Publicado el 16/09/2009 a las 3:30 pm por Franco Catrin
(cc) Sophos D/A/CH Presseinfo
Antes de que los fans anti-Linux se emocionen, lamento decirles que no se trata de un problema de seguridad atribuible al sistema operativo libre e involucra a sistemas Windows y servidores de DNS dinámicos.
Se trata de un nuevo ejemplo de cómo la seguridad se comporta como una cadena: Es tan fuerte como su eslabón más débil. Esto quiere decir que no importa qué tan fuerte sean todos los elementos de seguridad que usemos, basta un punto débil y ahí se producirán los problemas. Por ejemplo nada puede hacer el mejor de los firewalls si tienes un servicio vulnerable o una password débil, cof cof…
Con el uso de troyanos en Windows, se ha producido un robo masivo de cuentas FTP usadas para administrar el contenido de servidores web en Linux. Con este acceso FTP, los intrusos han modificado algunos sitios web para incluir un iframe hacia otro sitio web. Este iframe contiene una referencia a una URL que apunta a un nombre de host servido por un sistema de DNS dinámico y el servidor final causa que el usuario descargue una variante del troyano Bredolab.gen, con el que se puede repetir el proceso.
Los nombres de hosts utilizados apuntan a un segundo servidor web instalado entre los mismos servidores afectados. Este servidor se instala con la misma cuenta FTP robada, ya que con ésta se puede subir código ejecutable en el servidor y con él descargar, compilar y ejecutar un segundo servidor. Según lo que se ha investigado, el servidor secundario utilizado es nginx y queda corriendo en el puerto 8080, un puerto que no requiere permisos de administrador para ser utilizado.
El sistema es ingenioso, ya que con el uso de DNS dinámicos y con cada servidor involucrado se crea una gran red balanceada y dinámica, lo que dificulta su detección y bloqueo. Por ahora, los proveedores de DNS dinámico han bloqueado los dominios usados en esta botnet.
El hecho de distribuir troyanos para Windows, que posteriormente se usan para controlar tales computadores, hace que el problema sea difícil de detener incluso teniendo el apoyo de los servicios de DNS dinámicos. Para empeorar la situación, estos mismos troyanos en Windows son usados para seguir robando cuentas FTP legítimas.
Links:
- Linux webserver botnet pushes malware (The Register)
- Dynamic DNS and botnet of zombie web servers (Unmask Parasites)
- Drive-by campaign using Dynamic DNS domains (Abuse.ch)
Publicado el 14/09/2009 a las 3:30 pm por Franco Catrin
Symantec anuncia que ha descubierto la primera botnet de troyanos controlada desde grupos de noticias o newsgroups. Antes ya se habían detectado troyanos distribuyéndose por grupos de noticias, pero es la primera vez que se ve el uso de este medio para controlarlos remotamente.
Para los programadores de troyanos, mantener un mecanismo de control confiable es un aspecto prioritario. Cuando este mecanismo de control se basa en el uso de medios de comunicación confiables, se hace altamente complejo identificar y luego eliminar esos mecanismos de control.
El mecanismo usado en esta ocasión es bastante simple y efectivo. El troyano es una DLL para Windows que al activarse, se conecta a Google Groups y accede a un grupo de noticias privado. En este grupo de noticias se van subiendo instrucciones como si fueran artículos, por lo tanto el troyano las descarga y ejecuta.
De acuerdo a las estadísticas que el troyano registra en el mismo grupo de noticias y producto de la revisión de su código, ha sido posible deducir los motivos del atacante. Se puede ver que es una implementación de prueba, para comprobar la factibilidad de usar un grupo de noticias como mecanismo de control. Además el troyano está programado para actuar con gran sigilo, de tal forma que pueda recolectar información de cada computador sin que el usuario detecte nada anormal.
Link: Google Groups Trojan (blog de Symantec)
Publicado el 10/11/2008 a las 7:55 pm por Alexander Schek
Un grupo de 7 expertos en informática de la Universidad de California, en Berkeley (UCB) y San Diego (UCSD) lograron infiltrarse en el submundo de las redes clandestinas Storm (computadoras personales digitalmente secuestradas para procesar correos spam). Según ellos, la mejor manera para hacer estadísticas sobre el Spam, es siendo un spammer propiamente tal.
Los investigadores usaron dos de las técnicas más usadas en el sucio mundo del spam: Primero, enviaron correos con un enlace a una farmacia virtual no existente, y segundo, ofreciendo una alternativa natural al Viagra para elevar el… libido.
Estos fueron los sorprendentes hallazgos:
- Usando varias técnicas, los investigadores lograron controlar 75.869 computadoras personales sin ser detectados.
- Después de 26 días y unos 350 millones de mensajes enviados, sólo se concretaron 28 ventas.
- Uno de cada 12.500.000 correos electrónicos recibió una respuesta
- A pesar de que menos del 0,00001% de los mensajes enviados recibió una acción, el estudio revela que un operador de esta red puede recibir unos USD$7.000 diarios en ganancias.
Link: Spam gets 1 response per 12,500,000 emails (TechRadar) (Gracias John Holmes)
Publicado el 15/10/2008 a las 8:01 pm por Alexander Schek
El espionaje informático y el robo de datos personales han incrementado notablemente en el último año, provocando pérdidas de decenas de millones de dólares y amenazando la seguridad de los EEUU. Así lo afirmó el FBI en una reciente conferencia de prensa.
El informe agrega además que los grupos de crimen organizado se ven atraídos cada día más por la facilidad de alcanzar a millones de víctimas potenciales.
Las agencias estadounidenses de inteligencia han expresado su preocupación por la capacidad de Rusia y China por espiar a los EEUU por medios electrónicos y penetrar en las redes informáticas del país.
Un método de ataque que está aumentando en popularidad es el uso de “botnets“. Por otro lado, el “phishing” es otro problema que está en constante aumento.
Aunque esta clase de delitos no tiene relación con la crisis financiera actual, las empresas de inversiones pierden decenas de millones de dólares debido a trampas llamadas “pump and dump“, en las que los delincuentes acceden a las cuentas de clientes y las utilizan para alzar de forma artificial el precio de acciones y venderlas desde sus propias cuentas.
Link: FBI targets rise in cybercrime from U.S. and abroad (CNET)
Publicidad: Este sitio lo puedes ver a través de tu Internet Móvil de Entel PCS
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
