Archivos de Mayo, 2009
Phishing, la etapa final o cómo el dinero se esfuma
May 28
Hará ahora unas 3 semanas que asisití a una conferencia en la que intervenían dos ponentes, uno era el principal responsable de la III brigada de delitos telemáticos ubicada en Murcia y el otro era Xabiel García Pañeda, Perito Informático experimentado y que ofreció una gran visión desde la mente del perito informático de lo que debe ser un peritaje bien llevado de principio a fin. A todo aquel que tengais la suerte de tenerlo cerca (Asturias) y podais acudir a alguna de sus conferencias es altamente recomendado. En esta conferencia se comentaban los ataques de phishing y allí me di cuenta de que la fase final no es muy comentada y resulta extremadamente curiosa (al menos para mi).
Es por todos conocido cómo opera un ataque de phishing hasta que los números de cuenta y resto de información necesaria llegan a quien no deberían haber llegado nunca, al atacante, pero… quizá no es tan conocido cómo es posible que ese dinero llegue a manos del ciberdelincuente y sea tan difícil cogerle, al fin y al cabo, a algún lugar redirigirá el dinero.
En esta tarea entran en juego los conocidos como muleros, término heredado de las personas que introducen droga en los diferentes paises portandola dentro de su cuerpo con el objetivo de no ser descubiertos. Estos muleros de la red tienen como principal función la de blanquear el dinero que les llegará a sus cuentas.
Las bandas de crimen organizado reclutan a estos muleros mediante mensajes de correo electrónico en los que les ofrecen grandes cantidades de dinero, trabajo desde casa, contrato laboral, el trabajo perfecto. En el momento de la contratación, el mulero se está convirtiendo en cómplice de una estafa de importantes dimensiones.
El recien contratado mulero comienza a recibir en su cuenta grandes cantidades de dinero de las cuales manda un alto porcentaje, entorno al 80%, a la empresa que lo contrató por un servicio de envio rápido de dinero, quedándose con el restante 20%. Inmediatamente después, el dinero es retirado por el phisher en otra oficina de la misma entidad de envío de dinero en otra parte del mundo con documentación falsa.
Vale, ahora habrá quien diga… ¿y la transferencia quien la hace? pues la transferencia puede hacerla el propio phisher tomando las debidas precauciones. Imaginemos que cogemos un módem de ono, de estos piratas que circulan por ahí y le ponemos una MAC de la que ya dispone otro usuario… en el momento de realizar la transferencia, debido a la asignación de direcciones que hace el servicio DHCP de ono tendremos la misma dirección IP que el titular verdadero vinculado a esa MAC, ¿en qué resulta esto?, en el titular que tenía asignada tal dirección IP imputado en un caso de estafa y en ONO buscando entre sus registros indicios de duplicación de tal MAC.
Aquí os dejo los principales objetivos del phishing a día de hoy extraidos de marshal8e6. Como podeis ver principalmente bancos americanos pero hay otros de interés, podeis ver más aquí
salu2!!
Las búsquedas más peligrosas
May 28
McAfee ha publicado un estudio con las palabras que pueden ser más peligrosas a la hora de visitar los resultados que producen en un buscador. O sea, las palabras que tienen más probabilidad que lleven a un usuario a un sitio en el que quede infectado por malware. La ganadora es “screensavers” con un riesgo del 60%.McAfee ha buscado 2.658 palabras y frases en 413.368 URLs para comprobar qué términos pueden exponer al usuario a un mayor número de direcciones que alojen malware o fraudes. Concluye que todas las búsquedas que incluyan la palabra “free” (en este contexto, sería “gratis”) tienen un mayor riesgo (un 21%) mientras que las más seguras suelen ser las búsquedas relacionadas con términos médicos o de salud.
El estudio de McAfee no deja de ser anecdótico. El mundo del malware y sus creadores se han anticipado al dinamismo de la Red actual, y parecen trabajar a un ritmo mucho más acelerado “para estar a la última” que el resto de la industria. Esto hace que lo que hoy es considerado “menos peligroso” (un término más adecuado que “seguro”), constituya un peligro grave y patente a corto plazo. ….
Fuente: Hispasec
Ficheros Temporales y LOPD
May 28
Hace ya una semana que Chema Alonso publicaba una serie de post tratando la problemática referente al cumplimiento de la LOPD en el tratamiento de los datos personales que se realiza por los sistemas informáticos.
Una vez he podido terminar de leerlo, me ha parecido importante reseñarlo aquí por la implicacion que esto tiene y porque sencillamente me parece muy bueno 
.
Si quereis conocer cómo deberian protegerse los datos durante su procesamiento en el pc y las problemáticas que se plantean con las memorias intermedias no dejeis de visitarlo, muy bueno.
La actualidad de los ataques web.
May 26
Ayer fue uno de esos días en los que se te pasan tropecientasmil cosas por la cabeza para poner en el blog y no consigues poner ninguna, si me lee algún blogger me entenderá (eso espero) .
Hoy he podido terminar de leer un whitepaper de Symantec sobre ataques web que encontré la semana pasada por la web y me pareció interesante. Pues bien, lo es. Aquí hay un resumen sobre cómo nuestro PC se convierte en una lata de conservas merced a los innumerables sitios web de los cuales podemos descargar malware de forma involuntaria.
Hace una exposición clara y ordenada de:
- Cómo se introduce un iframe en una página que posteriormente será servida al cliente y éste será redireccionado al sitio malicioso (sql-injection)
- Los diferentes tipos de ataques (con participación o sin participación del usuario)
- Los Web Attack Toolkits
- Los cambios en el modelo de infección de sitios web
- Ofuscación
- Aplicaciones engañosas (antivirus fake, etc)
- Qué hace el malware dentro del PC
- Cómo prevenir estos ataques que se hacen cada vez más sofisticados
- etc…
y todo esto en 18 páginas en perfecto inglés que dejan todo muy pero que muy clarito.
Salu2!
ISO 27000 disponible públicamente
May 21
A partir de hoy se encuentra disponible el estándar ISO 27000/2009 de manera pública. Este estándar con título “Information technology — Securitytechniques — Information security management systems — Overview and vocabulary” consituye una introducción al Sistema de Gestión de Seguridad de la Información proporcionando una guía para el primer acercamiento al SGSI en términos de vocabulario, funcionamiento y utilidad.
Podeis disponer de más estándares en descarga directa, si bien no hay ninguno más de la familia 27000, en este sitio.
Salu2!
Tus derechos en Tuenti
May 20
Hace ya algunas semanas que quise llamar la atención sobre las condiciones de uso de las diferentes redes sociales, para lo cual analicé las de los servicios Facebook, Tuenti y Linkedin en un post titulado do you practice social networking?.
Pues bien, esta mañana he encontrado que en Security Art Work han profundizado sobre tuenti ofreciendo información que complementa la que en su día yo proporcioné. Para aquellos usuarios de este servicio que quieran saber a fondo a qué se exponen.
Salu2!
Un ordenador infectado envía 600.000 mensajes de Spam al día
May 20
Recorriendo esta mañana las noticias de actulidad me he topado con este dato tan aplastante procedente de un estudio conducido por la compañía Marshal8e6 (cuyo comunicado lo podeis encontrar aquí). Este estudio ha sido realizado por TRACElabs. En spamspam podeis leer este fragmento que es una transcripción directa de los datos que Marshal8e6 expone.
Y no, no es exageración. Según la compañía estadounidense Marsahll8e6, un estudio realizado a equipos de cómputo infectado por alguna de las botnets más prolíferas de nuestros tiempos es capaz de enviar por la red hasta unos 25 mil mensajes de Spam por hora, lo que a la postre nos da la cifra de 600 mil mensajes de correo electrónico no deseados por día y que a la vez nos arroja la suma de 4.2 millones de mensajes de Spam a la semana; impresionante tomando en cuenta que se tratan de cifras de una sola computadora infectada.
Marshal8e6 comunica que TRACElabs infectó sus sistemas de manera intencionada y oberservó el comportamiento de los bots. Los investigadores observaron qué cambios se producian en el registro, qué puertos abrían para su comunicación y observaron cuanto SPAM eran capaces de generar.
El estudio se extendió a 9 botnets que TRACElabs consideró las de mayor tamaño incluyendo: Xarvester, Mega-D, Gheg, Grum, Donbot, Pushdo, Bobax, Rustock y Waledac. Éstas botnets aglutinan el 70% del volumen total de spam de acuerdo con los datos de Marshal8e6.
Los resultados del estudio se pueden encontrar aquí.
Al hilo de esto, me gustaría resaltar cómo se están recuperando los volúmenes de Spam. A fecha 1 de Abril de 2009 exponía este post donde se observaba un gráfico obtenido de la misma empresa que conducía el informe anteriormente mencionado donde, si bien se mostraba que los niveles de SPAM habían bajado considerablemente tras el cierre de la empresa de servidores McColo, también se observaba un ligero repunte. Este repunte se puede confirmar en los diagramas que a día de hoy podemos ver en su correspondiente sección, señores, el SPAM ha vuelto… si es que algún día nos dejó….
Salu2!
Los Test de Intrusión; una estrategia preventiva
May 18
A pesar de no ser uno de los servicios considerados como críticos por muchos directivos, los test de intrusión son básicos para la seguridad lógica de los sitemas críticos de una organización y así se harán valer en el futuro. Asi lo demuestran una y otra vez los diferentes estudios que arrojan resultados tan significativos como los últimos conocidos de un estudio realizado por Forrester Consulting a instancias de Veracode y por título “Application Risk Management in Business Survey“. El estudio ha sido realizado sobre 200 empresas de diferentes áreas de negocio en EE.UU. y el Reino Unido. Algunos de los resultados más significativos de este estudio son los siguientes (aquí se pueden encontrar más):
- Más del 62% de los encuestados han sufrido algún problema de seguridad en los últimos 12 meses provenientes del aprovechamiento de fallos en sus aplicaciones críticas de negocio.
- Aunque las compañías son conscientes de la criticidad de las aplicaciones que soportan sus procesos de negocio, la confianza que se puede depositar en ellas con respecto a su seguridad es poca.
- Las compañías no están haciendo lo suficiente para asegurar los niveles de seguridad de las aplicaciones de código abierto, las programadas por un tercero o las comerciales.
- Tan sólo un 34% de las compañías disponen de un proceso de desarrollo de software que integra la seguridad de las aplicaciones.
- Sólo el 13% de los encuestados conoce el nivel de seguridad de las aplicaciones críticas de su negocio.
La referencia más cercana de la que dispongo en España es el “Estudio sobre el sector de la Seguridad TIC en españa” de Septiembre de 2008, realizado por INTECO y que no llegando a disponer de estadísticas de este tipo (ya me gustaría a mi saber como nos encontramos en españa en este aspecto), expone conclusiones como la siguiente:
En España, aún está por materializarse el cambio de más alcance en la concepción de la seguridad: el que conlleva pasar de una mentalidad reactiva a una proactiva, Sólo las grandes organizaciones, fundamentalmente las de ciertos sectores (banca, sanidad, defensa), tienen una cultura proactiva de la seguridad. En general, predomina una concepción en la que pesan las medidas de protección que no requieren intervención del usuario, soluciones de “instalar y olvidarse” frente a una concepción de la seguridad basada en el fomento de los comportamientos personales y organizativos que la mejoran.
Dentro de esta cultura proactiva se enmarcan los test de intrusión que se encuentran recogidos en ISO 27001 en el bloque 12, control “12.6.1 Control de las Vulnerabilidades Técnicas” y a los que se les debe dar por parte de la organización la importancia que merecen.
La seguridad proactiva en aplicaciones tiene dos vertientes principalmente, la seguridad integrada en todos los aspectos del SDLC o ciclo de desarrollo del software y los test de intrusión para tratar de anticiparnos al descubrimiento de una nueva vulnerabilidad, o una antigua no parcheada, por alguien malintencionado. ISO 27001 dedica un bloque completo, el anteriormente mencionado a todos los aspectos de seguridad que es necesario contemplar en relación a las aplicaciones, otorgándole la debida relevancia. Sin duda alguna cada uno de los apartados de ese bloque da para muchos post.
Salu2!
El mundo empersarial underground
May 14
Se que en estas últimas semanas ya habeis tenido una dosis más que suficiente de botnets y de e-crime, pero me he encontrado un post de Alfredo Reino que hace mención a cómo el crimen organizado realiza operaciones empresariales similares a las del mundo real y me ha parecido interesante. Para calentar una imagen:
Salu2!
La importancia del BCP
May 13
Hace poco más de una semana que en la lista de distribución de ISO27001security se viene discutiendo un tema que suele ser recurrente en las auditorías que he realizado. El thread se centra en la falta de completitud del Plan de Continuidad de Negocio (BCP por sus siglas en inglés) o su inexistencia.
¿Puede pasarse una auditoría de certificación sin elaborar y probar un BCP?
NO. La falta del BCP constituye una No Conformidad Mayor y supone no pasar la auditoría.
¿Puede ser mi BCP una hoja donde se diga cómo restauro las copias de seguridad?
Esta es la posición de alguien de la lista. De nuevo NO, esto no es un Plan de Recuperación del Desastre (DRP por sus siglas en inglés), es un BCP y NO ES LO MISMO.
Hagamos de abogados del diablo y pongamos que damos por suficiente esa hojita con las instrucciones para restaurar las copias de seguridad. Ahora pensemos que hay un cortocircuito en la oficina principal provocando un incendio y por ende la pérdida de gran parte de lo que allí se ubicaba. Suponiendo que haya una copia fuera de dicha oficina, se nos vendrá encima un aluvión de dudas entre las cuales podemos encontrar:
- ¿Quién es responsable de cada una de las tareas necesarias para recuperar el funcionamiento mínimo de la organización?
- ¿Dónde deben ser restaurados los sistemas, puestos en funcionamiento los procesos mínimos de operación y ubicadas las personas?
- ¿Qué equipos deben ser adquiridos o transladados?, ¿qué personas deben ser contactadas?, ¿qué infraestructura es necesaria para la operación mínima de la organización?
- ¿Cómo contacto con los proveedores necesarios para abastecerme del material necesario?
- ¿Cuándo debo contactar con cada proveedor?, ¿cual es el órden en el que los diferentes implicados deben ser avisados?.
Y esto es sólo una muestra de lo que habría que resolver para que un BCP sea realmente un BCP.
¿Por qué es tan importante un BCP?
El BCP es la última línea de vida de una empresa. Cuando las contramedidas fallan, el BCP es la última esperanza de supervivencia de una empresa. Acontecimientos como el ocurrido en las Torres Gemelas o el del edificio Windsor ponen de relevancia este aspecto en ocasiones infravalorado dentro de las organizaciones.
El BCP consigue hacer previsto un imprevisto que puede costar la supervivencia de la empresa. De hecho, ya existe una norma británica que trata este aspecto en profuncidad conocida como BS 25999.
Salu2!!
