarga sino que la realiza directamente, almacenando los archivos en el directorio “sdcard/download/”, por ejemplo se descarga el archivo hola.html y se almacena en la ruta “/sdcard/download/hola.html”. Una vez que el archivo ha sido descargado y almacenado en dicho directorio es posible, mediante la utilización de JavaScript, realizar la carga automática del archivo y así lograr la ejecución de código malicioso.

Una vez que el archivo es cargado por el navegador, se estará ejecutando en el mismo contexto de ejecución que el este, lo que significa que por más que se ejecute como un proceso de usuario y se encuentre aislado de las funciones del sistema operativo, tenga acceso a la tarjeta de memoria. De esta manera se puede acceder a un archivo( ya sea leerlo, copiarlo borrarlo y muchas cosas más). Una vez que un archivo determinado ha sido leído, el mismo puede ser enviado al atacante haciendo que los datos de los usuarios sean expuestos. En la siguiente captura podemos ver los permisos otorgados al navegador:

El proceso se encuentra aislado dentro de un sandbox y no puede acceder a datos del sistema operativo pero sí tendrá acceso a todos los lugares a los que el navegador tiene permisos entre ellos podemos ver que cuenta con permisos sobre la tarjeta de memoria y la información personal del usuario.

Existen varias aplicaciones que almacenan sus datos en la tarjeta de memoria, ya sean sus archivos de configuración, datos del usuario, historiales y mucho más. Hasta las fotos que se pueden sacar con la mayoría de los dispositivos se almacenan dentro de la tarjeta de memoria. Sin embargo, para poder acceder a los archivos el atacante debería conocer el nombre exacto de los mismos.

El tiempo que lleva desde que Google libera una actualización de su sistema operativo hasta que los usuarios las reciben y actualizan sus dispositivos es más que considerable. Esto genera una gran brecha en la seguridad en los dispositivos móviles, la cual puede ser aprovechada por los atacantes para propagar códigos maliciosos o intentar el robo de información. Como un ejemplo puntual se puede tomar que el fix para esta vulnerabilidad se encontrará disponible en la versión 2.3.1 de Android (cual se encuentra próxima a ser liberada).

A modo de protección, hasta que se encuentre disponible el parche para esta vulnerabilidad, les recomendamos estar al tanto de las siguientes opciones:

• Deshabilitar la ejecución de JavaScript en el Navegador de Android, destildando la opción desde Ajustes->Habilitar JavaScript:



• Utilizar un software de terceros para navegar, como Opera Mobile. De esta manera poder actualizar el software sin tener que actualizar el sistema operativo y que se consulte al usuario antes de descargar un archivo.
• Estar atentos a las descargas automáticas minimizará los riesgos, cuando algún archivo es descargado genera una notificación como se puede apreciar en la siguiente imagen:

En conclusión Android es una plataforma muy versátil, pero quizás el sistema de distribución de software que mantienen traiga algunas implicaciones en lo que respecta a la seguridad de los usuarios, haciendo que las demoras en la entrega de actualizaciones se convierta en un tema de vital importancia. Es por ello que es muy importante que como usuarios tomemos conciencia de las amenazas o vulnerabilidades existentes para las plataformas móviles como así también contar con buenas prácticas para el uso de dispositivos móviles.

Pablo Ramos
Especialista de Awareness & Research

Categories: Alertas, Vulnerabilidades
3 Comments »

Recuerdo hace unos meses cuando les presentábamos las estadísticas recopiladas de nuestras encuestas mensuales, en esa ocasión sobre las actualizaciones de software, y donde les presentaba algunos números bastante concluyentes sobre cómo el uso de software no licenciado afecta la seguridad de las empresas:

Para comenzar, un 29,5% de los usuarios indicó no tener la costumbre de instalar las actualizaciones de seguridad. A estos usuarios se les consultó cuál es el principal motivo por el cual no tienen esta costumbre, y el resultado mayoritario es la falta de licencia de software. Esto es muy significativo: tres de cada diez usuarios no mantienen seguro su sistema por tener versiones del software no licenciadas.

Los datos publicados aquellas vez, son consistentes con el informe realizado por Prince & Cooke, “Riesgos y costos de la Piratería en PyMEs en América Latina“, donde consultaron a 3.650 pequeñas y medianas empresas en 12 países de la región, y los números son muy claros respecto a cómo la adquisición de una licencia de software, también está relacionada con la seguridad corporativa. Para empezar, ¿cuál es la tasa de uso de software no licenciado? Según el informe, el 63% de los programas de software en Latinoamérica son ilegales y, como bien indica el informe, esta cifra “se encuentra por encima del 43% de piratería a nivel global“.

Cuando se consultó a las empresas sobre cuáles eran los problemas ocasiones por el uso de software ilegal, y estas fueron las respuestas según el gráfico presentado en el informe:

Nótese que casi 7 de cada 10 usuarios entiende que la infección de virus (lo que en realidad debería ser malware), es el principal riesgo asociado el uso de software no licenciado, a lo que se le debe sumar también el 6% que indicó los incidentes de seguridad informática como problemática detectada. Sin embargo, otros incidentes también están relacionados a la seguridad de la información, como la pérdida o daños en datos (afectando la disponibilidad e integridad de la información) y fallas críticas en los sistemas (que afecta también la disponibilidad).

Otras cifras específicas que certifican cómo las propias empresas de la región son concientes de cómo el uso de software no licenciado aumenta la probabilidad de infección por malware:

• Algunos países han superado el promedio de respuestas positivas respecto a la asociación del software no licenciado y los ataques cibernéticos o infección de malware: Venezuela (70%), Costa Rica (71%) y México (74%).
• El 73% de las empresas encuestadas admitió haber sido víctima de algún ataque cibernético el año pasado, y el 35% de esos ataques fueron considerados exitosos o extremadamente exitosos.
• En Uruguay como en México, más del 66% de las pérdidas por problemas informáticos de las empresas se debió a los ataques de virus.

Como mencionábamos en el anterior post que citara al comienzo, el principal motivo porque los usuarios con software no licenciado sufren más infecciones, se debe en muchos casos a que las actualizaciones de seguridad “poseen mecanismos para detectar estas copias no legítimas de software, y es por ello que muchos usuarios prefieren no correr ese riesgo, y a cambio (en muchos casos sin saberlo) terminan corriendo otros riesgos“.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Estadísticas
3 Comments »

La información que se encuentra en la web es interminable, y los buscadores como Google son la principal herramienta al momento de realizar estas búsquedas, encontrar la información que uno necesita e incluso un poco más. Pero, ¿qué pasa si alguien encuentra información que no debería? Por ejemplo, un listado de clientes, el acceso a un servidor sin contraseña o incluso conectarse a routers que cuentan con el usuario por defecto.

Cuando un usuario realiza una búsqueda muchas veces desconoce realmente la potencia del buscador o las herramientas básicas que este le brinda para que su búsqueda sea más acotada, precisa y exacta; y de esta manera en lugar de recibir miles de páginas como resultados, bajar este número a solo unos pocos o cientos. La potencia de los buscadores sorprende a todos los que alguna vez hayan usado estas funcionalidades, ya sea por su velocidad, precisión o incluso por parecer que encuentra lo que uno no busca.

En el caso de Google, el buscador más utilizado en la actualidad, cuenta con algunas funciones que no mucha gente conoce y todas ellas se encuentran detalladas en la ayuda básica para las búsquedas que Google ofrece a todos sus usuarios. Desde opciones para agrupar, excluir cadenas de caracteres o sólo buscar dentro de un sitio web específico dando una fuerza de descubrimiento impresionante para obtener resultados más certeros.

Pero, ¿qué más puede encontrar Google? Esta pregunta es un poco más delicada de lo que creemos. Qué pensarían los usuarios o los administradores de servidores si el mismísimo buscador expone datos sensibles de la empresa, o archivos que personas ajenas a un organismo o empresa no deberían de ver, si demostrara que existe un fallo en la configuración de los servidores y datos que no se desean compartir están disponibles para alguien que simplemente realiza una búsqueda y encontrara cosas que no supone encontrar. Esto no sería más que una falla o un desliz por parte del administrador del servidor, incluso quizás por solo una falta de atención o algo que se pasó por alto.

Con un pequeño ejemplo va a quedar más claro. En esta caso, se ingresa una búsqueda específica en Google y se obtiene como resultado una página del gobierno de Nicaragua, como lo pueden apreciar en la siguiente imagen:

Una vez que ingresamos al enlace existe la posibilidad de navegar por los directorios y de esta manera recorrer la mayor parte del sitio web, dentro de él se pueden encontrar datos ya sean irrelevantes o archivos que contengan datos de clientes, empleados, u algún tipo de información sensible. En este caso vemos que existe el directorio de reclamos, en cual al acceder se encuentran archivos PDF:

Dentro del directorio de reclamos se encuentran varios archivos PDF conteniendo los datos correspondientes a los reclamos de clientes. Dichos archivos se encuentran disponibles para su lectura y descarga. Al acceder a cualquiera de los archivos se puede observar datos de usuarios incluyendo nombre, apellido y otros datos más:

De esta manera se ve cómo mediante una búsqueda específica se puede acceder a datos reales de personas e información sensible. Seguramente los administradores del sitio no sepan que se encuentran disponibles a cualquier persona, pero es algo que debería ser controlado y configurado para no exponer información de este tipo.

Claramente los buscadores son muy útiles para todos los que usamos Internet pero para los administradores de sitios web o servidores deben significar un punto a analizar, sobre todo si desconoce la disponibilidad de información sensible a cualquier persona que navegue por la red. No solo se ven expuestos a la estructura del sitio web sino que también pueden filtrar datos de clientes, empleados y muchas cosas más. Existen muchas medidas de prevención, entre ellas, y quizás la más sencilla, sería configurar el correctamente el archivo robots.txt para que los web crawlers excluyan los directorios que no deben de aparecer.

Es por ello que debemos tomar conciencia que herramientas como los buscadores pueden permitir que personas con malas intenciones accedan a datos que no deberían y luego utilizarlos para fines maliciosos, ya sea el envío de spam, ataques de phishing o robo de identidad, entre otros.

Pablo Ramos
Especialista de Awareness & Research

Categories: Gestión
4 Comments »

La semana pasada les contaba cómo desde el Laboratorio de ESET Latinoamérica encontramos un caso de phishing alojado en un sitio gubernamental de Perú, el cual estaba dirigido a una entidad financiera chilena. Hemos continuado con el análisis del ataque y nos encontramos con bastantes cosas interesantes…

 Lo más relevante, es que encontré que el phisher había dejado alojado un archivo ZIP con el contenido del phishing de la entidad financiera, el cual no fue borrado por este una vez montada la estafa en la pagina gubernamental:

Al obtener todos los archivos que se utilizan para realizar la estafa, analicé el código fuente y busqué patrones que nos pudieran llevar a otras páginas desde donde se pudieran estar realizando ataques similares o encontrar datos sensibles que podamos obtener de este atacante, y observen lo que encontramos en un archivo:

En el análisis del código fuente de la página sobre el archivo “login.php”, se pudo corroborar que cuando  la víctima realiza el log in al sitio del phishing, este envía los datos de usuario, contraseñas, RUT, IP y PIN bancario a dos cuentas de correos electrónico del atacante. Al realizar una búsqueda de estas cuentas por Internet, nos encontramos que el correo a los cuales se iban los datos de la victimas estaba asociado a la cuenta de Facebook de este phisher, con lo cual es fácil conocer más sobre el atacante:

Podemos ver que el delincuente que realizó el ataque fue muy específico sobre la entidad financiera. También fueron muy bien trabajados los detalles del phishing de la página y se utilizó una página gubernamental para alojar el sitio desde donde se realizaba el ataque. Sin embargo, cometió el grave error de dejar todos los archivos del phishing y, más importante aún, que el logs de las víctimas son enviados una cuenta de correo personal del phisher, la cual estaba asociada al perfil de esta persona en una red social.

Es interesante ver cómo el crecimiento de ataques de phishing está potenciado por la posibilidad de que personas con no tantos conocimientos técnicos y utilizando herramientas como la Ingeniería Social pueden llegar a realizar con éxito sus ataques. El descubrimiento de estos errores nos muestra que muchas veces los atacantes son personas motivadas por un objetivo económico, pero que sin embargo no toman todos los recaudos necesarios para no ser descubiertos.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Phishing
4 Comments »