AÑO 7 - Nº 05 - MAY 11




 


HACKING BAJO LA LUPA
Autenticación Online

Por Alberto González

Panda ID Soluciones


Extracto Conferencia en Caracas - Venezuela 13 de Abril de 2011

Envíanos tu comentario: contactos@infosecurityvip.com

 

EDICIONES ANTERIORES

ABRIL 2011 

La Red es el Campo de Batalla

Por Harry N Mesa P

System Engineer - Watchguard

Medellín - Colombia

Extracto Conferencia en Medellín - Colombia 6 de abril de 2011

 


MARZO 2011

Drive by pharming

Por Christian Javier Vila Toscano
Senior Security Consultant
I-Sec Information Security

Como es una constante desde hace años el robo de identidad es uno de los principales ciberdelitos que utiliza herramientas tecnológicas para perpetrar el engaño, pharming es una de ellas. Se observan algunas mutaciones de este ataque que tiene como objetivo engañar al usuario cuando intenta acceder a un sitio web conduciéndolo a otro sitio distinto al real.

Routers de bajo costo, algunos wireless, es una forma muy popular de crear redes internas que quedan configuradas en un abrir y cerrar de ojos, según reza el paper de Sid Stamm de la universidad de Indiana; desafortunadamente visitando sitios Web con código malicioso este mismo dispositivo de bajo costo es atacado y la configuración ya no es la misma de la original: los servidores DNS que ahora utilizarán los usuarios de esa red ya no serán los válidos. Inadvertidamente estos inocentes navegarán por algunos sitios web correctos y otros no tan correctos…

Los ataques ahora no son ejecutados tratando de engañar al usuario o explotando alguna vulnerabilidad del browser como ocurría en las formas tradicionales de Phishing o Pharming, sólo es necesario que la víctima se comunique a través de estos baratos dispositivos y que tenga activado JavaScript (el 95% de los usuarios lo permite).

¿Cómo se efectúa el ataque?

Se logra cambiar la configuración del dispositivo en cinco pasos: 1º El usuario visita un sitio web a través del router, 2º ejecuta un Applet que intenta detectar la dirección interna del usuario, 3º JavaScript habilitado intenta bajar scripts desde el host hacia la red, 4º se generan errores que logran revelar la dirección ip del router, 5º finalmente el mismo script ataca el router a la dirección ip ya conocida del dispositivo.

Este ataque no se puede evitar desconectando la opción de configurar el dispositivo desde Internet ya que lo realiza desde el usuario, inclusive agiliza la detección probando con la primera dirección del rango (casi siempre es así prueben en su red y fíjense cual es su dispositivo de conexión seguro que es la primera IP).

El script también realiza un barrido de la red como detección o pero aún los más sofisticados reconocen los tipos de routers para lanzar ataques sólo a ese dispositivo específico, prueban usuarios por default o peor aún no prueban nada ya que hay routers autoconfigurables sin autenticación.

Los scripts tienen un código similar a este:

public class InternalIP extends Applet {
private String getInternalIP() {
int port = 80;
String shost = getDocumentBase().getHost();
if (getDocumentBase().getPort() != −1)
port = getDocumentBase().getPort();
try {
return (new Socket(shost, port))
.getLocalAddress()
.getHostAddress();
} catch(SecurityException e) {
return ‘‘FORBIDDEN’’;
} catch(Exception e) {
return ‘‘ERROR’’;
}
return ‘‘undefined’’ ;
}

Lo que sigue después ya está por demás sabido: redireccionamiento a sitios web apócrifos y finalmente identidad robada, o compromiso de servidores DNS para redes zombies o denegaciones de servicio, ¿sigo?... mejor no!.

Algunas contramedidas técnicas:

Asegurar desde el cliente el entorno de java (JRE) para que no revele direcciones IP, aplicar políticas de restricción para el manejo de mensajes de error.

El router debe estar configurado con credenciales robustas o algún método de autenticación más seguro que el de usuario y contraseña (no lo permiten la mayoría de los dispositivos de bajo costo).

Desde el punto de vista del ISP deberían filtrar el tráfico DNS.

Chequear periódicamente que los servidores DNS sean los correctos.

Lo que sí no se puede hacer nunca con Drive-By Pharming o pharming inadvertido es asumir el riesgo, ya están avisados, entonces ahora que terminaron de leer este artículo verifiquen al menos que los DNS que tienen seteados sean los correctos.


FEBRERO 2011

Hacking Bajo la Lupa
Con menos de u$s8.000 hasta usted ya puede comprarse "el kit" para convertirse en un hacker

Los ladrones que se basan en la informática venden “attack toolkits”, paquetes de herramientas de ataques, que permiten iniciarse en el mundo del ciberdelito a cualquier interesado sin necesidad de grandes conocimientos tecnológicos.

Do It Yourself

El “hágalo usted mismo” (DIY por el inglés “Do It Yourself”) llegó al mundo de la ciberdelincuencia. Y adquirió ribetes tan imprevistos que los propios ladrones informáticos (o "hackers", como se los llama popularmente) venden por menos de 8 mil dólares sofisticados conjuntos de herramientas para robar datos de usuarios de sitios web.

Hasta hace unos cinco años, los ciberdelincuentes debían preparar sus ataques desde cero, debido a la complejidad del proceso. Pero hoy ya no es así, a tal punto que la mayoría de los ciberdelitos son realizados mediante los “toolkits”.

Estos “kits” de herramientas para realizar ataques son programas de software que pueden ser usados tanto por novatos como por expertos.

Estos "equipos" permiten que el atacante lance fácilmente varias amenazas pre-escritas hacia computadoras y también ofrecen la capacidad de personalizarlas para evitar la detección y automatizar el proceso de ataque.

Las nuevas vulnerabilidades o agujeros en la seguridad de los programas que utilizan las empresas y los consumidores son incorporados con facilidad en estos paquetes y son sencillos de actualizar. Según, Symantec, los delincuentes desarrollaron un aparato de ventas profesional y organizado, que ofrece los paquetes como servicios de actualización frecuente, soporte y funcionalidad variable.

“Estos paquetes hacen que sea relativamente sencillo para un principiante iniciar un ataque. Por lo tanto, esperamos un incremento en la ciberdelincuencia y, con ello, un mayor riesgo para el usuario”, advirtió la empresa.

Por supuesto, en la medida en que los paquetes se vuelven más sofisticados, aumenta también su precio de venta. Por ejemplo, en 2006, un conjunto como WebAttacker, costaba 15 dólares en el mercado negro. En 2010, el “kit” Zeus 2.0 es vendido por un valor que llega a 8.000 dólares.

¿Cuáles son los "kits" más comunes? MPack, Neosploit, Zeus, Nukesploit P4ck y Phoenix. Según Symantec, el 61% de todas las amenazas basadas en la web son atribuibles a estas herramientas.

El estudio de este proveedor revela que estos “kits” se volvieron más accesibles y relativamente más fáciles de usar, por lo que se emplean cada vez con mayor frecuencia.

“Esta situación también ha generado que criminales tradicionales, quienes de otra forma hubiesen carecido de los conocimientos técnicos, se incorporen al cibercrimen, fortaleciendo así a una economía global cada vez más organizada, rentable y auto-sustentable”, advierte la investigación.

El caso de Zeus
La relativa facilidad y la efectividad de los “tookits” de ataques contribuyeron a que éstos sean cada vez más utilizados. Por ejemplo, uno de los paquetes más populares, llamado Zeus, representa una amenaza seria para las pequeñas empresas, pues su principal objetivo es robar información de cuentas bancarias.

La rentabilidad de los ataques de código malicioso que utilizan Zeus fue evidente en septiembre de 2010, cuando un grupo de cibercriminales fue arrestado, bajo la acusación de utilizar esta herramienta para el robo de más de 70 millones de dólares en transacciones bancarias en línea y cuentas de compra/venta a lo largo de 18 meses.

¿Qué es Zeus en concreto? Un troyano, un software malicioso que bajo una apariencia inofensiva se ejecuta de manera oculta y permite el acceso remoto de un usuario no autorizado al sistema. El término viene de la historia del Caballo de Troya en la mitología griega, al igual que el Zeus. Zeus es una familia de troyanos financieros de alta especialización orientados al robo de credenciales (claves y contraseñas de clientes bancarios). Es tal su desarrollo que ya se ofrece en paquetes desde 700 dólares hasta versiones más completas como la mencionada arriba, por alrededor de 8 mil dólares, para construir el troyano a medida. Este software intercepta credenciales en cualquier puerto de comunicación por Internet, y hasta genera capturas de pantalla del escritorio de la máquina infectada, por citar algunos ejemplos.

Zeus incorpora una lista de direcciones que, una vez visitadas por la víctima, disparan el proceso de apropiación ilegítima de las credenciales, enviándolas en tiempo real al servidor de destino. También tiene capacidad para inyectar código HTML, superponiendo falsos formularios de autenticación a los legítimos.

Con el nombre del dios griego también se identifica una red de computadoras infectadas que sólo en Estados Unidos cuenta con más de 3,5 millones de máquinas por esta familia de troyanos. Zeus utiliza algunas técnicas para evadir la detección de los antivirus, por lo que es difícil su tratamiento.

Economía del cibercrimen

A medida que los ciberataques se vuelven más rentables, los kits de ataques se hicieron cada vez más populares. Esto llevó a la creación de herramientas cada vez más robustas y sofisticadas que ahora se venden en un modelo de venta por suscripción que otorga actualizaciones periódicas, componentes que extienden capacidades y servicios de soporte.

Los cibercriminales anuncian servicios de instalación, ofrecen alquileres de acceso limitado a las consolas de herramientas y usan dispositivos comerciales anti-piratería para prevenir que los atacantes las usen sin pagar.

Democratización

Como estos “toolkits” se vuelven más fáciles de usar, el cibercrimen ya no está limitado a quienes tienen habilidades avanzadas de programación.

Sus participantes ahora se conforman de una variedad de individuos con habilidades informáticas y de otros con conocimiento en actividades criminales tradicionales como el lavado de dinero.

Pero además, esta economía del cibercrimen se diversifica. Por ejemplo, existen servicios secundarios para direccionar a los usuarios a sitios web maliciosos, donde la seguridad de sus computadoras podría comprometerse. Las tácticas usadas incluyen campañas de spam, optimización de buscadores mediante estrategias no éticas, la inyección de códigos en sitios legítimos, y anuncios publicitarios malignos.

Fuente: Infobae.com


ENERO 2011

Ataque y Detección del Hacker
Rafa Núñez

Enfoque Seguro - Venezuela

Disertante en Infosecurity Vip Buenos Aires 2010

Extraído de la Presentación de Infosecurity Vip - Buenos Aires 2010

Análisis del ciberdelito: ¿Cómo hacen para robar sin datos?. La cadena del delito se inicia cuando un Hacker inserta código malicioso y toma control de un equipo remoto. Estos equipos son llamados "equipos mula" y es a través de ellos que se ejecutan los ataques que terminan en el robo de dinero.

¿Cómo introducen el malware?

 

El atacante conoce a su víctima…

Los atacantes profesionales conocen a sus víctimas a través de diversas técnicas… Entre ellas las redes sociales. Los usuarios tienden a utilizar claves similares a sus fechas de nacimiento, fecha de aniversario, e incluso dígitos de la cédula. Esto le permite al intruso mejorar sus posibilidades…

¿Qué contiene el malware?

El malware puede realizar PHARMING: Cambia el archivo hosts y redirige el DNS de la página a una página pirata. El malware puede utilizarse como keylogger: Recoge las contraseñas del usuario y las envía a través de Internet. El malware puede recoger las claves utilizando overlapping: Una aplicación físicamente idéntica a la original se sobrepone sin causar suspicacia. El malware puede robar los certificados digitales de los clientes. Para todo esto, los bancos protegen a sus clientes utilizando varios factores de autenticación como la matriz de números, la imagen reconocible, el cambio de contraseña, tokens, etc.

¿A que otros riesgos nos enfrentamos?

Una herramienta como el blackberry puede resultar un riesgo a la hora de un robo. Mucha gente utiliza estos dispositivos sin la seguridad mínima para evitar robo de información. Adicionalmente, muchas veces lo utilizan para guardar las claves de banco que no pueden recordar… Cuando las tarjetas y celulares son hurtados al mismo tiempo, el delincuente aumenta sus probabilidades de conseguir información relevante antes de que la víctima llegue a reportar el robo.

Cada vez hay más redes organizadas en el crimen informático

RBN – Russian Business Network: Redes como la Russian Business Network se dedican a la obtención de dinero ilegalmente por internet por cualquier método. El hacker ya no realiza todo el trabajo, parte del trabajo lo compra o lo alquila. RBN es una organización delictiva que actúa en varios países del mundo. Esta red se dedica a vender información que recolectan sobre tarjetas de crédito, Internet Banking, etc. Incluso alquilan BotNets para realizar ataques y obtener claves. En EEUU se reportaron mas de 3.5 millones de bot’s asociados a RBN

 


 

 

Copyright © 2011 I-SEC. Todos los derechos reservados
Política de privacidad