jueves, 23 de diciembre de 2010

El Spyware Dentro de Tí

Aunque hoy en día los spyware (programas espía) residen en tu computadora o en tu móvil, hay mucho dentro de tí. Cualquier cosa que hagamos, donde sea que vayamos, es guardado en una computadora o en un dispositivo embebido como un teléfono móvil. La Publicación de Noviembre de la revista Hakin9 nos brinda este interesante artículo acerca de spywares.

Que aprenderás...
  • La nueva tendencia Spear spyware (software espía lanza)
  • A cerca de colmenas de spyware

Que debes saber...
  • Lo básico a cerca de computadoras e Internet
  • Lo necesario de seguridad
Estamos en la Era Cibernética donde la única forma de guerra que parece posible es una ciberguerra y los spywares modernos pueden ser una parte clave de la misma si es una guerra entre dos de las más grandes marcas, entre dos negocios competidores o entre dos naciones. Y es definitivamente verdad que seremos testigos en los próximos 5 años de como el mundo del hacking se revolucionará con las siguientes generaciones de spywares. El spyware que reside en nuestras vidas vía una computadora o un móvil. Con más de una década de mantener la más grande compañía de hacking ético en India y la única que investiga en hacking ético para producir un framework (marco) avanzado para el hacking ético. Se ha visto que los spywares cambiaron de programas básicos de archivos por lotes escritos para capturar keylogs a una especie polimórfica que reside como un software normal dependiente en la plataforma de tu computadora, antivirus que se pueden actualizar muchas veces con actualizaciones de firmas de virus. Algunos programadores en las unidades de investigación de la revista Hackin9 crean un spyware llamado appin m@trix para el framework de penetración que atualizado por si mismo para eludir firmas y mofificarse por si mismo regularmente. El spyware también tiene un comportamiento actualizado más allá de solo un plan lógico que hace su detección imposible en tiempo real. La nueva generación de spywares serán duros de manejar y alcanzarán todas las plataformas embebidas usadas por tí.

Tendencias

En una de las colmenas tenemos que colectar spywares, el número de spywares coleccionados alcanzan una medida de 376 familias únicas y sobrepasando las 3000 muestras en un sólo día que es algo alto para una simple colmena. Los spywares están creciendo en número y en su capacidad de difusión sobre diferentes plataformas como Windows, Windows Mobile, Macintosh, Android, Symbian, etc.
Una nueva tendencia de los spywares vienen en una nueva forma llamada Spear Spyware. Spear Spyware es el que es destinado a una organización en particular o a un grupo de individuos y por lo tanto no tiene firmas, es basado en la infraestructura del objetivo. Muchos tipos de spywares son muy difíciles de detectar y tienen por objeto capturar información específica como archivos, nombres de usuarios/contraseñas, información financiera, keylogs (clave de registros), capturas de pantalla de las computadoras objetivo.
Otra tendencia obtenida de la evolución de la escala privilegiada en spywares que se les da un mejor capacidad de espiar incluso en la web y video cámaras, audio junto con funcionalidades normales.
Los spywares creados tienen también por objeto robar datos sensibles de aplicaciones. Un ejemplo obsercado en el 2010 fue Stuxnet que encontró vulnerabilidades en el sistema (exploited) del software SCADA de Siemens y luego convertirse en uno de los más ampliamente spywares difundidos.
Considerando el serio daño logrado por un spyware, los estudios realizados por Forrester Research encontraron que hasta el 87% de PCs están infectadas con spyware aleccionado. Si más aleccionado es el hecho que computadoras infectadas tienen, en promedio, 28 diferentes tipos de spywares instalados cualquier tiempo dado, y un 7% de computadoras infectadas con spyware que graba las señales del teclado como contraseñas y números de tarjetas de crédito.

Los spywares más difundidos en el 2010

El laboratorio de investigación de Appin en Asia y Europa hace investigaciones de análisis/ingeniería inversa regulares de spyware y malware y evalúa que spywares tienen la máxima propagación. Un resumen de la investigación de los más difundidos se muestra a continuación.

  1. PurtyScan: es un pop-up, o ventana emergente. Atrae a un usuario haciéndole propuestas para encontrar contenido pornográfico/spyware en tu computadora y limpiarlo. sin embrago una vez que el usuario hace click será llevado a una website con mucho más spyware y adware esperando infiltrarse en tu computadora.
  2. Gator: Gator graba todo lo que navegas en línea de tal forma que puede saber lo que te gusta. La computadora del usuario es inundada por banners y anuncios tratando de captar tu atención. A menudo terminan en equipos que comparten archivos a través de Kazaa u otros programas P2P o descargas de regalos de sitios aleatorios.
  3. CoolWebSearch: Esta es una forma de malware diseñada para secuestrar tus configuraciones de Internet y reenviárte a su sitio web. Sin embargo el sitio web al que te reenvían está cargado con adware y spyware.
  4. ISTbar/Aupdate: Actúa como una barra de herramientas (toolbar). Continuamente envía un bombardeo de advertencias en ventanas emergentes (pop-ups) mostrando imágenes pornográficas a tu computadora.
  5. Perfect Keylogger: Es es una forma de código muy perjudicial. Graba todo lo que uno tipea en su computadora y puede comunicar tu información más personal hacia el que lo creó.
  6. Trojan-Downloader.Generic: Este es un ataque de puerta trasera (backdoor) que permite al atacante descargar cualquier troyano en la computadora de la víctima. Esta es actualmente una familia de spywares popularmente llamada como los downloaders.
  7. Trojan-Spy.Win32.Zbot.gen: Este es un spyware que revierte conexiones a un servidor remoto y permite al atacante ganar acceso remoto a tu computadora. Este spyware es peligroso y puede capturar todos los datos sensibles guardados en tu computadora como tus contraseñas.
  8. Explorer32.Hijacker: Este spyware secuestra el explorer.exe de windows y reúne información sensible de tu computadora.
Métodos de ataque usados por spywares para difundirse

Appin tiene varias colmenas donde hicieron estudios sobre botnets, métodos usados para difundir botnets que capturan varios ataques, buscan huecos en sistemas que son usados para difundir spywares. Algunos de los ejemplo son dados a continuación:

  1. Atques basados en email : Siempre que tenemos un email instigan a hacer click en un enlace o descargar un archivo pdf. Hay que tener cuidado porque este es uno de los métodos más usados para difundir spywares y ha habido un sinmúmero de ataques desde direcciones Chinas y Rusas.
  2. Pornografía y sitios web con descargas de herramientas gratis: Estos sitios web son colmenas creadas para atraer a la gente y difundir spywares a través de las vulnerabilidades de los navegadores que están siendo explotados.
  3. Herramientas que remueven spywarebque en realidad actúan como spyware: Las herramientas que remueven spyware insitan al usuario a revisar su sistema en busca de spywares pero la policía resulta convertirse en un ladrón. Muchos de estas herramientas remueven otros spywares para añadir spyware para tomar control de tu computadora.
  4. Controladores USB (USB Drivers): Los controladores para USB actúan como un difusor de spywares en una red de computadoras. Hay varios como módulos de propagación que tienen el comportamiento de un gusano y actúan como un portador de spywares.
  5. Robots Chateadores (Chat bots): Con qué frecuencia usted recibe un enlace en una conversación de chat bot de una chica con una foto sexy? Es es de nuevo uno de los métodos para difundir un spyware en un ared de gente relacionada un con otra donde el software empieza a mandar enlaces maliciosos que descargan el spyware en tu computadora.
Avances más recientes

Como una actividad de investigación para encontrar nuevas vulnerabilidades el equipo de Appin creó un probó un concepto de spyware inteligente parecido a un spyware profesional capturado de una de las colmenas. Este spyware fue lo suficiente inteligente para reiniciarse una ves que estaba detenido. TAmbién el spyware tiene un único comportamiento y puede reiniciarse por sí mismo después de haber sido formateado. La parte extraña fue que ninguna de las características de seguridad de windows 7 y antivirus detectaron este comportamiento. Los hackers ahora han empezado a usar spywares inteligentes que en su mayoría son imposibles de remover de las computadoras. Investigaciones llevadas a cabo por Appin tienen el objetivo de crear una lista de 100 casos heurísticos que puedan ser usados por IDS's, antivirus para detectar tales spywares.

martes, 19 de octubre de 2010

Los Sitios Más Peligrosos en la Web

PC World en su edición de noviembre acaba de presentar un artículo con los sitios más peligrosos en la web, sitios que no sospecharíamos que estarían en esta lista muestran riesgos que gracias a la recomendación de expertos podemos controlar. Se clasifican en cinco niveles de amenazas.

Azul (Perfectamente Seguro): Es calificado como un paraíso donde nada malo puede pasar.

Verde (Ligeramente Peligroso): Aunque es peligroso y puedes ser infectado por un malware o comprometer tu privacidad, el riesgo es bastante bajo.

Amarillo (Moderadamente peligroso): Pise cuidadosamente estos lugares, un click en el lugar equivocado sería poner tu computadora en peligro.

Naranja (Muy peligroso): Amenazas para tu privacidad y seguridad abundan aquí, es mejor no entrar en estos sitios.

Rojo (Inseguro): Realmente quedarás destripado en estos lugares!

El lugar: Sitios que usan flash
La amenaza: Archivos flash maliciosos que pueden dañar tu PC
Amarillo (Moderadamente peligroso)

Gráficos en Flash del software Adobe se han convertido en un gran objetivo de malwares en los años recientes, forzando a la compañía a impulsar parches de seguridad frecuentemente. Pero otro peligro está asociado a las cookies Flash, que son pequeños datos que sus creadores usan para guardar opciones relacionadas con Flash, entre otras cosas como los sitios que visitas; peor aún, cuando borras las cookies de tu navegador, las cookies Flash permanecen.

Si quieres entrar de todas maneras: Para protegerte de los ataques basados en Flash, estate seguro de tener los plug-ins actualizados de Flash. Y podrás configurar el plug-in para preguntarte antes de descargar las cookies Flash.

El lugar: Twitter
La amenaza: Enlaces acortados que te llevan a lugares potencialmente perjudiciales
Naranja (Muy peligroso)

Los estafadores aman Twitter desde que se basa en URL acortados, que hace que largas direcciones de Internet ahora se vean más cortas e indescifrables a la vista y podrían ser amenazas como troyanos.

Si quieres entrar de todas maneras: Simplemente no hagas click en los links, claro que ese no es el propósito de usar twitter así que mejor es usar el cliente Twitter. TweetDeck y Tweetie para Mac, que tienen opciones para dejarte ver los URL antes que vayas a ellos.

El lugar: La bandeja de entrada de correo electrónico
La amenaza: Correos estafadores que te hacen instalar malwares u obtienen tu información
Amarillo (Moderadamente peligroso)

Aunque pishing y correos adjuntos no son temas nuevos, los señuelos de los ladrones de Internet son envolventes y en algunos casos son muy difíciles de distinguirlos de un correo legítimo. Por ejemplo parecería un nuevo correo de Amazon en nuestra bandeja de entrada pero debemos ser cuidadosos en ver el correo electrónico del remitente.

Si queremos entrar de todas maneras al lugar: Es mejor no creer en nada que aparezca en nuestra bandeja de entrada y cuando haya correos con enlaces es mejor no hacer click en ellos, por otra parte ir directamente al sitio sugerido.

El lugar: Sitios de Torrents
La amenaza: Malwares escondidos en la música, videos y software de descarga
Rojo (Inseguro)

Sitios de Torrents como BitTorrent son a veces usados para compartir música, videos y software pirata y son una mina de malwares, nadie hace caso a los archivos incluidos en las carpetas, que podrían ser malwares. Ben Edelman un investigador de la Escuela de Negocios de Harvard, piensa que "los sitios de torrents son los más peligrosos porque no tienen un modelo de negocio o reputación que defender. "Los consumidores de torrents realmente no quieren pagar" dice él.

Si desea ingresar de todas maneras: Use una segunda computadora para no dañar su sistema principal. Use antivirus, actualícelo, escanee los archivos descargados y espere un par de días para abrirlos después de actualizar tu antivirus. Malwares de estreno o nuevos para los antivirus pueden ser difíciles de capturar.

El lugar: Sitios porno legítimos
La amenaza: Malware en fotos o videos de chicas con pocas vestiduras
Amarillo (Moderadamente peligroso)

Los sitios porno tienen una reputación de ser menos seguros que otros sitios, pero esa suposición no dice toda la verdad. "No hay duda que visitando Websites de enferma reputación es fatalmente peligroso. Si tienes éste hábito, es de esperarse que serás atacado en algún punto," dice Roger Thompson, jefe oficial de investigación con la empresa de seguridad AVG. "Desafortunadamente, estando fuera de estos sitios no nos mantiene a salvo, porque sitios ingenuos son hackeados todo el tiempo, y son usados como señuelos para atrapar víctimas por los servidores atacantes." Como fue mencionado antes, muchos sitios porno operan actualmente como negocios legítimos que quieren atacar y retener consumidores.

Si quieres entrar de todas maneras: Sospecha de descargas de video o sitios que requieren que instales codecs para ver videos. Y sigue considerando usar otra computadora para ver estos sitios, más si la computadora es familiar!

SiteAdvisor (www.siteadvisor.com) puede ayudarte a esquivar sitios maliciosos. Y, de nuevo, considera visitar éstos sitios en una computadora secundaria. No querrás tu historial en el navegador sea visto por todos tus familiares.

El lugar: Sitios de descarga de videos, redes peer to peer
La amenaza: Troyanos disfrazados como codecs de video infectan tu computadora con malware
Naranja (Muy peligroso)

Si quieres ver o descargar video online, te piden descargar un codec de video (una pequeña pieza de software que provee soporte para un tipo de archivo de video) por lo menos uno. Usualmente, estos bits de software son perfectamente legítimos (por ejemplo, el popular codec DivX), pero algunos de menos reputación descargan servicios o sitios de video que podrían direccionarte a descargar un malware disfrazado como codec.

Si deseas ingresar de todas maneras: La opción más segura es seguir sitios conocidos como YouTube y Vimeo. Y para ver los últimos episodios de tu show favorito de TV, Hulo, TV.com, ABC.com, y iTunes son redes muchos mas seguras que las peer to peer.

El lugar: Smarthphone
La amenaza: Geolocalización, tu smarthphone y tal vez otras partes saben donde estas
Verde (Ligeramente Peligroso)

El mercado de los smarthphones está aún en su infancia y tantas son las amenazas. Un tema concerniente es el uso o abuso de la geolocalización. Aunque un montón de datos legítimos existen, es potencial el mal uso. Existe un caso, en el que un juego listado en el Mercado Android fue realmente un cliente para una aplicación espía. Apple recientemente actualizó su póliza de privacidad para reflejar cambios en como se maneja datos de localización en iOS 4. Ahora dice que "para proveer servicios basados en localización en productos Apple, Apple y nuestros socios y licenciatarios pueden recoger, usar y compartir datos precisos de localización."

Si quieres entrar de todas maneras: Se exigente a cerca de sitios basados en localización, aplicaciones, y servicios que usas. Servicios como Yelp son buenos ejemplos de uso de aplicaciones de localización. Por otra parte, pesa la privacidad implícita de servicios como Foursquare o la nueva característica de Facebook Places, y considere cuán cómodo te sientes divulgando.

El lugar: Motores de búsqueda
La amenaza: Un motor de búsqueda "envenenado" resulta el camino a sitios en Internet que portan malwares
Naranja (Muy peligroso)

Búsquedas en motores envenenados es la práctica de construir sitios o páginas contaminadas que son diseñadas para estar los primeros lugares de una búsqueda a cerca de un tema. Por ejemplo, de acuerdo a un reciente estudio por la firma de seguridad McAfee, el 19% de resultados a la búsqueda "Cameron Diaz y screensavers" tienen algo de carga maliciosa. Noticias de última hora y Facebook son también objetivos para los atacantes.

Si quieres entrar de todas maneras: Elige a que sitios quieres ir. No justamente con un click a ciegas sobre los resultados de búsqueda, mira cada URL antes de conducirte al sitio que quieres. Sin embargo cualquier sitio puede ser hackeado, visitando el sitio de Toshiba directamente es más sabio que hacer click en un lugar desconocido que fue resultado de la búsqueda de un controlador de la marca.

El lugar: Sitios Hackeados
La amenza: PDF's maliciosos que tratan de confundirte para instalar malware
Naranja (Muy peligroso)

También llamados PDF's envenenados son archivos PDF que han sido modificados de tal manera que activan bugs (errores) en Adobe Reader y Adobe Acrobat; posteados en una Website secuestrada, ellos pueden dejar un atacante que expropia tu computadora y accede a tus archivos e información personal. Una nueva variante toma de otro modo un documento PDF inocente para leer e inserta malware en él. Adobe Reader puede mostrar una alerta preguntando si quieres correr el malware, pero los hackers pueden editar esos mensajes para trucarlos y resultes abriendo el archivo. Que tan serio es el problema? En el 2009, los ataques usando PDF's maliciosos hicieron el 49% de ataques basados en Web, de acuerdo a la firma de seguridad Symantec.

Si quieres entrar de todas maneras: Primero, siempre estate seguro que estás corriendo la más reciente versión de Adobe Reader. También puedes usar un lector de PDF's diferente, como Foxit Reader. Esto puede protegerte de ataques en hoyos en Adobe Reader, pero no te hacen inmune a todo los ataques PDF, como los nuevos que embeben malware dentro del PDF. Esté seguro de tener el Adobe Reader 9.3.3 o posterior, los usuarios de Reader 8 deben tener el 8.3.3; estas actualizaciones cambian la forma en como Adobe Reader maneja elementos adjuntos que no son PDF's y reduce el riesgo de ataques. Puedes desactivar la habilidad de abrir objetos adjuntos que no son PFD (non-PDF) en la parte de Preferencias, yendo a la parte Administrador de Confianza y desactivando: Permitir abrir archivos no PDF adjuntos con aplicaciones externas. La siguiente versión de Acrobat y Reader proveerán de nuevos "modos de protección" contra estos ataques.



El lugar: Sitios de descarga de videos
La amenza: Archivos de video maliciosos usando defectos en el software del reproductor para secuestrar computadoras
Amarillo (Moderadamente peligroso)

Los atacantes saben como explotar defectos en reproductores de video como Quick Time Player y usarlos para atacar PC's. Estas amenazas son a menudo archivos de video "deformados" que, como los PDF's maliciosos activan bugs (errores) en el software del reproductor que deja a los atacantes espiarte, plantar otro malware, y más.

Si quieres entrar de todas maneras: Mantén tu software de reproductor actualizado. Apple y Microsoft periódicamente publican parches para Quick Time y Windows Media Player, respectivamente. Esquivando la descarga de videos aleatoriamente. Adherido a sus prestigiosos sitios de video como YouTube, o descargar servicios como iTunes.



El lugar: Sitios legítimos hackeados
La amenza: Descargas Drive-by que instalan malware cuando visitas un sitio
Rojo (Inseguro)

Una descarga Drive-by ocurre cuando un archivo descarga y/o instala a tu PC sin que te des cuenta. Estas descargas pueden suceder de cualquier sitio. Algunos sitios son hechos de señuelo en una descarga Dirve-by para la gente; pero en un método común de ataque, los criminales pueden Hackear una página Web, a menudo en un sitio legítimo, e insertan código que descargará malware a tu computadora.

Si quieres entrar de todas maneras: La primera cosa es mantener tu software de seguridad acutalizado, y correr regularmente escaneo de malwares. Muchas suites de seguridad pueden notificar descargas sospechosas.



El lugar: Tu bandeja de entrada, Sitios legítimos hackeados
La amenza: Software antivirus falsos que extorsionan dinero e información de la tarjeta de crédito
Rojo (Inseguro)

Los antivirus falsos actúan como los reales, con mensajes de alerta. No parecen ser falsos hasta que te das cuenta que éstas alertas te acribillan y sabes que estas en problemas. La mayoría de antivirus falsos son conocidos como extortionware (artículo de extorsión): La versión de prueba puede llevarte a comprar el antivirus falso que usualmente no hace nada por proteger tu computadora. Una vez que has mandado a los criminales tu información de tarjeta de crédito, ellos pueden reusarla para otros propósitos, como comprar algo carísimo a tu nombre. Puedes ser infectado con una aplicación antivirus falsa de muchas formas, por ejemplo, una carga maliciosa se descarga e instala sin que el usuario se de cuenta y tenga el tiempo para reaccionar ante ello.

Si quieres entrar de todas maneras: Si tienes una alerta de que tu has sido infectado con un malware, pero no viene de un software antivirus que no conoces o no has instalado, para de hacer lo que estas haciendo. Trata de iniciar en Modo a Prueba de Fallos y escanea tu computadora con un antivirus que si instalaste. Sin embargo, la escaneada no puede borrar todos los malwares, sino que no tiene la firma para un fragmento, o esa pieza no actúa como un malware. Esto puede hacer inútil la detección de comportamiento (como un malware se comporta en tu computadora). Si todo lo anterior falla, necesitarás llamar a un profesional.

El lugar: A cerca de cualquier sitio Web con publicidad
La amenza: Publicidad fraudulenta en sitios que te conducen a estafas o malware
Amarillo (Moderadamente peligroso)

Toda la publicidad no es mala! La publicidad ayuda a sitios a pagar sus cuentas. Pero cybercriminales han puesto publicidad en sitios populares como señuelo para atrapar víctimas. El año pasado, el sitio de New York Times publicó un anuncio de estafadores, y a inicios de éste año algunas compañías no tan escrupulosas jugaron con el programa de enlaces de publicidad de Google y publicaron anuncios que parecían como enlaces de compañías mayores. "El chico malo se ha vuelto muy inteligente para explotar redes de publicidad online, trucándolas para distorsionar anuncios que efectivamente cargan contenido malicioso, especialmente repugnantes, las ventanas emergentes para detectar antispyware", dijo Eric Howes de Subnet Software.

Si quieres entrar de todas maneras: Los sitios más grandes, como PCWorld.com, tienen tiendas de anuncios que trabajan frecuentemente con un grupo principal de publicidad grande, tal que es probable seguro hacer click en un anuncio de Microsoft en el sitio de New York Times. Pero como los enlaces de patrocinadores de Google muestran incidentes, nada es enteramente a prueba de fallos.


El lugar: Facebook
La amenza: Aplicaciones de Facebook cuestionables
Amarillo (Moderadamente peligroso)

Las aplicaciones de Facebook han sido de largo una cuestión para los expertos de seguridad. Tu no sabes siempre quién es el desarrollador de las aplicaciones, que hacen ellos con los datos que recolectan, o qué prácticas de seguridad de datos tienen los desarrolladores. A pesar de que tienes que aprobar las aplicaciones antes de que ellas puedan aparecer en tu perfil y acceder a tu información personal, desde allí la seguridad de tus datos está en las manos de los desarrolladores.

Si quieres entrar de todas maneras: Se selectivo con las aplicaciones que agregas a tu perfil, no tomes cualquier test, por ejemplo. Mira tu configuración de privacidad para las aplicaciones de Facebook, como sigue: Haz click en Cuenta en la parte superior derecha de tu pantalla y se despliega un menú, allí hacer click en Configuración de Privacidad, y has click en Perzonalizar mi Configuración, y ahí puedes controlar que aplicaciones tienen acceso a tus datos, y más; también puedes desactivar todas las aplicaciones juntas.




El lugar: Redes Sociales
La amenza: Sobre exposición, exponer demasiada información personal en tu perfil de la red social
Verde (Ligeramente peligroso)

Sobre exposición no es una forma de conseguir un poco de personalidad, ello puede dejar tu información privada a la vista del público en general. Pero es evitable. "Hay algo sutil y peligroso que poca gente entiende con los sitios de redes sociales, y es la idea de las fugas de información," dijo Roger Thompson de AVG. "Gente, particularmente adolescentes, ponen todos sus datos de información en línea, sin darse cuenta que más gente a parte de sus amigos pueden ver sus datos." La sobre exposición puede conducir a más cuestiones de serias de privacidad posteriormente, añade Thompson. "Como jóvenes adolescentes de hoy alcanzan una edad para obtener una tarjeta de crédito, espero completamente un embate de aplicaciones fraudulentas de de tarjetas, porque ellos involuntariamente divulgan demasiada información. La cosecha ahora esta en camino y no sabemos quién la está haciendo."

Si quieres entrar de todas maneras: Esta amenaza en particular es relativamente fácil de esquivar, hay una pequeña sensación que sentimos y nos puede ayudar: Sé inteligente en postear algo. Realmente es necesario que publiques tu dirección y número telefónico en tu perfil de Facebook? Finalmente, estate atento a la configuración de privacidad y asegurate de no estar divulgando las cosas muy personales a todos los 500 millones de usuarios de Facebook!