Esperamos sea de su agrado y a la vez los invitamos a tomar nuestros cursos.

Gracias

Interceptando y Modificando conversaciones de MESSENGER from enhacke on Vimeo.

Demostracion de lo fácil que es INTERCEPTAR y MODIFICAR conversaciones de MESSENGER.

Video realizado por el area de CURSOS de la empresa de Seguridad Informática ENHACKE.

www.enhacke.com

Muchas son las diferencias entre una PYME y una empresa de grandes capitales, pero la información interna es clave para ambas,  no se necesita de mucho dinero para conseguir que la información esté segura en el marco de la empresa. Estas medidas son imprescindibles para tener éxito en el negocio.

Los riesgos más comunes para una PYME incluyen los ataques de códigos maliciosos como virus, troyanos, spam, entre otros, las acciones directas como el robo de un notebook con información vital para el dueño o simplemente un desperfecto en el computador. Estas situaciones pueden generar muchas pérdidas, creando incluso la posibilidad de término del negocio.

A continuacion les presentamos las medidas básicas que una PYME debería tomar:

• Respaldar, al menos una vez por semana, el computador que contiene la información clave de la empresa. En la mayoría de los casos, el equipo del dueño de la Pyme es el que posee estos datos críticos, por lo que es muy importante que se tenga una copia alternativa de la información, sin importar el tipo de back up realizado. Hoy por hoy un disco USB externo tiene un valor promedio de sólo $ 50.
• Máximo cuidado con los códigos maliciosos: tener medidas contra virus, gusanos, troyanos y otros, especialmente con el uso de antivirus que puedan enfrentar este tipo de amenazas. Recomendamos comprar programas licenciados, que tienen costos muy bajos (desde $ 15), ya que generalmente los programas que se pueden descargar gratuitamente de la red también son códigos maliciosos, por lo que una inversión de este tipo salvará de muchos dolores de cabeza a cualquier empresario.
• El acceso a Internet es algo necesario hoy en día, pero debe ser implementado en forma segura. Para ello existen los equipos llamados UTM (Unified Threat Management), que protegen el acceso a Internet en forma muy fácil, integrando en un solo aparato las funcionalidades de firewall, detector de intrusos, antivirus, antispam, navegación segura, etc. Estos equipos son de bajo costo y fáciles de administrar, por lo cual han tenido muy buena acogida en este segmento (precios desde los US$ 300).
• La conectividad inalámbrica es sumamente económica y eficiente para una pequeña empresa, sin embargo es necesario apoyarse en expertos que puedan configurar una red segura y que no genere filtraciones hacia el exterior, lo cual podría facilitar el ataque de terceros o la intromisión en la información confidencial de la empresa. No podemos dejar nuestra red expuesta al mundo, la información es valiosa y debemos velar por mantenerla segura y protegida.
• Por último, dada la mayor rotación de personal en estas empresas, es conveniente entregar el acceso a la información en forma granular y segmentada, a modo de prevenir algún problema con la información sensible. Muchos trabajadores sólo permanecen un tiempo corto en estas empresas, por lo que los vínculos son efímeros y el compromiso con la empresa en cuestión es mínimo, generando roces que pueden derivar en robo o eliminación de información. Para prevenir, se aconseja utilizar claves y segmentación de privilegios de acceso a aplicaciones.

La seguridad de Vista demostro una falta de comprension sobre la seguridad y usabilidad. Un ejemplo claro fue el Sistema UAC (User Account Control) , que fue diseñado para prevenir de la ejecucion de codigo no autorizado, pero que fue muy criticado por los pop-ups continuos que aparecian en nuestras pantallas.

Segun un nuevo reporte de Sophos se menciona: “Con Windows 7, Microsoft demuestra que esta atendiendo a las criticas por todos los problemas con SO Vista.

El reporte analiza las nuevas mejoras que prometen seguridad y facil uso, replanteando el Windows Action Center (antes llamado Vista Security Center), el rediseñado UAC, expandiendo las caracteristicas del firewall y la encriptación, asi como el nuevo sistema VPN.

El reporte lo pueden ubicar en la pagina de Sophos llamado “Windows 7 security: A great leap forward or business as usual?” en el link https://secure.sophos.com/security/whitepapers/index.html

1. No dé nada por supuesto. Dedique un poco tiempo para aprender a asegurar su sistema.

2. Adquiera y utilice un programa antivirus de confianza. Seleccione un antivirus con reconocido prestigio a nivel mundial. Entre los más respetados laboratorios independientes que realizan pruebas de programas antivirus destacamos Checkmark, AV-Test.org y TuV.

3. Adquiera y utilice una solución cortafuego fiable. De nuevo, para elegir el producto recomendamos las pruebas hechas por los laboratorios independientes mencionados anteriormente. Algunos sistemas operativos vienen con un cortafuego que sólo filtra el tráfico entrante. Utilice un cortafuego que filtre tanto el tráfico entrante como el tráfico saliente.

4. No abra mensajes de correo electrónico de remitentes que desconoce o que no son de confianza. Muchos virus se propagan a través del correo electrónico, por lo cual le recomendamos que, en caso de duda, pida una confirmación de parte del remitente.

5. No abra archivos adjuntos a los mensajes que tienen un asunto sospechoso o inesperado. Si quiere abrirlos, primero guárdelos en su disco duro y analícelos con un programa antivirus actualizado.

6. Elimine cualquier correo en cadena u otros mensajes no deseados. No reenvíe estos mensajes ni conteste a ellos. Este tipo de mensajes se considera spam, dado que son correos no deseados y no solicitados que sobrecargan el tráfico de Internet.

7. Evite instalar servicios o aplicaciones que no sean necesarios en las actividades del día a día en un puesto de trabajo, como servidores de transferencia de archivos o de archivos compartidos, servidores de acceso remoto o similares. Los programas de este tipo son potencialmente peligrosos, y no se deben instalarse si no son absolutamente imprescindibles.

8. Actualice su sistema y sus aplicaciones regularmente. Algunos sistemas operativos y aplicaciones pueden ser configuradas para actualizarse automáticamente. Aproveche esta facilidad. El hecho de no actualizar el sistema frecuentemente puede dejarlo vulnerable frente a amenazas para las cuales ya existe solución.

9. No copie ningún archivo desconocido o de fuente no fiable. Verifique la fuente (procedencia) de los archivos que descarga y asegúrese de que los archivos ya han sido analizados por un programa antivirus.

10. Haga copias de seguridad de sus datos personales importantes (correspondencia, documentos, fotos y similares) regularmente. Guarde estas copias en discos extraíbles como CD o DVD. Guarde sus copias de seguridad en una ubicación distinta a la de su ordenador.

Fuente: Bitdefender

Haciendo una reflexión del parrafo anterior, les dejo un interesante documento que  pone a temblar a la industria antivirus. Se llama Measuring the in-the-wild effectiveness of Antivirus against Zeus, y como su propio nombre indica, es un estudio en el que se trata de analizar la efectividad de los antivirus a la hora de proteger a los usuarios de Zeus.

La familia Zeus, también conocida como Zbot, WSNPOEM, NTOS y PRG, es una familia de troyanos financieros de alta especialización orientados al robo de credenciales. Como buen pack de crimeware, Zeus viene acompañado de un panel de control PHP y un ejecutable para construir el troyano a medida. Entre las poco honrosas habilidades de Zeus se encuentran la capacidad de interceptación de credenciales en cualquier puerto TCP, incluyendo HTTP y HTTPS, la posibilidad de ser personalizado en el momento de la compilación, comunicación aunque la máquina infectada esté tras NAT mediante un proxy Socks 4/4a/5, o la generación de capturas de pantalla del escritorio de la máquina infectada, por citar algunos ejemplos.

Zeus incorpora una lista de direcciones que, una vez visitadas por la víctima, disparan el proceso de apropiación ilegítima de las credenciales, enviándolas en tiempo real al servidor de destino. También tiene capacidad para inyectar código HTML, superponiendo falsos formularios de autenticación a los legítimos. Zeus también es el nombre de una red de ordenadores infectados (botnet) que sólo en Estados Unidos cuenta con más de 3,5 millones de máquinas infectadas por esta virulenta familia de troyanos.

Pero lo peor de Zeus es que utiliza algunas técnicas rootkit para evadir la detección de los antivirus, y quizás ese sea el factor que hace extremadamente difícil su tratamiento. En el estudio de Trusteer las cifras hablan por sí mismas: después de analizar 10,000 máquinas infectadas, la principal conclusión es que Zeus acaba infectando el 77% de las máquinas con antivirus actualizados, lo que reduce la tasa neta de efectividad a un 23%. La mayoría de las infecciones detectadas (un 55%) correspondía a equipos con antivirus actualizados.

Que sólo un 23% de los despliegues antivirus consiga frenar un troyano y sus variantes es una cifra que debe hacernos pensar mucho. Debemos pensar que el antivirus que se tenga instalado no es el Santo Grial de la protección, y que empiezen  a considerar realizar una navegación responsable, evitando el software pirata que hay en las redes de P2P, los cracks, los keygens y los ficheros ZIP y/o RAR de EMULE.

También les recomiendo eviten la tentación de ver cuerpos femeninos o masculinos en poses provocativas en páginas de dudoso origen y contenidos, ya que también son fuente habitual de contaminación. Sé que a algunos de nosotros nos costará mucho trabajo, pero si queremos que nuestros datos no viajen por otro continente o no perder informacion valiosa, tendremos que aplicar estas sugerencias.

En realidad, cuando el usuario descargue el supuesto audio, se descargará un archivo ejecutable (.exe) y dañino como muestra la siguiente imagen. Se trata de un troyano que se ha identificado como Win32/Spy.VB.NEX.

Aprovechamos para alertar a sobre este tipos  de correos, que intentan asustar y brindar supuesta información de actualidad para que el usuario caiga y se infecte. Por eso es muy importante contar con una herramienta de detección.

En el transcurso del dia, un hacker malicioso, identificado como KKR ha logrado comprometer el servidor web de la Asociacion de Futbol Argentino y ha cambiado el contenido.

El nuevo contenido contiene el mensaje HACKED BY KKR, una imagen de Maradona vistiendo la camiseta de brasil (proviene de una campaña publicitaria del 2006 – al final de este post) y el mensaje “Una imagen vale mas que mil palabras”.

El equipo de seguridad informatica de la AFA reacciono en las horas siguientes y cambio la pagina por una temporal donde solo se muestra el logo.

A continuacion una imagen de la pagina cuando fue hackeada por KKR.

Esto nos sirve para recordar que cualquier empresa, corporacion o institucion puede ser victima de un ataque informatico. Dicho ataque puede tener consecuencias como perdida de informacion, productividad o imagen de la corporacion.

Para estar a salvo de estos ataques mantengan sus politicas de seguridad actualizadas, su perimetro asegurado y realicen pruebas de auditoria de seguridad informatica frecuentemente.

Saludos.

enHacke

Este tipo de amenaza puede vulnerar:

• Windows XP, Windows Server 2003, Windows Vista, Windows 7 con un solo MBR.
• la encriptacion de disco por TrueCrypt.

Propagación

En este momento, el bootkit se propaga mediante sitios craqueados, de pornografía y sitios de software pirata. Casi todos los servidores que participan en el proceso de infectar al usuario, tienen indicios de usar la lengua rusa: funcionan en el marco de los así llamados programas de partners, que son esquemas de interacción entre los propietarios de los sitios y los autores de los programas nocivos. Estas estructuras de partners son muy populares en el espacio cibernético ruso y ucraniano.

Entre la nuevas tecnologías que usan está el mecanismo de creación del nombre de dominio que se asigna al sitio desde donde se difundirán los exploits.

Cuando un usuario visita una página web infectada, en su equipo empieza a ejecutarse un script que, basándose en la fecha establecida en el ordenador genera el nombre de sitio al que se remitirá al usuario para recibir su exploit personal.

Aqui se muestra parte del script de generación del nombre del sitio con los exploits, después de haber sido descifrada

Esta tecnología hace que sea prácticamente imposible utilizar el método clásico de las listas negras para bloquear el acceso a los sitios con los exploits. Sin embargo, los investigadores tienen la posibilidad de analizar el algoritmo de generación de los nombres, averiguar cuales de ellos serán usados y bloquearlos.

El script incrustado en las páginas web infectadas, además de la generación del nombre de dominio y dependiendo de la fecha en curso, crea también un fichero de cookies válido durante 7 días. Su propósito es evitar que el navegador abra por segunda vez la página con el Neosploit en caso de que el usuario visite la página web varias veces. El script comprueba la presencia del fichero cookies y si éste está presente y su periodo de validez no ha caducado, no genera el nombre de dominio y no se remite al usuario al Neosploit.

Uso de tecnologia de los rootkits

Los bootkits siguen usando un método basado en la infección del MBR para ejecutar su driver durante el inicio del sistema operativo. El driver se usa para evitar la detección y el tratamiento del sector de inicio infectado. Las primeras versiones interceptaban los procedimientos IRP del objeto \Driver\Disk, pero como las tecnologías de lucha contra los programas maliciosos tampoco dejan de desarrollarse, los creadores de virus se vieron obligados a hacer grandes cambios en su algoritmo de funcionamiento. La variante actual del rootkit usa una tecnología más avanzada que la de la versión anterior para ocultar su presencia en el sistema. En este momento ninguno de los rootkits conocidos usa los métodos descritos a continuación.

Al iniciarse el driver malicioso se constata la presencia de un depurador activo. Si está presente, el rootkit no oculta el MBR infectado y no revela de ninguna manera su presencia en el sistema.

Para convertirse en prácticamente invisible, el rootkit reemplaza el indicador de tipo del dispositivo. Este tipo es una estructura distribuida en la cual el driver malicioso sustituye el indicador de función (ParseProcedure).

Imagen de Instalación del interceptor de función para suplantar el MBR

En caso de que el programa antivirus quiera obtener acceso de bajo nivel al disco físico, se hará una llamada a la función suplantada. A su vez, en esta última se interceptará el procedimiento IRP de un driver de nivel aún más bajo que \Driver\Disk y de la función que se llame al cerrar el disco abierto anteriormente. Tan pronto como se cierre el disco, todas las intercepciones volverán a su estado anterior.

Driver ATAP de bajo nivel del sistema infectado

Merece una mención especial el código del driver, que ha sufrido cambios sustanciales durante este tiempo. La mayoría de las funciones clave que instalan los interceptores de las funciones del sistema operativo son interceptores que cambian de forma, lo que complica el procedimiento de análisis del código malicioso.

Ejemplo cifrado de la función de intercepción

En las líneas siguientes les explicaremos en que consiste este nuevo tipo de ataque que hasta hace unos meses sólo se perpetuaba en Europa pero que ha empezado a tomar lugar en varios escenarios latinoamericanos, incluyendo entre estos a Perú.

Este ataque (Secuestro de Información) conocido también como Ransomware o ciberextorsión, tuvo sus primeras víctimas en Europa hace un par de meses con una modalidad que si bien no es la que se ha presentado aquí en Perú, es más bien una variación.
A continuación les mostraremos los diversos tipos de Secuestro de Información que hay. Vale recordar que una de estas variantes ya tiene 2 víctimas en Perú.

CASO 1:
En los casos europeos el ataque incluía: spam o archivos a través de Messenger, un keylogger y la recolección de contraseñas de cuentas de Hotmail. Para que se entienda bien, un atacante enviaba mediante spam, una foto o postal en un archivo, el cual tenía un keylogger y así se hacía de las cuentas de Hotmail de las víctimas. Una vez que el atacante tenía bajo su poder las cuentas de Hotmail con sus respectivas contraseñas, eliminaba todos los contactos y mensajes del correo a excepción de uno que decía:
Quieres saber donde están tus contactos y tus mails? Pues entonces deberás pagar, o prefieres perderlo todo? Espero escribas pronto.
Asesino de Correos X

CASO 2:
En Rusia también se vieron varios de estos ataques. Aprovechando los servicios de algunas de las empresas de Telecomunicaciones y las facilidades que ofrecían estas para vincular una cuenta anónima con un servicio de mensajería se presentaron casos de Secuestro de Información en el cual se bloqueaba el sistema y solicitaba a la victima el envío de un mensaje de texto para obtener un código de desbloqueo y realizar el rescate.
El objetivo es el de siempre, beneficio económico. Por cada mensaje de texto que se envía, los atacantes ganan dinero.

Esta es una imagen del troyano Trojan.Winlock que muestra como se menciono anteriormente el número de teléfono y el mensaje que se debe enviar así como el espacio en blanco para escribir el código de rescate.

CASO 3:
También existe una tercera variante en la cual varios de los archivos son encriptados o agregados a un archivo .ZIP o .RAR con contraseña.
El atacante o el gusano se encarga de cambiar el fondo de escritorio con una imagen donde dan instrucciones para realizar el rescate.

Este troyano ransomware de nombre GPCode se esparce por la red a través de varios medios. El troyano encripta los archivos en la maquina víctima y deja un archivo de texto con el nombre CRYPTED.TXT donde se pide un rescate de $10 para desencriptar los archivos. En la imagen podemos ver como cambia el fondo del escritorio y deja una dirección y una cuenta de ICQ para contactarse con el autor.

Reflexión:
Estos tipos de ataques pueden llegar de distintas maneras: Ejecutables sospechosos e infectados, SPAM, Carga de codecs maliciosos por paginas dudosas o en último de los casos y que sería más preocupante porque habría sido un ataque dirigido, una intrusión directa por parte de un hacker malicioso.

El objetivo en los tres casos es el mismo y está clarísimo, DINERO, mucho dinero. Muchas de las victimas terminan pagando el rescate a fin de recuperar rápidamente sus documentos.

Si bien en estos casos un Backup puede ayudar muy bien en tratar de recuperar la información secuestrada y no pagar el rescate, lo mejor sería llevar una metodología de seguridad y seguir buenas prácticas en cuanto al uso del sistema para evitar que el malware llegue a nuestras computadoras y en el caso de ser un ataque dirigido poder hacer difícil la entrada al hacker malicioso.

Esperamos el documento haya sido de utilidad para Ud.
Por favor no dude en llamarnos o escribirnos para cualquier consulta en Seguridad Informática.

enHacke
Teléfono: 51 – 1 – 4400769
informes@enhacke.com

Como sabemos, mediante ataques XSS se pueden realizar distintas cosas, pero entre las más peligrosas esta el robo o suplantación de sesión de algún usuario en línea, sin importar si este es un usuario con pocos privilegios o incluso si es el Administrador.

El riesgo de esta vulnerabilidad ha sido calificado como ALTO debido a las cosas que el atacante podría llegar a manipular.

El  servidor SAP no hace una asociación entre la dirección IP del usuario y algún dato relativo a la sesión (como por ejemplo las cookies). Es por esto que si alguna persona malintencionada encuentra una forma de sustraer la cookie de otra sesión (por ejemplo XSS) podría autenticarse con el servidor con privilegios de administración.

CFolders está integrado a los siguientes productos SAP:
•    SAP ECC
•    SAP Product Lifecycle Management (PLM)
•    SAP Suplier Relationship Management (SRM)
•    SAP Knowledge Management
•    Sap NetWeaver cRooms (salas colaborativas)

Los parches oficiales se pueden encontrar en:

https://service.sap.com/sap/support/notes/1292875

https://service.sap.com/sap/support/notes/1284360

Recordar que para acceder a los parches oficiales hay que estar registrado en service.sap.com

Ahora, para aquellas personas más interesadas, mostraremos en forma un poco más técnica las vulnerabilidades y la forma en la que podrían ser explotadas.

Para empezar debemos tomar en cuenta que las vulnerabilidades XSS hacen uso de código escrito en javascript.

Lo primero que un atacante querría hacer es hallar la forma de poner el código javascript en algún lugar en la nube o en la intranet.
Acto siguiente, el atacante va a buscar alguna manera de llamar nuestra atención para llegar a ese código (obviamente sin nuestro conocimiento).
Con todo esto dicho, vamos a analizar en 2 ejemplos lo que se podría hacer.

PRIMER EJEMPLO

El usuario malicioso podría insertar el código javascript haciendo uso de la característica de creación de enlaces que le ofrece SAP
Para llegar a esta opción podría usar algún link como este:
https://[site]/sap/bc/bsp/sap/cfx_rfc_ui/hyp_de_create.htm

¿Qué tipo de código podría insertar el usuario malicioso?
Pues algo del tipo:
http://empresavictima.com” onmouseover=”alert(“Ud. Ha sido hackeado”)”>

Cabe aclarar que el código para robar la sesión mediante la cookie es algo distinto. Lo que si no cambia es que el código javascript se ejecutará cuando el administrador navegue a través de las carpetas de usuarios.

SEGUNDO EJEMPLO

El usuario malicioso podría insertar código javascript en algún documento. (por razones obvias no se mostrara esta parte del ataque)

¿Qué tipo de código podría insertar el usuario malicioso?

aaaa”><script>alert(“Ud. Ha sido hackeado”)</script>.doc

Para lograr subir el archivo con el código incluido, el atacante debería cambiar el nombre del archivo a la hora de hacer el HTTP REQUEST, lo que permite que el archivo se guarde en el servidor.
De la misma manera que en el ejemplo anterior, la cookie puede ser copiada a algún lugar remoto para acceder con privilegios de administración. En este caso, el administrador tendría que ver o tratar de ver el archivo para ser víctima del ataque.

Los ejemplos demostrados fueron realizados solamente con fines educativos y de sensibilización a la seguridad informática.

Les recordamos que los parches pueden ser descargados por usuarios validados de sap support en las siguientes direcciones:
https://service.sap.com/sap/support/notes/1292875
https://service.sap.com/sap/support/notes/1284360

Muchas gracias por leernos.

Esperando poder participar con su Empresa en algún proyecto.

enHacke