EnHacke » codigo

Symantec ofreció USD$50.000 para que hackers no revelaran el código de su software

admin_ — Tue, 07 Feb 2012 20:29:01 +0000

Un grupo de hackers intentó conseguir USD$50.000 de Symantec para no revelar el código fuente de Norton Antivirus y PCAnywhere. Aunque Symantec lo ha tratado como un caso de extorsión, los hackers aseguraron a la agencia Reuters que nunca intentaron conseguir dinero de parte de la empresa, y que todo el asunto fue un intento de avergonzar a la empresa por su mala seguridad.

En Pastebin se postearon una serie de correos electrónicos entre un empleado de Symantec llamado Sam Thomas, y un representante del grupo de hackers denominado “YamaThough”. En los e-mails, Symantec acepta pagar US$50.000 para que el grupo destruyera el código y – quizás lo que parece más grave – afirmara públicamente que nunca había conseguido acceso a esa información, negando así que sus sistemas hubiesen sido inseguros.

Sin embargo, YamaThough afirmó en Twitter que “no lo creerían, pero Symantec acaba de ofrecernos dinero para que nos quedemos en silencio” – algo que da a entender que la iniciativa monetaria partió de la compañía.

Symantec asegura que “Sam Thomas” en realidad era un agente policial - ”cuando llegaron a nosotros con el propósito de extorsionarnos, fuimos a la policía”, señaló un vocero a Forbes. Así, la oferta de los USD$50.000 habría sido un señuelo para intentar rastrear al hacker.

Un grupo que se autonombra como los “Lords of Dharamaja” aseguró que tenía el código de PCAnywhere en enero, lo que causó que Symantec pidiera a los usuarios que bloquearan todos los puertos de su computadora que estén asociados a esta aplicación.

Como sea, el grupo de atacantes publicó ayer un archivo torrent de 1.27 GB con el código de PCAnywhere en The Pirate Bay (sin tomar el dinero). Symantec dice estar analizando el código para saber si es auténtico o no, pero si eres usuario de este programa, valdría la pena empezar a preocuparse. En tanto, el código de Norton Antivirus será publicado hoy, según anunció YamaThough.

Descubren un troyano para Android que muta con cada descarga

admin_ — Mon, 06 Feb 2012 14:09:51 +0000

Las técnicas polimórficas, presentes desde hace años en el mundo del PC, acaban de aparecen en el de los dispositivos móviles, demostrando el creciente interés que para los hackers tienen los smartphones.

Investigadores de la empresa de seguridad Symantec han descubierto un nuevo troyano para Android capaz de modificar su código cada vez que es descargado con el fin de superar las detecciones antivirus.

Esta técnica, que lo que hace es generar virus polimórficos, no es nuevo en el mundo de los ordenadores, donde existe desde hace años, pero acaba de ser adoptada en el mercado móvil. La técnica se basa en un mecanismo que modifica ciertas partes del troyano con el fin de asegurar que cada aplicación maliciosa que descarga es única. Los expertos aseguran que es algo diferente de los polimorfismos locales, donde el malware modifica su propio código cada vez que se ejecuta.

Symantec ha identificado múltiples variantes de Android.Opfake, todas ellas distribuidas desde páginas webs rusas. El malware tiene instrucciones de enviar mensajes SMS a números premium desde varios países europeos y otros que antes pertenecían a Rusia.

Detectar amenazas de malware que utilizan polimorfismo puede ser difícil para algunos productos de seguridad, sobre todo si basan su capacidad de detección en firmas estáticas. En el caso de Android.Opfake el nivel de polimorfismo no es muy alto y sólo algunos de los archivos de datos del troyano son modificados por el servidor de distribución.

Los smartphones, que ofrecen capacidades similares a las de un ordenador, han llamado la atención de los ciberdelincuentes, que están aplicando todos sus conocimientos del mercado de ordenadores para hacer que sus creaciones tengan incluso más éxito.

Más de un millón de sitios afectados por un ataque

admin — Tue, 10 Jan 2012 19:43:25 +0000

Lilupophilupop es el nombre de la nueva amenaza que ya afectaría a más de un millón de páginas web. Este ataque se produce al introducir una línea de código dentro del sitio con la instrucción de redireccionar a la víctima a un sitio donde se le insta a descargar una versión falsa de Adobe Flash Player o incluso antivirus aparentemente legítimos. En realidad estos programas contienen malware que de instalarse afectaría al sistema del usuario.

En el último mes este ataque de inyección de código SQL ha experimentado un crecimiento más que notable. De 80 sitios infectados se ha pasado a más de un millón en solo un mes, aunque el método de contabilizarlo no es del todo fiable, ya que no se separa los sitios infectados de las webs en las que solo se hable del ataque. A través del código SQL se introduce el script Lilupophilupop dentro del código de JavaScript de las páginas web. Este script es el que envía al usuario a las páginas vulneradas y le insta a realizar la descarga de los falsos programas.

Los investigadores temen que este ataque esté automatizado o al menos parcialmente automatizado, lo que podría provocar que el número de sitios afectados aumentara considerablemente en los próximos meses. Los sitios más afectados son aquellos propios de Holanda (con el dominio .nl), aunque también se han detectado dominios de otros países y algunos sitios .org y .com.

Para saber que sitios pueden estar sufriendo este ataque, y para saber si tu propio sitio es uno de los atacados, basta con buscar en Google un parametro como vemos en la imagen de abajo. En caso de aparecer en los resultados de búsqueda el sitio tendrá todos los papeles para ser uno de los afectados. Aunque el ataque ya ha adquirido proporciones alarmantes, algunos analistas han instado a mantener la calma hasta que se realice una investigación más en profundo sobre su alcance real.

La evolución del malware Ramnit

admin — Mon, 09 Jan 2012 18:41:26 +0000

Aunque lleva un buen tiempo en la Web, el malware conocido como Ramnit ha recibido la atención de los medios después de su aventura enFacebook, a través de la cual logró robar cerca de45 mil nombres de usuario y contraseñas, principalmente en el Reino Unido y Francia. Sin embargo, su historia parece estar lejos de terminar. Con la ayuda de un poco del código de la botnet Zeus, Ramnit ahora puede ser más flexible, dejando atrás su rol de simple gusano. ¿Tenemosun nuevo Conficker en puerta, o lo atraparemos antes de que incendie todo?

Si tenemos en cuenta a la base de datos de Symantec, el gusano Ramnit fue originalmente detectado a mediados de enero de 2010 (Microsoft anuncia que su descubrimiento fue en abril de ese año). Pero su forma original es poco relevante frente a lo que pueden hacer sus variantes. Una de ellas apareció en marzo de 2011, con la capacidad de infectar documentos de Office, además de clásicos como ejecutables y bibliotecas, y el hecho de copiarse a unidades extraíbles para aumentar aún más su rango de infección. En el verano pasado, las infecciones detectadas de Ramnit aumentaron de forma significativa. Symantec reportó que más del 17 por ciento de todo el malware que sus productos bloquearon entre junio y julio de 2011 estaba representado por Ramnit. En agosto, Ramnit recibió cierto perfil fraudulento a partir del filtrado del código Zeus. Y entre septiembre y diciembre de 2011, se confirmó la infección de 800 mil sistemas.

Como si fuera poco, la última variante de Ramnit logró adquirir unas 45 mil contraseñas de Facebook, con una especial concentración sobre usuarios del Reino Unido y Francia. En promedio, Facebook debe lidiar con unas 600 mil cuentas “comprometidas” diariamente, pero es lógico asumir que múltiples formas de malware están incrementando su presión sobre la red social para incrementar tanto la velocidad de las infecciones como su alcance, y Ramnit no es la excepción. Lo que hace peligroso a este gusano es que, con la integración del código Zeus, Ramnit puede ser “personalizado” a través de varios módulos, aunque el objetivo final continúa siendo el mismo: Obtener cualquier información relacionada con tarjetas de crédito y/o cuentas bancarias, para “limpiar” a los usuarios afectados.

Las recomendaciones generales para los usuarios finales se mantienen intactas. Con un antivirus actualizado, un firewall activo y un comportamiento coherente a la hora de navegar por la Web y revisar el perfil de Facebook (el gusano afecta a plataformas Windows, pero hoy nadie debe descuidarse), deberíamos permanecer lejos de las garras de Ramnit y cualquier otro malware similar. Cualquier enlace o mensaje extraño que recibas en Facebook debe ser bloqueado y reportado de inmediato, ya que es probable que uno de tus contactos tenga el ordenador infectado y ni siquiera esté consciente de ello.

IBM confirma una vulnerabilidad importante

admin — Fri, 06 Jan 2012 21:05:58 +0000

IBM ha lanzado un boletín de seguridad en el que alerta sobre una falla de seguridad importante en la herramienta de diseño de software Rational Rhapsody. La falla afecta a Windows y podría permitir que los hackers ejecutasen código en los sistemas de los usuarios de forma remota.

Rational Rhapsody es una herramienta de IBM pensada para los desarrolladores de software. En la descripción de Rational Rhapsody, IBM explica que “es un entorno de desarrollo para software que permite la validación preliminar del comportamiento del software. Se trata de un sistema que funciona como ‘banco de pruebas’ para que los desarrolladores puedan probar la estabilidad y comportamiento de sus creaciones”.

La compañía ha publicado un boletín de seguridad en el que ha alertado sobre una vulnerabilidad importante en Rational Rhapsody. Según IBM, esa vulnerabilidad puede permitir a los atacantes introducirse en el sistema y ejecutar código de forma remota, con los riesgos que ello conlleva.

En concreto, la compañía ha explicado que la vulnerabilidad se encuentra en una de las partes del sistema, identificada como Blueberry FlashBack Active X. Los hackers podrían valerse de esta vulnerabilidad para conseguir que el usuario ejecute un archivo que desencadenaría el ataque al Active X. Según IBM, la vulnerabilidad se puede desencadenar al ejecutar un archivo malicioso específicamente diseñado o incluso al acceder a un enlace específico a través de Internet Explorer.

El problema afecta a varias versiones de Windows y de Internet Explorer, y permitiría que los hackers accediesen al sistema y pudiesen ejecutar código malintencionado. Por el momento, IBM ha asegurado que no ha registrado ningún incidente relacionado con esta vulnerabilidad desde el mes de diciembre, cuando se detectó el problema.

Como soluciones, IBM recomienda a los usuarios que actualicen a la última versión de Rational Rhapsody para prevenir incidentes. Para aquellos que no puedan actualizar de forma inmediata, la compañía recomienda desactivar el Active X de Internet Explorer como medida de precaución, y actualizar lo antes posible.

Audio # 2 – Las botnets

admin — Tue, 03 Jan 2012 12:45:41 +0000

En este audio hablaremos sobre las redes de ordenadores zombies o botnets. Estas redes estan conformadas de máquinas infectadas que obedecen a un bot master. Este tipo de ataques es muy utilizado en el cibercrimen para el robo y secuestro de información, para el famoso SPAM, o publicidad de algun producto, entre otros.

Este audio toca ciertos aspectos de las botnets como su definición, medios de difusión, formas de ataque, cibercrimen y contramedidas. Esperamos sea de su agrado.

Play