Como muchos saben, este año ESET Latinoamérica sumó un nuevo concurso a sus iniciativas para promover la investigación en seguridad informática, luego de varios años del éxito rotundo de nuestro premio universitario, que hace pocos días anunció su ganador de la edición 2011. Esta nueva iniciativa se trató de un premio al mejor trabajo de investigación técnica en seguridad informática, cuyos participantes no necesariamente debían ser estudiantes universitarios, y requería una orientación netamente técnica.

El concurso finalizó en junio, y el primer premio consistió nada más y nada menos que en un viaje con todo pago al evento de seguridad informática más importante del mundo, que se realiza cada año en la ciudad de Las Vegas (Nevada, USA): la legendaria Defcon.

El ganador de esta primera edición fue Santiago Pontiroli, de la Universidad Tecnológica Nacional regional La Plata (Buenos Aires, Argentina) con su trabajo “Evolución en malware .NET”. Santiago, que es un experimentado desarrollador de software, viajó junto a nuestros coordinadores de Laboratorio y de Awareness & Research, y resumió su experiencia de esta manera:

A través del premio al mejor trabajo de investigación técnica en Seguridad Antivirus tuve la chance de conocer al equipo de ESET Latinoamérica, su lugar de trabajo, las tareas que realizan día a día y además el honor de acompañarlos a la Defcon en su entrega número 19 realizada en la ciudad de Las Vegas.

Este premio me parece una idea genial para fomentar la investigación y desarrollo desde un punto de vista técnico. Estoy seguro que en futuras entregas la cantidad de participantes aumentará aún más, creando no sólo investigadores en potencia sino amistades y comunidades que duran mucho más que un trabajo.

En lo referente a Defcon realmente no hay palabras para describirla. Ya desde el primer día me llamó la atención tener a eminencias como Captain Crunch (John Draper) circulando por los pasillos y disfrutando de las presentaciones. El ambiente que se vive en cada charla es genial, una mezcla perfecta entre seriedad y diversión que produce una sinergia entre el presentador y la audiencia generando un sinfín de preguntas e ideas para futuras investigaciones.

Agradezco a ESET Latinoamérica por esta experiencia única y aprovecho para darle ánimos a todo aquél que quiera presentarse a realizar un trabajo de investigación en futuras ediciones.

Esperamos que el año próximo haya muchos más trabajos compitiendo por este viaje y los demás premios que tenemos pensado agregar para continuar promoviendo la investigación en seguridad informática, y para motivar la educación en toda la región, lo cual es uno de nuestros objetivos principales en ESET Latinoamérica.

Federico Pacheco
Gerente de Educación e Investigación

Categories: Declaraciones, Eventos
4 Comments »

Se termina el 2010, y en ESET debemos confesarles que estamos muy contentos por varias razones y muy diversas. Este año fue duro y de mucho trabajo para Latinoamérica, especialmente para algunas regiones, y a la vez fue muy vertiginoso en el mundo de la tecnología y la seguridad de la información. Hubo grandes noticias, grandes eventos, y grandes avances, y lo terminamos con todo. En ESET tuvimos muchos cambios y un enorme crecimiento a nivel regional, y nos logramos adaptar a cada circunstancia, hasta comprobar aquella perla de sabiduría oriental que dice que “lo único permanente es el cambio”. En todo contexto tan competitivo, cambiante y acelerado, los más destacados resultan ser los que mejor se adaptan.

Nosotros entre otras cosas estamos muy contentos por tener un equipo de trabajo cada vez mas numeroso, por estar cada día más cerca de la comunidad de seguridad informática, por haber alcanzado nuestros objetivos, y por habernos acercado a la comunidad general por medio de charlas de concientización y proyectos sociales.

No podemos dejar de agradecerles por acompañarnos, por seguirnos y por leernos, y esperamos que el año que comienza podamos ofrecerles más y mejores recursos educativos, investigaciones, informes y mucho material sobre esto que nos apasiona tanto, que es la seguridad y la lucha contra el malware.

Con este gran final, todo el equipo de ESET Latinoamérica les desea un gran fin de año y un excelente comienzo de 2011.

¡Felicidades!

Federico Pacheco
Education & Research Manager

Categories: corporativo, Declaraciones
4 Comments »

Si bien la industria del crimeware focaliza sus actividades de origen en países que para nosotros se encuentran del otro lado del mundo (Rusia, Ucrania, China, etc.), las actividades delictivas no se limitan a Europa del Este, y en general la percepción que se obtiene del asunto es que este escenario no es una cuestión relevante que afecte de forma directa a países de América Latina, lo cual es completamente erróneo.

De hecho, los niveles de incidentes de seguridad generados a través de ciber-criminales se incrementan constantemente en la región y los modelos de negocio delictivo se transforman en aspectos a copiar por parte de ciber-delincuentes latinoamericanos.

Para obtener casos concretos que ejemplifican este aspecto en Argentina, Chile y México, les recomiendo la lectura de Crimeware en Latinoamérica.

El crimeware representa un importante problema a nivel global que se manifiesta a gran escala y del cual nadie queda exento, la información sensible de usuarios hogareños como los activos (donde también se incluye información confidencial) de cualquier tipo de corporación son el blanco de los delincuentes.

Y si bien lo cierto es que estas acciones poseen un marco que establece la respuesta del por qué la mayor cantidad de actividades delictivas se cometen, por ejemplo, a través de países de Europa del Este (un marco legal débil en materia de seguridad informática por parte de algunos de estos países, lo que genera en los delincuentes la posibilidad de gozar de un mínimo porcentaje de ser descubiertos y consecuentemente atrapados), esta especie de paraíso delictivo no constituye un limitante para los delincuentes que se encuentran en América Latina, ya que la legislación en este ámbito sigue siendo débil.

Bajo todo este escenario, es posible “regionalizar” los incidentes de seguridad generados a través del crimeware y establecer tendencias por países (o por regiones) que nos permiten dibujar a grandes rasgos un “mapa delictivo”.

Entonces… ¿qué pasa de este lado del mundo?

La mayor tasa de propagación de spam se encuentra en EEUU y países de Sudamérica. Un aspecto fundamental en seguridad que sin lugar a dudas representa un problema universal, es el spam. En este sentido y según Spamhaus, EEUU se encuentra en la cabeza de los 10 mayores países emisores, seguido por Argentina y Brasil en lo que respecta a Sudamérica. Siendo Argentina quien posee el primer lugar en torno a los Proveedores de Internet (ISP) que registran mayor actividad spam.

Brasil y ataque de bankers. A pesar de poseer el tercer lugar en torno a la propagación de spam, Brasil se caracteriza además por ser la fuente de desarrollo de troyanos diseñados para robar información de índole financiera y bancaria, que ESET detecta  como familia de Win32/Spy.Banker.

Perú y México incursionan con el desarrollo de crimeware. Generalmente, las aplicaciones web diseñadas para el control y administración de botnets suelen ser desarrolladas en Rusia, por lo menos una importante cantidad, sin embargo, esta característica se  está asentando en América Latina y dimos cuenta de ella durante el 2009 con SAPZ (Sistema de Administración de PCs Zombi) y este año con la botnet Mexicana denominada “Mariachi”, descubierta por nuestro Laboratorio de Análisis e Investigación de Latinoamérica.

¿Y del otro lado las cosas siguen igual?

China y ataques dirigidos. Según Spamhaus China se encuentra en el segundo lugar como emisor de spam. Sin embargo, esta situación no es la que causa mayor grado de “notoriedad” en torno a incidentes de seguridad. China posee una importante actividad delictiva a través de ataques de DDoS (Denegación de Servicio Distribuido). Muchos incidentes de seguridad causaron repercusión alta en los medios de información a nivel global, pudiéndose destacar el ataque que se conoció bajo el nombre Operación Aurora, dirigido a activistas de derechos humanos en China; o la reciente oleada de ataques desde China contra Google.

Rusia y recursos para el crimeware. Rusia se destaca principalmente por ser el mayor desarrollador de recursos orientados a incrementar la economía del crimeware. Una importante cantidad de malware kit como ZeuS y los exploits pack como Liberty activamente explotados por delincuentes poseen sus orígenes en desarrolladores rusos. Asimismo, una amplia cobertura de fraudes, entre muchas otras actividades ilícitas, también se originan en Rusia, desde donde generalmente no solo se registran dominios empleados para propagar malware desde el mismo país sino que también en otros como Irán, China y Ucrania.

En definitiva, lo cierto es que la industria delictiva crece y se profesionaliza día a día, afectando la seguridad a nivel mundial y retro-alimentando la economía clandestina que generan los delitos que aprovechan Internet como infraestructura de ataque. Bajo este panorama no importa en qué lugar del mundo nos encontremos, sólo basta con estar conectados a Internet para convertirnos en potenciales, y rentables, blancos de la delincuencia informática.

Esto conlleva a la conclusión de la inevitable necesidad de establecer en nuestros entornos de información, medidas de seguridad acordes a las circunstancias, que permitan adelantarnos al potencial problema y actuar proactivamente en todo momento, incluso, atendiendo a buenas prácticas de seguridad para mejorar la prevención.

Jorge Mieres
Analista de Seguridad

Categories: Declaraciones, Malware
2 Comments »

Siguiendo con la Gira Antivirus de ESET en México, hoy fui consultado sobre si las técnicas de BlackHat SEO, orientadas al mundial de fútbol y a otros temas demoda, son utilizadas en otros buscadores a parte de Google que, al poseer el 90% del mercado, evidentemente es el blanco preferido de todos los delincuentes.

Entonces, realizando el mismo tipo de búsqueda, los resultados en los tres buscadores más populares fueron los siguientes:

Google sigue devolviendo miles de sitios dañinos sobre el mundial (que reportamos hace varios días) pero con el aviso de que pueden representar una amenaza. Más allá de este hecho, destacable por parte del buscador, el bloqueo llegó al menos tres días después de que reportáramos los primeros casos y esto prueba la importancia de contar con herramientas de detección proactivas como las de ESET, que bloqueen el sitio al momento de su aparición.

Yahoo! lista los mismos sitios dañinos que Google pero sin ningún tipo de aviso sobre el riesgo de visitarlos:

Por “suerte” los delincuentes no se han percatado de esto (aún) y si se intenta ingresar al sitio desde este buscador, el usuario es redirigido (sin infectarse) a la página de la CNN como explicábamos en ¿Qué sucede en un sistema infectado por un rogue?.

Bing no devolvió resultados sospechosos, lo cual no significa que no existan. Esto puede traducirse como que Bing ha eliminado estos enlaces (lo cual es excelente) o que quizás todavía no ha alcanzado a indexarlos y pueden aparecer en algunos días (hecho poco probable por la velocidad en la que se basan los atacantes y el malware). En este sentido es destacable mencionar que si se realiza una búsqueda específica de los sitios dañinos, Bing lista el sitio pero no muestra las página (generalmente un script PHP) que realiza la infección.

Ask no devolvió sitios potencialmente dañinos pero tampoco dió resultados consistentes con lo que se intentaba encontrar, incluso al refinar excesivamente la búsqueda.

Si bien estos resultados pueden ser anecdóticos, de cierta forma revelan algunas conclusiones como las siguientes:

• Los delincuentes buscan la mayor exposición posible que, en este caso es brindada por el buscador más popular.
• Si bien se puede pensar que los atacantes tienen todo controlado, tienen puntos débiles y el usuario los puede aprovechar para su propio bien y para estar protegido.
• Los buscadores reaccionan totalmente distinto a una amenaza específica.
• Los usuarios tienen alternativas entre las cuales elegir y esto aplica para los sistemas operativos, los navegadores, las aplicaciones y por supuesto los buscadores.
• Existen herramientas de protección capaces de bloquear estos ataques y el usuario las debe utilizar.

Cristian Borghello
Director de Educación

Categories: Black Hat SEO, Declaraciones, Educación
No Comments »

El pasado 9 de mayo, investigadores de Matousec publicaron el artículo Khobe 8.0 Earthquake vulnerability un artículo sobre una supuesta vulnerabilidad o forma de ataque a cual todos los AV, HIPS y, virtualmente cualquier aplicación sería vulnerable, siempre y cuando se utilizaran hooks (enganches) SSDT (System Service Descriptor Table) en el Kernel del sistema operativo Windows.

El tabla SSDT contiene llamadas al núcleo y a las funciones del sistema operativo y por lo tanto a través de ella se puede controlar las funciones del mismo así como también es una manera ideal de controlar la protección en tiempo real, la implementada en los productos de antivirus. Es común, frecuente y correcto que los productos de seguridad obtengan acceso legal a esta tabla para implementar todas las medidas necesarias para evitar la ejecución de código dañino en el sistema.

Esto es lo que describe y “descubre” el paper mencionado pero en realidad, este tipo de ataque es lo que se conoce desde hace tiempo (al menos desde 1996) como ToC-ToU (Time-of-Check-to-Time-of-Use) o genéricamente como Race Condition (condición de carrera) en donde se dice que la primera aplicación en ejecutarse es la que obtiene el control del proceso. También es posible encontrar abundante bibliografía de la técnica en libros y sitios web.

En lo que respecta a los productos de ESET, dadas ciertas circunstancias puede permitir que cierto tipo de malware realice algunas actividades sobre el módulo de Self-Defense, si bien el código a implementar es extremadamente extenso y el exploit tiene muchas limitaciones para que su implementación sea posible en el malware real.

Por ende el terremoto anunciado no es tal debido a que el riesgo para los usuarios es bajo y no tienen que estar preocupados por este tipo de ataque, ya que a pesar de que este posible escenario es conocido desde hace más de 10 años, nunca se lo ha visto en el mundo real. Esto implica varias cosas:

1. El módulo de exploración (scanning) no está afectado
2. Este tipo de ataques no significan un peligro real ni una tendencia en el malware actual, el cual utiliza técnicas más sencillas y masivas (como los rootkits) para realizar ataque
3. Este método no ha sido visto In-the-Wild (o sea, activo en el mundo real) en la actualidad si bien la investigación original ya tiene muchos años de publicada
4. Por último y más importante, si el ataque KHOBE se lleva a cabo es porque el mismo se está realizando sobre un sistema ya comprometido previamente

En este momento ESET está investigando para prevenir este tipo de ataque en caso de que se comience a utilizar de forma abusiva en algún momento. Además, siempre es necesario que los usuarios mantengan actualizada las soluciones de seguridad y que cuando navegan por Internet o utilicen sus equipos sigan las buenas prácticas de seguridad para aumentar aún más el potencial riesgo de ataques informáticos.

Cristian Borghello
Director de Educación e Investigación

Categories: Declaraciones, Educación
1 Comment »