Hace unas semanas les presentábamos el novedoso y original término “hackarillismo” a partir del “hackeo” a Youtube y la desinformación que circuló en los medios respecto a esa noticia. Como decía Ignacio Sbampato en aquel post, “un gran amigo de la desinformación es el uso incorrecto que se hace diariamente de todos los términos relacionados al hacking”, y en el día de ayer, una vez más, nos encontramos con un caso similar respecto a un incidente relacionado a Facebook, que muchos lectores habrán leído (incorrectamente) como “el hackeo a Facebook“. O “los”, ya que han sido dos los problemas de seguridad que fueron públicos en los últimas días relacionados a la red social más utilizada, y nada mejor que explicar cómo ocurrió cada incidente.

El primero es muy sencillo. Algunos habrán escuchado que “fueron expuestos datos de 100 millones de usuarios de Facebook” y, como decíamos, en muchos casos acompañando la noticia de palabras como hacking, hacker y derivados. En realidad, se trató simplemente de un rastreo de información realizado por Ron Bowws, de la firma Skull Security, que publicó en un torrent un archivo (¡de más de 2 Gigabytes!) que contiene 171 millones de entradas correspondientes a un quinto de los usuarios de Facebook. ¿Cómo lo logró? No accedió a las bases de datos de Facebook ni explotó ninguna vulnerabilidad. Simplemente creó una aplicación que buscó en la red social todos los perfiles que poseen información pública, y juntó toda esa información en un único archivo y lo hizo público. ¿Qué pueden hacer como usuarios? Teniendo en cuenta que uno de cada cinco usuarios están expuestos en esa base de datos, les recomiendo revisar sus configuraciones de privacidad y verificar qué datos de sus perfiles son públicos y no poseen ninguna restricción.

El otro incidente que sufrió la red social fue observado sólo por los usuarios de Facebook en español, ya que en el día de ayer algunos habrán podido observar que se veían en la red social contenidos inapropiados en donde debía decir palabras sencillas como “muro” o “me gusta”. Sin embargo, tampoco se trató de un acceso indebido a los sistemas, sino de una ingeniosa burla al sistema de traducción que le permite a los usuarios proponer mejoras en las traducciones a otros idiomas distintos al inglés. Básicamente lo que hicieron un grupo de usuarios fue crear cientos de perfiles falsos, y con ellos proponer mejores traducciones en forma masiva. Como Facebook posee este sistema de “escuchar a los usuarios”, si muchos usuarios proponen traducciones iguales el cambio se aplica automáticamente y queda vulnerable a este tipo de incidentes. ¿Qué pueden hacer los usuarios? Nada, en este caso sólo esperar que la gente de Facebook corrija las traducciones que quedaron erróneas.

Vale la pena citar las palabras de nuestro primer post cuando presentábamos el término “hackarillismo”:

Se lee diariamente que tal o cual lugar “fue hackeado” cuando se quiere decir que su seguridad fue vulnerada, no solo tergiversando el verdadero significado de esos términos, sino más bien usándolos para una especie de hackarillismo donde se habla de hacking porque llama más la atención de los usuarios.

La seguridad de Internet la hacemos entre todos, y el hackarillismo cada vez más frecuente atenta contra la misma. Cuando duden sobre una noticia de seguridad usando palabras como hacking, les recomiendo visitar una fuente confiable sobre el tema en lugar de aquellos donde, por falta de especialización o por búsqueda de más visibilidad, no se usan adecuadamente, y así entender mejor cuales son los verdaderos problemas de seguridad y cómo evitarlos.

En resumen, el término hacker parece tener una especie de atractivo al momento de comunicar noticias relacionadas a la seguridad, así que si se llegan a cruzar con él, intenten averiguar la real naturaleza del incidente, la mejor forma de comprender el ataque y por ende sus consecuencias desde el punto de vista de la seguridad.

Sebastián Bortnik
Analista de Seguridad

Categories: Alertas, Curiosidades, Redes Sociales
No Comments »

La semana pasada leí algunas noticias relacionadas a los delitos informáticos y la región latinoamericana que vale la pena comentar ya que cada una de ellas ofrece características particulares y, a la vez, ofrecen en conjunto un panorama general de lo que va ocurriendo en la región en materia de cibercrimen. Veamos…

Chile: estudiante vulnera los sistemas de su facultad

Varios portales chilenos han informado sobre el incidente informático ocurrido en la Universidad de Santiago de Chile (USACH), institución educativa que otrora hemos visitado con la Gira Antivirus. Un joven estudiante logró durante cuatro meses del año 2009 acceder al sitio web de la USACH y borrar archivos referidos a pagos por parte de los alumnos a través de sus tarjetas de crédito, alterando así la situación de cada uno de ellos respecto a la universidad. El hecho fue descubierto cuando algunos estudiantes egresados aparecieron en los sistemas con deudas impagas y realizaron los reclamos correspondientes ya que ellos habían mantenido sus cuotas al día.

La Brigada del Cibercrimen de la Policía de Investigaciones de Chile identificó la dirección IP de la computadora desde donde fueron realizados los ataques y que pertenecía a Patricio Toledo Chamorro, el estudiante que ya ha sido acusado por los hechos y actualmente está en proceso judicial.  Juan Hernández, subcomisario de la Brigada del Cibercrimen, declaró al portal chileno Cooperativa:

En internet hay una variada gama de páginas donde ellos se van interiorizando y posteriormente se dedican a utilizar estas páginas para probar, además, acompañado de los estudios de ingeniería en informática que tenía este joven, permitieron que pudiera acceder a este sitio.

México: Legislación por el robo de identidad

Según informa el portal Identidad Robada, el diputado mexicano Artuto Zamora Giménez presentó un proyecto para legislar el robo de identidad con fines defraudatorios. El texto del proyecto posee como primer fundamento el dato de que, de acuerdo con investigaciones internacionales, el robo de identidad es el delito de más rápido crecimiento en el mundo. Dejo a continuación algunos extractos del proyecto:

El problema es tan grave en México que instituciones de crédito como banco azteca ha emitido alertas a sus clientes, tanto en sus sucursales, como en su sitio de Internet.

Cada vez más compras y robos de documentos oficiales son perpetrados por delincuentes que utilizan la Internet para cometer ilícitos. Sus herramientas preferidas son el engaño para obtener información privada y la invasión de computadoras de millones de usuarios incautos, con las cuales forman redes que propagan programas decodificadores de contraseñas.

La “invasión de computadoras” a la que refiere el proyecto de ley no es ni más ni menos que la propagación de malware, especialmente aquellos relacionados al escenario del crimeware, como troyanos bancarios o spyware para el robo de información.

Algunos números para terminar de graficar la importancia del robo de identidad, también listados como justificativos del proyecto de ley del Diputado Zamora Giménez:

• Según Gartner, en Estados Unidos, el robo de identidad creció 50 por ciento de 2003 al 2006. Alrededor de 10 millones de estadounidenses han resultado afectados.
• Cada cuatro segundos una identidad es robada en el mundo.
• Se calcula que el costo promedio de restaurar una identidad robada es de 8 mil dólares.
• Los perjudicados tardan unas 600 horas en librarse de esta pesadilla y varios años en recuperar su buen nombre e historial crediticio.
• En promedio, pasa un año antes de que el afectado descubra el robo.

Argentina: sólo se denuncian un 25% de los ciberdelitos

Según informó el Diario Clarín, dos años después que el congreso sancionara la Ley de Delitos Informáticos, la Comisión de Derecho Informático del Colegio Público de Abogados de la Ciudad estima que cada cuatro delitos informáticos sólo uno es denunciado. Estos delitos no denunciados son conocidos como la “cifra negra”, según explica Hugo Sorbo, coordinador de la comisión antes mencionada.

Por un lado, la creación de la ley ha permitido que aumenten el número de casos denunciados. Según las estadísticas brindadas en la noticia fuente, en los últimos dos años y medio el Poder Judicial porteño contabilizó 8.425 denuncias por “ciberdelitos”, lo que abogados consultados indicaron como lógico ya que las consultas sobre el tema han crecido, según estimaciones, entre un 30% y un 50%.

Sin embargo, como indica la estadística, existen algunas trabas para que aumente el porcentaje de delitos informáticos denunciados. Empezando por lo más básicos, Daniel Monastersky, abogado especializado en la materia declaró para la noticia: “Aun los que denuncian tienen trabas: si uno va a la comisaría y dice ‘me hackearon’ el correo, habrá que ver si el policía sabe que se trata de un delito y la toma”. Sobre el mismo tema, Sorbo agrega: “La ley tapó un bache legal, pero ¿quién sabe que cuando le roban la clave o reenvían mails sin su autorización puede hacer una denuncia?”.

Conclusiones: crece el cibercrimen en Latinoamérica

Como mencionaba al principio, aunque cada noticia tiene sus condimentos particulares y en un principio no están relacionadas unas con otras, sí queda claro que todo lo relacionado a delitos informáticos en la región está creciendo en ocurrencia y, por consecuencia, en interés de los medios y el público en todo lo relacionado a la materia.

Abarcar el cibercrimen involucra diferentes aspectos que se relacionan entre sí: la protección de sistemas informáticos, la legislación, la educación de los usuarios, el manejo de incidentes, etc. Los aspectos técnicos y no técnicos se relacionan entre sí como puede verse en las noticias mencionadas: en el caso de Chile un incidente de intrusión digital impacta en una demanda judicial, y en el caso de México se destaca en el proyecto de ley cómo los códigos maliciosos pueden servir de base para el robo de identidad.

Para todos los casos queda en claro que el cibercrimen ha llegado a Latinoamérica para quedarse, que está en clara expansión y que la solución debe contemplar diversos factores que podrían resumirse en algunos puntos claves:

• Usuarios más educados que sean conscientes de las principales amenazas de las que debe protegerse.
• Como consecuencia, usuarios que sepan implementar tecnologías de seguridad para optimizar la protección tanto en sus computadoras personales como en redes corporativas, según corresponda.
• Legislación para dar apoyo a los delitos que logren cometerse; y el acompañamiento de esta por abogados y fuerzas de seguridad acordes a los delitos tipificados por la ley.

La lucha contra el cibercrimen no es sencilla pero claramente es necesario avanzar en ese rumbo para minimizar la ocurrencia de incidentes exitosos que atenten contra los usuarios y su información (o dinero)

Sebastián Bortnik
Analista de Seguridad

Categories: Curiosidades, Vulnerabilidades
2 Comments »

En los últimos ataques a través de BlackHat SEO, muchos de los dominios involucrados han sido registrados por los delincuentes en sitios gratuitos, lo cual le permite hacer abuso de ellos libremente. Este es el caso de dot.tk, de la isla de Tokelau) y xorg.pl de Polonia.

Este registro gratuito permite mayor dinamismo y  los dominios, los sitios y el malware propagado cambian continuamente y allí radica la importancia de la heurística del motor ThreatSense, presente en todos los productos de ESET que permite detectar cualquier tipo de amenaza nueva. Al parecer nuestra detección tampoco pasa desapercibida a los delincuentes ya que en la inundación de sitios falsos referidos al mundial 2010 y 2014 de esta semana, en los scripts se puede ver lo siguiente:

Al parecer este gente tampoco tiene idea de la diferencia entre Star Wars y su referencia a La Fuerza y Star Trek con su referencia a la frase “Resistance is futile”.

Cristian Borghello
Director de Educación

Categories: Curiosidades, Rogue
No Comments »

En el día de ayer, al menos cientos de iPhones en Francia han sido afectados por un ataque automatizado al estilo ransomware: un intruso aprovechó una vulnerabilidad en los dispositivos móviles para modificar el fondo de pantalla de estos, y solicitar U$S 5 a cambio de las instrucciones para la reparación.

Más en detalle, en primer término hace unos meses fue descubierta una vulnerabilidad que afectaba a los dispositivos del tipo iPhone, al incluir dos usuarios con contraseñas por defecto, uno de ellos, el usuario root (administrador). Para aquellos sistemas que poseen el protocolo SSH activo, salvo que el usuario modifique manualmente las configuraciones (deshabilitando el protocolo SSH o modificando la contraseña), el dispositivo podría ser accedido por un tercero.

Posteriormente, un atacante francés decidió probar un ataque masivo explotando esta vulnerabilidad a gran escala. Para ello, realizó los siguientes pasos (genéricamente hablando, ya que pueden haber sido similares):

1. Obtuvo el rango de direcciones IP que utilizaban los dispositivos móviles en su país
2. Exploró todo el rango en búsqueda del protocolo SSH activo
3. Probó el acceso a todos los dispositivos móviles con el protocolo activo, utilizando el usuario y contraseña por defecto
4. En los sistemas que logró ingresar, modificó el fondo de pantalla indicando la posibilidad de remediar el inconveniente abonando 5 dólares en un sitio web

Los dispositivos afectados se veían como se observa en la siguiente imagen:

De esta forma, el atacante comenzó a cobrar un porcentaje de dinero a los usuarios que querían recibir las instrucciones necesarias para solucionar el problema. Si el usuario accedía al sitio web, podía leer el siguiente mensaje:

Estimado usuario de iPhone,

Su iPhone no es seguro. Esa es la razón por la que está visitando esta página, ¿no? Bueno, usted puede pagarme $4,95 a mi cuenta de paypal [ELIMINADO], y yo le voy a enviar un correo con las sencillas instrucciones para asegurar su iPhone. También puede contactarme a Pure[ELIMINADO]@gmail.com.

Curiosamente, luego de que el atacante notó a cuántos usuarios había afectado, y de que las víctimas comenzaran a ingresar sus quejas en diversos foros de MAC, el atacante tuvo un acto de arrepentimiento y publicó en forma gratuita las instrucciones de reparación. Las mismas comienzan con un sencillo “Ok, los planes cambiaron. Esto es lo que debes hacer, suerte y contactenme si tienen alguna duda“.

Independientemente de lo curioso del caso, con el atacante sin decidirse si esto era un negocio o una prueba de concepto, queda demostrado que las vulnerabilidades en dispositivos móviles puede ser aprovechadas independientemente del sistema operativo que utilicen.

Este tipo de incidentes sobre dispositivos móviles comienzan a ocurrir con mayor frecuencia, y nos demuestra que son un blanco más que interesante para los atacantes. Será necesario no subestimar este tipo de incidentes y comenzar a tener en cuenta la seguridad en los dispositivos móviles.

Sebastián

Categories: Alertas, Curiosidades, Vulnerabilidades
6 Comments »

En las entregas anteriores de procesos legítimos y nativos del sistema operativo I y II, presentamos un listado de los principales procesos en los sistemas operativos Microsoft Windows, y la descripción y utilidad de cada uno de ellos.

En función de los comentarios que recibimos de los lectores, entregamos un tercer post clarificando algunas preguntas que hemos recibido:

¿Por qué es importante conocer los procesos nativos del sistema operativo?

Es muy frecuente en los usuarios de plataformas Microsoft Windows, el consultar al Administrador de tareas, con el fin de identificar procesos desconocidos, que puedan estar siendo ejecutados en el sistema, y generando perjuicios al usuario: códigos maliciosos, aplicaciones instaladas innecesarias, etc.

En este contexto, son muchos los usuarios que identifican erróneamente procesos legítimos del sistema como inválidos, categorizándolos como maliciosos. Es habitual que los usuarios nos realicen consultas del tipo “tengo un virus, se ejecuta como svchost.exe”, confundiendo el archivo legítimo del sistema operativo con un malware.

¿Esto significa que si encuentro un proceso con algunos de los nombres mencionados, de seguro no es un código malicioso?

No, esto significa que es normal que existan procesos con estos nombres, y que no se debe asumir que estos son códigos maliciosos sin un análisis (de hecho, no lo serán en la mayoría de los casos).

Sin embargo, los creadores de malware no son ajenos a esta información, y utilizan Ingeniería Social aplicada sobre los archivos, ejecutándolos con nombres de procesos iguales o similares a otros benignos (tales como los nativos del sistema operativo). Por lo tanto, puede existir un proceso malicioso con estos nombres.

¿Cómo hago para detectar un proceso malicioso con estos nombres?

En primer término es importante cambiar el enfoque. El objetivo es detectar códigos maliciosos, no reconocer procesos; independientemente que esta sea una práctica casera que utilizamos como usuarios para identificar acciones sospechosas.

Por lo tanto, un antivirus con capacidades proactivas de detección será capaz de detectar cualquier código malicioso que se esté ejecutando en el sistema, independientemente del nombre de proceso utilizado.

Además, en muchos casos los procesos creados por códigos maliciosos, pueden ser terminados desde el Administrador de tareas, mientras un proceso crítico del sistema no:

Sin embargo, códigos maliciosos con funcionalidades de rootkit pueden inyectar sus acciones dentro de un proceso legítimo del sistema, de forma de que el usuario tampoco pueda finalizar su ejecución desde el Administrador de tareas.

Por lo tanto, cabe destacar que la búsqueda de procesos sospechosos es una técnica válida solo para obtener una aproximación a la detección de códigos maliciosos en el equipo, y no debe ser considerada una vía legítima para la detección de estos. Asimismo, el usuario debe saber que en todo sistema con Microsoft Windows, existirán estos procesos en ejecución de forma nativa en el sistema operativo, y no deben alertarse por el solo hecho de observarlos.

Sebastián

Categories: Curiosidades, Educación, Malware, Spam
1 Comment »