En los últimos días dos noticias han circulado por los principales medios de tecnología, relacionadas al malware y las redes botnets.

El primero de ellos, se trata de una botnet conocida por los lectores de este blog: Waledac.

La semana pasada Microsoft informó, a través de su blog, a la comunidad el éxito en el fallo del proceso legal que la propia empresa había iniciado. Del blog de Microsoft se extrae la siguiente información:

La baja de la botnet Waledac que Microsoft llevó a cabo esta semana [...] es el resultado de meses de investigación y aplicada con innovación en una estrategia legal.

El 22 de febrero, en respuesta por la denuncia de Microsoft (“Microsoft Corporation v. John Does 1-27, et. al.“) hacia la corte estadounidense de Virginia, el juzgado federal ordenó y garantizó y forzó el cierre de 277 dominios de Internet utilizados por los criminales de la red botnet Waledac.

Como podrán observar si leen la fuente, Microsoft ha citado la información respecto a las capacidades de envío de spam de Waledac que hemos investigado desde ESET Latinoamérica. Por lo tanto, es de esperarse que esos millones de correos no deseados enviados por la botnet representen al menos temporalmente una baja en la cantidad de spam recibido.

Al respecto Randy Abrams, Director de Educación Técnica para ESET, declaró al portal PC World: “La medición correcta no es cuánto se reduce el spam, sino más bien que este tipo de acciones se conviertan en una herramienta más para combatir el problema“.

Cabe destacar que, según el portal sudosecure.net, las medidas han sido exitosas y se ha notado un decremento importante en la actividad de la botnet.

Por otro lado, el gobierno español informó en el día de ayer que la Guardia Civil desmanteló una red de ordenadores “zombis” compuesta por más de 13 millones de PCs infectados, y conocida por el nombre Mariposa. En esta ocasión, se detuvieron a tres ciudadanos españoles que controlaban la botnet. La red, era utilizada principalmente para el robo de datos personales y financieros en los sistemas infectados, que se habían detectado en más de 190 países distintos.

Como siempre los usuarios de ESET NOD32 no tienen de que preocuparse ya que los códigos maliciosos de dicha red, eran y son detectados proactivamente por  como una variante de Win32/Agent.OSE, una variante de Win32/Peerfrag.EJ y una variante de Win32/Kryptik.AEC.

Como verán, la problemática de las botnets y el crimeware deben ser abordadas en un esfuerzo conjunto entre las entidades privadas y los gobiernos (a través de la legislación y las fuerzas de seguridad), para así dar apoyo y continuidad para combatir este tipo de delitos informáticos.

Sebastián Bortnik
Analista de Seguridad

Categories: Declaraciones, Malware
No Comments »

Sin lugar a dudas, el correo electrónico no deseado, habitualmente llamado spam, constituye uno de los principales canales de propagación de una importante cantidad de códigos maliciosos que buscan comprometer, de alguna manera, la seguridad de los usuarios.

Por otro lado, tanto a nivel hogareño como a nivel corporativo, representan una molestia cada vez más agresiva que, aunque no lo parezca, supone riesgos de seguridad importantes para todo el ambiente de información.

Por ello, quiero compartir una reciente entrevista que me realizó Alcides León quien es Jefe de Redacción de PC World Venezuela y creador del blog Hablando de TI, en la cual se abordan los diferentes escenarios y problemas que ocasiona el spam. A continuación les dejo un adelanto:

Se sabe que actualmente gran parte del SPAM proviene de máquinas zombi, algo que dificulta encontrar al verdadero responsable. ¿Cómo puede un usuario promedio conocer si su maquina está funcionando como zombi?

Los equipos zombis presentan, por lo general, una serie de características que permiten darse cuenta fácilmente si ha sido víctima de infección. El funcionamiento anómalo del mismo y su bajo rendimiento pueden ser indicadores de ello. Sin embargo, si la botnet de la cual forma parte el equipo zombi está diseñada para el envío de spam, los problemas radicarán fundamentalmente en el abuso del ancho de banda de la computadora víctima, con lo cual el usuario experimentará problemas en la navegación.

El hecho de que una computadora se transforme en zombi implica que previamente fue infectada por un código malicioso. En consecuencia, la principal recomendación es la prevención, en este caso, a través de la implementación de una solución de seguridad antivirus que proactivamente sea capaz de detener amenazas, incluso desconocidas.

Ahora sí, sin más preámbulos, pueden encontrar la entrevista completa en el siguiente enlace bajo el título Seguridad 2009: II Cuidado con el spam. Espero que puedan rescatar cosas positivas de la misma.

Jorge Mieres
Analista de Seguridad

Categories: Declaraciones, Educación, Spam
3 Comments »

Es muy común que nos consulten cuales son las tendencias en cuestión de seguridad de la información y malware y por supuesto nuestro Laboratorio cada día publica estas nuevas amenazas y las formas de prevención.

Pero, nadie consulta sobre las viejas y tradicionales formas de atacar al usuario que, lamentablemente son el canal más frecuente de infección de los mismos. Es decir, que se utilizan las mismas técnicas de siempre porque están muy probadas por los delincuentes y ya saben que generalmente funcionan en los usuarios que no siguen las buenas prácticas recomendadas.

Justamente este es uno de los puntos que destaca el último informe de seguridad de Microsoft mencionado lo siguiente:

Las vulnerabilidades explotadas con mayor frecuencia en el software de Microsoft Office durante el primer semestre de 2009 fueron también algunas de las más antiguas. Más de la mitad de las vulnerabilidades explotadas se identificaron y solucionaron en primer lugar gracias a las actualizaciones de seguridad de Microsoft en 2006. En el 71,2% de los ataques, se explotó una sola vulnerabilidad para la que había disponible una actualización de seguridad (MS06-027) desde hacía tres años. Los equipos que contaban con esta actualización pudieron protegerse contra todos estos ataques.

El informe es claro al mencionar que las vulnerabilidades son antiguas y que ya han sido solucionadas hace tiempo. Lo que sucede es que lamentablemente por diversos motivos (desconocimiento, falta de confianza en las actualizaciones, software pirateado o crackeado, etc.) los usuarios no descargan las actualizaciones y por lo tanto dejan abierta una puerta que es utilizada por los creadores de malware para infectar al usuario.

Este informe nos permite remarcar una vez más la importancia de las actualizaciones y aconsenjar la instalación de las mismas para el sistema operativo y para todas sus aplicaciones.

Cristian

Categories: Declaraciones, Informes
1 Comment »

El juego de palabras surgió de una conferencia que presencié recientemente en Virus Bulletin 2009 y se refiere a las confusiones que surgen cuando se habla de la nube o, el mismo término más aceptado en inglés, Cloud Computing.

En primera instancia, la detección de malware por firmas siempre ha tenido dos puntos importantes a considerar:

• El tamaño de la base de datos de firmas de malware detectado aumenta con cada actualización, y esos archivos se encuentran almacenado en el sistema del usuario (visión del cliente), lo cual representa un problema de rendimiento y de consumo de recursos para algunos antivirus.
• Miles de nuevos malware deben ser analizados cada día, lo cual no puede ser llevado adelante por analistas humanos y se necesitan procesos automáticos e inteligentes que los realicen.

Estos puntos mencionados son los más importantes a resolver a corto y mediano plazo en lo que respecta a detección y rendimiento, motivos por los cuales algunas compañías han decidido comenzar a mudar estos servicios a la nube, manteniendo sus bases de datos en línea y analizando los archivos en un servidor, en vez de utilizar el sistema cliente.

Pero, esta “solución” presenta en sí misma algunos riesgos y preguntas tales como:

• El objeto a analizar es enviado a la nube para ser analizado y si bien en la mayoría de los casos sólo se enviará información relativa al mismo (hash, tamaño, cabeceras, estructuras, etc.), podría ser necesario enviar en archivo completo. Esto puede representar una seria vulnerabilidad respecto a la confidencialidad del objeto.
• La base de datos en la nube debe seguir siendo actualizada ¿a cuánto tiempo se puede bajar la actualización? Aunque la respuesta sea a décimas de segundo, el método sigue siendo reactivo.
• El análisis en la nube sigue siendo estático y la detección, por el punto anterior, es más reactiva que proactiva en la mayoría de los casos por lo que si el objeto es analizado en la nube y no es detectado, aún será considerado no dañino (falso negativo) para el usuario.
• Las bases de datos siguen creciendo (ahora en el servidor) y en base al crecimiento de malware detectado, que es mayor a lo que dice la Ley de Moore, ¿hasta cuando será posible seguir ampliando estos archivos?
• Si la conexión a la nube (Internet) no se encuentra activa, el análisis no puede ser llevado a cabo. Este problema de disponibilidad del servicio puede presentarse fácilmente en malware que bloquean el acceso a la red o el acceso a los sitios de las empresas antivirus o, incluso en conexiones lentas por módem, por ejemplo.
• Podrían presentarse problemas de performance referidos a lo que sucede con el objeto analizado mientras se espera respuesta del servicio en línea.
• Sería posible realizar ataques de DDoS a los servidores en la nube, incluso de manera no intencional, debido a la cantidad de requerimientos de los usuarios.
• Dependiendo del país y de que existen diferentes legislaciones en cada uno, ¿qué datos es posible enviar a la nube y cuales no? ¿qué sucede con los que no se puede enviar para realizar el análisis?
• ¿Las botnets pueden manipular un sistema de reputación de una base datos en línea enviando requerimientos falsos?

Sin dudas la nube es una buena alternativa para propagar malware y los atacantes la utilizan a diario. Pero de lo anterior se puede concluir que los servicios de detección en la nube que han comenzado a promocionarse aún necesitan investigación y mucho trabajo para ser perfeccionados.

Hay que tener en cuenta que la seguridad en la nube no es el santo grial y a veces suele ser sólo humo. Este es el motivo por el cual ESET sigue mejorando y perfeccionando su detección heurística para que la misma sea más inteligente y su base de datos muy pequeña, permitiendo los mejores índices de detección avalados por las certificaciones antivirus.

Cristian

Categories: Declaraciones, Educación, Heurística
2 Comments »

Continuamos la entrevista al Director de Inteligencia de Malware de ESET.

P: ¿Cuáles son las reglas de oro para utilizar Internet en paz?

Si encuentro alguna regla de oro, te lo haré saber.

Si existe una regla de oro, no tome nada que se ofrezca como seguro. Hay muchos atacantes ahí afuera – hackers, crackers, scammers, spammers, phishers, etc. – que no tendrán reparo en mentirle al usuario con el objetivo de obtener su dinero, su identidad u otra información sensible. Hay otros que tienen algo que vender – un producto, un servicio, un sitio web, la suscripción a una revista, un blog, etc. – que no le mentirán al usuario, pero no harán suficiente esfuerzo en decirle toda la verdad.

Obviamente, esto trae aparejada la pregunta: “¿cómo hago para saber en quién confiar?”, que es un problema complejo dada la diversidad de sitios existentes.

P: ¿Cuál es el motivo por el que hay más ciber crimen que antes? ¿Cómo puede el usuario prevenirse de estos crímenes?

Hay varias respuestas obvias a esta respuesta y al menos una que no es tan obvia. Por supuesto, esto no garantiza que ninguna de ellas sea correcta.

Una de las respuestas obvias es que el ciber espacio es donde la mayoría de nosotros trabajamos (y dedicamos la mayoría de nuestro tiempo). Por lo tanto, hay maś dinero ahí que el que había anteriormente, cuando se realizaban unas pocas transacciones en linea. Además, está el hecho de que muchas de las características de Internet son escencialmente inseguras, en el sentido de que se utilizan muchos protocolos inseguros, que permiten tecnicamente la ejecución de ataques.

La respuesta menos obvia, es que para mucha gente, es más probable que sean víctimas de alguien a quien no ven. No solo porque no poseen la oportunidad de hacer un chequeo cara a cara (que ofrece pistas que no existen en el mundo online, o están atenuadas), sino porque salvo que el atacante sea un psicópata, es más fácil hacer daño a alguien que uno no ve. En mi opinión personal, la psicología del ciber crimen es más interesante que sus aspectos técnicos.

Entonces, ¿cómo prevenir el ciber crimen? La única forma de hacerlo es cambiando la naturaleza humana. El crimen es crimen, y es inherente a la naturaleza humana (al menos en un mundo económicamente desigual y mentalmente inestables). Uno puede atenuarlo con educación y concientización, o implementando soluciones técnicas efectivas. Muchos profesionales en seguridad piensan que una visión técnica es la única posible, pero no es así. En mi experiencia, ninguna de las dos funciona al 100% pero hacen un buen trabajo en conjunto.

Ojalá hayan disfrutado la entrevista a uno de nuestros responsables de educación e investigación en ESET.

Sebastián

Categories: Declaraciones
2 Comments »