El FBI

0 comentarios
La eterna polémica entre lo legal y lo ilegal en la lucha contra el crimen, tiene como protagonista de esta semana la noticia de que el FBI utilizó recientemente un nuevo tipo de software espía para investigar amenazas de bombas a una escuela secundaria.

De acuerdo a las leyes vigentes en Estados Unidos, los agentes federales obtuvieron una orden judicial, para enviar el pasado 12 de junio, un spyware a una cuenta de MySpace sospechosa de ser utilizada para el envío de falsas amenazas de bombas. Una vez implantado, el software envió información de la computadora del sospechoso al FBI, incluyendo un registro de las conexiones salientes.

El propio FBI llama a este software, CIPAV, siglas de Computer and Internet Protocol Address Verifier, o verificador de la dirección IP.

Con las pruebas obtenidas, el sospechoso, un joven de 15 años llamado Josh Glazebrook, antiguo estudiante de la secundaria amenazada, fue finalmente condenado a 90 días de detención en la prisión para menores, después de haber firmado una declaración de culpabilidad por enviar las amenazas de bombas y otros cargos.

Si bien existen aún muchas especulaciones sobre la manera en que el FBI habría enviado el software espía, este caso parece ser el primero en revelar que en la práctica, esta técnica es realmente utilizada.

En 2001, el FBI ni negaba ni confirmaba la existencia de su propio caballo de Troya, creado con la excusa de combatir al terrorismo. El troyano, conocido en ese entonces como Magic Lantern (Linterna Mágica), sería enviado a cualquier sospechoso, como un adjunto a un mensaje aparentemente inocente.

Ante la prensa, el organismo declaró que no era nada nuevo que la organización estuviera trabajando con especialistas de la industria de la seguridad, para crear una herramienta que fuera eficaz en combatir tanto al terrorismo, como a otros actos delictivos. Y aunque no debería ser una sorpresa, “tampoco era apropiado que se revelaran las tecnologías que específicamente serían usadas,” explicó un vocero.

Desde entonces, el FBI nada ha dicho sobre Linterna Mágica. En otros dos casos en que se sabe que los investigadores utilizaron un software espía para obtener pruebas, en realidad se trató de keylogers (registradores de lo que se escribe en el teclado), implantados por agentes directamente en los equipos, no mediante su envío electrónico.

El caso actual es diferente, ya que se envío un troyano a una cuenta de MySpace. En la declaración jurada de la orden de allanamiento presentada a un tribunal, el FBI indica que los detalles del uso de este software “son confidenciales.”

“La naturaleza exacta de los comandos, procesos, capacidades, y la configuración del software, está clasificada como una técnica de investigación especialmente sensible. [...] Su revelación probablemente pondría en peligro otras investigaciones en curso y/o el uso futuro de dicha técnica”, dice la declaración.

Las referencias, parecen apuntar a que se trata de un software específico para Microsoft Windows. Otros datos enviados al FBI, incluyen “el tipo de sistema operativo instalado y su número de serie, el nombre del usuario conectado, y las direcciones de las páginas web a las que la computadora estuvo previamente conectada,” afirma la misma declaración.

CIPAV sería instalado “a través de un programa de mensajería electrónica de una cuenta controlada por el FBI”, lo que probablemente significa un correo electrónico o de mensajería instantánea. “Luego, durante unos 60 días, se registran las direcciones IP visitadas, pero no el contenido de las comunicaciones.”

Lo curioso, y preocupante, es que este tipo de acción involucra alguna clase de infección, y por lo tanto, debería eludir las defensas de un programa antivirus o antispyware para poder ejecutarse. En la declaración jurada del FBI no se hace mención alguna al software antivirus.

Una posibilidad manejada por algunos, es que el FBI haya convencido a todas las empresas de programas de seguridad para pasar por alto a CIPAV, y para no alertar a los usuarios de su presencia. Sin embargo, esto es fácil descartarlo, ya que claramente perjudicaría a las propias compañías y a su confianza con el público, y por lo tanto a sus ventas.

La política general en este sentido para cualquier empresa de seguridad, es que si algo quiere instalarse sin conocimiento del usuario, es un malware, y debe ser detectado. Además, muchas compañías están en países a los que una ley federal no puede afectar.

Otra teoría más plausible, es que el FBI haya descubierto (o pagado a alguien para hacerlo), vulnerabilidades desconocidas en Windows que permitirían a CIPAV instalarse.

De todos modos, la polémica de lo legal y lo ilegal para combatir el crimen informático, ha vuelto a ponerse en juego.

Le Sigue Lloviendo A Apple

1 comentarios
Esta semana han aparecido dos amenazas para el sistema operativo de Apple, un troyano con la habilidad de descargar e instalar programas maliciosos a la elección del atacante. Además de ello una aplicación hacker para crear puertas traseras.

El troyando en cuestión es ‘OSX.RSPlug.D’ según Intego, el especialista de seguridad que descubrió la amenaza. Afirma que es una variante de un viejo programa malicioso con un nuevo instalador. “Es un downloader, y contacta con un servidor remoto para descargar los archivos e instalarlos [...] Esto significa que, en el futuro, el downloader podría ser capaz de instalar otro tipo de programas aparte del que actualmente instala“. En el resto de características el troyano es similar a las previas versiones de RSPlug, que empezó su andadura en octubre de 2007, instala un programa DNSChanger, que redirige el tráfico de Internet del usuario a través de un DNS malicioso llevando a los usuarios finales a sitios de phising o a páginas de anuncios.

Intego afirma que el troyano OSX.RSPlug.D ha llegado esta semana junto con otra amenaza distinta, OSX.TrojanKit.Malez según Intego y según Symantec y Trend Micro, OSX.Lamzev. En esta ocasión se trata de una aplicación hacker diseñada para crear e instalar puertas traseras. Sin embargo la compañía afirma que no es una amenaza seria dado que el potencial de la misma se basa en el acceso físico al sistema a infectar.

Empresas de seguridad ya llevan anunciando desde hace tiempo que la plataforma Mac no es tan segura como los usuarios creen, de momento Apple no ha respondido a dicha afirmación.

El Himno Del Hacker!

1 comentarios

Consejos para ¿COPIAR EN UN EXAMEN?

4 comentarios
Bueno, para empezar mis alumnos creerán que me he vuelto un poco loco pero sí, leyeron bien, 'Consejos para ¿COPIAR EN UN EXAMEN?', ¿por qué escribo esto?, bueno, es sencillo, para variar un poco al hilo de temas que he estado poniendo últimamente...

Bueno sabiendo que en el CONA se acercan cada vez más y más los exámenes finales, y como 'siempre', casi todos dejamos la preparación para los mismos hasta el final, después vemos las consecuencias, por regular FEASSSSS [jajajaja {risa maléfica}] como los exámenes extraordinarios como de 5 horas que ya son algo famosos (no sé porque ¿?¿?...)

Como solución a esto, unos chavos del viejo continente encontraron la 'solución' aunque tal vez no muy ingeniosa, pero si muy buena...



LOS ACORDEONES!!!



Sí, lo leyeron bien, 'LOS ACORDEONES!!!', los benditos acordeones, que muchos preparan y usan para poder pasar los exámenes, siempre son de gran ayuda, y en mi opinión es muy bueno hacerlos, HACERLOS, no usarlos en los exámenes porque también podría ser catastrófico (claro siempre y cuando nos descubran... :S).

Los acordeones entre más ingeniosos mejor, en mi experiencia, tanto de alumno como de PSP (Prestador de Servicios Profesionales [así es como CONALEP llama a sus docentes]) he tenido la oportunidad de conocer una gran cantidad de estos artilugios, desde pequeñas anotaciones en la pierna y ocultas por la falda (para las chica, claro está), acordeones ocultos en el mecanismo de un reloj, el llamando acordeón fantasma (jaja, ese no les digo como se hace jeje), ocultos en diversos lugares como la viga del salón, en el tacón del zapato, en un bolígrafo, en la 'bubis' (sí, en la bubis, aplica sólo para la chicas), en una ocasión me mostraron un acordeón codificado, en fin, me ha tocado ver muchas cosas así [ :S XD jaja], pero este sistema del que le voy a contar me ha parecido genial, su nombre es:


Chuletas


Actualmente, éste software-comunidad se encuentra en el sitio http://www.xuletas.es/, se trata de una comunidad de estudiantes en la que puedes crear tu propia Xuleta (acordeón) y compartirla con toda la comunidad, puedes crear círculos de estudio con tus compañeros de clases y preparar en conjuntos sus propias Xuletas; también se ofrece en el mismo sitio la versión offline del software para la creación de Xuletas, el cual es muy fácil de manejar, ofrece la posibilidad de crear pequeños documentos a doble cara, clasificarlos de acuerdo a la materia, palabras clave, impresión a doble cara, y un sin fin de posibilidades...

Espero que les sirva este pequeño artículo, me gustaría que todos dejen su comentario!!!!

AVG, Falso positivo!!

0 comentarios
Popular programa antivirus cometió un serio error al eliminar un archivo de importancia crítica para Windows.

No es novedad que diversas soluciones antivirus presenten ocasionalmente los denominados falsos positivos. Sin embargo, es muy poco frecuente que una solución antivirus cometa un error tan grave como AVG.


Según diversos foros de seguridad informática, la solución antivirus de AVG habría comenzado a advertir que el archivo user32.dll, que en realidad es un componente de Windows XP, era un malware, en concreto, el troyano PSW. banker4.APSA.

Sin embargo, según Wikipedia el archivo user32.dll es un archivo que permite a los programas para Windows implantar un interfaz gráfico. Al eliminar el archivo, se produce un serio problema. Lo anterior no significa que se trate de un archivo que no pueda ser infectado.

El resultado para los usuarios que confiaron en la recomendación de la solución antivirus de AVG fue diversos errores de funcionamiento, e incluso problemas al intentar reiniciar el equipo.

Afortunadamente, hay varias formas de solucionar el problema. La más sencilla de ellas sería, según un usuario, reiniciar Windows XP en modo seguro y pedir al programa antivirus re instalar el archivo eliminado.

La propia compañía AVG presenta en su sitio una solución bajo el titular «1574: False positive "user32.dll"». Es una solución más compleja que implica usar el CD de instalación de Windows XP.

AVG anuncia una actualización de su base de datos de virus, donde se corregirá el error en cuestión.

Fuente: AVG, Securityandthe.net y foros de seguridad informática de Windows XP.

Consejos para proteger tu dominio

1 comentarios
Cada cierto tiempo se escuchan historias sobre gente que pierde algún dominio importante en manos de algún sujeto sin escrúpulos. Tal vez el caso mas paradigmático sea el de tonterias.com donde un fallo en Gmail hizo posible que cayera en manos de de quien no debía.

En el post de hoy voy a recopilar unos cuantos consejos fáciles de implementar que dejaran el dominio lo mas 'hardenizado' posible.

  • 1. Bloquea tu dominio : Mantener el dominio bloqueado hace que, si se intenta una transferencia de dominio aun con un AUTH code valido, sea denegada, y esta restricción es también valida para cambios en los servidores DNS. En el panel de control que ponga a tu disposición la empresa con quien tengas registrado el dominio ha de encontrarse la opción de activar el bloqueo, buscala o pregunta por ella.
  • 2. Activa el 'Whois Privacy': Muchas empresas de gestión de dominios permiten activar lo que se conoce como 'Whois Privacy' que, básicamente, lo que significa es que a la hora de hacer un 'Whois' a tu dominio (preguntar a una base de datos PUBLICA y accesible A CUALQUIERA que gestiona la información asociada al dominio) no obtendrán información que se pueda volver contra ti. Por ejemplo, si haces accesible a cualquiera la dirección de correo electrónico que gestiona tu dominio ¿Donde irán a parar los posibles intentos de secuestro?. Un servicio de 'Whois Privacy' ampliamente usado es Privacy Protect. Consulta a la empresa donde tengas contratado tu dominio por esta opción.
    Por ejemplo si se consulta el whois de securitybydefault.com los datos asociados son estos:
Administrative Contact:

PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676

Technical Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676

Billing Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676
Y al final del whois aparece esta información notificando que el dominio se encuentra BLOQUEADO:

Status:LOCKED
Note: This Domain Name is currently Locked. In this status the domain
name cannot be transferred, hijacked, or modified. The Owner of this
domain name can easily change this status from their control panel.
This feature is provided as a security measure against fraudulent domain name hijacking

  • 3. Defiéndete contra ataques de tipo XSS y CSRF: El caso mencionado anteriormente de tonterias.com pudo suceder debido a un fallo de tipo CSRF en Gmail. Cualquier aplicación 2.0 basada en la web es susceptible de sufrir este tipo de vulnerabilidades, sea un webmail, sea facebook o blogger. Tanto en el caso de un ataque XSS como CSRF, el escenario necesario para hacer 'diana' se basa en tener una sesión abierta en la aplicación que se pretende atacar y visualizar otra pagina que contenga el código malicioso. En este punto hacer notar un falso mito sobre el tema: SSL NO te defiende de este tipo de ataques, el hacer pasar tu sesión por SSL lo único que impide es que alguien consiga 'snifar' la cookie de acceso.
    Como primera defensa, empieza por usar una cuenta de correo para gestionar tu dominio que no sea la tuya habitual con la que gestionas otro tipo de temas. Si te planteas usar un webmail, huye de aquellos que sabes serán los que mas 'ojos maliciosos' tienen puestos encima, como Gmail o Yahoo y dale una oportunidad a sitios como Hushmail que sustancialmente es el mismo concepto de Webmail pero tiene una vocación orientada a la privacidad / seguridad.
    Y finalmente la solución mas paranoica pero la 99% mas efectiva: Usa un navegador única y exclusivamente para coger el correo electrónico de la cuenta asociada a tu dominio. Como decía antes, casi todos los bugs que permiten 'secuestrar' sesiones en webmails tienen como premisa tener una pestaña o ventana abierta en el webmail y navegar por sitios con contenido malicioso, por tanto, si empleas un navegador solo para leer esa cuenta de correo y bloqueas el resto de URLs tendrás una mas que razonable protección. ¿Como bloquear el resto 'de internet'? Muy fácil, en las opciones de tu navegador configura un proxy inexistente que apunte, por ejemplo, a 127.0.0.1 y añade como excepción para que no pase por el proxy únicamente la web de tu webmail. Puedes usar Firefox como navegador habitual y tener configurado Chrome para acceder a Hushmail.