En Genbeta hablamos de software e Internet, y algunos de esos artículos hablan de seguridad informática: vulnerabilidades en aplicaciones, ataques a servidores, protocolos poco seguros… Por eso, hoy en Genbeta vamos a tratar, sin entrar en detalles técnicos, algunos temas de seguridad informática.

Como en todo, conviene saber sobre qué estamos trabajando (Internet en este caso), y cómo protegemos nuestra seguridad. Y qué mejor lugar que Genbeta (tanto en artículos como en los comentarios) para entrar un poco en materia. Aunque no soy un experto en seguridad, voy a tratar de explicaros algunos conceptos básicos de la seguridad en Internet y cómo nos afectan como usuarios.

¿Cómo se mantienen nuestras contraseñas seguras?

Las contraseñas son la primera barrera que ponemos para que nadie puede entrar en nuestra cuenta. En Genbeta os dimos consejos para mantener vuestras contraseñas seguras, pero, ¿qué hacen los servidores, los que las guardan, para que también estén seguras por su parte?

Si vosotros mandáis la contraseña “pepe” al servidor, en su base de datos no se guarda “pepe”, sino algo llamado el hash. Por así decirlo, el hash es la huella digital de una palabra. Teóricamente es único, y a partir de él no se puede recuperar la palabra original. De esta forma, aunque un atacante lograse todos los hashes de un servidor, le resultaría difícil recuperar las contraseñas.

Sin embargo, como bastantes medidas de seguridad, los hashes se pueden saltar a lo bruto, en este caso, probando. Al final, este método consiste en probar muchas combinaciones de letras y palabras de diccionario a ver si alguna coincide. Por eso es importante que vuestra contraseña no sea una palabra o algo sencillo. Si usáis como contraseña “patata”, por mucho hash que haya estáis vendidos.
OAuth (Twitter y Facebook Connect), más seguro que las contraseñas

Logo de OAuth

En algunos sitios tenéis la opción de entrar no con usuario y contraseña, sino con vuestra cuenta de Facebook o Twitter a través del protocolo OAuth. Además de ser más cómodo, este método de autenticación es bastante más seguro.

Este método es bastante sencillo. Cuando entras en un sitio web con Twitter o Facebook, te redirigen a la página de la red social. Ahí, tu das la autorización para que la web pueda acceder (con más o menos privilegios) a tu cuenta. La web recibe un par _token / token_secret_, que son una especie de usuario y contraseña. Con ellos, la web puede acceder a tu cuenta de Twitter o Facebook.

Lo bueno es que cada par de tokens es único. Cada sitio web tiene un par distinto para cada usuario, así que aunque alguien consiguiese todos los pares de todos los usuarios, no le servirían de nada porque sólo sirven para acceder a Twitter/Facebook desde un único sitio. Además, tienen la ventaja de que se pueden revocar: en cualquier momento prohíbes el acceso de la web a tu cuenta sin cambiar ni una sola contraseña.
¿Y nuestros datos? ¿Cómo viajan los datos sin que nadie los vea?
Un certificado, que nos indica que la conexión es segura.Un certificado que nos indica que la conexión es segura.

Seguro que alguna vez os habéis preguntado cómo funcionan eso que llaman las conexiones seguras, que supuestamente impiden que nadie vea los datos. Es sencillo: cifran los datos (que no encriptan, eso es sólo una mala traducción del inglés). El cifrado consiste en transformar un mensaje de forma que sólo se pueda recuperar el original con una clave, que puede ser o no la misma con la que se cifró.

Cuando establecemos una conexión con un servidor seguro, el navegador y el servidor intercambian las claves en un proceso llamado hand-shaking o apretón de manos. Con esas claves se cifra todo el tráfico entre ambos, así que nadie más puede ver los mensajes. Además, con esto se evita los llamados ataques man in the middle, literalmente hombre en el medio.

Estos ataques consisten en que alguien se convierte en el intermediario entre el servidor y el navegador. Todos los datos transmitidos en cualquier sentido pasan por él, de forma que tú, como usuario, podrías estar recibiendo cosas falsas y enviando datos a alguien que no es quien tú esperas. Las conexiones seguras evitan estos ataques, ya que garantizan que el servidor es quien dice ser.

Las conexiones seguras no sólo aplican a la navegación normal, también a las conexiones WiFi. Por eso es peligroso usar una Wifi abierta. No sólo se te puede colar cualquiera, sino que también pueden ver todo lo que transmites. El tráfico no está cifrado, y es como si estuvieses gritando a los cuatro vientos lo que estás haciendo. Cualquiera podría copiar a su ordenador todo el tráfico que generáis, o incluso manipularlo. Resumiendo: si podéis, no os conectéis a redes wifi abiertas.
¿Qué pasa cuando atacan a un servidor?

Que levante la mano el que no haya oído hablar de la palabra DDoS estas últimas semanas. Nadie, ¿verdad? Y es que últimamente, los DDoS están de moda de la mano de Anonymous. Pero, ¿qué es un DDoS?

Los ataques DDoS son ataques de fuerza bruta. Consisten en dar mucho la lata al servidor saturándole a peticiones, hasta que el servidor dice basta y deja de responder. Es un método muy burdo y simple, pero tremendamente efectivo cuando tenemos a un montón de gente haciendo peticiones a ese servidor.

Además de los DDoS, hay ataques a servidores más sutiles, algunos aprovechándose de aplicaciones no actualizadas. Otros están basados en la pieza entre el teclado y la silla, el querido usuario. Efectivamente, muchas veces el usuario se deja un archivo con las claves visible para todos, deja contraseñas por defecto, da pistas de dónde y cómo atacar…

Si tenéis un blog o algo similar, probablemente deberíais revisar este tipo de cosas. Recordad, nunca dejéis las contraseñas por defecto, y no guardéis nada confidencial, como contraseñas, en archivos de texto que estén accesibles.

Por último, también hay otro tipo de ataque muy conocido, los XSS. Son fallos en las webs que permiten que, cambiando algunos parámetros de la URL podamos mostrar cualquier cosa en la web: un texto, un script, una imagen de Mr Bean… No suelen ser demasiado peligrosos, y algunos navegadores (Chrome por ejemplo) ya lo evitan desde el propio navegador.
¿Y a mí? ¿Pueden atacarme a mi ordenador personal como hacen con los servidores?

Esto es bastante más difícil. Además de las medidas de seguridad que ponga el operador, vuestro ordenador está detrás de un router. Aunque alguien consiguiese tu dirección IP, sería complicado llegar a tu ordenador personal ya que habría que pasar por encima de un router que, salvo que hayáis tocado algo raro (como activar la DMZ, que deja el camino libre a vuestro ordenador), no debería dejar pasar ninguna conexión de este tipo.

De todas formas, que sea más difícil atacar a tu ordenador personal no quita que seas invulnerable. Siempre hay virus, troyanos y malware en general esperando a que algún despistado se lo instale en el ordenador, y para eso sólo vale tener sentido común y un buen antivirus.
¿Por qué es peligroso usar aplicaciones no actualizadas?
Una actualización como esta no sólo trae cosas bonitas y brillantes, también evita problemas de seguridad.Una actualización como esta no sólo trae cosas bonitas y brillantes, también evita problemas de seguridad.

En Genbeta, tanto editores como lectores solemos tener versionitis, y siempre estamos instalando la última versión de todo para tener todas las características. Pero no todas las actualizaciones traen novedades, de hecho, la mayoría de ellas corrigen problemas de seguridad.

¿Qué problemas de seguridad de las aplicaciones nos pueden afectar a nosotros como usuarios? Hay muchos tipos, pero el más peligroso es el llamado buffer overflow, o desbordamiento de búfer.

El desbordamiento de búfer es un fallo que hace que un programa escriba en la memoria RAM más de la cuenta. Así, sobrepasa el espacio que tenía asignado y escribe encima de otra cosa. El problema llega cuando esa otra cosa son instrucciones para que las ejecute el sistema. Aprovechándose de estos fallos, un atacante podría escribir en esa zona de memoria y ejecutar el código que le diese la gana en nuestro ordenador. No suena bien, ¿verdad?

Por eso es tan importante que mantengáis vuestras aplicaciones actualizadas. Ya no es sólo tener lo último de lo último, es una cuestión de seguridad.

Y hasta aquí llega este artículo. Espero que os haya servido para saber un poco más de Internet y cómo podéis estar más seguros en él. Si tenéis algo que añadir o que corregir, no dudéis en hacerlo en los comentarios.

Fuente: Genbeta

Mario Ballano, investigador de Symantec, ha publicado una nueva técnica que podría ser utilizada por otros programas para “secuestrar”
privilegios de otras aplicaciones en Android.

En verano de 2010, HD Moore destapó un problema de seguridad en decenas de aplicaciones de terceros cuando eran ejecutadas sobre Windows. Aunque la raíz del problema era, en realidad, una programación insegura de las aplicaciones, dada la magnitud del problema Microsoft publicó un aviso de seguridad con instrucciones para mitigar el fallo. El problema estaba en múltiples aplicaciones de terceros (y propias) para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si las aplicaciones no especifican las rutas completas de las librerías que necesitan, Windows podría llegar, en su búsqueda, a “encontrar” primero las librerías de los atacantes y ejecutarlas. Al principio Moore identificó unas cuarenta aplicaciones, pero poco a poco el número comenzó a crecer. El DLL Hijacking obligó a la actualización de cientos de aplicaciones y otras tantas que nunca fueron corregidas.

La técnica descubierta en Android es similar a este “DLL Hijacking” y tampoco es un problema específico del sistema operativo, sino de si la aplicación gestiona incorrectamente la procedencia de sus dependencias.
Así, para aprovecharla, sería necesario encontrar una aplicación vulnerable instalada en el teléfono y hacer que cargue librerías o plugins del atacante en vez de los suyos legítimos. Para ello, primero estas librerías deben estar localizadas en un punto donde todos puedan escribir para que sean reemplazadas. Por ejemplo, la tarjeta SD del teléfono.

Android ofrece dos clases, DexClassLoader y PathClassLoader para cargar código dinámicamente. La primera API optimiza un código y devuelve el resultado en la variable dexOutputDir, que muchos desarrolladores e incluso documentación de Android, definen como la tarjeta SD. En ella puede escribir cualquiera. Así que un atacante simplemente tendría que reemplazar ese código, y la aplicación lo cargaría creyendo que es el suyo. El atacante heredaría sus permisos.

PathClassLoader tiene un problema parecido con su parámetro libPath.
Android irá a buscar librerías de sistema donde diga este valor, y muchos programadores lo establecen a la ruta de la tarjeta SD. Sin embargo esto no funcionará en ningún caso, puesto que se monta por defecto con permisos de no ejecución. Lo curioso es que se han encontrado varias aplicaciones en el Marketplace que lo intentan.

Lo ideal entonces, es que el desarrollador se preocupe de que todos los archivos son emplazados y cargados desde lugares seguros, (nunca la tarjeta SD). Desde Symantec han contactado con Google para que al menos, en la documentación oficial, se mencione este potencial problema.

Más información:
Android Class Loading Hijacking

http://www.symantec.com/connect/blogs/android-class-loading-hijacking

Fuente: www.hispasec.com

Se ha dado a conocer una vulnerabilidad en Skype (en todas las versiones previas a la 4.2.0.1.55 (v4.2 hotfix #1) para Windows), que podría ser aprovechada por un atacante para evitar restricciones de seguridad y descubrir información sensible.

Skype es un el cliente de VoIP (voz sobre IP) muy popular, tiene millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o de teléfonos fijos. Además está disponible para distintas plataformas Windows, Linux y Mac OS X.

El problema está provocado por un error en el tratamiento de los parámetros en determinadas URIs. Un atacante podría explotar la vulnerabilidad si inyecta un argumento “/Datapath” malicioso; por ejemplo apuntando a un recurso SMB compartido remoto. Esto podría aprovecharse para controlar algunas configuraciones de Skype (como la política de seguridad o la configuración proxy) y conseguir así acceso a información sensible (como los logs de los chats o el histórico de llamadas).

Para lograr explotar con éxito esta vulnerabilidad se requiere engañar o inducir al usuario de Skype a acceder a una URI “skype:” específicamente creada y también dependerá del navegador que use.

Para evitar este problema se ha publicado la versión 4.2.0.1.55 (v4.2 hotfix #1).

Fuente: Hispasec

Apple ha publicado una actualización de seguridad para su navegador Safari (versión 4.0.5) que solventa diversas vulnerabilidades que podrían ser aprovechadas por un atacante remoto para conseguir información sensible, evitar restricciones de seguridad o ejecutar código arbitrario. Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows XP y Vista. Durante los últimos meses se ha ofrecido la descarga de Safari junto con las actualizaciones periódicas de iTunes, el gestor de archivos multimedia de Apple. Se han corregido varias vulnerabilidades en el tratamiento de imágenes que podrían permitir la ejecución remota de código arbitrario al procesar imágenes específicamente construidas. Otro problema se produce al manejar las cookies asignadas por feeds RSS y Atom. También se ha corregido un problema en el tratamiento de determinadas URLs que podría permitir el acceso a archivos locales. Por último, diversas vulnerabilidades y fallos de implementación en WebKit al procesar datos HTML, CSS o XML, que podrían permitir la ejecución de código, o acceder a recursos protegidos en otros sitios web. Hay que señalar que algunas de las vulnerabilidades solo afectan a la versión de Safari para Windows, esto es, no todas las vulnerabilidades afectan al navegador bajo Mac OS X. Se recomienda actualizar a la versión 4.0.5 de Safari para Mac OS X o Windows disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde: http://www.apple.com/safari/download/

Fuente: Hispasec

Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque “altamente sofisticado” de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando, que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos.

En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail que han estado siendo accedidas de forma ilícita durante cierto tiempo, relacionadas con activistas pro derechos humanos en China de varios continentes.

Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras.

McAfee y la “Operación Aurora”
Dentro del marco de investigación conjunta de las compañías afectadas y entidades públicas, los laboratorios de McAfee han analizado varias muestras de malware involucrado en los ataques. De esta forma descubrieron en uno de los ejemplares una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario.

En detalles sobre el ataque, McAfee sospecha que han sido planeados sobre objetivos muy concretos, en particular, personal con acceso a propiedad intelectual valiosa y con métodos de ingeniería social para garantizar el éxito de la infección.

Acerca del malware, utiliza un abanico de vulnerabilidades 0-day. En este punto, McAfee aclara que no han encontrado evidencias hasta el momento sobre un posible y nuevo 0-day en el lector de Adobe, tal como se ha estado especulando en los medios. Tras explotar una de estas vulnerabilidades instala un mecanismo de puerta trasera que permite a los atacantes acceder y controlar el equipo infectado.

Respecto del mediático nombre de “Operación Aurora”, se debe a que el nombre “Aurora” aparece como parte en una ruta de archivo que McAfee halló en dos de los binarios analizados y que presumiblemente, según McAfee, sería el nombre con el que el atacante bautizó la operación.

Microsoft y el 0-day
Poco después, la reacción de Microsoft no se hizo esperar y ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer. Que permite, bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto. Está vulnerabilidad puede ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada para este fin.
Las versiones afectadas son la 6, 7 y 8 en los sistemas operativos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008.

Más Información:
Googleblog – A new approach to China
http://googleblog.blogspot.com/2010/01/new-approach-to-china.html
Operation “Aurora” Hit Google, Others
http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/
Microsoft Security Advisory (979352)
http://www.microsoft.com/technet/security/advisory/979352.mspx
MSRC Blog – Security Advisory 979352 Released
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx

Fuente: Hispasec

Lo que comenzó siendo un affaire entre Google y China va tomando dimensiones cada vez más relevantes. Aunque aparentemente sólo Google y Adobe Systems han confirmado oficialmente haber sufrido ataques especialmente dirigidos al robo de propiedad intelectual, la lista de empresas notorias afectadas parece contener otros selectos miembros entre los que se se podrían encontrar Symantec, Yahoo! y Dow Chemical, entre un total de 34 organizaciones.

Entre tanto, los responsables del producto siguen sin tener claro cómo atajar el problema, motivo por el que empiezan a oirse voces relevantes, como la del propio Gobierno alemán, que dice lo que nadie se atreve a decir: en estos precisos momentos, el consejo a dar a los usuarios de Internet Explorer es dejar de usarlo hasta que las condiciones de seguridad estén mínimamente garantizadas para los usuarios.

Para poner las cosas todavía más difíciles, apuntan en ISC SANS que el código ha sido finalmente publicado, y que el origen del problema es una vulnerabilidad en mshtml.dll, componente del navegador encargado de renderizar las páginas en Internet Explorer. Este código malicioso funciona plenamente en Internet Explorer 6, pero que en caso de tener Data Execution Protection (DEP) activado para el navegador, parece que el exploit no ejecuta código en las versiones 7 y 8.

Como es habitual una vez que un exploit es liberado públicamente, ha faltado poco para que los chicos de Metasploit incluyan el código en sus herramientas para que los responsables de seguridad puedan evaluar en cada caso particular si sus sistemas están afectados.

Consejos prácticos para usuarios
Orientativamente, porque siempre puede haber despliegues en los que DEP esté descativado para Internet Explorer, este modelo de protección fue introducido en Windows XP Service Pack 2, aunque desde estas líneas invito a los lectores a usar Metasploit para verificar su estado de vulnerabilidad. Aquellos que no tengan el conocimiento suficiente, deberían intentar consultar la tabla ofrecida por el fabricante, en la que se consideran vulnerables las combinaciones Windows 2000 y Windows XP con Internet Explorer 6, y potencialmente vulnerables las instalaciones de Windows XP e Internet Explorer 7.

De todos modos, todo lo anterior está condicionado a que DEP para Internet Explorer esté activado, y eso sólo ocurre por defecto en Internet Explorer 8 que corran bajo XP Service Pack 3, Windows Vista Service Pack 1 y superiores, así como en Windows 7. A modo de resumen, toma nota de las siguientes recomendaciones:

• Si careces de conocimiento técnico suficiente o tienes dudas, no utilices Internet Explorer. Haz uso de un navegador alternativo hasta que el fabricante distribuya un parche para su problema. Deberías recibir un aviso de la disponibilidad del parche en las actalizaciones de Windows (las cuales espero tengas activadas en modo automático). ¿Cuándo sucederá esto? No lo sé, como muy tarde, debería distribuirse el parche antes del próximo 12 de febrero, en el ciclo de actualizaciones mensual de Microsoft, aunque no es descartable que la solución esté disponible antes.
• Si tienes conocimiento suficiente y quieres/necesitas Internet Explorer, habilita DEP para el navegador, y deshabilita el soporte para JavaScript en Internet Explorer (advertencia, esto tiene un impacto elevado en el funcionamiento de la mayoría de los sitios). Siempre que la compatibilidad con tus sitios Web y aplicaciones te lo permitan, trata de que el producto esté lo más actualizado posible, lo que significa especialmente alejarse de Internet Explorer 6.

Señoras y señores: lo de Google es sólo la punta del iceberg. El amigo George Kurz está haciendo un seguimiento en vivo en Twitter más que recomendable al hilo de este enorme problema que puede tener implicaciones mucho más severas que las que hoy en día conocemos.

Un saludo, y no dejéis de comentar vuestras dudas.

Fuente: Blog de Sergio Hernando

Con el fin de combatir la distribución de imágenes de explotación infantil, Microsoft dona la tecnología PhotoDNA al Centro Nacional para Menores Desaparecidos y Explotados.

— La mayoría de la gente nunca estará expuesta a fotografías de niños que están siendo abusados sexualmente por depredadores, pero las imágenes de esos abusos se pueden encontrar en los oscuros rincones del mundo en línea, donde las redes de violadores de niños y de consumidores de pornografía infantil producen y distribuyen fotografías de niños victimizados.

El pasado 15 de diciembre Microsoft donó una nueva tecnología al Centro Nacional para Menores Desaparecidos y Explotados (NCMEC), que tiene el potencial de marcar una diferencia drástica en la lucha contra la distribución de pornografía infantil por el Internet.

Christian Linacre, Gerente de Seguridad y Privacidad para Microsoft Latinoamérica, explica que los proveedores de servicios en línea están obligados por ley a reportar dichas imágenes cuando las encuentran. “Pero sólo algunos proveedores las buscan activamente en sus servicios en parte debido a los retos tecnológicos que representa identificar dichas imágenes de forma confiable de entre los millones de fotografías que se comparten cada día, y debido a que las fotografías se vuelven difíciles de identificar cuando se alteran incluso de la manera más sencilla”.

Para resolver este problema, Microsoft Research creó una tecnología llamada PhotoDNATM que permite calcular la firma digital única. “PhotoDNA permite calcular el “ADN”, por así decirlo, de cualquier imagen y después hacer coincidir dicha firma con la de otras fotografías”, explica Linacre. “La técnica de “hashing robusto” de PhotoDNA es diferente a otras tecnologías hashing comunes ya que no requiere que las características de la imagen sean totalmente idénticas para encontrar imágenes que coincidan, permitiendo ser identificadas incluso cuando las fotografías han cambiado de tamaño o han sido alteradas”.

La tecnología PhotoDNA, fue creada en un principio por Microsoft Research y más tarde perfeccionada por Hany Farid, experto en imágenes digitales y profesor de ciencias de la computación en Dartmouth College, para ayudar al NCMEC en sus esfuerzos de encontrar copias ocultas de las peores imágenes de explotación sexual infantil conocidas hasta la fecha.

Ernie Allen, presidente y CEO del NCMEC, afirma que el problema de la pornografía infantil había quedado resuelto a finales de los años 80, ya que el Tribunal Superior de E.U.A. declaró que no se trataba de libertad de expresión, sino que constituía abuso infantil. Las autoridades ya habían desarticulado su distribución e importación. Pero entonces llegó el Internet.

“Hace 20 años pensábamos que este problema había desaparecido”, dice Allen. “Aunque maravilloso y poderoso, el Internet ha creado una oportunidad para que las personas se relacionen con otras que comparten sus mismos intereses y accedan, en la privacidad de sus hogares, a contenido que antes representaba un riesgo salir a las calles a comprar”.

En la actualidad, comenta Allen, el problema se está agravando. Desde el 2003, el NCMEC ha revisado y analizados unos 30 millones de imágenes y videos de pornografía infantil. Dichas fotografías de abuso sexual se confiscan de pedófilos que venden las imágenes ilegales y forman comunidades que refuerzan su interés común en los niños.

Allen afirma que la línea cibernética de denuncias del NCMEC ha atendido 750,000 informes de explotación sexual infantil y pornografía infantil recibidos del público y de proveedores de servicios de Internet. “Revisamos 250,000 imágenes a la semana”, dice Allen. “Eso significa que se trata de un problema masivo”.

PhotoDNA identifica el tráfico

El NCMEC ha trabajado con las autoridades para identificar muchas de las peores imágenes de abuso y explotación sexual infantil. Conforme pasan de pedófilo en pedófilo, muchas de esas imágenes surgen en repetidas ocasiones durante las investigaciones de pornografía infantil. “Nuestro objetivo es detener la victimización”, comenta Allen. “Con PhotoDNA podremos comparar esas imágenes y trabajar con los proveedores de servicios de Internet de todo el país para detener la redistribución de las fotografías”.

La base de PhotoDNA consiste en una tecnología llamada “hashing robusto” que calcula las características particulares de una imagen digital específica —su huella digital o “valor hash”— para compararla con otras copias de la misma imagen. “Al igual que los humanos, cada fotografía es un poco diferente”, dice Allen.

El punto débil en las formas más comunes de la tecnología de hashing es que una vez que una imagen digital se altera en cierto modo —ya sea cambiar su tamaño, volver a guardarla en un formato distinto o editarla digitalmente— su valor hash original es reemplazado por un hash nuevo. La imagen puede parecer idéntica para quien la ve, pero no existe manera alguna de comparar una fotografía con otra a través de sus hashes.

Al trabajar junto con el NCMEC, los investigadores de Microsoft se percataron de ese punto débil en la detección del valor hash y decidieron superar el obstáculo en la identificación de imágenes de abuso. Fue entonces cuando la compañía trabajó con Hany Farid, un notable experto en tecnología digital forense de Dartmouth.

“Todos sabemos que las imágenes digitales, el sonido y el video se pueden manipular. Lo que nosotros hemos estado intentando hacer es restaurar la confianza en esos medios. Ese ha sido el principal enfoque en mi laboratorio de Dartmouth”, comenta Farid.

Microsoft Research creó la tecnología detrás de PhotoDNA y luego colaboró con Farid para desarrollar aún más la tecnología y proporcionarla al NCMEC y a los proveedores de servicios de Internet.

Una niñez para cada niño

Todos pueden ayudar en la lucha contra la pornografía infantil. Microsoft y el Centro Nacional para Menores Desaparecidos y Explotados (NCMEC) están pidiendo a todos los interesados en participar que actualicen su página Windows Live, su página en Facebook, su página en Twitter, su blog o cualquier otro sitio web, y sigan la instrucciones en http://www.microsoftphotodna.com. Ayúdenos a contar una historia positiva y a enviar el mensaje de que juntos podemos marcar la diferencia a favor de las jóvenes víctimas de estos crímenes.

Farid afirma que otro reto para la tarea del NCMEC consiste en encontrar las imágenes entre miles de millones de fotografías flotando por el Internet. Sin embargo, asegura que la capacidad de PhotoDNA de automatizar la búsqueda ayudará también al NCMEC y a los proveedores de servicios de Internet a superar ese obstáculo. Debido a que la cantidad de datos en PhotoDNA es pequeña, permite buscar entre conjuntos de datos grandes para hallar coincidencias con rapidez.

“Si colocara frente a usted unos cuantos miles de millones de imágenes y le pidiera que me proporcionara las que son inapropiadas se daría cuenta de la magnitud del problema”, dice Farid. “Es por eso que hemos estado desarrollando una tecnología capaz de seleccionar las imágenes inapropiadas entre un mar de miles de millones en una forma muy rápida y confiable”.

Nuevas pistas para las agencias policíacas

Una vez que el NCMEC asigna firmas de PhotoDNA a las imágenes conocidas sobre abuso, esas firmas se pueden compartir con los proveedores de servicios de Internet, quienes las comparan con los hashes de las fotografía en sus propios servicios, encuentran copias de las mismas fotografías y las retiran. Asimismo, al identificar copias previamente “invisibles” de fotografías no identificadas, las agencias policíacas obtienen nuevas pistas que ayudan a localizar a los delincuentes.

“El NCMEC está equipado para ofrecer la herramienta PhotoDNA a las agencias policíacas, los proveedores de servicios de Internet y otros que trabajan con el Centro para impedir a los depredadores utilizar el Internet para explotar a niños o traficar con pornografía infantil”, comenta Allen.

Brad Smith, abogado general de Microsoft, afirma que la compañía trabajará para implementar PhotoDNA en los próximos meses en ciertos servicios de Internet como Bing y Windows Live, además de que colaborará con otros proveedores de servicios de Internet que buscan ayudar a detener la distribución de esas fotografías en línea.

“Consideramos que la capacidad de actuar con rapidez y mejorar nuestra eficacia puede marcar una diferencia real en la solución de este problema”, asegura Smith. “Esta es una oportunidad para que la comunidad tecnológica se asocie con el Centro Nacional para Menores Desaparecidos y Explotados y juntos utilicen esta tecnología. Si unimos nuestros esfuerzos podemos causar un impacto mucho más grande”.

-Por PC World LA

Fuente: PC World En Español

El gusano Conficker ha pasado un hito dudoso. Probablemente ha infectado a más de 7 millones de computadoras.

Los investigadores en la fundación Shadowserver Foundation catalogaron computadoras con más de 7 millones de direcciones IP únicas, todas infectadas por las variantes conocidas de Conficker.

Aunque Conficker es un gusano bien conocido, sigue infectando PC. Los expertos de seguridad lo notaron por primera vez en noviembre del año 2008, pero es notablemente elástico y hábil para volver a infectar sistemas incluso después que el software antivirus lo ha quitado.

Los miembros del Conficker Working Group, una coalición de la industria establecida el año pasado para lidiar con el gusano, sospechan que muchas de las PC infectadas tienen copias ilegales de Windows y por lo tanto no pueden descargar las correcciones parciales ni la Malicious Software Removal Tool de Microsoft, habilitado para erradicar la infección.

Curiosamente, los criminales que controlan Conficker rara vez lo han usado. Algunos miembros de la CWG creen que el autor del gusano no quiere atraer más atención, dado su éxito abrumador en infectar computadoras.

“Lo único que se me ocurre es que la persona que lo creó está asustada”, dice Eric Sites, CTO de Sunbelt Software y un miembro del grupo de trabajo. “Esta cosa ha costado tanto dinero a la gente y a las compañías, que si alguna vez encuentran a los responsables van a pasar mucho tiempo en la cárcel”.

El costo del gusano sería aún mayor si Conficker hubiera sido utilizado para desatar un ataque distribuido de negativa de servicio, por ejemplo. Con una botnet de tal magnitud disponible para cumplir las órdenes de su dueño, dicen los expertos, es difícil identificar un límite al daño potencial.

-Robert McMillan

Fuente: PC World En Español

En el mundo del malware, las mulas son las personas que se dedican a realizar el trabajo sucio: mover el dinero desde la cuenta bancaria víctima hacia la suya, y de ahí a través de traspaso de dinero en efectivo, el dinero viaja a los verdaderos atacantes (cerebros de la
operación) mientras ellos se quedan con un pequeño porcentaje y corren todo el riesgo. URLZone ha desarrollado un método para evitar que los investigadores atrapen a estas mulas, y pasar así todavía más
desapercibidos: Usan cuentas de mulas reales durante su comportamiento “habitual”, pero, si notan que están siendo monitorizados, engañan automáticamente a los investigadores realizando transacciones legítimas a cuentas de conocidos de las víctimas que, lógicamente, en realidad no son mulas.

El llamado URLZone está siendo muy especial, por lo innovador de algunas técnicas con las que se protege. Hace algunos días nos llamaba la atención que el troyano fuese capaz de recordar el balance anterior de su víctima, y falsearlo en la cuenta una vez ha sido robado. Así, el usuario no percibe que está siendo víctima de fraude. No puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador troyanizado, o le sea devuelto algún recibo.

URLZone es una evolución de la familia de los Silentbankers que, como característica principal, realiza las transacciones de forma automática.
Habitualmente las contraseñas robadas va a parar a manos de los atacantes y las transacciones ilegítimas son realizadas “a mano” desde otro ordenador. Con URLZone, las transacciones a muleros se hacen de forma automática desde el ordenador de la víctima sin que este lo sepa, lo que complica por ejemplo el demostrar jurídicamente que no ha sido la víctima la que ha realizado la transacción.

Como la mayoría de las empresas que estudiamos malware, RSA FraudAction Research Lab ejecuta en un entorno lo más real posible un troyano, y estudia su comportamiento. Observaron que en su laboratorio, como es habitual, el troyano realiza transacciones de forma automática. Pero, y aquí está lo relevante, comprobaron que las cuentas a las que se hacían transferencias eran cuentas de personas reales, conocidas o no, pero siempre a las que el usuario víctima ya habían realizado transacciones previamente. Esto quiere decir que, cuando el troyano se sabe “monitorizado”, no usa las cuentas de muleros sino que almacena en una base de datos (probablemente junto con el balance anterior de la
víctima) cuentas habitualmente utilizadas por el usuario para realizar transferencias “falsas” cuando le vigilan.

Cuando URLZone detecta que no está en su botnet “legítima”, o sea, la red de sistemas infectados que reciben órdenes de uno o varios sistemas centrales, modifica su comportamiento para eludir a los investigadores.
Si es instalado en un laboratorio, y la red central no “conoce” a ese sistema, simulará un comportamiento extraño, en el que toda persona que haya recibido dinero de la cuenta de la víctima, parecerá que es el mulero de turno. De paso, ocultan así las cuentas de los muleros reales, y perseguir el dinero se convierte en una tarea todavía más compleja.

Todo esto se controla desde el servidor central. Tiene un protocolo especial de comunicación con las víctimas y si, por cualquier razón, sospecha que uno de los sistemas infectados no es una víctima real, sino que ha sido infectado en un sistema de laboratorio, en vez de desconectar o no hacer nada (así actúan la mayoría de troyanos hoy día), busca en su base de datos de conocimiento de la víctima y simula transacciones que no harán más que confundir a los investigadores, bancos, víctimas y sobre todo, a las personas que recibirán dinero sin haberlo pedido y serán acusados de mulas ocasionales.

Sin duda, una inteligente vuelta de tuerca más en el mundo del fraude online.

Fuente:Noticias Hispasec

Se ha detectado una familia de troyanos que, además de todas las técnicas habituales que usa el malware 2.0 para pasar desapercibido, falsea el balance del usuario víctima una vez ha sido robado. Así, el afectado no puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador, o le sea devuelto algún recibo.

Es común hoy en día que los troyanos inyecten campos adicionales en las páginas de los bancos para “capturar” la tarjeta de coordenadas o las contraseñas secundarias que permiten el movimiento del dinero. Es común que se salten restricciones de todo tipo impuestas por los bancos (teclados virtuales, ofuscación, OTP…), destinadas a detener su avance. Casi todos tienen técnicas de ocultación sofisticadas que hacen que a pesar de los esfuerzos de las casas antivirus, no sean detectados en su mayor parte. La mayoría también ofusca su código para dificultar el análisis de los investigadores… Lo que no es tan común es que los troyanos, al robar, falseen el balance de las cuentas del usuario, para que el usuario no detecte que el dinero ha sido traspasado a otro lugar.

La técnica que utiliza esta muestra observada es la misma que se suele usar para monitorizar qué página está siendo visitada e inyectar los campos. Esto habitualmente se realiza a través de BHO (Browser Helper

Objects) en Internet Explorer. Los BHO, al tener completo control sobre el DOM (Document Object Model) de la página, pueden eludir entre otras restricciones el cifrado, e inyectar en las páginas los campos que estimen oportuno. Ocurre de forma totalmente transparente y sobre la página real al ser visitada por un sistema troyanizado. Este mismo método se utiliza para falsear el balance real de la cuenta. Así, el usuario no percibe que está siendo robado. El troyano también se cuida de no dejar la cuenta en números rojos, para evitar igualmente ser detectado.

Cuanto más tiempo pase desapercibido el robo para la víctima, más veces podrá transferir pequeñas cantidades y pasar así también desapercibido para el banco. Los bancos, hoy en día, tienen sistemas de alerta que avisan al usuario cuando se detectan movimientos que se salen del patrón habitual de su usuario. Esto empezaba a ser un problema para ciertos troyanos que realizaban grandes transferencias, pues los bancos advertían al usuario víctima de una posible estafa. Con estos métodos consiguen no hacer sonar ninguna alarma ni en el usuario ni en su banco.

Se ha informado de la difusión de este malware en toda Europa. Algunos lo han llamado URLZone, aunque parece una variante de SilentBanker. El método de infección (esto sí es habitual) suele ser la visita a páginas web legítimas infectadas, que intentan aprovechar diferentes vulnerabilidades del navegador o del sistema operativo Windows para ejecutar código y realizar su función.

Fuente:Noticias Hispasec